Microsoft przejął kontrolę nad ponad 4 milionami domen naraz
Jedna z metod walki z botnetami jest przejmowanie domen, używanych przez serwery C&C. Czy jednak przejęcie głównego adresu wielkiego dostawcy dynamicznych domen, obsługującego kilka milionów adresów, nie jest lekką przesadą?
Wczoraj wieczorem, na podstawie postanowienia amerykańskiego sądu, Microsoft przejął kontrolę nad domeną no-ip.com (oraz ponad 20 innymi adresami tej firmy), obsługującą ponad 4 miliony subdomen. Wszystko to w imię walki z dwoma botnetami, które wykorzystywały ok. 2000 aktywnych adresów z domeny no-ip.com.
Masowe przejęcie
Jako pierwszy zaskakującą zmianę właściciela domen zauważył wczoraj wieczorem bloger Dynamoo. Krótko potem Microsoft wydał oficjalne oświadczenie w tej sprawie. Wg giganta w całej aferze chodziło głównie o walkę z dwoma botnetami – Jenxcus oraz Bladabindi. Jeśli o nich nie słyszeliście, to pewnie dlatego, że nie trafiały na pierwsze strony portali. Microsoft twierdzi, że w zeszłym roku trafił na łącznie ponad 7 milionów infekcji spowodowanych przez te robaki. Sądząc po poniższej mapie infekcji Polska nie była głównym celem przestępców.
Mapa infekcji
Tym razem jednak nie mieliśmy do czynienia z jednolitą strukturą botnetów, ponieważ były one bardzo szeroko dystrybuowane wraz z instrukcjami „dla opornych”, jak skonfigurować swoją własną wersję. Większość z nich korzystała z usługi dynamicznej adresacji DNS oferowanej pod adresem no-ip.com. Według Microsoftu w domenie no-ip.com znajdowało się około 18 tysięcy subdomen, wykorzystywanych przez te dwa botnety. Microsoft twierdził również, że dostawca usługi nie współpracował z organami ścigania, zatem sąd wydał postanowienie zezwalające Microsoftowi na przejęcie wszystkich domen tego operatora.
Kontrowersje
Taki ruch nie mógł pozostać bez echa. Operator domeny no-ip.com wydał oświadczenie, w którym informuje, że nigdy nie odmawiał współpracy w zakresie ścigania nadużyć (potwierdza to m. in. przedstawiciel CrowdStrike). O żądaniu Microsoftu firma rzekomo dowiedziała się dopiero z postanowienia sądu, wręczonego o 7 rano prezesowi firmy w jego prywatnym domu.
Informuje także, że w momencie przejęcia jego domen przez Microsoft tylko 2 tysiące z 18 tysięcy adresów wskazanych przez Microsoft było nadal aktywnych. jednocześnie informuje, że oprócz 2 tysięcy złośliwych adresów obsługiwał także ponad 4 miliony domen, których użytkownicy nie mieli złych intencji, a po prostu chcieli uruchomić swoją domową kamerę lub VPN pod stałym adresem domenowym. Co istotne, infrastruktura przygotowana przez Microsoft najwyraźniej ma problem z obsługa tak ogromnej ilości żądań DNS, ponieważ adresy w domenie no-ip.com były niedostępne. Microsoft co prawda obiecywał, że wszystkie „legalne” żądania obsłuży przesyłając do oryginalnych serwerów, jednak najwyraźniej nie do końca poradził sobie z tym zadaniem.
Kontrowersje – część druga
O ile dotychczas przejmowanie domen, pod którymi funkcjonowały serwery C&C botnetów nie budziło sprzeciwu internautów, to tym razem firma posunęła się nie o krok, a kilka kroków dalej. Domeny, które przejęła, były wykorzystywane w ogromnej większości do legalnych celów. Znajdując analogię można wskazać na potrzebę przejęcia domeny Outlook.com w przypadku, gdyby ze znajdujących się w niej skrzynek rozsyłany byłby spam.
Samo przejęcie domen także jest operacją dość kontrowersyjną. Burzę w sieci wokół tego incydentu możecie śledzić pod tymi dwoma linkami. O ile na gruncie amerykańskiego prawa najwyraźniej takie operacje nie sprawiają problemów, o tyle w Polsce do tej pory tylko CERT Polska podjął wyzwanie i przeprowadził dwie takie akcje. Apetyt Microsoftu na walkę z botnetami wydaje się nie mieć granic, nawet za cenę przypadkowych ofiar. Kto będzie następny? Na razie operator no-ip.com rozważa kroki prawne przeciwko Microsoftowi.
PS. Skutki działań Microsoftu dobrze widać na podesłanym przez Kamila (dzięki!) wykresie liczby graczy korzystających z prywatnych serwerów Tibii, używających często domeny no-ip.com. Spadek zaczyna się wczoraj ok. godziny 22, dopiero dzisiaj od ok. południa można zauważyć poprawę sytuacji.
Podobne wpisy
- Ruch operatorów płatności skradziony na serwery w okupowanej Ukrainie
- Wyjaśniamy DNS Rebinding, czyli jak można było zhakować setki milionów komputerów
- Własny serwer DNS – to nie takie straszne ani trudne jak się wydaje
- Jak działa i wygląda rejestr stron hazardowych, który rusza już za miesiąc
- Jak skutecznie, bezpiecznie i bez roota zablokować reklamy na komórce (i nie tylko)
„Microsoft twierdził również, że dostawca usługi nie współpracował z organami ścigania, zatem sąd wydał postanowienie zezwalające Microsoftowi na przejęcie wszystkich domen tego operatora.”
Wynika z tego, że Microsoft współpracuje z organami ścigania w 100% :D W sumie to jakoś się to wpisuje w popularny wizerunek tej firmy.
Ja się cały czas nie mogę połączyć…
Również mam problemy – na trzy wykorzystywane przeze mnie adresy, dwa nie działają.
Co gorsza, powoduje to wymierne straty dla mnie, gdyż tę usługę wykorzystywałem do uzyskania zdalnej synchronizacji plików w jednym z przypadków, co zmusza mnie teraz do szukania zamiennika…
Może to głupi przykład, ale dokładnie widać jakie straty ponoszą ludzie na stronie otservlist.org jest to lista prywatnych serwerów gry Tibia. Większość z tych serwerów działała na no-ip. Jest tam zestawienie wszystkich serwerów. Zazwyczaj na wszystkich serwerach było około 30tyś graczy, a dziś mamy jedynie 11tyś.
Tutaj można zobaczyć wykres z innej listy na którym widać jak ilość graczy drastycznie spadła: http://otslist.eu/stats.php?id=all
O, rząd chciał przeprowadzić jakieś nie do końca legalne działania, skoro najpierw tworzą botnet, a potem w ramach „walki z botnetem” robią takie dziwne rzeczy. Coś jest na rzeczy. ;)
Tytuł pudelkowy, raczej powinno być subdomen no-ip.com
Może microsoft zrobił coś „nagannego” ale jestem mu za to wdzięczny. Przejmując no-ip mocno podważył wizerunki konkurencyjnych do mojego serwerów, na czym sporo zyskałem.
GOD BLESS MICROSOFT ;D
Co za serwer masz?
Powiem szczerze że od razu pomyślałem o tym że szkoda że nie mam serwera postawionego akurat pewnej gierki.
Nie masz się z czego cieszyć, dziś oni, jutro Ty ;]
Mapa infekcji z grubsza odpowiada mapie dostępności graczy w ghostsy ;)