ISC komt met Bind-patch tegen VeriSign's SiteFinder

Op Wired.com is te lezen dat er inmiddels door het ISC (Internet Software Consortium) actie wordt ondernomen tegen de beslissing van VeriSign om alle niet-bestaande .net- en .com-domeinen door te sturen naar hun zogenaamde SiteFinder. Het ISC is producent van de DNS-software Bind en komt binnenkort met een patch voor dit product die VeriSign's SiteFinder blokkeert. Bind wordt gebruikt op 80 procent van de Domain Name Servers (DNS) en is daarmee uiteraard het meest gebruikte software pakket hiervoor. De reden om tot het uitbrengen van deze patch over te gaan is niet genomen op basis van politieke gronden maar om te voldoen aan de wensen van hun klanten, zo stelt Paul Vixie, de directeur van ISC.

Volgens Vixie kwamen er veel klachten van gebruikers van Bind, waaronder veel ISP's. Deze laatstgenoemde klaagden met name over het feit dat veel spam-filters door de actie van VeriSign niet meer goed werken. Eén van de methoden die veel spam-filters gebruiken om te detecteren of een mail wel of geen spam is, bestaat uit het controleren of het domein waarvandaan de e-mail is verzonden wel bestaat. Nu alle niet-bestaande domeinnamen worden doorgestuurd naar SiteFinder is dit voor spam-filters geen goed criteria meer om op te controleren.

Internet Software Consortium "The phone has been ringing off the hook with deeply unhappy customers," he said. "We don't have a political ax to grind. Whether VeriSign should or should not have done this is not for us to decide. But we have to respond to our customers who are demanding it."

Vixie said that ISC's customers -- typically ISPs and large enterprises -- needed a fix because VeriSign's Site Finder broke their spam filters.

Vixie said a lot of spam spoofs the "from" domain, and that many ISP-level spam filters check whether incoming e-mail is from a valid domain or not. Instead of generating errors, the spam filter checks are instead being rerouted to the Site Finder service, and therefore appear to originate from a legitimate domain.

De patch voor Bind zou aanstaande donderdag beschikbaar moeten zijn.

Door Martin Sturm

Nieuwsposter

Feedback • 17-09-2003 15:59 54

17-09-2003 • 15:59

54

Bron: Wired.com

Lees meer

Ernstige bug in BIND 9 laat dns-servers crashen
Ernstige bug in BIND 9 laat dns-servers crashen Nieuws van 17 november 2011
ISC waarschuwt voor beveiligingslek in dns-servers
ISC waarschuwt voor beveiligingslek in dns-servers Nieuws van 30 juli 2009
ICANN blijft bij verbod op Site Finder
ICANN blijft bij verbod op Site Finder Nieuws van 13 juli 2004
VeriSign klaagt ICANN aan vanwege tegenwerking
VeriSign klaagt ICANN aan vanwege tegenwerking Nieuws van 27 februari 2004
VeriSign verkoopt registratieafdeling
VeriSign verkoopt registratieafdeling Nieuws van 17 oktober 2003
VeriSign weerlegt aantijgingen rond Site Finder
VeriSign weerlegt aantijgingen rond Site Finder Nieuws van 8 oktober 2003
VeriSign zet Site Finder stop onder druk van ICANN
VeriSign zet Site Finder stop onder druk van ICANN Nieuws van 4 oktober 2003
Nieuwe rechtszaak rond VeriSigns SiteFinder
Nieuwe rechtszaak rond VeriSigns SiteFinder Nieuws van 28 september 2003
VeriSign negeert verzoek van ICANN over SiteFinder
VeriSign negeert verzoek van ICANN over SiteFinder Nieuws van 23 september 2003
VeriSign aangeklaagd vanwege SiteFinder
VeriSign aangeklaagd vanwege SiteFinder Nieuws van 20 september 2003
Verisign schrikt van kritiek op SiteFinder
Verisign schrikt van kritiek op SiteFinder Nieuws van 18 september 2003
Verisign stelt wildcard domein in voor .com en .net
Verisign stelt wildcard domein in voor .com en .net Nieuws van 16 september 2003
Congresleden verhinderen monopolieoverdracht ICANN
Congresleden verhinderen monopolieoverdracht ICANN Nieuws van 24 juni 2003
Verisign krijgt patent op het opvragen van DNS-gegevens
Verisign krijgt patent op het opvragen van DNS-gegevens Nieuws van 15 mei 2003
VeriSign onthult strategie voor webservices
VeriSign onthult strategie voor webservices Nieuws van 12 december 2002
Meer producten en artikelen
Bedrijfsnieuws

Reacties (54)

-Moderatie-faq
54
51
39
8
1
0
Wijzig sortering
Olaf van der Spek 17 september 2003 16:19
Cistron heeft VeriSign's SiteFinder ook al geblocked.
mutsje @Olaf van der Spek17 september 2003 19:18
dat is erg goed nieuws
Marcel Loesberg 17 september 2003 17:09
Ik kreeg hier gisteren al een waarschuwing over.
Er is door degene die mij de waarschuwing stuurde een officiele klacht ingediend bij de ICANN. De ICANN reageerd doorgaans nogal traag, vandaar de online petition. Zal hem zelf ook maar gaan tekenen.
Het argument dat hierboven wordt gebruikt dat 99% van de spam bij X of Y vandaan komt is een null argument. Niet alleen spam blokking wordt gedaan met DNS maar ook verificatie van andere zaken gaat soms via DNS. Zo kan je bij verschillende formulieren geen niet bestaande domeinen invullen. Nu kan je dus jezelf registreren bij een of andere club of bedrijf met een niet bestaand adres. Als zij geen extra check doen door ook een mailtje te sturen zal dat dus lukken. OK, een suffe beveiliging maar het is maar 1 voorbeeld. Er zijn vast meer voorbeelden te bedenken als ik meer koffie heb gedronken. :-)
jfk 17 september 2003 16:21
Je kunt trouwens ook hier http://www.petitiononline.com/icanndns/ een petitie ondertekenen tegen die ongein van VeriSign. Stelletje apen dat het zijn... |:(
Proxy @jfk17 september 2003 16:28
al 988 reacties :D
Zelf ben ik nr 963
UnderFlow @avon17 september 2003 16:08
Ik zou maar uitkijken met die software, want dat is niet de patch waar ze het in deze post over hebben.

De patch in de post is voor installatie op DNS servers waar bijvoorbeeld ISP's gebruik van maken. Dat heeft dus niets met je locale pc'tje te maken. Laat staan dat je met het installeren van een patch op jouw pc enig invloed kunt uitoefenen op een van die DNS servers.

Waarschijnlijk is het of iets heel anders wat gepatched moet worden of iemand probeert je een of andere file aan te smeren met alle gevolgen vandien.

edit:

Gauw heel de post weg knippen...
alfatrion @UnderFlow17 september 2003 17:30
Bind is een domain name server van ISC. De patch waar over word gesproken gaat over Bind. Iedereen die gebruik maakt van Bind krijgt hier mee te maken. Jan Modaal hoeft er overgens niets voor te doen. De patch word door de ISPs voor hem geinstalleerd. Sommige tweakers onder ons draaien zelf een DNS server. Zij kunnen dit dan natuuwlijk wel (lokaal) uitvoeren.
Brons @avon17 september 2003 16:08
lees anders http://www.tweakers.net/nieuws/28761 even door, dan snap je het wel.
Die link staat trouwens ook in het bericht...

Na een stuk of 3 edits van avon voeg ik dit er ff bij:
Internet Explorer gaf gewoon een MS search pagina als het domein niet bestond, wat verisign nu heeft gedaan is alle domeinen als het ware geregistreerd als die dat nog niet waren.
Als je naar een niet bestaande url gaat krijg je geen 'domein bestaat niet' fout maar gewoon hun pagina.
alfatrion @avon17 september 2003 17:13
Slimme zet; maar Microsoft deed dit toch al jaren met Internet Explorer?
Het verschil tussen Microsoft en Versign het niveau waarop het gebeurt. In het geval van Miscroft kun je kiezen om en een andere brouwser te gebruiken en het gebeurde niet meer. De handelingen van Versign geven mensen niet een dergelijke keuze omdat nu het nu op het domain name resolving protol niveau gebeurt in plaats op het programma niveau!
heuveltje @alfatrion18 september 2003 00:55
of je zet het gewoon af bij advanced opties

* 786562 heuveltje
arjankoole
@avon18 september 2003 07:03
Slimme zet; maar Microsoft deed dit toch al jaren met Internet Explorer?
ja en nee.

IE doet weinig met DNS in dat verhaal, die ziet gewoon dat de nameservers een 'not found' geven en redirect je naar msn.com voor een overzichtje van 'wat je misschien bedoelde'.

dit gaat veel verder omdat nu de root nameservers voor .com en .net ALTIJD response geven. Dit maakt ieder domein (*.com en *.net) geldig en dus mag er email van ontvangen worden volgens spamfilters. (overigens niet eens echt een spamfilter, simpelweg RFC 822 -> de smtp standaard).

deze check wordt dus gebroken waardoor spammers nog makkelijk spam kunnen versturen.

ik ben de patch aan het testen om m'n lokale nameservers, mijn klanten (een slordige 100.000 ofzo) gaan er over een paar uurtjes geen last meer van hebben. *grom* Verisign had met z'n klauwen van NetSol / Internic af moeten blijven.
Sperenvanger @avon17 september 2003 16:08
Gratis update naar nieuw virus :+

Ik denk dat dit programma/file gewoon de hosts file leeg gooit omdat sommige sites reclame zijn en dus in bij kazaalite oid in de hostsfile zijn gekomen.

edit:

Orginele post weggeknipt :(
zeekoe 17 september 2003 17:58
Eén van de methoden die veel spam-filters gebruiken om te detecteren of een mail wel of geen spam is, bestaat uit het controleren of het domein waarvandaan de e-mail is verzonden wel bestaat.
if (IP == 64.94.110.11) {spam=true;}

moeilijk he? :+
Jiriki:
Ik krijg hier ook een error (epacity geloof ik), maar alle vreemde namen resolven naar 64.94.110.11.

Daar draait alleen geen webserver blijkbaar.
dat neemt trouwens niet weg dat verisign :r bezig is (ben trouwens petition signer nummertje 1973 alweer geloof ik)
Verwijderd @zeekoe17 september 2003 18:16
moeilijk he?
En wat als Verisign besluit om het IP adres te wijzigen?
boner @Verwijderd17 september 2003 19:37
if IP(sjgasdkj.com) == IP(gdgjhldsfkhgsdlfg.com) {spam = true}

men zal toch niet meerdere ip-adressen voor deze troep tegelijkertijd gaan inzetten.

Eigenlijk zou IETF de TLD's weer zelf in beheer moeten nemen, en niet weggeven aan een commercieel bedrijf.
Brahiewahiewa 17 september 2003 16:31
Vixie said a lot of spam spoofs the "from" domain, and that many ISP-level spam filters check whether incoming e-mail is from a valid domain or not. Instead of generating errors, the spam filter checks are instead being rerouted to the Site Finder service, and therefore appear to originate from a legitimate domain.
Wat een bullshit zeg. 99,99999999% van de spam komt zogenaamd van yahoo.com of hotmail.com; daar ga je met dit spamfilter echt niks tegen beginnen
Erycius @Brahiewahiewa17 september 2003 16:52
élke spammail die tegengehouden wordt is goed... zelfs al is het maar een spreekwoordelijke druppel op een al even spreekwoordelijke hete plaat.
Verwijderd @Brahiewahiewa17 september 2003 18:14
En de reden daarvoor is dat spam met een vals adres geweigerd wordt... Ze ziet deze spam niet omdat het blijkbaar werkt en niet omdat het niet bestaat.
willemd 17 september 2003 23:01
Het zorgt er wél voor dat onder MSIE je niet meer bij die achterlijke MSN Search-pagina komt als je een fout maakt. :D

Desondanks toont het aan dat het Internet nog lang niet volwassen is. Dat dit zomaar gebeuren kan, zonder dat hier een degelijke organisatie achterzit, is gewoon stompzinnig. Er is dus nog niet goed gekeken (of iig niet goed genoeg gehandeld) waarop het Internet draait, en of die basis wel solide is. Jammer.
arjankoole
@willemd18 september 2003 09:42
Dat dit zomaar gebeuren kan, zonder dat hier een degelijke organisatie achterzit, is gewoon stompzinnig.
er zit wel degelijk een organisatie achter: Verisign, de partij die de Root nameservers voor .com en .net tld's beheert. Het enige wat je echt kan opmerken (en dat doet op dit moment de halve planeet dus ook) is dat Verisign misbruik maakt van z'n macht.
Er is dus nog niet goed gekeken (of iig niet goed genoeg gehandeld) waarop het Internet draait, en of die basis wel solide is. Jammer.
de basis waarop internet draait is zo solide als het maar kan, anders was internet nooit zo oud en zo groot geworden als het is.

het enige wat je je moet afvragen is of een enkele commercieele organisatie zoveel macht en invloed mag krijgen op iets als een root-nameserver. maar in principe is dat dezelfde vraag stellen als 'krijgt microsoft niet teveel macht in het bedrijfsleven?'

uiteraard botsen die twee voorbeelden met elkaar, maar de strekking is duidelijk dunkt me.
Verwijderd @willemd18 september 2003 13:51
Het zorgt er wél voor dat onder MSIE je niet meer bij die achterlijke MSN Search-pagina komt als je een fout maakt.
Dan zet je dat toch gewoon uit, in advanced options van MSIE?
willemd 17 september 2003 19:27
Ik snap het nog niet helemaal.

Is VeriSign de beheerder van de root-domainservers en 'baas' van het DNS?
Tomatoman @willemd17 september 2003 21:12
Ja, helemaal goed. Ga je door voor de bonusvraag? :)
willemd @Tomatoman17 september 2003 23:05
Dank. :)


Tweede vraag: Is VeriSign een commerciële organisatie? *huiver*
MikeN @willemd18 september 2003 00:02
Ja :|

Verisign was ooit de enige registrar voor de .com en .net domeinnamen. Later zijn er concurrenten bijgekomen, maar ze beheren nog steeds de GTLD servers voor .com en .net.
Verwijderd @Tomatoman18 september 2003 12:47
En jij ligt er uit :)
Het antwoord is: ICANN, een door de amerikaanse staat (de eigenaar van de .COM, .NET, .GOV, .EDU, .ORG en dergelijke amerikaanse extensies) aangewezen organisatie die op zijn beurt beheer van de .COM en .NET domeinen uitbesteed aan VeriSign (vandaar dat ook alleen die twee domeinen deze bug nu hebben).
twabi2 17 september 2003 16:10
het werkt trouwens niet (toch niet bij mij)
ik ging naar http://www.ybgvsfnisokf.com (wat bij mijn weten niet bestaat, en 'k kreeg een normale error.
Vreemd hoor!
Jiriki @twabi217 september 2003 17:03
Ik krijg hier ook een error (epacity geloof ik), maar alle vreemde namen resolven naar 64.94.110.11.

Daar draait alleen geen webserver blijkbaar.
Olaf van der Spek @Jiriki17 september 2003 17:46
Dat is VeriSign's SiteFinder. Misschien is die (al) bezweken.
Ultraman Moderator VB @twabi217 september 2003 18:38
Bij mij krijg k ook helemaal nix, gewoon error dat die site er niet is. Misschien verschilt het per browser ofzo? Ik gebruik namelijk Mozilla Firebird. Maar dat de VeriSign server hem al gesmeerd is zou ook goed kunnen.
heuveltje @Ultraman18 september 2003 00:56
dit zit op het hoogste puntje van het dns niveau
browser zou dus niks mogen schelen :)
Proxy @twabi217 september 2003 16:22
Van Verisign:

http://sitefinder.verisign.com/lpc?url=www.ybgvsfnisokf.com&host=www.y bgvsfnisokf.com
Verwijderd @twabi217 september 2003 16:45
Bij mij gaat ie nu inderdaad naar een Verisign pagina :D
Verwijderd 17 september 2003 17:38
bestaat uit het controleren of het domein waarvandaan de e-mail is verzonden wel bestaat. Nu alle niet-bestaande domeinnamen worden doorgestuurd naar SiteFinder is dit voor spam-filters geen goed criteria meer om op te controleren.
Ik geloof er niks van dat ze niet kunnen checken waar de domeinnaam uiteindelijk terechtkomt? Als een browser dat kan dan ook via een programma, dan kunnen ze toch "sitefinder" toevoegen aan de spamlijst?
Verwijderd @Verwijderd17 september 2003 17:59
Punt is natuurlijk dat Verisign hier op eigen houtje een standaard breekt die al lange tijd bestaat.

Natuurlijk kan je hiervoor workarounds vinden, maar normaal gesproken moet toch eerst afgesproken worden dat 'we' het allemaal eens zijn met een nieuwe standaard voor deze toegepast wordt.

Zo laat Verisign voor haar eigen gewin dus vele bedrijven, instellingen en individuen veel werk doen om dit op te lossen.

De RIAA zou hierover eens een berekening moeten doen wat dit de industrie kost aan verloren inkomsten ;)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq