DNSSEC ist ein Protokoll, das gegenwärtig zur Sicherung des Domain-namensystems (DNS), also dem weltweiten Telefonbuch des Internets, implementiert wird. Normale Benutzer rufen Internetserver lieber mithilfe konkreter Bezeichnungen auf (beispielsweise icann.org) – hinter den Kulissen jedoch bildet das DNS jeden Namen auf eine numerische Adresse ab, um die Daten an das korrekte Gerät zu übertragen. DNSSEC ist die Abkürzung für „DNS Security Extensions“, also DNS-Sicherheitserweiterungen. DNSSEC ergänzt das DNS um Sicherheits-funktionen, indem eine Verschlüsselungsmethodik basierend auf öffentlichen Schlüsseln in die DNS-Hierarchie integriert wird. Dadurch entsteht eine einzelne, offene und globale Public-Key-Infrastruktur (PKI) für Domainnamen. Dies ist das Ergebnis einer mehr als zehnjährigen Entwicklung offener Standards innerhalb der Nutzergemeinschaft.
Archiv: Domains / Webseiten / websites (de / en)
Spoofing: Neue DNS-Angriffsmethode entdeckt
(13. November 2020)
Nachdem der Quellport de-randomisiert worden sei, sei es möglich gewesen, eine böswillige IP-Adresse einzuschleusen und so erfolgreich einen DNS-Cache-Poisoning-Angriff durchzuführen. Die Details haben die Forscher im Paper „DNS Cache Poisoning Attack Reloaded: Revolutions with Side Channels“ publiziert.
Weitere Experimente unter realistischen Serverkonfigurationen und Netzwerkbedingungen würden zudem zeigen, dass ihre grundlegende Methode leicht an das gesamte DNS-System angepasst werden könnte.
SAD Reality for DNS
The researchers determined that 35% of open resolvers are open to the attack, as well as four of six home routers made by well-known brands.
They also found that 12 of 14 popular public resolvers (now 11—Cloudflare says they’ve corrected their systems) are susceptible. Even a patched DNS server could be made vulnerable by an unpatched or misconfigured NAT gateway.
Their 19-page paper on the exploit includes lists of devices and services tested. They have since set up a SAD DNS website featuring a Q&A and a tool that anyone can use to determine whether their DNS is vulnerable.
The flaw is being tracked as CVE-2020-25705, and affects Linux 3.18 – 5.10, Windows Server 2019 version 1809 and newer, macOS 10.15 and newer, and FreeBSD 12.1.0 and newer. The researchers did not test earlier versions of the listed operating system.
Microsoft unleashes ‘Death Star’ on SolarWinds hackers in extraordinary response to breach
In the end, this all reminds us how much power Microsoft has at its disposal. Between its control of the Windows operating system, its robust legal team, and its position in the industry, it has the power to change the world nearly overnight if it wants to. And when it chooses to train that power on an adversary, it really is the equivalent of the Death Star: able to completely destroy a planet in a single blast.
Domain name sinkholes and those funky domain registrations
(September 2018)
A sinkhole redirects or blocks traffic meant for a destination. They are used by the security community to stop botnet traffic, phishing and other bad activity.
There are many ways to create a sinkhole. An ISP can simply divert traffic from the IP address nameserver you see in Whois to another. A company (or the government) can also go through the courts to get control of a domain name and then change its nameservers.
Microsoft and industry partners seize key domain used in SolarWinds hack
(15.12.2020)
According to analysis from security firm FireEye, the C&C domain would reply with a DNS response that contained a CNAME field with information on another domain from where the SUNBURST malware would obtain further instructions and additional payloads to execute on an infected company’s network.
DNSSEC – What Is It and Why Is It Important?
DNS data for a domain is called a zone. Some organizations operate their own name servers to publish their zones, but usually organizations outsource this function to third parties. There are different types of organizations that host DNS zones on behalf of others, including registrars, registries, web hosting companies, network server providers, just to name a few.
DNS by itself is not secure
DNS was designed in the 1980s when the Internet was much smaller, and security was not a primary consideration in its design. As a result, when a recursive resolver sends a query to an authoritative name server, the resolver has no way to verify the authenticity of the response.
DNSSEC Schutz für das Internet
DNSSEC ist ein Protokoll, das gegenwärtig zur Sicherung des Domain-namensystems (DNS), also dem weltweiten Telefonbuch des Internets, implementiert wird. Normale Benutzer rufen Internetserver lieber mithilfe konkreter Bezeichnungen auf (beispielsweise icann.org) – hinter den Kulissen jedoch bildet das DNS jeden Namen auf eine numerische Adresse ab, um die Daten an das korrekte Gerät zu übertragen. DNSSEC ist die Abkürzung für „DNS Security Extensions“, also DNS-Sicherheitserweiterungen. DNSSEC ergänzt das DNS um Sicherheits-funktionen, indem eine Verschlüsselungsmethodik basierend auf öffentlichen Schlüsseln in die DNS-Hierarchie integriert wird. Dadurch entsteht eine einzelne, offene und globale Public-Key-Infrastruktur (PKI) für Domainnamen. Dies ist das Ergebnis einer mehr als zehnjährigen Entwicklung offener Standards innerhalb der Nutzergemeinschaft.
Trailer – Unsere Forderungen
Captain Future wird dem verrückten Professor Drosten das Handwerk legen. Außerdem wird er Misstress Merkel, Wieler das Wiesel und Spahn das Ferkel aus ihren Posten bassen. Schließlich wird noch das Medienkartell aufgelöst und erwirkt, dass alle Menschen für immer in Freiheit leben können.
.org-Verkauf: Transparenz à la ICANN
Nach breiter Kritik am geplanten .org-Verkauf hat die ICANN nun Dokumente veröffentlicht, die Einblick in den Deal geben. Dabei tauchen neue Fragen nach den künftigen Eigentümern sowie deren Unternehmensstrukturen auf.
Breiter Widerstand gegen Verkauf der .org-Domain
Deutsches Unternehmen setzt US-Embargo gegen Venezuela um
Die deutsche Firma Sedo, ein international tätiger Domainhändler, hat am Dienstag sämtliche Konten venezolanischer Bürger und Unternehmen „mit sofortiger Wirkung“ geschlossen.
Kampf der Internetzensur!
Ein Jahr ist vergangen, und alle Behauptungen der WSWS haben sich trotz anfänglicher Leugnung durch die Technologiekonzerne als Tatsachen erwiesen. Google, Facebook und Twitter haben allesamt zugegeben, dass sie „vertrauenswürdige“ Medien bevorzugt und die Verbreitung von „alternativen“ Informationsquellen beschränkt haben. Facebook-Chef Mark Zuckerberg erklärte, sein Unternehmen bevorzuge Medien wie die New York Times und das Wall Street Journal und blockiere Websites, die zwar eine „starke Anhängerschaft haben“, aber angeblich „wenig Vertrauen außerhalb ihres Zielpublikums genieße
Manga-Piraterie: Japan fordert Blockade illegaler Webseiten
Internetprovider sollen in Japan den Zugriff auf illegale Manga-Webseiten sperren, zunächst freiwillig, ab 2019 vielleicht per Gesetz. Kritiker warnen vor verfassungswidrigem Vorgehen der Regierung und sehen Parallelen zum Stop Online Piracy Act der USA.