Tag - DNS

1
Ist dein VPN sicher vor Windows-10-DNS-Leaks?
2
Wie ein modernes Internet aussieht: Beispiel Nordkorea
3
Updated: iOS 9-Bug vereitelt VPN-Verbindungen
4
DNS-Hijacking & IPv6-Leackage: Was bedeutet es – und ist CyberGhost betroffen?

Ist dein VPN sicher vor Windows-10-DNS-Leaks?

Windows. Natürlich. Wieder einmal. Obwohl: Microsofts Windows ist besser als sein Ruf, auch Windows 10. Aber wenn es wieder einmal so weit ist, dann kommt es im Allgemeinen dicke. So mit dem sogenannten Feature ‚Smart Multi-Homed Name Resolution‘ in Windows 10, mit dem die Internetperformance verbessert werden soll – das aber leider so ganz nebenbei VPN-Verbindungen ignoriert und freigiebig die Surfwünsche der Anwender an ungeschützte Adressserver ausplaudert.

Read More

Wie ein modernes Internet aussieht: Beispiel Nordkorea

Nordkorea hat die Lösung für alle wichtigen Internetprobleme der Gegenwart gefunden: 1) Nicht einzelne Seiten sperren, sondern freigeben (spart Arbeit), 2) ein eigenes nationales VPN aufbauen (schützt vor Angriffen von außen), 3) auf DNS-Server verzichten (keine Leaks) und 4) eine eigene Suchmaschine (werbefrei und ohne Tracking).

north korea internet

Wie man drauf kam? Ganz einfach: strenges Nachdenken. Und so präsentiert der für seine unkonventionelle Politik bekannt Staat ein Internet, das dank ausgeklügelter Datenkomprimierung auch noch ungemein performant ist, sozusagen als Sahnehäubchen oben drauf.

Die Basis: ein eigenes VPN

Das ausschließlich innerhalb der eigenen Staatsgrenzen verfügbare Korea-Internet grenzt sich zunächst aus Sicherheitsgründen komplett vom Rest der Welt ab. Weder NSA noch Google, weder Facebook noch GHCQ noch Netflix noch Amazon können so die wertvollen Daten der nordkoreanischen Bürger abschöpfen, analysieren und für Ihre Zwecke missbrauchen. Dadurch bleiben sie zu 100 % komplett in Besitz des Volkes, das ja bekanntlich der Souverän des kommunistischen Staates ist.

Die Struktur: Keine undemokratischen Seitensperren, nur freigegebene Websites

Durch die Ziehung notwendiger Grenzen entfällt die Notwendigkeit, potenziell gefährliche Seiten wie YouTube, 4chan, Hustler, ARD & ZDF und andere Wahrheitsverkünder zu sperren. Im Gegenteil, dadurch, dass alle im nordkoreanischen Netz verfügbare Seiten handverlesen, geprüft und explizit freigegeben sind, ließ sich die Gefahr auf null reduzieren. Sicherheitstechnisch ein voller Erfolg.

Keine Datenlecks durch Adressserver

Um der Gefahr durch Datenleaks durch DN-Server zu begegnen (DNS-Leaks) und die Bürger des Landes vor Phishingseiten und Zensur zu schützen, beschloss man kurzerhand, auf Adressserver zu verzichten und setzt stattdessen auf die Eingabe von Nummern. So ist 172.16.11.23 beispielsweise die Adresse der zentralen, unabhängigen Nachrichtenagentur des Vorbildstaates für ein modernes Internet – welche im Übrigen besonders gesichert und als einzige Webpräsenz auch aus dem Ausland heraus aufrufbar ist, beispielsweise für die vielen nordkoreanischen Touristen überall auf der Welt.

Eigene Suchmaschine

Lange Zeit war es für den Rest der Welt ein Rätsel, wie sich die Masse der nordkoreanischen Internetsurfer die Adressen der verfügbaren Webpräsenzen merken und sie verwenden konnte. Jetzt lüftete Aram Pan, ein Fotograf aus Singapur, der das Land für eine Fotoreportage bereiste, das Geheimnis: Überall im Land sind von der Regierung veröffentlichte Poster angebracht, die als Tracking-sichere Offline-Suchmaschine die Adressen aller 26 Websites beherbergen und mobil überall im Land mit hingenommen werden können, sozusagen als Handzettel für ein modernes Internet im Inland und als Instruktionen zum Nachbau für das hinterherhinkende Ausland.

 

ars technica: A handy cheat sheet for North Korea’s private “Internet”

Nordkoreanisches Internet-Poster, veröffentlicht von Aram Pan on DPRK360

Updated: iOS 9-Bug vereitelt VPN-Verbindungen

Mit iOS 9 sorgt Apple für eine Reihe beliebter Neuerungen, darunter die Unterstützung von Werbeblockern und die Einführungen neuer Sicherheitsfunktionen wie Secure Boot und Code Signing – versäumte es leider aber auch, einen Bug zu bereinigen, der das mobile Betriebssystem bereits seit der frühen iOS 9-Beta begleitet: DNS-Fehler beim Aufbau von VPN-Verbindungen, die unter bestimmten Bedingungen auftreten, Aussetzer provozieren oder überhaupt keine Verbindungen zulassen.

teacher

Seit Veröffentlichung der neunten Version des Apple-eigenen mobilen Betriebssystem iOS häufen sich bei VPN-Providern Beschwerden von iPhone-, iPad- und iPod touch-Anwendern, die über Probleme im Zusammenhang mit der Nutzung eines VPN-Netzwerks klagen – in aller Regel über keine Netz-Verfügbarkeit.

Offenbar verhindert iOS 9 den Zugriff auf Server oder sorgt bei bestehenden Verbindungen für Unterbrechungen, ein Fehler, der bereits in ersten Betas der aktuellen Version auftrat, mit in die finale Version übernommen wurde und allem Anschein auch in der aktuellen Beta von iOS 9.1 weiterbesteht. Der Grund für das Verhalten liegt in einer fehlerhaften DNS-Auflösung, die je nach Serverkonfiguration mal mehr, mal weniger problematisch zum Tragen kommt. Einige Server bleiben verfügbar, andere nicht. Der Fehler tritt auch auf, wenn eines der in iOS integrierten nativen VPN-Protokolle verwendet wird. Nicht betroffen sollen hingegen lokale Adressen im eigenen Netz sein, bspw. in Unternehmensnetzwerken.

Eine Abhilfe ist aktuell nicht in Sicht. Erfolg kann das Ausprobieren verschiedener Server bringen, eine verlässliche und zufriedenstellende Lösung vermag momentan aber nur die Rückkehr auf iOS 8.4.1 bieten. Hierzu muss der Anwender vor dem iOS 9-Update allerdings ein Backup des alten Systems unter iTunes durchgeführt haben.

Update: Mittlerweile veröffentlichte Apple ein Update auf iOS 9.0.1. Es soll mehrere problematische Fehler beseitigen, Details zu geschlossenen Sicherheitslücken liegen allerdings nicht vor. Deshalb ist noch offen, ob der Bug bei VPN-Verbindungen beseitigt wurde.

Update 2: Auch eine Aktualisierung auf iOS 9.0.2 scheint keine besserung gebracht zu haben: http://www.computerwoche.de/a/ios-9-0-2-behebt-kritische-sicherheitsluecke,3216672

Heise: http://www.heise.de/newsticker/meldung/iOS-9-Bug-sorgt-fuer-VPN-Probleme-2823133.html?wt_mc=rss.ho.beitrag.atom

InfoWorld: http://www.infoworld.com/article/2984351/virtual-private-network/ios-9-breaks-vpns-prevents-server-access-for-many.html

DNS-Hijacking & IPv6-Leackage: Was bedeutet es – und ist CyberGhost betroffen?

Hoppla, große Aufregung: Eine Studie von fünf Sicherheitsforschern der Queen Mary University of London (QMUL) in Zusammenarbeit mit der Universität Rom offenbart, dass viele Internet-Anonymisierungsprogramme Nutzerdaten entfleuchen lassen. Die Studie widmete sich vierzehn der populärsten VPN-Dienste, wobei zehn keinen Schutz vor IPv6-Lücken besaßen, satte 13 DNS-Hijacking schutzlos ausgeliefert sind und keiner gegen beide Bedrohungen gleichzeitig gefeit ist. Außer dein Lieblingsgeist aus der Nachbarschaft, CyberGhost VPN, aber der wurde leider nicht getestet.

Was ist DNS-Hijacking?

Domain Name Server (DNS) sind die Verkehrsleitstellen im Internet. Du tippst eine Adresse in deinen Browser -> der sie ins Internet sendet -> wo sie im DN-Server landet -> der sie zu einem Zahlencode umwandelt -> der wiederum zu einer existierenden Webseite gehört -> zu der du dann weitergeleitet wirst. Existiert der Zielserver nicht, wird eine Fehlermeldung ausgegeben.

So weit, so gut. Leider erlaubt diese Technik aber auch die böswillige oder nicht ganz so böswillige Umleitung solcher Anfragen. Nicht ganz böswillig ist es, wenn ein Provider bei toten Adressen keine Fehlermeldung ausgibt, sondern zum hauseigenen Suchdienst weiterleitet. Übel wird es aber, wenn eine durchaus lebende Adresse durch eine andere ausgetauscht wird, die zu einer gefälschten Zielseite führt. Dann meint man zwar, man befindet sich bspw. auf der Homepage seiner Bank oder Sparkasse, in Wirklichkeit vertraut man jedoch einer täuschend echten Nachbildung Daten an, die man lieber behalten hätte. Eine PIN beispielsweise.

Was ist IPv6-Leackage?

Das Internet-Protokoll Version 4 stößt im modernen Netz an seine Grenzen, weshalb man mit Version 6 Abhilfe schaffen will, in erster Linie, um der Limitierung an verfügbaren Internetadressen zu entkommen. Flächendeckend verfügbar ist IPv6 allerdings noch längst nicht und so haben nicht alle VPN-Anbieter das Protokoll in ihren Funktionsumfang integriert. Ergebnis: Stehen an einem Internetanschluss sowohl IPv6 als auch IPv4 zur Verfügung und unterstützt ein VPN IPv6 nicht, kann es sein, dass Daten parallel zum aufgebauten IPv4-Tunnel ungeschützt versendet werden.

Vor ein paar Jahren hatte dies noch kaum jemanden interessiert, im modernen Internet nimmt der IPv6-Verkehr allerdings zu und so rangiert das Ausspähpotenzial von der Webseite, die jemand besucht bis hin zu Kommentaren, die sie oder er auf Foren hinterlässt. Immerhin: Finanzielle Transaktionen oder andere sensitive Aktivitäten fallen nicht darunter, solange man HTTPS-Seiten nutzt. Dafür aber ist der komplette Browser-Verlauf beim Aufruf von IPv4-Webseiten einsehbar.

Die Studie

Laut der Studie fallen bis auf einen Anbieter alle untersuchten Dienste auf DNS-Hijacking herein und erlauben die Preisgabe von Nutzerdaten. “Trotz der kritischen Bedeutung des DNS-Auflösungsprozesses fanden wir, dass die meisten VPN-Dienste keine wichtigen Schritte zu dessen Schutz einleiteten “, so die Autoren in ihrer Ausführung (A Glance through the VPN Looking Glass: IPv6 Leakage and DNS Hijacking in Commercial VPN clients (PDF)).

Nicht ganz so  gruselig, aber immer noch dramatisch sah es im Hinblick auf IPv6-Leackage aus: „Begann unsere Arbeit zunächst als allgemeine Erkundung, entdeckten wir schnell, dass nahezu alle Dienste eine ernsthafte Sicherheitslücke, IPv6-Traffic-Leackage, aufweisen. In vielen Fällen konnten wir den kompletten IPv6-Datenverkehr eines Anwenders über die native Schnittstelle aufzeichnen.” Immerhin vier von 14 konnten in dieser Hinsicht überzeugen, indem sie ihre Anwender vor Datenverlust bewahrten.

leaks and hijacks

Das Team untersuchte das Verhalten der von den jeweiligen Betreibern angebotenen Software-Clients an einem Wi-Fi-Accesspoint. Sie erzeugten einen IPv6-durch-IPv4-Tunnel (Campus Dual Stack OpenWRT) und erprobten zwei DNS-Hijacking-Angriffe, die Zugang zu allem Traffic des Ausgespähten gewährten. Alle Experimente erfolgten unter aktuellen Ubuntu-, Windows-, OSX-, iOS 7- und Android-Versionen, also den gängigsten Einsatzbereichen für VPNs. Präsentiert wurde das Papier am 30. Juni 2015 beim Privacy Enhancing Technologies Symposium in Philadelphia.

Und CyberGhost VPN?

CyberGhost ist nicht betroffen und verhindert mit seinem Windows-Client zuverlässig sowohl IPv6-Leackage als auch DNS-Hijacking. Wenn du individuell testen möchtest, ob du ausreichend geschützt bist, gehe bitte folgendermaßen vor:

  1. Aktiviere CyberGhost
  2. Verbinde dich mit einem Server
  3. besuche die folgenden Testseiten:
    1. IPv6-Leaktest: http://ipv6leak.com/ (die Ergebnisse sind eindeutig, du bist entweder geschützt (grün) oder nicht (rot))
    2. DNS-Leaktest: https://www.dnsleaktest.com/ (Stammt einer der aufgelisteten Server nicht von CyberGhost, ist der Test fehlgeschlagen, im Bild sind beide CG-DNS bei einer geschützten Verbindung aufgelistet. Update: Ursprünglich illustrierte das Bild eine ungeschützte Verbindung, führte aber zu Irritationen, weshalb es ausgetauscht wurde.)

dnsleaktest

Sollte bei einem oder beiden Tests ein negatives Ergebnis erscheinen, öffne bitte die Einstellungen zum Client, klicke auf ‚Erweiterte Einstellungen anzeigen‘ und aktiviere das Register ‚Verbindung‘. Dort gehören zwei Häkchen jeweils in die Box zu ‚CyberGhost DNS-Server erzwingen‘ und ‚IPv6-Protokoll deaktivieren‘. Fehlt eines, aktiviere bitte die entsprechende Option. Danach wiederhole den Test.

CG_Settings

Copyright © 2014. Created by Meks. Powered by WordPress.