DNS-Changer – www.dns-ok.de – Post von der Telekom

Na vielleicht hätte ich doch schon schon ein paar Tage früher über den DNS-Changer schreiben sollen. Aber bei der Euphorie Presse und Bevölkerung dachte ich mir spar ich mir das mal… Wieder ein Fehler! Heute kam dann gleich noch Post von der Telekom hinterher:

Damit wir uns richtig verstehen; Trojaner und insbesondere Botnetze sind eine super lästige Sache! So gesehen finde ich es sehr begrüßenswert wenn Zugangsprovider Ihre Kunden aktiv informieren. Aber in diesem ganz konkreten Fall finde ich das Vorgehen und den Presserummel etwas überzogen…

Warum? – Dann mal der Reihe nach…

Der DNS-Changer selbst – die Schadsoftware selbst ist seit meheren Wochen nicht mehr aktiv. Die benutzten “Rogue DNS-Server” sind ebenfalls “gesichert” und unter Kontrolle. Es geht also eigentlich nur darum das diese Server am 8. März abgeschaltet werden und als Folge davon wird es bei den Leuten die diese DNS-Server verwenden bei der Namensauflösung zu Problemen kommen. Wenn man den Presseberichten glauben kann sprechen wir von ca. 33.000 deutschen Usern die von diesem Problem betroffen sein könnten.

Warum schreibt mir dann die Telekom nen Brief? – Naja, ich bin halt ein durchweg neugieriger Mensch. Als ich die Meldung gelesen habe, wollte ich natürlich auch sofort kucken wie die Website www.dns-ok.de funktioniert. Dazu hab ich mir natürlich nicht nur die Webseite mit dem grünen Balken angesehen, sondern auch die mit dem roten ;-). Ich hatte mir insbesondere angesehen wer die Seite www.dns-ok.de betreibt und wo die Rogue DNS-Server stehen. Als ich die IP-Nummer für den roten Balken von www.dns-ok.de ansurfte habe ich ganz normal ohne Anonymisierung meinen T-DSL Anschluss verwendet. Offenbar wertet dann jemand die Zugriffe auf den roten Balken aus und die “ordentlichen ISPs” verschicken dann gleich noch nen Brief.

Für die Leute die sich noch fragen wie die Unterscheidung zwischen grünem und rotem Balken erfolgt. Die ehemaligen “Rogue DNS-Server” liefern für www.dns-ok.de eine vom regulären DNS-Eintrag abweichende IP-Nummer!

Zunächst eine DNS-Abfrage über meine eigenen DNS-Server für den grünen Balken:

[frank@w0007 ~]$ dig www.dns-ok.de
; <<>> DiG 9.8.1-P1-RedHat-9.8.1-4.P1.fc16 <<>> www.dns-ok.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6340
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 0

;; QUESTION SECTION:
;www.dns-ok.de.			IN	A

;; ANSWER SECTION:
www.dns-ok.de.		82347	IN	A	85.214.11.195

;; AUTHORITY SECTION:
dns-ok.de.		82347	IN	NS	nyarlathotep2.hsd.de.
dns-ok.de.		82347	IN	NS	alhazred.hsd.de.
dns-ok.de.		82347	IN	NS	nyarlathotep.hsd.de.

;; Query time: 0 msec
;; SERVER: 192.168.1.45#53(192.168.1.45)
;; WHEN: Sat Jan 14 15:46:31 2012
;; MSG SIZE  rcvd: 129

Und nun die rote Abfrage über einen der betroffenen DNS-Server aus Odessa:

[frank@w0007 ~]$ dig @85.255.112.1 www.dns-ok.de
; <<>> DiG 9.8.1-P1-RedHat-9.8.1-4.P1.fc16 <<>> @85.255.112.1 www.dns-ok.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29511
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

;; QUESTION SECTION:
;www.dns-ok.de.			IN	A

;; ANSWER SECTION:
www.dns-ok.de.		30	IN	A	85.214.11.194

;; AUTHORITY SECTION:
rpz.dcwg.org.		30	IN	NS	localhost.

;; ADDITIONAL SECTION:
localhost.		3600	IN	A	127.0.0.1

;; Query time: 126 msec
;; SERVER: 85.255.112.1#53(85.255.112.1)
;; WHEN: Sat Jan 14 15:52:51 2012
;; MSG SIZE  rcvd: 98

Warum ist der DNS-Changer Pressehype gefährlich? – Aufklärung und Sensibilisierung sind bei diesem Thema sehr wichtig. Aber zuviel Panikmache und Hysterie ist dann auch wieder nicht sinnvoll. So kann ich nur sagen die nächste Spam, Hoax und Scareware-Welle zu diesem Thema kommt bestimmt. Und gerade BKA und Co wurden in den letzten Monaten schon öfter als Thema benutzt. Die Website http://www.dns-okay.de/ ist ebenfalls eine gute Mahnung an dieser Stelle!

Was hätte man anders machen können? – Ich hätte vermutlich das gemacht was ich im DNS-Normalbetrieb kritisiert hätte. Ich hätte die ehemaligen “Rogue DNS-Server” so konfiguriert das sie für alle DNS-Anfragen immer die gleiche IP-Nummer liefern. Auf dieser IP-Nummer lässt sich dann ein entsprechender Warnhinweis auf einem Webserver anbringen. Klarer Nachteil: das funktioniert nur mit HTTP/HTTPS, alle anderen genutzten Dienste tun erstmal nicht mehr. Aber die 100% richtige Lösung gibts hier wohl nicht…

Hintergrundinfos zum Thema:

0zapftis – Staatstrojaner und der Fallout danach

Wow, das hat aber mächtig eingeschlagen, ich hoffe in der Politik bewegt sich nun was!

Einen guten Überblick zur aktuellen Staatstrojaner-Wetterlage gibts unter: 0zapftis.info. Deshalb nur ein Link noch zu aktuellen Reaktionen – bei der Firma F-Secure (Antiviren-Hersteller) ist das Installationsprogramm (Dropper) für den Staatstrojaner 09.12.2010 das erste mal aufgetaucht: More Info on German State Backdoor: Case R2D2.

Noch viel besser wird die ganze Sache wenn man sich ankuckt was von bestimmten Leuten und Organisationen in der Vergangenheit zu diesem Thema gesagt wurde. Im Prinzip war der nun öffentlich gewordene Staatstrojaner mindestens seit Anfang des Jahres eine tickende Zeitbombe. Damit sich jeder selbst ein Bild machen kann, hier ein Link zu einem Blog-Post vom 28.01.2011 ijure.org – Landgericht: LKA Bayern setzt rechtswidrig Screenshot-Trojaner ein. Die Vorgänge zu diesem Verfahren waren in der Tat bereits Thema einiger Anfragen und Diskussionen im bayrischen Landtag. Daher war es nur noch eine Frage der Zeit bis auch der Stattstrojaner selbst in diesem Fall leakt…

Zum Schluss binde ich einfach das Video vom 24C3 (2007!) – Der Bundestrojaner – Die Wahrheit haben wir auch nicht, aber gute Mythen. Youtube-Video: https://youtu.be/Chyix_fXMRw

Der Bundestrojaner

“Ja, is denn heut scho Weihnachten?” – Chaos Computer Club analysiert Staatstrojaner (ccc.de). Seit dem die Online-Durchsuchung von einigen Politikern als DIE Antiterrorwaffe auserkoren wurde, warten ja alle nur darauf so einen Trojaner in die Hände zu bekommen. Tja, das Warten hat sich gelohnt, nun is es endlich soweit!
Die Pressemeldung des CCC enthält auch einen Link zu einer super gemachten Untersuchung des gefunden Schadprogramms. Sehr lesenswert!

Der Vollständigkeit halber noch ein Link zu folgender Meldung der Piratenpartei aus dem Jahr 2008: LKA Bayern nutzt “Bayerntrojaner” bereits zum VoIP-Abhören?. Dort ist ein gescanntes PDF-Dokument des bayrischen Justizministeriums mit einigen Erklärungen verlinkt. (Dafür gabs damals mächtig Ärger – incl. Hausdurchsuchung). Wie so ein Trojaner auf den eigenen Computer kommen kann, konnte auch schon geklärt werden. Einen entsprechenden Artikel gibts bei spiegel.de: Fahnder – Massiver Eingriff.

Die CCC-Auswertung lässt sehr tief blicken mit wieviel Pfusch bei den Ermittlungsbehörden offenbar gearbeitet wird! Hierzu einige Thesen:

  • Ein derartiger Trojaner lässt sich durch die Auswertung und Prüfung der Netzwerk-Kommunikation sehr leicht aufspüren
  • Wurde der Trojaner erstmal entdeckt, würde aus Sicht der Ermittlungsbehörden im besten Fall der Trojaner einfach deaktiviert.
  • Viel wahrscheinlicher ist aber das der Überwachte dem Trojaner und dessen Arbeitsweise nachgeht. Man könnte den Trojaner quasi umdrehen und gezeilt Falschinformationen streuen und so die Ermittler ablenken.
  • Die andere Möglichkeit ist, das sich das Trojaner-Opfer den Command&Control-Server vornimmt. Dadurch werden dann schnell die Ermittler zum Überwachungsobjekt.

Bin ja mal gespannt wie diese Sache sich entwickeln wird!

Der CA-Supergau

Ups, da geht gerade mal der letzte Funke Vertrauenswürdigkeit der kommerziellen IT-Gesellschaft verloren und die breite Masse bekommts noch nicht mal mit :-D…. Wie gibts den sowas?

Ich glaube hier muss man erstmal kurz die Grundlagen klären. Nachdem das WWW erfunden war, ging es in der nächsten Stufe gleich darum, wie kann man sowas fürs Business benutzen? Für Banken bot sich das WWW fürs Online-Banking an, und als Plattform für Online-Shops ist das WWW natürlich auch verlockend. Um zumindest einen gewissen Grad von Sicherheit zu gewährleisten erfand die Firma Netscape damals die erste Version von SSL. SSL wird zum Beispiel bei HTTPS verwendet – wir erinnern uns das war die Geschichte mit diesem kleinen Schloss wenn man im Web-Browser Online-Banking macht.

Der IT-Experte hatte bei dem netten Schlösschen ja schon immer ein ziehen in der Magengegend, seit kurzem kann man dieses Schlösschen aber getrost in die Tonne kippen!

Wir machen am besten mal ein Beispiel und gehen auf die Webseite https://www.bund.de/DE/Home/homepage_node.html. Jeder Web-Browser bietet irgendwo die Möglichkeit sich das Zertifikat für diese Webseite anzusehen. Für www.bund.de sieht das etwa so aus (Text verkürzt):

Certificate Data:
  Version: 3 (0x2)
  Serial Number:
      e9:44:00:01:00:02:e8:5b:37:3c:fb:81:1c:3e
  Signature Algorithm: sha1WithRSAEncryption
  Issuer: C=DE, O=TC TrustCenter GmbH, 
          OU=TC TrustCenter Class 2 L1 CA, 
          CN=TC TrustCenter Class 2 L1 CA XI
  Validity
      Not Before: Mar 24 08:30:02 2011 GMT
      Not After : Jun 22 07:29:44 2014 GMT
  Subject: C=DE, ST=NRW, L=Koeln, O=Bundesverwaltungsamt, 
           OU=BIT B 5, CN=www.bund.de
  Subject Public Key Info:
      Public Key Algorithm: rsaEncryption
          Public-Key: (2048 bit)
  X509v3 extensions:
    X509v3 Authority Key Identifier: 
      keyid:66:B3:C6:91:F9:B6:CD:B2:5F:9A:
            37:56:46:0C:E2:6B:D5:B1:7C:B4
    X509v3 Subject Key Identifier: 
      24:9E:C0:C7:F8:17:EE:47:B3:51:B5:1B:0B:58:8A:54:B7:DC:85:4D
    X509v3 Extended Key Usage: 
        TLS Web Server Authentication, TLS Web Client Authentication
    Netscape Cert Type: 
        SSL Client, SSL Server
    X509v3 Subject Alternative Name: 
        email:it-sicherheit@bva.bund.de, DNS:www.bund.de, 
        DNS:editor.bund.de, DNS:m.bund.de, DNS:bund.de

Wichtig ist für wenn das Zertifikat ausgestellt wurde (Subject) und wer es ausgestellt hat (Issuer). In meinem Beispiel wurde das Zertifikat von der Firma TrustCenter GmbH für das Bundesverwaltungsamt ausgestellt. Den Issuer nennt man auch CA – (Certificate Authority / Zertifizierungsstelle). D.h. die Zertifizierungsstelle ist im Prinzip die Wurzel für die gesamte Vertrauenswürdigkeit dieses Systems. Hihihi, und jetzt kommt die Preisfrage – Was passiert wenn jemand mal eben Vollzugriff auf so eine Zertifizierungsstelle erlangt und beliebige Zertifikate ausstellen kann?

Tja und seit Fukushima sprechen wir ja nur noch von Supergau wenn es gleich an mehreren Stellen knallt und so ist es hier auch:

Das is halt wieder so ein Hacker-Thema? nene, leider nicht! Zumindest in den Niederlanden bebt gerade gewaltig die Erde. Und zwar so heftig (heise.de): Niederländische Regierung übernimmt Kontrolle über DigiNotar.

Tja und weils so schön ist, bei dem Thema ist eben mit Internet-Sicherheit alleine noch lange nicht Schluss. Genau die gleichen Zertifikate, Firmen und Technologien werden zum Beispiel bei folgenden Vorzeigeprojekten ebenfalls eingesetzt:

Ich hatte in einem der letzten Posts geschrieben das vieles in der modernen IT auf Sand gebaut ist. In diesem Fall muss ich mich korrigieren, es ist wohl eher Treibsand!

IT-Pannen des Tages

Die IT-Pannen sind in dieser Woche ja schon fast inflationär…

Zuerst stellt Frau Aigner Ihr Vorzeigeprojekt www.lebensmittelklarheit.de vor und das Ding knickt unter der Last gleich mal ein :-). Jetzt um 22:21 ist die Seite immer noch extrem langsam oder es kommen Fehlermeldungen. Was lernen wir daraus? – Wer ein Projekt PR-technisch auf spiegel.de, focus.de und tagesschau.de puscht muss sich im Vorfeld schon sehr umfangreiche Gedanken über die Performance seiner Website machen! Die Union hats ja mit den Stresstests ;-).

Penny.de hatte sich dann offenbar noch spontan zur Veröffentlichung der Kundendatenbank entschlossen: heise.de – Penny.de nach angeblichem Hackerangriff offline. Gibts eigentlich noch einen großen Einzelhandelskonzern der seine Kundendatenbank noch nicht unfreiwillig ins Netz gestellt hat? Wohl falsch verstandenes Cloud Computing

Unsere Bundesregierung ist natürlich immer vorne mit dabei, da reicht eine Panne pro Tag nicht. Deshalb gibts auf www.bundesregierung.de gleich noch eine Sicherheitslücke (siehe das Blog von Nils Juenemann – XSS bei der Bundesregierung). Ich glaub ja langsam die bauen die Sicherheitslücken absichtlich ein, damit das neue Cyber-Abwehrzentrum auch was zu tun hat.