Skip to content

www.dns-ok.de ist harmlos

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt allen Internetnutzern, ihre Rechner auf eine Infektion mit dem DNS-Changer-Trojaner "DNS-Changer" zu überprüfen und nennt auch eine Website, auf der das online erledigt wird: www.dns-ok.de.

Aber kann man dieser Seite trauen, immerhin ist ja das Bundestrojaner verbreitende BKA mit von der Partie? Ich versuche mal, etwas Licht ins Dunkle zu bringen.

Wie funktioniert www.dns-ok.de?

Das BSI behauptet in seiner Pressemitteilung

"Die Überprüfung erfolgt ausschließlich über den Aufruf der Website www.dns-ok.de, es wird keine Software gestartet oder heruntergeladen."

Da klingt für viele auf den ersten und auch auf den zweiten Blick unglaubwürdig: Wie soll eine Website wissen, welchen DNS-Server ein Client benutzt, ohne auf diesem Software zu starten?

Die Erklärung dafür ist ganz einfach, wenn man sich das ganze mal genauer ansieht. Fangen wir mit der in Ihrem Browser angezeigten Webseite an. Die "weiß" gar nichts, sie enthält keinerlei aktive Inhalte, sondern gibt einfach nur "Ihre DNS Konfiguration ist korrekt" oder "ACHTUNG: Ihre DNS Konfiguration ist manipuliert" aus. Des Rätsels Lösung muss also auf dem Server zu finden sein. Woher weiß der Server, ob Ihr System infiziert ist oder nicht und welche Seite er ausgeben soll? Nun, auch der Server "weiß" nicht, ob Ihr System infiziert ist oder nicht. Er gibt nur stur immer die gleiche Seite aus. Denn hinter www.dns-ok.de verbergen sich zwei Server, und je nachdem, welchen Sie davon aufrufen, sehen Sie grün oder rot.

Für die Unterscheidung zwischen "Guter Nameserver" und "Böser Nameserver" sind die Nameserver selbst zuständig:
Alle normalen Nameserver liefern bei der Anfrage nach www.dns-ok.de die IP-Adresse 85.214.11.195 zurück,
die vom FBI kontrollierten Nameserver, die die Server der Cyberkriminellen ersetzen, dagegen 85.214.11.194.
Und während der Server mit der IP-Adresse 85.214.11.195 immer "Alles OK" meldet, gibt der mit der IP-Adresse 85.214.11.194 immer die Warnmeldung aus.

Nameserver IP-Adresse Inhalt
"Normal" 85.214.11.195 "Ihre DNS Konfiguration ist korrekt"
FBI 85.214.11.194 "ACHTUNG: Ihre DNS Konfiguration ist manipuliert"

Probieren Sie es doch einfach mal aus:
Beim Aufruf von http://85.214.11.195/ sehen Sie die Meldung "Ihre DNS Konfiguration ist korrekt",
beim Aufruf von http://85.214.11.194/ dagegen "ACHTUNG: Ihre DNS Konfiguration ist manipuliert".
Und das unabhängig davon, ob Ihr System einen korrekten Nameserver oder einen des FBIs benutzt.

Keine Panik, es ist nichts passiert, wie Sie durch Aufruf von www.dns-ok.de überprüfen können: Alles ist im grünen Bereich. Sofern Sie nicht schon zuvor einen falschen Nameserver verwendet haben.

Woher kommt aber das Misstrauen gegen eine Website, die nichts weiter macht, als den einen oder den anderen Text auszugeben? Nun, erst mal macht es natürlich misstrauisch, dass nirgends erklärt wird, was beim Aufruf der Testseite überhaupt passiert. Das BSI gibt nur an, was nicht passiert: Es wird keine Software gestartet oder heruntergeladen. Das kann man glauben - oder auch nicht. Und dann hat das BSI noch einen wenig vertrauenserweckenden Partner an seiner Seite: Das BKA.

Misstrauen, wem Misstrauen gebührt

Das BKA hat oft genug gezeigt, dass es den Bürgern nicht traut und dass ihm nicht zu trauen ist.

Wer die IP-Adressen der Besucher von Fahndungsaufrufen protokolliert, um darunter dann nach Verdächtigen zu suchen, darf sich nicht wundern, wenn nach der Aufdeckung dieser Aktionen niemand mehr Lust hat, diese Website zu besuchen. Wer einen mehr als zweifelhaften Trojaner in mehr als zweifelhaften Fällen einsetzt, darf sich nicht wundern, wenn nach der Aufdeckung dieser Aktionen mit weiteren Trojanerangriffen gerechnet wird.

Dass Aufrufe zum Besuch einer Website dann bei vielen Internetnutzern Misstrauen erregen, ist ja wohl kein Wunder. Dann zu beteuern, dass man natürlich nicht die Absicht habe, einen Trojaner zu installieren, nützt auch nichts mehr. Denn wenn es so wäre, würde das BKA es natürlich genauso abstreiten. Dumme Sache, oder? Klarer Fall von "Pech gehabt": "Wer einmal lügt, dem glaubt man nicht, auch wenn er mal die Wahrheit spricht."

Dass das BSI auch nicht unbedingt vertrauenswürdiger ist, wie Fefe festgestellt hat, ist dabei in diesem Fall wohl weniger ausschlaggebend. Das Buzzword "BKA" in der BSI-Pressemitteilung dürfte reichen, um bei manchem Nutzer die Warnglocken läuten zu lassen. Zumal nicht ganz klar wird, was das BKA damit überhaupt zu tun hat: Das BSI warnt, die Telekom stellt die Testseite bereit - und das BKA? Kommt nur im Untertitel und als Pressekontakt vor. Wieso, weshalb, warum? Nichts genaues weiss man nicht.

Verschwörungstheorien...

Hätte das BSI erklärt, wie der Test funktioniert, hätte es viel weniger Grund zu Misstrauen gegeben. So ist das doch alles etwas mysteriös. Kein Wunder, dass das zu Verschwörungstheorien führt. Darf ich auch noch ein oder zwei hinzufügen?

Wenn Sie zur Zeit die falschen Nameserver nutzen, kann das FBI Ihre Verbindungen nach Belieben umleiten. Wer weiß, vielleicht haben Sie sich ja schon einen FBI-Trojaner eingefangen? Oder das FBI hat ein genaues Profil Ihrer Internetnutzung seit dem 9.11.2011 erstellt? Immerhin ist das eine US-amerikanische Behörde, und wir wissen ja, dass die Amis noch lieber Daten sammeln und horten als Dagobert Duck Taler. Wieso warnt man erst jetzt, mehr als 2 Monate nach dem Austausch der Nameserver der Cyberkriminellen durch die Nameserver des FBI, vor den falschen Nameservern?

Fazit

www.dns-ok.de ist also harmlos. Aber was ist mit anderen Servern, die ebenfalls einen Test bereitstellen? Da ist die Lage zumindest nicht so eindeutig, wie ich hier festgestellt habe.

Carsten Eilers


Übersicht über alle Artikel zum Thema

"DNS-Changer" - Was ist ein DNS-Changer?
Standpunkt: "DNS-Changer" - welcher DNS-Changer ist gemeint?
Standpunkt: www.dns-ok.de ist harmlos
Standpunkt: www.dns-ok.de ist harmlos - aber was ist mit anderen Tests?
Standpunkt: DNS-Changer ohne Ende?

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!