Gestern war beim CCCS der allmonatliche Vortragsabend - es war eine Annekdoten-Runde rund um die Geschichte des CCC im allgemeinen und insbesondere der des CCCS. Wie üblich schloß der Abend mit der Möglichkeit zu Fragen. Prompt lautete die zweite Frage von einem älteren Herrn: "Wie vertrauenswürdig ist die Seite dns-ok.de? Die Überprüfung geht so unglaubwürdig schnell...".
Selbes Spielchen heute nochmals im Geschäft - Projektleiter kommt am Nachmittag im Büro vorbei und fragt moderat verunsichert, was es damit auf sich hat.
Und im Bekanntenkreis das ganze nochmal.

Das BSI wendet sich in einem Aufruf über die Nachrichtenmedien an die Bevölkerung, und die Folge: Verunsicherung. Offenbar hat der Staat ausreichend Vertrauen verspielt!

Hintergrund der Angelegenheit ist DNSChanger, eine über zwei Jahre alte Malware. Sie änderte den DNS-Eintrag auf dem infizierten Rechner, so daß die Adressauflösung über den von den Kriminellen kontrollierten DNS-Server erfolgte. Außerdem versuchte er, diese Konfiguration per DHCP im LAN an nichtinfizierte Rechner zu verbreiten. Durch den eigenen DNS-Server war es den Kriminellen ein leichtes, die Opfer auf Phishing-Seiten umzulenken - der Server gab bei den entsprechenden Adressen statt der korrekten Adresse die IP des Phishing-Servers zurück. Umgangssprachlich ausgedrückt war der Effekt derselbe, wie wenn man einem Haushalt das offizielle Telefonbuch durch eine präparierte Variante heimlich ausgetauscht hätte.

Im Herbst letzten Jahres wurden die Betreiber des Botnetzes in einer konzertierten Aktion festgenommen; das FBI übernahm die Kontrolle über das Botnetz und konfigurierte darüber einen vom FBI betriebenen DNS-Server auf den befallenen Rechnern. Dieser Server wird nun in Bälde abgeschaltet. Der Effekt wäre, daß bei allen noch infizierten Rechnern keine DNS-Auflösung mehr funktionieren würde, für die Betroffenen wäre quasi "das Internet kaputt"; natürlich könnte man die Einstellung auch danach noch händisch reparieren - nur die Anleitung dafür könnte man nicht mehr über das Netz suchen.

Und so funktioniert die Testseite dns-ok: Die regulären DNS-Server liefern die korrekte IP-Adresse 85.214.11.195 - der vom FBI betriebene Server wird jedoch eine andere Adresse liefern. Unbetroffene landen somit auf einem Server, welcher die "alles in Ordnung"-Meldung bringt; die Infizierten werden jedoch auf einen Server mit einer Warnseite geleitet - man macht sich also dasselbe Prinzip zu Nutze, mit welchem die Ganoven ihre Opfer auf Phishingseiten lockten. Die ausgelieferten Seiten selbst scheinen - so mein Eindruck bei einer kurzen Prüfung - vollkommen harmlos, man fängt sich hier also nicht den Bundestrojaner ein :-)

Technisch ist soweit alles klar. Zwei Sachen finde ich allerdings erstaunlich: Die Festnahme der Ganoven ist über zwei Monate her - man kann unmöglich so lange gebraucht haben, diesen Test zu implementieren, und der DNS-Server des FBI wird noch bis Anfang März in Betrieb bleiben; wieso nun also dieser späte, aber sehr dringliche Aufruf? Die andere Frage ist, was DNSChanger gegenüber anderer Malware so besonders macht. Die verbleibende Zahl der infizierten Rechner in Deutschland dürfte gering sein, und bei anderer Malware gab es überhaupt keine vergleichbare Aktion.
Diese Fragen, zusammen mit einer gewissen Verunsicherung aufgrund von Bundestrojaner & Co dürften zu der allgemeinen Verunsicherung beigetragen haben.