• Der Fragesteller hat diesen Beitrag als gelöst markiert.
  • Geschlossen

Internet Guard manipuliert öffentliche DNS Einträge

Lukasb1
Level 2
21 von 40

Und weshalb soll nun die Website plötzlich von der Blacklist weg sein? Und eben weshalb sperrt er mir dann den Port 443 nicht? Dies ist eigentlich ja eigentlich "man in the middle". Da kann man mir noch lange sagen Swisscom greife nicht in HTTPS ein. Fakt ist der Client komuniziert über HTTPS nur mit dem Swisscom Proxy und somit greifen die in mein HTTPS ein.

Wollt ihr mir etwa sagen das sei so ganz normal und überhaupt kein Problem?

Lukasb1
Level 2
22 von 40

Hier wird die ganze Zeit versucht alles zu erklären aber auf die Hauptfrage weshalb der gleiche Server unter HTTPS 443 erreichbar ist und unter HTTPS 4005 nicht, will mir keiner Sagen.

PowerMac
Super User
23 von 40

Skizze DNS Guard.PNGHab mal versucht das zu skizzieren.

Der Proxy funktioniert nur für die Kommunikation auf Port 443. Auf Port 4005 nimmt der Proxy keine Pakete entgegen.

Die Verschlüsselung findet auch in der rechten Skizze immer noch zwischen dem Client und dem richtigen Server statt und kann nicht von dritten mitgelesen werden (saubere Konfiguration des Webservers vorausgesetzt). Der Proxy leitet die verschlüsselten Daten nur von der einen zur anderen Seite weiter.

have you tried turning it off and on again?
have you tried turning it off and on again?
gasoo
Level 3
24 von 40

@PowerMac  Du hast absolut recht, der Proxy agiert bei HTTPS nur als "Router".

 

Als Ergänzung.

Ist eine Domain auf der Blacklist, wird vom Swisscom DNS die IP des Proxy in der Antwort zurück gegeben.

Wenn nun die ganze Domain geblockt ist, erhält man eine Fehlermeldung (HTTPS) oder die Splashseite (HTTP).

Ist aber nun nur ein Pfad auf dem Webserver geblockt, wird HTTPS vom.Proxy durchgeroutet, man könnte den bösen Inhalt also auch herunterladen.

Wird die Seite mit HTTP aufgerufen, fungiert der Proxy als Proxy und zeigt die Webseite an, ausser man öffnet den geblockten Pfad, dann wird die Splashpage angezeigt.

 

Mir ist soweit nun alles klar, hoffe euch auch...

Lukasb1
Level 2
25 von 40

Fakt ist dass ich nie mit meinem Server kommuniziere und dies geht meiner Meinung nach nicht. Und der springende Punkt ist dass ich eben nie auf der Blacklist war!!!!! Ihr geht anscheinend einfach davon aus weil Swisscom den Proxy dazwischenschaltet, aber wenn Swisscom die Domäne überprüft ist diese nicht auf der Blacklist. Daher bringen mir all diese Antworten nicht viel. Und eben wenn vpn.gebr-gentile.ch auf der Blacklist wäre dürfte es ja nicht mehr gehen. Für mich ist und bleibt dies nach wie vor höchst suspekt. Eben was macht das für einen Sinn, das die gleiche Website die nach eurer Meinung unsicher sein soll, da ja Port 4005 nicht funktioniert über 443 erreichbar ist. Wenn die Website unsicher ist sollte diese ja über jeden Port nicht erreichbar sein und schon gar nicht üben den welcher schon ein Jahr im Internet verfügbar ist und dem Port den ich neu hinzugefügt habe funktioniert es nicht (Extra um das Problem zu veröffentlichen!!!!!!!!!!!!!).

Was wollt ihr mir eigentlich damit sagen? Hier wird auf Biegen und Brechen versucht das Problem auf mich zu schieben aber eine nachvollziehbare Erklärung dafür hat niemand.

Aber ich kann noch tausendmal schreiben dass ich laut Swisscom nie auf der Blacklist war, alle diese Dinge werden einfach ignoriert.

Und wenn man auf der Blacklist ist sollte Swisscom doch Auskunft über den Grund geben können oder liege ich da falsch? Für mich ist dies jedoch ein weiter Grund von Swisscom wegzukommen, nachdem ich jahrelange treu allen Kunden immer Swisscom empfohlen hab ist damit nun Schluss.

Ich habe das Vertrauen spätestens mit diesem Fall endgültig in Swisscom verloren.
Der Betroffene Kunde wird nächstes Jahr wenn die Abos auslaufen, alles von Siwsscom wegzügeln inkl. aller Mobilabos für die Mitarbeiter.

Auch wenn ich da wirklich auf der Blacklist war solch ein undurchsichtiges Konstrukt ist meiner Meinung nach nicht vertretbar. Und eine Firma welche ein Dienst lanciert ohne dass Kunden dazu Probleme melden können kann ich schon gar nicht ernst nehmen.

Lukasb1
Level 2
26 von 40

Oder sagt mir doch mal weshalb ihr euch so sicher seit dass die Domäne entgegen der Aussage von allen Supportmitarbeitern auf der Blacklist war?

gasoo
Level 3
27 von 40

Die Support Mitarbeiter von Swisscom liegen leider falsch.

 

Deine Domain gebr-gentile.ch war auf der Blacklist, dies betrifft ALLE Subdomains, also vpn.gebr-gentile.ch, www.gebr-gentile.ch usw.

Dann wurde die Domain von der Blacklist entfernt, kam aber heute anscheinend wieder drauf.

Daraufhin wurde sie wieder entfernt.

 

Das kann man alles an den DNS Antworten sehen.

Ist die IP, die du vom Swisscom DNS erhälst, im Range 195.186.x.x, dann ist die Domain auf der Blacklist.

Aus diversen anderen Foren und Beiträgen, kann dies so nachvollzogen werden, das ist Fakt.

 

Keiner will das Problem auf dich abschieben, wir haben nur versucht die technischen Gegebenheiten zu erklären.

Es hat auch niemand gesagt, dass du Schuld bist (Ausser du hättest auf deinem Server wirklich Malware/Phishing).

 

Noch ein kleiner Hinweis, ich habe in meinem ersten Post auf das Formular verlinkt, bei der du Probleme melden kannst.

cslu
Level 6
28 von 40

Vielleicht möchte sich ja gelegentlich @Anonym nochmal dazu äussern und Licht ins Dunkle bringen, er wollte den Fall ja letzte Woche abklären lassen.

 

Wäre ja schade, wenn irgendwelche absonderlichen Verschwörungstheorien den Ruf des hervorragenden und für gewöhnlich unfehlbaren "InternetGuard" beschädigen würden.

Wie wir wissen, kann der durchschnittliche Schweizer Internetkunde ja im Wesentlichen nur wegen des InternetGuards überhaupt noch ruhig schlafen. Da wäre es unverantwortlich, wenn wegen solch blöder Missverständnisse irgend jemand zu einem Fremd-DNS getrieben würde und sich so ins Unglück stürzten würde :winking:

PowerMac
Super User
29 von 40

Ich verstehe deinen Ärger und teile ihn ja ein Stück weit auch, siehe frühere Posts. Und auch ich wundere mich darüber, dass dir die Auskunft gegeben wurde, du seist nicht auf der Blacklist, aber andererseits das Verhalten des DNS-Servers etwas anderes vermuten lässt.

Warte doch mal ab, was die Abklärungen von Swisscom ergeben, die @Anonym in Auftrag gegeben hat. Alles andere wäre Spekulation. Wir hier sind alles Kunden wie du (noch) und können auch nicht mehr machen.

have you tried turning it off and on again?
have you tried turning it off and on again?
Anonym
30 von 40

Der IG leistet weiterhin sehr gute Dienste und funktioniert, wie wir es erwartet haben. Natürlich lernen wir (Swisscom, der Lieferant) immer dazu und versuchen das Produkt zu verbessern. Daher schaun wir uns solche Fälle an. Wenn es verbessert werden kann, dann machen wir das.

 

Wenn ich etwas weiss, was ich teilen kann mit Euch, dann mache ich das. Aber gerade bei Sicherheitsthemen ist weniger manchmal mehr. 

Es werden im Moment mehr als 60'000 Warnungen pro Tag ausgesprochen. Davon beziehen sich über 80% auf Phishing/Betrug und der Rest geht im Wesentlichen um Malware. Weniger geschädigte Kunden sind die Folge. Daher bin ich durchaus Stolz darauf, dass wir das Thema Sicherheit sehr ernst nehmen, während andere noch nicht mal darüber sprechen.

Es gibt natürlich auch Kunden, die trotz Warnung die Seite besuchen. Ihr gutes Recht und solange sie es bewusst machen und hoffentlich ihre Geräte zu Hause immer auf den aktuellsten Stand gepatched haben, ein wahrscheinlich kalkulierbares Risiko.

 

Neben dem Callfilter eine echte Erfolgsgeschichte.

PowerMac
Super User
31 von 40

Danke Guido fürs Feedback. Bezüglich des Internet Guards bin ich voll bei dir, das ist eine gute Sache und hilft sicher sehr bei der Bekämpfung von Internetkriminalität.

Konkret in Bezug auf den in diesem Thread diskutierten Fall hast du nun nichts geschrieben. Folgt da noch was, oder fällt das unter die Fälle, aus denen Swisscom etwas lernt und verbessert, aber nicht offenlegt was der Grund war?

have you tried turning it off and on again?
have you tried turning it off and on again?
Lukasb1
Level 2
32 von 40

Danke für die Werbmitteilung für Swisscom. Der war extrem Hilfreich, jetzt ist die Welt ja wieder in bester Ordnung.

 

Solche Probleme nimmt Swisscom wirklich ersnt, darum schaltet der Support hier auch auf Durchzug und kann solche Probleme nicht aufnehmen.

 

Und schön dass ihr bezüglich Sicherheit so Stolz seit, erklärt dass bitte einem Kunden von mir der eine Telefonrechung von 80000 Fr erhalten hat und bezahlen musste, weil Swisscom übers Wochende ihre Sicherheitsmassnahmen abschaltet, weil Angriffe ja immer zu Bürozeiten durchgeführt werden. Da könnt ihr mal die Sicherheit verbessern, wär da auch nicht schwirig, aber da profitiert warscheindlich Swisscom zu sehr davon. Da würde jedenfalls massiv nachholbedarf bestehen, hier wurde von Swisscom genau 0 Sicherheit eingebunden. Überigens die 80000 Fr Zahlen wir nun mit den Steuern, war ein Statsbetrieb.

 

Grundsätzlich finde ich es eine gute Sache die Sicherheit beim Surfen zu verbessern, aber nach diesem Fall kann ich hier nicht glauben dass dieser wie gewünscht funktioniert. Ah doch das tut er ja, solange der Support da nichts durchlässt ist für euch ja alles in bester Ordnung.

 

Sorry aber die Swisscom kann ich nach diesem Post erst recht nicht mehr ernst nehmen. Ich werde jedenfalls keinem mehr Swisscom empfehlen, und ich habe bisher jedem Swisscom empfohlen und verkauft.

 

 

 

 

Werner
Super User
33 von 40

@Lukasb1

 

Ist vermutlich Off Topic, aber Du machst mich jetzt neugierig und vielleicht könntest Du ja in einem separaten Thread mal erklären wie man zu 80‘000 CHF Telefonrechnung kommt und wie weit da abgeschaltete Sicherheitsmassnahmen ein Rolle spielen.

Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
cslu
Level 6
34 von 40

@PowerMac  schrieb:

Danke Guido fürs Feedback. Bezüglich des Internet Guards bin ich voll bei [...]

Konkret in Bezug auf den in diesem Thread diskutierten Fall hast du nun nichts geschrieben.


 

Ist mir auch aufgefallen.

Aber er hat ja auch geschrieben, dass er sich auf die Verschwörungstheorien freut. Folglich wäre es inkonsequent, das Aufkommen von Verschwörungstheorien durch Transparenz zu bekämpfen. Damit würde GuidoT ja gegen seine eigene Freude agieren. Da will ja keiner.

 

Ausserdem ist "Security through obscurity" bekanntlich seit jeher ein Erfolgsmodell in der IT 😉

 

 

@Lukasb1

Kann deinen Unmut verstehen. Möglicherweise kann jemand mit Zugang zu den entsprechenden Informationen (also eher nicht die Hotline) dir (oder einer berechtigten Person bei der Firma für die du hier arbeitest) ja die Hintergründe erläutern, sofern dies aus irgendwelchen Gründen hier in der Öffentlichkeit nicht möglich sein sollte. (Wäre ja z.B. denkbar, dass mit dem Server tatsächlich was nicht gestimmt hat. Who knows. Wir hier im Forum jedenfalls nicht.)

 

Was ich nicht verstehe, ist, dass du bis Ende 2018 gebraucht hast um zu merken, dass man vielleicht nicht jedem "Swisscom empfehlen und verkaufen" sollte. Gibt ja für viele Bedürfnisse durchaus valable Alternativen 😉
(Aber ich habe dieses ganze Provisionsschinderbusiness eh noch nie verstanden. Hier in der Nähe gibt es einen "Tech" Laden, der dreht jeder Oma die da reinläuft ein Abo desjenigen Anbieters an, bei dem sie nicht ist. Ein, zwei Jahre später wird dann wieder zurückgewechselt, so gibts wieder Provision.)

Editiert
PowerMac
Super User
35 von 40

Ich habe ja durchaus Verständnis, dass man sicherheitsrelevante Dinge nicht ins letzte Detail öffentlich breitschlägt. Aber zumindest ein paar simple Aussagen müssten im Interesse der Transparenz und Vertrauensförderung schon noch drinliegen:

  • War das nun ein False Positive oder nicht?
  • Wieso meinten die Supporter, dass keine Blacklistung bestehe, obwohl dies offensichtlich der Fall war?
  • Wieso wurde die Blacklistung anscheinend zweimal innerhalb kürzester Zeit nach Posten hier im Forum aufgehoben?

Bestimmt ist es möglich, diese Fragen zu beantworten ohne dabei kritische Details zu verraten. Und egal wie die Antworten auf die obigen Antworten ausfallen, es wäre immer noch besser als aus "Sicherheitsgründen" nichts zu sagen. Zu welchem Unmut das führt, wird ja bereits jetzt deutlich...

have you tried turning it off and on again?
have you tried turning it off and on again?
Editiert
Lukasb1
Level 2
36 von 40

Die Umgebung wird von mir betreut. Ausser dass ich da auf dem Testserver noch SSL3 am Freitag deaktiviert habe wurde hier nichts verändert. Zudem habe ich ebene schon mehrere Wochen versucht über den Support und diverse Formulare (Wurde hier auch verlinkt) das Problem zu beheben. Da ich keinen Grund sah weshalb da etwas mit meiner Umgebung nicht stimmen sollte und die Domäne auch nicht auf der Blacklist war laut Swisscom Support, habe ich ausschließlich versucht über Swisscom das Problem zu beheben. Bei diesem Phänomen wäre ich da nie auf den Gedanken gekommen, dass mit meiner Umgebung etwas nicht stimmen würde. Zumal hier über die Domäne eigentlich dieselben Dienste identisch zu anderem Firmen erreichbar sind.

 

Ist einfach schon lustig, zwei Wochen versucht über Support und Formulare und dann genau 2 Stunden nach meinem ersten Post wird das Problem vorübergehend behoben. Gestern bestand dann das Problem wieder, da habe ich erneut das Formular zum entsperren abgeschickt, aber kann ich glauben dass es aufgrund von dem wieder funktioniert hat. Denn es hat zwei Minuten nach dem Abschicken des Formulars wieder funktioniert, so schnell wird Swisscom kaum eine Seite entsperren zumal ich dies schon früher Erfolglos versucht habe.

 

Ja dass ich jedem Swisscom verkaufe ist vielleicht etwas übertrieben. Wir haben Kunden mit allem möglichen Anbietern, denn meist hat dieser da seine eigenen Vorstellungen. Jedoch wenn es um Zuverlässigkeit ging, war da Swisscom immer mein Favorit. Schliesslich baut die Swisscom ja auf diesem Ruf auf, sonst müssten Sie mit den Preisen auch runter. Durch die diversen gröberen Voip Probleme (Die Swisscom nach wie vor nicht im Griff hat -- Bei Business Kunden wurde hier einfach als Workaround der G729 Codec entfernt ohne die Kunden zu informieren dass dieser auf der Telefonanlage raus muss - Also keine Lösung sondern Workaround) hab ich das Vertrauen hier in Swisscom jedoch nach und nach verloren. Nach diesem Schlamassel bei dem ich auch die Grenzen des von mir als sehr gut beurteilten Supports erfahren musste, hab ich das Vertrauen nun Endgültig verloren. Somit kann Swisscom bei mir nicht mehr mit Zuverlässigkeit punkten und die Produkte stehen so in Konkurrenz zu anderen günstigeren Angeboten welche halt auch in diesen Punkten nicht gut sind. Also weshalb sollte ich für Swisscom mehr aussgeben wenn ich nicht von einer zuverlässigeren Lösung ausgehen kann als die günstigere Konkurrenz.  Da gibt es sogar gerade in Voip wesentlich günstigere Provider welche die Umgebung wesentlich besser im Griff haben.

Hätte vermutlich noch besser ausgehen wenn Swisscom dazu nichts geschrieben hätte, aber wie die Swisscom sagt "Weniger ist manchmal mehr" dies sollte man dann aber auch konsequent durchsetzen.

 

Noch zum onTopic Thema Voip (wenn da sich die Swisscom in dieser Diskussion dafür schon so lobt)

Werde den Thread vermutlich mal veröffentlichen, jedoch ohne die Nennung des Kunden, sondern die allgemeine Sicherheitspolitik in Voip. Das zurückfahren der Sicherheitsmechanismen am Wochenende und in der Nacht ist jedoch ein globales Problem, dies wird Weltweit von den Providern so gehandhabt. Weshalb ist mir schleierhaft.  Aber da gäbe es noch einiges zu diskutieren und Fragen die so manche Firmen mit Voip im Einsatz noch interessieren würde. Da kann es nämlich verdammt schnell gehen und die Rechnung steigt von so 500 Fr pro Monat durchschnittlich plötzlich auf zig 10000 Franken.

 

 

 

 

Anonym
37 von 40

Hi

Ich habe es anschauen lassen. Es ist alles soweit korrekt gelaufen. Ich werde @Lukasb1 noch ein paar mehr Infos per PN geben, die nicht in die Allgemeinheit gehören.

Wir werden den Support noch weiter schulen, damit die richtigen Aussagern getroffen werden.

Guido

lukasb
Level 1
38 von 40

Ich möchte dieses Thema nochmals aufgreifen (Leider unter einem anderen Swisscom Login). Vor einem halben Jahr habe ich die Nachricht bekommen, dass ich Malware auf der Seite hatte. Lustigerweise waren die dann laut Swisscom mehrmals gelöscht worden und wieder gekommen.

Ich glaube aber nach wie vor nicht dass ich Malware auf dem Server hatte und wenn diese gelöscht wurden, hätte ich dies machen müssen.

Jetzt ein halbes Jahr später wurde die Domäne wieder wegen Malware blockiert. Lustigerweise diesmal nur "vpn.gebr-gentile.ch" aber nicht "voip.gebr-gentile.ch" was auf die gleiche IP Adresse verweist. Und wiederum kann ich auf alles mit Spezial Ports über vpn.gebr.gentile.ch nicht zugreifen. Der Support kann nach wie vor nichts machen, und da ich keine Anhang habe wo diese Malware denn sein soll (Ich finde ja keine), kann ich auch nichts machen.

Vor einem halben Jahr bin ich da fast durchgedreht und hatte einen Zeitaufwand von etwa 20000 Fr., dass ich dem Kunden hätte verrechnen müssen. Jetzt ist wieder der gleiche Scheiss und Swisscom verweist mich wiedermal aufs Entsperrungsformular, wo dann keine Antwort kommt.

Gibt es da wirklich niemand der hier das gleiche Problem auch schon hatte? Ich weiss definitiv nicht mehr was machen. Bei Nau.ch gab es mal einen Artikel, dass Swisscom so die Netzneutralität einschränkt. Dies wurde von Swisscom gekontert, dass der Benutzer eine Meldung bekommt die er ignorieren kann. Dies stimmt jedoch nicht, denn auf die Websites mit einem anderen Ports als den Standard (80), komme ich einfach nicht mehr drauf.

Dass hier also alles wie der letzte Beitrag von Guido korrekt verlaufen ist glaube ich immer noch nicht. Hier ist man der Swisscom einfach machtlos ausgeliefert.

 

Nachtrag:

Jetzt habe ich doch noch von Swisscom aufs Formlar eine Antwort bekommen wo Sie auf Virustotal verweisen. Das kann ich aber nicht ernst nehmen, denn wie gesagt die Domänen vpn.gebr-gentile.ch und voip.gebr-gentile.ch verweise auf die gleiche IP, aber bei Virustotal habe ich trotzdem unterschiedliche Ausgaben:

https://www.virustotal.com/#/url/c65e1132d84b586a0d2c05393fc267d0b89543c6107ec623650654d7298a53ff/de...

 

https://www.virustotal.com/#/url/4cfed769b37813d8534361dd180685f8ebc4bb62499b82f72ebdfd4ba6c16300/de...

 

 Und dann direkt auf die IP gibts dann gar kein Virus mehr, aha:
https://www.virustotal.com/#/url/d973ee23e9b3907261dd54541bab4516cf7492651bd07ef47cee747c474c1bf7/de...

 

Lukas

Editiert
Anonym
39 von 40

In Deutschland wurde kürzlich erfolgreich gegen die Telekom Strafanzeige wegen Datenveränderung gestellt, weil sie DNS-Abfragen manipuliert haben. Vielleicht wäre das in der Schweiz auch erfolgsversprechend?

https://www.elookon.de/artikel/wie-die-telekom-mit-unserem-vertrauen-spielt#C-12

PowerMac
Super User
40 von 40

Dass Virustotal.com verschiedene Ergebnisse listet liegt daran, dass http://vpn.gebr-gentile.ch/, http://voip.gebr-gentile.ch/ und http://62.2.200.250/ drei völlig unterschiedliche URLs sind und entsprechend separat geblack-/whitelistet werden. Für dich bzw. den Domainowner ist das eigentlich nur ein Vorteil, da es den angerichteten Schaden etwas begrenzt.

Die Listung auf (gem. Virustotal.com) bis zu 5 verschiedenen Blacklist ist mit Sicherheit kein Versehen. Irgendwas muss faul sein auf dem Server. Überfliege die Serverlogfiles einmal nach verdächtig aussehenden Requests, evt. bekommst du dadurch noch einen Hinweis. Auch wenn du nichts finden kannst, muss das noch nicht heissen dass nichts vorhanden ist; spätestens wenn du nicht mehr weiter kommst, lohnt sich der Beizug eines Experten. Der dürfte deutlich weniger kosten als der von dir angegebene Einkommensverlust, und die Kosten werden von einer allenfalls abgeschlossenen Cyberversicherung i.d.R. sogar übernommen.

have you tried turning it off and on again?
have you tried turning it off and on again?
Nach oben