Spam jest wyciszany, ale gdzie są federalni?

Ilustracja: John BleckOn 14 października Federalna Komisja Handlu USA, przy pomocy amerykańskiego Federalnego Biura Śledczego i policji Nowej Zelandii, ogłosiła, że ​​zamknęła rozległą międzynarodową sieć spamową jako HerbalKing.

To był triumfalny moment dla FTC, który powiedział, że grupa była powiązana z aż jedną trzecią śmieciowego e-maila w Internecie. W wywiadzie dla The New York Times komisarz FTC, Jon Leibowitz, był skromny w swojej ocenie sytuacji. "Wysyłali nadzwyczajne ilości spamu" - powiedział. "Mamy nadzieję, że pomoże to w niewielkim stopniu zmniejszyć ilość spamu docierającego do konsumentów".

Operacja HerbalKing w FTC pochłonęła wiele nagłówków, ale niewiele zrobiła zmniejszyć ilość spamu w Internecie, mówią naukowcy. W ciągu tygodnia spam był tak samo poważny jak nigdy dotąd.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Zamiast tego, po dwóch tygodniach nastąpiła kolejna operacja przeciwko usługodawcy internetowemu (usługa internetowa). dostawca) McColo w San Jose w Kalifornii, aby naprawdę zmniejszyć ilość spamu. Ale choć wydaje się, że McColo był placem zabaw dla przestępców internetowych, żadna agencja federalna, a nie FTC, a nie FBI, a nie Secret Service czy Departament Sprawiedliwości nie była zaangażowana w jego zamykanie.

Z McColo, badacze Internetu i reporter Washington Post Brian Krebs zasadniczo zawstydził ISP Global Crossing i Hurricane Electric w upuszczanie usługi dla McColo, którego sieć była powiązana z nielegalną działalnością od zhakowanych komputerów botnetowych do spamu, a nawet pornografii dziecięcej.

W przeciwieństwie do HerbalKing, wyniki po zabiciu McColo były dramatyczne. Zniknęła połowa spamu w Internecie.

Oddział IronPort firmy Cisco Systems twierdzi, że chociaż nastąpił krótki wzrost aktywności, spam nadal pozostaje znacznie mniejszy niż przed wycofaniem się McColo. Nie udało się uzyskać komentarza McColo w tej sprawie.

Jednak dwa tygodnie po tym, jak McColo został odrzucony przez dostawców sieci, centrum danych firmy pozostało nietknięte. To frustruje niektórych badaczy bezpieczeństwa, którzy twierdzą, że serwery wykorzystywane do kontrolowania tych operacji mogą stanowić skarbnicę dowodów na temat cyberprzestępców.

"Nie dziwi mnie to, chociaż mnie rozczarowuje," powiedział Richard Cox, CIO z grupa antyspamowa Spamhaus. Cox, który współpracuje z organami ścigania w sprawach spamowych, mówi, że podczas gdy federalni śledczy mogą zrozumieć, jak działa taka operacja, jak McColo, skłonienie ich szefów do podjęcia działań może być trudne. "Ludzie w okopach są kierowani przez ludzi, którzy myślą, że są politykami" - powiedział.

McColo był na rada rządu federalnego, podobnie jak dziesiątki innych dostawców usług na całym świecie, którzy są znanymi dostawcami tzw. Kuloodpornych usługi hostingowe, które nigdy nie są likwidowane, pomimo skarg, według źródła w federalnej agencji ochrony porządku publicznego, która wypowiedziała się pod warunkiem zachowania anonimowości, ponieważ nie był upoważniony do przemawiania w prasie.

Podczas gdy badacze mogą czuć, że mają sprawę Przeciwko McColo, zupełnie inną rzeczą jest przekonanie amerykańskiego prokuratora Departamentu Sprawiedliwości, by poprosił o nakaz aresztowania setek serwerów, a jeszcze trudniej, aby sędzia federalny zezwolił na to. "Istnieje powód, dla którego nie po prostu chodzimy po wszystkie serwery" - powiedział. "Jeśli chcesz nakazu na setki serwerów … to bardzo trudne."

Departament Sprawiedliwości i FBI odmówiły komentarza w sprawie McColo.

Inny problem: przestępcy powiązani z McColo prawdopodobnie mieszkają w Rosji i Europie Wschodniej, gdzie przestępstwa komputerowe są rzadko ścigane. Tak więc udane oskarżenie wymagałoby ekstradycji, co może być bardzo trudne do zniesienia, mówią obserwatorzy. "Zabijasz McColo, a to, co dostajesz, jest prawdziwym ciężarem dla prawników Departamentu Sprawiedliwości i bardzo małym zwrotem, ponieważ musicie wyjść poza granice Stanów Zjednoczonych, by zebrać prawdziwych winowajców, "Cox powiedział.

Chociaż nie ma wątpliwości, że działania związane z McColo są nielegalne w świetle amerykańskiego prawa, pomysł, że można oskarżyć ISP o podżeganie do nielegalnej działalności jest w dużej mierze nieudowodniony, więc każdy prokurator, który podjąłby tę sprawę, byłby bardzo narażony na ryzyko być wyrzuconym poza boisko.

Istnieje jednak co najmniej jeden precedens. 14 lutego 2004 r. FBI zamknęło działalność w małym Ohio ISP pod nazwą Creative Internet Techniques w przypadku, gdy FBI zostało nazwane Cyklimską Walentą. W tamtym czasie była to największa próba FBI w historii organizacji. Prawie 300 serwerów zostało przejętych po tym, jak Creative Internet, znany również jako FooNet, został powiązany z rozproszonymi atakami typu "odmowa usługi".

Powód, dla którego niektórzy specjaliści od bezpieczeństwa zażądali podobnego usunięcia w McColo, ma częściowo związek z podstępnymi sposób, w jaki klienci McColo byli zakłóceni. Naukowcy twierdzą, że komputery McColo w rzeczywistości nie wysyłały spamu, po prostu uruchamiając serwery kontrolne i kontrolne, które wysłały szacunkowo pół miliona zainfekowanych komputerów botnetowych. Te zainfekowane maszyny pobierałyby instrukcje od serwerów w sieci McColo, ale gdyby te komputery były kiedykolwiek stuknięte w tryb offline, dostały kilka innych zapasowych domen internetowych w celu sprawdzenia poleceń.

Aby zachować rzeczy w tajemnicy, przestępcy nie zarejestrowali tych domeny, ale zakodowały kilkaset z nich w swoim oprogramowaniu do botnetów. Naukowcy nauczyli się tych nazw domen, patrząc na kod botnetu, aby dowiedzieć się, co zrobiłyby zhakowane komputery, gdy McColo upadł. Krótko przed tym, jak sieć McColo została zerwana offline przez Global Crossing i Hurricane Electric, naukowcy zarejestrowali setki domen zapasowych.

Kiedy botnety nie mogły przejść do przestrzeni IP McColo (protokół internetowy) w celu uzyskania instrukcji, zaczęły szukać z domenami zapasowymi, ale te były kontrolowane przez badaczy bezpieczeństwa. Teraz, odłączeni od serwerów kontrolnych i niezdolni do połączenia się z kopią zapasową, dwa z najgorszych botnetów internetowych, Srizbi i Rustock, zostały ścięte.

"Muszą być setki tysięcy botów, które nie istnieją" Teraz dzwoni do domu ", powiedział Joe Stewart, ekspert od botnetów z SecureWorks, który śledził sytuację McColo.

Te boty mogą zostać wyłączone na dobre, pod warunkiem, że komputery McColo nie zostaną przywrócone online. Ale tak właśnie stało się tydzień temu, gdy odsprzedawca szwedzkiej ISP TeliaSonera tymczasowo ponownie nawiązał połączenie z McColo.

Błąd został szybko zauważony, a TeliaSonera szybko odłączyła McColo. Ale sprzedawca zabezpieczeń FireEye uważa, że ​​złoczyńcy byli w stanie odzyskać kontrolę nad tysiącami komputerów botnetowych podczas tego krótkiego okna możliwości. Gdy McColo wrócił do Internetu, jego przestrzeń adresów IP znów działała, a cyberprzestępcy mogli wysyłać instrukcje do swoich komputerów z botnetami. Nie byliby w stanie tego zrobić, gdyby FBI zdołało zamknąć centrum danych McColo w San Jose w Kalifornii, tak jak miało to miejsce w przypadku Creative Internet.

Kreatywny internet był wyjątkowo bezczelny co do jego działalności i że ten typ nalotu jest mało prawdopodobne, aby się powtórzyło, powiedział Spamhaus "Cox. "Nie możesz udowodnić, że tego rodzaju sprawy są na wystarczającym poziomie, aby dostać się do wielkiej ławy przysięgłych" - powiedział. Dostawcy usług internetowych prawie zawsze otrzymują przepustkę, gdy tego rodzaju działalność zostanie wykryta w ich sieci, ponieważ mogą oni zaprzeczyć, że wiedzieli coś na ten temat.

FTC chciałoby to jednak zmienić. W kwietniu FTC zwróciła się do Kongresu o wprowadzenie zmian do ustawy o FTC, które pozwoliłyby ścigać tych, którzy pomagali i wspierali w oszustwach, co pozwoliłoby im na osiągnięcie celów takich jak dostawcy usług internetowych o złych stronach, którzy pomogli oszukańczym firmom.

Kongres już przyznał FTC podobne prawo do pójścia po brokerów, którzy świadomie dostarczają listy do telemarkerterów, powiedział Steven Wernikoff, adwokat pracujący w FTC. "Trudno zrozumieć, dlaczego ludzie, którzy ułatwiają oszustwa za pośrednictwem Internetu, powinni dostać przepustkę", powiedział.

Struktura działań związanych z cyberprzestępczością uległa w ostatnich latach zmianie i będzie musiała być ścigana bardziej jak długotrwałe śledztwa w sprawie Mafii niż jednorazowe działania przeciwko poszczególnym spamerom, mówią obserwatorzy.

"Ostatecznie problemem jest to, że wciąż jesteśmy proces budowania dojrzałego procesu wymuszania cyberprzestępczości "- powiedział Jon Praed, założyciel firmy Internet Law Group, która sprzeciwiła się spamerom w imieniu dużych firm, takich jak Verizon Online i AOL. "Prokuratura w sprawach karnych wymaga wielu zasobów, a prokuratorzy prawdopodobnie nie pójdą za kimś, dopóki nie dowiedzą się, że mają zamiar skazać się na wiarę."

Praed chciałby, aby firmy, które zostały dotknięte przez spam pracowały razem, aby przestępcy. Chciałby, aby firmy dzieliły się informacjami na temat złych aktorów i wnosząc więcej pozwów cywilnych przeciwko spamerom i ich aktywistom. Gdyby firmy mogły powstrzymywać cyberprzestępców przed korzystaniem z legalnych firm, mogliby zmienić podstawową ekonomię branży spamowej i uczynić ją zbyt kosztowną dla wielu graczy.

"Wszyscy ci źli potrzebują usług," powiedział. "Nie latają na zbrodniczych liniach lotniczych, kupują komputery z renomowanych źródeł, używają gotowych programów biznesowych i używają kart kredytowych i telefonów komórkowych tak samo jak ty i ja. Ameryka ma kolosalnie ogromną ilość informacji o złych facetach w swoich rękach … ale nie wykorzystuje tych informacji, aby powstrzymać tę nielegalną działalność. "

Dodał:" Dobre firmy zaczynają zdawać sobie sprawę, że mogą obniżyć koszty i przyciągnąć klientów, bardziej aktywnie walcząc z cyberprzestępczością. "