Microsofts Citadel-Abschaltung sorgt für heftige Kritik
Die Abschaltung des Citadel-Botnetzes, die von Microsoft kürzlich verkündet wurde, lief wohl längst nicht so gut, wie es das Unternehmen darstellte. Jetzt kritisieren Sicherheits-Experten die Aktion, berichtete The Register.
Im Zuge der "Operation b54" gingen Microsoft-Mitarbeiter kürzlich zusammen mit Partnern aus der Finanzbranche, anderen Technologieunternehmen und der US-Bundespolizei FBI gegen eines der aggressivsten und größten Botnetze vor. Rund 1.400 Einzelnetze, die einen Schaden in Höhe einer halben Milliarde Dollar angerichtet hatten, sollen dabei stillgelegt worden sein.
Microsoft hatte bereits eingeräumt, dass es aufgrund der Größe der Infrastruktur möglich sei, dass man nicht den kompletten Verbund zerschlagen konnte. Bei der Aktion wurden beispielsweise rund 4.000 Domains, über die Command-and-Controll-Server des Botnetzes erreichbar sein sollten, an einen Server in Redmond weitergeleitet, um die Trojaner auf den Zombie-Rechnern so steuern zu können, dass sie keine Informationen der Nutzer mehr an Kriminelle leiten und auch ihre Tarnfunktionen für Virenscanner deaktivieren.
So berichtet das Security-Unternehmen Sophos, das Citadel seit einiger Zeit beobachtete, dass im Zuge der Aktion nur knapp die Hälfte der Kontroll-Server abgeschaltet werden konnten - zumindest tauchen nur so viele der bekannten Systeme auf der Liste Microsofts auf. Ein fünftel der übernommenen Domains sollen außerdem nicht auf ein sicheres System verweisen, so dass diese entweder nicht korrekt umgestellt wurden oder aber die Citadel-Betreiber schon wieder die Kontrolle über sie erlangt haben.
Verschiedene Sicherheits-Forscher kritisierten außerdem, dass Microsoft sich nicht ausreichend mit der Security-Szene abgestimmt habe. Dadurch seien neben Systemen der Kriminellen auch mehrere Honeypots, mit denen Botnetze beobachtet werden, um wichtige Erkenntnisse für deren Bekämpfung zu gewinnen, mit verschwunden. Die Experten rechnen nun damit, dass ein Teil ihrer Arbeit verloren ist.
Ein weiterer, durchaus schwerwiegender Kritikpunkt lautet, dass Microsoft bei der Aktion klar Gesetze übertreten hat. Denn die von den Citadel-Trojanern befallenen Rechner wurden mit einer neuen Konfigurations-Datei versorgt, die Anwender, die Facebook besuchen wollen, auf eine Warn-Seite von Microsoft umleitet. Da die befallenen Rechner zu einem guten Teil auch außerhalb der USA stehen, stellt eine solche Manipulation der Systeme wegen der dort nicht vorliegenden richterlichen Genehmigungen bei aller guten Absicht eine Straftat dar.
Microsoft hatte bereits eingeräumt, dass es aufgrund der Größe der Infrastruktur möglich sei, dass man nicht den kompletten Verbund zerschlagen konnte. Bei der Aktion wurden beispielsweise rund 4.000 Domains, über die Command-and-Controll-Server des Botnetzes erreichbar sein sollten, an einen Server in Redmond weitergeleitet, um die Trojaner auf den Zombie-Rechnern so steuern zu können, dass sie keine Informationen der Nutzer mehr an Kriminelle leiten und auch ihre Tarnfunktionen für Virenscanner deaktivieren.
So berichtet das Security-Unternehmen Sophos, das Citadel seit einiger Zeit beobachtete, dass im Zuge der Aktion nur knapp die Hälfte der Kontroll-Server abgeschaltet werden konnten - zumindest tauchen nur so viele der bekannten Systeme auf der Liste Microsofts auf. Ein fünftel der übernommenen Domains sollen außerdem nicht auf ein sicheres System verweisen, so dass diese entweder nicht korrekt umgestellt wurden oder aber die Citadel-Betreiber schon wieder die Kontrolle über sie erlangt haben.
Verschiedene Sicherheits-Forscher kritisierten außerdem, dass Microsoft sich nicht ausreichend mit der Security-Szene abgestimmt habe. Dadurch seien neben Systemen der Kriminellen auch mehrere Honeypots, mit denen Botnetze beobachtet werden, um wichtige Erkenntnisse für deren Bekämpfung zu gewinnen, mit verschwunden. Die Experten rechnen nun damit, dass ein Teil ihrer Arbeit verloren ist.
Ein weiterer, durchaus schwerwiegender Kritikpunkt lautet, dass Microsoft bei der Aktion klar Gesetze übertreten hat. Denn die von den Citadel-Trojanern befallenen Rechner wurden mit einer neuen Konfigurations-Datei versorgt, die Anwender, die Facebook besuchen wollen, auf eine Warn-Seite von Microsoft umleitet. Da die befallenen Rechner zu einem guten Teil auch außerhalb der USA stehen, stellt eine solche Manipulation der Systeme wegen der dort nicht vorliegenden richterlichen Genehmigungen bei aller guten Absicht eine Straftat dar.
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Antivirus:
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
Forum
-
dav2d: ein sehr schneller plattformübergreifender AV2 decoder
d-hubs - Heute 15:26 Uhr -
Neues von Proxmox, dem Virtualisieurngsspezialisten
d-hubs - Heute 10:53 Uhr -
#FLOCK ´26: die Flock to Fedora Project Conference
d-hubs - Gestern 16:05 Uhr -
DigiKam: das Open-Source-Fotoverwaltungsprogramm
d-hubs - Vorgestern 13:22 Uhr -
Alpine-Linux: unter den schlanken Distris
d-hubs - Vorgestern 12:33 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen