piwik no script img

Angeblicher BKA-Test auf "DNS-Changer"Einhörner gegen Trojaner

Eine behördliche Website fordert zum Selbsttest auf Trojaner auf. Wer die URL im Radio hört, landet leicht auf einem Fake-Site. Die Macher zeigen sich unbeeindruckt.

Es bleibt nicht bei einem Einhorn: gefakete Website. Bild: screenshot: dns-okay.de

BERLIN taz (aktualisiert: 16.19 Uhr) | Der Trojaner "DNS-Changer" ist wieder in aller Munde, seit das BKA die Bundesbürger dazu aufruft, ihre Rechner auf Befall zu prüfen. Auch das Radio sendet diese Appelle. Also flugs den PC hochgefahren und wie gerade gehört "www.dns-okay.de" eingetippt.

Wer das heute Morgen getan hat, konnte ein rosa Wunder erleben: Denn über der seriös wirkenden Website von BKA, BSI und Telekom glitzert plötzlich ein kleines rosa Einhorn mit großen blauen Augen.

Der Grund für diese Überraschung: Die originale Website hat in Wirklichkeit die URL "www.dns-ok.de". Humorvolle Zeitgenossen haben einfach die offizielle Website kopiert und mit Fabelwesen versehen unter der leicht zu verwechselnden URL publiziert.

Eigentlich sollte dieser Test der Sicherheitsbehörden einfach und idiotensicher sein. Unter der richtigen Domain können User testen, ob die DNS-Konfiguration ihrer Rechner in Ordnung ist. Erscheint eine Meldung auf grünem Hintergrund, sind die Server-Einstellungen in Ordnung. Laut der Telekom nutzten bis Donnerstagnachmittag fast acht Millionen Deutsche den DNS-Selbsttest. Bei 7,4 Millionen Nutzern zeigte der Bildschirm einen grünen Balken, bei gut 38.000 leuchtete ein roter Warnhinweis auf.

Ok oder okay?

An die fehlende phonetische Differenz zwischen "Ok" und "Okay" hätte eigentlich auch eine Einrichtung denken sollen, die sich Bundesamt für Sicherheit in der Informationstechnik nennt. Was im ersten Moment amüsant erscheint, ist eigentlich besorgniserregend: Das digitale Schlupfloch hätte man auch anders nutzen können, z.B. für Phishing oder zum Platzieren einer neuen Schadsoftware.

Das dilettantische Verhalten der Ämter sorgte bei Usern für Erheiterung und Verwirrung zugleich. Bei Facebook freut sich ein Mitglied: "Geil, Einhörner!" Eine andere Userin fragt hilfesuchend nach dem Grund der farbenfrohen Fabeltiere, denn "irgendwie nimmt man den Test dadurch nicht mehr ernst".

"Keine Sicherheitslücke"

Beim Bundesamt für Sicherheit und Informationstechnik zeigte man sich wenig beeindruckt von der Fake-Domain. Tim Griese, Pressereferent des BSI, sagte, "von einer Sicherheitslücke ist nicht zu sprechen – es ist eine andere Domain, die die Trittbrettfahrer genutzt haben". Die Telekom, die die Website verwaltet, wisse jedoch davon und gehe der Sache nach.

Alexia Sailer, Pressesprecherin der Telekom, wies jegliche Verantwortung des Unternehmens für die Fake-Site von sich. Da es sich um eine externe Domain handele, könne man an den Inhalten nichts ändern. "Wir prüfen jedoch, ob eine Markenrechtsverletzung vorliegt." Grund dafür: Auf der Seite werden die offiziellen Logos der Telekom und der Bundesämter verwendet.

Auch bei der Telekom gehe man nicht von einer Sicherheitslücke aus, bei den Einhörnern und Regenbögen auf der "falschen" Website handele es sich nur um einen iframe, ein reguläres HTML-Tool, mit dem Webseiten strukturiert werden können.

Trojaner aus den USA

Eine Schadsoftware hatte im vergangenen Jahr zahlreiche Rechner weltweit mit einem Trojaner infiziert. Der so genannte "DNS-Changer" führt den Browser auf falsche Server im Internet. Betroffene NutzerInnen, die zur Online-Videothek Netflix oder Apples iTunes-Seite wollten, landeten auf Angeboten, die die Online-Betrüger bestimmt hatten. Die DNS-Changer-Software sorgte dafür, dass statt der echten die gefälschten Server angesteuert wurden.

Das FBI hatte im November die Internetkriminellen ausgehoben und deren Server durch solche ersetzt, die auch dann die richtigen Websites im Internet anzeigen, wenn ein User mit einem infizierten Computer surft.

Da diese Server am 8. März abgeschaltet werden sollen, geht es nun darum, die verbliebenen infizierten Computer von der Schadsoftware zu befreien. Deshalb haben Bundeskriminalamt und das Bundesamt BSI den Computer-Selbsttest eingerichtet.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Mehr zum Thema

18 Kommentare

 / 
  • AT
    Ariane Tux

    Das DNS-Spoofing, also das Verändern der Namensauflösung im Internet zu seinen eigenen Gunsten, schon lange ein Problem darstellt, braucht wohl nicht mehr betont zu werden. Abhilfe gibt es auch schon länger. Nur was nutzt es, wenn Sie nicht genutzt wird? Der Name www.dns-ok.de lässt sich zur IP-Adresse 85.214.11.195 auflösen. Nun mal die andere Richtung: not found: 3(NXDOMAIN). Sehr unschön. Nun noch schnell die Absicherung per DNSsec geprüft... Ooops, keine da. Und wo wir dabei sind. für die Domain fühlen sich Nameserver von hsd.de zuständig. Hm, wer ist das nun? Ah, ein Systemhaus für "einfach mehr Business". Der Test ist ja schön und gut, aber vielleicht hätte ein Partner den Werbeslogan aus eigenem Haus beherzigen sollen: Vielleicht hätte man jemanden fragen sollen, der sich damit auskennt...

  • B
    barabas

    ... sogar als fortgeschrittener Laie habe ich doch für meine Browser einen ad-Blocker und das kleine Stealth-Progrämmchen. Prima Apps: Aufdringliche Werbung läuft ins Leere - und meine IP-Adresse über eine Proxy-Server im Nirwana ..... für Werbung und Trojaner unsichtbar ...

  • WS
    Wolfgang Schmidt

    Ich frage mich, warum Medien wie die Tagesschau die Frechheit besitzen eine solchen Schwachsinnsmeldung zu verbreiten und damit dem BND helfen, ahnungslose Bürger in die Staatstrojaner-Falle zu locken? Stasi, Gestapo & Co. lassen grüßen.

    Bei der Bild wundert einen ja nix mehr - aber es hat Situationskomik, welch' breite Unterstützung der BND auf den Bildwebseiten erhält, wo doch sich die Bild doch gerade im "Krieg" mit dem Bundespräsidenten befindet.

    Da lobe ich mir die taz und vor allem auch die Kommentatoren hier, die gleich viel kritischer an diese Meldung herangeganen sind.

    Eine offizieller Kommentar des ccc zur besagten Prüfseite des BSI wäre schön!

  • S
    SimYer

    Darauf ein dickes LIKE itallgemeinbildung

  • I
    itallgemeinbildung

    Wow, mal wieder geballter Kommentar-Nonsense in der Netz Ecke. Von einem Nutzer der sein Unix System nach Trojan.Win32.DNSChanger überprüfen will :facepalm: bis zur technologischen Vollverweigerung.

     

    Ehrlich Leute, vermutlich ist das Rootkit auf eurem Rechner cleverer als der Nutzer der davor sitzt.

  • P
    Procorni

    den Trojaner dns- changer

    gibt es seit 2007

    http://www.myantispyware.com/2007/11/06/how-to-remove-trojan-dnschanger/

     

    deswegen fängt man sich auf alle Fälle ein Staatstrojaner ein, wenn man auf dns-ok.de geht

     

    Warum warnt denn eine Staatsbehörde 5 jahre später sonst die User ???

  • P
    Pragmatiker

    Das BSI hat natürlich die sicherste Methode gewählt, um einen gefälschten DNS-Server zu entlarven! Von wem wird wohl die Einabe von 'dns-ok.de' in die IP-Adresse umgesetzt? Richtig, vom DNS-Server. Und wenn der nun gefälscht ist?

  • BW
    B. Wondraschek

    Typisch Computer-Freaks: Die glauben alle, dass folgender Hinweis auf der Website www.dns-ok.de für die Normalverbraucher irgendwie eine sinnvolle Handlungsanweisung ergibt: "Für die korrekte Durchführung dieses Tests dürfen keine Proxy-Server in den Einstellungen Ihres Webbrowsers aktiviert sein."

    Noch einmal Klartext: Damit kann kein Schwein etwas anfangen, und deshalb hat der Test dann auch nichts genutzt.

  • TE
    Terminal Error

    Moi MacUser!

     

    Kuckt einfach in einen bestimmten Ordner, ob ihr infiziert seid.

     

    Er befindet sich hier:

     

    /Library/Internet

     

    Die Datei heißt plugins.settings.

     

    Wenn die nicht drin ist, braucht man auch keine BSI-Seite.

    .......................................

    http://www.f-secure.com/v-descs/trojan_osx_dnschanger.shtml

    Prevents Disinfection

     

    The install script adds a crontab (a configuration file that specifies shell commands to run periodically on a given schedule) to a script to verify the malicious DNS servers remain unchanged. The script is stored in /Library/Internet Plug-Ins and is named plugins.settings.

     

    The trojan infects both 10.4 and 10.5 versions of Mac OS X.

  • F
    Freddy

    Das Problem sind doch nur dusslige Radioplauderer, die noch nicht mal eine kurze Domain sauber buchstabieren können.

  • RS
    Rick S.

    Ohne Misstrauen schüren zu wollen, muss ich aber sagen, das Ihnen beide Seiten einen Trojaner im Drive-by einschleusen können und eventuell auch wollen.

  • K
    KFR

    Leider sind die angebotenen tools nicht für MAC und LINUX - Systeme geeignet;

    es handelt sich offenbar um freundliche Unterstützung für einen bekannten Monopolisten.

  • J
    Josef

    Von Behörden und ihren Beamten kann man eben nicht erwarten, dass sie kompetent sind oder gar vor mitdenken und das Hirn einschalten.

     

    So läuft das eben bei unseren vom Steuerzahler bezahlten "Sesselfurzer auf Lebenszeit".

  • B
    bravebavar

    ... ist doch egal, welche Website man aufruft: Über beide läßt sich der Bundestrojaner kostenlos herunterladen!

  • O
    Odysseus

    Griechische Einhörner statt 4000 Jahre tote Trojaner.

  • A
    asdfdsf

    Anscheinend nutzt die Einhörner-Seite aber auch die korrekte dns-ok.de Seite, also sollte sie immerhin das korrekte Ergebnis anzeigen, nur die Einhörner hat das Original halt nicht...

  • A
    Angelajugend

    Wenn man mit einer typisch dummdeutschen Dreistigkeit ständig "O.K." völlig eklig und falsch betont, kommt genau das heraus.

  • D
    DNS-Schnecke

    Achtung :

     

    Das DNS-EinPromillehorn enthält nur alkoholfreie Trollinger-Trojaner.