Am 01.03.19 um 21:17 schrieb Michael Ströder:
On 2/27/19 10:48 PM, Patrick Ben Koetter wrote:
Iranische Hacker haben im großen Stil E-Mail Passworte und andere, sensible
Daten verschiedener Regierungsorganisationen und privater Unternehmen
abgegriffen.
(mehr dazu:
https://krebsonsecurity.com/2019/02/a-deep-dive-on-the-recent-widespread-dns-hijacking-attacks/)
Mit DNSSEC und DNSSEC-aktivierten Resolvern wie z.B. unbound, wäre das nicht
möglich gewesen.
Sorry, aber ich muss da ein wenig Wasser in den Wein giessen.
Vielleicht habe ich in o.g. Text was falsch verstanden, aber ich hätte
da durchaus ein paar ernste Fragen an den betroffenen Domain-Registrar.
Weil wenn der gehackt wird und der Angreifer dann die NS nebst DNSSEC
RRs austauschen kann, dann ist doch nix gewonnen.
Wenn du gehacked wirst ist das immer Mist , mit oder ohne DNSSEC oder
mit was auch immer...
BTW: Mit dem Aufkommen der DNSSEC/DANE-Euphorie war bereits klar, dass
dann halt die Registrare und schlecht gewartete DNS-Server die
PKI-Schwachpunkte sind.
Das soll nicht heissen, dass man DNSSEC nicht einsetzen soll. Aber es
ist halt nicht der allein glücklich machende Ansatz und man muss es halt
genau wie bei X.509-basierter PKI *richtig* machen.
Ciao, Michael.
--
[*] sys4 AG
http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
