Skip to content

DNS-Changer ohne Ende?

Der mittels www.dns-ok.de gesuchte DNS-Changer-Schädling ist immer noch recht weit verbreitet. Anscheinend sind die bisherigen Informationskampagnen nicht sehr erfolgreich.

Opfer in guter Gesellschaft

Benutzer, deren Rechner mit dem DNS-Changer infiziert sind, sind in guter Gesellschaft: Das Sicherheitsunternehmen Internet Identity fand Anzeichen für mindestens eine DNS-Changer-Infektion in den Netzen der Hälfte aller Fortune-500-Unternehmen und in 27 von 55 wichtigen US-Regierungsstellen ("major government entities").

Angesichts dieser Zahlen sollte sich das FBI das mit dem Abschalten der Ersatz-Nameserver am 8. März wohl besser noch mal überlegen. Wenn ein Teil der Fortune-500-Unternehmen und eine Vielzahl wichtiger US-Regierungsstellen am 8. März plötzlich Probleme mit der Internetverbindung hat, dürfte es für die Verantwortlichen ziemlich unangenehm werden.

Andererseits wäre es sicher interessant, die Reaktionen der Öffentlichkeit und vor allem der US-Politiker darauf zu erleben. Zumindest einige würden sicher erst mal von einem Terrorangriff ausgehen - nur um dann später fest zu stellen, dass es sich um eine angekündigte Aktion der eigenen Bundespolizei handelt. Für die Laufzeit-Beschränkung der Ersatz-Nameserver ist übrigens das Gericht verantwortlich, dass den Betrieb der Server nur bis zum 8. März erlaubt bzw. angeordnet hat.

Und was die "major government entities" betrifft: Sind das vielleicht zufällig alles Polizei- und Geheimdienst-Behörden, die aus chronischem Misstrauen gegenüber den "Konkurrenz-Behörden" der FBI-Warnung misstrauen? Immerhin gab es in Deutschland ja auch Bedenken, über www.dns-ok.de würde der Bundestrojaner verbreitet...

DNS Changer Working Group koordiniert "Aufräumarbeiten"

Die DNS Changer Working Group koordiniert international die "Aufräumarbeiten" nach der Verhaftung der für den DNS-Changer verantwortlichen Cyberkriminellen. Die dort beschriebenen Methoden zum Erkennen von Infektionen erfassen das manuelle Prüfen von Windows-, Linux- und Mac-OS-X-Rechnern sowie den "Browsertest" über dns-ok.de und weiteren Domainnamen. Dabei wird darauf hingewiesen, dass der Browsertest u.U. ungenau ist, z.B. wenn der ISP den DNS-Verkehr zwangsweise auf eigene Server umleitet. Denn dann würde auch bei einer Infektion mit dem DNS-Changer der Nameserver des ISP verwendet und die geänderten DNS-Einstellungen erst zum Tragen kommen, wenn ein anderer ISP verwendet wird (oder der bisherige die DNS-Manipulationen beendet),

Die Polizei, Dein Freund und Helfer - und IT-Fachmann!?!

Betreibern von betroffenen Netzwerken mit eigenen Autonomous System Numbers (ASN) wird eine Reihe von Ansprechpartnern genannt. Für Deutschland ist leider der denkbar ungeeignetste genannt: Das BKA. Das ist bisher nicht besonders mit guten IT-Kenntnissen aufgefallen. Aber wer eine ASN für sein Netzwerk hat, sollte auch selbst in der Lage sein, mit dem DNS-Changer fertig zu werden bzw. einen kompetenten Ansprechpartner zu finden.

Ersatz-Nameserver abschalten: Ja oder Nein

Über die Frage, ob die Ersatz-Nameserver am 8. März abgeschaltet werden sollen oder nicht, lässt sich wunderbar streiten. Z.B. Chester Wisniewski von Sophos ist der Ansicht "DNS Changer infrastructure shutdown is a *good* thing". Seine Argumente sind sicher zutreffend: Mit DNS-Changer infizierte Systeme erhalten keine Sicherheitsupdates und sind i.A. mit weiterer Schadsoftware infiziert bzw. von weiteren Infektionen bedroht. Insgesamt gibt es noch ca. 450.000 infizierte Rechner, und ein Ende mit Schrecken ist besser als ein Ende ohne Schrecken. Ich sehe da allerdings zwei Problem beim "Ende mit Schrecken":

  1. In dem Moment, in dem die Ersatz-Nameserver abgeschaltet werden, verlieren die Betroffenen ihre Verbindung mit dem Internet - und damit die Möglichkeit, sich über das Problem zu informieren. Sie müssen sich also telefonisch an den Support wenden, und ob der immer in der Lage ist, eine Infektion mit dem DNS-Changer zu erkennen und eine korrekte Anleitung zur Korrektur zu geben?
  2. Niemand weiß, WAS für Rechner oder Netze betroffen sind. Was ist, wenn ein Ausfall zu einen wie auch immer gearteten Schaden führt? Das "Ein Ende mit Schrecken ist besser als ein Ende ohne Schrecken"-Argument trifft sicher auch da zu, aber zumindest bisher scheint es ja nirgends Probleme zu geben. Wenn die erst auftreten, wenn die Ersatz-Nameserver ausgeschaltet werden, haben wir genau die Situation, die durch deren Einsatz ja vermieden werden sollte. Dann hätte man ja eigentlich auch gleich auf ihren Einsatz verzichten können.

Wieso fängt man eigentlich erst jetzt an, sich Gedanken über die Betroffenen zu machen? Die Cyberkriminellen wurden Anfang November 2011 verhaftet, deren Nameserver zeitgleich durch die Ersatz-Server ersetzt. Wieso fängt man dann erst Mitte Januar an, auf deren drohende Abschaltung hin zu weisen? Diese Warnungen hätten schon viel früher kommen müssen. Und die zwangsweise Umleitung der ersten (oder ggf. später auch aller) Webseiten-Aufrufe der Betroffenen auf eine Informationsseite wäre auch problemlos möglich gewesen. Zumindest haben dass die ISPs bei entsprechenden Tarifen bisher immer geschafft. Dann hätten die Betroffenen ihre DNS-Einstellungen früher oder später korrigieren müssen, und das Problem "Abschalten ja oder nein" wäre gar nicht erst aufgetreten.

Carsten Eilers


Übersicht über alle Artikel zum Thema

"DNS-Changer" - Was ist ein DNS-Changer?
Standpunkt: "DNS-Changer" - welcher DNS-Changer ist gemeint?
Standpunkt: www.dns-ok.de ist harmlos
Standpunkt: www.dns-ok.de ist harmlos - aber was ist mit anderen Tests?
Standpunkt: DNS-Changer ohne Ende?

Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!