Für alle, die es noch mitbekommen haben: Die ISC Jungs haben in Bind9 Riesen Blödsinn im Zufallszahlengenerator gebaut:
Heise beschreibt das ganz (http://www.heise.de/newsticker/meldung/93350) gut.
Von dem eigentlich 16 Bit langen Zufallswert mit seinen mehr als 65000 Möglichkeiten bleiben nur noch rund drei Bit Zufall, nämlich 10 Möglichkeiten, übrig.
10 statt 65000 Moeglichkeiten. Man nimmt einfach eine und ist. Dann schnappt man sich die DNS Server grosser Provider und leitet einfach ebay.de auf seinen eigenen Server um. Das klappt auch ganz toll, da die meisten DNS Server rekursive Querys ja auch von überall beantworten. Warscheinlich wird auch bald ändern …
Aber bis die Server geupdatet worden sind, müssen wir wohl mit falsch geleiteten User und vor allem auch mit abfangenen Mails rechnen.
Aber DNSSec kommt ja nicht vorran, weil die Amis ihre Kontrolle über das DNS nicht aufgeben wollen.
Aber nach 202c StGB gar man ja kein Tool entwickeln, welches testet, ob der eigene DNS Server verwundbar ist. Aber wenn man dann doch eins entwickelt um es mal zu testen, kann es auch gleich fuer Geld an die boesen Phisher/Pharmer/Dektektive weitergeben.
Und der ehrliche gesetzestreue Admin kann dem ganzen nur hilflos zuschauen…
0 Antworten to “Bind 9 – Sagt hallo zum Cache Poisining”