Posted on

DNS-Changer – www.dns-ok.de – Post von der Telekom

Na vielleicht hätte ich doch schon schon ein paar Tage früher über den DNS-Changer schreiben sollen. Aber bei der Euphorie Presse und Bevölkerung dachte ich mir spar ich mir das mal… Wieder ein Fehler! Heute kam dann gleich noch Post von der Telekom hinterher:

Damit wir uns richtig verstehen; Trojaner und insbesondere Botnetze sind eine super lästige Sache! So gesehen finde ich es sehr begrüßenswert wenn Zugangsprovider Ihre Kunden aktiv informieren. Aber in diesem ganz konkreten Fall finde ich das Vorgehen und den Presserummel etwas überzogen…

Warum? – Dann mal der Reihe nach…

Der DNS-Changer selbst – die Schadsoftware selbst ist seit meheren Wochen nicht mehr aktiv. Die benutzten “Rogue DNS-Server” sind ebenfalls “gesichert” und unter Kontrolle. Es geht also eigentlich nur darum das diese Server am 8. März abgeschaltet werden und als Folge davon wird es bei den Leuten die diese DNS-Server verwenden bei der Namensauflösung zu Problemen kommen. Wenn man den Presseberichten glauben kann sprechen wir von ca. 33.000 deutschen Usern die von diesem Problem betroffen sein könnten.

Warum schreibt mir dann die Telekom nen Brief? – Naja, ich bin halt ein durchweg neugieriger Mensch. Als ich die Meldung gelesen habe, wollte ich natürlich auch sofort kucken wie die Website www.dns-ok.de funktioniert. Dazu hab ich mir natürlich nicht nur die Webseite mit dem grünen Balken angesehen, sondern auch die mit dem roten ;-). Ich hatte mir insbesondere angesehen wer die Seite www.dns-ok.de betreibt und wo die Rogue DNS-Server stehen. Als ich die IP-Nummer für den roten Balken von www.dns-ok.de ansurfte habe ich ganz normal ohne Anonymisierung meinen T-DSL Anschluss verwendet. Offenbar wertet dann jemand die Zugriffe auf den roten Balken aus und die “ordentlichen ISPs” verschicken dann gleich noch nen Brief.

Für die Leute die sich noch fragen wie die Unterscheidung zwischen grünem und rotem Balken erfolgt. Die ehemaligen “Rogue DNS-Server” liefern für www.dns-ok.de eine vom regulären DNS-Eintrag abweichende IP-Nummer!

Zunächst eine DNS-Abfrage über meine eigenen DNS-Server für den grünen Balken:

[frank@w0007 ~]$ dig www.dns-ok.de
; <<>> DiG 9.8.1-P1-RedHat-9.8.1-4.P1.fc16 <<>> www.dns-ok.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6340
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 0

;; QUESTION SECTION:
;www.dns-ok.de.			IN	A

;; ANSWER SECTION:
www.dns-ok.de.		82347	IN	A	85.214.11.195

;; AUTHORITY SECTION:
dns-ok.de.		82347	IN	NS	nyarlathotep2.hsd.de.
dns-ok.de.		82347	IN	NS	alhazred.hsd.de.
dns-ok.de.		82347	IN	NS	nyarlathotep.hsd.de.

;; Query time: 0 msec
;; SERVER: 192.168.1.45#53(192.168.1.45)
;; WHEN: Sat Jan 14 15:46:31 2012
;; MSG SIZE  rcvd: 129

Und nun die rote Abfrage über einen der betroffenen DNS-Server aus Odessa:

[frank@w0007 ~]$ dig @85.255.112.1 www.dns-ok.de
; <<>> DiG 9.8.1-P1-RedHat-9.8.1-4.P1.fc16 <<>> @85.255.112.1 www.dns-ok.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29511
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

;; QUESTION SECTION:
;www.dns-ok.de.			IN	A

;; ANSWER SECTION:
www.dns-ok.de.		30	IN	A	85.214.11.194

;; AUTHORITY SECTION:
rpz.dcwg.org.		30	IN	NS	localhost.

;; ADDITIONAL SECTION:
localhost.		3600	IN	A	127.0.0.1

;; Query time: 126 msec
;; SERVER: 85.255.112.1#53(85.255.112.1)
;; WHEN: Sat Jan 14 15:52:51 2012
;; MSG SIZE  rcvd: 98

Warum ist der DNS-Changer Pressehype gefährlich? – Aufklärung und Sensibilisierung sind bei diesem Thema sehr wichtig. Aber zuviel Panikmache und Hysterie ist dann auch wieder nicht sinnvoll. So kann ich nur sagen die nächste Spam, Hoax und Scareware-Welle zu diesem Thema kommt bestimmt. Und gerade BKA und Co wurden in den letzten Monaten schon öfter als Thema benutzt. Die Website http://www.dns-okay.de/ ist ebenfalls eine gute Mahnung an dieser Stelle!

Was hätte man anders machen können? – Ich hätte vermutlich das gemacht was ich im DNS-Normalbetrieb kritisiert hätte. Ich hätte die ehemaligen “Rogue DNS-Server” so konfiguriert das sie für alle DNS-Anfragen immer die gleiche IP-Nummer liefern. Auf dieser IP-Nummer lässt sich dann ein entsprechender Warnhinweis auf einem Webserver anbringen. Klarer Nachteil: das funktioniert nur mit HTTP/HTTPS, alle anderen genutzten Dienste tun erstmal nicht mehr. Aber die 100% richtige Lösung gibts hier wohl nicht…

Hintergrundinfos zum Thema: