Ehemalige DNSChanger-Adressen wieder in freier Wildbahn

Die europäische IP-Adressvergabestelle RIPE NCC hat zwei der für den DNSChanger-Hack genutzten IP-Adressblöcke neu vergeben. Von vergangenen November bis Mitte Juli waren die Adressen laut einem US-Gerichtsbeschluss vom FBI und dem US-Technologieunternehmen ISC betrieben worden, da ein totaler Blackout der durch die Changer-Software manipulierten Rechner privater Nutzer befürchtet worden war. Die Neuvergabe sei viel zu schnell erfolgt, jammerten nun einzelne Mitglieder der dem FBI zuarbeitenden DNS Changer Working Group, allen voran der damalige ISC-CEO Barry Greene. Aus Sicht des RIPE NCC ist die Wiedervergabe dagegen ganz normales Prozedere.

Nach wie vor, so fürchten Administratoren aus dem Kreis der North American Network Operator Group (NANOG), könnten Millionen von Rechnern mit den per Changer verdrehten Adressen auf die Adressen zeigen, ein Problem auch für die neuen Inhaber. Sowohl Inevo in Rumänien (ehemaliger DNSChanger-Block 93.188.160.0 bis 93.188.167.255) als auch Aurimus Rapalis in Litauen (ehemaliger DNSChanger-Block 85.255.112.0 bis 85.255.127.255) nutzen die Adressen derzeit allerdings noch nicht für von außen erreichbare Server. Ob sie selbst die Adressen noch in "Quarantäne" halten wollen oder wie sie einer möglichen Flut umgeleiteter DNS-Anfragen begegnen wollen, dazu schweigen sich beide Hoster derzeit aus. Anfragen von heise online blieben bislang unbeantwortet.

Eine Warnung bei der Neuvergabe gab es laut RIPE-NCC-Geschäftsführer Axel Pawlik nicht. Die Abläufe bei der normalen Adressvergabe sähen das nicht vor. Nach der vom RIPE NCC vorgenommenen zwangsweisen De-Registrierung der DNSChanger-Blöcke und einer sechswöchigen Wartezeit wurden sie normal vergeben. "Die Blöcke kamen aus der Quarantäne und wurden vom Automaten aus dem großen Becken gefischt und vergeben", erläutert Pawlik. Beschwerden oder Bemerkungen von den Mitgliedern habe es bislang keine gegeben. Überhaupt sieht man die Sache auf Seiten der RIPE-Mitgliedschaft eher gelassen.

Das Ganze hat allerdings noch eine politische Komponente, tritt das RIPE NCC doch Anfang November gegen die Niederlande vor Gericht auf, um klären zu lassen, ob das von der Polizei in Amsterdam im Handstreich erzwungene Einfrieren der DNSChanger-IP-Adressblöcke im vergangenen Jahr nicht rundweg illegal war. Auf Anforderung der FBI-Kollegen hatten die niederländischen Strafverfolger das RIPE NCC gezwungen, alle Änderungen in Bezug auf die Adressen zu blockieren.

Nachdem die Anwälte beim RIPE NCC zunächst eingeknickt waren, hatten sie sich nach kurzer Bedenkzeit anders besonnen und die Polizeianordnung ohne regulären Beschluss eines niederländischen Gerichts für nichtig erklärt. Erst dadurch waren De-Registrierung und Neuvergabe möglich geworden. Beobachter aus Europa sehen in der anstehenden Verhandlung auch einen Fingerzeig dafür, wie die Europäer künftig mit Schnellschüssen von jenseits des Atlantik umgehen, insbesondere, wenn in der Zukunft durch einen simplen Widerruf von Routingzertifikaten das Routing eines unter Anklage stehenden Unternehmens nachhaltig behindert werden kann. (bo)