W imię walki z malware Microsoft zaszkodził milionom użytkowników dynamicznego DNS
Ślusarz zawinił, a kowala powiesili – to chłopskie przysłowienajlepiej oddaje sytuację, w której znalazły się cztery milionyużytkowników usługi No-IP dynamicznego DNS firmy VitalverksInternet Solutions, po tym jak uzbrojeni w sądowy nakaz prawnicyMicrosoftu zajęli 22 domeny internetowe, wykorzystywane do jejświadczenia.
Usługa No-IP Vitalverksu, podobnie jak inne tego typu usługi,wykorzystywana jest przede wszystkim do zapewnienia dostępu dorouterów czy dysków sieciowych z zewnętrznych sieci, mapując ichaktualny adres IP do domen o nazwach w stylu mojrouter.ddns.net.Dzięki temu osoby posiadające dynamicznie przyznawany IP mogą bezproblemu łączyć się ze swoimi urządzeniami sieciowymi, nawetjeśli podczas ich nieobecności w domu dostawca zmienił im IP.
Zespół bezpieczeństwa Microsoftu niedawno poinformował oodkryciu dwóch szkodników, MSIL/Bladabindi i Win32.Jenxcus, którekomunikowały się z serwerami dowodzenia i kontroli niemal wyłączniepoprzez adresy założone w No-IP Vitalwerksu. Eksperci z Redmondpodkreślili wówczas też, że z usług No-IP korzysta też kilkasetinnych szkodników – a mimo to dostawca dynamicznego DNS nie podjąłwystarczających kroków, by zapobiec nadużyciom. Wskutek zaniedbańwymieniona para szkodników miała zainfekować ponad 7 mln komputerów.
W imię walki z internetowym zagrożeniem, Microsoft sięgnął porzadko spotykane w branży narzędzia prawne. Przed sądemdystryktowym w Nevadzie złożył pozew przeciwko NaserowiAl-Mutairiemu, twórcy Bladabini, Mohamedowi Benabdellahowi, twórcyJenxcusa, Vitalverks Solutions oraz 500 anonimowym osobom, określonymjako John Doe 1-500. W pozwie prawnicy z Redmond utrzymują, żepozwani złamali prawo federalne i stanowe, rozprowadzając złośliweoprogramowanie poprzez ponad 18 tys. subdomen należących do firmyVitalverks. Wymienieni arabscy programiści mieli aktywnie reklamowaćswoje usługi, sprzedając ponad 500 kopii szkodników przestępcom iwykorzystując usługę No-IP do zatarcia za sobą śladów.
Pozew zaowocował bardzo szybko sądowym nakazem (tzw.temporary restraining order)wydanym bez procesu czy choćby przesłuchania drugiej strony.Uzbrojony w papier Microsoft przejął cały ruch dlawykorzystywanych w usłudze No-IP domeni przekierowuje je obecnie poprzez własne serwery nazw, abyfiltrować to, co uważa za złośliwą aktywność.
Entuzjazmu ze strony pozwanegooczywiście nie było, tym bardziej że najwyraźniej zapytania doserwerów nazw nie są filtrowane, ale po prostu blokowane. Woświadczeniu dla mediów Vitalverks twierdzi,że najwyraźniej infrastruktura Microsoftu nie jest w stanie sobieporadzić z obsługą miliardów zapytań od użytkowników No-IP.Autor tej notki może potwierdzić to osobiście – jego adres w tejusłudze, wykorzystywany do łączenia się z domowym dyskiemsieciowym Synology, przestał być rozwiązywany, mimo że NAS tennigdy w żadnej złośliwej aktywności nie uczestniczył (a już napewno nie działały na nim wspomniane szkodniki dla Windows).
Operator No-IP podkreśla, żestosuje zaawansowane narzędzia i metody przeciwko nadużyciom –ale mimo tego czasem zdarza się, że jego usługi wykorzystającyberprzestępcy. Mimo to Microsoft nawet nie próbował się z nimskontaktować, by wspólnie rozwiązać problem z cyberprzestępcami.Drakońskie, sankcjonowane tylko przez sądowy papier działaniazaszkodziły jedynie milionom niewinnych użytkowników.
