Loading

DNS Hijacking nur eine Domainumleitung oder doch ein Horrorszenario?

Posted in Sidetopics on October 8th, 2013
Tags: , , , , , , ,

Gerade geht die Hackergruppe KDMS rund und verteilt Schläge gegen viele bekanntere Webseiten. Zu den Opfern gehören jetzt bereits

  • LeaseWeb (Ein Hosting-Provider),
  • Avira (Anti-Viren-Hersteller),
  • AVG (Anti-Viren-Hersteller),
  • RedTube (Bekannte Pornoseite) und
  • Alexa.

Das sind in der IT-Branche und einige auch darüber hinaus sehr bekannte Namen. Hier der Artiekel von Botfrei.de dazu: DNS-Hijacking: LeaseWeb verlor Firmen-Domain an Cyberkriminelle

Was genau haben die gemacht?

Die Hackergruppe hat die Webseten der entsprechenden Firmen defaced. Bzw. ist das eigentlich gar nicht der Fall. Die Webseite selbst wurde nämlich gar nicht angefasst. Stattdessen hat man der entsprechenden Domain einfach gesagt, das der Inhalt wo anders liegt. Man hat die IP-Adresse in den DNS-Einstellungen verändert. Das nennt man dann DNS-Hijacking.

Wenn ich im Browser eine Domain eingebe, die ich besuchen will (zum Beispiel Avira.de) dann wird erstmal eine Anfrage gestellt auf welchem Server die Webseite überhaupt liegt. Die Antwort ist eine IP-Adresse (also die Internet-Hausnummer der Webseite). Diese Nummer wurde ausgetauscht und gegen eine IP-Adresse getauscht die unter der Kontrolle der KDMS-Hackergruppe ist. In eurem Browser wurde also der Inhalt von diesem Server angezeigt.

Was ist daran so schlimm?

Viele denken jetzt wahrscheinlich: Ach, dann wurde ja nur die Webseite “umgeleitet”, dann ist das ja gar nicht so schlimm. Nein! Das ist falsch. Bleiben wir beim Beispiel Avira. Nicht nur euer Browser spricht über Domainnamen mit dem Internet sondern auch der Avira-Antivirus selbst. Zum Beispiel wenn er Aktualisierungen machen will. Das Programm fragt dann nach der Adresse von zum Beispiel updates.avira.com. Jemand der Zugriff auf die DNS-Einträge von avira.com hat, kann genauso leicht auch die IP-Adresse von updates.avira.com ändern und dann sind wir schon bei viel schlimmeren Folgen für jeden einzelnen Avira-Benutzer. In der Zeit könnten zum Beispiel gefälschte Aktualisierungen auf euer System übertragen worden sein.

Ein zweites Beispiel. Der Angriff auf whatsapp.com war genau der gleiche wie auch bei Avira. Auch die Anwendung WhatsApp spricht über Domainnamen mit den WhatsApp-Servern im Internet. Eine mögliche Subdomain für die Authentifizierung könnte zum Beispiel auth.whatsapp.com sein, oder die Adresse für die Nachrichten messages.whatsapp.com. Beide Einträge können hierbei auch geändert werden, wenn man den Zugriff auf die Domain whatsapp.com hat. Im Falle von WhatsApp bedeutet das: Eure Authentifizierungsdaten und sogar Nachrichten könnten jetzt in der Hand von Cyber-Kriminellen sein.

Das sind konkrete vorstellbare Manipulationsszenarien die direkt dafür Sorgen das Eure Daten gestohlen werden können oder aber euer Computer kompromittiert wurde.

Was mach ich jetzt? 

Im Falle von WhatsApp? Das Programm nicht mehr nutzen. Das würde ich allerdings jedem empfehlen, der ein wenig Wert auf Privatsphäre setzt. Zwar verschlüsselt WhatsApp wohl seit geraumer Zeit die Nachrichten, diese Verschlüsselung ist aber Fehlerbehaftet und damit leicht zu knacken. Alternativen gibt es:

Im Falle von Avira? Jetzt wird es heikel, denn euer Computer könnte Infiziert sein und damit im Prinzip alle Daten die Ihr auf dem Rechner verwendet. Ich empfehle euch auf jeden Fall den Computer von einem anderen Virenscanner (bitte nicht AVG xD) überprüfen zu lassen.

Ihr könnt erst einmal den Online-Check auf Check-and-Secure (Eine Platform der Sicherheitsfirma cyscon GmbH) durchführen und dann den dort angebotenen Hitman.Pro herunterladen. Das ist ein sogenannter “zweite Meinung”-Scanner, den man genau dazu verwendet, eine Kompromittierung auszuschließen oder festzustellen.

Sollte euch das auch noch zu ungenau sein (denn immerhin sind das ja alles nur Programme), dann kann ich euch das Botfrei-Forum empfehlen. Meldet euch da an und macht ein neues Thema auf. Die Experten in diesem Forum schauen sich euren Rechner dann bis in kleinste Detail an und helfen bei der Entfernung der Schadsoftware oder bei dem sicheren Weg: Den Computer neu aufzusetzen.

Also, lieber auf Nummer sicher gehen!

[ Leave A Comment »]
Blogverzeichnis - Blog Verzeichnis bloggerei.de Blogverzeichnis