01.07.2014 | 09:49

Adam Haertle

Microsoft przejął kontrolę nad ponad 4 milionami domen naraz

Jedna z metod walki z botnetami jest przejmowanie domen, używanych przez serwery C&C. Czy jednak przejęcie głównego adresu wielkiego dostawcy dynamicznych domen, obsługującego kilka milionów adresów, nie jest lekką przesadą?

Wczoraj wieczorem, na podstawie postanowienia amerykańskiego sądu, Microsoft przejął kontrolę nad domeną no-ip.com (oraz ponad 20 innymi adresami tej firmy), obsługującą ponad 4 miliony subdomen. Wszystko to w imię walki z dwoma botnetami, które wykorzystywały ok. 2000 aktywnych adresów z domeny no-ip.com.

Masowe przejęcie

Jako pierwszy zaskakującą zmianę właściciela domen zauważył wczoraj wieczorem bloger Dynamoo. Krótko potem Microsoft wydał oficjalne oświadczenie w tej sprawie. Wg giganta w całej aferze chodziło głównie o walkę z dwoma botnetami – Jenxcus oraz Bladabindi. Jeśli o nich nie słyszeliście, to pewnie dlatego, że nie trafiały na pierwsze strony portali. Microsoft twierdzi, że w zeszłym roku trafił na łącznie ponad 7 milionów infekcji spowodowanych przez te robaki. Sądząc po poniższej mapie infekcji Polska nie była głównym celem przestępców.

Mapa infekcji

Mapa infekcji

Tym razem jednak nie mieliśmy do czynienia z jednolitą strukturą botnetów, ponieważ były one bardzo szeroko dystrybuowane wraz z instrukcjami „dla opornych”, jak skonfigurować swoją własną wersję. Większość z nich korzystała z usługi dynamicznej adresacji DNS oferowanej pod adresem no-ip.com. Według Microsoftu w domenie no-ip.com znajdowało się około 18 tysięcy subdomen, wykorzystywanych przez te dwa botnety. Microsoft twierdził również, że dostawca usługi nie współpracował z organami ścigania, zatem sąd wydał postanowienie zezwalające Microsoftowi na przejęcie wszystkich domen tego operatora.

Kontrowersje

Taki ruch nie mógł pozostać bez echa. Operator domeny no-ip.com wydał oświadczenie, w którym informuje, że nigdy nie odmawiał współpracy w zakresie ścigania nadużyć (potwierdza to m. in. przedstawiciel CrowdStrike). O żądaniu Microsoftu firma rzekomo dowiedziała się dopiero z postanowienia sądu, wręczonego o 7 rano prezesowi firmy w jego prywatnym domu.

Informuje także, że w momencie przejęcia jego domen przez Microsoft tylko 2 tysiące z 18 tysięcy adresów wskazanych przez Microsoft było nadal aktywnych. jednocześnie informuje, że oprócz 2 tysięcy złośliwych adresów obsługiwał także ponad 4 miliony domen, których użytkownicy nie mieli złych intencji, a po prostu chcieli uruchomić swoją domową kamerę lub VPN pod stałym adresem domenowym. Co istotne, infrastruktura przygotowana przez Microsoft najwyraźniej ma problem z obsługa tak ogromnej ilości żądań DNS, ponieważ adresy w domenie no-ip.com były niedostępne. Microsoft co prawda obiecywał, że wszystkie „legalne” żądania obsłuży przesyłając do oryginalnych serwerów, jednak najwyraźniej nie do końca poradził sobie z tym zadaniem.

Kontrowersje – część druga

O ile dotychczas przejmowanie domen, pod którymi funkcjonowały serwery C&C botnetów nie budziło sprzeciwu internautów, to tym razem firma posunęła się nie o krok, a kilka kroków dalej. Domeny, które przejęła, były wykorzystywane w ogromnej większości do legalnych celów. Znajdując analogię można wskazać na potrzebę przejęcia domeny Outlook.com w przypadku, gdyby ze znajdujących się w niej skrzynek rozsyłany byłby spam.

Samo przejęcie domen także jest operacją dość kontrowersyjną. Burzę w sieci wokół tego incydentu możecie śledzić pod tymi dwoma linkami. O ile na gruncie amerykańskiego prawa najwyraźniej takie operacje nie sprawiają problemów, o tyle w Polsce do tej pory tylko CERT Polska podjął wyzwanie i przeprowadził dwie takie akcje. Apetyt Microsoftu na walkę z botnetami wydaje się nie mieć granic, nawet za cenę przypadkowych ofiar. Kto będzie następny? Na razie operator no-ip.com rozważa kroki prawne przeciwko Microsoftowi.

PS. Skutki działań Microsoftu dobrze widać na podesłanym przez Kamila (dzięki!) wykresie liczby graczy korzystających z prywatnych serwerów Tibii, używających często domeny no-ip.com. Spadek zaczyna się wczoraj ok. godziny 22, dopiero dzisiaj od ok. południa można zauważyć poprawę sytuacji.

Powrót

Komentarze

  • 2014.07.01 10:14 Dawid

    „Microsoft twierdził również, że dostawca usługi nie współpracował z organami ścigania, zatem sąd wydał postanowienie zezwalające Microsoftowi na przejęcie wszystkich domen tego operatora.”
    Wynika z tego, że Microsoft współpracuje z organami ścigania w 100% :D W sumie to jakoś się to wpisuje w popularny wizerunek tej firmy.

    Odpowiedz
  • 2014.07.01 11:38 do mnmnc

    Ja się cały czas nie mogę połączyć…

    Odpowiedz
  • 2014.07.01 12:04 krzyszp

    Również mam problemy – na trzy wykorzystywane przeze mnie adresy, dwa nie działają.
    Co gorsza, powoduje to wymierne straty dla mnie, gdyż tę usługę wykorzystywałem do uzyskania zdalnej synchronizacji plików w jednym z przypadków, co zmusza mnie teraz do szukania zamiennika…

    Odpowiedz
  • 2014.07.01 12:36 Kamil

    Może to głupi przykład, ale dokładnie widać jakie straty ponoszą ludzie na stronie otservlist.org jest to lista prywatnych serwerów gry Tibia. Większość z tych serwerów działała na no-ip. Jest tam zestawienie wszystkich serwerów. Zazwyczaj na wszystkich serwerach było około 30tyś graczy, a dziś mamy jedynie 11tyś.
    Tutaj można zobaczyć wykres z innej listy na którym widać jak ilość graczy drastycznie spadła: http://otslist.eu/stats.php?id=all

    Odpowiedz
  • 2014.07.01 13:07 Adam

    O, rząd chciał przeprowadzić jakieś nie do końca legalne działania, skoro najpierw tworzą botnet, a potem w ramach „walki z botnetem” robią takie dziwne rzeczy. Coś jest na rzeczy. ;)

    Odpowiedz
  • 2014.07.01 20:01 spamspam

    Tytuł pudelkowy, raczej powinno być subdomen no-ip.com

    Odpowiedz
  • 2014.07.01 20:42 Patryk

    Może microsoft zrobił coś „nagannego” ale jestem mu za to wdzięczny. Przejmując no-ip mocno podważył wizerunki konkurencyjnych do mojego serwerów, na czym sporo zyskałem.

    GOD BLESS MICROSOFT ;D

    Odpowiedz
    • 2014.07.03 09:32 Kamil

      Co za serwer masz?
      Powiem szczerze że od razu pomyślałem o tym że szkoda że nie mam serwera postawionego akurat pewnej gierki.

      Odpowiedz
    • 2014.07.06 02:35 adrb

      Nie masz się z czego cieszyć, dziś oni, jutro Ty ;]

      Odpowiedz
  • 2014.07.02 12:57 Przemek

    Mapa infekcji z grubsza odpowiada mapie dostępności graczy w ghostsy ;)

    Odpowiedz

Zostaw odpowiedź do Adam

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Microsoft przejął kontrolę nad ponad 4 milionami domen naraz

Komentarze