{"id":681,"date":"2012-01-14T14:44:06","date_gmt":"2012-01-14T13:44:06","guid":{"rendered":"http:\/\/www.scheiss-software.de\/?p=681"},"modified":"2012-01-14T16:16:06","modified_gmt":"2012-01-14T15:16:06","slug":"dns-changer-www-dns-ok-de-post-von-der-telekom","status":"publish","type":"post","link":"https:\/\/www.scheiss-software.de\/?p=681","title":{"rendered":"DNS-Changer – www.dns-ok.de – Post von der Telekom"},"content":{"rendered":"

Na vielleicht h\u00e4tte ich doch schon schon ein paar Tage fr\u00fcher \u00fcber den DNS-Changer schreiben sollen. Aber bei der Euphorie Presse und Bev\u00f6lkerung dachte ich mir spar ich mir das mal… Wieder ein Fehler! Heute kam dann gleich noch Post von der Telekom hinterher:
\n\"\"<\/a><\/p>\n

Damit wir uns richtig verstehen; Trojaner und insbesondere Botnetze sind eine super l\u00e4stige Sache! So gesehen finde ich es sehr begr\u00fc\u00dfenswert wenn Zugangsprovider Ihre Kunden aktiv informieren. Aber in diesem ganz konkreten Fall finde ich das Vorgehen und den Presserummel etwas \u00fcberzogen…<\/p>\n

Warum?<\/strong> – Dann mal der Reihe nach…<\/p>\n

Der DNS-Changer selbst<\/strong> – die Schadsoftware selbst ist seit meheren Wochen nicht mehr aktiv. Die benutzten “Rogue DNS-Server” sind ebenfalls “gesichert” und unter Kontrolle. Es geht also eigentlich nur darum das diese Server am 8. M\u00e4rz abgeschaltet werden und als Folge davon wird es bei den Leuten die diese DNS-Server verwenden bei der Namensaufl\u00f6sung zu Problemen kommen. Wenn man den Presseberichten glauben kann sprechen wir von ca. 33.000 deutschen Usern die von diesem Problem betroffen sein k\u00f6nnten.<\/p>\n

Warum schreibt mir dann die Telekom nen Brief?<\/strong> – Naja, ich bin halt ein durchweg neugieriger Mensch. Als ich die Meldung gelesen habe, wollte ich nat\u00fcrlich auch sofort kucken wie die Website www.dns-ok.de<\/a> funktioniert. Dazu hab ich mir nat\u00fcrlich nicht nur die Webseite mit dem gr\u00fcnen Balken angesehen, sondern auch die mit dem roten ;-). Ich hatte mir insbesondere angesehen wer die Seite www.dns-ok.de<\/a> betreibt und wo die Rogue DNS-Server stehen. Als ich die IP-Nummer f\u00fcr den roten Balken von www.dns-ok.de ansurfte habe ich ganz normal ohne Anonymisierung meinen T-DSL Anschluss verwendet. Offenbar wertet dann jemand die Zugriffe auf den roten Balken aus und die “ordentlichen ISPs” verschicken dann gleich noch nen Brief.<\/p>\n

F\u00fcr die Leute die sich noch fragen wie die Unterscheidung zwischen gr\u00fcnem und rotem Balken erfolgt. Die ehemaligen “Rogue DNS-Server” liefern f\u00fcr www.dns-ok.de eine vom regul\u00e4ren DNS-Eintrag abweichende IP-Nummer!<\/p>\n

Zun\u00e4chst eine DNS-Abfrage \u00fcber meine eigenen DNS-Server f\u00fcr den gr\u00fcnen Balken:<\/p>\n

\r\n[frank@w0007 ~]$ dig www.dns-ok.de<\/strong>\r\n; <<>> DiG 9.8.1-P1-RedHat-9.8.1-4.P1.fc16 <<>> www.dns-ok.de\r\n;; global options: +cmd\r\n;; Got answer:\r\n;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6340\r\n;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 0\r\n\r\n;; QUESTION SECTION:\r\n;www.dns-ok.de.\t\t\tIN\tA\r\n\r\n;; ANSWER SECTION:\r\nwww.dns-ok.de.\t\t82347\tIN\tA\t85.214.11.195<\/strong>\r\n\r\n;; AUTHORITY SECTION:\r\ndns-ok.de.\t\t82347\tIN\tNS\tnyarlathotep2.hsd.de.\r\ndns-ok.de.\t\t82347\tIN\tNS\talhazred.hsd.de.\r\ndns-ok.de.\t\t82347\tIN\tNS\tnyarlathotep.hsd.de.\r\n\r\n;; Query time: 0 msec\r\n;; SERVER: 192.168.1.45#53(192.168.1.45)\r\n;; WHEN: Sat Jan 14 15:46:31 2012\r\n;; MSG SIZE  rcvd: 129\r\n<\/pre>\n
Und nun die rote Abfrage \u00fcber einen der betroffenen DNS-Server aus Odessa:<\/p>\n
\r\n[frank@w0007 ~]$ dig @85.255.112.1 www.dns-ok.de<\/strong>\r\n; <<>> DiG 9.8.1-P1-RedHat-9.8.1-4.P1.fc16 <<>> @85.255.112.1 www.dns-ok.de\r\n; (1 server found)\r\n;; global options: +cmd\r\n;; Got answer:\r\n;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29511\r\n;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1\r\n\r\n;; QUESTION SECTION:\r\n;www.dns-ok.de.\t\t\tIN\tA\r\n\r\n;; ANSWER SECTION:\r\nwww.dns-ok.de.\t\t30\tIN\tA\t85.214.11.194<\/strong>\r\n\r\n;; AUTHORITY SECTION:\r\nrpz.dcwg.org.\t\t30\tIN\tNS\tlocalhost.\r\n\r\n;; ADDITIONAL SECTION:\r\nlocalhost.\t\t3600\tIN\tA\t127.0.0.1\r\n\r\n;; Query time: 126 msec\r\n;; SERVER: 85.255.112.1#53(85.255.112.1)\r\n;; WHEN: Sat Jan 14 15:52:51 2012\r\n;; MSG SIZE  rcvd: 98\r\n<\/pre>\n
Warum ist der DNS-Changer Pressehype gef\u00e4hrlich?<\/strong> – Aufkl\u00e4rung und Sensibilisierung sind bei diesem Thema sehr wichtig. Aber zuviel Panikmache und Hysterie ist dann auch wieder nicht sinnvoll. So kann ich nur sagen die n\u00e4chste Spam, Hoax und Scareware-Welle zu diesem Thema kommt bestimmt. Und gerade BKA und Co wurden in den letzten Monaten schon \u00f6fter als Thema benutzt. Die Website http:\/\/www.dns-okay.de\/<\/a> ist ebenfalls eine gute Mahnung an dieser Stelle!<\/p>\n
Was h\u00e4tte man anders machen k\u00f6nnen?<\/strong> – Ich h\u00e4tte vermutlich das gemacht was ich im DNS-Normalbetrieb kritisiert h\u00e4tte. Ich h\u00e4tte die ehemaligen “Rogue DNS-Server” so konfiguriert das sie f\u00fcr alle DNS-Anfragen immer die gleiche IP-Nummer liefern. Auf dieser IP-Nummer l\u00e4sst sich dann ein entsprechender Warnhinweis auf einem Webserver anbringen. Klarer Nachteil: das funktioniert nur mit HTTP\/HTTPS, alle anderen genutzten Dienste tun erstmal nicht mehr. Aber die 100% richtige L\u00f6sung gibts hier wohl nicht…<\/p>\n
Hintergrundinfos zum Thema:<\/p>\n