Skip to content

www.dns-ok.de ist harmlos - aber was ist mit anderen Tests?

Geschrieben von Carsten Eilers am um 09:46

Die offizielle Seite zum Erkennen von durch den DNS-Changer-Trojaner "DNS-Changer" manipulierten DNS-Einstellungen unter www.dns-ok.de ist harmlos, aber es gibt weitere Seiten, die ebenfalls (angeblich?) einen Test der DNS-Einstellungen bereitstellen. Wie sieht es denn mit denen aus?

Vorsicht, Typosquatter!

Wie ich schon schrieb, ist die Website www.dns-ok.de harmlos, auch VirusTotal findet nichts verdächtiges. Aber wie sieht es mit der Typosquatting-Domain www.dns-okay.de aus? Die sendet zumindest schon mal Daten an Facebook und Google Analytics, VirusTotal findet aber nichts verdächtiges. Trotzdem habe ich sie nicht verlinkt, denn wie schon in der BSI-Pressemitteilung steht, erfolgt der Test ausschließlich über den Aufruf von www.dns-ok.de. Es gilt also wie beim Highlander: "Es kann nur einen geben". Alle anderen Testseiten sind also Fälschungen?

Bei einer Infektion sollen sich die Betroffenen auf der Website www.botfrei.de informieren, dem Anti-Botnet Beratungszentrum von eco, dem Verband der deutschen Internetwirtschaft e.V., und dem BSI. Soweit, so gut. ABER: Wer ist dort bloß auf die glorreiche Idee gekommen, eine eigenen Testseite unter dns-changer.eu einzurichten, bei der zumindest bei mir erst mal alle Alarmglocken läuten und alle Warnleuchten angehen: "Vorsicht, Cybergangster in Sicht!"?

Ich habe diese Seite zuerst, noch bevor ich überhaupt auf den Seiten von botfrei.de war, bei der Suche nach Informationen über den Trojaner "DNS-Changer" via Google gefunden, und sie erschien und erscheint mir sehr verdächtig. Auch wenn sie sehr wahrscheinlich harmlos ist.

Sehr verdächtig: dns-changer.eu

Es ist ja wohl allgemein bekannt, dass die Cyberkriminellen per Suchmaschinenoptimierung auf alle aktuellen Trends reagieren. Auch mit bösartigen DNS-Test-Seiten ist jederzeit zu rechnen. Und dann wird vom eco eine Website eingerichtet, die alle Anzeichen einer bösartigen Seite zeigt? Ich zähle mal auf, was mir alles daran nicht gefällt:

  1. Die Seite taucht bei der Suche nach "DNS-Changer" unter den ersten Suchergebnissen auf (was allein noch nicht verwerflich ist).
  2. Sie stellt die gleiche Funktion wie eine offizielle Seite bereit, und ist (angeblich?) mehr oder weniger direkt mit der offiziellen Seite verbunden (in Form des an beiden Seiten beteiligten BSI und des Hinweises auf den (angeblichen?) Betreiber botfrei.de in der BSI-Pressemitteilung und auf der offiziellen Testseite (die aber beide mit keinem Wort eine dortige Testseite erwähnen).
  3. Im Gegensatz zur offiziellen Seite werden hier IP-Adresse, Browserversion und Betriebssystem mit einer Datenbank abgeglichen. Hat man dort eine Datenbank infizierter Rechner?
  4. Man muss vor der Prüfung ein CAPTCHA lösen, was eine automatische Analyse der eigentlichen Testseite durch einen Dienst wie VirusTotal verhindert.
  5. Die Webseite unter dns-changer.eu enthält das Tag
    <meta name="date" content="2010-08-23T18:06:11+02:00" />
    Welcher alte Code wurde denn da recycelt? Denn das DNS-Changer-Botnet wurde erst am 9. November lahm gelegt.
  6. Es gibt eine Datenschutzerklärung von 2010, die nicht zur aktuellen Verwendung passt - hat der Betreiber geschlampt oder ein Cyberkrimineller kopiert?
  7. Das gleiche gilt für die Nutzungsbedingungen, die noch dazu folgenden schönen Passus enthalten:
    "VII. Wichtiger Hinweis zu Computerviren, Trojanern und sonstigen Schädlingen
    Obgleich sich ECO stets bemüht, die Botfrei-Webseiten schädlingsfrei zu halten, kann ECO keine Garantie bzw. Haftung für die Schädlingsfreiheit der Botfrei-Webseiten übernehmen. Vor dem Herunterladen von Informationen, Software und Dokumentation wird der Nutzer zum eigenen Schutz, aber auch zur Verhinderung einer Einschleusung von Schädlingen auf die Botfrei-Webseiten, für angemessene Sicherheitsvorkehrungen, insbesondere den Einsatz angemessener Virenscanner sorgen."
    Mit anderen Worten: "Wir sehen nach, ob Sie schon einen Trojaner haben. Falls Sie dabei von uns einen bekommen, haben Sie Pech gehabt!", oder wie?
  8. Wieso nutzt eine deutsche Initiative eine .eu-Domain? dns-changer.de hat sich gerade vor kurzem jemand reserviert und geparkt...
  9. Eine Whois-Abfrage führt zu einem Registrant, der zumindest auf den ersten Blick nicht mit botfrei.de verbunden ist.

Soll ich das noch fortführen? Diese Seite ist doch hochgradig verdächtig. Und es wird nicht erklärt, was nach Klick auf "DNS Überprüfen" passiert. Vielleicht wird ja ein Online-Virenscanner gestartet? Die Angabe "Überprüfen Sie hier, ob auch Ihr Rechner Teil dieses Botnetzes ist und an ihm Manipulationen vorgenommen wurden." lässt das zumindest vermuten bzw. befürchten. Und: Nein, das teste ich nicht. Es sei denn, jemand bezahlt mich dafür. Würde ich jede verdächtige Seite "aus Jux und Dollerei" testen, käme ich ja zu nichts anderem mehr.

Für den Server gefährlicher Download?

Mit dem Satz

"Vor dem Herunterladen von Informationen, Software und Dokumentation wird der Nutzer zum eigenen Schutz, aber auch zur Verhinderung einer Einschleusung von Schädlingen auf die Botfrei-Webseiten, für angemessene Sicherheitsvorkehrungen, insbesondere den Einsatz angemessener Virenscanner sorgen."
(Hervorhebungen von mir)

haben sich die Verantwortlichen in meinen Augen sowieso als Informationsquelle zu Schadsoftware und IT-Sicherheit selbst disqualifiziert. Wie, bitteschön, soll ein Benutzer beim Herunterladen(!) Schädlinge auf die Botfrei-Webseiten einschleusen können? Das ginge ja wohl höchstens beim Heraufladen. Und überhaupt: Wenn ein Client auf einem Server Schadsoftware einschleusen kann, ist dafür ja wohl der Serverbetreiber verantwortlich. Sorry, alles, was ich dazu sonst noch schreiben könnte, wäre zumindest unhöflich.

Gut gemeint, schlecht gemacht

Es mag sein, dass es diese Seite schon länger gibt, die Internet Archive Wayback Machine kennt sie allerdings nicht und die Domain wurde erst am 9. Dezember 2011 registriert. Aber falls dass der Fall ist, hätte man sie nach Freischalten und "Bewerben" der offiziellen Testseite vom Netz nehmen und durch einen Verweis auf die offizielle Seite ersetzen sollen. Und falls sie parallel dazu online gegangen ist, hat man der IT-Sicherheit damit einen Bärendienst erwiesen. In der aktuellen Form trägt sie höchstens zur Verwirrung bei. Denn sie sieht genau wie eine der Seiten aus, vor denen ich meine Kunden immer warne: Nachahmen einer offiziellen Seite, bei Google unter den ersten Suchbegriffen, "exotische" Domain - Vorsicht, Finger weg!

Das FBI prüft mit JavaScript

Auch das FBI stellt eine Prüfseite bereit. Wenn Sie dort die IP-Adresse des von Ihnen verwendeten Nameservers eingeben, wird von auf der Seite enthaltenem JavaScript-Code geprüft, ob sich die Adresse in einem der von den Cyberkriminellen verwendeten Adressbereiche befindet. Ist das der Fall, verwenden Sie einen falschen Nameserver und es wird eine Warnung ausgegeben, ansonsten ist alles in Ordnung.

Das ist einfach - aber nur, wenn man die IP-Adresse des eigenen Nameservers kennt. Die deutsche Lösung mit den zwei unterschiedlichen Servern ist natürlich für die Benutzer deutlich einfacher und sicherer. Denn bei der Eingabe des Nameservers ins FBI-Formular kann man Fehler machen, beim Aufruf von www.dns-ok.de nicht.

Carsten Eilers

Übersicht über alle Artikel zum Thema

"DNS-Changer" - Was ist ein DNS-Changer?
Standpunkt: "DNS-Changer" - welcher DNS-Changer ist gemeint?
Standpunkt: www.dns-ok.de ist harmlos
Standpunkt: www.dns-ok.de ist harmlos - aber was ist mit anderen Tests?
Standpunkt: DNS-Changer ohne Ende?

Trackbacks

Keine Trackbacks