5. September 2018 Michael Cooney* und Claudia Rummel

Was passiert, wenn das Internet ein großes Sicherheitsupdate bekommt?

Weitere Sicherheitschlüssel zum Schutz des Domain Name Systems (DNS), sind einsatzbereit. Allerdings könnte dies für Nutzer von DNS Servern, die noch nicht aufgerüstet haben, negativ enden. [...]

Ob das neue Sicherheitsupdate, das ICANN bereits 2017 versprochen hat tatsächlich kommt, steht noch in den Sternen. Was Sie machen können um sich und Ihren Computer auf das was kommt vorzubereiten erfahren Sie hier. (c) Pixabay
Im Jahr 2016 gab es jeden Tag über 4.000 Ransomware-Angriffe.

Egal ob wir bereit dafür sind oder nicht, das Upgrade zur Sicherheit des Internets könnte bald online gehen. In der Woche vom 17. September trifft sich die „Internet Corporation for Assigned Names and Numbers“ (ICANN) und entscheidet ob das mehrjährige Projekt des Sicherheitsupgrades für das Internet ein grünes Licht bekommt. Im Speziellen geht es um die zwei wichtigsten kryptographischen Schlüssel, auch bekannt als der Key Signing Keys (KSK) der Kernzone, die die wichtigsten Server des Internets sichert.

„Das Ändern dieser Schlüssel macht sie stärker und ist deswegen ein essenzieller Schritt in Richtung Sicherheit. Genau wie auch ein User regelmäßig seine Passwörter ändern sollte“, so ICANN. Das Update soll gegen Hacker vorbeugen, die zum Beispiel eine Sitzung übernehmen und den User auf eine Seite lotsen, auf der persönliche Informationen gestohlen werden.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren

Der Übergang vom KSK 2010 zum KSK 2017 hätte eigentlich schon vor einem Jahr stattfinden sollten. Bedenken, das für viele Nutzer Verbindungsprobleme auftreten könnten, wurde der Launch auf den 11. Oktober 2018 verschoben.

Der Übergang zum neuen KSK bedeutet, ein neues kryptografisch öffentliches und privates Keymanagement. Der öffentliche Anteil wird hier an Parteien weitergegeben, die mit bestätigten Resolvern zusammenarbeiten. Diese Resolver nutzen Software, die Webseitennamen wie itwelt.at in numerische IP Adressen umwandelt.

Sowohl Internetanbieter werden dieses Service anbieten, als auch Netzwerkadministratoren in Firmen und andere DNS Resolver. DNS Resolver Softwareentwickler, System Integratoren und Hardware und Software Vertreiber.

Weitere Infos: Root Zone KSK Rollover

ICANN erwartet minimale Auswirkungen für User. Trotzdem wird es eine kleine Anzahl an Nutzern geben, die Probleme haben werden Domain Namen in IP Adressen umzuwandeln. Das bedeutet es gibt Probleme die gewünschte Onlinedestination zu erreichen.

Das Problem ist nicht weitverbreitet, bietet aber trotzdem Grund zur Sorge. „Momentan gibt es eine kleine Anzahl an Sicherheitserweiterungen des DNS, deren Resolver inkorrekt arbeiten. Manche User die auf diese Resolver vertrauen werden sehr wahrscheinlich Probleme haben.“, schreibt ICANN vor kurzen in einem Statement.

Verisign gab vor kurzem bekannt, dass sie seit Anfang des Jahres Betreiber rekursiver Server kontaktierten, wenn diese nur den alten Basisschlüssel angaben. In vielen Fällen konnte keinem eine Verantwortung zugeordnet werden. Dies liegt an der Vielzahl von Anhängern der In-System Programmierung. (ISP) Ende letzten Jahres erhielt ICANN Basisschlüssel die Daten von weiteren Kernserveranbietern signalisieren, sowie Daten von rekursiven Name Servers als die rekursiven Name Server Updates zu Software erhielten, die diese Signale lieferten. Heute hält sich die Zahl von Reporten, das der 2010er Basisschlüssel genutzt wird, bei 7 Prozent.

Was sollten Firmen und andere vom Übergang erwarten, sollte er tatsächlich stattfinden? ICANN sagt, dass User die mit einem Resolver mit dem neuen KSK oder einem Resolver der keine DNSSEC Validierung stattgibt arbeiten werden keinen Einfluss merken. Datenanalysen zeigen, dass mehr als 99 Prozent aller User deren Resolver gültig ist unbeeinträchtigt vom KSK Übergang sein werden.

Firmen sollten bereits ein Softwareupdate durchgeführt haben, dass automatisch die Schlüssel welchselt oder den Schlüssel schon manuell installiert haben. Sollten sie automatische Updates ausgeschalten haben, müssen sie dies vor dem 10. September ändern oder der Update Mechanismus wird nicht korrekt und zeitgerecht zum Übergang gestartet, so Paul Hoffman, Cheftechnologe bei ICANN.

„Nehmen Sie zur Kenntnis, dass sie das Update durchführen sollen egal ob der Übergang am 11. Oktober stattfinden wird oder nicht“, sagt Hoffman. „Der neue Schlüssel ist bereits Teil der vertrauenswürdigen Schlüssel im Kernsystem, darum sollte er auch ein Basisschlüssel für alle werden.“

Ein vor kurzem erschienener ICANN Artikel mit dem englischen Titel „What To Expect During the Root KSK Rollover“ listet die spezifischen Bedenken auf:

  • Wenn keiner der Resolver eines Users das neue KSK in ihrer Basisschlüssel Konfiguration habt, wird der User Probleme in der Namensauflösung haben. (typischerweise „Server Error“) Diese treten meist innerhalb der ersten 48 Stunden auf. Es ist unmöglich vorherzugehen wann Anbieter betroffener Resolver bemerken, dass die Validierung für sie nicht funktioniert.
  • Wenn dieser Defekt auftritt und der User hat, wie meistens üblich, mehrere Resolver konfiguriert, wird die System Software die anderen Resolver, die der User konfiguriert hat, ausprobieren. Das kann die DNS Auflösung entschleunigen, da das System immer wieder den Resolver ausprobiert, der nicht funktioniert, bis es zu Resolvern switched die vorbereitet sind. Der User erhält weiterhin DNS Auflösung und bemerkt den Geschwindigkeitsverlust gar nicht.
  • Wenn keine der Resolver eines Users auf den Übergang vorbereitet wurden (wenn alle Resolver zum Beispiel von einer Organisation gemanaged werden und diese keine Vorbereitungen getroffen haben) wird der User Störungen innerhalb der erste 48 Stunden nach dem Übergang bemerken.
  • User werden unterschiedliche Systeme erkennen, die eine Störung oder Komplettversagen anzeigen. Dies hängt vom laufenden Programm an und wie dieses auf DNS Störungen reagieren. Bei Browsern wird es so sein, dass Webseiten nicht verfügbar sein werden (Auch möglich ist es, dass Bilder auf einer bereits angezeigten Webseite nicht angezeigt werden.) In Email Programmen kann es sein, dass der User keine neuen Emails mehr erhalten kann, oder Teile von Nachrichten werden fehlerhaft oder gar nicht angezeigt. Die Störungen häufen sich, bis kein Programm mehr fähig ist neue Informationen vom Internet anzuzeigen.
  • Sobald Anbieter erkennen, das ihre Resolver DNSSEC Validierung nicht funktioniert, sollten sie diese Konfiguration temporär ausschalten. So sollte das Problem momentan behoben sein.
  • Danach sollte der Anbieter den KSK 2017 so bald wie möglich als Basisschlüssel installieren und die DNSSEC Validierung wieder einschalten. ICANN.org bietet Anleitungen um Basisschlüssel für allgemeine Resolver Software upzudaten.

„Die Schlüssel Übergabe ist keine neue Technologie. Eigentlich wussten wir schon beim ersten KSK, den wir 2010 in der Kernzone hinzugefügt haben, dass wir ihn eines Tages verändern müssen.“, so Hoffman. „Mit dem Übergang machen wir das DNS robuster und ebnen zusätzlich den Weg für weitere Übergaben, für wenn sie in der Zukunft gebraucht werden.“

 

*Michael Cooney schreibt für Network World.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

5. November 2024 Christof Baumgartner

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

5. November 2024

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

5. November 2024 Jiannis Papadakis *

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

5. November 2024

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*