DNS misbruik
18-11-2008,18:09 door
De problemen die zijn ontstaan in de DNS infrastructuur (inclusief lokale tabellen als etc/hosts e.d.) zijn volledig terug te voeren op verkeerd gebruik, en pogingen om dat binnen de DNS infrastructuur op te lossen versterken dat probleem.
DNS is gebouwd als mapping van IP adressen in mensvriendelijke vorm naar IP adressen in machinaal bruikbare vorm.
Een mooi ontwerp, dat onder andere wat flexibiliteit aan het oorspronkelijk statische concept van IP adressen toevoegt.
De kern van het probleem is dat hele volksstammen het zijn gaan interpreteren als een vorm van identiteiten beheer.
Ik vermoed dat het statische karakter van het oorspronkelijke adressen concept hiervoor de aanleiding was, maar constateer in elk geval dat te veel mensen er heilig in zijn gaan geloven dat een verbinding met een specifiek IP adres garandeert dat je met de juiste persoon/organisatie bent verbonden.
Op basis van deze aanname zijn vrijwel alle huidige authenticatie technieken ontworpen met een ingebouwde MITM aanvalsoptie.
Sinds die opties ook daadwerkelijk gebruikt worden, zijn de ontwerpers van de falende systemen zich zorgen gaan maken over de fouten in DNS, want dat wordt als eenvoudiger ervaren dan hun eigen problemen eens onder de loep te nemen.
DNS wordt nu genadeloos aangepakt om ten koste van alles alsnog de waanideeen van mislukte ontwerpers te benaderen, want als dat hun blunders al niet voldoende verbergt, dan is de aandacht in elk geval weer even van hun falen afgeleid.
Als ze zich even zouden verdiepen in de basis voorwaarden van wederzijdse unieke authenticatie, zouden ze hun klanten veel geld en ellende besparen, en zou DNS verder kunnen groeien in de richting waar het voor bedoeld was: gemak en flexibiliteit.
In de huidige verwarring wordt het tot nachtmerrie gedegradeerd.
DNS is gebouwd als mapping van IP adressen in mensvriendelijke vorm naar IP adressen in machinaal bruikbare vorm.
Een mooi ontwerp, dat onder andere wat flexibiliteit aan het oorspronkelijk statische concept van IP adressen toevoegt.
De kern van het probleem is dat hele volksstammen het zijn gaan interpreteren als een vorm van identiteiten beheer.
Ik vermoed dat het statische karakter van het oorspronkelijke adressen concept hiervoor de aanleiding was, maar constateer in elk geval dat te veel mensen er heilig in zijn gaan geloven dat een verbinding met een specifiek IP adres garandeert dat je met de juiste persoon/organisatie bent verbonden.
Op basis van deze aanname zijn vrijwel alle huidige authenticatie technieken ontworpen met een ingebouwde MITM aanvalsoptie.
Sinds die opties ook daadwerkelijk gebruikt worden, zijn de ontwerpers van de falende systemen zich zorgen gaan maken over de fouten in DNS, want dat wordt als eenvoudiger ervaren dan hun eigen problemen eens onder de loep te nemen.
DNS wordt nu genadeloos aangepakt om ten koste van alles alsnog de waanideeen van mislukte ontwerpers te benaderen, want als dat hun blunders al niet voldoende verbergt, dan is de aandacht in elk geval weer even van hun falen afgeleid.
Als ze zich even zouden verdiepen in de basis voorwaarden van wederzijdse unieke authenticatie, zouden ze hun klanten veel geld en ellende besparen, en zou DNS verder kunnen groeien in de richting waar het voor bedoeld was: gemak en flexibiliteit.
In de huidige verwarring wordt het tot nachtmerrie gedegradeerd.
