Bei der Bekämpfung von Malware und Botnets könnten Algorithmen künftig eine größere Rolle spielen, wenn ICANN im Gegenzug einen finanziellen Anreiz bietet. Das empfehlen zumindest zwei Stakeholder-Gruppen der Netzverwaltung, auch wenn diese Umsetzung vorerst freiwillig bleibt.
Seit geraumer Zeit ist ICANN darum bemüht, das Domain Name System (DNS) als eine globale Ressource vor Missbrauch (DNS Abuse) zu schützen. In der Regel zählen als Missbrauch fünf verschiedene Kategorien: Malware, Botnets, Phishing, Pharming und Spam, letzterer aber nur, wenn er als Liefermechanismus für die anderen vier Kategorien von Missbrauch dient. Unverlangt zugesandte, massenhaft versendete Werbebotschaften ohne Missbrauchshintergrund fallen damit aus dem Raster, solange sie nicht etwa dem Phishing dienen. Zu diesem Zweck hat sich ICANN unter anderem mit dem Spamhaus-Projekt zusammengeschlossen und die Datenkanäle von Spamhaus lizensiert, um Berichte zu erstellen, Risiken zu bewerten, Ermittlungen anzustellen und Vorhersagemaßstäbe festzulegen. Einen anderen Ansatz verfolgt die Registries Stakeholder Group (RySG) zusammen mit dem Governmental Advisory Committee (GAC); sie haben ein »Framework on Domain Generating Algorithms Associated with Malware and Botnets« vorgelegt, das in erster Linie Malware und Botnets den Kampf ansagt. Beide Varianten von DNS-Missbrauch setzen unter anderem auf »Domain Generating Algorithms« (DGAs), also einen Algorithmus, der automatisiert Domain-Namen erzeugt und registriert, um Aktivitäten zu verschleiern. Botnets kommunizieren mit einem Command & Control (C2) Server, um Anweisungen zu erhalten oder gesammelte Daten zu exfiltrieren. Da Verbindungsversuche zu einem C2-Server unter Verwendung fester IP-Adressen oder fester Domain-Namen leicht blockiert werden können, sind Botnetze auf DGAs angewiesen. Sie generieren eine große Anzahl von Domains, die als sogenannte Rendezvous-Punkte für einen C2-Server dienen, also Domain-Namen, die abgefragt werden, um weitere Instruktionen zu erhalten. Dabei müssen sie nicht alle diese Domain-Namen tatsächlich registrieren; eine einzige der algorithmus-basierten Adressen genügt, um Informationen zu empfangen.
Um dem Missbrauch entgegenzutreten, soll es – vereinfacht ausgedrückt – Registries künftig möglich sein, Domains zu registrieren, ohne dass sie dafür Gebühren an ICANN zahlen müssen. Kennt man den Algorithmus, kann man die vom DGA produzierten Domain-Namen ermitteln und präventiv registrieren; auf diesem Weg stoppt man die Weiterverbreitung von Schadprogrammen. Als historisches Beispiel gilt »Conficker«, eine Gruppe von Computerwürmern, deren verschiedene Versionen ab November 2008 mehrere Millionen Windows-Rechner infizierten. Sie konnte ab Mitte 2009 gestoppt werden, unter anderem weil gTLD- und ccTLD-Betreiber gemeinsam alle potentiell in Betracht kommenden Adressen registriert hatten. Im Falle von gTLDs hat dies aber zur Folge, dass Gebühren an ICANN zu zahlen sind. Alternativ käme in Betracht, solche Domains auf eine Liste reservierter Namen zu setzen; das lässt das Registry-Agreement mit ICANN aber nur in engen Grenzen zu, zumal die Reservierung nur vorübergehend gelten würde und sich die Zahl der zu reservierenden Domains rasch ändern könnte. Der Verzicht auf Registry-Gebühren scheint daher praktisch sinnvoller. Zudem drängt die RySG darauf, dass die zu registrierenden Domains nur auf gerichtliche Anordnung hin registriert werden; die wäre von den Strafverfolgungsbehörden zu erwirken.
Der große Nachteil: derzeit sind die Empfehlungen von RySG und GAC rein freiwillig und nicht verpflichtend. Sie müssen also weder von gTLD- noch von ccTLD-Registries beachtet werden, so dass Cyberkriminelle im Falle einer freiwilligen Verpflichtung auf TLDs ausweichen könnten, die den Empfehlungen nicht folgen. Immerhin dokumentieren RySG und GAC aber, dass sie es mit der Bekämpfung von DNS-Missbrauch ernst nehmen – ernster als jemals zuvor.