Verschlüsseltes DNS: Falschmeldung in Propagandaschlacht um DNS über HTTPS

Das Protokoll DNS over HTTPS oder DoH ermöglicht es, Nameserver-Anfragen verschlüsselt über das HTTPS-Protokoll zu verschicken. Es wurde im vergangenen Jahr standardisiert und ist nicht unumstritten. Einige Nachrichten, die das Protokoll mit Malware in Verbindung bringen, heizen nun die Debatte an. Es gibt nur ein Problem: Die Meldungen stimmen nicht.

Stellenmarkt

1. Wissenschaftliche*r Mitarbeiter*in (m/w/d) für das Zukunftslabor Gesundheit
   HAWK Hochschule für angewandte Wissenschaft und Kunst, Göttingen
2. IT Service Delivery Manager (m/w/d) im Bereich Unix
   Volkswagen Financial Services AG, Braunschweig

Detailsuche

Hintergrund der Diskussion ist eine Analyse der chinesischen Firma Qihoo 360. Eine Linux-Schadsoftware, die als Godlua bezeichnet wird, nutzt demnach HTTPS-Verbindungen, um DNS-Records aufzulösen.

Godlua-Malware nutzt selbstgestricktes Protokoll

Nun muss man auf die genaue Wortwahl achten. Zwar schreibt Qihoo 360 mehrfach von "DNS over HTTPS", gemeint ist damit aber offenbar nicht das im vergangenen Jahr standardisierte Protokoll. Vielmehr verwendet die Malware ein eigenes Protokoll, das DNS-Anfragen in HTTP-Requests kapselt, ein Server antwortet darauf mit einer JSON-Datenstruktur. Mit dem standardisierten DoH-Protokoll hat das nichts zu tun. Darauf hat der Curl-Entwickler Daniel Stenberg auf Twitter hingewiesen.

Doch die missverständliche Wortwahl von Qihoo 360 führt dazu, dass viele einen Zusammenhang herstellen, wo keiner ist. Auf Twitter behaupten Personen, dass es die erste Malware sei, die das DoH-Protokoll missbraucht, kurz darauf gibt es mehrere Medienberichte, die diesen Zusammenhang ebenfalls herstellen. Offenbar ist die Diskussion über DoH so aufgeheizt, dass die bloße Erwähnung von "DNS over HTTPS" im Zusammenhang mit Schadsoftware als Argument herangezogen wird.

Golem Akademie

1. Penetration Testing Fundamentals
   23.-24. September 2021, online
2. Microsoft 365 Security Workshop
   9.-11. Juni 2021, Online

Weitere IT-Trainings

Doch das hier auftretende Missverständnis zeigt sehr deutlich, wie wenig das Argument taugt. Was ist passiert? Eine Schadsoftware verwendet einen verschlüsselten Datenkanal, um ihre DNS-Aktivität zu verschleiern. Das ging natürlich schon immer. Wenn eine Verbindung zum Internet besteht, kann eine Schadsoftware darüber kommunizieren und den Datenverkehr verschlüsseln. Ein standardisiertes Protokoll braucht es dafür nicht.

Es ist in dem Fall auch völlig unerheblich, ob ein Nutzer etwa im Webbrowser das DoH-Protokoll nutzt oder nicht. Die Malware könnte in jedem Fall verschlüsselt nach außen kommunizieren.

Bei der Diskussion um DoH geht es um verschiedene Dinge. Einigen ist das Protokoll ein Dorn im Auge, weil es die Filterung von DNS-Anfragen durch Provider unmöglich macht. Andere sehen vor allem in der Zentralisierung auf wenige DNS-Hoster ein Problem. Manche dieser Bedenken sind berechtigt, man sollte aber sachlich über sie diskutieren.

Untaugliches Argument in Diskussion über DoH

Offenbar suchen einige in der Debatte aber wahllos nach Gründen, um gegen DoH zu agitieren. Das Protokoll in einem Atemzug mit einer Malware zu nennen, scheint hier ein willkommener Anlass. Ein sinnvolles Argument ist es nicht.

Dass eine Malware verschlüsselte DNS-Verbindungen nutzt ist weder ein Argument für noch ein Argument gegen die Nutzung des DoH-Protokolls. Es ist dabei auch weitgehend unerheblich, ob dies über ein selbstgestricktes Protokoll wie bei Godlua passiert oder tatsächlich über das DoH-Protokoll.