Was sagen denn die Fachleute dieses Forums, die genau durchschauen,

was da bis jetzt gelaufen ist

was die telekom nun macht

wer betroffen sein kann (angeblich hat die Telekom ja schon Kandidaten angeschrieben?)

und gesetzt den Fall, was dann zu tun ist?

Also ich gähne da und sage Dir ein achselzuckendes "Ja und?". Sorry, ist aber so.

Diese Angriffsmethoden stammen aus dem Baukasten einer 11er Windows-Version. Und zwar nicht dem Nachfolger von Windows 10, das drei Versionen nach Windows 7 kommt sondern Windows 3.11. Unter Unix ist sie ungefähr so alt wie das Web selber.

Geschildert sind da zwei recht beliebte Angriffsmethoden. Einmal die Änderung des DNS-Servereintrags in den Netzwerk-Einstellungen von Windows und einmal die Änderung der System-Datei hosts. (hosts. ohne was dahinter. Nur einfach hosts mit einem Punkt am Ende) Ich versuche das ganze mal halbwegs verständlich zu erklären. Dazu gehe ich etwas auf die doofe Kiste ein, die da im Nebel des Internet rumstochert.

Also erst mal das mit dem Eintrag für den DNS-Server. Wenn Du im Browser eine URL eintippst, kann der Rechner damit erst mal gar nichts anfangen. Der Rechner braucht da eine IP-Adresse, keinen halben Roman. Sonst kriegt er Migräne und Simmellismus 1). Also muss ihm irgendwer die Domain botfrei.de, die Du ihm gegeben hast, in eine Zahlenkombination, die sog. IP-Adresse, übersetzen. In dem Fall dann also 217.72.205.202 Übrigens führt der Link 217.72.205.202 genau aus dem Grund ebenfalls zu der Seite, der nimmt dem Netz nur die Arbeit ab, die für uns kohlenstoffbasierte Lebensformen besser lesbare Domain in kryptisches Computersprech zu übersetzen.

Diese Arbeit macht normalerweise ein DNS-Server (DNS steht hier für Domain-Name-Service, nicht für Desoxyribonukleinsäure) Jeder Provider betreibt solche DNS-Server und auch manche anderen tun dies. Einer dieser DNS-Server würden nun deine eingetippte Domain nehmen, in eine für das Netz verwendbare IP-Adresse übersetzen und sie deinem Rechner verraten, wenn Dein Rechner wüsste, unter welcher IP so ein DNS-Server im Netz erreichbar ist. Und genau da setzt der erste Angriff an. Denn natürlich weiss Dein Rechner das - entweder hast Du ihm die IP-Adresse mal bei der Installation genannt oder er sucht ihn sich über den Provider.

Der Punkt ist aber: welchen DNS-Server der Rechner benutzen soll ist im System frei konfigurierbar. Das ist Absicht und so gewollt. Kann ja sein, dass Du da einen anonymen Proxy einträgst, damit nicht jeder deine Datenspuren im Netz sieht. Ändert nun ein Angreifer die IP-Adresse, unter der Dein Rechner einen DNS-Server erwartet, ab in eine IP-Adresse die zu einem DNS-Server führt, den er selber betreibt, dann kann er deinen Rechner natürlich dorthin schicken, wo es ihm gefällt. Schliesslich übersetzt der Dir ja die Domain dann in die IP-Adresse, auf der Dich der Angreifer gerne hätte. Dein Rechner merkt davon gar nichts, schlimmer noch: da das eine vollkommen normale Einstellungsmöglichkeit ist und die Umsetzung im Netz über einen DNS-Server erfolgt, merkt nicht mal ein paranoid eingestellter Browser, dass die schöne Paypal-Seite gar keine Paypal-Seite ist. Er bekommt ja eine Paypal-Seite von der IP-Adresse, unter der er sie nach Auskunft des DNS-Servers erwarten durfte. Nun stell Dir vor, der DNS-Server würde die von Dir eingegebene Domain botfrei.de nicht in die oben gennante IP übersetzen sondern sagt Deinem Recher: botfrei.de findest Du im Netz unter der IP 173.0.85.78 - schon isses passiert und Du bist einem Betrüger auf den Leim gegangen: 173.0.85.78 . Wie bereits gesagt: Dein Rechner merkt davon nichts, für den ist das alles vollkommen normal. Selbst die Warnung, die ich derzeit bekomme, wenn ich die zweite IP direkt aufrufe (Zertifikatsfehler: gehört nicht 173.0.85.78 sondern domain) käme dann nicht.

Der zweite Angriff funktioniert ähnlich. Manchmal will man eine Domain über eine bestimmte IP-Adresse abrufen. Dafür gibt es bei Windows ein Erbe aus der Zeit, als die Welt noch nicht von von unixoiden Systemen sondern von IBMs 370er-Serie beherrscht wurde und der Unix-Server noch eine belächelte Randerscheinung war: die unixtypische Datei hosts. . Das ist eine Textdatei, die das selbe macht, wie der DNS-Server draussen im Netz. Sie stellt für dort eingetragene Domainnamen direkt die IP-Adresse zur Verfügung, unter der die Domain abgerufen werden soll.

Diese Datei hat Vorrang vor allen anderen Arten der Namensauflösung. Bevor der Rechner im Netz sucht, sucht er in der hosts. Wenn da was drinsteht, das er brauchen kann, ist er happy. Um die Datei zu sehen musst Du allerdings versteckte Dateien und Systemdateien einblenden, sonst siehst Du die gar nicht. Ausserdem sollte der Haken bei "bekannte Dateinamenwerteiterungen ausblenden" rausgenommen sein. Bei NT-basierten Kernels liegt die im Windows-Verzeichis im Unterverzeichnis system32\drivers\etc\

Wenn sie da liegt, ist das schön. Was das BKA (und das BMI) verschweigen: ich habe das Ding schon angegriffen, als die Windows eNTe noch auf die Nummer 3.51 gehört hat und habe dazu einen weiteren Trick benutzt. Einfach eine zweite hosts auf den Rechner und den Registry-Schlüssel \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DataBasePath auf die zweite Datei umgebogen, schon kann man in der originalen hosts treiben was man lustig ist, sie wird nicht mehr genutzt. Also bitte auch diesen Registry-Eintrag mitprüfen.


Wer sich zutraut, an die Datei ranzugehen kann., um den Effekt zu sehen, ja mal folgenden Eintrag setzen

paypal.de 217.72.205.202

und die Datei abspeichern. Dabei darauf achten, dass die Datei hinterher wirklich wieder hosts. heisst und nicht z.B. hosts.txt sonst funktioniert es nicht. Dann mal eben den Rechner neu starten (geht auch anders, aber per Neustart ist das DAU-kompatibel) paypal.de aufrufen und sich über den Inhaberwechsel freuen.

Das lässt sich eigentlich für positives nutzen. Ich zum Beispiel bin faul: ich habe auf die Art die IP meines Routers mit einem Namen versehen - muss ich zur Konfiguration schon keine IP-Adresse eintippen, ich rufe router auf. Und natürlich auch für negatives. Genau diese Datei ist nämlich dran schuld, dass die Internetsperren, die immer wieder diskutiert werden, sinnlos sind. Ein Kinderpornoringbetreiber muss seinen "Kunden" nur eine hosts bzw eine einzige Zeile Text per Mail oder SMS schicken, schon muss sich der Rechner des "Kunden" nicht mehr beim DNS-Server des Providers nach der IP von grosserkinderpornoringvonderleyen.de erkundigen (also dort, wo diese Sperren ansetzen sollten) sondern nimmt die, die er selber kennt.

Solltet ihr übrigens bei der Arbeit an und mit dieser hosts auf eine Datei lmhosts. stoßen: mit der geht das Ganze genauso. Auch hier hat das BSI kein Wort drüber verloren. Eine lmhosts.sam dagegen ist unkritisch, das sam steht für "sample" = Muster. Da weiss Wintendo, dass er die nicht nehmen soll. (Ein nicht komplett verblödeter Angreifer greift daher also zweckmäßigerweise die lmhosts.sam an und ändert dann den Namen auf lmhosts. )

Ich hoffe, das war verständlich genug erklärt.

Axo: wenn das wer ausprobiert und irgendwann mal doch wieder in der Lage sein will, Paypal aufzurufen ohne dauernd die IP einzutippen, dann muss er nur die Zeile aus der hosts. rausnehmen oder ein # davor setzen.


Fußnote:

1) Simmellismus, der: krankhaftes gutfinden auch nur mittelmäßiger Trivialliteratur zu Zwecken geistiger Erbauung.

Ich bin mir nicht ganz sicher ob es in Win7 Zeiten noch so ist,
Aber ich meine die Datei ist schon deshalb nötig um localhost festzulegen.
{ 127.0.0.1 localhost }

Daher sollte die Datei eigentlich auch nicht völlig leer sein ...

Kannst Du machen, wenn Du den Schreibschutz aufhebst. Macht sich Windows eben eine neue.

Wenn in Deiner hosts. "gar nichts" drinsteht, liegt das daran, dass das der Grundzustand von Windows ist. Normalerweise steht in der hosts. nichts und in der korrespondierenden Beispieldatei hosts.sam ein bisschen Kommentartext. Oder es gibt keine hosts.sam auf dem System, dann steht in der host. etwas Kommentartext und "127.0.0.1 localhost".

Axo - natürlich muss der Eintrag zum testen andersrum lauten. Also "217.72.205.202 paypal.de". Erst die IP, dann die Domain.

Danke Löschbert für die supertolle Erklärung von DNS. Ich hatte mir vor 2 Jahren mal so ein Rootkit eingefangen. Dieses Mistding hat den DNS-Eintrag in der IP-Konfiguration manipuliert. nach max. 5 MInuten waren meine Korrekturen ruckzuck wieder überschrieben und verwiesen auf die IP eines ukrainischen DNS-Servers. Sämtliche AV-Webseiten waren nicht mehr aufrufbar, ich kriegte merkwürdige Popups aller Art und war dem Nerverzusammenbruch nahe. Ich habe das Mistding nicht weggekriegt, das hat sich mehrfach redundant auf dem PC breitgemacht. Da half dann nur noch der geordnete Rückzug mit Neuinstallation.

Wie wollen die meine host Datei prüfen? Ich nutze Linux und habe in jener Datei ne ganze menge interner und auch wichtige externe IPs abgelegt, damit Seiten (Server) auch bei Ausfällen der DNS Server erreichbar sind.

(Nun sag keiner sowas kommt nicht vor! Es kam schon.....)

Die Seite dns-ok.de prüft nur, ob der Zugang zur Prüfseite über einen Provider-DNS-Server reinkommt oder über die Hackerseite umgelenkt wurde.
Sie kontrollieren also nur, ob dein Taschentuch sauber ist oder benutzt wurde, aber nicht, ob du Schnupfen hast.

s.auch den zweiten Link von Schafmacher
Viren: BKA und BSI empfehlen Selbsttest

und Heise "BSI ruft zum DSN-Check auf"
heise.de/security/meldung/BSI-…NS-Check-auf-1407567.html

ja, schöne Sache das, das mit dem DNS-Server hab ich nun auch sogar verstanden, aber schon beim

proxy

verließen sie mich,

ich muss wohl doch mal irgend einen Kursus zu Prosxy und Consorten bei der VHS belegen

Ein Proxy-Server ist in einem Netzwerk ein zwischengeschalteter Server, der zwischen den User-PCs eines lokalen Netzes oder Heimnetz und dem Internet steht. Dadurch tritt der Proxy-Server öffentlich in Erscheinung (IP-Adresse) und die Identität des User-PC wird verschleiert. Der Proxy-Server nimmt die Anfragen der USer aus dem lokalen Netz auf und leitet sie an den öffentlichen DNS-Server weiter. Die Rückantworten werden dann wieder den User-PCs zugestellt. Weitere Vorteile außer der Anonymisierung ist die Zwischenspeicherung häufiger Internet-Anfragen (Cache), was aber bei den aktuellen DSL-Geschwindigkeiten an Bedeutung verliert) und die administrative EIngriffsmöglichkeiten in den Internetzugang. Der Administrator kann am Proxy Einstellungen vornehmen, die den Usern den Zugriff zu bestimmten fest hinterlegten Seiten oder über Filterkriterien verwehrt (z.B. Kinderporno, Warez, Ebay u.s.w.) .

Proxyserver sind in erster Linie Software-Lösungen, die außerdem noch auf dedizierten Hardware-Servern installiert sein können. Meist übernimmt der Proxyserver in einem größeren Netz noch weitere Kommunikationsaufgaben.

Zwischengeschaltete Proxyserver machen die DNS-Sicherheitsabfrage obsolet.

weitere Infos:
de.wikipedia.org/wiki/Proxy_%28Rechnernetz%29

Die hosts-Datei läßt sich auch gut für eigene Zwecke gebraucht werden, z.B. als popup-Blocker.

Wen es nervt, daß z.B. partypoker.xxx uppopt, trägt einfach die Zeile

127.0.0.1 partypoker.xxx

ein, dann ist Ruhe vor der Seite. Meine hosts-Datei enthält etwa 8000 Zeilen.

Vor der Veränderung der Datei unter Windumm kann man sich übrigens schützen, wenn man sich als eingeschränkter Benutzer einrichtet. Das hat zwar bei xp-home Nachteile, weil man sich bei immer als Admin einloggen muß, bei xp-pro geht es recht einfach mit einer Verknüpfung, wie

%windir%\system32\runas.exe /noprofile /savecred /user:IBM\root "C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe"

beim ersten Aufruf wird nach dem Passwort gefragt, danach nicht mehr ("root" ist ein Admin-Konto).

Diese und weitere Maßnahmen haben dazu geführt, daß mein XP seit über 3 Jahren nicht neu installiert werden mußte.