9:20
1/7/2014

No-ip.com i 22 powiązanych z nią domen nakazem sądu właśnie zmieniło właściciela… Nowym jest Microsoft, który w ten dość niecodzienny sposób zdecydował się przejąć infrastrukturę innej firmy — po co? Aby walczyć ze złośliwym oprogramowaniem.

Zmienne IP i stała domena

Kiedy ktoś ma zmienne IP, często korzysta z usług typu DDNS (Dynamic DNS), czyli subdomeny, która po każdorazowym odświeżeniu dzierżawy DHCP na routerze jest aktualizowana o nowy, przydzielony routerowi adres IP. No-ip.com jest jednym z większych usługodawców DDNS na świecie, zwłaszcza po zamknięciu darmowych kont na DynDNS.

Oczywiście, jak to bywa w przypadku (sub)domen internetowych, nie wszystkie są wykorzystywane do legalnych celów…

DDNS wykorzystywane jest również przez przestępców

DDNS wykorzystywane jest również przez przestępców

Chcieli dobrze, wyszło jak zwykle?

Za przejęciem domen należących do No-IP stoi Microsoft. I co do idei, cel ich działań jest słuszny — walka z botnetami. Pod niektórymi z hostowanych przez no-ip.com subdomen stały bowiem serwery C&C botnetów, które atakowały użytkowników Windowsa. Microsoft postanowił więc ubić infrastrukturę przestępców poprzez przejęcie ich domen, co “wygasiłoby” ataki. Pracownicy Microsoftu nie wpadli jednak na pomysł, aby napisać na abuse No-IP, ale od razu poszli do sądu i zdobyli nakaz przekazania domeny. Przed sędzią argumentowali swoje potrzeby m.in. tym zdaniem:

no-ip jest hubem dla 245 typów złośliwego oprogramowania

Właściciele No-IP nie pozostawiają na Microsofcie suchej nitki. W oświadczeniu które opublikowali twierdzą, że są zaskoczeni ruchem Microsoftu, ponieważ zawsze aktywnie reagowali na zgłoszenia nadużyć ich infrastruktury i usuwali abuserów. Microsoft natomiast nie skontaktował się z nimi w tej sprawie i zamiast zgłoszenia nieprawidłowości wybrał siłowe przejęcie domen.

Microsoft mówi, że pomaga, a nie przeszkadza

Microsoft z kolei na swoim blogu uspokaja. Twierdzi, że nie chce ingerować w dobry ruch klientów no-ip.com, a jedynie odfiltrować ruch złośliwy przy pomocy tzw. sink-hollingu, czyli przekierowania znanych, złośliwych subdomen na swoje serwery w celu analizy.

Dla zwykłych użytkowników no-ip.com te działania powinny być transparentne, co oznacza, że ich domeny powinny dalej rozwiązywać się na ich adresy IP. Ale tak nie jest.

Microsoft nie wytrzymał obciążenia?

Najwyraźniej Microsoft niedoszacował mocy, jaka jest potrzebna aby płynnie obsługiwać ruch płynący do infrastruktury no-ip.com — w poniedziałek część z przejętych domen zwyczajnych użytkowników przestała odpowiadać i niektóre wciąż nie działają tak jak należy.

No-IP.com zarzuca Microsoftowi, że aby zablokować złośliwy ruch kilku przestępców, firma zablokowała działanie dla milionów niewinnych klientów (niektórzy płacili za tę usługę abonament!).

All your domains are belong to us

Przypomnijmy, że Microsoft nie pierwszy raz odstawił taki numer. Dokładnie rok temu przejął ponad 4000 domen w celu walki z botnetem Citadel — a w raz z nimi część infrastruktur badawczych innych firm i niezależnych badaczy bezpieczeństwa. Technika sinkholingu stała także u podstaw ostatniej międzynarodowej operacji FBI, Europolu i kilkudziesięciu krajów, które równocześnie odfiltrowały domeny używane przez ZeuS-a (brytyjskie media pisały wtedy, nie do końca rozumiejąc o co chodzi, o Armageddonie, który ma niebawem nadejść).

Z sinkhollingiem mieliśmy też do czynienia w Polsce — ostatnio podczas akcji Orange, które odfiltrowywało ruch do adresów IP fałszywych serwerów DNS, oraz wcześniej, kiedy to NASK przejmował infrastrukturę polskiego botnetu Virut. W przypadku polskich operacji powody były jasne i działania ograniczone do konkretnych adresów/domen.

Dylematy moralne takich akcji…

Zawsze w tego typu “siłowych przejęciach” pojawiają się zarzuty o chęci “cenzury” internetu. Jedno jest pewne — sinkholling w takim wykonaniu, jak zaprezentował to Microsoft na pewno nie pomoże tym, którzy uważają że tego typu technika powinna być stosowana do rozwiązania problemów złośliwego oprogramowania w sieci.

Niektórzy już teraz żartują, że ktoś powinien pójść do sądu i złożyć wniosek o przejęcie Hotmaila, bo to “hub spamu i zainfekowanych załączników” — może Google? Albo Azure, za hosting jakiegoś C&C ;)

PS. Brian Krebs informuje, że ofiarą Microsoftu padło 4 000 000 domen, ze względu na 18 000 złośliwych, z których — jak utrzymują przedstawiciele No-IP, tylko 2 000 było aktywnych w dniu przejęcia…


Przeczytaj także:



74 komentarzy

Dodaj komentarz
  1. odkąd DynDNS przestało byc darmowe zacząłem używać duckdns(org) – póki co rewelacja. Działa bez zarzutu a sama konfiguracja to moze 30 sekund.

  2. @mnmnc
    Ale zdecydowana większość routerów wspiera właśnie dyndns czy no-ip…
    Bez tego trzeba kombinować z klientami na komputerach w LANie, a to już komplikuje sprawę.

  3. Ale to chyba nie od dziś…
    http://whois.domaintools.com/no-ip.com

    • Ty chyba nie za bardzo w temacie, co? nie chodzi o no-ip.com tylko domeny posrednie używane do DNS jak no-ip.org czy no-ip.biz

  4. Dobrze rozumiem? Sąd przekazał firmie A *własność* firmy B? Już samo to jest skandalem, a dokładając do tego informację, że firma B (właściciel no-ip.com) dbała o usuwanie szkodliwych subdomen w miarę możliwości, powstaje sytuacja kuriozalna.

    Microsoft uważał, że lepiej poradzi sobie z wycięciem szkodliwego ruchu – szkoda, że dokonał tego wycinając praktycznie cały ruch ;)

    • ICANN potępia, ale nic nie może zrobić.

    • I dlatego właśnie domen .com należy unikać w tych czasach jak ognia.
      Do widzenia, dziękuję i dobranoc.

    • Imo przy takich newsach powinno zawsze być publikowane imię i nazwisko sędziego i/lub biegłego zaangażowanego. Jeśli takiej możliwości nie ma – to właśnie o to mi chodzi, że być powinna. Że public shaming? I o to (także) właśnie chodzi.

  5. Mnie zastanawia jedno jak to mozliwe ze bez jakiegos porozumienia z no-ip.org bez dania im szansy na naprawienie czegos po prostu przejeto ich domeny ? i to wszystko zgodnie z prawem ??? WTF ????

    • to ja chce przejac domene google.com, a co mi tam…

  6. Mam tylko 1 pytanie. Kto bogatemu zabroni? :)

    • bogatszy? ^^,

  7. Zarówno dyndns, jak i no-ip bardzo utrudniały darmowe korzystanie – szczerze, warto było zapłacić, żeby pozbyć się upierdliwości i wielu klientów właśnie tak robiło. Myślę, że ten błąd MS może bardziej zaboleć, jeśli klienci zaczną walczyć o swoje.

  8. Przy okazji ubili połowę kont posiadaczy programów typu R.A.T. ale i tak nie rozumiem jak można bez wiedzy właścicieli taki numer odstawić. Jeszcze kilka lat i Google wraz z Microsoftem będą rządzić wszystkim w internecie…

    • “Jeszcze kilka lat i Google wraz z Microsoftem będą rządzić wszystkim w internecie…”

      I’m sorry, are you from the past?

      Jakie kilka lat … powyższy artykuł jest niezaprzeczalnym dowodem na to, że już rządzą.

  9. https://duckdns.org/

    Również leży ?

    • nope

    • Gdzie tam https :D …

  10. Z prawnego punktu widzenia wydaje mi się to niedopuszczalne. Powód musi przecież wykazać, że wniesienie pozwu do sądu było uzasadnione i konieczne, powołując się na nieudane próby polubownego rozwiązania sporu. Do pozwu załącza się na przykład kopie pism, w których powód (bezskutecznie) wzywał pozwanego do usunięcia naruszeń. Jak można tak od razu iść do sądu i cwaniakować? Może to temat do przedyskutowania w poniedziałek w prawnikiem?

    • Tylko mówimy tu o prawie USA co trochę mija się z celem bo nas te prawo nie obowiązuje. Co prawda skutki odczuwamy :(

  11. Szk……. jak milo… All your domains are belong to us…? Czas zainwestowac w stale IP i porzadna domene…

    Pozdrawiam.

    Andrzej

    • Tylko nie kupuj tych pod juryzdykcja usa :D

    • @bre Very true ;)

    • No i co że masz porządną domene – jak się komuś upatrzy to też ci za jakąś pierdołę, bez pytania, sądownie przejmie ;)

  12. Absurd.
    Czyli jak rozumiem, np. serwery ovh mogą być przejęte przez jakąś firmę jeżeli ta firma udowodni że ovh nie radzi sobie z nieuczciwymi klientami oraz udowodni że poradzi sobie z nimi lepiej. Co teraz z no-ip? Firma skończy swoją działalność, a ludzie stracą pracę? Takiego czegoś dawno nie słyszałem.
    Microsoft traci teraz wiele w moich oczach.

  13. Też mnie to dotknęło, dziś rano z telefonu chciałem się na domowy serwer połączyć i brak reakcji, pierw myślałem że coś nie tak z serwerem ale jednak to zawsze niezawodne no-ip padło, a miałem wcześniej jako zapasowy adres dyndns którego dopiero potrzebowałem jak przestali być darmowi…

  14. “All your domains are belong to us” – wydaje się, że to “are” jest niepotrzebne, All your domains belong to us, jest poprawnie jak sądzę.

    • Trolling is a art!

    • wikipedia (dot) org /wiki/All_your_base_are_belong_to_us

      A ponadto oczywiście Oppenheimer: “Now I am become Death, the destroyer of worlds.”

    • “are” jest ok, ale powinno być “domain” zamiast “domains” :P

    • @Yoozef… taa niestety s dodalo mi sie z automatu…

      @PiKey… So true…

  15. Kiedy ktoś ma zmienne IP, często korzysta z usług typu DDNS (Dynamic DNS), czyli subdomeny, która po każdorazowym odświeżeniu dzierżawy DHCP na routerze jest aktualizowana o nowy, przydzielony routerowi adres IP. No-ip.com jest jednym z większych usługodawców DDNS na świecie, zwłaszcza po zamknięciu darmowych kont na DynDNS.

    :-(
    Poza dyndns to był jedyny obsługiwany przez mój router usługodawca ddns.

  16. MS nie radzi sobie z dziurami, więc trzeba się inaczej zabezpieczać… masakra

  17. Ech, mi też za… ukradli dwie subdomeny. Szkoda, że nie napisaliście, czy jest szansa na zwrócenie subdomen, czy mam już szukać innego usługodawcy?

  18. Od długiego czasu używam usługi http://freedns.afraid.org/. Oferuje dwa tryby – albo korzystamy z subdomeny w jeden z wielu domen użytkowników (userzy drugiej opcji mogą udostępnić ją innym), albo tak jak ja – mam własną domenę .pl i korzystam tylko z usługi dynamicznego DNS. Moje domeny działają tak od paru lat, do tego mamy pełne zarządzanie własnym DNSem, a to wszystko za darmo – płacić trzeba dopiero posiadając w jednej z podpiętych domen więcej niż 20 subdomen.

    Tak więc każdemu kto ma chęć miec własną

  19. Walczyłem dzisiaj z MS, kilka (jak nie kilkanaście) razy dzwoniłem do centrum prasowego – podobno oni mogą jedynie coś więcej powiedzieć – nic się nie dowiedziałem. Kurde jak można czyjąś zapłaconą domenę tak po prostu zabrać – ludzie pracują przecież przy użyciu tych narzędzi. Ja tego nie rozumiem – co gorsze moi klienci też. Jak będę miał oficjalne stanowisko to napiszę – ale nie spodziewam się rewelacji.

  20. No nie wiem… Mi działa :) A serwerek mam podpięty pod *.noip.me :)

  21. Mnie zastanawia taka rzecz… Usunąłem teraz hosta z no-ip.com dla mojego IP. No i kwas. Wciąż na siłę przekierowuje na zablokowaną domę z no-ip. Nawet próba wejścia bezpośrednio po IP kończy się przekierowaniem na zablokowaną domenę… Lokalny cache DNSów poczyszczony…

  22. Część serwerów z http://host-tracker.com/ jeszcze widzi prawidłowe IP z subdomen no-ip.com.

  23. A ja myślę że można popytać u źródła, czyli microsoftu :) Telefon do pomocy technicznej, czynny 8-20: 22 594 19 99, dalej powoli wybieramy 9 2 2 1 (klienci biznesowi, pomoc techniczna, zgoda na nagrywanie), czekamy chwilkę i przedstawiamy sytuację :) Ja się co prawda niczego ciekawego nie dowiedziałem (chociaż sam sposób rozmowy o tym, jakby stało się coś zupełnie naturalnego był już ciekawostką), ale może ktoś będzie miał więcej szczęścia :) Niech im pójdzie w pięty.

  24. A co jeśli zapłaciłem za no-ip. do kogo się zwrócić o kasę.

    • Do Microsoftu, przecież są właścicielem.

  25. Na stronie NO-IP jest podane rozwiązanie, tj. utworzenie nowego hosta, w nowej domenie (dali kilka darmowych do wyboru), a wszystko to cały czas przypisane do konta no-ip.com.

    • Cóż, nie jest to idealne rozwiązanie, ale lepsze takie, niż zupełny brak widoczności serwera. Zrobiłem tak i zadziałało.

  26. Aktualnie domena NO-IP działa, ciekawe jak długo ..

  27. Aktualnie domena NO-IP nie działa

  28. Dziene bo juz wogole nie moge wejsc na swoje konto na noip juz nie ma no ip

  29. Domena NO-IP znowu działa..mamy czeski film nikt nic nie wie

  30. Przykro się robi jak coś takiego widzę. Long live noip.com, tyle dobrego robią za darmo jeszcze ich w łeb walą. Skurwysyństwo takie że słów brakuje

  31. Moja .hopto.org leży, już miałem bulbul dupy i przenoszę się na duckdns… DD-WRT ftw

  32. niestety moja domena definitywnie padla;-(

  33. Przejęcie tysięcy domen w celu walki z hakierami… może od razu zamknąc internet to botnety znikną w 100% !!! świat będzie bezpieczny a ludzie zaczną do siebie chodzic na piechotę bo przejmiemy auta by zniknęły wypadki na drogach a karetki zastąpią wysokowydajne konie pociągowe…

  34. W zasadzie to kozoje..cy mogliby na tej samej zasadzie w US&A walczyć z przestępczością. Jakiś muslimski sąd wydaje wyrok na handlarzy bronią, narkotykami, zabójców i drobnych złodziei. Po czym banda fanatyków detonuje jakieś zajebiaszcze ładunki, które całe miasta równają z ziemią. Wg. logiki tych z US&A takie coś powinno być zupełnie oki. W imię walki z przestępczością.

  35. Powiem szczerze że bardzo dziwię się że temat jest tak mało nagłośniony. Według mnie teraz każda firma/osoba powinna zacząć się bać o swoje dobra, skoro z łatwością można legalnie te dobra przejąć. Jeżeli zdarzył się jeden taki przypadek to teraz mogą pojawić się następcy Microsoftu którzy będą chcieli przejmować dobra innych firm.
    Spójrzcie na to z tej strony. Mam firmę i składam 100 takich spraw. Opłacam oczywiście koszty sądowe, ale jak chociaż jedną taką sprawę wygram to ‘mogę’ wyjść na plus.

  36. Wpiszcie DNS Microsftu to domeny no-ip zaczną działać 157.56.78.73 :)

    • Nje, bo to honeypot i wszczykują swoje tajne 0daye ( ͡º ͜ʖ ͡º)
      Chyba ich pojehbało, jeśli to prawda… Mniejszy problem zmienić DDNSa C&C, niż wyjaśnić milionom zwykłych użytkowników ręczną konfigurację. Nie wierzę, że No-ip nie odzyska domen, więc samym sinkholingiem gunwo zrobią i trzeba się będzie dogadać z no-ip na abuse, a ci pewnie nie mieliby nic przeciwko “a letter of spiehdalaj” z jakiegokolwiek powodu… Z drugiej strony, teraz M$ łapie logi i tuneluje (MiTM) podejrzane “zombie, albo wkurfieni userzy”… Kolejny kopniak dla prywatności w internecie.
      Od kiedy M$=FBI?? Pamiętajcie o tym przy zakupie Windowsa.

    • Jak się okaże, że tunelują, analizują i zombiakom wszczykują szczepionki, to pozdrawiam serdecznie i chyba nigdy więcej nie podłączę komputera z windowsem do internetu.

    • @Adam

      Nawet jeśli ich DNS’y działają, to i tak bez sensu. Ja mam u siebie dwie strony i zależy mi, aby każdy miał do nich dostęp, a przecież nie przekonam wszystkich, aby wpisali DNS’y od MS.

    • Jak macie windowsa, to i tak im zaufujaliście. Więc po co wstrzykiwać?

  37. Kanalie z M$ powinny za to skończyć w kryminale.
    U nas w firmie korzysta się z no-ip do różnych celów, między innymi serwery VPN miały ponadawane w ten sposób nazwy coby nie trzeba było pamiętać numerków, parę innych rzeczy również używa od wielu lat domen z no-ip (pamiątka jeszcze z czasów jak neo było rarytasem i tak się ratowaliśmy przed zmiennym IP). Całe grube lata wszystko działało totalnie bezawaryjnie, aż tu nagle jeb taki c**j, jednego dnia kupa rzeczy wysiadła.

  38. Nie mam Windowsa.

    • Ech, miało być do odpowiedzi @macak

  39. Microsoft to takie internetowe Guantanamo, tylko prowadzone przez firmę prywatną.

    Amerika to bardzo dzifny kraj…

    A możę by tak w ramach proaktywnej ochrony użytkowników przed szkodliwym oprogramowaniem jakaś firma prywatna przejęła domenę microsoft.com, bo z tej domeny regularnie wysyłane jest do milionów użytkowników na całym świecie oprogramowanie umożliwiające przejęcie kontroli nad komputerem :-)

    • “Amerika” to nie kraj… Nawet Ameryka też nie. ;)

  40. Mogę powiedzieć że do dzisiaj na domenę noip np z PLAY lub Orange nie idzie się dostać , pomaga zmiana DNS na serwer opendns lub google, ale problem zaczyna się na smartfonach lub tabletach w sytuacjach gdy na przykład mają podgląd z monitoringu

  41. W wypadku MS wysyłanie malwareu byłoby nie na miejscu (zaszkodziliby “dobremu imieniu” firmy), więc najlepszym rozwiązaniem jest przejęcie botnetów konkurencji pod przykrywką walki z botnetami. My tu gadu gadu o dobru użytkowników, a botnet się buduje… Jak to mówią: najciemniej pod latarnią.

  42. Czy ktokolwiek z Was sprawdzał swoje logi na routerze?
    Czy przy okazji “przejęcia” w stronę użytkowników nie był przeprowadzony jakiś złośliwy atak?

    Mój Mikrotik tego dnia (30.06 lub 1.07) resetował się do południa kilkanaście razy, więc śmiem twierdzić, że oprócz przejęcia było coś jeszcze…. czy jestem w błędzie?

    Napiszcie co Wy (mający konta w no-ip) zaobserwowaliście u siebie.

    Fakt – wczoraj po południu 17- 19 (02.07.2014) ddns powoli zaczął funkcjonować “poprawnie” przynajmniej u mnie.

    Po tej akcji mam dylemat czy za 90dni (kończy mi się opłacony dostęp) będę z ich usług korzystał?

  43. Podobno Microsoft zaczął oddawać domeny No-IP.

    http://arstechnica.com/security/2014/07/order-restored-to-universe-as-microsoft-surrenders-confiscated-no-ip-domains/

  44. Złodziejstwo, a nie walka z botnetami.

    BTW: jako DDNS bardzo dobrze sprawdza się TOR

  45. UPDate: domeny zwrócono.

    “We would like to give you an update and announce that ALL of the 23 domains
    that were seized by Microsoft on June 30 are now back in our control. Please
    realize that it may take up to 24 hours for the DNS to fully propagate, but
    everything should be fully functioning within the next day. One of the
    domains, noip.me took longer to get back online, but it should be fully
    restored within the next day. Is your service back up? Please send us a tweet
    and let us know.

    We are so sorry for the inconvenience that this takedown has caused our
    customers. Thank you so much for the support and for sticking with us through
    this entire process this week. More information surrounding this event will be
    released within the next few days, so stay tuned. Again, THANK YOU.

    Have any questions or comments? Please do not hesitate to open a Support
    Ticket or give us a call at 775.853.1883, but please understand that we are
    still under heavy call/ticket volume and it may take more time than normal to
    get back to you.

    Have any questions or comments? Please do not hesitate to open a Support
    Ticket or give us a call at 775.853.1883, but please understand that we are
    under heavy call/ticket volume and it may take more time than usual to get
    back to you”

  46. Sędzia Gloria Navarro. Jakim cudem nie wystrzelono jej jeszcze na orbitę to nie wiem. hameryka Panie…

  47. to co jak ja pójdę do sądu że chcę przejąć serwery google (strasznie dużo linków do zawirusowanych lub szkodliwych programów i stron mają) to sąd przychyli się do mojego wniosku i przechwycę ich serwery na własność?
    Skoro M$ może to czemu nie ja? równouprawnienie jest.

  48. I właśnie w tym momencie wyświetliła mi się reklama noip.com… Przypadek? http://i58.tinypic.com/2vajxu9.jpg

  49. Juz podobno dziala jeszcze nie sprawdzalem
    http://bit.ly/emailodnoip

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: