Godlua, Missverständnisse und der Streit um DNS over HTTPS
Der Linux-Schadcode Godlua verschlüsselt seinen DNS-Traffic mit HTTPS, benutzt allerdings nicht das DoH-Protokoll.
Gute Verschlüsselung kann Gutes tun oder Böses verbergen – das Schloss an sich ist neutral.
(Bild: Pixabay)
- Fabian A. Scherschel
Vor einigen Tagen vermeldete heise online, wie viele andere Nachrichtenseiten auf der ganzen Welt, technische Hintergründe zum Linux-Server-Schadcode Godlua, der Teile seiner Kommunikation mit Command-and-Control-Servern über verschlüsselte DNS-Anfragen abwickelt. Basierend auf einem Blog-Eintrag der Sicherheitsforscher der Firma Qihoo / 360 Netlab, welche die Malware entdeckten, vermeldeten wir, dass Godlua das Protokoll DNS over HTTPS (DoH) verwendet. Bei einem genaueren Blick auf den Schadcode wird klar, dass dieser zwar DNS-Anfragen mit HTTPS auf ganz ähnliche Weise verschlüsselt, aber nicht das eigentliche DoH-Protokoll verwendet. Eigentlich wäre dieses technische Detail im Großen und Ganzen eher eine Randnotiz wert, in der momentan politisch aufgeheizten Stimmung rund um das Thema DNS-over-HTTPS bedarf es allerdings einer Klarstellung der Fakten.
Wohl eher Missverständnis als Falschmeldung
Wie die Nachrichtenseite Golem mit Bezug auf Curl-Entwickler Daniel Stenberg richtig schreibt, benutzt Godlua eben nicht das von Stenberg mitentwickelte Protokoll, sondern verschlüsselt lediglich DNS-Anfragen per HTTPS. Die chinesische Sicherheitsfirma hatte zwar durchgehend "DNS over HTTPS" in ihrem Blog-Artikel geschrieben, meint aber wohl nicht das DoH-Protokoll, sondern beschreibt lediglich die Funktionsweise von Godlua mit diesem Satzfragment. Allem Anschein nach handelt es sich dabei um einen Übersetzungsfehler der Sicherheitsforscher in der englischen Version des Blog-Artikels; Englisch ist schließlich nicht die Muttersprache der Autoren. Hinweise auf absichtliche Irreführung finden sich in der Veröffentlichung nicht, es handelt sich darum wohl eher um ein Missverständnis.
Trotzdem ist es richtig, dass diese Meldung nun als Argument gegen das DoH-Protokoll ins Feld geführt werden könnte. Gerade erst hatte die britische Vereinigung der Internet Service Provider (ISPA) Mozilla als "Internet-Bösewicht des Jahres" bezeichnet, weil die Firma in ihrem Browser Firefox das DoH-Protokoll standardmäßig einführen will. Der ISPA ist es ein Dorn im Auge, dass die Provider dann die DNS-Anfragen ihrer Kunden nicht mehr einsehen können. Da im Vereinigten Königreich eine Filterpflicht für jugendgefährdende Webseiten besteht, ist das aus Sicht der Provider durchaus verständlich. Sie ärgern sich an dieser Stelle über die DNS-Verschlüsselung genauso wie die Hersteller von Sicherheitssoftware, die bei Schadcode wie Godlua ebenso wenig in den betroffenen DNS-Traffic schauen können. Und hier wird deutlich, dass es bei dieser Diskussion eigentlich nicht um das DoH-Protokoll geht – verschlüsselter Traffic ist verschlüsselter Traffic, unabhängig von der genauen technischen Umsetzung im Detail.
Der jahrzehntealte Streit um gute Verschlüsselung
DNS over HTTPS ist vor allem auch deswegen umstritten, weil es diese Verschlüsselung besonders gut umsetzt. Durch den Verzicht auf zentrale Stellen und Nutzung des HTTPS-Ports wird es für Firmen und Regierungsorganisationen besonders schwer, den verschlüsselten Datenverkehr mit Zweitschlüsseln (zum Beispiel speziellen Zertifikaten auf Gateway-Firewalls) einzusehen. Das erschwert die Arbeit von staatlichen Spionen und rechtlich verbrieften Zensoren genauso wie die von Sicherheitsfirmen, deren Hardware Schadcode im Netz eines Kunden aufspüren soll. Das ist nun mal eine altbekannte Konstante der Security-Welt: Verschlüsselung ist lediglich ein Werkzeug, das sowohl für Gutes wie auch Böses verwendet werden kann.
DNS over HTTPS (DoH) ist eine wichtige Technik für den Schutz der Privatsphäre im Netz. Dass diese Technik auch für bösartige Zwecke eingesetzt werden kann – auch wenn das in diesem konkreten Fall nicht passiert ist – darf kein Argument gegen diese Technik sein. Die britischen Internet Provider und Sicherheitsfirmen, die DNS-Traffic beobachten, um Malware-Infektionen zu finden, werden andere Wege finden müssen, ihre Ziele zu erreichen. Die Interessen von Milliarden von Internet-Nutzern an Freiheit und Datenschutz zu kompromittieren, nur weil einige wenige weiterhin freien Zugang zu DNS-Traffic haben wollen, wäre ein schwerer Fehler. (fab)
