On 2/27/19 10:48 PM, Patrick Ben Koetter wrote: > Iranische Hacker haben im großen Stil E-Mail Passworte und andere, sensible > Daten verschiedener Regierungsorganisationen und privater Unternehmen > abgegriffen. > (mehr dazu: > https://krebsonsecurity.com/2019/02/a-deep-dive-on-the-recent-widespread-dns-hijacking-attacks/) > > Mit DNSSEC und DNSSEC-aktivierten Resolvern wie z.B. unbound, wäre das nicht > möglich gewesen.
Sorry, aber ich muss da ein wenig Wasser in den Wein giessen. Vielleicht habe ich in o.g. Text was falsch verstanden, aber ich hätte da durchaus ein paar ernste Fragen an den betroffenen Domain-Registrar. Weil wenn der gehackt wird und der Angreifer dann die NS nebst DNSSEC RRs austauschen kann, dann ist doch nix gewonnen. BTW: Mit dem Aufkommen der DNSSEC/DANE-Euphorie war bereits klar, dass dann halt die Registrare und schlecht gewartete DNS-Server die PKI-Schwachpunkte sind. Das soll nicht heissen, dass man DNSSEC nicht einsetzen soll. Aber es ist halt nicht der allein glücklich machende Ansatz und man muss es halt genau wie bei X.509-basierter PKI *richtig* machen. Ciao, Michael.
smime.p7s
Description: S/MIME Cryptographic Signature
