1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › DNS-over-HTTPS: Deutsche Provider…

DoH ist angreifbar

  1. Thema

Neues Thema Ansicht wechseln


  1. DoH ist angreifbar

    Autor: 1st1 30.10.19 - 09:26

    Sicher, die DoH Kommunikation selbst ist verschlüsselt, das ist ja Ziel des Ganzen. Aber Der DoH Server ist im Browser als eine ganz normale Full Qualified Domain Name URL eingetragen. Das heißt, damit der Browser DoH nutzen kann, muss er initial eine DNS-Abfrage machen. Und an der Sicherheit von DNS hat sich durch DoH letztendlich nichts geändert. Wenn ich den DNS manipulieren kann, der benötigt wird, um den DoH aufzulösen, kann ich die DoH Anfragen an beliebige andere Server umleiten. Evtl. gelibgt es einer Schdasoftware auch, den unter about:config im Firefox abgelegten DoH-Server zu manipulieren.

    Wenn es mir dann auf solchen Wegen gelingt, DoH Abfragen auf einen eigenen DoH-Server umzuleiten, habe ich natürlich noch weitere Schwierigkeiten, die es zu überwinden gillt. Ähnlich wie manche kommerzielle Proxys es mit HTTPS allgemein machen, düfte es möglich sein, die HTTPS-Verschüsselung aufzubrechen und die Antwort an den Client mit einem eigenen Zertifikat zu beantworten. Anfragen die mich nicht interessieren, leite ich an den originalen DoH-Server weiter und reiche das Ergebnis unverändert mit allen Zertifikaten durch, und was ich abfangen will, ersetze ich durch Antworten mit eigenem Zertifikat, um es auf einen eigenen bösen Server umzuleiten. Bei normalen HTTP-Seiten würde das nicht mal auffallen. Bei HTTPS-Seiten gäbs dann zwar ein Zertifikatsproblem, aber auf die Warnung achtet nicht jeder Benutzer. Und wenn man noch einen Zertifikatsdienstleister hat, der einem fremde Zertifikate ausstellt, sowhol für den umgeleiteten DoH-Server, als auch den eigentlichen Zielserver, so wie es einst Symantec irrtümlich passierte, oder wer es schafft bei so einem Anbieter einzubrechen, wie es einst bei Comodo passierte, oder wem es gelingt, die privaten Keys von interessanten Zielservern abzugreifen, ist man der Gewinner.

  2. Re: DoH ist angreifbar

    Autor: Port80 30.10.19 - 11:49

    Das ist auf vielen Ebenen falsch

    1. Ich hab bisher nur gesehen, dass DoH-Anbieter eine IPv4 rausgeben, also nix mit nochmals über DNS auflösen

    2. Nutzt DoH HTTPS. Und du kannst nicht einfach so mal kurz HTTPS brechen und was eigenes einschleußen. Bzw. wenn du das kannst, ist das deine Bewerbung für eine sehr gut bezahlte Stelle bei der NSA

    3. Das Großteil des Web ist HTTPS. Und der Benutzer achtet auf die Warnung, weil einem der Browser auf dem ganzen Bildschirm mitteilt, dass etwas nicht stimmt. Und ich denke, dass ein Großteil der Nutzer auch nicht spontan diesen Warnbildschirm deaktivieren können

  3. Re: DoH ist angreifbar

    Autor: 1st1 30.10.19 - 13:35

    Zu 1.

    Mach mal about:config im Firefox auf und schau nach. Bei mir steht da folgendes in der Variable network.trr.resolvers drin:

    [{ "name": "Cloudflare", "url": "https://mozilla.cloudflare-dns.com/dns-query" }]

    Das ist sicher keine IP. Das muss erstmal mit dem unsicheren DNS aufgelöst werden.

    Alles weitere ergibt sich daraus.



    1 mal bearbeitet, zuletzt am 30.10.19 13:35 durch 1st1.

  4. Re: DoH ist angreifbar

    Autor: Xar 30.10.19 - 15:18

    1st1 schrieb:
    --------------------------------------------------------------------------------
    > Alles weitere ergibt sich daraus.


    Und dieses "alles weitere" ist, dass in Zukunft auch die Bootstrap Adresse ausgefüllt sein sollte.

  5. Re: DoH ist angreifbar

    Autor: robinx999 31.10.19 - 07:22

    1st1 schrieb:
    --------------------------------------------------------------------------------
    > Sicher, die DoH Kommunikation selbst ist verschlüsselt, das ist ja Ziel des
    > Ganzen. Aber Der DoH Server ist im Browser als eine ganz normale Full
    > Qualified Domain Name URL eingetragen. Das heißt, damit der Browser DoH
    > nutzen kann, muss er initial eine DNS-Abfrage machen. Und an der Sicherheit
    > von DNS hat sich durch DoH letztendlich nichts geändert. Wenn ich den DNS
    > manipulieren kann, der benötigt wird, um den DoH aufzulösen, kann ich die
    > DoH Anfragen an beliebige andere Server umleiten. Evtl. gelibgt es einer
    > Schdasoftware auch, den unter about:config im Firefox abgelegten DoH-Server
    > zu manipulieren.
    >
    Klappt aber nur wenn es auch gelingt ein passendes Zertifikat zu haben
    Aktuell sind folgende Domains für DoH Server bekannt https://de.wikipedia.org/wiki/DNS_over_HTTPS
    Hier müsste man also z.B.: den normalen DNS umbiegen und noch zusätzlich ein Zertifikat im Browser installieren oder alternativ eine vertrauenswürdigen Zertifzierungsstelle dazu zu bringen ein passendes Zertifikat auszustellen. Bei dem installieren des Zertifikates wird es außerhalb von Firmen Netzen schwierig, bzw. man könnte vermutlich jeden belibigen Trojaner installieren. Zertifizierungsstellen ja da gibt es immer wieder Skandale, aber sobald so etwas bekannt wird fliegt eine derartige Zertifizierungsstelle aus den Listen bzw. es wird gefordert für die Zukunft alle Zertifikate zu veröffentlichen (kryptographisch gesichert) so dass es auffällt wenn für eine der bekannten Domains ein Zertifikat erstellt wird

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Süwag Energie AG, Frankfurt am Main
  2. EPLAN Software & Service GmbH & Co. KG, Stuttgart
  3. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  4. BARMER, Wuppertal

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 52,99€
  2. 20,49€
  3. 2,49€
  4. 11,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Echo Dot mit Uhr und Nest Mini im Test: Amazon hängt Google ab
Echo Dot mit Uhr und Nest Mini im Test
Amazon hängt Google ab

Amazon und Google haben ihre kompakten smarten Lautsprecher überarbeitet. Wir haben den Nest Mini mit dem neuen Echo Dot mit Uhr verglichen. Google hat es sichtlich schwer, konkurrenzfähig zu Amazon zu bleiben.
Ein Test von Ingo Pakalski

  1. Digitale Assistenten Amazon verkauft dreimal mehr smarte Lautsprecher als Google
  2. Googles Hardware-Chef Osterloh weist Besuch auf smarte Lautsprecher hin
  3. Telekom Smart Speaker im Test Der smarte Lautsprecher, der mit zwei Zungen spricht

VW-Logistikplattform Rio: Mehr Fracht transportieren mit weniger Lkw
VW-Logistikplattform Rio
Mehr Fracht transportieren mit weniger Lkw

Im Online-Handel ist das Tracking einer Bestellung längst Realität. In der Speditionsbranche sieht es oft anders aus: Silo-Denken, viele Kleinunternehmen und Vorbehalte gegenüber der Digitalisierung bremsen den Fortschritt. Das möchte Rio mit seiner Cloud-Lösung und niedrigen Preisen ändern.
Ein Bericht von Dirk Kunde

  1. Vernetzte Mobilität Verkehrsunternehmen könnten Datenaustauschpflicht bekommen
  2. Studie Uber und Lyft verschlechtern den Stadtverkehr
  3. Diesel-Ersatz Baden-Württemberg beschafft Akku-Elektrotriebzüge Mireo

Sendmail: Software aus der digitalen Steinzeit
Sendmail
Software aus der digitalen Steinzeit

Ein nichtöffentliches CVS-Repository, FTP-Downloads, defekte Links, Diskussionen übers Usenet: Der Mailserver Sendmail zeigt alle Anzeichen eines problematischen und in der Vergangenheit stehengebliebenen Softwareprojekts.
Eine Analyse von Hanno Böck

  1. Überwachung Tutanota musste E-Mails vor der Verschlüsselung ausleiten
  2. Buffer Overflow Exim-Sicherheitslücke beim Verarbeiten von TLS-Namen
  3. Sicherheitslücke Buffer Overflow in Dovecot-Mailserver

  1. Internetdienste: Ermittler sollen leichter an Passwörter kommen
    Internetdienste
    Ermittler sollen leichter an Passwörter kommen

    Die Bundesregierung will Ermittlern den Zugriff auf Nutzerdaten bei Internetdiensten wie Mail-Anbieter, Foren oder sozialen Medien erleichtern. Die IT-Branche und die Opposition sehen einen "Albtraum für die IT-Sicherheit".

  2. Netflix und Youtube: EU-Kommissarin warnt vor hohem Energiebedarf des Internets
    Netflix und Youtube
    EU-Kommissarin warnt vor hohem Energiebedarf des Internets

    Youtube, Netflix und Prime Video sind die Dienste, die besonders viel Internetverkehr generieren und damit auch einen besonders hohen Energiebedarf nach sich ziehen. Das sieht die Vizepräsidentin der EU-Kommission kritisch.

  3. Galaxy Fold: Samsung dementiert eigene Verkaufszahlen
    Galaxy Fold
    Samsung dementiert eigene Verkaufszahlen

    Samsung widerspricht sich selbst. Das Unternehmen bestreitet die Angabe eines ranghohen Samsung-Managers, der verkündet hatte, weltweit seien bereits eine Million Galaxy Fold verkauft worden. Vieles bleibt ungeklärt.


  1. 12:25

  2. 12:10

  3. 11:43

  4. 11:15

  5. 10:45

  6. 14:08

  7. 13:22

  8. 12:39