Paul Mockapetris hat ISPs aufgefordert, die Sicherheit des Domain Name Systems zu erhöhen, nachdem ein grundlegender Fehler aufgedeckt wurde
Der Autor der Domain Name System-Architektur hat Internetdienstanbieter aufgefordert, diese in ihren Netzwerken zu sichern.
Nach der Veröffentlichung von a grundlegender Fehler im Domain Name System (DNS) des Sicherheitsforschers Dan Kaminsky sagte DNS-Erfinder Paul Mockapetris am Donnerstag gegenüber ZDNet.co.uk, dass Internetdienstanbieter (ISPs) „Maßnahmen ergreifen“ und „DNS mehr Sicherheit hinzufügen“ sollten.
Mockapetris sagte, als er und sein Team 1983 DNS entwickelten, hätten sie einen „grundlegenden Fehler“ begangen, indem sie von Anfang an mehr Wert auf die Einführung von DNS gelegt hätten, als auf den Aufbau von Sicherheit. „Die Zeiten haben sich geändert“, sagte Mockapetris. „Ursprünglich war keine Sicherheit eingebaut. Es war eine einfachere Zeit.
Der DNS-Autor sagte, die Leute hätten Transaktionskennungen verwendet, die nicht als Sicherheitsmechanismus zum Schutz vor Angriffen gedacht seien. Mockapetris fügte hinzu, dass der DNS-Fehler von Dan Kaminsky eine Variante von Angriffen sei, die es schon seit Jahren gebe.
„Der Angriff war eine neue virulente Variante eines alten Angriffs; es wirkt schneller“, sagte Mockapetris. „Dan [Kaminsky] hat schneller angegriffen. Wenn die Leute bei der Reinigung ihrer Caches gewissenhafter wären, könnte der Angriff abgeschwächt werden.
Laut Mockapetris nutzten viele Anbieter die Port-Randomisierung, um die Auswirkungen von Kaminskys Fehler abzumildern. „Randomisierung ist immer noch eine probabilistische Verteidigung“, sagte er. „Eine einfache Erklärung ist, dass es so ist, als würde man russisches Roulette spielen. Wir müssen einen Weg finden, die Kugel aus der Waffe zu entfernen.
Wann Kaminskys Fehler wurde letzte Woche aufgedeckt, sagte der Sicherheitsexperte der Universität Cambridge, Richard Clayton, gegenüber ZDNet.co.uk, dass eine Möglichkeit, die Situation zu „reparieren“, darin bestehe, dass die Leute damit anfangen Verwenden des verschlüsselten DNSSEC-Protokolls – aber sie müssten sowohl technische als auch politische Probleme überwinden, um diese Lösung zu finden arbeiten.
„Nicht jeder ist bereit für DNSSEC“, sagte Clayton. „DNSSEC ist mit einem kryptografischen Schlüssel signiert, was großartig ist. Beispielsweise gibt .com den Signaturschlüssel für .co.uk an. Die Frage ist: Wer baut die Vertrauenskette auf? Die amerikanische Regierung ist der Meinung, dass dies der Fall sein sollte, aber die chinesische Regierung ist anderer Meinung.“
Mockapetris stimmte zu, dass DNSSEC „nicht die einfachste Implementierung“ sei. „DNSSEC bietet zwar Sicherheit, aber die Verwaltung ist noch nicht geklärt“, sagte er.
Nominet, die britische Registrierungsstelle, die letztendlich für die Signatur der Route für DNSSEC für die .uk-Domain verantwortlich ist, teilte ZDNet.co.uk mit, dass es über die Technologie verfüge und auf eine Lösung des politischen Problems hinarbeite Probleme.
„Auf der politischen Seite ist die Unterzeichnung der Route das zentrale Thema“, sagte Emily Taylor, Direktorin für Recht und Politik bei Nominet. „Man betritt sehr schnell politisches Terrain. Ehrlich gesagt geht es hier um die Aktualisierung der Route durch die Internet Assigned Numbers Authority [IANA] und darum, wer für die Erstellung und Wartung der Route verantwortlich sein sollte.“
Taylor sagte, dass die Implementierung von DNSSEC die Zusammenarbeit mehrerer Parteien erfordern würde.
„Das ist eindeutig eine Debatte, die geführt werden muss“, sagte Taylor. „Es bedarf einer Einigung über die Unterzeichnung der Route und deren Umsetzung, dann würden die Registraturen ihre eigenen Zonen unterzeichnen.“