Sicherheitsforscher kritisieren Microsofts Vorgehen gegen Botnetz Citadel

Mehrere Sicherheitsforscher haben sich über Microsofts stürmisches Vorgehen gegen das Botnetz Citadel beschwert. Der Softwarekonzern hatte zusammen mit der US-Bundespolizei Botnetz-Kommandoserver mit über 4000 Domains abschalten lassen. Auf diesen Maschinen liefen jedoch auch geschätzte 1000 Domains, die andere Sicherheitsteams längst auf eigene, saubere Server umleiteten.

Betroffen waren vor allem Mitarbeiter des Schweizer Teams abuse.ch, die sich gegenüber der Non-Profit-Organisation Shadowserver beschwerten, mehr als 300 sogenannte DNS-Sinkholes verloren zu haben. Ähnlich sei es im vergangenen Jahr gewesen, als Microsoft unter großem öffentlichen Trara gegen das Botnetz Zeus vorgegangen sei, sagte ein Sicherheitsforscher, der lieber anonym bleiben möchte.

Die DNS-Sinkholes fanden sich zwar in einem Register zusammengefasst, Microsoft sah aber darin entweder nicht nach oder ignorierte es bewusst, als es die Domains abschaltete. „Ich hatte gehofft, Microsoft habe seine Lektion gelernt, aber offenbar hat sich gar nichts geändert, und meine Bemühungen waren umsonst“, schreibt der Schweizer Microsoft-Kritiker.

Das Problem: Shadowserver kann jetzt nicht mehr die IP-Adressen von Botnetz-Clients ermitteln und deren Besitzer verständigen. „Ich kann sagen, dass fast 1000 der 4000 vom Microsoft beschlagnahmten Domainnamen schon von Sicherheitsforschern zu Sinkholes umfunktioniert worden waren. Tatsächlich waren diese 1000 Domains keine Bedrohung für Internet-Nutzer mehr, sondern wurden genutzt, um das Internet zu einem angenehmeren Aufenthaltsort zu machen.“

Das ist jedoch nicht das einzige Vorgehen des Windows-Herstellers, das kritisiert wird. Microsoft führe nämlich über Citadel-Konfigurationsdateien Code auf infizierten Maschinen aus, heißt es. Dies geschieht zu einem guten Zweck, nämlich um zu verhindern, dass die Botnetz-Clients andere Kommandoserver kontaktieren, die noch laufen. Microsoft hole aber keine Genehmigung der Opfer ein, bevor es Code auf deren Rechner ausführe – auch dann nicht, wenn sie außerhalb der USA wohnten, wo die Microsoft ausgestellte gerichtliche Anordnung gilt. Dies dürfte in vielen Ländern illegal sein.

Claudio Guarnieri, der für Rapid7 tätig und ebenfalls Mitglied bei Shadowserver ist, fordert Microsoft nun auf, „sich mit anderen Forschern abzusprechen, bevor man Domains übernimmt, die schon im Fokus anderer Abschalt- und DNS-Sinkhole-Bemühungen stehen.“ Sinkholing sei außerdem der bessere Weg, mit infizierten Clients umzugehen; parallel müsse man die Eigentümer informieren. „Code sollte man nicht ausführen.“ Wenn jeder im Sicherheitsbereich so arbeiten würde wie Microsoft, „gäbe das ein vollständiges, unübersehbares Chaos.“

[mit Material von Tom Brewster, TechWeekEurope.co.uk]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.