Public DENIC mailinglist

[Florian Weimer <fw AT deneb.enyo.de>]

Hallo,

wir hatten vor einiger Zeit ja durchaus erhitzte Diskussionen wegen
des Genaugigkeitsproblems beim WHOIS.

Sind bei der DENIC irgendwelche Richtlinien in Entwicklung, was die
Bekämpfung von mißbräuchlichen Domainregistrierungen angeht? Wenn wir
davon ausgehen, daß NIC.AT demnächst einknickt (siehe unten), werden
die Täter sicherlich irgendwann die TLD wechseln.

Die Situation in .AT ist weitestgehend mit .DE vergleichbar: Thick
Registry, Registrare werden nicht veröffentlicht, Adreßvalidierung bei
der Registrierung ist gebrochen[1]; in .AT ist die Zahl der
Direktregistrierungen allerdings höher. Das führt dazu, daß es möglich
ist, Delegationen zu erhalten und damit Infrastruktur zu betreiben,
für die kein Verantwortlicher greifbar ist. Nameserver und Webserver
(technisch sind das i.d.R. Reverse Proxies) werden meist auf
kompromittierten Maschinen gehostet. Dank der Flexibilität von DNS
(mehrfache Redundanz bei den Nameservern, rascher Wechsel von A-RRs)
ist es faktisch unmöglich, auf IP- bzw. ISP-Ebene die Täter zu
stoppen. Deswegen sind viele TLDs dazu übergegangen, betroffene
Domains unbürokratisch zu löschen (bzw. die Delegation zu entfernen).

Soweit muß man natürlich nicht gehen. Zumindest die Offenlegung der
Registrare als die einzige nicht fälschbare Kontaktinformation wäre
aber ein erster Schritt.

Florian

[1] Was letztlich besser ist, als wenn die Täter geklaute Identitäten
    verwenden.

----------------------------------------------------------------------

<http://www.spamhaus.org/sbl/sbl.lasso?query=SBL55483>

Ref: SBL55483

192.174.68.0/24 is listed on the Spamhaus Block List (SBL)

13-Jun-2007 08:47 GMT | SR14

NIC.at - spam support

The Austrian Registry (.at) is listed in SBL for knowingly providing
services to spammers (mainly phishers). The conduct of, and lack of
co-operation from, this Registry has been of concern to Spamhaus for
some time - other respected organisations had contacted Nic.at about
phishing sites, without any satisfactory reply.

Spamhaus people went to Vienna and interviewed a representative of
the Registry, but were unable to make progress on this issue. Mail
to the registry produced a response from Dr. Barbara Schlossbauer,
of the nic.at legal department, <recht AT nic.at>, who told us that we
would have to provide proof of bogus WHOIS address before they could
take action on .at domains used for Phishing.

This is obviously unacceptable to Spamhaus users, and is the direct
vehicle for ongoing fraud by organised criminals. Other registries
will shut down such domains immediately on notification - so why do
Nic.at think their keeping such domains registered is acceptable?

Here is a sample of the domains abused in this way; they were all
active today (June 12 2007) and the dates shown are the dates when
they were first observed. Yes, that's up to EIGHT WEEKS ago!

2007-04-19 myjs.at
2007-05-22 comr.at
2007-05-22 comrhome.at
2007-06-09 ply4u.at
2007-06-11 hkdlive.at
2007-06-12 besthkd.at

Nic.at needs to urgently set up communication channels with the
various professional investigators who are investigating phishing:
and of course to review their policies on not taking down domains
being used for phishing.

Hint to Nic.at legal department ...
Phishing is a accessory action to FRAUD, and that's a criminal act.
So far, no phishing gang has sued any hoster or registrar for taking
them down - and it's unlikely they will start now, as by even trying
so do, they would immediately incriminate themselves for the fraud!