Die IT-Sicherheitskompetenz des BKA
Rainer | 23. April 2009
rainer@j:~$ host -l bka.de. dns.sczn.de
; Transfer failed.
Using domain server:
Name: dns.sczn.de
Address: 193.158.124.130#53
Aliases:
Host bka.de not found: 5(REFUSED)
; Transfer failed.
rainer@j:~$
Das BKA möchte also nichts über die Zone bka.de erzählen. Kann man ja machen.
rainer@j:~$ host -l bka.de. secondary.sczn.de
Using domain server:
Name: secondary.sczn.de
Address: 193.158.124.58#53
Aliases:
bka.de name server dns.sczn.de.
bka.de name server secondary.netuse.de.
bka.de name server secondary.sczn.de.
bka.de has address 62.156.153.38
oa.bka.de has address 62.156.153.38
www.infopool-polizeikonzepte.bka.de has address 77.87.229.218
iuk.bka.de has address 62.156.153.38
www.bka.de has address 62.156.153.38
hashdb.bka.de has address 193.175.83.72
st.bka.de has address 62.156.153.38
infodok.bka.de has address 77.87.229.206
tesit.bka.de has address 62.156.153.38
rainer@j:~$
Insbesondere hashdb.bka.de (dessen Adresse gehört zu einem /24 der Bundesregierung, hm…) scheint mir ein interessanter Name. Ein simples nmap darauf liefert nichts Brauchbares (ist nmap ein Häxor-Tool?)
Ach ja: sczn.de ist die Deutsche Telekom. Warum wundert mich das nun gar nicht?
Und diese Institutionen bauen die Kipo-und-andere-Filter! Ha!
//edit: die Serial ist auch interessant: 2009042321 – wenn sie der gängigen Praxis folgt, haben wir heute schon 21 (oder 22) Versionen der Zone bka.de – ob da der Praktikant DNS übt?
//update: Und sie erlauben freundlicherweise Rekursion:
rainer@j:~$ host www.wikileaks.de dns.sczn.de
Using domain server:
Name: dns.sczn.de
Address: 193.158.124.130#53
Aliases:
www.wikileaks.de has address 88.80.13.160
rainer@j:~$
Das läßt mich doch gleich an DNS cache poisoning denken…
Und auch nicht schlecht:
rainer@j:~$ dig version.bind txt chaos @dns.sczn.de | grep -i ^version
VERSION.BIND. 0 CH TXT "BIND 8.3.3"
rainer@j:~$
Das sind die Experten! Hahahaha!
> die Serial ist auch interessant: 2009042321 [..] 21 (oder 22) Versionen [..]
Kommt darauf an, ob zwischen deinem Test und der Rundmail nach 22h mehr als eine Stunde vergangen ist…
Nur eine Vermutung, dass dort die gängige Praxis sich so unterscheidet.
Potztausend!
Das scheint wirklich ein Automat zu sein, der die Serial hochsetzt, momentan (8:19 CEST ) liegt die Serial bei 2009042407 – warum macht man denn sowas?
Hab’s zu Fefe, Heise und Wikileaks geschoben …
Kann das bitte jemand so erklären, daß ein gewöhnlicher Mausschubser es versteht?
[...] Rainer hat sich mal angesehen welche Informationen er so aus den Nameservern fuer die Zone bka.de rausziehen kann. [...]
@mausschubser:
Das heißt ganz einfach: Das BKA hat keinen Plan davon, wie man einen DNS-Server betreibt
Ansonsten hat der Trackback unter Deiner Frage mehr Informationen, die wahrscheinlich auch ein Mausschubser versteht
Danke.
hmm, bind-8.3.3 … da war doch mal was … gleich mal übers bugtraq-archiv greppen ;-o
Blind guess: das Zonefile wird automatisiert aus Daten erstellt, die an anderer Stelle verwaltet werden. Der Abgleich dieser anderen Quelle mit dem Zonefile erfolgt per Skript, das Skript laeuft einmal pro Stunde und setzt dann die serial entsprechend – unabhaengig davon, ob tatsaechlich eine inhaltliche Aenderung stattgefunden hat oder nicht.
> Blind guess: das Zonefile wird automatisiert aus Daten erstellt, die an anderer Stelle verwaltet werden.
Der TXT fuers $ORIGIN ist doch recht aufschlussreich: “Created by update.named 3.6a – NetUSE AG”. Mal Kris fragen?
Ne neuere Version gibts da auch schon.
[...] Das BKA auch und auch noch öffentlich http://rainer.sokoll.com/?p=276 Dieser Beitrag wurde am Donnerstag, 06. August 2009 um 23:10 Uhr veröffentlicht und wurde [...]
[...] IP liegt wahrscheinlich außerhalb der technischen Kompetenz des BKA. Technische Kompetenz des BKA? Da war doch was… Tatsächlich glaube ich auch, daß eine Organisation wie Inhope inhärent bürokratisch und [...]