Angeblicher BKA-Test auf "DNS-Changer": Einhörner gegen Trojaner
Eine behördliche Website fordert zum Selbsttest auf Trojaner auf. Wer die URL im Radio hört, landet leicht auf einem Fake-Site. Die Macher zeigen sich unbeeindruckt.
BERLIN taz (aktualisiert: 16.19 Uhr) | Der Trojaner "DNS-Changer" ist wieder in aller Munde, seit das BKA die Bundesbürger dazu aufruft, ihre Rechner auf Befall zu prüfen. Auch das Radio sendet diese Appelle. Also flugs den PC hochgefahren und wie gerade gehört "www.dns-okay.de" eingetippt.
Wer das heute Morgen getan hat, konnte ein rosa Wunder erleben: Denn über der seriös wirkenden Website von BKA, BSI und Telekom glitzert plötzlich ein kleines rosa Einhorn mit großen blauen Augen.
Der Grund für diese Überraschung: Die originale Website hat in Wirklichkeit die URL "www.dns-ok.de". Humorvolle Zeitgenossen haben einfach die offizielle Website kopiert und mit Fabelwesen versehen unter der leicht zu verwechselnden URL publiziert.
Eigentlich sollte dieser Test der Sicherheitsbehörden einfach und idiotensicher sein. Unter der richtigen Domain können User testen, ob die DNS-Konfiguration ihrer Rechner in Ordnung ist. Erscheint eine Meldung auf grünem Hintergrund, sind die Server-Einstellungen in Ordnung. Laut der Telekom nutzten bis Donnerstagnachmittag fast acht Millionen Deutsche den DNS-Selbsttest. Bei 7,4 Millionen Nutzern zeigte der Bildschirm einen grünen Balken, bei gut 38.000 leuchtete ein roter Warnhinweis auf.
Ok oder okay?
An die fehlende phonetische Differenz zwischen "Ok" und "Okay" hätte eigentlich auch eine Einrichtung denken sollen, die sich Bundesamt für Sicherheit in der Informationstechnik nennt. Was im ersten Moment amüsant erscheint, ist eigentlich besorgniserregend: Das digitale Schlupfloch hätte man auch anders nutzen können, z.B. für Phishing oder zum Platzieren einer neuen Schadsoftware.
Das dilettantische Verhalten der Ämter sorgte bei Usern für Erheiterung und Verwirrung zugleich. Bei Facebook freut sich ein Mitglied: "Geil, Einhörner!" Eine andere Userin fragt hilfesuchend nach dem Grund der farbenfrohen Fabeltiere, denn "irgendwie nimmt man den Test dadurch nicht mehr ernst".
"Keine Sicherheitslücke"
Beim Bundesamt für Sicherheit und Informationstechnik zeigte man sich wenig beeindruckt von der Fake-Domain. Tim Griese, Pressereferent des BSI, sagte, "von einer Sicherheitslücke ist nicht zu sprechen – es ist eine andere Domain, die die Trittbrettfahrer genutzt haben". Die Telekom, die die Website verwaltet, wisse jedoch davon und gehe der Sache nach.
Alexia Sailer, Pressesprecherin der Telekom, wies jegliche Verantwortung des Unternehmens für die Fake-Site von sich. Da es sich um eine externe Domain handele, könne man an den Inhalten nichts ändern. "Wir prüfen jedoch, ob eine Markenrechtsverletzung vorliegt." Grund dafür: Auf der Seite werden die offiziellen Logos der Telekom und der Bundesämter verwendet.
Auch bei der Telekom gehe man nicht von einer Sicherheitslücke aus, bei den Einhörnern und Regenbögen auf der "falschen" Website handele es sich nur um einen iframe, ein reguläres HTML-Tool, mit dem Webseiten strukturiert werden können.
Trojaner aus den USA
Eine Schadsoftware hatte im vergangenen Jahr zahlreiche Rechner weltweit mit einem Trojaner infiziert. Der so genannte "DNS-Changer" führt den Browser auf falsche Server im Internet. Betroffene NutzerInnen, die zur Online-Videothek Netflix oder Apples iTunes-Seite wollten, landeten auf Angeboten, die die Online-Betrüger bestimmt hatten. Die DNS-Changer-Software sorgte dafür, dass statt der echten die gefälschten Server angesteuert wurden.
Das FBI hatte im November die Internetkriminellen ausgehoben und deren Server durch solche ersetzt, die auch dann die richtigen Websites im Internet anzeigen, wenn ein User mit einem infizierten Computer surft.
Da diese Server am 8. März abgeschaltet werden sollen, geht es nun darum, die verbliebenen infizierten Computer von der Schadsoftware zu befreien. Deshalb haben Bundeskriminalamt und das Bundesamt BSI den Computer-Selbsttest eingerichtet.
Leser*innenkommentare
Ariane Tux
Gast
Das DNS-Spoofing, also das Verändern der Namensauflösung im Internet zu seinen eigenen Gunsten, schon lange ein Problem darstellt, braucht wohl nicht mehr betont zu werden. Abhilfe gibt es auch schon länger. Nur was nutzt es, wenn Sie nicht genutzt wird? Der Name www.dns-ok.de lässt sich zur IP-Adresse 85.214.11.195 auflösen. Nun mal die andere Richtung: not found: 3(NXDOMAIN). Sehr unschön. Nun noch schnell die Absicherung per DNSsec geprüft... Ooops, keine da. Und wo wir dabei sind. für die Domain fühlen sich Nameserver von hsd.de zuständig. Hm, wer ist das nun? Ah, ein Systemhaus für "einfach mehr Business". Der Test ist ja schön und gut, aber vielleicht hätte ein Partner den Werbeslogan aus eigenem Haus beherzigen sollen: Vielleicht hätte man jemanden fragen sollen, der sich damit auskennt...
barabas
Gast
... sogar als fortgeschrittener Laie habe ich doch für meine Browser einen ad-Blocker und das kleine Stealth-Progrämmchen. Prima Apps: Aufdringliche Werbung läuft ins Leere - und meine IP-Adresse über eine Proxy-Server im Nirwana ..... für Werbung und Trojaner unsichtbar ...
Wolfgang Schmidt
Gast
Ich frage mich, warum Medien wie die Tagesschau die Frechheit besitzen eine solchen Schwachsinnsmeldung zu verbreiten und damit dem BND helfen, ahnungslose Bürger in die Staatstrojaner-Falle zu locken? Stasi, Gestapo & Co. lassen grüßen.
Bei der Bild wundert einen ja nix mehr - aber es hat Situationskomik, welch' breite Unterstützung der BND auf den Bildwebseiten erhält, wo doch sich die Bild doch gerade im "Krieg" mit dem Bundespräsidenten befindet.
Da lobe ich mir die taz und vor allem auch die Kommentatoren hier, die gleich viel kritischer an diese Meldung herangeganen sind.
Eine offizieller Kommentar des ccc zur besagten Prüfseite des BSI wäre schön!
SimYer
Gast
Darauf ein dickes LIKE itallgemeinbildung
itallgemeinbildung
Gast
Wow, mal wieder geballter Kommentar-Nonsense in der Netz Ecke. Von einem Nutzer der sein Unix System nach Trojan.Win32.DNSChanger überprüfen will :facepalm: bis zur technologischen Vollverweigerung.
Ehrlich Leute, vermutlich ist das Rootkit auf eurem Rechner cleverer als der Nutzer der davor sitzt.
Procorni
Gast
den Trojaner dns- changer
gibt es seit 2007
http://www.myantispyware.com/2007/11/06/how-to-remove-trojan-dnschanger/
deswegen fängt man sich auf alle Fälle ein Staatstrojaner ein, wenn man auf dns-ok.de geht
Warum warnt denn eine Staatsbehörde 5 jahre später sonst die User ???
Pragmatiker
Gast
Das BSI hat natürlich die sicherste Methode gewählt, um einen gefälschten DNS-Server zu entlarven! Von wem wird wohl die Einabe von 'dns-ok.de' in die IP-Adresse umgesetzt? Richtig, vom DNS-Server. Und wenn der nun gefälscht ist?
B. Wondraschek
Gast
Typisch Computer-Freaks: Die glauben alle, dass folgender Hinweis auf der Website www.dns-ok.de für die Normalverbraucher irgendwie eine sinnvolle Handlungsanweisung ergibt: "Für die korrekte Durchführung dieses Tests dürfen keine Proxy-Server in den Einstellungen Ihres Webbrowsers aktiviert sein."
Noch einmal Klartext: Damit kann kein Schwein etwas anfangen, und deshalb hat der Test dann auch nichts genutzt.
Terminal Error
Gast
Moi MacUser!
Kuckt einfach in einen bestimmten Ordner, ob ihr infiziert seid.
Er befindet sich hier:
/Library/Internet
Die Datei heißt plugins.settings.
Wenn die nicht drin ist, braucht man auch keine BSI-Seite.
.......................................
http://www.f-secure.com/v-descs/trojan_osx_dnschanger.shtml
Prevents Disinfection
The install script adds a crontab (a configuration file that specifies shell commands to run periodically on a given schedule) to a script to verify the malicious DNS servers remain unchanged. The script is stored in /Library/Internet Plug-Ins and is named plugins.settings.
The trojan infects both 10.4 and 10.5 versions of Mac OS X.
Freddy
Gast
Das Problem sind doch nur dusslige Radioplauderer, die noch nicht mal eine kurze Domain sauber buchstabieren können.
Rick S.
Gast
Ohne Misstrauen schüren zu wollen, muss ich aber sagen, das Ihnen beide Seiten einen Trojaner im Drive-by einschleusen können und eventuell auch wollen.
KFR
Gast
Leider sind die angebotenen tools nicht für MAC und LINUX - Systeme geeignet;
es handelt sich offenbar um freundliche Unterstützung für einen bekannten Monopolisten.
Josef
Gast
Von Behörden und ihren Beamten kann man eben nicht erwarten, dass sie kompetent sind oder gar vor mitdenken und das Hirn einschalten.
So läuft das eben bei unseren vom Steuerzahler bezahlten "Sesselfurzer auf Lebenszeit".
bravebavar
Gast
... ist doch egal, welche Website man aufruft: Über beide läßt sich der Bundestrojaner kostenlos herunterladen!
Odysseus
Gast
Griechische Einhörner statt 4000 Jahre tote Trojaner.
asdfdsf
Gast
Anscheinend nutzt die Einhörner-Seite aber auch die korrekte dns-ok.de Seite, also sollte sie immerhin das korrekte Ergebnis anzeigen, nur die Einhörner hat das Original halt nicht...
Angelajugend
Gast
Wenn man mit einer typisch dummdeutschen Dreistigkeit ständig "O.K." völlig eklig und falsch betont, kommt genau das heraus.
DNS-Schnecke
Gast
Achtung :
Das DNS-EinPromillehorn enthält nur alkoholfreie Trollinger-Trojaner.