Telekom als Hacker – gefälschte Namesauflösung
Ich bin eben durch Zufall über den Artikel “Update: Web und DNS manipuliert” bei KeenTech gestolpert. Da dachte ich mir “Hoppla – die Zensurtechnik wird ja offensichtlich schon eingesetzt.”
Was ist passiert?
Das Symptom ist folgendes: Ein Vertipper in der URL und man sieht nicht etwa die korrekte Fehlermeldung, daß die Domain nicht existiert, sondern landet ungefragt auf einer Seite der Telekom.
Da ich auch Kunde bei der Telekom bin, habe ich dann auch gleich mal eine nicht-existierende Adresse (www.olmetzer.de) ausprobiert und siehe da: Eine harmlos aussehende Seite der Telekom gibt sich dreisterweise als die gewünschte aus. Der angefragte Domainname steht oben in der Browserleiste und es wird eine falsche Website dazu angezeigt.
Zur Kontrolle habe ich gleich mal auf der Kommandozeile nslookup www.olmetzer.de eingegeben und bekomme als Antwort 80.156.86.78 und 62.157.140.133 – das sind ein Server von der Telekom.
Ui – da wird also unverfrorenerweise der Domain Name Service manipuliert und mir ungefragt eine falsche Antwort untergejubelt.
Wo ist das Problem?
Das Problem ist, daß die Telekom nicht mehr sachlich korrekte, sondern in ihrem Interesse manipulierte Antworten gibt. Ich kann mich nicht mehr darauf verlassen, daß die über meinen Anschluss aufgerufenen Seiten auch wirklich die sind, für die ich sie halte. Dieses Vorgehen ist als Domain-Spoofing bekannt und wird gehört eigentlich zu bekannteren Angriffsmethoden von Hackern.
Die Telekom als Hacker? Super!
Bei dem gezeigten Beispiel mag das noch vergleichsweise harmlos sein, aber damit sind dem Missbrauch Tür und Tor geöffnet. Da ja eigentlich alle Internetdienste auf dem Domain Name Service basieren, sind viele lustige Szenarien denkbar:
– Man-in-the-middle Attacken auf sensible Dienste, wie Online-Banking
– Chats, die direkt über Server von Geheimdiensten laufen
– Das Umbiegen von automatischen Updates, um Schadsoftware oder manipuliertes Beweismaterial in Computer einzuschleusen zu können.
– Willkürliche Sperrungen unliebsamer Informationsquellen.
…und noch 1000 weitere Sachen, auf die ich jetzt in der Eile gar nicht komme.
Ich gehe davon aus, daß das nicht “aus Versehen” passiert, sondern im Zusammenhang mit den Zensurbestrebungen unserer herzallerliebsten Regierung steht. Seit einigen Tagen lässt sich ja zum Beispiel auch die Domain Wikileaks nicht mehr aufrufen (siehe z.B. Heise online: “Deutsche Wikileaks-Domain gesperrt).
Trotzdem – oder gerade deshalb: Mir als juristischem Laien stellt sich die Frage, ob hier nicht eine Strafbare Handlung i.S.d. § 303a vorliegt.