• IT-Karriere:
  • Services:

Verschlüsseltes DNS: Falschmeldung in Propagandaschlacht um DNS über HTTPS

Mehrere Medien melden unter Berufung auf eine chinesische Sicherheitsfirma, dass Malware das DNS-over-HTTPS-Protokoll zur Verschleierung von Datenverkehr nutzt. Es ist eine Falschmeldung, aber selbst wenn sie stimmen würde, wäre es kein Argument gegen DoH.

Eine Analyse von veröffentlicht am
Eine Schadsoftware mit dem Namen Godlua verschlüsselt DNS-Anfragen, allerdings nicht über das DoH-Protokoll.
Eine Schadsoftware mit dem Namen Godlua verschlüsselt DNS-Anfragen, allerdings nicht über das DoH-Protokoll. (Bild: Ximeg, Wikimedia Commons/CC-BY-SA 3.0)

Das Protokoll DNS over HTTPS oder DoH ermöglicht es, Nameserver-Anfragen verschlüsselt über das HTTPS-Protokoll zu verschicken. Es wurde im vergangenen Jahr standardisiert und ist nicht unumstritten. Einige Nachrichten, die das Protokoll mit Malware in Verbindung bringen, heizen nun die Debatte an. Es gibt nur ein Problem: Die Meldungen stimmen nicht.

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt am Main, Berlin, Braunschweig, München, Wolfsburg
  2. Hays AG, Nürnberg

Hintergrund der Diskussion ist eine Analyse der chinesischen Firma Qihoo 360. Eine Linux-Schadsoftware, die als Godlua bezeichnet wird, nutzt demnach HTTPS-Verbindungen, um DNS-Records aufzulösen.

Godlua-Malware nutzt selbstgestricktes Protokoll

Nun muss man auf die genaue Wortwahl achten. Zwar schreibt Qihoo 360 mehrfach von "DNS over HTTPS", gemeint ist damit aber offenbar nicht das im vergangenen Jahr standardisierte Protokoll. Vielmehr verwendet die Malware ein eigenes Protokoll, das DNS-Anfragen in HTTP-Requests kapselt, ein Server antwortet darauf mit einer JSON-Datenstruktur. Mit dem standardisierten DoH-Protokoll hat das nichts zu tun. Darauf hat der Curl-Entwickler Daniel Stenberg auf Twitter hingewiesen.

Doch die missverständliche Wortwahl von Qihoo 360 führt dazu, dass viele einen Zusammenhang herstellen, wo keiner ist. Auf Twitter behaupten Personen, dass es die erste Malware sei, die das DoH-Protokoll missbraucht, kurz darauf gibt es mehrere Medienberichte, die diesen Zusammenhang ebenfalls herstellen. Offenbar ist die Diskussion über DoH so aufgeheizt, dass die bloße Erwähnung von "DNS over HTTPS" im Zusammenhang mit Schadsoftware als Argument herangezogen wird.

Doch das hier auftretende Missverständnis zeigt sehr deutlich, wie wenig das Argument taugt. Was ist passiert? Eine Schadsoftware verwendet einen verschlüsselten Datenkanal, um ihre DNS-Aktivität zu verschleiern. Das ging natürlich schon immer. Wenn eine Verbindung zum Internet besteht, kann eine Schadsoftware darüber kommunizieren und den Datenverkehr verschlüsseln. Ein standardisiertes Protokoll braucht es dafür nicht.

Es ist in dem Fall auch völlig unerheblich, ob ein Nutzer etwa im Webbrowser das DoH-Protokoll nutzt oder nicht. Die Malware könnte in jedem Fall verschlüsselt nach außen kommunizieren.

Bei der Diskussion um DoH geht es um verschiedene Dinge. Einigen ist das Protokoll ein Dorn im Auge, weil es die Filterung von DNS-Anfragen durch Provider unmöglich macht. Andere sehen vor allem in der Zentralisierung auf wenige DNS-Hoster ein Problem. Manche dieser Bedenken sind berechtigt, man sollte aber sachlich über sie diskutieren.

Untaugliches Argument in Diskussion über DoH

Offenbar suchen einige in der Debatte aber wahllos nach Gründen, um gegen DoH zu agitieren. Das Protokoll in einem Atemzug mit einer Malware zu nennen, scheint hier ein willkommener Anlass. Ein sinnvolles Argument ist es nicht.

Dass eine Malware verschlüsselte DNS-Verbindungen nutzt ist weder ein Argument für noch ein Argument gegen die Nutzung des DoH-Protokolls. Es ist dabei auch weitgehend unerheblich, ob dies über ein selbstgestricktes Protokoll wie bei Godlua passiert oder tatsächlich über das DoH-Protokoll.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Fallout 76 für 11,99€, Mittelerde: Schatten des Krieges für 8,50€, Titan Quest...
  2. 27,99€
  3. 15,99€
  4. 17,99€

ikhaya 25. Jul 2019

443 braucht man fürs Web, wenn du irgendeinen dedizierten Port nimmst wie 853 f+r Dns...

bionade24 07. Jul 2019

Dann erklär bitte, warum dieser http-Overhead sinnvoll ist.

Xar 07. Jul 2019

Erklärung? klar, da Cloudflare ja auch DoT anbietet, MÜSSEN die Mozilla für DoH...

MarioWario 07. Jul 2019

und seitens FF um Datenauswertungen durch Cloudflare, da ich kein lahmes Cloudflare...

ldlx 06. Jul 2019

Oder per Gruppenrichtlinie. Da laesst sich auch gleich eine eigene DoH-URL mitgeben. Grad...


Folgen Sie uns
       


iPhone 12 und iPhone 12 Pro - Fazit

Beim iPhone 12 und 12 Pro hat sich Apple vom bisherigen Design verabschiedet - im Test überzeugen Verarbeitung, Kamera und Display.

iPhone 12 und iPhone 12 Pro - Fazit Video aufrufen
iPhone 12 Pro Max im Test: Das Display macht den Hauptunterschied
iPhone 12 Pro Max im Test
Das Display macht den Hauptunterschied

Das iPhone 12 Pro Max ist größer als das 12 Pro und hat eine etwas bessere Kamera - grundsätzlich liegen die beiden Topmodelle von Apple aber nah beieinander, wie unser Test zeigt. Käufer des iPhone 12 Pro müssen keine Angst haben, etwas zu verpassen.
Ein Test von Tobias Költzsch

  1. Touchscreen und Hörgeräte iOS 14.2.1 beseitigt iPhone-12-Fehler
  2. iPhone Magsafe ist nicht gleich Magsafe
  3. Displayprobleme Grünstich beim iPhone 12 aufgetaucht

Energie- und Verkehrswende: Klimaneutrales Fliegen in weiter Ferne
Energie- und Verkehrswende
Klimaneutrales Fliegen in weiter Ferne

Wasserstoff-Flugzeuge und E-Fuels könnten den Flugverkehr klimafreundlicher machen, sie werden aber gigantische Mengen Strom benötigen.
Eine Recherche von Hanno Böck

  1. Luftfahrt Neuer Flughafen in Berlin ist eröffnet
  2. Luftfahrt Booms Überschallprototyp wird im Oktober enthüllt
  3. Flugzeuge CO2-neutral zu fliegen, reicht nicht

AVM Fritzdect Smarthome im Test: Nicht smart kann auch smarter sein
AVM Fritzdect Smarthome im Test
Nicht smart kann auch smarter sein

AVMs Fritz Smarthome nutzt den Dect-Standard, um Lampen und Schalter miteinander zu verbinden. Das geht auch offline im eigenen LAN.
Ein Test von Oliver Nickel

  1. Konkurrenz zu Philips Hue Signify bringt WLAN-Lampen von Wiz auf den Markt
  2. Smarte Kühlschränke Hersteller verschweigen Kundschaft Support-Dauer
  3. Magenta Smart Home Telekom bietet mehr für das kostenlose Angebot

    •  /