Fotolia, Nikolay Okhitin
25c3: DNS soll sicherer werden
 "Fotolia, Nikolay Okhitin")
DNSSEC gefordert
Der Vortrag, den der Berliner Hackertreff seit Jahren als eine Art Institution zelebriert, zog erneut Massen von Besuchern an, so dass Gänge und Reihen des größten Saales im Berliner Congress Center wie eine Eröffnungsvorlesung der Wirtschaftswissenschaften in Boomjahren gefüllt waren. Zur DNS-Schwachstelle selbst breitete sich Kaminsky weniger aus, erklärte allerdings den Ablauf einer Bekanntgabe: Mit Hilfe von Internet-Urgestein Paul Vixie versammelte er rund 15 DNS-Experten von führenden Softwareanbietern in einem Sitzungssaal bei Microsoft und diskutierte mit ihnen die Auswirkungen. Wichtig war der Gruppe die Einfachheit der Lösung, um hohe Akzeptanz unter Systemverwaltern zu erzielen. Ändere sich etwa die Semantik des DNS auch nur minimal, so dass auch nur ein Prozent der Hostnamen sich nicht mehr auflösen ließen, so würden Admins den Patch nicht einspielen. Typisch sei, dass sie einige Wochen nach Bekanntwerden einer Schwachstelle die Hälfte alle Systeme gepatcht hätten. Im Fall der DNS-Verwundbarkeit wurden 75 Prozent erreicht, erklärte Kaminsky sichtlich stolz.
Rückblickend bezeichnete der Amerikaner 2008 als "kein gutes Jahr für Authentifizierung". Zu viele Schwachstellen habe es gegeben, die darauf beruhen, dass Systeme unzulänglich geprüft haben, ob Anfragen berechtigt seien. DNS sei bei vielen dieser Probleme direkt oder indirekt beteiligt, da viele andere Internetdienste wie E-Mail und das World-Wide-Web ebenfalls darauf basieren. Zudem nutzen immer mehr Anwendungen DNS um Federation zu betreiben. Das bedeutet in diesem Kontext, dezentrale Daten durch unterschiedliche Autoritäten zu verwalten. Als Beispiele nannte Kaminsky IPSec-Schlüssel, Antispam-Blacklisten oder Telefonnummern für VoIP. Dafür sei DNS ursprünglich nicht konzipiert.
Patentlösungen hatte der Referent, der über weite Strecken wie ein Entertainer auftrat, indes nicht anzubieten. DNSSEC sei zwar unelegant, aber wäre wohl letztlich doch Teil der Lösung, orakelte er. Der in Entwicklerkreisen zwar einerseits für seinen weitgehend fehlerfreien Code bekannte, aber für seine Release-Politik gefürchtete Daniel J. Bernstein hatte ein eigenes Konzept DNSCurve vorgelegt. Kaminsky sieht jedoch in dem Verfahren noch Probleme, weil es bei jeder Anfrage seiner Meinung nach zu umfangreiche kryptographische Operationen ausführen müsse. Kaminsky zweifelte, dass stark frequentierte Nameserver mit dieser Last zurechtkämen.
So bleibt abzuwarten, ob in absehbarer Zeit das bereits mehrfach angekündigte "Ende des Internet, so wie wir es kennen", tatsächlich eintritt.
Einem Freund empfehlen
