Schlagwort-Archive: DNS

DNSCrypt geht am Kern des Problems vorbei

Originalartikel von Ben April, Senior Threat Researcher

OpenDNS hat ein Vorschau-Release auf das neue Tool DNSCrypt veröffentlicht und es als großen Schritt hin zu Vertraulichkeit und Sicherheit im Internet bezeichnet. Dahinter steckt das einfache Konzept, den gesamten DNS-Verkehr zwischen dem Nutzer und dem rekursiven Resolver zu verschlüsseln. So gut die Idee auch sein mag, sie trifft den Kern des Problems nicht.

Dem Dienst zufolge stellt der Code die erste tatsächliche Implementierung des DNSCurve-Schemas dar. Ziel des Ganzen sei es, den Datenschutz und die Authentizität einer gesamten DNS-Transaktion zu gewährleisten. Doch so einfach ist dies nicht, denn eine verschlüsselte Hülle um ein vorhandenes Protokoll zu legen, reicht nicht aus, um mehr Sicherheit zu erreichen. Man muss das gesamte Ökosystem im Blick haben. Die DNS-Abfrage eines Nutzers ist zwar privat und für andere in demselben Netzwerk unsichtbar – doch eben nur dort. Das Problem beginnt ein paar Millisekunden, nachdem der User das Ergebnis erhält: Die Vertraulichkeit durch den verschlüsselten DNS-Verkehr verflüchtigt sich nämlich, sobald der Browser seine Anfrage an den Server stellt. Ein Angreifer, der den DNS-Verkehr des Nutzers sehen kann, wird höchstwahrscheinlich auch Einsicht in weitere Formen des Datenverkehrs haben.

Wer sich mehr um die Authentizität der Daten als um die Vertraulichkeit sorgt, hat bessere Möglichkeiten diese sicherzustellen. DNSSEC (DNS Security Extensions) steht dafür bereit. Ein großer Vorteil dieser IETF-Spezifikation besteht darin, dass DNSSEC für manche Top Level Domains die Ergebnisse bis zur Root authentifizieren kann. Laut den DNSCrypt Frequently Asked Questions bei OpenDNS arbeiten die beiden Techniken perfekt zusammen.

Als interessanter Nebeneffekt leitet DNSCrypt mehr Verkehr an die OpenDNS-Infrastruktur. Zwar haben sie den Client-Code unter Open Source gestellt, doch derzeit besitzen sie die einzige funktionierende Server-Implementierung. Ist die Sorge darüber, dass ein ISP im DNS-Verkehr seiner Nutzer schnüffelt, bei OpenDNS weniger berechtigt?

Falls ein Nutzer den Verdacht hegt, jemand schnüffelt in seinen Datenpaketen und verfolgt somit seine Internet-Aktivitäten, gibt es das quelloffene Programm Tor zur Anonymisierung von Verbindungsdaten oder andere VPN/Proxy-Dienste.

Anti-Malware für Apple? Snow macht Witze!

Original Artikel von Rik Ferguson (Solutions Architect, Trend Micro)

Einerseits sieht es so aus, als sei sich Apple jetzt bewusst, welche Gefahren bösartiger Code für seine Benutzer bedeutet. Tester der Beta-Version berichten, dass in der neuen Version des Mac-Betriebssystems Snow Leopard, die morgen veröffentlicht wird, Anti-Malware-Technologie integriert sein soll (obwohl das mal jemand der Marketing-Abteilung von Apple sagen sollte, die das Mac-Betriebssystem, wie bereits gebloggt, in einem neuen Werbespot „Überraschung“ noch immer als Malware-immun anpreist).

Wenn ein Benutzer in der neuen Version des Mac-Betriebssystems eine Datei herunterlädt, in der bösartiger Code entdeckt wird, wird der Benutzer darauf hingewiesen, dass die Datei „seinen Computer beschädigen könnte“, und aufgefordert, die fehlerhafte Datei zu löschen.

Dass Infinity Loop jetzt zugibt, dass eine Bedrohung durch Malware existiert, ist ein neuer, wichtiger und sehr ermunternder Schritt.

Obwohl ich jeden Versuch von Apple willkommen heiße, ihre wachsende Anzahl von Benutzern zu sichern und zu schützen, kann die Malware-Erkennung in Snow Leopard bestenfalls nur als rudimentär bezeichnet werden: Dateien werden nur beim Download durchsucht, und dann auch nur, wenn dafür bestimmte Anwendungen verwendet werden (wie z. B. Safari, iChat oder Mail). Malware wird mit Hilfe einer statischen Pattern-Abgleichsdatei entdeckt. Die bei Snow Leopard mitgelieferte Datei enthält nur Definitionen für zwei Malware-Typen: OSX_RSPLUG und OSX_KROWI. Der Update-Mechanismus, der für diese Viren-Pattern vorgeschlagen wird, ist die standardmäßige Software-Update-Technologie von Apple. D. h., dass Updates auch unregelmäßig erfolgen können. Echtzeit-Updates sind jedoch nötig, um die raffinierten Bedrohungen von heute zu bekämpfen. Es scheint keine Echtzeitsuche (Suche bei der Ausführung einer Datei) und keine zentrale Verwaltung oder Berichterstellung zu geben.

Der Trojaner RSPlug (Oktober 2007) überträgt die Malware DNSChanger, und Krowi ist die Malware, die für die Erstellung des ersten OSX-Bot-Netzes verantwortlich ist und in verschiedenen Raubkopien beliebter Mac-Anwendungen versteckt gefunden wurde. Kein Wort von der Malware-Familie Jahlav, die im Moment ihr Unwesen treibt. Tatsächlich wurde deren neueste Variante erst diese Woche vom Trend Micro Mitarbeiter Feike Hacquebord entdeckt. Die Malware versteckt sich in angeblichen Raubkopien von Snow Leopard selbst.

Sowohl RSPlug als auch Jahlav sind bekannt dafür, sich als Installationsmethoden für Video-Codecs auszugeben, eine Vorgehensweise, die unter Windows seit Langem bekannt ist. Malware, die DNS-Einträge ändert, entführt direkt nach ihrer Installation Verbindungen zu Websites wie eBay, PayPal und einigen Banken-Websites. Oft unterscheidet die bösartige Hosting-Website, ob der Browser auf einem Mac oder einem PC ausgeführt wird, und reagiert dann mit dem passenden Trojaner. Es ist also auch hier die geschickte und erfahrene Malware-Branche, die jetzt begehrliche Blicke auf die Apple-Community wirft. Anzumerken ist auch, dass Mac-Foren regelrecht mit Spam-Nachrichten bombardiert wurden, die die Leute dazu aufforderten, die Hosting-Sites einer, wie sich herausstellte, koordinierten Kampagne zu besuchen

Diese Beispiele von Techniken, die sich in der Wintel-Welt bewährt haben, sollten eine lehrreiche Warnung für die Mac-Community sein. Und es scheint, als ob Apple endlich zuhört. Malware gab es auf der Mac-Plattform schon lange vor dem Betriebssystem OSX. Das Gleiche gilt für Anti-Malware-Tools. Der radikale Wandel der Malware-Branche, gepaart mit dem Riesenerfolg von Apple in den letzten Jahren, macht es jedoch nur noch wahrscheinlicher, dass diese Entwicklung für bösartige Zwecke ausgenutzt wird. Die Kosten hierfür wird der Endbenutzer in den kommenden Monaten und Jahren zu tragen haben.