Psst! Don’t let your DNS leak all over the internet, DNS-Leak

Psst! Lasst eure DNS im Internet nicht durchsickern!

Stellt euch vor, ihr werdet bis nach Hause verfolgt und der Verfolger weiß jetzt, wo ihr wohnt. Auch bei Verschlüsselungen kommt es auf die letzte Wegstrecke zum Ziel an. Die von einigen Sicherheitsprodukten angebotene Verschlüsselung lässt aber leider oft zu wünschen übrig – insbesondere beim letzten Abschnitt. Die Inhalte von Onlineaktivitäten werden zwar verschlüsselt, aber nicht eure DNS (Domain Name System), das URL-Adressen in numerische IP-Adressen umwandelt.

Hallo, du da unten!

Ihr wohnt in der zweiten Etage mit einer gesicherten Wohnungstür, aber einer kaputten Gegensprechanlage. Ein Freund kommt zu Besuch. Ihr steckt den Kopf aus dem Fenster und ruft: „Hallo, Robert! Der PIN-Code für die Haustür ist 12345 und ich wohne im zweiten Stock.“
Was für ein Sicherheitsrisiko! Jeder, der sich in Hörweite befindet, weiß jetzt genau, wo ihr wohnt, dass ihr einen Besucher habt und euren Namen. Und zusätzlich noch den privaten Zugangscode zu eurer Haustür.

Einen solchen Ruf aus dem Fenster bezeichnen Sicherheitsexperten als DNS-Leak. Es ist klar, dass zwei Personen miteinander sprechen. Aber es ist nicht bekannt, über was sich Robert und John unterhalten (denn dieser Teil ist möglicherweise verschlüsselt). Nach gesundem Menschenverstand ist eine „Unterhaltung zwischen John und Robert“ weniger sicher und privat als eine „Unterhaltung zwischen John und einer anderen Person“.

Wer, was und wo

Bei einer „normalen“ unverschlüsselten Onlineinteraktion kennen der Internet Service Provider (ISP) und jede andere neugierige Person, die die Unterhaltung zwischen John und Robert mithört, drei grundlegende Details über das Gespräch:

  1. Sie wissen, wer spricht (dank des DNS).
  2. Sie wissen, was gesagt wird (durch Lesen der unverschlüsselten Datenpakete).
  3. Sie wissen, wo gesprochen wird (geografischer Standort der IP-Adresse).

Die Vorteile eines VPN liegen insbesondere beim „Wo“ und „Was“. Wo – die Nutzer möchten tatsächlich geografisch eingeschränkte Inhalte sehen können. Sie möchten die Webseiten, die sie zu Hause regelmäßig besuchen, auch im Urlaub aufrufen können. Das „Was“ ist auch entscheidend. Das Wissen, dass fast jeder über ein offenes WLAN Onlineaktivitäten abfangen und aufzeichnen kann, ist beunruhigend. Dabei ist es egal, ob es ein Netzwerkmanager oder ein Cyberkrimineller ist, der mir im öffentlichen Café gegenübersitzt. Ich möchte nicht, dass irgendjemand meine Gespräche belauscht. Daher verschlüssele ich meine Gespräche und halte sie privat.

Beim „Wer“ handelt es sich um das DNS

Beim „Wer“ kommt das DNS ins Spiel. DNS steht für „Domain Name System“. Das ist der Prozess der Umwandlung von Domainnamen wie avira.com in eine numerische IP-Adresse wie 62.146.210.86. Ihr ruft in der Regel euren Browser auf und gebt eine URL-Adresse ein. Euer Gerät kontaktiert daraufhin den DNS-Server, der von eurem Internet Service Provider bereitgestellt wird. Dieser fragt nach der DNS-Adresse, damit eure Datenpakete gesendet werden können.
Sie wissen, mit wem ihr sprecht, sind aber nicht verpflichtet, das preiszugeben. Diese Information müsst ihr eurem ISP nicht zur Verfügung stellen, insofern ihr über ein ordentlich funktionierendes VPN verfügt.

Etwas mehr als ein klitzekleines DNS-Leak

Das Problem ist, dass VPNs und Proxy-PNs Probleme mit dem DNS haben: Sie können Lücken haben. VIELE Lücken. Experten der australischen Commonwealth Scientific and Industrial Research Organization (CSIRO), der University of New South Wales sowie der University of California, Berkeley untersuchten 283 VPN-Apps für Android-Smartphones und entdeckten mehr als nur kleine DNS-Leaks. Laut Bericht leiten 66 % der VPN-Apps den DNS-Verkehr nicht durch den VPN-Tunnel, sodass jeder Beobachter die DNS-Netzaktivität des Benutzers abfangen kann. Apps mit DNS-Leaks sind gegenüber Überwachung und bösartigen Agents nicht effektiv.

DNS-Leaks sind ein duales Problem

Ein DNS-Leak ist ein duales Problem: Zum einen weiß der ISP – und jeder andere, der zuhört – mit wem ihr Kontakt aufnehmt. Auch wenn die Inhalte der Unterhaltung möglicherweise privat bleiben, ist bekannt, dass „John mit Robert gesprochen hat“.
Zum anderen kann der ISP als möglicher Verkehrspolizist auftreten. Euer Internet Service Provider ist in der Lage, bestimmte Webseiten für euch zu blockieren und den Zugriff darauf nicht zuzulassen. Dabei könnte es sich um eine App wie Twitter oder um eine Webseite handeln, deren Streaming-Inhalte den örtlichen Behörden nicht gefallen.

Denkt an das DNS!

Mit einem VPN – korrekte Einrichtung vorausgesetzt – bleiben eure DNS-Informationen privat und verschlüsselt. Die Privatsphäre und Verschlüsselung sollte bei jedem Gerät funktionieren, unabhängig davon, ob es unter Android, Apple oder Windows läuft und ob es sich um eine kostenlose oder Premium-App handelt. Wenn ihr also mit Robert sprechen möchtet, haltet das Gespräch lieber privat.

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.