Das Bundesamt für Sicherheit in der Informationstechnik (BSI)
empfiehlt
allen Internetnutzern, ihre Rechner auf eine Infektion mit dem
DNS-Changer-Trojaner
"DNS-Changer"
zu überprüfen und nennt auch eine Website, auf der das online
erledigt wird:
www.dns-ok.de.
Aber kann man dieser Seite trauen, immerhin ist ja das Bundestrojaner verbreitende BKA mit von der Partie? Ich versuche mal, etwas Licht ins Dunkle zu bringen.
www.dns-ok.de?Das BSI behauptet in seiner Pressemitteilung
"Die Überprüfung erfolgt ausschließlich über den Aufruf der Website www.dns-ok.de, es wird keine Software gestartet oder heruntergeladen."
Da klingt für viele auf den ersten und auch auf den zweiten Blick unglaubwürdig: Wie soll eine Website wissen, welchen DNS-Server ein Client benutzt, ohne auf diesem Software zu starten?
Die Erklärung dafür ist ganz einfach, wenn man sich das ganze mal
genauer ansieht. Fangen wir mit der in Ihrem Browser angezeigten Webseite
an. Die "weiß" gar nichts, sie enthält keinerlei aktive
Inhalte, sondern gibt einfach nur "Ihre DNS Konfiguration ist
korrekt" oder "ACHTUNG: Ihre DNS Konfiguration ist
manipuliert" aus. Des Rätsels Lösung muss also auf dem
Server zu finden sein. Woher weiß der Server, ob Ihr System
infiziert ist oder nicht und welche Seite er ausgeben soll? Nun, auch der
Server "weiß" nicht, ob Ihr System infiziert ist oder nicht. Er gibt
nur stur immer die gleiche Seite aus. Denn hinter
www.dns-ok.de verbergen sich zwei Server, und je nachdem,
welchen Sie davon aufrufen, sehen Sie grün oder rot.
Für die Unterscheidung zwischen "Guter Nameserver" und "Böser
Nameserver" sind die Nameserver selbst zuständig:
Alle normalen Nameserver liefern bei der Anfrage nach
www.dns-ok.de die IP-Adresse 85.214.11.195
zurück,
die vom FBI kontrollierten Nameserver, die die Server der Cyberkriminellen
ersetzen, dagegen 85.214.11.194.
Und während der Server mit der IP-Adresse 85.214.11.195
immer "Alles OK" meldet, gibt der mit der IP-Adresse
85.214.11.194 immer die Warnmeldung aus.
| Nameserver | IP-Adresse | Inhalt |
|---|---|---|
| "Normal" | 85.214.11.195 |
"Ihre DNS Konfiguration ist korrekt" |
| FBI | 85.214.11.194 |
"ACHTUNG: Ihre DNS Konfiguration ist manipuliert" |
Probieren Sie es doch einfach mal aus:
Beim Aufruf von
http://85.214.11.195/
sehen Sie die Meldung "Ihre DNS Konfiguration ist korrekt",
beim Aufruf von
http://85.214.11.194/
dagegen "ACHTUNG: Ihre DNS Konfiguration ist manipuliert".
Und das unabhängig davon, ob Ihr System einen korrekten Nameserver oder
einen des FBIs benutzt.
www.dns-ok.de
überprüfen können: Alles ist im grünen Bereich. Sofern Sie nicht schon
zuvor einen falschen Nameserver verwendet haben.
Woher kommt aber das Misstrauen gegen eine Website, die nichts weiter macht, als den einen oder den anderen Text auszugeben? Nun, erst mal macht es natürlich misstrauisch, dass nirgends erklärt wird, was beim Aufruf der Testseite überhaupt passiert. Das BSI gibt nur an, was nicht passiert: Es wird keine Software gestartet oder heruntergeladen. Das kann man glauben - oder auch nicht. Und dann hat das BSI noch einen wenig vertrauenserweckenden Partner an seiner Seite: Das BKA.
Das BKA hat oft genug gezeigt, dass es den Bürgern nicht traut und dass ihm nicht zu trauen ist.
Wer die IP-Adressen der Besucher von Fahndungsaufrufen protokolliert, um darunter dann nach Verdächtigen zu suchen, darf sich nicht wundern, wenn nach der Aufdeckung dieser Aktionen niemand mehr Lust hat, diese Website zu besuchen. Wer einen mehr als zweifelhaften Trojaner in mehr als zweifelhaften Fällen einsetzt, darf sich nicht wundern, wenn nach der Aufdeckung dieser Aktionen mit weiteren Trojanerangriffen gerechnet wird.
Dass Aufrufe zum Besuch einer Website dann bei vielen Internetnutzern Misstrauen erregen, ist ja wohl kein Wunder. Dann zu beteuern, dass man natürlich nicht die Absicht habe, einen Trojaner zu installieren, nützt auch nichts mehr. Denn wenn es so wäre, würde das BKA es natürlich genauso abstreiten. Dumme Sache, oder? Klarer Fall von "Pech gehabt": "Wer einmal lügt, dem glaubt man nicht, auch wenn er mal die Wahrheit spricht."
Dass das BSI auch nicht unbedingt vertrauenswürdiger ist, wie Fefe festgestellt hat, ist dabei in diesem Fall wohl weniger ausschlaggebend. Das Buzzword "BKA" in der BSI-Pressemitteilung dürfte reichen, um bei manchem Nutzer die Warnglocken läuten zu lassen. Zumal nicht ganz klar wird, was das BKA damit überhaupt zu tun hat: Das BSI warnt, die Telekom stellt die Testseite bereit - und das BKA? Kommt nur im Untertitel und als Pressekontakt vor. Wieso, weshalb, warum? Nichts genaues weiss man nicht.
Hätte das BSI erklärt, wie der Test funktioniert, hätte es viel weniger Grund zu Misstrauen gegeben. So ist das doch alles etwas mysteriös. Kein Wunder, dass das zu Verschwörungstheorien führt. Darf ich auch noch ein oder zwei hinzufügen?
Wenn Sie zur Zeit die falschen Nameserver nutzen, kann das FBI Ihre Verbindungen nach Belieben umleiten. Wer weiß, vielleicht haben Sie sich ja schon einen FBI-Trojaner eingefangen? Oder das FBI hat ein genaues Profil Ihrer Internetnutzung seit dem 9.11.2011 erstellt? Immerhin ist das eine US-amerikanische Behörde, und wir wissen ja, dass die Amis noch lieber Daten sammeln und horten als Dagobert Duck Taler. Wieso warnt man erst jetzt, mehr als 2 Monate nach dem Austausch der Nameserver der Cyberkriminellen durch die Nameserver des FBI, vor den falschen Nameservern?
www.dns-ok.de ist also harmlos. Aber was ist mit anderen
Servern, die ebenfalls einen Test bereitstellen? Da ist die Lage zumindest
nicht so eindeutig, wie ich
hier
festgestellt habe.
Dipl.-Inform. Carsten Eilers
Über mich...
HTML5 Security,
deutsche Ausgabe
E-Book im EPUB-Format
Mai 2012, entwickler.press
ISBN: 978-3-86802-417-3
HTML5 Security,
englisch edition
E-Book in EPUB-Format
Oktober 2012, developer.press
ISBN: 978-1-909264-02-1
