DNS-Exploits: der Super-GAU in Sicht?

[Paul_Kuhn]

Dank schmerzhafter Sehnenscheiden-Entzündung heute leider nur ein Link:
Guckst du hier

Für die Programmierer: hier

Ahoi!

 

[Quaderno]

Danke für die Info Dietmar, ich verfolge das auch schon eine Weile mit Sorge. Leider können die meisten Domainer dagegen selbst wenig unternehmen, zumindest jene die auf die Nutzung fremder Nameserver angewiesen sind müssen sich hier auf ihren Hostingpartner verlassen. Aber gerade im Hinblick auf Onlinebanking (oder auch Registrar-Accounts) ist das nicht gerade beruhigend...
Gruss,
Holger

P.S. Typo im Titel korrigiert
P.P.S. Gute Besserung!

 

[coder]

... Leider können die meisten Domainer dagegen selbst wenig unternehmen, zumindest jene die auf die Nutzung fremder Nameserver angewiesen sind müssen sich hier auf ihren Hostingpartner verlassen ...

Wenn man nicht gerade seine eigenen Nameserver verwaltet und natürlich absichert, sollte man seinen Hosting- oder Nameserver-Partner aber ruhig darauf hinweisen und nachfragen, ob die notwendigen Maßnahmen getroffen sind. Der Aufwand beim Nameserververwalter liegt unter 10 Minuten.

... Aber gerade im Hinblick auf Onlinebanking (oder auch Registrar-Accounts) ist das nicht gerade beruhigend ...

Dafür gibt es ja auch noch das SSL-Zertifikat. Wenn Zertifikat, Domain und IP nicht zueinander passen, sollte eigentlich eine Meldung vom Browser erscheinen. Wer beim Banking dann auf "OK" klickt ist selber schuld. Leider gab es erst kürzlich eine andere Sicherheitslücke in Bezug auf gesicherte Verbindungen (OpenSSL).

 

[brusau]

Bei den meisten Anbietern sind die Fehler schon behoben. Wenn nicht würde ich mir Gedanken machen.

Onlinebanking über Browser würde ich eh keinem raten. Da gibt es sichere Methoden.

Die letzte Sicherheitslücke betraf auch nicht den Enduser.


Somit erst mal Ruhe bewahren.

 

[coder]

... Die letzte Sicherheitslücke betraf auch nicht den Enduser...

Wie belieben? - Wenn wir vom gleichen Problem reden, dann betraf die Sicherheitslück selbstverständlich jeden Enduser, der sich auf eine gesicherte Verbindung (z.B. https ) beim Online-Banking oder anderem verlassen hat.

 

[Quaderno]

Bei den meisten Anbietern sind die Fehler schon behoben. Wenn nicht würde ich mir Gedanken machen.

(...)
Obwohl die Gefahr absehbar war, haben aber offenbar viele ISPs ihre Nameserver immer noch nicht gepatcht. Beispielsweise hat das österreichische CERT gestern einen Bericht veröffentlicht (PDF-Datei), wonach zwei Drittel der ISPs ihre rekursiv arbeitenden DNS-Server noch nicht auf den neuesten Stand gebracht haben. US-Medienberichten zufolge haben die großen US-Provider AT&T, BT und Time Warner sowie Bell Canada ihre Systeme ebenfalls noch nicht gesichert.
(...)

Dann würde ich sagen mach Dir mal Gedanken.
Gruss,
Holger

 

[phill4]

Onlinebanking über Browser würde ich eh keinem raten. Da gibt es sichere Methoden.

Hi,
wie ist denn die sicherere Methode?
Würde mich interessieren.

mfg
phil

 

[brusau]

Hi,
wie ist denn die sicherere Methode?
Würde mich interessieren.

mfg
phil

z.B. Starmoney mit Chipkartenleser

 

[brusau]

Dann würde ich sagen mach Dir mal Gedanken.
Gruss,
Holger

Keiner meiner Anbieter, sowohl Server als auch Domains, ISP hat das Update noch NICHT gemacht.

 

[brusau]

Wie belieben? - Wenn wir vom gleichen Problem reden, dann betraf die Sicherheitslück selbstverständlich jeden Enduser, der sich auf eine gesicherte Verbindung (z.B. https ) beim Online-Banking oder anderem verlassen hat.

Ja wir reden vom gleichen. Die meisten großen Systeme setzen in der Regel keine Debian bzw. Ableitungen hiervon ein.
Und das Onlinebanking ist auch ohne die Lücke über den Browser egal wie nicht zu empfehlen.

 

[domain-dealer]

z.B. Starmoney mit Chipkartenleser

sehe ich genauso, nutze ich seit 5 Jahren, noch nie Probleme.
Durch die doppelte Sicherheit (PIN und Magnetkarte) kann von außen kaum
jemand zugreifen, mir ist zumindest bisher kein solcher Fall bekannt.

LG
Tobi

 

[coder]

Ja wir reden vom gleichen. Die meisten großen Systeme setzen in der Regel keine Debian bzw. Ableitungen hiervon ein.
Und das Onlinebanking ist auch ohne die Lücke über den Browser egal wie nicht zu empfehlen.

Wobei ich nun wieder die Logik nicht verstehe: Wenn die meisten großen Systeme kein Debian einsetzen sind die Enduser nicht betroffen? - Das würde ja bedeuten, dass sich Enduser nur auf Websites großer Systeme aufhalten :flute:

Nebenher: Was benutzen denn die meisten großen Systeme? Suse?

Zumindest lächelt mir auf dresdner-privat.de, deutsche-bank.de und commerzbank.de ein Apache entgegen. Er könnte zwar auch unter Windows oder Mac-OS laufen, aber das werden die sich wohl nicht antuen. Jetzt dürfen wir raten, welche Linux-Distribution wohl dahinter steckt. Mal gut, dass sich Bundestag.de ehrlich mit "Microsoft-IIS/5.0" meldet. Dafür sieht z.B. paypal.de sehr stark nach Debian aus.

 

[Quaderno]

Ja wir reden vom gleichen. Die meisten großen Systeme setzen in der Regel keine Debian bzw. Ableitungen hiervon ein.

Ok, und was hat z.B. BIND mit Debian zu tun? Irgendwie kann ich Dir nicht folgen. Ich weiss auch nicht was es Dir bringt, die Risiken dieser Lücke herunterzuspielen, faktisch ist auch aktuell wahrscheinlich noch die Mehrheit der Internetnutzer gefährdet.
Zum Thema Onlinebanking: HBCI mag ein sicheres Verfahren sein, es spielt aber dennoch bei den allermeisten Nutzern keine Rolle. Daher muss auch der Standard (und das ist nunmal PIN und TAN) vor der Ausnutzung bekannter Lücken geschützt werden.
Wenn eine Bank weiss, dass Ihr System nicht sicher ist (oder ein ISP weiss das seine Kunden getäuscht werden können) und trotz vorliegender und einfach umzusetzender Lösung nichts unternommen wird dann kann ich das nicht mit dem Angebot eines völlig anderen Verfahrens entschuldigen. Abgesehen davon ist das Cache Poisoning ein globales Problem und ausser einigen ausgewählten Nutzern in einigen wenigen Staaten kennt kaum jemand HBCI. Hier in Irland wird das soweit ich weiss zum Beispiel von den Banken gar nicht angeboten.
Gruss,
Holger

 

[coder]

Ok, und was hat z.B. BIND mit Debian zu tun?

Das mit Debian bezog sich nicht auf das aktuelle Problem (DNS) sondern auf das im Mai erkannte Problem (Verschlüsselung durch OpenSSH unter Debian und Derivaten davon).

 

[Quaderno]

Das mit Debian bezog sich nicht auf das aktuelle Problem (DNS) sondern auf das im Mai erkannte Problem (Verschlüsselung durch OpenSSH unter Debian und Derivaten davon).

Ok, danke. Jetzt habe ich es verstanden.
Ich muss zugeben dass ich wie wahrscheinlich die meisten anderen User nicht wirklich ein gutes Gefühl bei der ganzen Geschichte habe. Ich würde mich auch ganz sicher nicht als DNS-Experten bezeichnen und bin daher mehr oder weniger darauf angewiesen, dass die Leute, die dafür ihr Geld bekommen auch ihre Arbeit ordentlich machen. Blöde Situation für das ganze Internet, wenn das Vertrauen in die Sicherheit schwindet ist das für uns alle schlecht, ob wir an der Problemlösung nun beteiligt sind oder nicht...
Gruss,
Holger

P.S. Mein Onlinebanking hier ist sicherer als HBCI. Ich muss bevor ich online eine Überweisung tätigen kann einen Datensatz für den Zahlungsempfänger anlegen. Dann bekomme ich per Post (richtig auf Papier vom Mann mit der Mütze gebracht) ein Schreiben mit einem Code, mit Hilfe dessen ich den Zahlungsempfänger freischalten kann. Erst dann geht das Geld raus. Selbst nach Verlust der PIN ist das Geld also sicher, es sei denn die Betrüger kommen irgendwie an meinen Hausbriefkasten. Dauert halt alles seine Zeit

 

[domain-dealer]

P.S. Mein Onlinebanking hier ist sicherer als HBCI. Ich muss bevor ich online eine Überweisung tätigen kann einen Datensatz für den Zahlungsempfänger anlegen. Dann bekomme ich per Post (richtig auf Papier vom Mann mit der Mütze gebracht) ein Schreiben mit einem Code, mit Hilfe dessen ich den Zahlungsempfänger freischalten kann. Erst dann geht das Geld raus. Selbst nach Verlust der PIN ist das Geld also sicher, es sei denn die Betrüger kommen irgendwie an meinen Hausbriefkasten. Dauert halt alles seine Zeit

Hmm, aber dann kann ich ja gleich zur Sparkasse fahren und die Überweisung dort am Schalter abgeben bzw. in Briefkasten schmeissen??
Also wenn ich erst nen Tag auf ein Schreiben warten muß, dann ist für mich
der Sinn von Onlinbanking (sofort Überweisung. schnell) nicht mehr gegeben.

Klang ja fast wie ein Scherz das mit dem Postboten

LG
Tobi

 

[domainhengst]

Jetzt macht euch mal wegen der DNS Sache nicht in die Hose. Der potentielle Exploit ist seit 2001 bekannt und auch im Netz publiziert. Jetzt hat halt irgendeine Security Agency das Ganze wieder aufgegriffen um neue Kunden zu sichern.

@coder der ssl Bug bei Debian ist natürlich peinlich und übel. Sicherlich deutlich schlimmer als der dns exploit.

 

[Quaderno]

Jetzt macht euch mal wegen der DNS Sache nicht in die Hose. Der potentielle Exploit ist seit 2001 bekannt und auch im Netz publiziert. Jetzt hat halt irgendeine Security Agency das Ganze wieder aufgegriffen um neue Kunden zu sichern.

Wie gefährlich das tatsächlich ist spielt eigentlich kaum eine Rolle, entscheidend ist wie die Situation von den Nutzern wahrgenommen wird. Egal ob man im Internet Waren anbietet, Inhalte produziert oder Domains handelt - der mögliche wirtschaftliche Erfolg hängt sehr direkt davon ab wieviel Geld von anderen Nutzern über das Medium Internet ausgegeben wird. Steigt die Unsicherheit sinkt der Umsatz. Darum muss schnell und professionell reagiert werden wenn so eine Geschichte sich anbahnt, egal aus welcher Richtung sie kommt. Bagatellisieren hat da meist eher den gegenteiligen Effekt.
Gruss,
Holger