abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du 
Aktuelle Eilmeldungen

TV: Kabelfernsehen wird Mietersache. Jetzt handeln!
Deine Störung ist nicht dabei? Dann nutz unseren Störungsfinder!

1

Frage

2

Antwort

3

Lösung

"Vodafone Sicherheitswarnung"???
AndiHoffi
Smart-Analyzer
Smart-Analyzer

Da bin ich gerade nichts ahnend von meinem Heimanschluss im Internet unterwegs und erhalte plötzlich die "Vodafone Sicherheitswarnung" aus dem Anhang. Laut dieser Warnung ist eins meiner Geräte mit einem Virus infiziert.

Da steht nicht "könnte infiziert sein", sondern "ist infiziert". Also höchster Handlungsbedarf. Denn ich nehme Sicherheit ernst.

 

Also habe ich bei der Hotline angerufen, um weitere Details zu erfahren. Denn offensichtlich überwacht Vodafone meine DNS-Zugriffe. Da müsste mir dann ja jemand sagen können, welcher Zugriff zu dieser Warnung geführt hat.

 

Der Mitarbeiter bei der Hotline war bemüht, konnte mir aber nicht helfen. Er meinte, dass diese Meldung künftig wohl regelmäßig kommen würde und ich bitte jedesmal alle meine Geräte dem Vodafone-Virenscanner unterziehen müsse, der dann jedesmal nichts findet. Mehr könne er mir auch nicht sagen. Und abschalten kann man das auch nicht.

 

Bei solchen Warnungen muss man doch mehr Informationen rausgeben, worauf das beruht. Wie bekomme ich mehr Informationen, warum ich diese Meldung bekommen habe?

 

Ganz nebenbei: die "Sicherheitswarnung" wurde über eine unsichere Verbindung ausgeliefert. Ist auch nicht unbedingt die beste Idee. Ich hielt sie erst für einen Phishing-Versuch.

 

Noch ein Nachtrag: Warum akzeptiert das Forum hier keine PNG-Dateien? Habe den Anhang jetzt konvertiert.

19 Antworten 19

Von dem fragwürdigen Weg der Benachrichtigung seitens Vodafone mal abgesehen ist es so ganz ohne die Infos zu den DNS-Anfragen halt fast unmöglich festzustellen, welches Gerät im Netzwerk denn betroffen sein könnte. Und dann hilft auch der standardmäßige Support-Tipp mit dem Malware-Scan rein gar nichts, wenn es im Endeffekt vielleicht einfach nur die smarte Glühbirne ist, die nach Hause telefonieren möchte, der Server jedoch warum auch immer als Honeypot o.ä. gelistet wird.

 

Wenn du herausfindest, wie man an die Infos über die auslösenden DNS-Abfragen kommt, wäre ich über eine Info sehr dankbar. Das einzige was ich über die Vodafone-Meldung herauslesen kann ist, dass "mindestens ein Gerät mit dem Virus der Kategorie  >>externe Attacken<<  befallen sei". Leider ist das nicht sehr aussagekräftig.

 

Jedenfalls gehe ich derzeit nicht davon aus, dass es meine Windows-Geräte sind, einfach weil deren Maintainance passt und ich weiß, was dort läuft und was nicht. Irgendwas sagt mir, dass ein undurchsichtiges Smart-Device (Handy, TV, Drucker, IoT, ..) diese "Probleme" verursachen könnte oder dass Vodafone hier vielleicht einfach Fehler bei der Zuordung der Warnungmeldungen macht und der Grund vielleicht überhaupt nicht im eigenen Netzwerk liegt, was dann als False Positive anzusehen wäre. Wie gesagt, ohne vernüftige Infos ist es schwer hier mehr zu sagen..

Nur um hier einiges, was da nicht ganz sauber ist, mal klarzustellen:

 

a) Nicht der Browser fragt beim DNS von Vodafone an, sondern der Browser fragt das Betriebssystem über die entsprechende Socket-Implementierung (z.B. WinSock) nach der passenden IP-Adresse. Meist heißt die Funktion dafür "gethostbyname" (resp. Windows) und liefert die IP zurück.

Es kümmert sich also nicht der Browser selbst, sondern die Socket-Bibliothek des Betriebssystems darum, den Namen in eine IP umzuwandeln - i.d.R. wird dafür zuerst in lokalen Verzeichnissen geschaut (z.B. eben jene Hosts-Datei) und wenn dort nichts gefunden wird, geht ein DNS-Request an den eingestellten primären DNS-Server raus -- was in der Regel der Router ist.

Der Router schaut dann seinerseits, ob er den Eintrag selbst kennt -oder- er leitet die Anfrage an den für ihn zuständigen primären DNS weiter - das wäre dann derjenige von Vodafone.

 

b) Wenn das Betriebssystem dem Browser die IP-Adresse genannt hat, baut der Browser über die Socket-Bibliothek eine TCP-Verbindung zum Port 80 oder 443 auf der vorher ermittelten IP-Adresse auf. Erst hier wird dann auch festgelegt, ob es eine HTTP, HTTPS oder anderweitige Verbindung ist -- das steht bei der DNS-Abfrage noch gar nicht mit drin.

 

Und genau daher kann Vodafone - weil der Router immer zwischengeschaltet ist - schlecht das eigentliche Gerät benennen - weil sich das Gerät selbst nie bei VF meldet, sondern es immer nur dein Router ist.

 

Und zur Grundproblematik - dies passiert z.T. auch, wenn bestimmte Adressen aufgelöst werden solle, die für Botnetze genutzt wurden...

Warum unterstellst Du mir schon wieder, ich würde von Vodafone verlangen, mir das betroffene Gerät zu nennen?
Das hast Du gestern schon gemacht. Und ich habe Dir bereits gestern geantwortet, dass ich das nicht erwarte, weil sie das nicht wissen können.

Wohl aber wissen sie, welche Domäne abgefragt wurde und wann das stattfand. Und damit sollten sie rausrücken.


@AndiHoffi  schrieb:

Warum unterstellst Du mir schon wieder, ich würde von Vodafone verlangen, mir das betroffene Gerät zu nennen?
Das hast Du gestern schon gemacht. Und ich habe Dir bereits gestern geantwortet, dass ich das nicht erwarte, weil sie das nicht wissen können.

Wohl aber wissen sie, welche Domäne abgefragt wurde und wann das stattfand. Und damit sollten sie rausrücken.


Ich muss dem TE da Recht geben. Ohne vernünftige Infos kann der Inhaber des Netzwerks hier nur ins Blaue raten, inbesondere dann, wenn seine Geräte selbst unauffällig bzw. als sauber gegengeprüft sind (in meinem Fall habe ich auch via iBarry noch überprüft, ob meine aktuelle IP durch bekannte Honeypots geblacklistet wurde, was nicht der Fall war). Nur mit Angabe der DNS-Abfrage, die die Meldung verursachte, kann man vernünftig eingrenzen. Und diese Daten liegen dem ISP nunmal vor.

 

Vielleicht ist es ein HTTP-Redirect (z.B. über smartredirect) der Vodafone hier aufhorchen lässt? Zumindest bei mir was es so, dass ich diese Meldung das erste Mal bekam, als ich via Chip.de einen Link anklickte der mich über diesen Redirect-Dienst an eine ebenfalls ungesicherte HTTP-Verbindung (videolan.org) weiterleitete. Dann wäre zumindest zeitlich ein Zusammenhang zwischen dem Verhalten meines Netzwerks und der Vodafone-Meldung erkennbar. Weiter eingrenzbar ist dies jedoch aufgrund der fehlenden Infos eben leider nicht..

 

Prinzipiell finde ich es ja löblich, dass VF hier seine Informationspflich ernst nimmt und seine Nutzer über verdächtiges Verhalten informieren will. In der aktuellen Form kann dies aus genannten Gründen aber unter Umständen sogar mehr Schaden verursachen als verhindern..

Bin auch am verzweifeln. Vielleicht ginge es mithilfe des pihole Projektes? Da hat man einen DNS Proxy auf dem raspi der die DNS abfragen bestimmt auch loggen kann...  wenn man da welche drin findet, die sich der Vodafone DNS weigert aufzulösen, ist man vielleicht etwas schlauer? 
Allerdings muss man dann die wlan Geräte überzeugen den raspi als DNS zu nutzen..

Ich habe mich mit Pi-Hole noch nicht wirklich beschäftigt. Sinnvoll kann sowas schon sein, wenn man seine Geräte genauer überwachen möchte. Wie man allerdings der smarten Glühbirne beibringt, dass sie doch bitte den Raspberry als DNS-Server akzeptieren möchte, weiß ich nicht. Möglichweise geht das über einer Umstellen der DHCP-Funktion im Provider-Router. Und wahrscheinlich müsstest du im Pi-Hole-Interace dann wieder auf den VF-DNS durchschleifen, um eben die Meldungen zu erhalten.

 

Bleibt aber noch das Problem des fehlenden Zeitstempels seitens VF..

Ich glaube mit einem gescheiten Router kann man via dhcp den pihole als DNS im ganzen Netzwerk ausrollen, die easybox 804 scheint das aber nicht zu können. Habe jetzt den pihole aufgesetzt und ein paar Geräte damit verbunden. Bin mal gespannt. Der loggt zumindest brav alles weg und es gibt weniger Werbung 🙂

 

auf dem Laptop läuft seit längerem jetzt auch tcpdump und schreibt die DNS queries in ein eigenes log file. Ich habe ein Script geschrieben dass die DNS antworten vergleicht von Vodafone und 1.1.1.1 bzw 8.8.8.8

teilweise sind die Antworten identisch teilweise sehr unterschiedlich, tippe auf load balancing. Ich habe aber in keinem Fall etwas bemerkt was wie ein Vodafone-seitiger Block aussieht. Unerwartete NXDomain oder 0.0.0.0 Einträge gab es nicht. Auf die ip von securenet.Sicherheit.Vodafone.de kommt man nur dann, wenn man ein nslookup macht und der Server meint es wäre mal wieder Zeit für einen spoof.  Es gibt bisher keine Domain, die wirklich sicher  umgeleitet oder geblockt wird.

 

wegen der fehlenden Informationen auf der securenet Seite habe ich mich ans BSI gewandt . 

 

 

Klingt interessant.

 

Schonmal drüber nachgedacht einen DNS-Flush auf deinen Geräten zu machen? Das könnte dazu führen dass der VF-DNS-Server wieder getriggert wird.

 

Das mit dem BSI ist eine gute Idee, da hier lt. Vodafone-Meldung ja Cyperkriminalität im Spiel sei ("..mindestens eins deiner Geräte... ist von Schadsoftware befallen"). Ich könnte mir aber auch vorstellen, dass die dir die Herrschaften vom BSI empfehlen Strafanzeige gegen unbekannt (Verdacht auf Computerbetrug) zu stellen, was dann aber nicht nur mögliche Ermittlungen bei VF zur Folge hätte, sondern auch bedeuten könnte, dass deine Heiminfrakstruktur für forensische Zwecke zur Verfügung stehen müsste 🙂


@DennisFR4  schrieb:


[...]

 

Vielleicht ist es ein HTTP-Redirect (z.B. über smartredirect) der Vodafone hier aufhorchen lässt? Zumindest bei mir was es so, dass ich diese Meldung das erste Mal bekam, als ich via Chip.de einen Link anklickte der mich über diesen Redirect-Dienst an eine ebenfalls ungesicherte HTTP-Verbindung (videolan.org) weiterleitete. Dann wäre zumindest zeitlich ein Zusammenhang zwischen dem Verhalten meines Netzwerks und der Vodafone-Meldung erkennbar. Weiter eingrenzbar ist dies jedoch aufgrund der fehlenden Infos eben leider nicht..

 

Prinzipiell finde ich es ja löblich, dass VF hier seine Informationspflich ernst nimmt und seine Nutzer über verdächtiges Verhalten informieren will. In der aktuellen Form kann dies aus genannten Gründen aber unter Umständen sogar mehr Schaden verursachen als verhindern..


Das mit dem Redirect ist ein interessanter Gedanke. Bei mir war es tatsächlich auch so, dass die Warnung zum ersten Mal auftauchte, nachdem am vergangenen Freitag ein Link auf der Plattform "Pinterest" angeklickt wurde, der auf eine http-Webseite weiterleitete.

Interessant, dass ich nicht der einzige bin, der seit Mai diese Meldung erhält. Verrückterweise erscheint sie, wenn ich meine EIGENE Webseite unverschlüsselt aufrufe, obwohl sie auch mit SSL-Verschlüsselung erreichbar wäre. Mein eigener Server ist aber definitiv kein Verteiler von Schadsoftware und steht auch auf keiner Blacklist. 

Auch bei mir war der Kundenservice offenbar nicht willens oder in der Lage, mir mitzuteilen, welche Verbindung konkret diese Meldung verursacht. 

Ich habe langsam den Eindruck, die Meldung wird random bei unverschlüsselten Websites ausgegeben, um dem Kunden das Sicherheitspaket von F-Secure anzudrehen, das nach Nutzung des "Online Virenscanners" (der natürlich nichts findet) vorgeschlagen wird. Und das wäre eine absolute Frechheit. 

Das würde dann auch aber erklären, warum sie einem die ursächliche Verbindung nicht mitteilen wollen...