DNS-Changer – www.dns-ok.de – Post von der Telekom

Na vielleicht hätte ich doch schon schon ein paar Tage früher über den DNS-Changer schreiben sollen. Aber bei der Euphorie Presse und Bevölkerung dachte ich mir spar ich mir das mal… Wieder ein Fehler! Heute kam dann gleich noch Post von der Telekom hinterher:

Damit wir uns richtig verstehen; Trojaner und insbesondere Botnetze sind eine super lästige Sache! So gesehen finde ich es sehr begrüßenswert wenn Zugangsprovider Ihre Kunden aktiv informieren. Aber in diesem ganz konkreten Fall finde ich das Vorgehen und den Presserummel etwas überzogen…

Warum? – Dann mal der Reihe nach…

Der DNS-Changer selbst – die Schadsoftware selbst ist seit meheren Wochen nicht mehr aktiv. Die benutzten “Rogue DNS-Server” sind ebenfalls “gesichert” und unter Kontrolle. Es geht also eigentlich nur darum das diese Server am 8. März abgeschaltet werden und als Folge davon wird es bei den Leuten die diese DNS-Server verwenden bei der Namensauflösung zu Problemen kommen. Wenn man den Presseberichten glauben kann sprechen wir von ca. 33.000 deutschen Usern die von diesem Problem betroffen sein könnten.

Warum schreibt mir dann die Telekom nen Brief? – Naja, ich bin halt ein durchweg neugieriger Mensch. Als ich die Meldung gelesen habe, wollte ich natürlich auch sofort kucken wie die Website www.dns-ok.de funktioniert. Dazu hab ich mir natürlich nicht nur die Webseite mit dem grünen Balken angesehen, sondern auch die mit dem roten ;-). Ich hatte mir insbesondere angesehen wer die Seite www.dns-ok.de betreibt und wo die Rogue DNS-Server stehen. Als ich die IP-Nummer für den roten Balken von www.dns-ok.de ansurfte habe ich ganz normal ohne Anonymisierung meinen T-DSL Anschluss verwendet. Offenbar wertet dann jemand die Zugriffe auf den roten Balken aus und die “ordentlichen ISPs” verschicken dann gleich noch nen Brief.

Für die Leute die sich noch fragen wie die Unterscheidung zwischen grünem und rotem Balken erfolgt. Die ehemaligen “Rogue DNS-Server” liefern für www.dns-ok.de eine vom regulären DNS-Eintrag abweichende IP-Nummer!

Zunächst eine DNS-Abfrage über meine eigenen DNS-Server für den grünen Balken:

[frank@w0007 ~]$ dig www.dns-ok.de
; <<>> DiG 9.8.1-P1-RedHat-9.8.1-4.P1.fc16 <<>> www.dns-ok.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6340
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 0

;; QUESTION SECTION:
;www.dns-ok.de.			IN	A

;; ANSWER SECTION:
www.dns-ok.de.		82347	IN	A	85.214.11.195

;; AUTHORITY SECTION:
dns-ok.de.		82347	IN	NS	nyarlathotep2.hsd.de.
dns-ok.de.		82347	IN	NS	alhazred.hsd.de.
dns-ok.de.		82347	IN	NS	nyarlathotep.hsd.de.

;; Query time: 0 msec
;; SERVER: 192.168.1.45#53(192.168.1.45)
;; WHEN: Sat Jan 14 15:46:31 2012
;; MSG SIZE  rcvd: 129

Und nun die rote Abfrage über einen der betroffenen DNS-Server aus Odessa:

[frank@w0007 ~]$ dig @85.255.112.1 www.dns-ok.de
; <<>> DiG 9.8.1-P1-RedHat-9.8.1-4.P1.fc16 <<>> @85.255.112.1 www.dns-ok.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29511
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

;; QUESTION SECTION:
;www.dns-ok.de.			IN	A

;; ANSWER SECTION:
www.dns-ok.de.		30	IN	A	85.214.11.194

;; AUTHORITY SECTION:
rpz.dcwg.org.		30	IN	NS	localhost.

;; ADDITIONAL SECTION:
localhost.		3600	IN	A	127.0.0.1

;; Query time: 126 msec
;; SERVER: 85.255.112.1#53(85.255.112.1)
;; WHEN: Sat Jan 14 15:52:51 2012
;; MSG SIZE  rcvd: 98

Warum ist der DNS-Changer Pressehype gefährlich? – Aufklärung und Sensibilisierung sind bei diesem Thema sehr wichtig. Aber zuviel Panikmache und Hysterie ist dann auch wieder nicht sinnvoll. So kann ich nur sagen die nächste Spam, Hoax und Scareware-Welle zu diesem Thema kommt bestimmt. Und gerade BKA und Co wurden in den letzten Monaten schon öfter als Thema benutzt. Die Website http://www.dns-okay.de/ ist ebenfalls eine gute Mahnung an dieser Stelle!

Was hätte man anders machen können? – Ich hätte vermutlich das gemacht was ich im DNS-Normalbetrieb kritisiert hätte. Ich hätte die ehemaligen “Rogue DNS-Server” so konfiguriert das sie für alle DNS-Anfragen immer die gleiche IP-Nummer liefern. Auf dieser IP-Nummer lässt sich dann ein entsprechender Warnhinweis auf einem Webserver anbringen. Klarer Nachteil: das funktioniert nur mit HTTP/HTTPS, alle anderen genutzten Dienste tun erstmal nicht mehr. Aber die 100% richtige Lösung gibts hier wohl nicht…

Hintergrundinfos zum Thema:

UI, offener DNS-Server der SPD [Update]

Also das muss ich vor meinem Kurzurlaub jetzt doch noch loswerden! Is einfach gigantisch!

Die SPD hat einen Internet-User der einen eigenen DNS-Server betreibt und damit die Internet-Sperren umgeht in die Nähe von Kinderschändern gestellt:


Sie hingegen haben für sich
die technischen Voraussetzungen geschaffen, damit sie sich weiterhin
unbeschränkt, wenn Sie denn die Absicht hätten, die Vergewaltigung
von Kindern betrachten können und dies auch im Bekanntenkreis weiter
empfohlen. Die Kinderschänder in dieser Welt werden es Ihnen danken.

Siehe hierzu:

Ich hatte in einem meiner Post “Wie funktioniert die DNS-Sperre” ja schon mal etwas zu DNS erklärt. Das können wir jetzt gleich nochmal praktisch üben:


$ whois 195.50.146.131
[Querying whois.ripe.net]
[whois.ripe.net]
% Information related to '195.50.146.0 - 195.50.146.255'
inetnum: 195.50.146.0 - 195.50.146.255
netname: SPDINET-NET
descr: Sozialdemokratische Partei Deutschland
descr: Wilhelmstr 141
descr: 10963 Berlin
country: DE
admin-c: FH1138-RIPE
tech-c: ANOC1-RIPE
status: ASSIGNED PA
mnt-by: ARCOR-MNT
source: RIPE # Filtered
...
$ dig @195.50.146.131 www.youporn.com
; <<>> DiG 9.6.1-P1-RedHat-9.6.1-4.P1.fc11 <<>> @195.50.146.131 www.youporn.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10312 ;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 3, ADDITIONAL: 5 ;; QUESTION SECTION: ;www.youporn.com. IN A ;; ANSWER SECTION: www.youporn.com. 14007 IN CNAME youporn.com. youporn.com. 134 IN A 74.86.111.11 youporn.com. 134 IN A 74.86.111.8 ;; AUTHORITY SECTION: youporn.com. 14446 IN NS ns2.softlayer.com. youporn.com. 14446 IN NS ns1.youporn.com. youporn.com. 14446 IN NS ns1.softlayer.com. ;; ADDITIONAL SECTION: ns1.youporn.com. 39766 IN A 74.86.202.26 ns1.softlayer.com. 2071 IN A 67.228.254.4 ns1.softlayer.com. 2071 IN AAAA 2607:f0d0:0:f:1::1 ns2.softlayer.com. 2071 IN A 67.228.255.5 ns2.softlayer.com. 2071 IN AAAA 2607:f0d0:0:f:2::1 ;; Query time: 64 msec ;; SERVER: 195.50.146.131#53(195.50.146.131) ;; WHEN: Thu Aug 6 13:30:54 2009 ;; MSG SIZE rcvd: 247

Da kann ich nur noch sagen, das is wirklich PEINLICH!!!!!!!!!!!!!!

Vielleicht noch kurz etwas technische Aufklärung dazu. Die SPD betreibt sicherlich ein sehr großes internes Netzwerk, da ist es völlig normal das es einen eigenen DNS-Server gibt der interne DNS-Anfragen auflöst. Wer eigene Internet-Domains in größerem Stil besitzt, wird dafür auch einen eigenen "Authoritative name server" (z.B. für spd.de) betreiben. Dieser Authoritative Name Server wird immer für alle im Internet zugreifbar sein, das ist technisch bedingt so. Das dieser Server allerdings auch andere Domains (z.B. www.cdu.de) auflöst sollte eigentlich nicht sein! An dieser Stelle möchte ich auf ein englisches Whitepaper von Luis Grangeia verweisen: Snooping the Cache for Fun and Profit.

Unter "Die Sperrliste" hatte ich geschrieben "Das BKA veröffentlicht die Sperrliste indirekt selbst". Ich weiss ich verlange viel, aber wer sich auch als nicht Hacker das oben verlinkte Whitepaper übers Wochenende mal durchliest, kann vielleicht so langsam nachvollziehen was ich damit sagen wollte.

[Update 19.08.2009]
Nachdem gerade jemand im Heise-Forum danach gefragt hat, der angesprochene DNS-Server lässt inzwischen keine rekursiven Anfragen mehr zu:


$ dig @195.50.146.131 www.heise.de
; <<>> DiG 9.6.1-P1-RedHat-9.6.1-4.P1.fc11 <<>> @195.50.146.131 www.heise.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 53149 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 ;; WARNING: recursion requested but not available
;; QUESTION SECTION:
;www.heise.de. IN A
;; Query time: 59 msec
;; SERVER: 195.50.146.131#53(195.50.146.131)
;; WHEN: Wed Aug 19 12:01:52 2009
;; MSG SIZE rcvd: 30

Die Sperrliste

In knapp zwei Wochen soll es ja schon so weit sein und die Zensurinfrastruktur nimmt (vielleicht?) den Betrieb auf. Dazu – quasi als Wort zum Freitag 😀 – ein paar Gedanken.

Wieviele Webseiten werden wohl auf dieser Sperrliste stehen?
Ich denke mal es werden so zwischen 500 und 1000 FQDNs (Fully Qualified Domain Name) sein. Frau Dr. von der Leyen spricht im Radio Sputnik Interview von 1000 Webseiten täglich, das halte ich für Quatsch, mit vier Planstellen kann das BKA sowas garnicht leisten. Das würde ja bedeuten das ein BKA-Mitarbeiter pro Stunde 31 Webseiten inhaltlich bewerten muss, so leicht ist das bestimmt nicht. Hier könnte das BKA kurzfristig für etwas Transparenz sorgen, indem es eine Statistik veröffentlicht. Wieviele Seiten sind akutell auf der Liste, wieviele kamen diese Woche hinzu, wieviele wurden erfolgreich entfernt und wurden deshalb von der Liste gestrichen. Das ist Demokratie, diese Information und die damit verbunde Diskussion brauchen wir! Evtl. kann man vielleicht sogar Informationen über die Ursprungsländer dieser Webseiten veröffentlichen. Ich bin gegen Kinderpornographie! Wenn es wirklich ernsthafte Hindernisse beim Löschen von derartigen Inhalten geben sollte, haben wir als Internet-Community hier klar eine Verpflichtung dies zu ändern. Derzeit habe ich allerdings eher den Eindruck das das mit dem Löschen bisher nicht wirklich ernsthaft genug von den Behörden verfolgt wurde (oder auch verfolgt werden konnte -> wegen Personalmangels?). Aber zurück zur Sperrliste…

Der Zeitpunkt
Es ist schon ein bischen mutig die Zensurinfrastruktur jetzt so schnell umzusetzen. Auf der anderen Seite ist der 1. August eigentlich ganz passend… 🙂 Am 13. August startet die Hacking at Random in den Niederlanden. Die Bundestagswahl 2009 ist dann auch schon bald. Und Ende Dezember gibts dann noch das grosse Treffen in Berlin mit viel Spass am Gerät. Zählt eigentlich sowas wie Hacking at Random schon als Terrorcamp?

Wird die Sperrliste geleakt werden?
Puh, das ist natürlich schwer zu sagen, soweit ich mitbekommen habe “üben” ja einige gerade im Iran… Ich finde bei der deutschen Sperrliste wird das schon mal ein echt schwieriges ethisches Problem. Niemand möchte zur weiteren Verbreitung derartigen Materials beitragen, auf der anderen Seite brauchen wir die politische Diskussion darüber.

Es ist rechtlich nicht ganz einfach. Anfang des Jahres sind Strafverfolgungsbehörden in Deutschland ganz entschieden gegen Blogger vorgegangen, die auch nur indirekt Links auf geleakte Sperrlisten aus anderen Staaten gesetzt hatten(“Dänische Sperrliste mobilisiert Polizei” und “Hausdurchsuchung bei Blogger, der dänische Kinderporno-Sperrliste verlinkt“). Hier sieht man schon was evtl. noch dieses Jahr auf uns zukommt, ich nenne es schon mal ein “Juristisches Blutbad”, bei dem – wie zuoft leider – die eigentlichen Opfer auf der Strecke bleiben werden.

Es wird viele Listen geben
Ich könnte mir gut vorstellen, das wir plötzlich eine ganze Flut von “deutschen Sperrlisten” sehen werden. Die Sperrliste ist ja kein statisches Objekt, sonderen eine täglich aktualisierte Liste, d.h. es gibt per default schon mal viele Varianten. Zum anderen könnte ich mir vorstellen das es auch gefährlich ist, die Sperrliste 1:1 zu veröffentlichen. Evtl. streut das BKA, ähnlich wie wir das bei Kinofilmen schon kennen, Marker ein um eine undichte Stelle aufspüren zu können. Zum anderen wird es einige geben die versuchen die “deutsche Sperrliste” indirekt über DNS-Anfragen zu ermittlen.

Das BKA veröffentlicht die Sperrliste indirekt selbst
Dieser Punkt wurde von Gegnern der Internetsperren bereits erwähnt. Im Prinzip stellt die Zensurinfrastruktur an sich eine indirekte Veröffentlichung der Sperrliste dar. Mit etwas Programmierkenntnissen (For-Schleife), kann eigentlich jeder seine persönliche Version der Sperrliste erstellen. Amateure werden das so machen, das man ihre IP-Nummer zurückverfolgen kann und die schwarzen Schafe die wir eigentlich bekämpfen wollen werden unter anderem die Computer der naiven CDU, CSU und SPD Wähler dazu missbrauchen.

Die Sperrliste ist aber verschlüsselt
Naja, das wird ein spannender Punkt werden. Man spricht hier ja gerne von “Low hanging fruits”. Das Gesetzt soll ja für Anbieter ab 10.000 Benutzern gelten. Gerade in diesem Bereich wird es schwierig! Niemand kann einem kleinen Unternehmen oder einer ohnehin schon knapp bei Kasse Uni vorschreiben teure highperformance Software von Nominum zu kaufen. Und was machen wir mit der Piratenpartei und dem CCC? Die betreiben auch DNS-Server, bekommen die dann auch die Sperrliste? Und was passiert wenn ein deutscher ISP den Betrieb der DNS-Server z.B. nach Osteuropa oder nach Indien ausgelagert hat? Dann ist die gute deutsche Sperrliste auch nicht mehr weit von Weißrussland entfernt…

Phase 1 – beginnt

Es ging schneller als ich gedacht hätte, netzpolitik.org: Nominum – Die Firma hinter der Zensursula-Infrastruktur. Offenbar werden einige große ISPs in Deutschland die Internetsperren mit der Software dieser Firma realisieren. Ok, dann wollen wir mal kucken gehen:

  1. Nominum
  2. Das entsprechende DNS-Server Produkt das zum Einsatz kommt ist Vantio™ Base Server
  3. Eine Navigationshilfe wie in meinem letzten Blog-Eintrag erwähnt könnte z.B. mit dem Zusatz-Modul Vantio NXR realisiert werden.
  4. Für uns interessant ist das zweite Zusatz-Modul Vantio MDR – Nominum’s Malicious Domain Redirection (MDR) Service Delivery Module
  5. Die Homepage von Nominum gibt leider wenig her, aber bei SUN gibts ein bischen mehr Infos die uns weiterhelfen: Whitepaper – NEXT-GENERATION DNS for IMPROVED NETWORK PERFORMANCE. Ok, Solaris 10, na sowas das trifft sich ja sehr gut 🙂 (Debian, Redhat-Enterprise-Linux, Suse und Freebsd gibt es offenbar auch)
  6. Ah und: DNS Cache poisoning CVE-2008-1447 -> Nominum Software Security Advisory NOM-20080708, is ja auch klar wenn die BIND 9 gemacht haben…
  7. Einen Artikel bei network Computing gibts auch noch: Aktuelle Bedrohungsdaten berücksichtigen Wirksame Sperre von Webseiten über DNS-Server von Nominum

Wie funktioniert die DNS-Sperre

Nur noch 14 Tage bis zur Einführung der Zensurinfrastruktur und die Entwicklung im Netz ist im Moment verdammt schnell, deshalb muss ich mich fast schon ein bischen beeilen. Ich gehe davon aus das die nächsten Monate – was Internetsperren angeht – sehr technisch werden. Darum möchte ich vorweg kurz erklären wie diese DNS-Sperren überhaupt funktionieren.

Dazu gibts erstmal ein Bildchen:
dns-sperre01

Der Ablauf ist dann folgender

  1. Sie möchten also von ihrem Computer die Webseite www.illegal.de aufrufen.
  2. Damit ihr Web-Browser diese Webseite aus dem Internet herunterladen kann, benötigt er zuerst die IP-Nummer für www.illegal.de, dazu stellt ihr Betriebssystem eine DNS-Abfrage an den DNS-Server ihres Providers.
  3. Dieser DNS-Server kennt die Sperrliste des BKA und liefert anstatt der richtigen IP-Nummer 1.2.3.4 die IP-Nummer des Web-Servers mit dem Stop-Schild (hier 6.6.6.6).
  4. Als Folge davon stellt ihr Web-Browser seine Anfrage für den Download der Webseite (HTTP-Request) an den Stop-Schild Server und sie sehen das Stop-Schild.

Die Technik hierfür ist im Prinzip jetzt schon z.B. bei T-Online im Einsatz. Wer die T-Online DNS-Server verwendet und eine falsche Adresse (z.B. www.asdfkjasdf.de) eingibt wird automatisch auf die T-Online Navigationshilfe umgeleitet. Ein bischen technischer sieht die DNS-Abfrage für www.asdfkjasdf.de bei T-Online dann eben so aus:

 $ dig @217.0.43.145 www.asdfkjasdf.de

; <<>> DiG 9.6.1-RedHat-9.6.1-2.fc11 <<>> @217.0.43.145 www.asdfkjasdf.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9751
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.asdfkjasdf.de.		IN	A

;; ANSWER SECTION:
www.asdfkjasdf.de.	0	IN	A	62.157.140.133
www.asdfkjasdf.de.	0	IN	A	80.156.86.78

;; Query time: 59 msec
;; SERVER: 217.0.43.145#53(217.0.43.145)
;; WHEN: Fri Jul 17 00:01:44 2009
;; MSG SIZE  rcvd: 67

Sauber und richtig wäre in diesem Fall eigentlich folgende DNS-Antwort:

$ dig www.asdfkjasdf.de

; <<>> DiG 9.6.1-RedHat-9.6.1-2.fc11 <<>> www.asdfkjasdf.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 38658
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;www.asdfkjasdf.de.		IN	A

;; AUTHORITY SECTION:
de. 7200 IN SOA f.nic.de. its.denic.de. 2009071693 7200 7200 3600000 7200

;; Query time: 67 msec
;; SERVER: 192.168.2.1#53(192.168.2.1)
;; WHEN: Fri Jul 17 00:07:22 2009
;; MSG SIZE  rcvd: 87

Das Entscheidende ist hier das NXDOMAIN und steht für Non-Existent Domain.

Das Weiterleiten auf eine “Navigationshilfe” wird von einigen Sicherheitsexperten sehr kritisch gesehen. Diese Technik kann auch missbraucht werden, aber dazu vielleicht in einem eigenen Blog-Eintrag mal mehr.

Für den technisch noch etwas unbedarften Leser, keine Panik wegen dem vielen Kauderwelsch, daran gewöhnt man sich. Das ZugErschwG ist ja bis 2012 befristet und wenn das passiert was ich vermute was passieren wird, haben sie zum eingewöhnen noch jede Menge Gelegenheit!