image

Miljoenen websites offline door Microsoft-actie

dinsdag 1 juli 2014, 11:26 door Redactie, 17 reacties

Een actie die Microsoft tegen twee malware-families uitvoerde heeft ervoor gezorgd dat 4 miljoen legitieme websites offline zijn. Dat beweert No-IP.com, het bedrijf dat doelwit van Microsofts actie was. Microsoft voerde recent een operatie tegen de Jenxcus en Bladabindi-malware uit.

Wereldwijd zou deze malware zeker 7,5 miljoen computers hebben besmet. Microsoft zag dat bijna alle communicatie van de aanvallers met de besmette computers via de domeinen van DDNS-aanbieder No-IP.com liep. Via een DDNS-aanbieder is het mogelijk om een IP-adres aan een domein te koppelen. IP-camera's maken hier bijvoorbeeld gebruik van.

Door het gebruik van een DDNS-dienst zorgden de makers van de malware ervoor dat de besmette computers altijd verbinding met de controleserver van de aanvallers konden maken. In het geval van NoIP.com beschikt het bedrijf over tientallen domeinen. Gebruikers van de dienst kunnen vervolgens gratis subdomeinen registreren, zoals subdomein1.no-ip.com.

Rechter

Microsoft stapte naar de rechter en maakte gebruik van Ex Parte, waarbij de rechter het bewijs van één partij aanhoort. De softwaregigant liet de rechter weten dat de mensen achter de twee malware-families meer dan 18.400 subdomeinen van No-IP.com gebruikten. De rechter accepteerde het verzoek van Microsoft en maakte de softwaregigant op 26 juni de DNS-autoriteit van 22 No-IP-domeinen. Dit zijn bijna alle domeinen die No-IP.com voor de eigen dienstverlening gebruikt.

Het was de bedoeling dat Microsoft het verkeer van 18.400 subdomeinen zou filteren, zodat het onschuldige verkeer naar de rechtmatige bestemming kon gaan. Dat was echter niet wat er gebeurde. Volgens No-IP.com zou de Microsoft-infrastructuur de grote hoeveelheid verzoeken niet aankunnen, waardoor nu miljoenen gebruikers de dupe zijn.

"Als Microsoft ons had benaderd, hadden we direct actie kunnen ondernemen. Microsoft beweert dat het alleen wilde dat we onze zaken op orde zouden krijgen, maar de draconische acties hebben miljoenen onschuldige internetgebruikers gedupeerd", zo laat No-IP in een verklaring op het eigen blog weten.

Tegenover IT-journalist Brian Krebs stelt een woordvoerster dat van de 18.400 subdomeinen van No-IP.com die door de malware werden gebruikt, er iets meer dan 2.000 afgelopen maandag nog actief waren. Door de actie van Microsoft zouden in ieder geval 4 miljoen legitieme domeinen nog altijd offline zijn. "Niemand profiteert van dit hardhandige optreden van Microsoft", aldus NoIP.com, dat zegt de situatie zo snel als mogelijk te willen oplossen.

Reacties (17)
01-07-2014, 11:56 door PietdeVries
Miljoenen websites onbereikbaar? Als dat allemaal websites zijn die gebruik maakten van NO-IP diensten, en dus achter een dynamisch IP adres zaten, dan denk ik dat het aantal bezoekers van die sites wel mee zal vallen. Als je een beetje bezoekers wilt trekken, dan zorg je dat je DNS resolution, etc op orde is, en gebruik je geen pietjepuk.no-ip.biz voor je site...
01-07-2014, 12:16 door Anoniem
Door PietdeVries: Miljoenen websites onbereikbaar? Als dat allemaal websites zijn die gebruik maakten van NO-IP diensten, en dus achter een dynamisch IP adres zaten, dan denk ik dat het aantal bezoekers van die sites wel mee zal vallen. Als je een beetje bezoekers wilt trekken, dan zorg je dat je DNS resolution, etc op orde is, en gebruik je geen pietjepuk.no-ip.biz voor je site...

+1 maar je moet dus wel ea afweten van de impact van zo een change ..best heftige impact imho
01-07-2014, 12:38 door Anoniem
Als je een beetje bezoekers wilt trekken, dan zorg je dat je DNS resolution, etc op orde is, en gebruik je geen pietjepuk.no-ip.biz voor je site...

Dat dacht ik er toch ook van ...

Hadden ze meer te verbergen misschien de No-IP'ers?
01-07-2014, 12:47 door Anoniem
Ik heb al tijden een registratie lopen bij no-ip voor mogelijk gebruik in de toekomst, en iets uit het verleden.
Kan bevestigen dat mijn domein ook niet meer bereikbaar is, nslookup werkt niet en heel no-ip.info lijkt geen gegevens meer te hebben..
01-07-2014, 13:22 door Anoniem
Door PietdeVries: Miljoenen websites onbereikbaar? Als dat allemaal websites zijn die gebruik maakten van NO-IP diensten, en dus achter een dynamisch IP adres zaten, dan denk ik dat het aantal bezoekers van die sites wel mee zal vallen. Als je een beetje bezoekers wilt trekken, dan zorg je dat je DNS resolution, etc op orde is, en gebruik je geen pietjepuk.no-ip.biz voor je site...

Dynamic DNS is voor velen een noodzaak en geen keuze. Verder valt dit onder de noemer "blame the victim" en is dus ongepast.
01-07-2014, 13:33 door RizzoRat
Ach ja, Microsoft weer. (diepe zucht)
01-07-2014, 14:39 door Anoniem
noip.com of no-ip.com ?
Welke is het?
01-07-2014, 14:50 door [Account Verwijderd]
[Verwijderd]
01-07-2014, 15:01 door Briolet
Ik gebruik al jaren het subdomein ***.serveblog.net van No-IP voor mijn thuis-nas. Ik heb op dat domein niets van uitval gemerkt.
01-07-2014, 16:04 door Anoniem
Het is toch compleet belachelijk dat ze dit kunnen, ik betaal al jaren voor mijn no-ip account. Nu zijn mijn servers niet meer voor iedereen bereikbaar. Ik kan er zelf prima bij sommige mensen dus niet.

Hoe lang zou het duren voordat iedereen er weer bij kan vraag ik mij af. Anders heb ik wat werk voor de boeg..
01-07-2014, 16:07 door Anoniem
Door Rizzorat: Ach ja, Microsoft weer. (diepe zucht)

Maar je zou ook kunnen zeggen: no-ip, weer zo'n Internet-dienstverlener die wel veel geld verdient maar totaal niet zijn best doet om het ecosysteem te beschermen.

De data op basis waarvan de domeinen nu zijn overgenomen was al tijden lang publiek. En wat is no-ip's verdediging: we hoorden er vanochtend pas van. Ja, dat krijg je, als je werk niet doet.

Is dit de beste manier om dingen aan te pakken? Zonder meer een discussie waard. En als iemand een betere oplossing weet: sta op en doe iets...
01-07-2014, 17:47 door Anoniem
@Door Anoniem 16:07

Als je provider je afsluit ben je beschermt tegen het boze Internet. Goed plan toch? Werkt perfect. Gaan we meteen doen, als je een beter plan hebt horen we het wel.
01-07-2014, 18:23 door Anoniem
Door Anoniem:
Door Rizzorat: Ach ja, Microsoft weer. (diepe zucht)

Maar je zou ook kunnen zeggen: no-ip, weer zo'n Internet-dienstverlener die wel veel geld verdient maar totaal niet zijn best doet om het ecosysteem te beschermen.

Waar baseer je dat op? Volgens de berichten gooien ze regelmatig domeinen en accounts dicht als die misbruikt worden.

De data op basis waarvan de domeinen nu zijn overgenomen was al tijden lang publiek. En wat is no-ip's verdediging: we hoorden er vanochtend pas van. Ja, dat krijg je, als je werk niet doet.

Als iets publiek is, wil dat niet zeggen dat iedereen in het publiek hiervan op de hoogte is. Zeker niet bij malware, waar iedere dat nieuwe domeinen worden geregistreerd. Zelfs grote anti-malware bedrijven hebben het moeilijk om die domeinen te achterhalen.

Ik heb het ook met bijvoorbeeld pastebin. Ik krijg daar dagelijks mailtjes van dat mijn domeinen genoemd worden. Als ik dan ga kijken is dat in 99% van de gevallen een false positive. In het begin keek ik binnen enkele minuten na de mail op pastebin, maar nu draai ik me 's nachts nog een keer om en kijk de volgende dag wel. Dat krijg je bij het publiek melden van problemen. Veel daarvan is vals.

Is dit de beste manier om dingen aan te pakken? Zonder meer een discussie waard. En als iemand een betere oplossing weet: sta op en doe iets...

Het probleem is dat Microsoft al vaker met de botte bijl aan het hakken geweest in een poging hun rommel op te ruimen. Daar lijken ze niets van geleerd te hebben.

Peter
01-07-2014, 18:31 door Anoniem
Zoals je zelf al zegt was die data blijkbaar bekend, dus ze hadden als ze dan toch de infrastructuur overnamen ook wel ervoor kunnen zorgen dat alle normale gebruikers er geen last van hadden gehad. Maar ze hebben de technische kant weer eens zwaar onderschat (niet de eerste keer, overigens), en daardoor zijn er vele gebruikers onterecht benadeeld. Dit zullen meestal de kleinere gebruikers zijn (een beetje bedrijf zal zijn dingen zelf geregeld hebben), die nu waarschijnlijk niet het idee hebben dat ze er ook maar iets aan kunnen doen.

Dus nee, dit is verre van de beste manier op zoiets aan te pakken; het schept een gevaarlijk precedent, en ik ben heel benieuwd of er nog schade verhaald gaat worden. Het is al gekscherend geopperd ergens, maar alles van Microsoft per direct geforceerd uitzetten omdat er veel botnetclients op windows draaien is eigenlijk helemaal niet zo verschillend van deze 'oplossing'. Er zijn ook wel initiatieven die het een stuk beter aanpakken; ISC heeft destijds een dns-resolver based malware netwerk overgenomen (in samenwerking met de FBI), en zijn hebben *heel* goed opgelet of er geen onnodige slachtoffers vielen.
01-07-2014, 19:56 door Anoniem
Wat is het volgende? Een frisdrankfabrikant die controle over een waterleidingbedrijf krijgt omdat ze monstertjes hebben genomen en bacterien vonden? Of een luchtvaartmaatschappij die het beheer van de spoorwegen krijgt toegewezen omdat de railbeheerder onvoldoende kan voorkomen dat personen voor de trein stappen? Kompleet krankzinnig dat een rechter een private onderneming met winstoogmerkt zoveel macht krijgt enkel omdat ze een securityhandeltje zijn begonnen. In Nederland moet je gelukkig bevoegd zijn om andermans eigendom het jouwe te maken - oh nee - een stichting kan hier ook gewoon laten afdwingen dat providers censuur toepassen.
01-07-2014, 21:18 door Anoniem


Maar je zou ook kunnen zeggen: no-ip, weer zo'n Internet-dienstverlener die wel veel geld verdient maar totaal niet zijn best doet om het ecosysteem te beschermen.

De data op basis waarvan de domeinen nu zijn overgenomen was al tijden lang publiek. En wat is no-ip's verdediging: we hoorden er vanochtend pas van. Ja, dat krijg je, als je werk niet doet.

Inderdaad, en voor degene die offline zijn, was gratis, had je maar een betere leverancier moeten kiezen.
02-07-2014, 14:32 door Anoniem
Door Anoniem: Inderdaad, en voor degene die offline zijn, was gratis, had je maar een betere leverancier moeten kiezen.
Houd er rekening mee, dat particulieren die maar incidenteel een verbinding met hun eigen netwerk willen leggen, hier geen geld voor willen uitgeven. Is ook zinloos om te doen voor 1 to 3 keer per jaar. Maar wanneer die net nu iets MOETEN hebben, kunnen ze er niet bij. Fijn als dat inhoud, dat je van Mallorca een retourtje moet boeken om iets te regelen. En misschien is het inderdaad mogelijk om anderen te laten helpen, maar dan moet je wel iemand beschikbaar hebben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.