image

Microsoft bekent fout bij offline halen miljoenen websites

woensdag 2 juli 2014, 10:28 door Redactie, 13 reacties

Microsoft heeft bekend dat het een fout heeft gemaakt bij de actie tegen het bedrijf No-IP.com, waardoor miljoenen websites offline gingen. No-IP biedt Dynamische DNS (DDNS), waar gebruikers gratis allerlei subdomeinen kunnen aanmaken en aan een IP-adres koppelen.

Volgens Microsoft werd No-IP op grote schaal door de Bladabindi en Jenxcus-malware gebruikt. De rechter oordeelde dat Microsoft het DNS-beheer van 22 No-IP-domeinen kreeg toegewezen, waardoor het verkeer naar deze subdomeinen op de servers van Microsoft uitkwam. Volgens No-IP kon Microsoft het verkeer niet aan, waardoor miljoenen websites offline gingen.

"Door een technische fout kregen sommige klanten van wie de apparaten niet door de malware waren besmet met een tijdelijk verlies van service te maken", zegt Microsofts David Finn tegenover ZDnet. Hij merkt op dat alle diensten inmiddels zijn hersteld en dat Microsoft het ongemak betreurt.

Kritiek

Verschillende beveiligingsonderzoekers zijn kritisch over de actie van de softwaregigant. "Het in beslag nemen van domeinen is een veelgebruikte strategie die uit de hand aan het lopen is", zegt botnetonderzoeker Claudio Guarnieri tegen ThreatPost. Volgens hem gaat het om een controversiële strategie die al langer onder vuur ligt.

"Het feit dat we bedrijven zoals Microsoft zien die de middelen van legitieme bedrijven in beslag nemen heeft voor grote verbazing in de gemeenschap gezorgd." De onderzoeker merkt op dat Microsoft een andere aanpak had moeten kiezen. "Elke andere manier was beter geweest. Microsoft werkt aan een juridisch precedent om ongestoord en naar eigen inzicht de politie op internet uit te hangen."

Guarnieri noemt het onacceptabel dat Microsoft de middelen van andere bedrijven zo maar afneemt, zonder eerst andere mogelijke oplossingen te onderzoeken. "Microsofts Digital Crime Unit was bij veel recente operaties respectloos en dwars en ik weet zeker dat de gemeenschap hier tegen zal protesteren en niet meer met ze in de toekomst zal willen samenwerken."

Ondanks de woorden van Microsoft dat de dienstverlening zou zijn hersteld zijn de domeinen van No-IP.com nog steeds niet bereikbaar, zo laat het bedrijf weten. Gebruikers krijgen dan ook het advies om een nieuw subdomein aan te maken via verschillende domeinen die niet door Microsoft in beslag zijn genomen.

Reacties (13)
02-07-2014, 10:38 door [Account Verwijderd]
[Verwijderd]
02-07-2014, 10:42 door Anoniem
Door Peter V.: Wie weet volgen de eerste schadeclaims.

Hoezo wie weet?
Ik zou eerder vragen : IS de eerste schadevergoeding al aangevraagd?
02-07-2014, 11:09 door Anoniem
Door Anoniem:
Door Peter V.: Wie weet volgen de eerste schadeclaims.

Hoezo wie weet?
Ik zou eerder vragen : IS de eerste schadevergoeding al aangevraagd?
Bij een gratis dienst?

Hooguit kan NO-IP zelf een zaak starten wegens gemiste (reclame-) inkomsten...
02-07-2014, 12:16 door Anoniem
Als je dat soort acties neemt neem je een enorme verantwoordelijkheid op je om het goed te doen. Nu komt het erop neer dat malware wordt bestreden met een massale DOS-aanval op miljoenen domeinen. Zoals het nu uitpakt is de actie van Microsoft geen haar beter dan wat ermee bestreden wordt. Dat zal niet de intentie geweest zijn van Microsoft, maar ze hebben op zijn minst zichzelf behoorlijk overschat, met vergaande gevolgen voor anderen.

Er zitten de nodige verbazingwekkende kanten aan deze zaak. Ten eerste dat begrip ex parte. Het komt erop neer dat de rechter een tijdelijke voorziening oplegt op basis van een zitting waar maar één partij aanwezig is of zelfs maar van op de hoogte is. De eigenlijke zaak dient op 10 juli.

En dan de tegenstelling tussen Microsoft die beweert dat No-IP 'on notice' was en No-IP die beweert geen enkele klacht van Microsoft te hebben ontvangen. De aanklacht maakt duidelijk wat er aan de hand is. Er is verschillende keren (door OpenDNS en door Cisco) in artikelen geconstateerd dat er misbruik wordt gemaakt van No-IP-subdomeinen, No-IP heeft gereageerd met de mededeling dat ze zulke dingen actief bestrijden, en roept iedereen op misbruik bij ze te melden. Daar zeggen ze zelf adequaat op te reageren en ik heb daar bevestingen van gezien in commentaren. Hoewel Microsoft over een stevige lijst met misbruikte subdomeinen beschikt lijkt het erop dat ze die niet aan No-IP hebben doorgegeven maar in plaats daarvan het standpunt innemen dat de genoemde publicaties hadden moeten leiden tot maatregelen. Dus inderdaad, No-IP heeft geen klacht van Microsoft ontvangen, en Microsoft vindt dat No-IP in plaats van op basis van een piepsysteem te werken op basis van algemene signalen maatregelen had moeten nemen die het probleem aanpakken. "On notice" betekent dus niet dat Microsoft ze ergens over heeft ingelicht, maar dat ze in algemene zin op de hoogte zijn.

(Ik kan niet nalaten me af te vragen hoe de ontwikkeling van de malware-explosie zou zijn verlopen toen er destijds nogal wat kritiek op het security-model van Windows 95, of het gebrek eraan, op het web te vinden was (ik herinner me ook al kritiek op Windows 3.11 in een automatiseringsvakblad). Ondanks dat Microsoft, hun eigen logica volgend, 'on notice' moet zijn geweest door dergelijke publicaties heeft het tot Windows XP geduurd voordat ze consumenten een deugdelijk beveiligingsmodel gingen bieden. Wat niet wegneemt dat er wat voor te zeggen is dat een piepsysteem niet goed genoeg is voor een dienst als No-IP.)

Dat 'on notice'-verhaal heb ik hier vandaan:
http://noticeoflawsuit.com/docs/Revised_Final%20No-IP%20Complaint.pdf
32. The Internet security community has noticed the abuse occurring on No-IP's sub- domains. In April 2013, OpenDNS published an article online detailing its investigation into Dynamic DNS abuse, and it identified No-IP sub-domains as the most used for malicious intent of any other provider. No-IP published the following response, representing that the company had a strict abuse policy and had an abuse team to combat computer fraud and crimes:
At No-IP, we have a very strict abuse policy. Our abuse team is constantly working to keep our domains free of spam and malicious activity. Even with such precautions, our services do fall prey to cyberscammers and spammers. We highly encourage our users and others to let us know if they come across a hostname that isn't abiding by our Terms of Service. We dislike spammers and scammers just as much as everyone else. To report a violation of our TOS or any other abuses of our services, please email [hun abuse-adres].
33. Despite its representation of having a "very strict abuse policy," the abuse on No-IP sub-domains continued. Another Internet security group, Cisco, published an article on February 11, 2014 that again outlined the extensive abuse occurring on No-IP domains, including the distribution of malware. No-IP published a similar response and even provided that the company "work[s] with law enforcement daily to ensure that we are doing our part to keep the internet safe."

Dit staat samen met een indrukwekkende rij andere documenten op: http://noticeoflawsuit.com/ (een site die voor zover ik zie niets anders doet dan de papieren bij deze rechtzaak publiceren).
02-07-2014, 12:17 door Anoniem
"Volgens Microsoft werd No-IP op grote schaal door de Bladabindi en Jenxcus-malware gebruikt. De rechter oordeelde dat Microsoft het DNS-beheer van 22 No-IP-domeinen kreeg toegewezen"

Waarom eigenlijk, Microsoft is geen opsporingdienst ofzo ? Buiten deze fout heb ik er niet zoveel op tegen dat Microsoft dit doet, maar dit zou *geen* taak moeten zijn van een commercieel bedrijf.
02-07-2014, 14:59 door Anoniem
"Door een technische fout".... Ze bedoelen "we draaiden op Windows... ipv Linux?
Zie je vaker die inschattingsfouten...

"oow, het draait op 100 linux servers... dan zal 200 Windows servers wel voldoende zijn..... Helaas....
02-07-2014, 17:58 door Anoniem
Vroeghur ... was een e-mail melding naar netmaster@misbruiktdomein de geijkte procedure, tenzij we tegenwoordig natuurlijk ook hiervoor de 'MS extensies' hanteren, die bevatten het botte bijltje, gecombineerd met geen kennis van zaken verpakt in een enorm ego ?!

The Internet code of practice anyone?! ;)
02-07-2014, 18:07 door Anoniem
<conspiracy mode>
Het verkeer gaat nu via Microsoft en deze heeft nu de logingegevens van camera's, routers, NAS'en en dergelijke kunnen aftappen. Ze maken excuses dat de servers "overblast" zijn, maken excuses, betalen vast ook nog schadevergoeding, maar krijgen als dank een grote zak geld van de NSA.
</conspiracy mode>
Zou dit kunnen?
02-07-2014, 20:13 door Anoniem
Er lijkt inderdaad een politiek randje aan deze zaak te zitten.

Microsoft gaat zich geheel uit zichzelf met het wereld politieke toneel bemoeien en moest nu eindelijk iets ondernemen tegen die malware in het midden oosten?
Bladabindi (=NjRat), vooral voor en door midden oosten partijen tegen elkaar gebruikt lijkt het.

Microsoft cited two specific malware families which were used “to infect innocent victims with the Bladabindi (NJrat) and Jenxcus (NJw0rm) family of malware
http://www.securelist.com/en/blog/208214339/Microsoft_seizes_22_NO_IP_domains_disrupts_cybercriminal_and_nation_state_APT_malware_operations

Diepte analyse over NjRAT
"Simple njRAT Fuels Nascent Middle East Cybercrime Scene Created: 31 Mar 2014"
http://www.symantec.com/connect/blogs/simple-njrat-fuels-nascent-middle-east-cybercrime-scene
The S.K.Y.P.E/Tagged group uses two C&C servers: njratmoony.no-ip.biz and njr.no-ip.biz.
Telefoontje naar Symantec had mogelijk gescheeld, voor het volledige lijstje van die paar domeinen extra, een lijstje dat vast niet in de miljoenen liep.

De politieke inzet van malware waaronder NjRat - Eff.org
"quantum_of_surveillance4d.pdf"
https://www.eff.org/files/2013/12/28/quantum_of_surveillance4d.pdf

MS claim?
Auteurs
Verder heeft Microsoft ook de twee auteurs van de malware naar eigen zeggen geïdentificeerd.
https://www.security.nl/posting/393707/Microsoft+ontregelt+botnets+die+7%2C5+miljoen+pc%27s+infecteerden

De claim door deze actie ook de malware makers te hebben gevonden doet twijfelen daar er al sinds 2012 over deze malware wordt geschreven, onder andere door Symantec, waar bijvoorbeeld het twitteraccount van een van de makers al gemeld werd.
03-07-2014, 02:00 door Anoniem
Class action lawsuit.
03-07-2014, 04:45 door Anoniem
Er zijn meerdere partijen die doodleuk IP's null routen ook in Nederland. Deze doen het zelfs na een simpele e-mail waarin ze dit aankondigen en je 2 uur de tijd krijgt om te reageren.....

Het enige wat ik mij afvraag wat als iemand via de rechter microsoft.com of een leaseweb.com etc.... mag "rerouten" van de rechter ?

Genoeg onderliggende processen die spontaan niet meer werken.

Verder worden diensten zoals no-ip.com "gratis" als optie bij o.a. beveiligingscamera's en DVR's geconfigureerd.

Kortzichtigheid van Microsoft zal ze duur komen te staan. Eind gebruikers hebben waarschijnlijk een goede zaak in handen jegens Microsoft aangezien NO-IP zelf hierin zelf ook niets van te voren wist.

In Nederland kan met ook beslag leggen op servers zonder dat jij of je ISP daar over geïnformeerd zal worden.
Zeker inzaken waarin met bewijs moet vastleggen kunnen particuliere/private partijen aan de rechter een dergelijk verzoek doen.

Enige nadeel is dat in een server rack men niet precies zal weten wat ze eruit moeten trekken met als gevolg dat er meer in eens "weg" is als dat ze mogen meenemen, als je in eens achter komen dat je diensten plat liggen en in RACK een paar lege plekken ziet, moet je gaan uitzoeken wie/wat/waarom.... en dan via de rechter je spullen terug eisen....

Je bedrijf zal maar afhankelijk zijn van je servers..... want het kan weken tot maanden duren voordat jij je spullen en data terug hebt...

Het is een slechte ontwikkeling dat derden en dan met name particulieren en private organisaties/bedrijven op het Internet en fysiek in een datacentrum gewoon geheel mogen beschikken over jouw diensten/spullen.

Wat is volgende stap dat ze het bij je thuis mogen doen? Want eigenlijk is het belachelijk.
03-07-2014, 08:03 door Anoniem
Mag ik ook alle Microsoft domeinen "kapen"? MS Windows is immers 's werelds meest diepgewortelde virus, waar mensen nog grof geld voor betalen ook!

@ Gisteren, 11:09 door Anoniem
NO-IP levert niet alleen gratis domeinen, maar ook betaalde domeinen. Ook van die domeinen zijn er veel uit de lucht geweest door deze mega blunder van Microsoft. Dus die mensen zouden idd een claim kunnen indienen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.