Public DENIC mailinglist

[mail AT sf6.de]

Es ist wirklich erschreckend wie nachlässig die DENIC mit der Sicherheit der
Domains umgeht!

(siehe dazu: Artikel unten)

Irgendwelche Leute können mit hilfe eines offenen Passwortes Domains durch
ändern des Datenbankeinträge auf andere Übertragen, und der (Ex-)Inhaber
merkt davon überhauptnichts, und hat kaum eine Möglichkeit seine Domain
wiederzubekommen, da diese ihm de facto nicht mehr gehört! Die DENIC soll
endlich Ihrer Verantwortung als "Grundbuchamt des deutschen Internet" sorge
tragen und den Schutz vor Domainhighjacking deutlich erhöhen!

Warum wird der Admin-C nicht vor einem Besitzerwechsel gefragt, z.B. mit
einer automatisch generierten E-mail, welche er zur Bestätigung
zurückschicken muss, bevor die Änderungen gültig werden? Bei den meisten
Vergabestellen in USA hat sich dieses Verfahren längst durchgesetzt!

MFG
www.sf6.de


===========================================
Artikel Heise-Newsticker
http://www.heise.de/newsticker/data/ad-06.11.00-000/

Provider stellte DENIC-Passwort ins Web

Der Regensburger Domain-Provider ABC Telemedien hat ein Passwort im Internet
veröffentlicht, mit dem die Registrierungsstelle für .de-Domains (DENIC)
Personeneinträge in seiner Datenbank schützt. Mit diesem Passwort ist es
möglich, die Personendaten bestimmter Domain-Verwalter zu manipulieren, um
dann Änderungen am eigentlichen Domain-Eintrag zu beantragen.

In den Anfängen des Internet waren die Personeneinträge ungeschützt. Später
gingen die Provider zunehmend dazu über, als "Maintainer" die von ihnen
angelegten Einträge mit einem Passwort gegen Manipulationen zu schützen.
Jeder Besitzer oder Verwalter einer Domain erhält einen solchen Eintrag, der
Name und Anschrift, Telefonnummer und E-Mail-Adresse enthält.

Im Mai dieses Jahres hatte die DENIC aus Sicherheitsgründen alle noch
ungeschützten Einträge mit dem Maintainer "DENIC-P" versehen und dafür ein
Passwort gesetzt. Die DENIC-Geschäftsführerin Sabine Dolderer erklärte
gegenüber heise online, diese Maßnahme sei notwendig geworden, nachdem sich
das Internet von einer "friendly" Umgebung zu einem kommerziellen Umfeld
gewandelt habe, das immer unüberschaubarer werde. Das DENIC-P-Passwort wurde
an alle Provider weitergegeben, die nicht selbst als Maintainer fungierten.

Die Firma ABC Telemedien hat die Sicherheitsmaßnahme des DENIC ausgehebelt,
indem sie das Passwort auf einer Webseite jedermann zugänglich machte. Die
Seite enthält eine Anleitung zum Ändern von Personeneinträgen per E-Mail.
Sie führt einen Beispieldatensatz für "Hans Mustermann" auf, in dem als
Maintainer "DENIC-P" und das zugehörige Passwort im Klartext stand. Ein
kurzer Test bewies, dass das Passwort aktuell war: Es dauerte nur wenige
Minuten, bis die Daten eines Eintrags in den Datenbanken der DENIC und des
europäischen Network Coordination Center RIPE geändert waren.

Mark Huger aus Neumark hatte die Seite auf dem ABC-Telemedia-Server entdeckt
und heise online gemeldet. Beim DENIC löste unser Anruf einige Bestürzung
aus; man versprach, das Passwort umgehend zu ändern. Der Pressesprecher von
ABC Telemedia, Wolfgang Glaser, erklärte, dass die Anleitung normalerweise
nicht öffentlich einsehbar sei. Glaser weiter: "Im Rahmen eines
Programm-Updates war für einen kurzen Zeitraum der Passwortschutz außer
Betrieb. Dies wurde sofort geändert und auch das Passwort für den
DENIC-P-Maintainer entfernt." (ad/c't)