Ges­tern war beim CCCS der all­mo­nat­li­che Vor­trags­abend - es war eine An­nek­do­ten-Run­de rund um die Ge­schich­te des CCC im all­ge­mei­nen und ins­be­son­de­re der des CCCS. Wie üb­lich schloß der Abend mit der Mög­lich­keit zu Fra­gen. Prompt lau­te­te die zwei­te Frage von einem äl­te­ren Herrn: "Wie ver­trau­ens­wür­dig ist die Seite dns-ok.​de? Die Über­prü­fung geht so un­glaub­wür­dig schnell...".
Sel­bes Spiel­chen heute noch­mals im Ge­schäft - Pro­jekt­lei­ter kommt am Nach­mit­tag im Büro vor­bei und fragt mo­derat ver­un­si­chert, was es damit auf sich hat.
Und im Be­kann­ten­kreis das ganze noch­mal.

Das BSI wen­det sich in einem Auf­ruf über die Nach­rich­ten­me­di­en an die Be­völ­ke­rung, und die Folge: Ver­un­si­che­rung. Of­fen­bar hat der Staat aus­rei­chend Ver­trau­en ver­spielt!

Hin­ter­grund der An­ge­le­gen­heit ist DNSCh­an­ger, eine über zwei Jahre alte Mal­wa­re. Sie än­der­te den DNS-Ein­trag auf dem in­fi­zier­ten Rech­ner, so daß die Adress­auf­lö­sung über den von den Kri­mi­nel­len kon­trol­lier­ten DNS-Ser­ver er­folg­te. Au­ßer­dem ver­such­te er, diese Kon­fi­gu­ra­ti­on per DHCP im LAN an nicht­in­fi­zier­te Rech­ner zu ver­brei­ten. Durch den ei­ge­nen DNS-Ser­ver war es den Kri­mi­nel­len ein leich­tes, die Opfer auf Phis­hing-Sei­ten um­zu­len­ken - der Ser­ver gab bei den ent­spre­chen­den Adres­sen statt der kor­rek­ten Adres­se die IP des Phis­hing-Ser­vers zu­rück. Um­gangs­sprach­lich aus­ge­drückt war der Ef­fekt der­sel­be, wie wenn man einem Haus­halt das of­fi­zi­el­le Te­le­fon­buch durch eine prä­pa­rier­te Va­ri­an­te heim­lich aus­ge­tauscht hätte.

Im Herbst letz­ten Jah­res wur­den die Be­trei­ber des Bot­net­zes in einer kon­zer­tier­ten Ak­ti­on fest­ge­nom­men; das FBI über­nahm die Kon­trol­le über das Bot­netz und kon­fi­gu­rier­te dar­über einen vom FBI be­trie­be­nen DNS-Ser­ver auf den be­fal­le­nen Rech­nern. Die­ser Ser­ver wird nun in Bälde ab­ge­schal­tet. Der Ef­fekt wäre, daß bei allen noch in­fi­zier­ten Rech­nern keine DNS-Auf­lö­sung mehr funk­tio­nie­ren würde, für die Be­trof­fe­nen wäre quasi "das In­ter­net ka­putt"; na­tür­lich könn­te man die Ein­stel­lung auch da­nach noch hän­disch re­pa­rie­ren - nur die An­lei­tung dafür könn­te man nicht mehr über das Netz su­chen.

Und so funk­tio­niert die Test­sei­te dns-ok: Die re­gu­lä­ren DNS-Ser­ver lie­fern die kor­rek­te IP-Adres­se 85.​214.​11.​195 - der vom FBI be­trie­be­ne Ser­ver wird je­doch eine an­de­re Adres­se lie­fern. Un­be­trof­fe­ne lan­den somit auf einem Ser­ver, wel­cher die "alles in Ord­nung"-Mel­dung bringt; die In­fi­zier­ten wer­den je­doch auf einen Ser­ver mit einer Warn­sei­te ge­lei­tet - man macht sich also das­sel­be Prin­zip zu Nutze, mit wel­chem die Ga­no­ven ihre Opfer auf Phis­hing­sei­ten lock­ten. Die aus­ge­lie­fer­ten Sei­ten selbst schei­nen - so mein Ein­druck bei einer kur­zen Prü­fung - voll­kom­men harm­los, man fängt sich hier also nicht den Bun­de­stro­ja­ner ein :-)

Tech­nisch ist so­weit alles klar. Zwei Sa­chen finde ich al­ler­dings er­staun­lich: Die Fest­nah­me der Ga­no­ven ist über zwei Mo­na­te her - man kann un­mög­lich so lange ge­braucht haben, die­sen Test zu im­ple­men­tie­ren, und der DNS-Ser­ver des FBI wird noch bis An­fang März in Be­trieb blei­ben; wieso nun also die­ser späte, aber sehr dring­li­che Auf­ruf? Die an­de­re Frage ist, was DNSCh­an­ger ge­gen­über an­de­rer Mal­wa­re so be­son­ders macht. Die ver­blei­ben­de Zahl der in­fi­zier­ten Rech­ner in Deutsch­land dürf­te ge­ring sein, und bei an­de­rer Mal­wa­re gab es über­haupt keine ver­gleich­ba­re Ak­ti­on.
Diese Fra­gen, zu­sam­men mit einer ge­wis­sen Ver­un­si­che­rung auf­grund von Bun­de­stro­ja­ner & Co dürf­ten zu der all­ge­mei­nen Ver­un­si­che­rung bei­ge­tra­gen haben.