Thema: BSI ruft zum DNS-Check auf

[SiLæncer]

Das Bundesamt für Sicherheit empfiehlt allen Internetnutzern, ihre Rechner auf Befall mit der Schadsoftware "DNS-Changer" zu überprüfen. Dazu hat das Amt gemeinsam mit der Deutschen Telekom und dem Bundeskriminalamt eine Webseite unter der URL www.dns-ok.de aufgesetzt.

Internetkriminelle hatten die Schadsoftware über das "DNS-Changer-Botnetz" auf 4 Millionen Rechnern in 100 Ländern verbreitet. Dessen Betreiber wurden im November von der amerikanischen Bundespolizei FBI und europäischen Ermittlungsbehörden verhaftet. Das FBI hat danach die manipulierten DNS-Server durch korrekt arbeitende ersetzt. Diese sollen aber zum 8. März abgeschaltet werden.

Daher sollten Internetznutzer ihre Systeme auf Befall überprüfen, da sonst ab März die DNS-Namen nicht mehr aufgelöst werden. Ist das System von der Schadsoftware befallen, liefert der "infizierte" DNS-Server die IP-Adresse eines Servers zurück, der eine Warnmeldung mit roter Statusanzeige bekommt. Auf einem sauberen System erscheint eine grüne Statusmeldung.

Betroffene bekommen auf www.dns-ok.de Empfehlungen, wie die korrekte Systemeinstellung wieder herzustellen ist; sie können beispielsweise ihr System mit dem Tool "DE-Cleaner" bereinigen. Zu beachten ist aber, dass dieser Test kein allgemeiner DNS-Check ist. Manipulationen an der Namensauflösung durch andere Schädlinge lassen sich damit nicht aufspüren.

Bei ersten Versuchen von heise Security funktionierte der Test noch nicht. Auf einem testweise infizierten System erschien keine Warnmeldung sondern nur eine Fehlermeldung wegen Zeitüberschreitung. Kurz nach unseren diesbezüglichen Hinweisen beim Betreiber wurde dieses Problem jedoch behoben und der DNS-Changer-Test funktioniert nun wie er soll.

Quelle : www.heise.de

[SiLæncer]

Während die Aufräumarbeiten der Hinterlassenschaften der Malware DNS Changer andauern, mehrt sich die Kritik an der Vorgehensweise. Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) geht man davon aus, dass weitere Aktionen nötig sein könnten, bevor die US-Polizei FBI am 8. März die derzeit vom Internet Systems Consortium (ISC) fürs FBI betriebenen DNS-Server abschaltet.

Am 9. November hatte das FBI mehrere DNS-Server übernommen, über die eine Gruppe von Kriminellen falsche DNS-Antworten an manipulierte Rechner ausgab. Zwei Monate nach der FBI-Aktion hatte das BSI zusammen mit dem Bundeskriminalamt (BKA) und der Deutschen Telekom eine Hilfestellung für deutsche Nutzer veröffentlicht. Diese Aktion sei zu spät gekommen und außerdem auch nicht wirklich effizient, meinen Kritiker.

Beim BSI ist man jedoch anderer Meinung. Es sei für deutsche Internetnutzer “relativ schnell und sehr datensparsam eine Überprüfungsmöglichkeit” angeboten worden, wobei man unter Datensparsamkeit versteht, dass die Nutzer für den ersten Check keine Software zu installieren haben. Durch die polizeiliche Aktion des FBI habe für die Nutzer keine unmittelbare Gefahr mehr durch die Umleitungen bestanden, versicherte der Sprecher des BSI, Matthias Gärtner. Man habe daher deutsche Informationen und, in Zusammenarbeit mit dem FBI, auch die Warnseite für die infizierten deutschen Systeme vorbereiten können.

Auch den Vorwurf, man könnte doch die betroffenen Anwender direkt kontaktieren und ihnen etwa zu Beginn einer Internet-Sitzung einblenden könne, will Gärtner nicht gelten lassen. “Der willentliche Akt der Nutzer, ihr System zu überprüfen, ist ein erster Schritt,” so der BSI-Sprecher, “wenn da auf eine DNS-Anfrage etwas kommt, was sie gar nicht erwartet haben, würde das möglicherweise für Verwirrung sorgen.” Ganz vom Tisch sind solche Aktionen aber nicht. Nach dem ersten Schritt könnten durchaus weitere folgen, bevor das FBI Anfang März die DNS-Server abschalten läßt, räumt Gärtner ein.

Allerdings sei eine direkte Mitteilung an betroffene Nutzer, die bei den FBI/ISC-Servern landen “schon organisatorisch sehr schwierig, da diese Meldung in allen Sprachen verfügbar sein müsste,” gibt Thorsten Kraft, Senior Technical Provider beim Anti-Botnet-Beratungszentrum, zu bedenken. Zudem könne es technisch gesehen heikel sein, solche Direktwarnungen an Endsysteme auszugeben, da Anfragen lebensnotwendiger Systeme kompromittiert werden könnten.

Wie erfolgreich die groß angelegte Kampagne wirklich ist, weiß unterdessen niemand so genau. 14,6 Millionen Unbedenklichkeitsbescheinigungen (grüne Seiten) und 38.600 Warnungen (rote Seiten) holten sich deutsche Nutzer nach Informationen der DTAG bis zum Montag über die Seite DNS-ok.de ab. Aber das sagt wenig über die Zahl der wirklich infizierten Systeme aus; ursprünglich ging das BSI von rund 33.000 in Deutschland aus. Auf Nachfragen, ob und wie sich die Aktion darauf ausgewirkt hat, verweist das BSI auf das mit dem FBI in Kontakt stehende BKA. Doch dort verweist man selbst für Anfragen zu Statistiken auf ein laufendes Verfahren des FBI.

Quelle : www.heise.de

[Jürgen]

Wenn "Anfragen lebensnotwendiger Systeme kompromittiert werden könnten", dann sind gleich (mindestens) zwei ganz böse Fehler im Spiel, die da eigentlich überhaupt nicht vorkommen dürften:

- wirklich lebenswichtige Systeme dürfen sich nicht auf ein technisches Übertragungsmedium verlassen, das prinzipiell unvorhersehbar ausfallen kann.
Eine technische Verfügbarkeit von 99,9% im Jahresmittel ist z.B. typisch für ADSL oder DSL per Kabelnetz, darf aber keinesfalls über Leben oder Tod entscheiden!
Hinzu kommt, dass ja nicht nur DSL mal ausfallen kann, sondern ebenso der Strom.

- auf einem wirklich lebenswichtigen System dürfen niemals irgendwelche anderen Anwendungen laufen, die immer zusätzliche Ausfallrisiken bergen und zudem gerne von Computerschädlingen angegriffen werden.  

Oder ist es schon so weit, dass ein Schluckauf bei DNS zu AKW-Kernschmelzen oder Flugzeugabstürzen führen kann?
Oder bleiben Herz-Lungen-Maschinen stehen, wenn Online-Lizenzprüfungen unterbrochen werden?

Wenn ja, sollten für die (sich selbst vermutlich als Christenmenschen empfindenden) Verantwortlichen wohl peinliche Verhöre dritten Grades, Pranger und Scheiterhaufen wiedereingeführt werden...  

Jürgen

[SiLæncer]

Der Suchmaschinenanbieter Google will erneut seine Besucher vor Infektionen warnen. Dieses Mal ist der DNS Changer der Grund für die Warnung, denn wer einen infizierten Rechner hat, wird wohl bald nicht mehr ins Internet kommen.

Seit kurzem weist Google rund eine halbe Million Nutzer darauf hin, dass sie mit dem DNS Changer infiziert sind. Die Warnung seitens Google nennt aber nicht direkt den Namen der Schadsoftware. Dafür wird sie in verschiedenen Sprachen ausgeliefert, um eine bessere Abdeckung zu erreichen, denn nur die Hälfte der Nutzer spricht laut Google Englisch als Muttersprache.

Die Schadsoftware DNS Changer ist insofern sehr unangenehm für Nutzer, weil dieser Manipulationen bei der Auflösung von Domainnamen vornimmt, indem die Rechner auf falsche DNS-Server umgeleitet werden. Derzeit werden diese falschen DNS-Server noch betrieben, mit korrekten Daten, allerdings steht eine Abschaltung dieser unter anderem vom FBI unterstützten Maßnahme bevor. Eigentlich sollten diese Ersatz-DNS-Server schon im März 2012 abgeschaltet werden. Derzeit sieht es nach einer Abschaltung im Juli aus.

Sobald diese DNS-Server abgeschaltet wurden, werden voraussichtlich mehr als eine halbe Million Nutzer mit ihren Rechnern vom Internet abgeschnitten sein, denn Google wird eigenen Angaben zufolge nicht alle infizierten Rechner erreichen. Die Nutzer werden nicht unbedingt eine Infektion vermuten. Möglich ist es etwa, dass sich betroffene Nutzer beim Provider beschweren, dass ihr privates Internet kaputtgegangen sei. Und so mancher Familienadmin wird sicherlich auch kontaktiert.

Es ist nicht das erste Mal, dass Google zu dem Mittel greift. Bereits im Juli vergangenen Jahres warnte Google die Nutzer, wenn sie gefälschte Virenscanner installiert hatten. Auch damals wertete Google Daten aus, die verseuchte Rechner zu Google schicken.

Google selbst übernimmt nicht die Desinfektion eines Rechners. Stattdessen leistet die Suchmaschinenfirma Hilfe zur Selbsthilfe und verweist auf diverse Virenscanner.

Quelle : www.golem.de

[SiLæncer]

Hat DNSChanger den eingestellten
DNS-Server verbogen, meldet sich
unter Umständen die Telekom. Bild vergrössern

Die Telekom verschickt derzeit Briefe an Kunden, deren Rechner sich möglicherweise mit der Malware DNSChanger infiziert haben. In dem heise Security vorliegenden Schreiben wird der Kunde aufgefordert, die DNS-Einstellungen des Rechners zu kontrollieren und die kostenfreie Antivirensoftware DE-Cleaner von der Seite www.botfrei.de/telekom herunterzuladen. Auf der Seite findet man auch einen Verweis auf das "Telekom Sicherheitspaket" auf Basis von Norton 360, das mit 2,95 Euro im Monat zu Buche schlägt.

Mit der Aktion dürfte die Telekom ganz im Sinne ihrer Kunden handeln: Wer infiziert ist und nicht bis zum 9. Juli dieses Jahres handelt, kann praktisch nicht mehr auf das Internet zugreifen. An diesem Tag werden die vom FBI übergangsweise bereitgestellten DNS-Server voraussichtlich abgeschaltet.

Nach Angaben der Telekom stammen die Daten über die betroffenen Kunden vom Verband der deutschen Internetwirtschaft (eco). Der eco-Verband bezieht die Zugriffslisten der Übergangsserver direkt vom FBI und verteilt sie nach Angaben der Telekom anschließend an die jeweiligen Betreiber. Damit die Telekom die Kunden zuordnen kann, müssen die Daten frisch sein: "Da wir aktuell die IP Adressen für 7 Tage speichern können wir so über unser Abuse-Team die betroffenen Kunden identifizieren und anschreiben", erklärte die Telekom gegenüber heise Security.

Nach Angaben des BSI greifen noch immer täglich rund 20.000 IP-Adressen aus Deutschland auf die Server zu. Diese Anfragen würden nach der Abschaltung ins Leere laufen. Durch einen Besuch der Seite dns-ok.de kann man prüfen, ob die eigene IP darunter ist.

Quelle : www.heise.de

[SiLæncer]

Am kommenden Montag, den 9. Juli, schaltet das FBI die DNS-Server, die derzeit die Anfragen von DNSChanger-Opfern abfangen, ab. Wer mit der Malware infiziert ist, kann ab diesem Zeitpunkt praktisch nicht mehr auf das Internet zugreifen. Daher ist es ratsam, rechtzeitig durch den Besuch von dnschanger.eu oder dns-ok.de zu überprüfen, ob Rechner oder Router eine der FBI-IPs für DNS-Abfragen nutzen.

Wer seine Konfiguration manuell überprüfen möchte, muss nach den folgenden IP-Adressbereichen Ausschau halten: 85.255.112.0 bis 85.255.127.255, 67.210.0.0 bis 67.210.15.255, 93.188.160.0 bis 93.188.167.255, 77.67.83.0 bis 77.67.83.255, 213.109.64.0 bis 213.109.79.255 und 64.28.176.0 bis 64.28.191.255. Ist eine IP aus diesen Adressbereichen im Rechner oder Router als DNS-Server eingetragen, ist man mit DNSChanger infiziert. Wo man diese Angaben im Einzelfall findet, verrät ein vom eco-Verband betriebener Assistent. Für zukünftige DNS-Anfragen bietet sich etwa der von Google betriebene Server 8.8.8.8 an.

Bis zum November 2011 hatten Kriminelle die DNS-Anfragen infizierter Rechner abgefangen und auf andere IP-Adressen umgeleitet, so dass Computernutzer auf gefälschten und manipulierten Seiten landeten. Dort griffen die Hintermänner Kreditkartendaten ab, verkauften falsche Antivirensoftware oder begingen Klickbetrügereien.

Dann zerschlug die US-Bundespolizei FBI im Rahmen der Operation Ghostclick das DNS-Changer-Netz und richtete als Übergangslösung Ersatzserver ein, über die die DNS-Anfragen befallener Rechner korrekt abgewickelt wurden. Diese Server werden nun am 9. Juli endgültig abgeschaltet. Obwohl Datum und DNS-Problematik schon seit Monaten bekannt sind, sind in Deutschland immer noch tausende Rechner infiziert. Vor zwei Monaten hat das FBI täglich noch Zugriffe von rund 20.000 deutschen IP-Adressen registriert.

Nach dem Stichtag können Internetseiten auf einem befallenen und nicht gesäuberten Rechner nur noch geöffnet werden, wenn direkt die IP-Adresse eingegeben wird – zum Beispiel http://193.99.144.80 für heise.de. Seit Ende Mai warnt auch Google Nutzer der gleichnamigen Suchmaschine, wenn ihr Rechner befallen ist.

Quelle : www.heise.de

[SiLæncer]

Am heutigen Montagmorgen gegen 6 Uhr deutscher Zeit hat das FBI die DNS-Server, welche die Anfragen von DNSChanger-Opfern abgefangen haben, wie angekündigt abgeschaltet. Zu diesem Zeitpunkt haben vermutlich noch rund 15.000 Nutzer mit IP-Adressen aus Deutschland (unique IPs) auf die Server zugegriffen, wie aus einem anonym veröffentlichten Auszug aus den Log-Files hervorgeht, der nach Informationen von heise Security von vergangenem Samstag stammt. International gab es Samstag demnach noch Zugriffe von rund 250.000 unterschiedlichen IP-Adressen.

Es ist davon auszugehen, dass sich seitdem wenig an den Zahlen geändert hat; schließlich konnten die Opfer bis heute wie gewohnt auf das Internet zugreifen. Im ersten halben Jahr nach der Zerschlagung des DNSChanger-Botnets bemerkte gerade mal rund ein Drittel der ursprünglich rund 35.000 betroffenen Nutzer aus Deutschland die Infektion. Unter anderem wurden diese Nutzer direkt von ihren Internetprovidern angeschrieben, darüber hinaus hat Google einen Warnhinweis angezeigt.

Wer in seinem Umfeld von plötzlichen Internetausfällen hört, sollte auf den möglichen Auslöser aufmerksam machen und auf den Assistenten des Anti-Botnet Beratungszentrums verweisen, mit dessen Hilfe man die Internetkonfiguration wieder reparieren kann. Die einfachste Maßnahme ist, auf betroffenen Systemen den von Google betriebenen DNS-Server 8.8.8.8 einzustellen. DNSChanger kann laut F-Secure die Netzwerkeinstellungen von Windows, Mac OS manipulieren sowie die Router-Konfigurationen von Geräten der folgenden Hersteller: A-Link, ASUS, D-Link, Linksys, Netgear und SMC.

Der Trojaner DNSChanger hat bis Ende 2011 die DNS-Einstellungen der Opfer manipuliert, wodurch die gestellten DNS-Anfragen fortan von den DNS-Servern der Abzocker beantwortet wurden. Die manipulierten Server beantworteten etwa die Anfrage nach Google.com mit einer falschen IP, unter der eine mit zusätzlicher Werbung bestückte Version der Suchmaschine angeboten wurde. Das Geld für die Werbeeinnahmen floss in die Taschen der Betrüger. Darüber hinaus nutzten sie DNSChanger unter anderem auch für Klickbetrug und den Verkauf nutzloser Antivirensoftware.

Quelle : www.heise.de