SWITCH vs Malware or: How I learned to stop worrying and love the DNS block

Am Nachmittag des 30. Juni besuchte ich für meine Firma das Malware-Get-Together, welches von SWITCH, dem (derzeitigen) Schweizer Domain-Registrar, einberufen wurde. Darin hat SWITCH den anwesenden Vertretern von Hostern und ISPs den seit Ende November 2010 angewandten Anti Malware-Prozess vorgestellt und uns auf einige mögliche Tücken beim Bereinigen von betroffenen Webseiten aufgezeigt.

Bei der Malware handelt es sich meist um sog. Drive-By-Downloads. Die Angriffe erfolgen entweder über FTP-Zugangsdaten, welche von bereits infizierten Rechnern stammen, durch bekannte Schwachstellen in verbreiteten CMS-Lösungen oder, seltener, über Lücken in der Infrastruktur der Hoster. Betroffene Webseiten werden dann mehr oder weniger auffällig mit unsichtbaren iframes oder Schadcode-Scripts bestückt. Rechner welche diese vermeintlich harmlosen Webseiten ansurfen, werden dann mit der Malware infiziert (meist über Sicherheits-Lücken in populären Addons wie Flash, Silverlight oder PDF-Readern).

Wenn nun der SWITCH eine Webseite gemeldet wird, die Malware verbreiten soll, wird das zuerst von Ihren Fachleuten überprüft. Können diese die Meldung bestätigen, dann wird eine E-Mail an den Halter und den Technischen Kontakt gesendet. Ist das Problem nach 24 Stunden nicht behoben, werden die Nameserver-Einträge der betroffenen Domäne temporär gelöscht und die MELANI informiert. Das bedeutet, dass weder die Webseite selbst, noch darüber laufende E-Mail, noch sonstige unter dieser Domäne laufende Dienste erreichbar sind.

Als Hoster wurden wir einbezogen, weil SWITCH nach diesen Mails meist mit aufgeregten und technisch wenig versierten Endkunden konfrontiert ist. Diese wissen in der Regel nicht, wie genau sie darauf reagieren sollen oder missverstehen das Mail gar als Drohung oder Erpressung. In einigen Fällen waren auch die PCs der Webmaster befallen; Wenn diese dann das Problem bereinigten, war die Seite gleich wieder infiziert, selbst nach dem Wechseln der FTP-Passwörter. Als Hoster könnten wir das Problem jedoch direkt an der Wurzel angehen und Kunden auch auf anfällige, veraltete Software-Installationen hinweisen. Daher plant SWITCH in Zukunft auch die E-Mail-Adresse im SOA-Record der DNS-Zone zu informieren, da dies in der Regel die Adresse des Hosters ist.

In der Präsentation wurden auch einige Zahlen zum Prozess genannt. Die Angaben umfassen die Zeit zwischen November 2010 bis Juni 2011.

Anzahl Sperren:

  • 968 (85.2%) Halter konnten das Problem innerhalb der 24h-Frist lösen und wurden gar nicht blockiert
  • 78 (6.9%) Halter wurden geblockt, konnten das Problem schliesslich beheben und wurden dann manuell entsperrt
  • 90 (7.9%) Halter konnten das Problem nicht lösen und wurden nach Ablauf der temporären Sperre automatisch entsperrt

Dauerhaftigkeit der Bereinigung:

  • 795 (71%) Halter wurden nur einmal benachrichtigt
  • 228 (20.4%) Halter wurden zweimal benachrichtigt
  • 57 (5.1%) Halter wurden dreimal benachrichtigt
  • 32 (2.9%) Halter wurden viermal benachrichtigt
  • 8 (0.7%) Halter wurden fünfmal oder mehr benachrichtigt

Den Abschluss des Treffens bildete eine freie Diskussionsrunde und darin sprach SWITCH selbst ein Problem der ganzen Angelegenheit an: Dieser Anti-Malware-Prozess könnte politisch missbraucht werden. Andere Registrare hätten sich daher sehr ablehnend gegenüber der Idee eines solchen Prozesses verhalten. Das natürlich hauptsächlich aus wirtschaftlichen Gründen: Die Prüfung solcher Meldungen ist ein grosser Aufwand, sofern man es seriös machen will. Auch besteht die Angst der Registrare, durch die Einführung eines solchen Prozesses einen Dammbruch an Sperr-Forderungen durch Politiker auszulösen. Die könnten das Ganze missverstehen und fordern, dass man auf die gleiche Weise auch Urheberrechts-Verletzungen, missbilligte Pornographie oder gar unliebsame Meinungsäusserungen aus dem Netz nimmt.

SWITCH versuchte sich davon abzugrenzen, in dem sie diesen Prozess einzig und alleine als Feuerwehr-Werkzeug bei Malware einsetzen wollen. Gesetzlich haben sie sich über das BAKOM abgesichert. Und natürlich treffen auch die meisten Kritikpunkte gegen die Zensursula-Stoppschilder auf diesen Malware-Prozess zu: Er blockiert nur die Domänen-Namen, der Content ist weiterhin im Netz verfügbar.

Mit dem Prozess in der aktuellen Form kann ich leben. Es ist ja zu begrüssen, dass die Malware in ihrer Verbreitung behindert wird. Aber es gibt schon ein paar Dinge, die einem etwas quer im Magen liegen können:

  • Auch wenn die Sperren nur temporär sind uns somit die Seiten nicht für immer aus dem DNS gestrichen sind: Die Androhung der Sperrung ist ein Druckmittel. Würden die Halter nicht befürchten, dass Ihre Webseite gesperrt wird, würden sie das Problem kaum ernst nehmen.
    Zynisch gesagt ist das für uns als Hoster und Webmaster natürlich toll, weil wir nun endlich ein gutes Druckmittel gegen unsere Kunden in der Hand haben um ihnen regelmässige Wartungsarbeiten verkaufen können. Das ist eigentlich Pflicht beim Betreiben einer Webseite. Aber viele kleinere Unternehmen, Vereine oder Privatpersonen sind froh, wenn die Seite dann mal steht und wollen möglichst nichts mehr dran ändern, wenn es mal läuft. Aber genauso, wie ein schlecht gewarteter Computer sich in Windeseile in eine Virenschleuder verwandeln kann, ist es eben auch mit den Programmen in der „Cloud“.
  • Dann ist da natürlich die politische Komponente: Nun müssen wir aufpassen, dass kein schlecht informierter Politiker das aus Populismus zu anderen Zwecken missbraucht will. Am Treffen haben wir noch herzhaft gelacht über den Einwurf „China“ zur Frage, welche anderen Länder-Registrare einen ähnlichen Prozess durchführen.
  • Natürlich müssen die Halter informiert werden, wenn etwas mit ihrer Domäne nicht stimmt, alleine schon um sich rechtlich abzusichern. Aber eigentlich sind sie die falsche Ansprechsperson. Im Allgemeinen ist der Halter kein Techniker und wird nicht wissen, wie er auf die Meldung reagieren soll. Lösen kann das Problem sein Webmaster. Oder zumindest sollte der das können.
    Darum ist es wichtig, dass als Technischer Kontakt in der Domäne die Firma oder Person eingetragen ist, die mit technischen Meldungen auch etwas anfangen kann. Dumm ist es, wenn dort dann nochmals der Halter eingetragen ist. Aber daran arbeitet SWITCH ja nun. Schliesslich hatten sie ja selber einen grossen Rücklauf an Support-Anfragen aufgrund ihrer Mails.

Wer sich noch etwas weiter über das Thema informieren möchte, dem sei die FAQ der SWITCH zum Thema und dieser Blog-Beitrag der Genotec empfohlen.

Bei den Piraten im Forum möchte mich für ihre Meinungen und Argumentationen bedanken, auf denen dieser Blogbeitrag basiert. Merci!