Iranische Hacker haben im großen Stil E-Mail Passworte und andere, sensible Daten verschiedener Regierungsorganisationen und privater Unternehmen abgegriffen. (mehr dazu: https://krebsonsecurity.com/2019/02/a-deep-dive-on-the-recent-widespread-dns...)
Mit DNSSEC und DNSSEC-aktivierten Resolvern wie z.B. unbound, wäre das nicht möglich gewesen.
Warum ist DNSSEC so wichtig? DNS ist längst schon nicht mehr nur Dienst für Namensauflösung. DNS ist Dienst für Namensauflösung, Policy-Verteilung und Provisionierung. Wir brauchen einen DNS-Dienst, dessen Antworten wir verifizieren können, damit wir uns darauf verlassen können.
Seit mehreren Jahren nun rollen wir DNSSEC auf kleinen und auf großen Plattformen aus und genauso lang müssen wir uns anhören, DNSSEC sei problematisch.
Das ist FUD. Es stimmt nicht. DNSSEC funktioniert. DNSSEC ist genauso kritisch DNS. Wer das nicht glaubt, soll einfach mal für 1 Minute das DNS in seiner Firma ausschalten und dann auf das Klingeln des Telefons warten…
In all den Jahren hatten wir bei unseren Kunden nicht einen DNSSEC-bezogenen Incident. Worauf also warten?
Auch die ICANN fordert nach diesem Hack: ICANN Calls for Full DNSSEC Deployment, Promotes Community Collaboration to Protect the Internet https://www.icann.org/news/announcement-2019-02-22-en
p@rick
On 2/27/19 10:48 PM, Patrick Ben Koetter wrote:
Iranische Hacker haben im großen Stil E-Mail Passworte und andere, sensible Daten verschiedener Regierungsorganisationen und privater Unternehmen abgegriffen. (mehr dazu: https://krebsonsecurity.com/2019/02/a-deep-dive-on-the-recent-widespread-dns...)
Mit DNSSEC und DNSSEC-aktivierten Resolvern wie z.B. unbound, wäre das nicht möglich gewesen.
Sorry, aber ich muss da ein wenig Wasser in den Wein giessen.
Vielleicht habe ich in o.g. Text was falsch verstanden, aber ich hätte da durchaus ein paar ernste Fragen an den betroffenen Domain-Registrar. Weil wenn der gehackt wird und der Angreifer dann die NS nebst DNSSEC RRs austauschen kann, dann ist doch nix gewonnen.
BTW: Mit dem Aufkommen der DNSSEC/DANE-Euphorie war bereits klar, dass dann halt die Registrare und schlecht gewartete DNS-Server die PKI-Schwachpunkte sind.
Das soll nicht heissen, dass man DNSSEC nicht einsetzen soll. Aber es ist halt nicht der allein glücklich machende Ansatz und man muss es halt genau wie bei X.509-basierter PKI *richtig* machen.
Ciao, Michael.
Am 01.03.19 um 21:17 schrieb Michael Ströder:
On 2/27/19 10:48 PM, Patrick Ben Koetter wrote:
Iranische Hacker haben im großen Stil E-Mail Passworte und andere, sensible Daten verschiedener Regierungsorganisationen und privater Unternehmen abgegriffen. (mehr dazu: https://krebsonsecurity.com/2019/02/a-deep-dive-on-the-recent-widespread-dns...)
Mit DNSSEC und DNSSEC-aktivierten Resolvern wie z.B. unbound, wäre das nicht möglich gewesen.
Sorry, aber ich muss da ein wenig Wasser in den Wein giessen.
Vielleicht habe ich in o.g. Text was falsch verstanden, aber ich hätte da durchaus ein paar ernste Fragen an den betroffenen Domain-Registrar. Weil wenn der gehackt wird und der Angreifer dann die NS nebst DNSSEC RRs austauschen kann, dann ist doch nix gewonnen.
Wenn du gehacked wirst ist das immer Mist , mit oder ohne DNSSEC oder mit was auch immer...
BTW: Mit dem Aufkommen der DNSSEC/DANE-Euphorie war bereits klar, dass dann halt die Registrare und schlecht gewartete DNS-Server die PKI-Schwachpunkte sind.
Das soll nicht heissen, dass man DNSSEC nicht einsetzen soll. Aber es ist halt nicht der allein glücklich machende Ansatz und man muss es halt genau wie bei X.509-basierter PKI *richtig* machen.
Ciao, Michael.
participants (3)
-
Michael Ströder -
Patrick Ben Koetter -
Robert Schetterer