www.dns-ok.de ist harmlos - aber was ist mit anderen Tests?
Die
offizielle
Seite zum Erkennen von durch den
DNS-Changer-Trojaner
"DNS-Changer"
manipulierten DNS-Einstellungen unter
www.dns-ok.de
ist
harmlos,
aber es gibt weitere Seiten, die ebenfalls (angeblich?) einen Test der
DNS-Einstellungen bereitstellen. Wie sieht es denn mit denen aus?
Vorsicht, Typosquatter!
Wie ich schon schrieb, ist die Website www.dns-ok.de
harmlos,
auch VirusTotal findet
nichts verdächtiges.
Aber wie sieht es mit der
Typosquatting-Domain
www.dns-okay.de
aus? Die sendet zumindest schon mal Daten an
Facebook und Google Analytics, VirusTotal findet aber
nichts verdächtiges.
Trotzdem habe ich sie nicht verlinkt, denn wie schon in der
BSI-Pressemitteilung steht, erfolgt der Test ausschließlich über
den Aufruf von
www.dns-ok.de
.
Es gilt also wie beim
Highlander:
"Es kann nur einen geben". Alle anderen Testseiten sind also
Fälschungen?
Bei einer Infektion sollen sich die Betroffenen auf der Website
www.botfrei.de
informieren, dem Anti-Botnet Beratungszentrum von eco, dem Verband der
deutschen Internetwirtschaft e.V., und dem BSI. Soweit, so gut. ABER: Wer
ist dort bloß auf die glorreiche Idee gekommen, eine eigenen Testseite
unter dns-changer.eu
einzurichten, bei der zumindest bei mir
erst mal alle Alarmglocken läuten und alle Warnleuchten angehen:
"Vorsicht, Cybergangster in Sicht!"?
Ich habe diese Seite zuerst, noch bevor ich überhaupt auf den Seiten
von botfrei.de
war, bei der Suche nach Informationen über
den Trojaner "DNS-Changer" via Google gefunden, und sie erschien
und erscheint mir sehr verdächtig. Auch wenn sie sehr wahrscheinlich
harmlos ist.
Sehr verdächtig: dns-changer.eu
Es ist ja wohl allgemein bekannt, dass die Cyberkriminellen per Suchmaschinenoptimierung auf alle aktuellen Trends reagieren. Auch mit bösartigen DNS-Test-Seiten ist jederzeit zu rechnen. Und dann wird vom eco eine Website eingerichtet, die alle Anzeichen einer bösartigen Seite zeigt? Ich zähle mal auf, was mir alles daran nicht gefällt:
- Die Seite taucht bei der Suche nach "DNS-Changer" unter den ersten Suchergebnissen auf (was allein noch nicht verwerflich ist).
- Sie stellt die gleiche Funktion wie eine offizielle Seite bereit,
und ist (angeblich?) mehr oder weniger direkt mit der offiziellen
Seite verbunden (in Form des an beiden Seiten beteiligten BSI und des
Hinweises auf den (angeblichen?) Betreiber
botfrei.de
in der BSI-Pressemitteilung und auf der offiziellen Testseite (die aber beide mit keinem Wort eine dortige Testseite erwähnen). - Im Gegensatz zur offiziellen Seite werden hier IP-Adresse, Browserversion und Betriebssystem mit einer Datenbank abgeglichen. Hat man dort eine Datenbank infizierter Rechner?
- Man muss vor der Prüfung ein CAPTCHA lösen, was eine automatische Analyse der eigentlichen Testseite durch einen Dienst wie VirusTotal verhindert.
- Die Webseite unter
dns-changer.eu
enthält das Tag
<meta name="date" content="2010-08-23T18:06:11+02:00" />
Welcher alte Code wurde denn da recycelt? Denn das DNS-Changer-Botnet wurde erst am 9. November lahm gelegt. - Es gibt eine Datenschutzerklärung von 2010, die nicht zur aktuellen Verwendung passt - hat der Betreiber geschlampt oder ein Cyberkrimineller kopiert?
- Das gleiche gilt für die Nutzungsbedingungen, die noch dazu
folgenden schönen Passus enthalten:
"VII. Wichtiger Hinweis zu Computerviren, Trojanern und sonstigen Schädlingen
Obgleich sich ECO stets bemüht, die Botfrei-Webseiten schädlingsfrei zu halten, kann ECO keine Garantie bzw. Haftung für die Schädlingsfreiheit der Botfrei-Webseiten übernehmen. Vor dem Herunterladen von Informationen, Software und Dokumentation wird der Nutzer zum eigenen Schutz, aber auch zur Verhinderung einer Einschleusung von Schädlingen auf die Botfrei-Webseiten, für angemessene Sicherheitsvorkehrungen, insbesondere den Einsatz angemessener Virenscanner sorgen."
Mit anderen Worten: "Wir sehen nach, ob Sie schon einen Trojaner haben. Falls Sie dabei von uns einen bekommen, haben Sie Pech gehabt!", oder wie? - Wieso nutzt eine deutsche Initiative eine
.eu
-Domain?dns-changer.de
hat sich gerade vor kurzem jemand reserviert und geparkt... - Eine Whois-Abfrage führt zu einem Registrant, der zumindest auf
den ersten Blick nicht mit
botfrei.de
verbunden ist.
Soll ich das noch fortführen? Diese Seite ist doch hochgradig
verdächtig. Und es wird nicht erklärt, was nach Klick auf
"DNS Überprüfen"
passiert. Vielleicht wird ja ein
Online-Virenscanner gestartet? Die Angabe "Überprüfen Sie
hier, ob auch Ihr Rechner Teil dieses Botnetzes ist und an ihm
Manipulationen vorgenommen wurden." lässt das zumindest
vermuten bzw. befürchten. Und: Nein, das teste ich nicht. Es sei
denn, jemand bezahlt mich dafür. Würde ich jede verdächtige
Seite "aus Jux und Dollerei" testen, käme ich ja zu nichts anderem
mehr.
Für den Server gefährlicher Download?
Mit dem Satz
"Vor dem Herunterladen von Informationen, Software und Dokumentation wird der Nutzer zum eigenen Schutz, aber auch zur Verhinderung einer Einschleusung von Schädlingen auf die Botfrei-Webseiten, für angemessene Sicherheitsvorkehrungen, insbesondere den Einsatz angemessener Virenscanner sorgen."
(Hervorhebungen von mir)
haben sich die Verantwortlichen in meinen Augen sowieso als Informationsquelle zu Schadsoftware und IT-Sicherheit selbst disqualifiziert. Wie, bitteschön, soll ein Benutzer beim Herunterladen(!) Schädlinge auf die Botfrei-Webseiten einschleusen können? Das ginge ja wohl höchstens beim Heraufladen. Und überhaupt: Wenn ein Client auf einem Server Schadsoftware einschleusen kann, ist dafür ja wohl der Serverbetreiber verantwortlich. Sorry, alles, was ich dazu sonst noch schreiben könnte, wäre zumindest unhöflich.
Gut gemeint, schlecht gemacht
Es mag sein, dass es diese Seite schon länger gibt, die Internet Archive Wayback Machine kennt sie allerdings nicht und die Domain wurde erst am 9. Dezember 2011 registriert. Aber falls dass der Fall ist, hätte man sie nach Freischalten und "Bewerben" der offiziellen Testseite vom Netz nehmen und durch einen Verweis auf die offizielle Seite ersetzen sollen. Und falls sie parallel dazu online gegangen ist, hat man der IT-Sicherheit damit einen Bärendienst erwiesen. In der aktuellen Form trägt sie höchstens zur Verwirrung bei. Denn sie sieht genau wie eine der Seiten aus, vor denen ich meine Kunden immer warne: Nachahmen einer offiziellen Seite, bei Google unter den ersten Suchbegriffen, "exotische" Domain - Vorsicht, Finger weg!
Das FBI prüft mit JavaScript
Auch das FBI stellt eine Prüfseite bereit. Wenn Sie dort die IP-Adresse des von Ihnen verwendeten Nameservers eingeben, wird von auf der Seite enthaltenem JavaScript-Code geprüft, ob sich die Adresse in einem der von den Cyberkriminellen verwendeten Adressbereiche befindet. Ist das der Fall, verwenden Sie einen falschen Nameserver und es wird eine Warnung ausgegeben, ansonsten ist alles in Ordnung.
Das ist einfach - aber nur, wenn man die IP-Adresse des eigenen Nameservers
kennt. Die deutsche Lösung mit den zwei unterschiedlichen Servern ist
natürlich für die Benutzer deutlich einfacher und sicherer. Denn
bei der Eingabe des Nameservers ins FBI-Formular kann man Fehler machen,
beim Aufruf von
www.dns-ok.de
nicht.
Übersicht über alle Artikel zum Thema
- "DNS-Changer" - Was ist ein DNS-Changer?
- Standpunkt: "DNS-Changer" - welcher DNS-Changer ist gemeint?
- Standpunkt: www.dns-ok.de ist harmlos
- Standpunkt: www.dns-ok.de ist harmlos - aber was ist mit anderen Tests?
- Standpunkt: DNS-Changer ohne Ende?
Trackbacks