Verschlüsseltes DNS: Falschmeldung in Propagandaschlacht um DNS über HTTPS

Mehrere Medien melden unter Berufung auf eine chinesische Sicherheitsfirma, dass Malware das DNS-over-HTTPS-Protokoll zur Verschleierung von Datenverkehr nutzt. Es ist eine Falschmeldung, aber selbst wenn sie stimmen würde, wäre es kein Argument gegen DoH.

Eine Analyse von veröffentlicht am
Eine Schadsoftware mit dem Namen Godlua verschlüsselt DNS-Anfragen, allerdings nicht über das DoH-Protokoll.
Eine Schadsoftware mit dem Namen Godlua verschlüsselt DNS-Anfragen, allerdings nicht über das DoH-Protokoll. (Bild: Ximeg, Wikimedia Commons/CC-BY-SA 3.0)

Das Protokoll DNS over HTTPS oder DoH ermöglicht es, Nameserver-Anfragen verschlüsselt über das HTTPS-Protokoll zu verschicken. Es wurde im vergangenen Jahr standardisiert und ist nicht unumstritten. Einige Nachrichten, die das Protokoll mit Malware in Verbindung bringen, heizen nun die Debatte an. Es gibt nur ein Problem: Die Meldungen stimmen nicht.

Stellenmarkt
  1. Technischer Support-Mitarbeiter (m/w/x)
    HOTTGENROTH & TACOS GmbH, Münsterland
  2. Referent*in (Technik- und IT-Koordination) Archiv-Bibliothek-Dokumentat- ion
    Zweites Deutsches Fernsehen Anstalt des öffentlichen Rechts, Mainz
Detailsuche

Hintergrund der Diskussion ist eine Analyse der chinesischen Firma Qihoo 360. Eine Linux-Schadsoftware, die als Godlua bezeichnet wird, nutzt demnach HTTPS-Verbindungen, um DNS-Records aufzulösen.

Godlua-Malware nutzt selbstgestricktes Protokoll

Nun muss man auf die genaue Wortwahl achten. Zwar schreibt Qihoo 360 mehrfach von "DNS over HTTPS", gemeint ist damit aber offenbar nicht das im vergangenen Jahr standardisierte Protokoll. Vielmehr verwendet die Malware ein eigenes Protokoll, das DNS-Anfragen in HTTP-Requests kapselt, ein Server antwortet darauf mit einer JSON-Datenstruktur. Mit dem standardisierten DoH-Protokoll hat das nichts zu tun. Darauf hat der Curl-Entwickler Daniel Stenberg auf Twitter hingewiesen.

Doch die missverständliche Wortwahl von Qihoo 360 führt dazu, dass viele einen Zusammenhang herstellen, wo keiner ist. Auf Twitter behaupten Personen, dass es die erste Malware sei, die das DoH-Protokoll missbraucht, kurz darauf gibt es mehrere Medienberichte, die diesen Zusammenhang ebenfalls herstellen. Offenbar ist die Diskussion über DoH so aufgeheizt, dass die bloße Erwähnung von "DNS over HTTPS" im Zusammenhang mit Schadsoftware als Argument herangezogen wird.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Doch das hier auftretende Missverständnis zeigt sehr deutlich, wie wenig das Argument taugt. Was ist passiert? Eine Schadsoftware verwendet einen verschlüsselten Datenkanal, um ihre DNS-Aktivität zu verschleiern. Das ging natürlich schon immer. Wenn eine Verbindung zum Internet besteht, kann eine Schadsoftware darüber kommunizieren und den Datenverkehr verschlüsseln. Ein standardisiertes Protokoll braucht es dafür nicht.

Es ist in dem Fall auch völlig unerheblich, ob ein Nutzer etwa im Webbrowser das DoH-Protokoll nutzt oder nicht. Die Malware könnte in jedem Fall verschlüsselt nach außen kommunizieren.

Bei der Diskussion um DoH geht es um verschiedene Dinge. Einigen ist das Protokoll ein Dorn im Auge, weil es die Filterung von DNS-Anfragen durch Provider unmöglich macht. Andere sehen vor allem in der Zentralisierung auf wenige DNS-Hoster ein Problem. Manche dieser Bedenken sind berechtigt, man sollte aber sachlich über sie diskutieren.

Untaugliches Argument in Diskussion über DoH

Offenbar suchen einige in der Debatte aber wahllos nach Gründen, um gegen DoH zu agitieren. Das Protokoll in einem Atemzug mit einer Malware zu nennen, scheint hier ein willkommener Anlass. Ein sinnvolles Argument ist es nicht.

Dass eine Malware verschlüsselte DNS-Verbindungen nutzt ist weder ein Argument für noch ein Argument gegen die Nutzung des DoH-Protokolls. Es ist dabei auch weitgehend unerheblich, ob dies über ein selbstgestricktes Protokoll wie bei Godlua passiert oder tatsächlich über das DoH-Protokoll.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


ikhaya 25. Jul 2019

443 braucht man fürs Web, wenn du irgendeinen dedizierten Port nimmst wie 853 f+r Dns...

bionade24 07. Jul 2019

Dann erklär bitte, warum dieser http-Overhead sinnvoll ist.

Xar 07. Jul 2019

Erklärung? klar, da Cloudflare ja auch DoT anbietet, MÜSSEN die Mozilla für DoH...

MarioWario 07. Jul 2019

und seitens FF um Datenauswertungen durch Cloudflare, da ich kein lahmes Cloudflare...

ldlx 06. Jul 2019

Oder per Gruppenrichtlinie. Da laesst sich auch gleich eine eigene DoH-URL mitgeben. Grad...



Aktuell auf der Startseite von Golem.de
Carvera
CNC-Fräse für den Tisch wechselt Aufsätze selbstständig

Die Carvera ist eine CNC-Maschine und Drehbank für Hobbybastler. Das System wechselt Aufsätze selbstständig, ist aber nicht günstig.

Carvera: CNC-Fräse für den Tisch wechselt Aufsätze selbstständig
Artikel
  1. Lightning ade: EU will USB-C als alleinige Handy-Ladebuchse vorschreiben
    Lightning ade  
    EU will USB-C als alleinige Handy-Ladebuchse vorschreiben

    Die EU-Kommission will eine einheitliche Ladebuchse einführen. USB-C soll zum Aufladen aller möglichen Kleingeräte verwendet werden.

  2. Zensurvorwürfe: Will Xiaomi vor allem Porno-Werbung filtern?
    Zensurvorwürfe
    Will Xiaomi vor allem Porno-Werbung filtern?

    Warum laden Xiaomi-Smartphones Wörterlisten mit politischen Begriffen herunter? Möglicherweise soll damit auch explizite Werbung gefiltert werden.

  3. Bundestagswahl 2021: Technik allein wird es nicht richten
    Bundestagswahl 2021
    Technik allein wird es nicht richten

    Die bürgerlichen Parteien setzen beim Klimaschutz auf Emissionshandel und technische Lösungen. Reicht das, um das 1,5 Grad-Ziel zu erreichen?
    Eine Analyse von Christiane Schulzki-Haddouti

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus 27" WQHD 144Hz 260,91€ • Alternate-Deals (u. a. Acer Nitro 27" FHD 159,90€) • Neuer Kindle Paperwhite Signature Edition vorbestellbar 189,99€ • Black Week bei NBB: Bis 50% Rabatt (u. a. MSI 31,5" Curved WQHD 165Hz 350€) • PS5 Digital mit FIFA 22 bei o2 bestellbar [Werbung]
    •  /