Hadmut Danisch

Ansichten eines Informatikers

Je kleiner…

Hadmut
9.7.2008 22:53

Ich wußt’s ja schon immer: Je kleiner, desto bissiger. Jau.

Mehr über die dubiosen Methoden der Ford-Bank

Hadmut
9.7.2008 18:00

Ich habe doch schon über die dubiosen Methoden von Ford bzw. der Ford-Bank berichtet (hier und hier), Weiterlesen »

Die Geldautomaten-Skimming-Angriffe werden besser

Hadmut
9.7.2008 16:11

Das LKA Sachsen schlägt laut Presse Alarm: Die Methoden des Abgreifens an Geldautomaten werden immer besser und ausgefeilter, siehe Sächsische Zeitung. Mittlerweile werden die so gut, daß man selbst als technisch gut orientierter Normalkunde kaum noch eine Chance hat, echte von falschen bzw. manipulierten Geldautomaten zu unterscheiden.

Wirft aber grundsätzlich die Sicherheitsfrage auf, wie man eigentlich Integrität, Authentizität und Vertraulichkeit einer Mensch-Maschine-Schnittstelle formuliert und gewährleistet.

DNS-Schwäche möglicherweise schwerer einzudämmen als gedacht

Hadmut
9.7.2008 16:02

Die Methode, die Schwäche von DNS-Servern zu bekämpfen, könnte sich möglicherweise als weniger effektiv herausstellen als angenommen. Meistens stehen DNS-Server nämlich hinter Firewalls, und manchmal unterliegen sie dabei NAT. Bei einem NAT vom LAN ins Internet, meist ein sog. “Hide NAT”, könnte die Verteilung der UDP-Source-Ports aber wesentlich geringer und vorhersagbarer ausfallen als bei der Randomisierung durch den Server. Könnte also gut sein, daß der Effekt dadurch teilweise oder ganz neutralisiert wird.

Firewall-Probleme nach DNS-Update

Hadmut
9.7.2008 12:36

Noch ein interessanter Nebeneffekt des DNS-Angriffs:

Durch die Aktualisierungen der DNS-Server als Schutz gegen den Angriff kommt es zu Änderungen in der Infrastruktur jedenfalls bei manchen DNS-Exemplaren. Die Anfragen zwischen DNS-Servern laufen nicht mehr von 53 an 53 sondern von einem zufälligen Port an 53 und damit erfolgt die Rückantwort auch nicht mehr an 53 sondern eben an den zufälligen Port, den der Server für die Anfrage gewählt hat. “After all, that’s the idea…”

Je nachdem, wie die Firewall-Regeln gestrickt sind, und ob sie stateful oder statisch sind, kann das dazu führen, daß DNS-Anfragen oder Antworten durch so manche Firewall nicht mehr durchgehen. Das wird ne Menge Spaß geben. Weil es aber auch ne ganze Menge Firmen gibt, in denen vor Jahren mal irgendein ehemaliger Mitarbeiter mal irgendwas zusammengebastelt hat, durch das keiner mehr durchblickt, könnte es durchaus sein, daß so mancher auf den Upgrade verzichtet.

Die Sache hat interessante Konsequenzen und wirft wieder einmal Fragen auf die Klassische Firewall-Doktrin.

Birthday-Attacke gegen DNS?

Hadmut
9.7.2008 11:06

Interessante Meldung, es gebe angeblich eine ernsthafe bedrohliche Schwäche im DNS und dessen meisten Implementierungen. Weiterlesen »

SAT.1: Richterin Barbara Salesch

Hadmut
9.7.2008 1:21

Gerade mal beim Zappen auf SAT.1 bei der Richterin Salesch gelandet. Ein unglaublicher Schwachsinn. Weiterlesen »