terça-feira, 1 de julho de 2014

Microsoft, para derrubar botnet, derruba o No-IP deixando milhões de inocentes na mão.

Hoje a Microsoft exagerou na dose.

Ontem, inexplicavelmente o No-IP parou de funcionar como deveria, não só na minha máquina, como também em diversos computadores e servidores ao redor do mundo, o que gerou até uma discussão em algumas listas a respeito disso até que veio a notícia: A Microsoft vai atrás de um argelino e um kuwaitiano por conta de um malware que aproveita do No-IP e resolvem pegar o controle de 23 domínios que é utilizado pela empresa. Ou seja, 23 domínios fora do ar.

Segue uma tradução do http://www.theregister.co.uk/2014/07/01/microsoft_takes_over_noip_domains_to_block_malware_marketing/ que explica melhor sobre o que aconteceu.

A Microsoft obteve uma liminar que dá o controle sobre 23 domínios pertencentes ao provedor de DNS dinâmico (DDNS) Vitalwerks Internet Solutions - depois de alegar que eles estavam sendo utilizados por um malware desenvolvido no Oriente Médio e África.

Vitalwerks opera o serviço No-IP DDNS  no estado americano de Nevada, e não há evidência de que estava envolvido com as operações do malware.

O serviço trabalha por mapear o endereço IP dos usuários, como, por exemplo, o ip público do roteador ADSL do tipo minhacasa.ddns.net. Isso permite conectar na máquina por um hostname de fácil memorização mesmo que você esqueça do endereço IP ou o provedor resolve mudar (do tipo caiu a conexão e ganha um novo ip ao reconectar).

O time de pesquisa em segurança da Microsoft alega que identificou dois tipos de malware para Wndows, Balbadini e Jenxcus, usando contas do No-IP para comunicar com os seus criadores em 93% das infecções detectadas e que, 245 partes do malware também usa o No-IP.

"Apesar de numerosos avisos da comunidade no abuso nos domínios do No-IP, a empresa não tomo as medidas suficientes para corrigir, remediar, prevenir ou controlar o abuso ou manter os domínios seguros de atividade maliciosa." alega Richard Boscovich, conselheiro geral assistente da Unidade de Crimes Digitais da Microsoft.

Os papeis do processo alega que Blabadini foi escrito por Naser Al Mutairi, um morador do Kuwait, enquanto Jenxcus, supostamente e executado por um Argelino chamado Mohamed Benabdellah. A Microsoft alega que ambos venderam, aproximadamente, 500 cópias do malware para criminosos e, anunciaram isso enquanto usam o No-IP para cobrir os seus rastros. A gigante do software disse que detectou cerca de sete milhões de infecções pelos dois pacotes.

A corte em Nevada deu ordem de restrição temporária contra o No-IP, e o seu tráfego de DNS está passando pelos servidores da Microsoft, aonde as informações são filtradas para encontrar hostnames associado com a atividade maliciosa. Redmond diz que esta é a primeira vez que a empresa tomou medidas contra botnets que operam fora da Europa.

No-IP na linha de tiro novamente

Não é a primeira vez que  o serviço No-IP foi apontado  por prover um canal para operação de malwares. Em fevereiro, a Cisco publicou dados mostrando uma grande quantidade de tráfego de malware que estavam fluindo pelos servidores DNS da Vitalwerks.

Hoje, a ação judicial sucedida, foi recebida com uma decepção pela empresa controladora do No-IP Vitalwerks. A porta voz Natalie Goguen disse para o The Register que a Microsoft não entrou em contato antes da tomada, e que a primeira vez que a empresa soube da ação foi quando os papeis chegaram no CEO ainda no café da manhã, e milhões dos seus clientes estão agora sem o serviço.

"Nós temos cerca de quatro milhões de usuários afetados pela queda, pessoas que estão fazendo coisas muito boas com o serviço," disse ela. "A Microsoft deveria filtrar o tráfego de malware do tráfego bom mas aparentemente os seus servidores não podem lidar com isso."

Gougen disse que a empresa faz o melhor para filtrar o tráfego malicioso dos seus servidores DNS - embora, com apenas 14 empregados, as habilidades são de fato limitados. E adicionou que fica feliz em trabalho com outras empresas para fazer que as pessoas parem de usar o seu serviço de forma ilegal.

Microsoft disse para o El Reg que, devido a ação em curso contra e empresa e os dois criadores do malware, está incapaz de comentar sobre as alegações da Vitalwerks sobre a queda.

Redmond, em vez disso, limitou os seus comentários a duas postagens do blog e um infográfico.

Ou seja, para combater um problema, em vez de correr atrás dos ips das máquinas para neutralizar, resolvem derrubar um serviço prejudicando milhões de inocentes que não tem nada em relação a isso.

Os mais apressados devem procurar um provedor alternativo enquanto essa enrolação jurídica não se resolve. Mas que dá raiva na Microsoft, isso é a mais pura verdade.

Atualização(02/07): Segundo o http://www.noip.com/blog/2014/06/30/ips-formal-statement-microsoft-takedown/, uma solução encontrada é criar um novo hostname usando um dos domínios que não foram ou que ainda não foram tomados pela Microsoft:

ddns.net
webhop.me
serveminecraft.net
ddnsking.com
onthewifi.com

Eu fiz a reconfiguração e deu certo. Como uso um CNAME de um host adilson.net.br para o novo hostname do No-IP, então nem preciso decorar o novo nome para acessar a minha máquna. De, qualquer forma, criei um outro hostname de backup em http://freedns.afraid.org/ que também está funcionando sem problemas. Vai que a Microsoft resolva tomar os domínios restantes do No-IP

Tenham uma boa semana.

2 comentários:

  1. sera que tem outro servidor do genero???

    ResponderExcluir
    Respostas
    1. http://freedns.afraid.org/. Também tem domínios do No-IP que não cairam nas mãos da Microsoft. É
      só seguir os links da ultima atualização do post.

      Excluir