Internet Gift im NetzSeite 3/3
Allerdings – und hier setzten die Warnungen des Sicherheitsspezialisten Dan Kaminsky an, sind Computer überaus schlecht darin zu raten. Dafür wurden sie nicht erfunden. "Echten" Zufall zu berechnen, ist für sie eine sehr schwierige Aufgabe. Denn jede Formel, die Zahlen produziert, bleibt eine Formel. Und wie jeder in der Schule lernt, dienen Formeln dazu, Ergebnisse nachvollziehbar zu berechnen.
Die Kaminsky-Lücke: Schon kleine Fehler können dazu dienen, dass ein eventueller Fälscher von DNS-Antworten gar nicht mehr alle – in diesem Fall - 16-stelligen Zufallszahlen berücksichtigen muss. Damit ist das DNS-System nicht nur theoretisch, sondern ganz praktisch anfällig.
Die Folgen einer erfolgreichen Telefonbuchattacke wären möglicherweise fatal. Zumindest nervenaufreibend zu nutzen oder sogar unbenutzbar würde das Internet, wenn man ständig in die Irre geleitet würde. Es ginge nicht nur um Kettenbriefe und Virenvermehrung oder die Möglichkeit zum Betrug. Wettbewerbern oder ganzen Nationen könnte schwerer wirtschaftlicher Schaden zugefügt werden. Die Lust am Stören wird gerade im Internet schnell zur Lust am Zerstören.
Für das Problem gäbe es eine Lösung, nämlich DNSSEC, ein Kryptosystem, das sicher verhindert, dass DNS-Nachrichten auf dem Transportweg verfälscht wurden. Allerdings ist das weltweite Interesse an DNSSEC relativ gering. Die Liste der Länder, die die Vorbereitungen für die Einführungen abgeschlossen haben, ist kurz: Brasilien, Schweden, Bulgarien, Puerto Rico und die Midway-Inseln. Vorbereitende Tests für die Einführung finden in Mexiko, Taiwan, Japan, Russland, dem Vereinigten Königreich und in Frankreich statt. In Deutschland ist nur die Firma IKS Jena mit einem inoffiziellen Projekt registriert.
Die weltweite Einführung von DNSSEC ist keineswegs sicher, die Debatte über Notwendigkeit und Kosten/Nutzen-Relation ist schon alt. Immerhin wurde sie durch die aktuelle Sicherheitslücke wieder mal angeheizt.
- Datum 25.07.2008 - 19:03 Uhr
- Seite 1 | 2 | 3 | Auf einer Seite lesen
- Quelle ZEIT online
- Kommentare 9
- Versenden E-Mail verschicken
- Empfehlen Facebook, Twitter, Google+
- Artikel Drucken Druckversion | PDF
-
Artikel-Tools präsentiert von:
war das wieder informativ .... und wer in teufels namen hat das patent an DNSSEC ?? ... ne spaas bei seite hier sind die sicherheitsrisiken von dnssec aufgelistet : das net wird immer nur so sicher sein wie die realitaet : gar nicht.
Hi,das sollte eigentlich so etwas meine Botschaft sein. Sicherheitsloecher wird es immer geben, und sie werden auch gestopft werden und das ist sinnvoll. Das gab es immer und das wird es immer geben. Es gibt auch Tuerschloesser, die leichter knackbar sind als andere. Und viele geben dem Kellner im Restaurant auch ihre Kreditkarte mit und "vertrauen" ihm, wenn er damit zur Kasse geht. Ans Internet wird (manchmal) etwas unrealistische Anforderungen erhoben, die die selben Leute in der physikalischen Welt nicht erheben.Aber es gibt auch welche, die sagen das Internet ist sicher. Das ist aber falsch. Die urspruenglich gemachte Grundidee des Internets, steckt heute noch in allen zentralen Komponenten. Auch DNSSEC wird nur ein Teil der Probleme kaschieren, vielleicht paar wenige loesen, mehr aber auch nicht.Das Internet wird nie sicher sein, dazu muesste man alles wegwerfen und neu machen. Und das dauert Jahrzehnte. Man muss halt eben auch mal sagen "Die Nutzung des Internets ist mit Risiken verbunden, wobei ein Restrisiko systembedingt bleiben wird". :-)Terra
Das in etwa wollte ich auch schreiben.Eine Formulierung ist mir im Text besonders aufgestossen: "Die Folgen der naiven und hemdsärmeligen Konstruktion des Internets [...]".Erst einmal ist das Internet nie konstruiert worden. Es hat nie einen Zeitpunkt gegeben, zu dem sich jemand hingesetzt hat und sich vorgenommen hat "ich erfinde nun das Internet". Insfern finde ich es auch nicht angemessen, über eine Konstruktion zu urteilen.Insbesondere wenn man das Wachstum des Internets betrachtet, ist es zweifelsfrei ein erstaunlicher Komplex geworden. Und wer es als aufgeklärter und sicherheitsbewusster Mensch nutzt, muss keine Bedenken haben.Wie wärs mal mit einem langen Artikel zur Geschichte des Internets?
Das in etwa wollte ich auch schreiben.Eine Formulierung ist mir im Text besonders aufgestossen: "Die Folgen der naiven und hemdsärmeligen Konstruktion des Internets [...]".Erst einmal ist das Internet nie konstruiert worden. Es hat nie einen Zeitpunkt gegeben, zu dem sich jemand hingesetzt hat und sich vorgenommen hat "ich erfinde nun das Internet". Insfern finde ich es auch nicht angemessen, über eine Konstruktion zu urteilen.Insbesondere wenn man das Wachstum des Internets betrachtet, ist es zweifelsfrei ein erstaunlicher Komplex geworden. Und wer es als aufgeklärter und sicherheitsbewusster Mensch nutzt, muss keine Bedenken haben.Wie wärs mal mit einem langen Artikel zur Geschichte des Internets?
Leider sind die Zufallszahlen die in DNS-Requests benutzt werden nicht 16-stellig sondern haben 16 Bit. Das sind maximal 5 Ziffern. Die Patches fuer das aktuelle Problem sorgen dafuer, das der Source-Port der DNS-Requests nicht immer der gleiche ist sondern auch zufaellig. Damit erreicht man dann zusammen mit der Zufallszahl im Request ungefaehr 32 Bit, was aber immer noch keine 16 Dezimalstellen sind (hoechstens 10).
Im Text wird nich gesagt, das es sich um Stellen im Dezimalsystem handelt, und Bit ist die Abkuerzung fuer "binary digit" - 16 Bit = 16 stellige binaere Zahl.
Im Text wird nich gesagt, das es sich um Stellen im Dezimalsystem handelt, und Bit ist die Abkuerzung fuer "binary digit" - 16 Bit = 16 stellige binaere Zahl.
Das in etwa wollte ich auch schreiben.Eine Formulierung ist mir im Text besonders aufgestossen: "Die Folgen der naiven und hemdsärmeligen Konstruktion des Internets [...]".Erst einmal ist das Internet nie konstruiert worden. Es hat nie einen Zeitpunkt gegeben, zu dem sich jemand hingesetzt hat und sich vorgenommen hat "ich erfinde nun das Internet". Insfern finde ich es auch nicht angemessen, über eine Konstruktion zu urteilen.Insbesondere wenn man das Wachstum des Internets betrachtet, ist es zweifelsfrei ein erstaunlicher Komplex geworden. Und wer es als aufgeklärter und sicherheitsbewusster Mensch nutzt, muss keine Bedenken haben.Wie wärs mal mit einem langen Artikel zur Geschichte des Internets?
Es ist müssig, über Sicherheit des Internets zu sprechen. Internet kann genauso wenig "sicher" sein wie Wasser "sicher" ist und Luft "sicher " ist.Wenn Internet als Transportmittel gesehen wird, benötigt es selber keine Sicherheit. Sicherheit können nur Methoden bringen, die abgestuft nach gewünschtem Sicherheitslevel entsprechend eingesetzt werden.Diese Methoden erfordern nur entsprechenden Aufwand, was vom Anwender manchmal als recht lästig angesehen wird.
Im Text wird nich gesagt, das es sich um Stellen im Dezimalsystem handelt, und Bit ist die Abkuerzung fuer "binary digit" - 16 Bit = 16 stellige binaere Zahl.
Hallo liebe Zeit Ganz so schlimm ist das mit dem Internet nun auch nicht. Bei RFC1149 empfiehlt sich vorher ein Blick auf das Datum ;-)http://www.ietf.org/rfc/r...
Wie wärs, wenn Sie sich über Dinge auslassen, von denen Sie auch was verstehen? Dieses Thema jedenfalls bleibt Ihnen offenkundig verschlossen.Das RFC-System wurde so genannt aus Respekt vor den damaligen Proofessoren, weil die der Materie ebenso fremd waren wie Sie es sind. Seit 1976 FreeBSD 1.0 als erstes UNIX mit integriertem TCP/IP-Stack das Licht der Welt erblickte, war die Entwicklung des Internets eine Angelegenheit von Studenten und nicht von Professoren. Also mussten die Normen entsprechend "studentisch" benannt und verbreitet werden. Deshalb also Request for Comments. Das RFC-System ist die Normengrundlage für die gesamte OpenSource-Community und es funktioniert ohne einen bürokratischen Wasserkopf Brüsseler Ausmasses.Ansonsten: Die Lösung des Problems mit DNS und IP-Räumen ist vorhanden, implementiert und bekannt. Jetzt käme der schwierigste Teil: Die politische Durchsetzung von IPv6 auf europäischer Ebene. Da bewegt sich zwar was - aber das kann man von der Kontinentaldrift auch sagen.Übrigens weiss wirklich jeder erstzunehmende ITler, dass der Brieftauben-RFC ein Aprlscherz war...Alles, was gesagt werden kann, kann klar gesagt werden -
Ludwig Wittgenstein
Bitte melden Sie sich an, um zu kommentieren