Warum DNSSEC wichtig ist!
Robert Schetterer
rs at sys4.de
Sa Mär 2 10:09:09 CET 2019
Am 01.03.19 um 21:17 schrieb Michael Ströder:
> On 2/27/19 10:48 PM, Patrick Ben Koetter wrote:
>> Iranische Hacker haben im großen Stil E-Mail Passworte und andere, sensible
>> Daten verschiedener Regierungsorganisationen und privater Unternehmen
>> abgegriffen.
>> (mehr dazu: https://krebsonsecurity.com/2019/02/a-deep-dive-on-the-recent-widespread-dns-hijacking-attacks/)
>>
>> Mit DNSSEC und DNSSEC-aktivierten Resolvern wie z.B. unbound, wäre das nicht
>> möglich gewesen.
>
> Sorry, aber ich muss da ein wenig Wasser in den Wein giessen.
>
> Vielleicht habe ich in o.g. Text was falsch verstanden, aber ich hätte
> da durchaus ein paar ernste Fragen an den betroffenen Domain-Registrar.
> Weil wenn der gehackt wird und der Angreifer dann die NS nebst DNSSEC
> RRs austauschen kann, dann ist doch nix gewonnen.
Wenn du gehacked wirst ist das immer Mist , mit oder ohne DNSSEC oder
mit was auch immer...
> BTW: Mit dem Aufkommen der DNSSEC/DANE-Euphorie war bereits klar, dass
> dann halt die Registrare und schlecht gewartete DNS-Server die
> PKI-Schwachpunkte sind.
>
> Das soll nicht heissen, dass man DNSSEC nicht einsetzen soll. Aber es
> ist halt nicht der allein glücklich machende Ansatz und man muss es halt
> genau wie bei X.509-basierter PKI *richtig* machen.
>
> Ciao, Michael.
>
--
[*] sys4 AG
http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Mehr Informationen über die Mailingliste postfix-users