Spamul este silentios, dar unde sunt federalii

Ilustrația: John BleckOn 14 octombrie, Comisia federală pentru comerțul american, cu ajutorul Biroului Federal de Investigații din SUA și poliția din Noua Zeelandă, a anunțat că a închis o rețea vastă de spam internațional cunoscută ca HerbalKing.

A fost un moment triumfal pentru FTC, care a spus că grupul a fost legat de o treime din e-mail-urile junk pe Internet. Într-un interviu acordat The New York Times, comisarul FTC, Jon Leibowitz, a fost modest în evaluarea situației. "Au trimis cantități extraordinare de spam", a spus el. "Sperăm la un anumit nivel că acest lucru va ajuta la diminuarea cantității de spam care intră în cutiile de consum ale consumatorilor".

Operațiunea HerbalKing a FTC a luat o mulțime de titluri, dar nu a făcut prea multe lucruri reduce cantitatea de spam pe Internet, spun cercetatorii. Într-o săptămână, spam-ul a fost la fel de mare ca o problemă ca oricând.

În schimb, a fost nevoie de o altă operație, cu două săptămâni mai târziu, împotriva furnizorului de servicii Internet (Internet Service) furnizor) McColo din San Jose, California, pentru a reduce într-adevăr cantitatea de spam. Dar, deși McColo pare să fi fost un loc de joacă pentru infractorii de internet, nici o agenție federală, nu FTC, nu FBI, nu Serviciul Secret sau Departamentul de Justiție, a fost implicată în închiderea acesteia.

Cu McColo, și reporterul de la Washington Post, Brian Krebs, în mod esențial a denaturat furnizorii ISP Global Crossing și Hurricane Electric în serviciul pentru McColo, a cărui rețea a fost asociată cu o gamă largă de activități ilegale de la computerele botnet hackate la spam și chiar la pornografia infantilă. după retragerea lui McColo au fost dramatice. Aproximativ jumătate din spam-ul de pe Internet a dispărut.

Divizia IronPort a companiei Cisco Systems spune că, deși au existat câteva prudențe în activitate, spam-ul este încă în scădere semnificativ față de locul în care era înainte de retragerea McColo. McColo nu a putut fi contactat pentru a comenta această poveste. Dar la două săptămâni după ce McColo a fost abandonat de furnizorii de rețea, centrul de date al companiei rămâne neatins. Acest lucru îi frustrează pe unii cercetători în domeniul securității care spun că serverele folosite pentru a controla aceste operațiuni ar putea oferi o comoară de dovezi despre criminalii cibernetici. "Nu mă surprinde, deși mă dezamăgesc", a declarat Richard Cox, CIO grup Spamhaus antispam. Cox, care lucrează cu autoritățile de aplicare a legii privind cazurile de spam, declară că, în timp ce anchetatorii federali pot înțelege cum funcționează o operațiune ca McColo, obținerea de șefi pentru a accepta acțiuni poate fi dificilă. "Oamenii din tranșee sunt îndrumați de oameni care cred că sunt politicieni", a spus el.

McColo se afla pe radarul guvernului federal, la fel ca și zeci de alți furnizori de servicii din întreaga lume care sunt furnizori cunoscuți de așa-numiți bulletproof serviciile de găzduire, care nu sunt niciodată decise, în ciuda plângerilor, potrivit unei surse dintr-o agenție federală de aplicare a legii care a vorbit cu condiția anonimatului, deoarece nu a fost autorizat să vorbească cu presa.

În timp ce cercetătorii ar putea simți că au un caz împotriva lui McColo, este altceva în întregime să convingem un avocat al Departamentului de Justiție al SUA să ceară un mandat de a profita de sute de servere și chiar mai greu pentru a obține un judecător federal care să autorizeze acest lucru. "Există un motiv pentru care nu am mers pur și simplu să luăm toate serverele", a spus el. "Dacă doriți un mandat pentru sute de servere … este foarte dificil."

DOJ și FBI au refuzat să comenteze despre McColo.

O altă problemă: Criminalii asociați cu McColo sunt considerați a trăi în Rusia și Europa de Est, unde infracțiunile pe calculator sunt rareori urmărite penal. Prin urmare, o urmărire penală de succes ar necesita extrădare și ar putea fi foarte greu de tras, spun observatorii. "Luați jos McColo și ceea ce ați obținut este o sarcină pentru avocații de la Departamentul de Justiție și foarte puțină întoarcere, pentru că de fapt trebuie să ieșiți în afara SUA pentru a ridica vinovații reali, A spus Cox.

Deși nu există nicio îndoială că activitățile asociate cu McColo sunt ilegale în conformitate cu legislația Statelor Unite, ideea că ați putea să urmăriți un ISP pentru a face față unei activități ilegale este în mare parte nedovedită, astfel încât orice procuror care a preluat acest caz ar avea un risc mare ca acest caz să fie aruncat în instanță.

Totuși, există cel puțin un precedent. Pe data de 14 februarie 2004, FBI-ul închide operațiunile la un mic ISP, numit Techniques Creative Internet, într-un eveniment la care FBI a numit Masacrul Zilei Cyber ​​Saint Valentine. La acea vreme, a fost cea mai mare retragere a FBI-ului în istoria organizației. Aproape 300 de servere au fost confiscate după ce Creative Internet, cunoscut și sub numele de FooNet, a fost legat de atacurile distribuite de servicii de negare.

Motivul pentru care unii experți în securitate au solicitat o descărcare similară la McColo are, în parte, modul în care clienții McColo au fost întrerupți. Cercetătorii spun că computerele McColo nu trimiteau de fapt mesaje spam, ci doar rulau serverele de comandă și de control care marchează aproximativ jumătate de milion de computere infectate cu botnet. Aceste mașini infectate ar lua instrucțiunile de la serverele din rețeaua McColo, dar în cazul în care acele computere ar fi fost deconectate offline, li s-au dat mai multe domenii Internet de rezervă pentru a verifica comenzile.

Pentru a păstra lucrurile în secret, criminali nu le-au înregistrat domenii, dar au codificat câteva sute dintre ele în software-ul lor botnet. Dar cercetătorii au învățat aceste nume de domenii, uitandu-se la codul botnet pentru a afla ce ar face computerele hackate când McColo a căzut. Cu putin timp inainte ca reteaua McColo sa fie deconectata offline de catre Global Crossing si Hurricane Electric, cercetatorii au inregistrat sute de domenii de backup.

Cand botnet-urile nu au putut sa mearga la spatiul IP (Internet Protocol) McColo pentru instructiuni, domenii de rezervă, dar acestea au fost controlate de cercetători în domeniul securității. Acum, deconectați de la serverele lor de control și nu puteți conecta la o copie de rezervă, două dintre cele mai grave botneturi de pe Internet, Srizbi și Rustock, au fost decapitate.

"Trebuie să existe sute de mii de bots acolo, t phoning acasă chiar acum ", a declarat Joe Stewart, expert în botnet cu SecureWorks care a urmărit situația McColo.

Acești roboți ar putea fi dezactivați pentru totdeauna, cu condiția ca calculatoarele lui McColo să nu fie aduse online. Dar exact așa sa întâmplat acum o săptămână, când un distribuitor al ISP TeliaSonera din Suedia a reconectat temporar McColo.

Greșeala a fost rapid observată, iar TeliaSonera a deconectat rapid McColo. Dar vânzătorul de securitate FireEye consideră că băieții răi au reușit să-și recâștige controlul asupra a mii de computere botnet în această perioadă scurtă de oportunități. Când McColo sa întors pe Internet, spațiul său de adrese IP a funcționat din nou, iar infractorii cibernetici au putut să trimită instrucțiuni către computerele botnet. Ei nu ar fi fost capabili să facă asta dacă FBI ar fi putut să închidă centrul de date McColo din San Jose, California, ca și în cazul Creative Internet.

Internetul creativ a fost extrem de feroce cu privire la activitățile sale și acest tip de raid este este puțin probabil să se întâmple din nou, a spus Spamhaus "Cox. "Nu puteți dovedi acele cazuri la un nivel suficient pentru a ajunge la un juriu mare", a spus el. Furnizorii de servicii Internet ISP sunt aproape întotdeauna să primească un permis atunci când acest tip de activitate este descoperită în rețeaua lor, deoarece ei pot nega că au știut ceva despre acest lucru.

FTC ar dori însă să schimbe acest lucru. În aprilie, FTC a cerut Congresului modificări ale Legii FTC, care i-ar permite să-i urmărească pe cei care au ajutat și au contribuit la fraudă, ceea ce i-ar permite să meargă la obiective precum ISP-uri rău-actori care au ajutat afacerile frauduloase. deja a acordat FTC o autoritate similară pentru a merge după brokeri care oferă cu bună știință liste telemarkerilor, a declarat Steven Wernikoff, avocat al FTC. "Este greu de văzut de ce oamenii care facilitează frauda prin Internet ar trebui să primească un permis", a spus el.

Structura operațiunilor de criminalitate informatică sa modificat în ultimii ani și va trebui să fie urmărită mai mult ca investigații de lungă durată în domeniul mafiei decât acțiuni unice împotriva spammerilor individuali, spun observatorii. "În cele din urmă, problema este că suntem încă în procesul de construire a unui proces maturizat de aplicare a criminalității informatice ", a declarat Jon Praed, partener fondator al Internet Law Group, care a litigat împotriva spammerilor în numele unor companii importante precum Verizon Online și AOL. "Procesele de urmărire penală necesită o mulțime de resurse, iar procurorii sunt puțin probabil să meargă după cineva dacă nu știu că vor obține o condamnare."

Praed ar dori să vadă companiile afectate de spam lucrează împreună pentru a merge după criminali. El ar dori să vadă companiile să împărtășească informații despre actorii răi și să aducă mai multe acțiuni civile împotriva spam-urilor și a factorilor lor de decizie. Dacă companiile ar putea să-i păstreze pe infractorii cibernetici să folosească afaceri legitime, ar putea schimba economia fundamentală a industriei de spam și ar fi prea scumpă pentru mulți jucători. "Toți acești băieți au nevoie de servicii de asistență", a spus el. "Ei nu fac zboruri pe companiile aeriene criminale, ci își cumpără computerele din surse reputate, folosesc software-ul de afaceri off-the-shelf și utilizează carduri de credit și telefoane mobile ca și tine și cu mine. America colectiv deține o cantitate imensă de informații despre băieții răi în propriile mâini … dar nu folosește aceste informații pentru a opri această activitate ilegală. "

El a adăugat:" Companiile bune încep să realizeze că pot reduce costurile și atragerea clienților prin faptul că sunt mai proactivi împotriva criminalității informatice. "