RIPE: DNS-Changer-Gegenmaßnahme als Sündenfall
Das RIPE NCC lässt gerichtlich klären, ob es eine Rechtsgrundlage für die Blockade der Server für die DNS-Changer-Malware gibt. Derweil kritisieren viele RIPE-Mitglieder das anfängliche Einknicken der Adressverwaltung als Sündenfall.
Die von der niederländischen Staatsanwaltschaft veranlasste Blockade von IPv4-Adressen, die im Zusammenhang mit der DNS-Changer-Malware genutzt wurden, hat ein doppeltes Nachspiel. Einerseits läßt das RIPE NCC gerichtlich derzeit klären, ob es eine Rechtsgrundlage für derartige Eingriffe im niederländischen Gesetz gibt. Andererseits kritisierten viele RIPE-Mitglieder das anfängliche Einknicken der Adressverwaltung als bedenklichen Sündenfall. Die DNS-Changer-Malware hatte bis zum Zugriff des FBI Millionen von Nutzer per Manipulation der DNS-Einstellungen auf die Server der Bande umgeleitet.
Die direkten Anfragen des gegen die DNS-Changer-Bande ermittelnde FBI hatte das RIPE NCC zunächst mit dem Hinweis auf die für sie zuständige niederländische Polizei beantwortet, berichtete RIPE NCC Justiziar Jochem de Ruig (PDF-Datei). Als die niederländische Polizei auf der Basis des US-EU-Rechtshilfeabkommens rasch eine Anordnung nachschob, gab das RIPE NCC den Widerstand auf. Erst im Nachhinein, so de Ruig, sei man zur Erkenntnis gelangt, dass die Anordnung der Polizei auf tönernen Füßen stand und sich einfach auf die allgemeine "Gefahrenabwehr" durch die Polizei stützte (Paragraph 2 des niederländischen Polizeigesetzes).
"Rückblickend betrachtet, wäre es wohl besser gewesen, wen wir die Anordnung nicht ausgeführt hätten," räumte Ruig jetzt vor den Mitgliedern ein. Künftig werde man darauf bestehen, dass ein Gericht die Sache geprüft habe. "Wir werden nicht wieder einknicken", sagte RIPE-NCC-Chefwissenschaftler Daniel Karrenberg.
Als extrem bedrohliches Beispiel für das im Aufbau befindliche System der zertifizierten Routen bezeichnete Randy Bush von der Internet-Initiative Japan den Vorfall. Bush wies darauf hin, dass das Widerrufen von Routing-Zertifikaten bei weit verbreiteter Validierung dazu führt, dass die betroffenen Server sofort aus dem Routing-System herausfallen und unerreichbar werden. Genau diese Bedenken hatten in den vergangenen Monaten zu harten Diskussionen um das RPKI-System geführt.
Pascal Gloor, Vorsitzender der "Swiss Network Operators Group" - und gleichzeitig Vizepräsident der Schweizer Piraten - empfahl beim RIPE-Treffen angesichts des Problems, noch einmal über eine Dezentralisierung der Quellen nachzudenken, über die die Zertifikate bezogen werden. Die Idee wird von vielen Routing-Experten wegen der zusätzlichen Komplexität abgelehnt.
RIPE NCC und auch die Bind-Schmiede ISC mussten sich in Ljubljana fragen lassen, was sie tun würden, wenn Anordnungen kämen, die in unterschiedlichen Rechtsräumen unterschiedlich beurteilt würden. Die damals "gekaperten" Server betreibt das ISC seither übrigens für das FBI.
Ob man diese Brücke überquere, entscheide sich, wenn man davor stehe, sagte Joao Damas von ISC. Damas informierte die RIPE-Mitglieder, dass die von der US-Justiz noch einmal verlängerte Umleitung am 9. Juli enden soll. "Es wird definitiv die letzte Verlängerung sein, wir können diese Adressen nicht ewig spoofen." Damas sagte auch, dass betroffene Provider die Umleitung auch im eigenen Netz abwickeln könnten. Das würde das Auflaufen von Verkehrsdaten bei ISC/FBI in den USA verhindern. Laut DNS Changer Working Group gibt es noch rund 350.000 infizierte Server, in Deutschland sollen es mehrere zehntausend sein. (rek)
