Die US-Bundespolizei FBI hat im November 2011 ein Botnetz entdeckt und gut hundert Server sichergestellt bzw. beschlagnahmt. Mit den Servern wurde ein Botnet betrieben, in das auch reichlich deutsche Rechner „integriert“ sein sollen. Darüber berichten heute die Tagesschau, die NZZ-Online und andere Medien.
Ob der eigene Rechner Teil dieses Netzes geworden ist, kann man mit Hilfe der Bundesregierung auf der Seite www.dns-ok.de prüfen. Der Rechner, auf dem ich diesen Beitrag schreibe, ist sauber.
Laut den Datenschutzhinweisen ist das Angebot ausschließlich von der Telekom, und Daten werden nur weitergegeben, soweit dies „gesetzlich vorgeschrieben“ ist.
Auch das Impressum schreibt nur von der DTAG, im Kontrast zu den Bannern auf der Startseite – ich sehe da keinen Hinweis, dass dies ein Angebot der Bundesregierung ist…
Ich bin mir ziemlich sicher, dass das ein Riesenspaß ist, wenn man zum Beispiel wegen der angekündigten Websperren seinen DNS per Hand geändert hat.
Die Aussagekraft von diesem „Test“ ist mangels Authentifizierung doch exakt Null. https gibt’s nicht, und bei einem gefakten DNS-Server kann doch der Black Hat den ahnungslosen Surfer doch problemlos eine „ist alles ok“-Seite vorgaukeln.
Dieser Test beantwortet exakt eine Frage: Ist mein Rechner mit dieser speziellen Malware infiziert?
Nicht mehr und nicht weniger.
Das Ganze funktioniert recht einfach: Wer den DNS-Server des Botnetzes eingetragen bekommen hat, erhält die IP-Adresse der roten Seite, alle anderen bekommen die IP-Adresse der grünen Seite (ganz egal, ob sie den DNS ihres Providers oder einen anderen benutzen). Nur der Botnetz-Server hat einen Eintrag für http://www.dns-ok.de, der auf die rote Seite zeigt. Alle anderen DNS-Server haben einen Eintrag, der auf die grüne Seite zeigt.
@crovax: Nein, auch diese Frage beantwortet der Test nicht. – wenn mein DNS möglicherweise komprommitiert ist, kann ich mich doch gerade nicht darauf verlassen, das dieses mir für dns-ok.de die vorgesehene IP liefert. https wäre da eine Möglichkeit gewesen, weil dann der Aussteller/Inhaber des Certs geprüft würde, aber auf sowas naheliegendes kommt der eco und die Telebimm irgendwie nicht…
Ich warte auf die Nachricht, dass der Server, welcher die Überprüfungen durchführt, gehackt und gecrackt wurde. In letzter Zeit werden bevorzugt „Sicherheitsfirmen“ kompromittiert.
Dafür ist auf Ihrem PC jetzt der Staatstrojaner installiert.
@whocares: Du hast das Problem nicht erkannt oder nicht verstanden… Der kompromittierte DNS wird vom FBI betrieben.
Die Seite lenkt dich einfach nur, wie crovax schon schrieb, auf die grüne Seite weiter. Einzig und alleine beim DNS-Server der vom FBI betrieben wird, wird die Domain zu einer anderen Seite auf dem Webserver weitergeleitet.
Somit kann das ding gar nicht false positiv anzeigen… Die einzigen die über den DNS noch Kontrolle haben, ist das FBI.
@Lexus: Doch, ich habe das schon verstanden. Ich ziehe aber durchaus die Möglichkeit in Betracht, das es nicht nur einen Rogue-DNS-Server in dieser Geschichte gibt. DNS alleine ist hier nicht vertrauenswürdig, das reicht nicht.
Nochwas: FBI – die hatten doch mal so eine Spyware namens CIPAV im Angebot. Yeah, denen vertraue ich doch voll…
Die Seite ist aber nur für das eine infizierte DNS-Server Netz… Eine andere Aufgabe hat die Seite nicht und soll auch nicht allgemein die DNS-Einstellungen überprüfen… Es wird nur geschaut ob der eine infizierte DNS-Server bei einem eingetragen ist.
Und ja… Es ergibt total Sinn, dass das FBI die Abschaltung ankündigt und dann die Leute extra vortäuschen will sie wären nicht betroffen, damit sie irgendwann keine Domainnamen mehr auflösen können… Und dann sitzen die beim FBI und lachen im dunklen Kämmerlein!
[…] Quelle: http://www.kanzlei-hoenig.de/blog-kategorie/motorradrecht/ […]