dns-ok.de ?

Norbert Tuschen • 11 Januar 2012 • Allgemein, Sicherheit

Momentan wird vom Bundesamt für die Sicherheit in der Informationstechnologie (BSI) dazu aufgerufen, über die Seite http://www.dns-ok.de/ den eigenen Rechner zu prüfen.

Es handelt sich hierbei nicht um eine Falle, sondern eine ernstzunehmende Möglichkeit, den eigenen Rechner auf einen bestimmte Schadsoftware zu überprüfen.

Aber Achtung! Mittlerweile gibt es eine zweite Domain mit Namen dns-okay.de. Diese hat nichts mit der vom BSI referenzierten Seite zu tun. Ob es sich hierbei nur um einen Spaß handelt, oder ob dort neue Schadsoftware verteilt wird, ist momentan unklar. Man sollte die Seite jedenfalls klar vermeiden!

Die schlechte Nachricht ist eine Gute für Mac- und Linux-User: Das Problem betrifft nur Windows-Betriebssysteme. (Technische Details HIER)

KORREKTUR: Offenbar zu früh gefreut und in der Hektik anderer Projekte nicht exakt recherchiert. Es gibt doch auch einen dnsChanger für OS-X 10.4 und 10.5: Siehe hier.

(Anmerkung für den Fall der Fälle: Das im Link erwähnte Desinfektionsprogramm muss es nicht sein. Es gibt auch hier etwas dagegen.)

Hintergrund des Vorgangs  ist ein Schlag des FBI gegen die Betreiber eines sogenannten Botnetzes, bei dem die Server der Behörde in die Hände fielen. Ein Botnetz setzt sich aus vielen Tausend oder Millionen von infizierten Anwenderrechnern zusammen, die in diesem Fall eins gemeinsam haben: die Namensabfragen beim Browsen oder beim Online-Banking abzufangen und zu Servern des Botnetbetreibers zu schicken. Auf diese Weise lassen sich den Anwenderrechnern sehr einfach andere als die eigentlich korrekten IP-Adressen zurückgeben.

Da die gesamte Kommunikation im Internet aber auf diesen IP-Adressen und nicht den Domainnamen wie “www.vico.de” beruht, lässt sich also die gesamte Kommunikation auf einen Server des Botnetzes umlenken. So lassen sich zum Beispiel Aktualisierungen von Virenschutzsoftware unterdrücken, oder eben auch die Verbindungen mit Mail- oder Bankservern.

Auf diese Weise ist es möglich, Daten der Anwender abzufangen und auszuspionieren.

 

Warum wird nicht das gesamte Botnetz einfach lahm gelegt?

Da die Schadsoftware bei vielen Anwendern noch immer installiert ist, werden derzeit noch viele Namensabfragen an die Server des Botnetzes geschickt. Wenn man diese nun einfach abschalten würde, können die befallenen Anwenderrechner überhaupt nicht mehr auf Server im Internet zugreifen. Damit wären auch Updates oder Aktualisierungen von Antivirensoftware faktisch abgeschaltet. Die Rechner wären nur durch komplettes Neuaufsetzen wieder zu reaktivieren.

Aus diesem Grund hat das FBI beschlossen, einige der Server aktiv zu halten und die richtigen DNS-Daten auszuliefern. Diese Server werden aber am 8.3.2012 definitv abgeschaltet. Wer bis dahin nichts unternimmt und die Schadsoftware noch installiert hat, steht dann plötzlich Dunklen.