Ich bin in Saal 1 sitzen geblieben, weil sonst nirgendwo Plätze zu kriegen sind. Jetzt muss ich mir leider den DNS-Vortrag von Dan Kaminsky antun. Ich halte den ja für etwas überschätzt.
Die von Dan vorgestellte Agenda lässt meine schlimmsten Befürchtungen wahr werden. Es geht um die DNS-Lücke die er so toll konspirativ gehandhabt hat. Der halbe Vortrag dreht sich also um die Ursachen und theoretischen Folgen der DNS-Geschichte und darum, wie toll Dan ist. Egal. Betrachten wir es wie Hollywood: die Show ist sehr gut.
Entdeckt hat die Lücke im Grunde schon 1999 Daniel Bernstein. Aber 99 hat sich halt noch keiner darum gekümmert. Erst neun Jahre später wurden die Angriffe aktuell.
Dan wirft jedenfalls kräftig mit Screenshots und dicht beschriebenen Slides um sich, mit denen er einen Angriff demonstriert. Das sieht recht locker aus, in der Praxis handelt es sich aber um einen harten Brute Force Angriff auf eine 16-Bit Transaction ID und die muss halt erst einmal erraten werden. Das kann man natürlich automatisieren aber das kann auch mal eine ganze Weile dauern. Dan kommentiert das zusätzlich auf seine lockere Art, darum wirkt das recht einfach und sehr lustig. Aber so schnell kann man die Präsentationsfolien nicht lesen. Entweder man sieht sich das im Stream nochmal an oder wartet ob die Slides veröffentlicht werden.
Zum Ende kommt dann die große Politik. Was braucht es, um DNS fit für das aktuelle Jahrtausend zu machen. Für Dan ist DNSSEC die Lösung. Alternative Ansätze wie DNSCurve von Bernstein werden erst abgekanzelt bevor Dan sich zu konkreter Kritik (insbesondere zu hohe CPU-Anforderungen durch die Crypto) herablässt.
Das Kernproblem bleibt jedoch … DNS ist die einzige global verteilte Infrastruktur, sie wird für alle möglichen Anwendungen inkl. Sicherheitsfunktionen und Authentisierung verwendet und eine Lösung für Secure DNS ist nicht in Sicht. Trotz aller Aufrufe von Dan Kaminsky.
Kommentare gesperrt wegen Spam
Comment by Christian — 31. Januar 2009 @ 14:45