DNS-Changer – www.dns-ok.de – Post von der Telekom

Na vielleicht hätte ich doch schon schon ein paar Tage früher über den DNS-Changer schreiben sollen. Aber bei der Euphorie Presse und Bevölkerung dachte ich mir spar ich mir das mal… Wieder ein Fehler! Heute kam dann gleich noch Post von der Telekom hinterher:

Damit wir uns richtig verstehen; Trojaner und insbesondere Botnetze sind eine super lästige Sache! So gesehen finde ich es sehr begrüßenswert wenn Zugangsprovider Ihre Kunden aktiv informieren. Aber in diesem ganz konkreten Fall finde ich das Vorgehen und den Presserummel etwas überzogen…

Warum? – Dann mal der Reihe nach…

Der DNS-Changer selbst – die Schadsoftware selbst ist seit meheren Wochen nicht mehr aktiv. Die benutzten “Rogue DNS-Server” sind ebenfalls “gesichert” und unter Kontrolle. Es geht also eigentlich nur darum das diese Server am 8. März abgeschaltet werden und als Folge davon wird es bei den Leuten die diese DNS-Server verwenden bei der Namensauflösung zu Problemen kommen. Wenn man den Presseberichten glauben kann sprechen wir von ca. 33.000 deutschen Usern die von diesem Problem betroffen sein könnten.

Warum schreibt mir dann die Telekom nen Brief? – Naja, ich bin halt ein durchweg neugieriger Mensch. Als ich die Meldung gelesen habe, wollte ich natürlich auch sofort kucken wie die Website www.dns-ok.de funktioniert. Dazu hab ich mir natürlich nicht nur die Webseite mit dem grünen Balken angesehen, sondern auch die mit dem roten ;-). Ich hatte mir insbesondere angesehen wer die Seite www.dns-ok.de betreibt und wo die Rogue DNS-Server stehen. Als ich die IP-Nummer für den roten Balken von www.dns-ok.de ansurfte habe ich ganz normal ohne Anonymisierung meinen T-DSL Anschluss verwendet. Offenbar wertet dann jemand die Zugriffe auf den roten Balken aus und die “ordentlichen ISPs” verschicken dann gleich noch nen Brief.

Für die Leute die sich noch fragen wie die Unterscheidung zwischen grünem und rotem Balken erfolgt. Die ehemaligen “Rogue DNS-Server” liefern für www.dns-ok.de eine vom regulären DNS-Eintrag abweichende IP-Nummer!

Zunächst eine DNS-Abfrage über meine eigenen DNS-Server für den grünen Balken:

[frank@w0007 ~]$ dig www.dns-ok.de
; <<>> DiG 9.8.1-P1-RedHat-9.8.1-4.P1.fc16 <<>> www.dns-ok.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6340
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 0

;; QUESTION SECTION:
;www.dns-ok.de.			IN	A

;; ANSWER SECTION:
www.dns-ok.de.		82347	IN	A	85.214.11.195

;; AUTHORITY SECTION:
dns-ok.de.		82347	IN	NS	nyarlathotep2.hsd.de.
dns-ok.de.		82347	IN	NS	alhazred.hsd.de.
dns-ok.de.		82347	IN	NS	nyarlathotep.hsd.de.

;; Query time: 0 msec
;; SERVER: 192.168.1.45#53(192.168.1.45)
;; WHEN: Sat Jan 14 15:46:31 2012
;; MSG SIZE  rcvd: 129

Und nun die rote Abfrage über einen der betroffenen DNS-Server aus Odessa:

[frank@w0007 ~]$ dig @85.255.112.1 www.dns-ok.de
; <<>> DiG 9.8.1-P1-RedHat-9.8.1-4.P1.fc16 <<>> @85.255.112.1 www.dns-ok.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29511
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

;; QUESTION SECTION:
;www.dns-ok.de.			IN	A

;; ANSWER SECTION:
www.dns-ok.de.		30	IN	A	85.214.11.194

;; AUTHORITY SECTION:
rpz.dcwg.org.		30	IN	NS	localhost.

;; ADDITIONAL SECTION:
localhost.		3600	IN	A	127.0.0.1

;; Query time: 126 msec
;; SERVER: 85.255.112.1#53(85.255.112.1)
;; WHEN: Sat Jan 14 15:52:51 2012
;; MSG SIZE  rcvd: 98

Warum ist der DNS-Changer Pressehype gefährlich? – Aufklärung und Sensibilisierung sind bei diesem Thema sehr wichtig. Aber zuviel Panikmache und Hysterie ist dann auch wieder nicht sinnvoll. So kann ich nur sagen die nächste Spam, Hoax und Scareware-Welle zu diesem Thema kommt bestimmt. Und gerade BKA und Co wurden in den letzten Monaten schon öfter als Thema benutzt. Die Website http://www.dns-okay.de/ ist ebenfalls eine gute Mahnung an dieser Stelle!

Was hätte man anders machen können? – Ich hätte vermutlich das gemacht was ich im DNS-Normalbetrieb kritisiert hätte. Ich hätte die ehemaligen “Rogue DNS-Server” so konfiguriert das sie für alle DNS-Anfragen immer die gleiche IP-Nummer liefern. Auf dieser IP-Nummer lässt sich dann ein entsprechender Warnhinweis auf einem Webserver anbringen. Klarer Nachteil: das funktioniert nur mit HTTP/HTTPS, alle anderen genutzten Dienste tun erstmal nicht mehr. Aber die 100% richtige Lösung gibts hier wohl nicht…

Hintergrundinfos zum Thema:

0zapftis – Staatstrojaner und der Fallout danach

Wow, das hat aber mächtig eingeschlagen, ich hoffe in der Politik bewegt sich nun was!

Einen guten Überblick zur aktuellen Staatstrojaner-Wetterlage gibts unter: 0zapftis.info. Deshalb nur ein Link noch zu aktuellen Reaktionen – bei der Firma F-Secure (Antiviren-Hersteller) ist das Installationsprogramm (Dropper) für den Staatstrojaner 09.12.2010 das erste mal aufgetaucht: More Info on German State Backdoor: Case R2D2.

Noch viel besser wird die ganze Sache wenn man sich ankuckt was von bestimmten Leuten und Organisationen in der Vergangenheit zu diesem Thema gesagt wurde. Im Prinzip war der nun öffentlich gewordene Staatstrojaner mindestens seit Anfang des Jahres eine tickende Zeitbombe. Damit sich jeder selbst ein Bild machen kann, hier ein Link zu einem Blog-Post vom 28.01.2011 ijure.org – Landgericht: LKA Bayern setzt rechtswidrig Screenshot-Trojaner ein. Die Vorgänge zu diesem Verfahren waren in der Tat bereits Thema einiger Anfragen und Diskussionen im bayrischen Landtag. Daher war es nur noch eine Frage der Zeit bis auch der Stattstrojaner selbst in diesem Fall leakt…

Zum Schluss binde ich einfach das Video vom 24C3 (2007!) – Der Bundestrojaner – Die Wahrheit haben wir auch nicht, aber gute Mythen:

Der Bundestrojaner

“Ja, is denn heut scho Weihnachten?” – Chaos Computer Club analysiert Staatstrojaner (ccc.de). Seit dem die Online-Durchsuchung von einigen Politikern als DIE Antiterrorwaffe auserkoren wurde, warten ja alle nur darauf so einen Trojaner in die Hände zu bekommen. Tja, das Warten hat sich gelohnt, nun is es endlich soweit!
Die Pressemeldung des CCC enthält auch einen Link zu einer super gemachten Untersuchung des gefunden Schadprogramms. Sehr lesenswert!

Der Vollständigkeit halber noch ein Link zu folgender Meldung der Piratenpartei aus dem Jahr 2008: LKA Bayern nutzt “Bayerntrojaner” bereits zum VoIP-Abhören?. Dort ist ein gescanntes PDF-Dokument des bayrischen Justizministeriums mit einigen Erklärungen verlinkt. (Dafür gabs damals mächtig Ärger – incl. Hausdurchsuchung). Wie so ein Trojaner auf den eigenen Computer kommen kann, konnte auch schon geklärt werden. Einen entsprechenden Artikel gibts bei spiegel.de: Fahnder – Massiver Eingriff.

Die CCC-Auswertung lässt sehr tief blicken mit wieviel Pfusch bei den Ermittlungsbehörden offenbar gearbeitet wird! Hierzu einige Thesen:

  • Ein derartiger Trojaner lässt sich durch die Auswertung und Prüfung der Netzwerk-Kommunikation sehr leicht aufspüren
  • Wurde der Trojaner erstmal entdeckt, würde aus Sicht der Ermittlungsbehörden im besten Fall der Trojaner einfach deaktiviert.
  • Viel wahrscheinlicher ist aber das der Überwachte dem Trojaner und dessen Arbeitsweise nachgeht. Man könnte den Trojaner quasi umdrehen und gezeilt Falschinformationen streuen und so die Ermittler ablenken.
  • Die andere Möglichkeit ist, das sich das Trojaner-Opfer den Command&Control-Server vornimmt. Dadurch werden dann schnell die Ermittler zum Überwachungsobjekt.

Bin ja mal gespannt wie diese Sache sich entwickeln wird!