Microsoft haalt No-IP-domeinen offline vanwege malwaredistributie

botnetMicrosoft heeft maandag ruim twintig domeinen van No-IP, een veelgebruikte ddns-provider, offline laten halen, meldde Tweakers. No-IP biedt dynamische domeinnamen die volgens Microsoft veel gebruikt worden door de Bladabindi- en Jenxcus botnets. Met een ex parte temporary restraining order (TRO) heeft Microsoft het voor elkaar gekregen beheerder van 23 domeinnamen in beheer bij No-IP te worden, om zo de controle over die botnets over te kunnen nemen. Maar wacht even, sinds wanneer kan een private partij domeinnamen afpakken?

Hoewel Microsoft zich beroept op strafwetgeving, is het bevel gebaseerd op het civiele recht. De strafwet overtreden is ook onrechtmatig, oftewel daar mag je een schadeclaim over indienen. Kort gezegd dus: Microsoft en haar klanten lijden schade door het nalatig handelen van No-IP, en de nalatigheid volgt uit die strafrechtartikelen zoals computervredebreuk. En wie schade veroorzaakt, moet daarmee stoppen (en de schade vergoeden). Op zich niet heel bijzonder. In Nederland zou Microsoft een kort geding tegen No-IP beginnen.

Een TRO lijkt een beetje op ons kort geding: er is spoed en er moet nú een maatregel komen om het probleem op te lossen. Ons kort geding is echter een ‘echte’ rechtszaak, met hoor en wederhoor. Een TRO aanvraag is makkelijker te krijgen en de procedure is korter. Zeker als je deze ex parte aanvraagt: dan wordt de wederpartij niet eens gehoord. Dat is in Amerika te rechtvaardigen als er echte bloedspoed is, en rechters zijn er niet happig op dat te erkennen.

In de Microsoft-TRO werd genoeg bloedspoed ontwaard om deze toe te staan, zelfs zonder No-IP te horen. No-IP is daar best boos om: Microsoft zou haar nooit zelfs maar gebeld hebben, en hadden ze dat gedaan dan zou No-IP’s abuseafdeling meteen in actie zijn gekomen. Microsoft zegt dat ze No-IP wél gecontacteerd hebben en dat het bedrijf niets heeft gedaan. Een lastige welles/nietes (lees ook de comments bij het Tweakersartikel met vele gezichtspunten) waarbij ik geen idee heb wie er gelijk zou hebben.

Is de maatregel op zich gepast? Tsja. Als No-IP werkelijk niet adequaat reageert op de botnets bij haar klanten, en Microsoft (en diens klanten) lijden daar werkelijk schade door, dan komt er een moment dat dit een gepaste maatregel is. Botnetschade is serieus en een botnet tegenhouden lijkt me dan ook een goede grond voor juridische acties.

Het alternatief is natuurlijk No-IP dwingen zélf de domeinnamen te blokkeren of verkeer daarheen te filteren (wat Microsoft zelf nu doet). Ik denk dat in Nederland dat eerder opgelegd zou worden bij een kort geding. Het voelt logischer om de schadebeperkende maatregelen op te leggen aan de eigenaar van het spul. Alleen: wie kán dit het beste, Microsoft of No-IP? En wat te denken van het argument dat de domeinnaamhoster zou profiteren van de malware. Dan wil je zeker niet dat zij de opdracht krijgen te gaan filteren.

Wat vinden jullie? Had No-IP gedwongen moeten worden dit zelf te doen? Hoe had dit wél opgelost moeten worden?

Arnoud

22 reacties

  1. ‘Microsoft en klanten leidden schade’ door de domeinen onder controle van No-IP te laten. Maar alle normale klanten van No-IP en het bedrijf zelf leiden NU schade doordat Microsoft de dienstverlening van No-IP heeft stopgezet.

    Bovendien lijkt Microsoft mij in de ideale positie te zitten om haar klanten te beschermen; door leuke dingen in hun OS te doen. Deze maatregel lijkt mij dan ook onnodig en buitensporig.

    Juist door geen enkele mogelijkheid tot weerwoord te laten, is er een eenzijdig verhaal voor de rechter gelegd – daargelaten of No-IP wel of niet nalatig was. Daarom kan een ex-parte ook zo schadelijk zijn.

    . Oh ja, een antwoord op jouw afsluitende vraag; Het stilleggen van een complete dienst, omdat een (klein?) deel misbruikt wordt lijkt mij zeker een ongewenste situatie. Ja, de rechter had moeten eisen dat No-IP binnen (een specifieke) afzienbare tijd maatregelen zou nemen. Daar had dan als stok achter de deur de huidig uitgevoerde optie gezet kunnen worden.

    . Maar ik vind dit een leuke ingang voor een volgende rechtszaak; Ik leid schade doordat mensen in de openbare ruimte roken. Die schade komt door gebruik van sigaretten gemaakt door [merk]. Ik wil daarom de complete bedrijfsvoering van [merk] op me kunnen nemen. Wat ik ga doen? Ik stop de bedrijfsvoering, om de schade te stoppen. Rinse and repeat: andere merken, wapenindustrie, autoindustrie, etc.

    1. “Het stilleggen van een complete dienst, omdat een (klein?) deel misbruikt wordt lijkt mij zeker een ongewenste situatie.” – daar is ook geen sprake van: er zijn 23 domeinen, waarvandaan malware verspreid werd, platgelegd. Alle zoveel duizend andere domeinen zijn gewoon nog bereikbaar.

        1. Klopt. Mijn eigen no-ip domein is ook niet bereikbaar (nog steeds niet: dit heb ik net even getest), en ik ben echt geen malware-verspreider.

          F* you, microsoft! Zelfs nu ik jullie software van mijn computer heb verbannen, weten jullie me nog steeds boos te maken! Vertel me: wat kan ik nu nog doen om definitief van jullie af te zijn?

    2. Sorry reactie op de verkeerde plek geplaatst…

      In reactie op: Martijn2 juli 2014 @ 09:48| In reactie op: Alex Haan – 2 juli 2014 @ 08:47 “Het stilleggen van een complete dienst, omdat een (klein?) deel misbruikt wordt lijkt mij zeker een ongewenste situatie.” – daar is ook geen sprake van: er zijn 23 domeinen, waarvandaan malware verspreid werd, platgelegd. Alle zoveel duizend andere domeinen zijn gewoon nog bereikbaar.


      Weet je zeker dat je goed begrepen hebt hoe No-IP werkt? Iedere gebruiker krijgt namelijk niet een eigen domein, maar een subdomein. Met andere woorden, die 23 domeinen vertegenwoordigen duizenden, zo niet miljoenen, gebruikers. Ik weet zo even niet hoeveel domeinen No-IP precies gebruikt, maar het zijn er volgens mij hooguit enkel tientallen en niet duizenden.

      Overigens blijkt mijn zapto.org domein bij No-IP nog gewoon te resolven, dus blijkbaar ligt niet alles er uit. Neemt niet weg dat er mogelijk vele duizenden legitieme No-IP gebruikers direct schade ondervinden van dit juridische trucje van Microsoft. Wat mij betreft mag Microsoft dan ook volledig voor die schade opdraaien. Als ik de dief van mijn fiets wil pakken, dan mag ik toch ook niet de hele stad af zetten?

      Er is overigens nog een ander aspect aan dit verhaal waar ik nog niet veel aandacht aan besteed zie worden. Microsoft mag dan misschien primair achter de uitschakeling van de mallware aan zitten, maar volgens mij kan het bedrijf nu het de domeinen in beheer heeft ook een heleboel informatie verzamelen waar het eigenlijk helemaal geen toegang toe behoort te hebben. Het lijkt me zeer onwaarschijnlijk dat ze die “toevallige” bijvangst braaf gaan vernietigen. Aangezien de tendens tegenwoordig is dat alles maar opgeslagen en verwerkt wordt, is het misschien verstandig om Microsoft te vragen wat ze precies met het beheer van die domeinen doen. Iemand anders al over nagedacht over hoe dit tevens een enorme data-mining actie kan zijn?

      1. De burgemeester hier in Rotterdam laat regelmatig een café of feestzaal sluiten omdat een paar bezoekers met pistolen hebben gezwaaid, iets waar de exploitant in het gros van de gevallen ook niet blij mee was.

  2. Ik vind dit echt een enorme WTF: * Het malware-probleem bij microsoft-klanten kan in de eerste plaats bestaan door beveiligingsfouten in microsoft-software en de domheid van die microsoft-klanten zelf. * Microsoft kan het malware-probleem redelijk goed aanpakken middels software-updates. Voor zover dit niet kan is dat de schuld van microsoft en haar klanten; dit mag niet lijden tot schade bij onschuldige derden, zoals no-ip en haar klanten. * No-ip biedt een dienst aan die zeer nuttig is voor legitieme doeleinden. Het feit dat malware er ook van gebruik maakt is vergelijkbaar met het feit dat malware gebruik maakt van de netwerken van internet-providers. Mag microsoft nu ook de netwerken van internet-providers opeisen om malware aan te pakken? * Microsoft lijdt geen schade van de malware: het zijn de klanten van microsoft die schade lijden. Voor zover microsoft indirect schade lijdt (door schadeclaims of reputatieverlies) komt dat voort uit hun eigen onwil of onkunde, en zijn ze dus geen slachtoffer maar dader. * Het probleem van malware is lang niet ernstig genoeg om over te gaan tot onteigening van eigendom van een partij die niet actief meewerkt aan verspreiding van die malware, waarbij ook nog een groot aantal onschuldige derden slachtoffer worden. * Microsoft is een private partij, en geen politie. Het is mooi dat ze malware willen bestrijden, maar er bestaat geen noodzaak dat ze dit doen, en ze zouden niet de mogelijkheid moeten krijgen om zulke vergaande maatregelen te nemen. * De .com, .org etc. extensies worden internationaal gebruikt, en er zijn dus over de hele wereld mensen slachtoffer van de beslissing van een Amerikaanse rechter. Deze domeinnaam-extensies zouden niet beheerd moeten worden door een Amerikaanse organisatie, maar door een internationale organisatie die niet luistert naar uitspraken van rechters of overheden van individuele landen.

    Ik zie dat laatste als het “beveiligings-lek” van het huidige internet, waardoor dit probleem in de eerste plaats heeft kunnen ontstaan. Het zou mooi zijn als de Namecoin-extensie .bit officieel erkend zou worden door de IANA, maar ik ben bang dat dat tegen hun belang in gaat. Een andere route zou on-officiële erkenning kunnen zijn doordat ISPs .bit adressen resolven in hun name-servers. Zodra het een beetje breed wordt ondersteund, kunnen websites zich beschermen tegen onteigening door een .bit-adres te gebruiken.

      1. * Het malware-probleem bij microsoft-klanten kan in de eerste plaats bestaan door beveiligingsfouten in microsoft-software en de domheid van die microsoft-klanten zelf. * Microsoft kan het malware-probleem redelijk goed aanpakken middels software-updates. Voor zover dit niet kan is dat de schuld van microsoft en haar klanten; dit mag niet lijden tot schade bij onschuldige derden, zoals no-ip en haar klanten.

        De betreffende malware wordt met name verspreid als trojan horse in steeds heel snel veranderende varianten en heeft niks te maken met beveiligingsfouten Tegen zulke trojan horses kun je met software updates weinig tegen doen.

        De .com, .org etc. extensies worden internationaal gebruikt, en er zijn dus over de hele wereld mensen slachtoffer van de beslissing van een Amerikaanse rechter.
        No-IP is een merk van een een bedrijf in Nevada dus daarom dat een rechter in Las Vegas de logisch plek is om ze aan te klagen.

        1. De betreffende malware wordt met name verspreid als trojan horse in steeds heel snel veranderende varianten en heeft niks te maken met beveiligingsfouten Tegen zulke trojan horses kun je met software updates weinig tegen doen.

          Bedoel je met “trojan horse” dat de malware binnenkomt via de naïviteit/onwetendheid van de gebruiker, in plaats van via software-fouten? Dan is het nut van software-updates inderdaad beperkt; je kan hooguit het werk van de malware-maker een beetje moeilijk houden. Maar in principe ligt de verantwoordelijkheid hier bij de gebruiker. Microsoft zou hier bij kunnen helpen door de gebruiksinterface te optimaliseren voor veiligheid: het openen van een foto en het starten van software zouden er bijvoorbeeld nooit het zelfde uit moeten kunnen zien.

          Daarnaast, laten we duidelijk zijn, ligt de schuld natuurlijk uiteindelijk bij de malware-verspreider.

          No-IP is een merk van een een bedrijf in Nevada dus daarom dat een rechter in Las Vegas de logisch plek is om ze aan te klagen.

          Als No-IP een Europees bedrijf was, dan was het net zo kwetsbaar geweest. De door de Amerikaanse rechter afgedwongen handeling (het overdragen van de no-ip domeinen aan microsoft) is namelijk helemaal buiten no-ip om uitgevoerd, door de Amerikaanse beheerder van de top-level domeinen (.com etc.).

  3. Ik zie er nog een ander gevaar in. Want wie heeft gecontroleerd of de betreffende domeinnamen ook daadwerkelijk malware bevatten? Feitelijk is Microsoft nu het Internet aan het cencureren en de vraag is of wij dat wel moeten willen. Microsoft lijkt nu te bepalen welke domeinen mogen blijven en welke worden geblokkeerd.

    Maar de oorzaak ligt natuurlijk bij Microsoft zelf. Ze weten dat ze het grootste doelwit zijn van malafide hackers en toch is de beveiliging van Windows nog steeds niet op orde. Want malware komt niet uit zichzelf op een computer maar moet daarvoor een ander component hebben dat de malware op de PC kan installeren. Dit betekent dat er een applicatie of een stukje code naar het Internet moet luisteren op de PC waar de malware misbruik van kan maken om binnen te komen. En als ik in mijn Firewall instellingen kijk dan zie ik best veel applicaties die met het Internet willen communiceren. Steeds meer Windows applicaties willen ook graag updates installeren en maken daarvoor ook hun eigen internet-verbindingen voor. Het zou zoveel praktischer zijn als Microsoft gewoon een standaard update-component zou introduceren zodat app-makers via dit component veel eenvoudiger updates kunnen laten uitvoeren via een standaard protocol, waarbij het component deze updates kan controleren op malware. Dan is er dus nog maar 1 verbinding nodig in plaats van de 50+ verbindingen die Windows-gebruikers nu hebben. Maar goed, een goede firewall met bijbehorende antivirus zou al een groot deel van de malware moeten tegenhouden. Dan gaan alle verbindingen in ieder geval via een redelijk beveiligd kanaal. Windows zou eigenlijk niet gebruikt mogen worden zonder dergelijke software…

  4. Microsoft zegt dat ze No-IP wél gecontacteerd hebben en dat het bedrijf niets heeft gedaan.

    Dat staat volgens mij nergens.

    Volgens mj heeft Microsoft niet aangevoerd dat ze zelf contact hebben opgenomen met NO-IP maar hebben ze aangevoerd dat No-IP niets heeft gedaan aan rapporten van diverse security firm die grootschalig misbruik aangeven van No-IP door malwareverspreiders. No-IP verwijst telkenmale naar hun abuse policy waarbij partijnen losse klachten kunnen indienen en doet eingelijk niet iets structureels om cybercriminelen af te schrikken.

    1. en doet eingelijk niet iets structureels om cybercriminelen af te schrikken.

      Een klant van No-IP moet ofwel betalen (ik neem aan met enige regelmaat, en meer domeinnamen = meer betalen), ofwel elke maand een CAPTCHA oplossen. Beide zijn niet echt aantrekkelijk als je enorme aantallen domeinnamen wilt onderhouden.

      Ik ben wel benieuwd: hoe zou de No-IP dienst nuttig zijn voor malware? Misschien om de bots in een botnet te laten communiceren met een control-computer? Dan heb je hooguit een enkele domeinnaam nodig, voor de control-computer. De control-computer is natuurlijk niet de computer van de crimineel: dan wordt ‘ie veel te snel ontdekt. De control-computer is dus 1 van de bots; vandaar de behoefte aan dynamisch DNS.

      Dit maakt me wel nieuwsgierig hoe een botnet om gaat met het offline gaan van de control computer, bijv. doordat de nietsvermoedende eigenaar zijn computer uit zet. De bots zullen, als een soort bijenvolk, een nieuwe “koningin” moeten kiezen. Hoe zou dat in zijn werk gaan? Kan je als botnet-bestrijder vals spelen in dat proces om zelf de control computer te worden?

      1. Een botnet hoeft niet 24/7 actief te zijn maar moet meer in een soort slaapstand verkeren. Gewoon wachten tot het een commando krijgt. Wat kan is dat Control een lijst van IP-adressen bijhoudt en doorgeeft aan de andere bots. Control staat daarbij op de eerste plaats. Gaat Control uit de lucht dan proberen alle bots met nummer 2 te communiceren. Is die ook weg, dan nummer 3, 4, 5, enz. Is er eenmaal eentje gevonden dan wordt dat de nieuwe Control en wordt een nieuwe lijst samengesteld. En de nieuwe Control geeft dit even netjes door aan NO-IP, dat sowieso al is ingesteld om regelmatig dergelijke wijzigingen te ontvangen. Daarnaast hebben bots helemaal geen domeinnaam nodig om hun werk te doen. Ze vinden elkaar rechtstreeks met het IP adres. Het is de beheerder zelf die het botnet wil benaderen die een domeinnaam nodig heeft omdat hij steeds weer Control moet vinden tussen al die duizenden bots in het netwerk. De NO-IP is dan ook erg handig voor precies dit doeleinde. Anders moet de controller namelijk aan de beheerder blijven doorgeven waar hij zit. Dan zou het adres van de beheerder bij Control bekend moeten zijn, terwijl Control zelf liever zijn IP adres niet bekend maakt. Met NO-IP kunnen ze b.v. gaan wardriven met WiFi voor een open kanaal en zo vanaf een willekeurig adres Control aansturen. Dan laten ze ook minder sporen achter.

  5. Vanwege de manier waarop No-IP werkt (je moet ofwel betalen, ofwel CAPTCHA’s invullen, en volgens mij heb je maar een beperkt aantal domeinen per account), denk ik dat er per botnet niet zo veel domeinen geregistreerd zijn bij No-IP.

    Op dit moment is Verisign (of wie dan ook de .com en .org DNS beheert) blijkbaar gedwongen om de complete no-ip.com / no-ip.org domeinen aan microsoft over te dragen. Had het niet gekund om, op de zelfde manier, No-IP te dwingen de betreffende botnet-subdomeinen over te dragen aan over te dragen aan de politie(*)? Dat was veel fijnmaziger geweest, en had niet tot de huidige problemen geleid.

    Dit zal wel weer een gevalletje zijn van een rechter die niet goed heeft gekeken naar de achterliggende techniek. Microsoft’s (onterechte) claim van extreme urgentie zou ook wel eens meegespeeld kunnen hebben in deze ondoordachte beslissing. Paniek is een slechte raadgever.

    (*) Merk op: ik zeg niet dat ze moeten worden overgedragen aan microsoft. Microsoft is gewoon een willekeurige private partij, en er is geen reden om deze domeinen wel aan microsoft over te dragen en niet aan een willekeurige andere private partij.

    1. Vanwege de manier waarop No-IP werkt (je moet ofwel betalen, ofwel CAPTCHA’s invullen, en volgens mij heb je maar een beperkt aantal domeinen per account), denk ik dat er per botnet niet zo veel domeinen geregistreerd zijn bij No-IP.

      Meer dan 18000 subdomeinen bij alleen No-IP alleen voor de Bladabindi/Jenxcus malware familie.

      1. Dat maakt mij dan weer nieuwsgierig: * Waar heeft die malware zoveel domeinen voor nodig? 1 domein per bot of zo? * Zijn er mensen die elke maand CAPTCHA’s invullen voor al deze domeinen, of betalen ze No-IP voor deze domeinen?

        Ik kan me vaag herinneren dat No-IP niet zo lang geleden is begonnen met het accepteren van bitcoins als betaalmiddel. Wellicht houdt dit verband met het gebruik door malware?

        1. In enkele Asiatische landen zijn er mense die voor een paar eurocenten per CAPTCHA deze even vertalen. Dat gaat verder geheel geautomatiseerd. De bot stuurt het plaatje naar een Aziaat, die voert vervolgens de tekst in en de bot kan verder gaan. Kosten? 100 euro voor ruim 1000 CAPTCHA’s of zo. De meerdere domeinen zijn verder handig voor als er eentje onderuit wordt gehaald. Dan worden de reservenamen gewoon gebruikt. Als iedere domeinnaam vervolgens naar een eigen bot verwijst is het ook moeilijk te achterhalen welke er bij elkaar horen. Als daarbij ook steeds nieuwe, gratis accounts worden aangemaakt dan kost het maar een paar honderd euro voor die typgeiten in Azie. Als de malware vervolgens 10 euro per bot oplevert dan is dat geld zeer snel terugverdiend. (1000 bots x 10 euro.) Wie het handig aanpakt kan behoorlijk wat geld verdienen op deze manier. Het is wel zwart geld dus moet het ook nog eens worden witgewassen, maar dan nog levert het best veel op zolang ze maar niet gepakt worden. Als de malware-crimineel ook nog eens van wardriving gebruikt maakt met een goedkope Android tablet om de commando’s aan Control door te geven dan is men vrijwel niet te achterhalen. Wel met enige regelmaat de tablet vervangen door een nieuwe om eventuele bewijslast weer te vernietigen. Zo duur zijn ze ook weer niet (en je kunt ze ook jatten) maar zorgt er wel voor dat forensisch onderzoek op de tablet wordt bemoeilijkt omdat deze misschien 2, 3 weken data heeft. Als ze al iets kunnen vinden… Kortom, het is een misdrijf dat veel winst oplevert als je een beetje handig bent en een behoorlijk kleine pakkans heeft als je het handig opzet.

  6. Als ik de dief van mijn fiets wil pakken, dan mag ik toch ook niet de hele stad af zetten?

    Toch is dat wel hoe de Amerikaanse justitie e-gold om zeep geholpen heeft. Sommige rekeninghouders deden naar verluidt dingen met witwassen of piramidespelen of kinderporno o.i.d., en daarom is het hele bedrijf maar even geconfisqeerd.

    Maar goed, ik heb na jaren wachten sinds kort eindelijk die paar 100 dollar terug die ik er had staan (volgens legaal en eerlijk uiteraard), minus twee keer 15 euro checkkosten omdat die rare Amerikanen niet zoals normale beschaafde bedrijven met bankoverschrijvingen vanuit bijvoorbeeld Ierland willen werken.

    1. Ja, ik herinner mij e-gold nog wel. (Ze bestaan nog steeds?) Er waren een aantal websites met vrouwelijke modellen die e-gold gebruikten om mee betaald te worden door de leden. Hoewel de meeste van die sites geen naakt bevatten, waren veel van die modellen waarschijnlijk nog minderjarig en de poses niet helemaal netjes. En aangezien de USA ook behoorlijk preuts is werd daar dus een stokje voor gestoken. Idem met diverse goksites. Ik heb gelukkig nooit e-gold gekocht omdat het mij erg onbetrouwbaar leek. Ik heb wel 10 euro in bitcoins op dit moment plus ik heb een brief uit Japan ontvangen betreffende het faillisement van MtGox. In het Japans, helaas. 🙂 (Maar met Engelse vertaling achterop, gelukkig.)

      1. Ja, ik herinner mij e-gold nog wel. (Ze bestaan nog steeds?)

        Alleen voor het afhandelen van de claims van rekeninghouders. Maar daarvoor is de termijn na 7 keer eindeloos verlengen (en ik maar wachten, wachten, wachten) nu toch wel gesloten.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.