Jenseits von Gut und Böse?

Vor ein paar Tagen kündigte Microsoft eine großangelegte Razzia von No-IP an, einem Dynamic-DNS-Service, in dessen Folge 22 Domains beschlagnahmt wurden. Die Jungs aus Redmond sagten aus, gute Gründe dafür zu haben: No-IP habe auf den Seiten alle möglichen unerwünschten Schadprogramme; No-IP sei eine Brutstätte für Cyberkriminelle; No-IP sei ein Epizentrum für zielgerichtete Attacken; und No-IP arbeite nie mit anderen zusammen, um das ganze Übel auszumerzen.

Wie bei den meisten Konflikten, haben beide Seiten die üblichen widersprüchlichen Mitteilungen veröffentlicht: „Es ist sein Fehler – nein, sie hat angefangen“.

No-IP sagte, der Service sei sauber und immer bereit, beim Kampf gegen Cyberangriffe zu kooperieren, während die Kunden der Firma sehr verärgert über die Razzia seien und sie für einen illegalen Angriff auf ein legales Unternehmen hielten – vor allem, da es möglich sei, praktisch überall Schadprogramme zu finden, so dass die gerichtliche Störung eines Dienstes einfach nicht gerechtfertigt sei.

Ist es legal, einen Dienst zu schließen, wenn dort #Schadprogramme gefunden werden?… Wenn man die überall finden kann?…

Und die Razzia war sehr weitreichend: Über vier Millionen Seiten wurden aus dem Web genommen, neben schädlichen allerdings auch harmlose Seiten. Insgesamt waren 1,8 Millionen Anwender davon betroffen. Microsoft versucht, die Spreu vom Weizen zu trennen und die sauberen Seiten wieder online zu bringen; allerdings beschweren sich nach wie vor viele Anwender über Störungen.

Herauszufinden, wer Schuld an dem Ganzen hat, ist eine undankbare und wahrscheinlich hoffnungslose Aufgabe. Solch investigativen Journalismus überlasse ich… den Journalisten. Stattdessen möchte ich Ihnen einige Denkanstöße geben: trockene, rohe Fakten und Zahlen – und vielleicht/hoffentlich kommen Sie dann zu Ihren eigenen Schlussfolgerungen bezüglich der Legalität und Sittlichkeit der Microsoft-Aktion…

1) Die Schließung der 22 No-IP-Domains betraf die Operationen von etwa 25 Prozent der zielgerichteten Attacken, die wir beobachten. Das sind Tausende Spionageaktionen und cyberkriminelle Angriffe der letzten drei Jahre. Ungefähr ein Viertel davon hat mindestens ein Command-and-Control-Center (C&C) bei diesem Hosting-Anbieter. So nutzen zum Beispiel Hackergruppen wie die Syrian Electronic Army und Gaza Team ausschließlich No-IP, während die Gruppe Turla den Anbieter für 90 Prozent seiner Seiten nutzt.

2) Wir können bestätigen, dass No-IP von allen großen Anbietern am schlechtesten kooperiert. So hat die Firma zum Beispiel all unsere E-Mails zu einem Botnetz-Sinkholing ignoriert.

3) Unsere Analyse aktueller Schadprogramme zeigt, dass No-IP oft von Cyberkriminellen für Bontetz-Control-Center genutzt wird. Eine einfache Suche über Virustotal bestätigt das mit harten Zahlen: Insgesamt stammen 4,5 Millionen einzigartige Schadprogramm-Samples von No-IP.

4) Allerdings zeigen die aktuellen Zahlen unserer Security-Cloud (KSN) weniger eindeutige Ergebnisse. Hier eine Tabelle mit entdeckten Cyberattacken von Dutzenden der größten Anbieter dynamischer DNS-Dienste:

Service Prozentsatz der schädlichen Angebote Zahl der Entdeckungen innerhalb einer Woche
000webhost.com 89,47% 18.163
changeip.com 39,47% 89.742
dnsdynamic.org 37,04% 756
sitelutions.com 36,84% 199
no-ip.com 27,50% 29.382
dtdns.com 17,65% 14
dyn.com 11,51% 2.321
smartdots.com 0,00% 0
oray.com 0,00% 0
dnserver.com 0,00% 0

Also – No-IP führt nicht bei der Zahl der Entdeckungen, auch wenn diese verglichen mit den meisten Anbietern sehr hoch sind.

Hier noch einige weitere Informationen zum Vergleich: Der Prozentsatz der Schadprogramm-Seiten im.com-Bereich liegt bei insgesamt 0,03 Prozent; im ru-Bereich dagegen bei 0,39 Prozent; doch bei No-IP liegt diese Zahl bei 27,5 Prozent!

Und nun ein paar andere Zahlen, die eine andere Sichtweise bieten: Innerhalb einer Woche erzeugten Schadprogramm-Domains von No-IP etwa 30.000 Entdeckungen, während in der gleichen Woche die Entdeckungen auf einer der gefährlichsten Domains der.com-Zone bei 429.000 lagen – fast 14 Mal höher. Zudem erzeugte die zehntstärkste infizierte Domain der.ru-Zone 146.000 Entdeckungen – das ist so viel wie die oben genannten Top Ten der dynamischen DNS-Anbieter zusammengenommen!

Zusammenfassend…

Auf der einen Seite ist das Sperren eines beliebten Dienstes, der von Tausenden – wenn nicht sogar von Millionen – normaler Anwender genutzt wird, nicht richtig. Auf der anderen Seite ist die Schließung von Brutstätten für Malware richtig – und edel.

War die Schließung von No-IP-Domains richtig oder falsch? Unklarheit mit einem großen U.

Doch die Mathematik nimmt die Rolle des Advocatus Diaboli ein und beweist:

Quantitativ ist die Schließung aller Domains von No-IP kein bisschen effektiver im Kampf gegen Schadprogramme als die Schließung einer einzigen der großen Schadprogramm-Domains in einer der beliebten Länderzonen wie .com, .net oder sogar .ru. Einfacher gesagt, selbst wenn man alle Anbieter dynamischer DNS schließen würde, wäre das Internet nicht so viel „sauberer“, um den Unterschied bemerken zu können.

Und da haben Sie es – Unklarheit mit einem großen U. 

Jeder mit gesundem und ehrlichem Menschenverstand, muss zugeben, dass die Dinge hier nicht einfach Schwarz und Weiß sind. Und im Hinblick auf richtig und falsch, oder gut und schlecht, oder das Nietzsche-Ding – wer kann das schon sagen?

Wenn man darüber nachdenkt, kommt noch ein anderer Gedanke ins Spiel…

Der vorliegende Fall ist ein weiterer Beweis dafür, dass wenn Raubkopiererei und Kriminalität über ein bestimmtes Maß steigen, „die da oben“ plötzlich loslegen, Dienstleister schließen und dabei jede Ahnung eines freien Internet und freier Wirtschaft ignorieren. So ist das nunmal, es ist eine Regel der menschlichen Gesellschaft: Wenn es stinkt, wird es früher oder später weggeräumt.

Die Liste der blockierten Dienste ist bereits recht lang: Napster, KaZaA, eMule, Pirate Bay und so weiter. Jetzt steht auch No-IP auf dieser Liste.

Wer ist der nächste?

// Bitcoin? Das hat bereits begonnen.

Kommentare lesen 0
Hinterlassen Sie eine Nachricht.