#1 27. Juli 2007 Trojaner und Botnetze mögen ein Problem sein, darf deshalb aber ein Provider Nameserver so manipulieren, dass Verbindungen in bestimmte IRC-Netze zu seinen eigenen Servern umgebogen werden? Darf er versuchen, ohne das Wissen der User eventuell vorhandene Trojaner und Malware zu deaktivieren oder zu entfernen? Cox Communications meint offenbar, dass diese Methode durchaus legitim ist. Versucht ein Kunde, zu einem bestimmten IRC-Server zu verbinden, biegt der Cox-Nameserver die Verbindung nicht zum korrekten Rechner um, sondern löst zu einer eigenen IP auf. Der User verbindet sich nicht mit dem gewünschten Chatnetz, sondern mit einem Cox-Rechner, der nun seinerseits den Computer des Kunden auf Trojaner und Malware prüft und versucht, diese zu deaktivieren - falls vorhanden. Die Motivation ist klar: Botnetze sind eine immense Plage geworden. Oft Netzwerke von hunderttausenden von Rechnern umfassend, können die Armeen von Zombie-Computern für DDoS-Angriffe, zum Versenden von Spam und vielem mehr genutzt werden. Und oft verwenden die Trojaner, die auf den infizierten Rechnern ihr Unwesen treiben, den Internet Relay Chat als Kommunikationsmittel, durch das sie Updates beziehen oder Steuer- und Angriffsbefehle empfangen. Problematisch: auf dem IRC-Server werden möglicherweise vollkommen legitime Channels gehostet, zu denen die Cox-Kunden nun keinen Zugang mehr erhalten. Weiter: selbst wenn es um die Entfernung von Malware geht, hinterläßt es einen mehr als seltsamen Beigeschmack, wenn ein Provider ungefragt seine Cleaning-Skripte auf Rechner von Kunden loslässt - egal, ob sie infiziert sind oder nicht. Zu guter Letzt ist die ganze Aktion nicht ganz risikolos - Cox wird durchaus Expertise in Sachen Botnetze und Trojanern besitzen, aber wer wann die Trojaner auf dem Netz auf welche weise steuert, wird der Provider auch kaum ahnen können. Und auch ungesteuerte Botnetze sind eine Gefahr - auch ohne dass jemand versucht, sie zu manipulieren. Ende 2005 konstatierte Sicherheitsexperte Bruce Schneier, dass er es für ein unvertretbares Risiko halte, ein großes Botnetz abzuschalten - auch wenn die steuernden Hintermänner gefasst sind. Ginge beim Abschalten eines Zombie-Netzwerks von vermuteten 1,5 Millionen Rechnern eine Kleinigkeit schief, könne man mittlere Netzkatastrophen auslösen. Auf der anderen Seite: andere Provider sperrten infizierten Rechnern ihrer Kunden auch schon einfach mal den Netzzugang. Von dieser Warte aus betrachtet, agiert Cox noch durchaus im Rahmen. quelle: gulli untergrund news + Multi-Zitat Zitieren