Von AliExpress gekaufte TV-Box H20 Pro mit Badbox-Malware infiziert!?

Weblog vom 31.12.2024: Von AliExpress gekaufte TV-Box H20 Pro mit Badbox-Malware infiziert!?
Kategorie:IT Security
Stichworte:Internet, Router, Station, TVBox, Hongtop, AliExpress, China, H20, H20 pro, Malware, BadBox, Firmware, Vodafone, BSI, Firmware, SmartTV


Mein amazon Fire-TV-Box geht mir schon seit einigen Monaten wegen immer weiter zunehmender Werbung auf die Nerven. Außerdem funktionierte plötzlich die Fernbedienung nicht mehr richtig, obwohl sie als verbunden angezeigt wird. Hat man sie einfach aus der neuen Firmware geschmissen? Die amazon Fire-TV-Box updated sich ja vollautomatisch. Das kann man auch nicht abschalten. Und mit jeder Version wird es gefühlt schlechter und die Werbung mehr...

Günstige TV-Boxen aus China von AliExpress

Wer meinen Youtube-Kanal kennt, der weiß, dass ich immer wieder mal auf der chinesischen Einkaufsseite AliExpress nach Schnäppchen Ausschau halte.

Da vielen mir auch zwei TV-Boxen mit Android auf, die die nervige amazon FireTV-Box ersetzen könnten. Wie üblich sind die Produktnamen eine Aneinanderreihung von Schlagwörtern:
H20 TVBox: Hongtop h20 neue smart tv box android 10,0 2gb 16gb 4k 3d hd h.265 media player android tv box sehr schnell 1080p set top box


H20 Pro TVBox: Hongtop h20pro smart tv box wifi6 android 10 6k 4k 3d media player tv box android 2,4g & 5g wifi sehr schnell 1080p set top box


Beide wurden in einer Aktion für schmales Geld angeboten - ach was sage ich: für Wahnsinnspreise um die 10 Euro. Die eine, die normale H20 TV-Box, habe ich im Mai bestellt und weil mir die doch ein wenig zu schwachbrüstig war, später im Juni noch die H20 Pro TV-Box, als die im Angebot war. Aus verständlichen Gründen verlinke ich die Angeboten der Boxen auf AliExpress hier nicht. Kauft solche Billig-TV-Boxen besser nicht, wenn ihr euch keine Malware einfangen wollt.

Natürlich habe ich mich gefragt, ob das für den Preis was sein kann, aber zum Youtube-Video abspielen reichen sie allemal, hatte ich mir gedacht. Allerdings kommen die beiden ins Stottern bei lokalen H265-Videos in FullHD-Auflösung. Aber hey, für den Preis? Auch war mir aufgefallen, dass sie noch mit der veralteten Android 10 Version kommen. Mittlerweile sind wir ja schon bei Android 14 oder 15. Vielleicht ja deshalb der günstige Preis, weil die Auslaufware raus muss? Aber im Grunde kann mir das ja egal sein, solange es denn Videos lokal und aus dem Internet abspielen kann.

Eigentlich hätte ich misstrauischer sein sollen bei Geräten aus China. Aber da hatte ich schon vieles gekauft und eigentlich noch nie Probleme mit der Software-Sicherheit. Und als sich die beiden Geräte für mich ganz normal verhalten haben - naja, außer der H20, der oft schnarchlahm war, habe ich sie auch eingesetzt und fast täglich benutzt. Aus Bequemlichkeit habe ich mir nicht die Mühe gemacht, den Netzwerkverkehr näher zu analysieren.

Plötzlich eine Mail mit Warnung vor BadBox von Vodafone

Doch dann bekam ich dieser Tage eine e-mail von meinem Internet-Provider Vodafone (ehemals Kabel Deutschland):
Sicherheitsinformation zu Ihrem Internetanschluss

Sehr geehrte Damen und Herren.

Wichtiger Sicherheitshinweis vom Vodafone-Sicherheitsteam zu Ihrem Produkt vom 21.12.2024.

Ihre Kundennummer: 123456789

Es liegen uns Hinweise vor, dass an Ihrem Internetzugang mindestens ein internetfähiges Endgerät (z.B. Smartphone, Tablet, CTV-Box) mit der Schadsoftware Badbox infiziert ist. Ihr Endgerät ist somit Teil eines weltweiten Bot-Netzes und wird von Kriminellen für deren Zwecke missbraucht.

Detaillierte Hinweise, die uns zu Ihrem Anschluss vorliegen, können Sie über https://kundensicherheit.vodafone.de/ABCD12 abrufen.

Wie konnte es dazu kommen? Badbox wird während der Produktion oder unmittelbar danach in der Firmware des Geräts installiert. Das Gerät ist bereits infiziert, wenn es bereits gekauft wurde.

Badbox ist eine Android Schadsoftware, die mit der Firmware des Geräts ausgeliefert wird. Infizierte Geräte verbinden sich unverzüglich mit einem Command-and-Control (C2) Server und ermöglichen den Angreifern Zweifaktor Schlüssel abzufangen, weitere Schadsoftware zu installieren sowie Zugriff auf das Netzwerk, in dem sich das infizierte Gerät befindet (Proxy), zu erhalten.

Was muss ich jetzt machen?

Infizierte Geräte sollten sofort außer Betrieb genommen werden, da die Schadsoftware auf einer nicht beschreibbaren Partition der Firmware befindet und durch den Endverbraucher nicht entfernt werden kann.

...
Zuerst dachte ich aufgrund des schlechten Deutsches an einen Phishing-Versuch, von denen ich täglich zahlreiche bekomme. Das "Sehr geehrte Damen und Herren." mit Punkt am Ende und das "Was soll ich jetzt machen?" passen nicht zusammen. Und die Phishing-Mails werden tagtäglich besser, auch dank Einsatz von künstlicher Intelligenz.

Trotzdem könnte es etwas dran sein. Also meine Kundennummer nachgeschaut und für wahr: die stimmt. Der Link zeigte auch auf den Vodafone-Server. Also habe ich mich getraut, den in der Adressleiste meines Browsers zu kopieren.

Allzu viel steht da nicht. Es gibt zwei Tabs unter der Überschrift "Schadsoftware". Unter dem Tag Vorgang steht lediglich die Vorgangsnummer, dass der Status "offen" ist und der Vorgang am 20. Oktober 2024 geöffnet wurde. Das ist die einzig interessante Info auf diesem Tab und zeigt mir, dass man sich bei Vodafone drei Monate Zeit gelassen hat, mich zu warnen. Und angeschlossen hatte ich die Geräte ja schon im Mai. Eine ganz schön lange Zeit.

Unter dem Tab Details sehe ich eine kleine Grafik der letzten 30 Tage mit der Anzahl der Vorfälle:



Darunter eine Liste der Vorfälle mit Datum, Uhrzeit und Art der Malware, bei mir "botnet-badbox" und der meldenden Stelle, hier: reports @ reports.cert-bund.de. Für die letzten 7 Tage kann ich noch auf Details klicken, sehe da dann aber nur die IP, die mir zu diesem Zeitpunkt zugewiesen war.

Ich frage mich, wie sich ein normalsterblicher Internet-Benutzer damit ein Bild von der Lage machen können soll. Und auch ich muss Google bemühen, um mir den folgenden Reim zu machen: Das ist schön und gut, wenn der Kunde was damit anzufangen weiß. Dazu braucht dieser technisches Verständnis, die Geduld und das Interesse, sich mit Google und Co. schlau zu machen. Dann kann er die Ursache erkennen und ausschalten.

Oder er denkt sich so etwas in der Richtung: "Hätte ich mal auf meinen Kumpel gehört, dass man sich nicht sicher sein, dass das Zeug aus China sauber ist. Der hat ja gleich gesagt, dass ich mir damit einen Virus einfange. Also nehme ich das Ding jetzt vom Strom und steck es nicht wieder ein. Wer billig kauft, kauft zweimal - hat meine Oma schon gewusst."

Und wenn dann in den nächsten Tagen keine roten Balken mehr im Vodafone-Diagramm auftauchen, kann man sich sicher sein, dass es das betroffene Gerät war und es der Entsorgung zuführen. Oder wenn es teuer war, versuchen, von der Malware zu befreien.

Ich finde im Prinzip, das BSI macht da einen guten Job, aber Vodafone sollte schneller werden

Dazu sollten die Mails allerdings zeitnaher kommen. Ich finde das ja sehr gut, dass das BSI da Fallen aufstellt und den Internet-Providern Bescheid sagt und ich glaube auch, die machen das zeitnah. Aber es sollte nicht sein, dass sich da Vodafone drei Monate Zeit lässt, Bescheid zu sagen. Wenn das eine Woche oder so wäre, dann könnte der Endnutzer das schädliche Gerät viel genauer bestimmen. Dann war es die TV-Box, die Überwachungskamera oder die RGB-Leuchtlampe, die letztens angeschafft wurde.

CERT-Bund checkt übrigens noch andere Dienste auf Sicherheitslücken, wie man in dieser Übersicht nachlesen kann, die für erfahrene Server-Admins auch gleich Tipps zur ÜBerprüfunf bereithält. Weitere Fragen beantwortet das BSI zum Thema CERT-Bund in den FAQ.

Und was ist jetzt diese Badbox-Malware?

Auf der Website des BSI kann man nach "Badbox" suchen und findet dann auch eine Pressemitteilung vom 12.12.2024 (2), aus der ich hier zitieren möchte:
BSI weist auf vorinstallierte Schadsoftware auf IoT-Geräten hin

Digitale Bilderrahmen oder Mediaplayer, die mit dem Internet verbunden werden: Derartige Geräte können mit Schadsoftware infiziert werden und sind daher immer häufiger Ziel von Cyberkriminellen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nun bei bis zu 30.000 solcher Geräte in Deutschland die Kommunikation zwischen der Schadsoftware BadBox und den Tätern unterbunden. All diesen Geräten ist gemein, dass sie über veraltete Android-Versionen verfügen und mit vorinstallierter Schadsoftware ausgeliefert wurden.

...

Die Schadsoftware BadBox war in allen dem BSI bekannten Fällen bereits beim Kauf auf den jeweiligen Geräten installiert. BadBox ist in der Lage, unbemerkt Accounts für E-Mail- und Messenger-Dienste zu erstellen, über die anschließend Fake-News verbreitet werden können. Weiterhin kann BadBox Werbebetrug (Ad-Fraud) durchführen, indem es im Hintergrund Webseiten ansteuert. Darüber hinaus kann die Schadsoftware als Residental-Proxy-Service fungieren. Dabei stellt sie die Internetverbindung der Nutzerinnen und Nutzer unbekannten Dritten zur Verfügung, die diese dann für kriminelle Aktivitäten (Cyberangriffe, Verbreitung illegaler Inhalte) nutzen können. Dadurch kann die IP-Adresse der Betroffenen in Zusammenhang mit Straftaten gebracht werden. Darüber hinaus kann BadBox weitere Schadsoftware nachladen.

Das BSI leitet derzeit im Rahmen einer Sinkholing-Maßnahme nach § 7c BSI-Gesetz (BSIG) die Kommunikation betroffener Geräte mit den Kontrollservern der Täter um. Dies betrifft Provider, die über 100.000 Kundinnen und Kunden haben. Für diese Geräte besteht keine akute Gefahr, solange das BSI die Sinkholing-Maßnahme aufrechterhält. Grundsätzlich besteht aber für alle IT-Produkte mit veralteten Firmware-Versionen das Risiko, dass sie für Schadsoftware anfällig sind. Dies betrifft somit neben den bei der BSI-Maßnahme auffällig gewordenen Bilderrahmen und Mediaplayern auch zahlreiche weitere Produktklassen. Internationale Berichte legen nahe, dass auch Smartphones und Tablets zu infizierten Geräten gehören können. Das BSI geht daher von einer sehr hohen Dunkelziffer aus und ruft dazu auf, entsprechende Geräte vom Internet zu trennen oder nicht weiter zu benutzen.

...
Das heißt also, dass eine oder beide meiner TV-Boxen mit einer Malware ausgeliefert wurde, von der man als Benutzer normalerweise nichts mitbekommt. Man schaut etwas in der Mediathek oder einen Youtube-Clip und im Hintergrund verbindet sich die böse TV-Box, darum auch Bad Box, auf einem zweiten Kanal mit einem bösen Server (einem Command-and-Control-Server, kurz C&C-Server) im Internet, um dort nach Anweisungen nachzufragen, die sie ausführen soll. Das kann man sich vorstellen wie den Mafioso, der regelmäßig beim Paten anruft und fragt, ob der nicht einen neuen Auftrag für einen hat. Die Gesamtheit der ausführenden Mafiosi nennt man dann Bot-Netz, und das können viele tausend Computer auf der ganzen Welt sein.

Wie in der Pressemitteilung schon angesprochen, kann das alles Mögliche sein, von Betrugsvorbereitungen und -Durchführungen, blindes klicken auf Werbebanner, um damit Einnahmen zu generieren oder das Überlasten von Servern (Stichwort DDOS-Attacke) der unliebsamen Konkurrenz. Das ist natürlich alles illegal und damit man den eigentlichen Verbrechern nicht über die benutzte IP-Adresse auf die Schliche kommen kann, wird einfach die Internetverbindung und IP-Adresse des nichtsahnenden Badbox-Benutzers missbraucht.

Badboxes so schnell wie möglich vom Netz nehmen!

Wenn die Strafverfolgungsbehörden dann einem Betrugsfall nachgehen, ermitteln sie den Anschlussinhaber der IP-Adresse, die für den Betrug benutzt wurde. Das ist deren erste heiße Spur. Und schwupps, ist man erst einmal des Betruges verdächtig. Darum sollte man in eigenem Interesse sein Malware-versuchtes Gerät so schnell wie möglich vom Netz nehmen und nicht wieder anschließen. Zumindest sollte man so eine infizierte TV-Box nur noch lokal verwenden, das heißt ohne eingestecktes LAN-Kabel und ohne WLAN. Filme von USB-Stick wiederzugeben, sollte ungefährlich sein. Trotzdem sollte man das Gerät weiterhin beobachten, vielleicht hat es sich ja die WLAN-Verbindung abgegriffen und zwischengespeichert. Ein auffälliger Warnaufkleber, das Gerät nicht mehr ins Netz zu lassen, sollte man auch als Gedächtnisstütze anbringen.

Übrigens kann alles an IoT-Geräten mit Malware infiziert sein. Von der per WLAN in der Farbe änderbaren Lichterkette, der smarten Steckdose, dem smarten Fernseher, dem Kühlschrank, ja sogar der smarten Glühbirne kann alles mit Malware infiziert sein. Wenn es irgendwie über WLAN angebunden oder steuerbar ist, ist es verletzbar. Auch wenn man es nicht merkt, weil sich das Gerät nach außen hin ganz normal gibt, kann es schon infiziert ist. Vielleicht verhält es sich auch nur besonders unauffällig und fragt nur einmal im Monat beim C&C-Server nach, ob es jetzt "böse" werden soll.

Eigentlich müsste man die Firmware aus jedem gekauften IoT-Gerät auslesen und genauestens analysieren, um herauszufinden, ob im Code irgendwas Verdächtiges steckt. Aber dazu braucht man teuer zu bezahlenden Experten und die wieder einiges an Zeit. Das ist also kein gangbarer Weg.

Was praktikabel ist, ist sich den Netzwerkverkehr der IoT-Geräte anzuschauen. Übrigens: es können auch normale Computer mit Windows, Linux, MacOS und Co. oder ein Smartphone mit Malware infiziert werden und zu einem Teil eines Botnetzes werden. Ein falscher Klick im Internet kann ausreichen, sich eine sonst unauffällige Malware einzufangen.

Wie hat das BSI das gemacht - Thema Sinkholes

Das BSI setzt bei der Kontaktaufnahme der Badbox-Malware zu ihrem C&C-Server an. Die Badbox muss entweder die direkte IP-Adresse oder den Domainnamen des C&C-Servers wissen, um sich mit ihm zu verbinden. Meist wird dies ein Domainname sein. Der Domainname wird durch eine Anfrage an einen DNS-Server zu einer IP-Adresse übersetzt, denn auf unterer Ebene wird im Internet ausschließlich über IP-Adresse kommuniziert.

Hier bei der DNS-Anfrage schaltet sich das BSI dazwischen. Die Anfrage macht sich beim Kunden auf den Weg zum bei ihm per IP-Adresse definierten DNS-Server. Normalerweise steht der DNS-Server direkt beim Internet-Provider und das Endgerät hat auch daher dessen IP-Adresse; die DNS-IP-Adresse kann aber auch durch den Benutzer alternativ definiert worden sein. Die Anfrage enthält den Domainnamen (z. B. "boeserbube.bad"), die DNS-Server-IP-Adresse und die Portadresse (normalerweise 53) und wird über das TCP/IP-Protokoll durchs Internet geleitet. Dabei hangelt sich die Anfrage von einem Internet-Server zum nächsten durch das Internet mit dem Vorsatz, die Ziel-IP-Adresse möglichst schnell zu erreichen. Unterwegs sind dabei die Daten: Normalerweise kommen die Daten dann beim DNS-Server an. Der schaut dann in seinem Verzeichnis nach (oder fragt andere Verzeichnisse), welche IP-Adresse zu dem angefragten Domainnamen notiert ist und schickt diese Antwort dann wieder zurück an die Quell-IP-Adresse und Port, wobei hier auch wieder mehrere Hops von Server zu Server benötigen werden: Nun werden die Daten aber unterwegs umgeleitet und zwar zuerst zu einem Server, auf den das BSI Zugriff hat. Im Normalfall beantwortet dieser die Anfrage ganz normal mit der IP-Adresse. Wenn er aber feststellt, dass hier ein "böser" Domainname abgefragt wird, dann protokolliert er dies und schickt unbrauchbare Daten zurück: Solange die Sinkhole-Umleitung aktiv ist, kann sich die Badbox-Malware nicht mehr mit seinem C&C-Server verbinden, weil er die IP-Adresse nicht erfährt. Er kann also nicht nach neuen Aufträgen fragen, die er ausführen soll.

Gleichzeitig kann das BSI anhand des angefragten Domainnamen erkennen, um welche Art Malware es sich handelt. Die Infos schickt er dann dem Internet-Provider, der für die Quell-IP-Adresse zuständig ist, damit der dann den Kunden unterrichten kann.

Und wie findet man das jetzt selbst für seine Geräte heraus?

Laut BSI (4) gibt es nicht weniger als 74 Bots, von Amadey bis Ztorg, die als aktuell weitverbreitete Botnetzfamilien gelten. Jede hat so seine Besonder- und Eigenheiten. Darum gehe ich im Nachfolgenden nur auf die Badbox-Malware ein. Besonders auch, weil ich hier zwei potentiell potente Kandidaten für die Analyse habe.

Das BSI gibt übrigens auch den Hinweis, dass sich die Badbox-Schadsoftware auf einer nicht beschreibbaren Partition der Firmware befindet und durch den Benutzer nicht entfernt werden kann. Außerdem wird erwähnt, dass sich infizierte Geräte unverzüglich mit einem Command-and-Control-Server verbinden.

Ist nur eine oder sind beide meiner TV-Boxen infiziert?

Es gibt also zwei Ansätze: Der erste ist, einen eigenen DNS-Server (z. B. Pi-Hole) aufzusetzen und diesen in Android in der TV-Box anzugeben und dann zu schauen, ob nach auffälligen Domainnamen gefragt wird. Der zweite wäre, sich das Android der TV-Box mittels ADB-Debugging näher anzuschauen und herauszufinden, ob sich etwas Verdächtiges findet.

Für mich ist es vorrangig zu wissen, welches der beiden meiner Geräte, das H20 oder das H20-pro infiziert ist, oder ob beide infiziert sind.

Ich könnte natürlich zuerst eines der beiden, dann das andere wieder ans Netz hängen und mir dann anschauen, ob es wieder einen roten Balken bei Vodafone gibt. Solange das BSI-Sinkhole aktiv ist, kann die Malware ja keinen wirklichen Schaden anrichten.

Ich habe ja die H20 mehr in Verdacht als die H20 Pro, weil bei der H20 die Internetverbindung oft stockte und das System insgesamt weniger rund läuft.

Also habe ich erst einmal die H20 Pro wieder angeschlossen, um zu sehen, ob es wieder eine Meldung gibt, und dies der Übeltäter ist. Es wäre schon schön, wenigstens eines der Geräte weiterverwenden zu können.

Dazu möchte ich aber sicher sein, dass da keine Malware drauf ist. Eine eingehende Analyse mit den zwei oben genannten Methoden werde ich noch durchführen und die Ergebnisse dann hier verlinken.

Datenschutz und Wirksamkeit des BSI Sinkholes

Jetzt kann man bei diesem Thema auf die übergeordnete Frage stellen, ob es okay ist, wenn sich das BSI meinen Internet-Datenverkehr anschaut, um Gefahren zu erkennen und Schäden zu verhindern. Zum einen kann man der Meinung sein, dass es Internet-Provider und Behörden nichts angeht, was man im Internet umherschickt. Zum Anderen kann man das okay finden.

Die Antwort auf diese Frage steht und fällt auch mit dem Vertrauen in Regierung und Behörden. Eine demokratiefeindliche Regierung könnten die Überwachung des Volkes dazu ausnutzen, seine Macht zu mehren, Demokratie abzubauen und die Leute "auszusortieren", die der Regierung nicht passen, etwa, weil sie an Demokratie und Freiheit festhalten und sich nicht unterwerfen wollen. Je mehr Überwachung es gibt, desto einfacher fällt es einer antidemokratischen Regierung, diese zu ihrem Vorteil auszunutzen. Im Sinne der Standfestigkeit der Demokratie sollten solche Überwachungsmaßnahmen nicht oder wenn, dann nur in extremen Fällen, bei denen ein konkreter Verdacht besteht, möglich sein.

Ein Vergleich aus dem realen Leben: Wenn durch vorhergehenden Ermittlungen klar ist, dass Person A mit Person B einen Terroranschlag planen, sollten die Stellen deren Verhalten und Kommunikation (Beschatten, Telefon) beobachten dürfen, um Schlimmeres zu verhindern. Jetzt auf der anderen Seite die Telefone (oder den Internetverkehr) aller Bürger, auch der gesetzestreuen, abzuhören und nach "schlimmen Wörtern" zu scannen, sollte nicht erlaubt sein, denn die daraus gewonnenen Erkenntnisse sind viel zu einfach missbrauchbar und zum Nachteil Unbeteiligten einsetzbar.

Das "Behörden mit Sonderrechten" wie Geheimdienste eigene Gesetze und Verordnungen bekommen, die trotzdem Überwachung erlauben, ist ja bekannt. So gibt es einen Übergabepunkt beim DE-CIX, dem Internetknoten in Frankfurt, bei dem der Großteil des ausländische Internet-Verkehrs durchgeleitet wird, für die NSA (dem technischen Geheimdienst der USA), damit diese in den Daten nach verdächtigen Aktivitäten suchen kann. Das Ganze wohl legitimiert durch § 11e des BND-Gesetzes: Übermittlung an ausländische öffentliche Stellen und an über- oder zwischenstaatliche Stellen.

Aber zurück zur Badbox. Auch das BSI hat ihr eigenes Gesetz, das BSI-Gesetz, in der ihr Sonderrechte eingeräumt werden. Wahrscheinlich hängt es auch an DE-CIX, weil anzunehmen ist, dass die Anfragen der Badbox ins Ausland gehen. Eventuell hängt der BSI auch an den DNS-Servern bei den deutschen Internet-Providern, die ja standardmäßig benutzt werden. Das wäre in dem meisten Fällen der kürzeste Weg.

Dann würde bei der Standardeinstellung des DNS-Servers als auch bei DNS-Server im Ausland (was meist der Fall bei Alternativ-DNS-Servern ist), die über das DE-CIX gehen, das BSI mitbekommen, dass hier ein "böser" Domainname abgefragt wird.

Außerdem könnte der Internet-Provider selbst, also Vodafone, was der Normalfall wäre, selbst eine Sperre für die Badbox-Domains einrichten und die Abfrage dann einfach ins Leere laufen lassen. Bei HTTP-Abfragen könnte man auch auf eine Warnseite umleiten. Das hat es schon einmal für eine Pornoseite gegeben, die Arcor oder Kabel Deutschland damals gesperrt hatte. Ich glaube, weil sie ein Gericht dazu verdonnert hatte.

Die Leute, die trotzdem auf die Pornoseite wollten, haben dann einfach einen alternativen DNS-Server benutzt und die Sperre der Pornoseite war wirkungslos. Die Leute lassen sich halt ungern bevormunden. Wo wir wieder beim Thema Vertrauen wären. Aktuellerer Fall: Was Jan Böhmermann in seiner ZDF Magazin Royal Sendung über den ehemalige BSI-Chef Arne Schönbohm an Verdächtigungen und "offenen Fragen" verbreitet hat, und was meiner Meinung mehr beißende Satire als denn ausgewogener und objektiver Investigativ-Journalismus war, hat sicher auch nicht zur Stärkung des Vertrauens in das BSI beigetragen.

Die Sendung führte sogar dazu, das Schönbohm am 18. Oktober 2022 von seinen Aufgaben entbunden wurde. Die Begründung der Innenministerin Nancy Faeser war damals: "Das notwendige Vertrauen der Öffentlichkeit in die Neutralität und Unparteilichkeit der Amtsführung als Präsident der wichtigsten deutschen Cybersicherheitsbehörde" sei nachhaltig beschädigt.". Was beweist, dass allein schon das Aufstellen von Behauptungen Vertrauen zerstören kann und weitreichende Konsequenzen hat. In diesem Zusammenhang: Das Thema Fake-News ist ja aktueller denn je.

Und je weniger Vertrauen da ist, je weniger werden Aktivitäten wie das Sinkhole von den Bürgern akzeptiert. Wie gesagt: Ob man persönlich solche Sinkholes für legitim erachtet oder nicht, muss jeder für sich selbst entscheiden.

Einen Strich durch die Sinkhole-Taktik könnte das DNS over HTTPS (DoH) Protokoll machen, das es seit 2018 gibt. Dabei wird die DNS-Anfrage verschlüsselt und es ist keine Man-In-The-Middle-Attack, also ein Abhören, etwa durch das BSI, möglich. Das heißt, dass man mit der Verwendung von DoH vermeintlich Sicherheit gewinnt, auf der anderen Seite aber das BSI die Chance, Sicherheit zu gewährleisten, verliert.

Und wenn die Malwares erst darauf kommen, die Sinkholes durch DoH auszuhebeln, dann ist das BSI und der Internet-Provider erst einmal machtlos. Wenn dann noch der die C&C-Serverabfragen verschlüsselt erfolgen, scheidet auch eine Deep Packet Inspection aus, bei dem man normalerweise versucht, den Inhalt der Abfrage zu analysieren.

Dem könnte das BSI wieder durch andere, aber noch tiefer eingreifende Maßnahme begegnen, für die es wieder Ausweichmaßnahmen auf Seiten der Malware-Entwickler gibt. Ein Katz und Maus Spiel quasi ohne Ende...

Nachtrag 2025-01-09

Die Analyse des Android und File-Systems bezüglich der Badbox-Malware habe ich mittlerweile fertiggestellt.

Und hier geht es weiter zur Analyse des Netzwerk-Verkehrs der Badbox.

Quellen, Literaturverweise und weiterführende Links