Sobre a violação da lei
Sobre a violação da lei No meu artigo de ontem, contei como se desmonta sistematicamente um profissional de alto desempenho para proteger um sistema confortável, mas tecnicamente precário. Desta vez, trata-se do […]
Vom Rechtsbruch
Ich habe in meinem gestrigem Beitrag erzählt, wie man einen Top-Performer systematisch zerlegt, um ein bequemes, aber fachlich marodes System zu schützen. Diesmal geht es um die nächste Eskalationsstufe: Anwälte und Gerichte, […]
A queda do direito
Como ex-soldado S6, sócio-gerente de uma empresa de consultoria jurídica e empresarial e, paralelamente, freelancer na área de segurança de TI com quase 25 anos de experiência profissional, fui comprovadamente um dos […]
Vom Untergang des Rechts
Als ehemaliger S6-Soldat, Managing Partner einer Rechts- und Unternehmensberatung sowie parallel freiberuflich tätiger IT-Sicherheits-Freelancer mit fast 25 Jahren Berufserfahrung war ich nachweislich einer der drei besten Mitarbeiter im gesamten DACH-, Frankreich-, Spanien-, […]
RethinkDNS, CenturionDNS, ProtonVPN
Auf einem typischen Android-Gerät laufen heute parallel: Der Stack RethinkDNS + CenturionDNS + ProtonVPN (Plus) adressiert genau dieses Spannungsfeld: Er versucht, sowohl den Netzwerkverkehr als auch die Namensauflösung unter die eigene Kontrolle […]
Die Absicherung der Domain-Infrastruktur im CenturionNet
Die beste DNS-Resolver-Infrastruktur verliert einen wesentlichen Teil ihres Sicherheitsniveaus, wenn die zugehörigen autoritativen Nameserver unter fremder Kontrolle stehen oder nur mit Minimalstandards betrieben werden. Wer die Integrität und Verfügbarkeit seiner Domains ernsthaft […]
CenturionDNS: Sicherheits Audit
Das Domain Name System ist eine der zentralen Schwachstellen des modernen Internets. Wer DNS kontrolliert, kontrolliert im Zweifel, wohin Verbindungen aufgebaut werden, welche Inhalte ein Nutzer zu sehen bekommt und welche Telemetrie […]
Strategien zur Härtung gegen DNS-Reconnaissance
Die jüngsten Aufklärungsoperationen gegen meine DNS-Resolver-Infrastruktur (CenturionDNS) zeigen erneut, wie weit fortgeschritten die Methoden zur systematischen Vermessung offener DNS-Dienste sind. Im Zuge der Analyse der cfpro.ru-Domäne und ihrer assoziierten Anfragewellen habe ich […]
Analyse des cfpro.ru Vorfalls
Aufklärungsoperation via cfpro.ru In den vergangenen Tagen wurde ich im Rahmen meines Betriebs der CenturionDNS-Resolver, einer gehärteten, auf hohe Resilienz ausgelegten DNS-Resolver-Infrastruktur, Ziel einer orchestrierten Serie von DNS-Anfragen. Diese wiesen eine beunruhigende […]
DNS-Missbrauchsoperation via cfpro.ru
Atributionstabelle zur DNS-Missbrauchsoperation via cfpro.ru 1. Diamond Model of Intrusion Analysis Komponente Beschreibung Adversary Wahrscheinlich chinesischer Akteur mit staatlicher Anbindung (z. B. akademische Einrichtungen, Threat Actor „Muddling Meerkat“) Capability DNS-Aufklärung, Amplification-Testverfahren, globale Erhebung […]
Full-Bogon-Angriff – Schritt für Schritt bei einem ungeschützten Resolver
Im folgenden Szenario wähle ich den klassischen DNS-Rebinding-Angriff, der eine Full-Bogon-Adresse (also ein Präfix, das im globalen BGP-Routing nie auftaucht) als Sprungbrett benutzt. Er illustriert exemplarisch, weshalb ein Resolver zwingend die Team-Cymru-Bogon-Liste […]
Wenn Domain-Filter versagen und warum mein lokaler Unbound das Zünglein an der Waage ist
Nachfolgend skizziere ich einen prototypischen Angriffspfad, bei dem der Angreifer zwar keinen neuen, verdächtigen Domain-Namen registriert, wohl aber eine bereits routbare, aber reputationsbelastete IP-Adresse in Szene setzt. Ein reiner Domain-Filter (AdGuard o. […]
AdGuard & Unbound mit ThreatFox, FireHOL L4 & Team-Cymru Fullbogons
Sicherheit entsteht, wenn man die richtigen Türen abschliesst, bevor der Einbrecher weiss, dass es sie gibt. Seit mehreren Jahren betreibe ich ein zweistufiges DNS-Resolver-Design: Mit dieser Grundarchitektur eliminiere ich bereits 90 % […]
dns03.eddns.eu
Ich beobachte seit Jahren mit wachsender Besorgnis, wie zentrale Netzdienste zunehmend zum Ziel von Zensur, Manipulation oder staatlicher Repression gegen jede Form der Nichtkonformität mit dem bereits umgesetzten totalitären, grün-bolschewistischen Kommunismus neuer […]
256-bit Passwords, Entropy, Hashing Schemes, Brute-Force Resilience
Shannon Entropy and Password Strength Information entropy (in Shannons sense) measures the uncertainty or randomness in a password distribution. Formally, if passwords are drawn from a set of size N with uniform […]
Certspotter
Tool zur aktiven Zertifikatsüberwachung In meiner täglichen Praxis der IT-Sicherheitsverwaltung spielt die Überwachung und Kontrolle von Zertifikaten eine entscheidende Rolle. Zertifikate sichern heute nicht nur Webauftritte, sondern gewährleisten auch die Integrität und […]