Verschlüsseltes DNS: Falschmeldung in Propagandaschlacht um DNS über HTTPS

Mehrere Medien melden unter Berufung auf eine chinesische Sicherheitsfirma, dass Malware das DNS-over-HTTPS-Protokoll zur Verschleierung von Datenverkehr nutzt. Es ist eine Falschmeldung, aber selbst wenn sie stimmen würde, wäre es kein Argument gegen DoH.

Ein IMHO von veröffentlicht am
Eine Schadsoftware mit dem Namen Godlua verschlüsselt DNS-Anfragen, allerdings nicht über das DoH-Protokoll.
Eine Schadsoftware mit dem Namen Godlua verschlüsselt DNS-Anfragen, allerdings nicht über das DoH-Protokoll. (Bild: Ximeg, Wikimedia Commons/CC-BY-SA 3.0)

Das Protokoll DNS over HTTPS oder DoH ermöglicht es, Nameserver-Anfragen verschlüsselt über das HTTPS-Protokoll zu verschicken. Es wurde im vergangenen Jahr standardisiert und ist nicht unumstritten. Einige Nachrichten, die das Protokoll mit Malware in Verbindung bringen, heizen nun die Debatte an. Es gibt nur ein Problem: Die Meldungen stimmen nicht.

Hintergrund der Diskussion ist eine Analyse der chinesischen Firma Qihoo 360. Eine Linux-Schadsoftware, die als Godlua bezeichnet wird, nutzt demnach HTTPS-Verbindungen, um DNS-Records aufzulösen.

Godlua-Malware nutzt selbstgestricktes Protokoll

Nun muss man auf die genaue Wortwahl achten. Zwar schreibt Qihoo 360 mehrfach von "DNS over HTTPS", gemeint ist damit aber offenbar nicht das im vergangenen Jahr standardisierte Protokoll. Vielmehr verwendet die Malware ein eigenes Protokoll, das DNS-Anfragen in HTTP-Requests kapselt, ein Server antwortet darauf mit einer JSON-Datenstruktur. Mit dem standardisierten DoH-Protokoll hat das nichts zu tun. Darauf hat der Curl-Entwickler Daniel Stenberg auf Twitter hingewiesen.

Doch die missverständliche Wortwahl von Qihoo 360 führt dazu, dass viele einen Zusammenhang herstellen, wo keiner ist. Auf Twitter behaupten Personen, dass es die erste Malware sei, die das DoH-Protokoll missbraucht, kurz darauf gibt es mehrere Medienberichte, die diesen Zusammenhang ebenfalls herstellen. Offenbar ist die Diskussion über DoH so aufgeheizt, dass die bloße Erwähnung von "DNS over HTTPS" im Zusammenhang mit Schadsoftware als Argument herangezogen wird.

Doch das hier auftretende Missverständnis zeigt sehr deutlich, wie wenig das Argument taugt. Was ist passiert? Eine Schadsoftware verwendet einen verschlüsselten Datenkanal, um ihre DNS-Aktivität zu verschleiern. Das ging natürlich schon immer. Wenn eine Verbindung zum Internet besteht, kann eine Schadsoftware darüber kommunizieren und den Datenverkehr verschlüsseln. Ein standardisiertes Protokoll braucht es dafür nicht.

Es ist in dem Fall auch völlig unerheblich, ob ein Nutzer etwa im Webbrowser das DoH-Protokoll nutzt oder nicht. Die Malware könnte in jedem Fall verschlüsselt nach außen kommunizieren.

Bei der Diskussion um DoH geht es um verschiedene Dinge. Einigen ist das Protokoll ein Dorn im Auge, weil es die Filterung von DNS-Anfragen durch Provider unmöglich macht. Andere sehen vor allem in der Zentralisierung auf wenige DNS-Hoster ein Problem. Manche dieser Bedenken sind berechtigt, man sollte aber sachlich über sie diskutieren.

Untaugliches Argument in Diskussion über DoH

Offenbar suchen einige in der Debatte aber wahllos nach Gründen, um gegen DoH zu agitieren. Das Protokoll in einem Atemzug mit einer Malware zu nennen, scheint hier ein willkommener Anlass. Ein sinnvolles Argument ist es nicht.

Dass eine Malware verschlüsselte DNS-Verbindungen nutzt ist weder ein Argument für noch ein Argument gegen die Nutzung des DoH-Protokolls. Es ist dabei auch weitgehend unerheblich, ob dies über ein selbstgestricktes Protokoll wie bei Godlua passiert oder tatsächlich über das DoH-Protokoll.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


ikhaya 25. Jul 2019

443 braucht man fürs Web, wenn du irgendeinen dedizierten Port nimmst wie 853 f+r Dns...

bionade24 07. Jul 2019

Dann erklär bitte, warum dieser http-Overhead sinnvoll ist.

Xar 07. Jul 2019

Erklärung? klar, da Cloudflare ja auch DoT anbietet, MÜSSEN die Mozilla für DoH...

MarioWario 07. Jul 2019

und seitens FF um Datenauswertungen durch Cloudflare, da ich kein lahmes Cloudflare...



Aktuell auf der Startseite von Golem.de
Suchmaschine
Bing mit ChatGPT war für kurze Zeit online

Microsoft will ChatGPT in die Suchmaschine Bing einbauen. Was uns erwartet, konnten einige Nutzer kurzfristig sehen.

Suchmaschine: Bing mit ChatGPT war für kurze Zeit online
Artikel
  1. Politische Ansichten auf Google Drive: Letzte Generation mit Datenschutz-Super-GAU
    Politische Ansichten auf Google Drive
    Letzte Generation mit Datenschutz-Super-GAU

    Die Aktivisten der Letzten Generation haben Daten von Unterstützern mitsamt politischer Meinung und Gefängnisbereitschaft ungeschützt auf Google Drive gelagert.

  2. Madison Square Garden: Gesichtserkennungs-Software weist unliebsame Besucher ab
    Madison Square Garden
    Gesichtserkennungs-Software weist unliebsame Besucher ab

    Im New Yorker Madison Square Garden kommt seit Jahren Gesichtserkennungs-Software zum Einsatz - mit unangenehmen Folgen für Kanzleimitarbeiter.

  3. Nach Prämiensenkung: Weniger Marktanteil für Elektroautos 2023 erwartet
    Nach Prämiensenkung
    Weniger Marktanteil für Elektroautos 2023 erwartet

    Die Förderprämien für Elektroautos wurden gesenkt, was nach Ansicht der Autohersteller zu einem Rückgang des Marktanteils führen wird.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Roccat Magma + Burst Pro 59€ • Roccat Vulcan 121 89,99€ • Gigabyte B650 Gaming X AX 185,99€ • Alternate: Toshiba MG10 20 TB 299€ • Alternate Weekend Sale • MindStar: Fastro MS200 SSD 2TB 95€ • Mindfactory DAMN-Deals: Grakas, CPUs & Co. • RAM-Tiefstpreise • PCGH Cyber Week [Werbung]
    •  /