IRC-Hijack vom Provider Darf der ISP den Chat seiner User umbiegen?

Trojaner und Botnetze mögen ein Problem sein, darf deshalb aber ein Provider Nameserver so manipulieren, dass Verbindungen in bestimmte IRC-Netze zu seinen eigenen Servern umgebogen werden? Darf er versuchen, ohne das Wissen der User eventuell vorhandene Trojaner und Malware zu deaktivieren oder zu entfernen?

Cox Communications meint offenbar, dass diese Methode durchaus legitim ist. Versucht ein Kunde, zu einem bestimmten IRC-Server zu verbinden, biegt der Cox-Nameserver die Verbindung nicht zum korrekten Rechner um, sondern löst zu einer eigenen IP auf. Der User verbindet sich nicht mit dem gewünschten Chatnetz, sondern mit einem Cox-Rechner, der nun seinerseits den Computer des Kunden auf Trojaner und Malware prüft und versucht, diese zu deaktivieren - falls vorhanden.

Die Motivation ist klar: Botnetze sind eine immense Plage geworden. Oft Netzwerke von hunderttausenden von Rechnern umfassend, können die Armeen von Zombie-Computern für DDoS-Angriffe, zum Versenden von Spam und vielem mehr genutzt werden. Und oft verwenden die Trojaner, die auf den infizierten Rechnern ihr Unwesen treiben, den Internet Relay Chat als Kommunikationsmittel, durch das sie Updates beziehen oder Steuer- und Angriffsbefehle empfangen.

Problematisch: auf dem IRC-Server werden möglicherweise vollkommen legitime Channels gehostet, zu denen die Cox-Kunden nun keinen Zugang mehr erhalten. Weiter: selbst wenn es um die Entfernung von Malware geht, hinterläßt es einen mehr als seltsamen Beigeschmack, wenn ein Provider ungefragt seine Cleaning-Skripte auf Rechner von Kunden loslässt - egal, ob sie infiziert sind oder nicht.

Zu guter Letzt ist die ganze Aktion nicht ganz risikolos - Cox wird durchaus Expertise in Sachen Botnetze und Trojanern besitzen, aber wer wann die Trojaner auf dem Netz auf welche weise steuert, wird der Provider auch kaum ahnen können. Und auch ungesteuerte Botnetze sind eine Gefahr - auch ohne dass jemand versucht, sie zu manipulieren. Ende 2005 konstatierte Sicherheitsexperte Bruce Schneier, dass er es für ein unvertretbares Risiko halte, ein großes Botnetz abzuschalten - auch wenn die steuernden Hintermänner gefasst sind. Ginge beim Abschalten eines Zombie-Netzwerks von vermuteten 1,5 Millionen Rechnern eine Kleinigkeit schief, könne man mittlere Netzkatastrophen auslösen.

Auf der anderen Seite: andere Provider sperrten infizierten Rechnern ihrer Kunden auch schon einfach mal den Netzzugang. Von dieser Warte aus betrachtet, agiert Cox noch durchaus im Rahmen.

• 7 Kommentare zum Artikel

• Zitat: Zitat von wtfbbq wenn das mal schäuble nicht als vorbild nimmt um irc networks aufs bka umzuleiten und versucht vor terroristen zu shcützen Interessante Idee... Per Gesetz alle ISPs dazu zwingen alle Anfragen auf einen transparenten Proxy umzuleiten und dann alles mit zuloggen, ich denke zwar das die Datenflut unglaublich sein würde, aber wenigstens hätte man dann exklusiven Zugriff auf alle ...

  4-No0!3-15 am 27.07.2007 09:16

• dieses blabla von wegen "botnetze nicht abschalten"... wieso nicht? wenn ich weiß wie die dinger funktionieren kann ich doch n update reinhauen von wegen "aktivität einstellen" und ruhe is oder? und zum thema schäuble: ich _BIN_ schon lange paranoid was diesen freak angeht.... und wenn ich verschlüsselungskeys weiterzugeben habe dann passiert das persönlich ^^

  Laird_Dave am 27.07.2007 09:42

• Zitat: wenn ein Provider ungefragt seine Cleaning-Skripte auf Rechner von Kunden loslässt Hmm... wie die das wohl machen dass sie die skripte auf den kundenrechner bekommen und dann auch noch ausführen können...

  maX7C am 28.07.2007 21:02

• Zitat: Zitat von Andi306 Hmm... wie die das wohl machen dass sie die skripte auf den kundenrechner bekommen und dann auch noch ausführen können... Vielleicht nutzen sie den installierten Trojaner.

  radomtyp am 28.07.2007 21:12
• [...] Diskussion lesen oder Artikel kommentieren