Спам отключен, но где находятся федерации?

Иллюстрация: Джон Блек, 14 октября Федеральная торговая комиссия США при содействии Федерального бюро расследований США и полиции Новой Зеландии объявила, что она закрыла обширную международную сеть спама как HerbalKing.

Это был триумфальный момент для FTC, в котором говорилось, что группа была связана с трем нежелательной электронной почтой в Интернете. В интервью The New York Times комиссар FTC Джон Лейбовиц был скромным в оценке ситуации. «Они посылали чрезвычайные суммы спама», - сказал он. «Мы надеемся на каком-то уровне, что это поможет сделать небольшую вмятину в количестве спама, поступающего в ящики для потребителей».

Операция FTC в HerbalKing захватила много заголовков, но это мало чем способствовало говорят исследователи, уменьшают количество спама в Интернете. В течение недели спам был таким же большим, как и когда-либо.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Вместо этого две недели спустя была предпринята другая операция против интернет-провайдера провайдер) McColo в Сан-Хосе, штат Калифорния, чтобы действительно уменьшить количество спама. Но хотя Макколо, по-видимому, был игровой площадкой для интернет-преступников, ни одно федеральное агентство, а не ФТК, а не ФБР, а не Секретная служба или Департамент юстиции, участвовали в ее закрытии.

С Макколо, интернет-исследователи и Washington Post репортер Брайан Кребс в основном пристыдил ОСПС Global Crossing и Hurricane Electric в сбросив сервис для McColo, чья сеть была связана с целым рядом незаконной деятельности от взломанных ботнет компьютеров до спама и даже детской порнографии.

в отличие от HerbalKing, результаты после демонтажа Макколо были драматичными. Около половины спама в Интернете исчезло.

Отделение IronPort Cisco Systems говорит, что, хотя были некоторые короткие всплески активности, спам по-прежнему значительно сократился, когда он был до демонтажа McColo. Макколо не смог связаться с комментарием по этой истории.

Но через две недели после того, как McColo был отключен сетевыми провайдерами, центр данных компании остается нетронутым. Это расстраивает некоторых исследователей безопасности, которые говорят, что серверы, используемые для контроля над этими операциями, могут стать сокровищем доказательств о киберпреступниках.

«Меня это не удивляет, хотя меня это разочаровывает», - сказал Ричард Кокс, директор по информационным технологиям антиспам-группа Spamhaus. Кокс, который работает с правоохранительными органами по делам о спаме, говорит, что, хотя федеральные следователи могут понять, как работает такая операция, как Макколо, заставить своих боссов согласиться на принятие мер может быть затруднительным. «Люди в окопах управляются людьми, которые думают, что они политики», - сказал он.

Макколо был на радиолокаторе федерального правительства, а также десятки других поставщиков услуг по всему миру, которые являются известными поставщиками так называемых пуленепробиваемых по словам источника в федеральном правоохранительном органе, который говорил на условиях анонимности, поскольку он не был уполномочен говорить с прессой.

Хотя исследователи могут почувствовать, что у них есть случай против Макколо, совсем другое дело - убедить адвоката Министерства юстиции США потребовать ордер на захват сотен серверов, и еще труднее заставить федерального судьи разрешить это. «У нас есть причина, по которой мы не просто ходили и хватали все серверы», - сказал он. «Если вам нужен ордер на сотни серверов … это очень сложно».

DOJ и ФБР отказались комментировать McColo.

Другая проблема: преступники, связанные с McColo, как полагают, живут в России и Восточной Европе, где компьютерные преступления редко преследуются по закону. Таким образом, успешное судебное преследование потребует экстрадиции, и это может быть очень сложно снять, говорят наблюдатели. «Вы снимаете Макколо, и то, что вы на самом деле получили, - это адская нагрузка для юристов в Департаменте юстиции и очень мало возврата, потому что вам действительно нужно выходить за пределы США, чтобы забрать реальных преступников, - сказал Кокс.

Хотя нет никаких сомнений в том, что деятельность, связанная с McColo, является незаконной в соответствии с законодательством США, идея о том, что вы можете преследовать в судебном порядке интернет-провайдера за подстрекательство к незаконной деятельности, в значительной степени недоказана, поэтому любой обвинитель, который принял это дело, будет представлять большой риск, быть выброшенным из суда.

Однако есть хотя бы один прецедент. 14 февраля 2004 года ФБР прекратило операции у небольшого интернет-провайдера в Огайо под названием «Творческие интернет-технологии» в случае, когда ФБР окрестило резню Кибер-святого Валентина. В то время это был самый крупный изъятие ФБР в истории организации. Около 300 серверов были захвачены после того, как Creative Internet, также известный как FooNet, был связан с распределенными атаками типа «отказ в обслуживании».

Причина, по которой некоторые эксперты по безопасности призывают к аналогичному демонтажу в McColo, отчасти связана с подлым что клиенты McColo были нарушены. Исследователи говорят, что компьютеры McColo фактически не отправляли спам, просто управляя серверами команд и управления, которые собирали примерно полмиллиона зараженных компьютеров бот-сетей. Эти зараженные машины будут выполнять свои инструкции с серверов в сети McColo, но если эти компьютеры когда-либо будут отключены в автономном режиме, им было предоставлено несколько других резервных интернет-доменов для проверки команд.

Чтобы все было в тайне, преступники не регистрировали эти домены, но они закодировали несколько сотен из них в свое программное обеспечение для ботнета. Но исследователи узнали эти имена доменов, посмотрев код ботнета, чтобы узнать, что сделают взломанные компьютеры, когда уйдет Макколо. Незадолго до того, как сеть McColo была отключена от сети Global Crossing и Hurricane Electric, исследователи зарегистрировали сотни самих доменов резервного копирования.

Когда бот-сеты не могли попасть в пространство для протокола McColo (Internet Protocol) для инструкций, они начали искать свои резервные домены, но они контролировались исследователями безопасности. Теперь, отключенные от своих серверов управления и неспособные подключиться к резервному копированию, обе из них были обезглавлены две из худших бот-сетей Интернета, Srizbi и Rustock.

«Там должны быть сотни тысяч ботов, t phoning home прямо сейчас », - сказал Джо Стюарт, эксперт по ботне с SecureWorks, который отслеживал ситуацию в McColo.

Эти боты вполне могут быть отключены навсегда, если компьютеры McColo не будут возвращены в онлайн. Но это именно то, что произошло неделю назад, когда реселлер шведского ISP TeliaSonera временно подключил McColo.

Ошибка была быстро отмечена, и TeliaSonera быстро отключила McColo. Но поставщик безопасности FireEye считает, что плохие парни смогли восстановить контроль над тысячами компьютеров бот-сетей в течение этого короткого окна возможностей. Когда Макколо вернулся в Интернет, его IP-адрес снова работал, и киберпреступники могли отправлять инструкции своим компьютерам бот-сети. Они не смогли бы это сделать, если бы ФБР смогло закрыть центр обработки данных в Сан-Хосе, штат Калифорния, в McColo, как это было в Creative Internet.

Творческий Интернет был исключительно наглым в своих действиях, и этот тип рейда вряд ли случится снова, сказал Кокс Спамхаус. «Вы не можете доказать такие случаи на достаточном уровне, чтобы передать это большому жюри», - сказал он. Интернет-провайдеры почти всегда получают пропуск, когда этот вид активности обнаруживается в их сети, потому что они могут правдоподобно отрицать, что они что-то знали об этом.

Однако FTC хотел бы изменить это. В апреле FTC обратился к Конгрессу с просьбой о внесении изменений в Закон FTC, который позволил бы ему преследовать тех, кто помогал и подстрекал к мошенничеству, что позволило бы ему пойти на такие цели, как плохие интернет-провайдеры, которые помогли мошенническим компаниям.

Конгресс уже предоставил FTC аналогичный авторитет, чтобы пойти после брокеров, которые сознательно предоставляют списки для телемаркетистов, сказал Стивен Верников, штатный поверенный с FTC. «Трудно понять, почему люди, которые способствуют мошенничеству через Интернет, должны получить пропуск», - сказал он.

Наблюдатели отмечают, что структура операций по борьбе с киберпреступностью в последние годы изменилась и должна быть привлечена к ответственности в большей степени, чем длительные исследования мафии, чем одноразовые действия против отдельных спамеров.

«В конечном счете проблема заключается в том, что мы все еще находимся в процесс создания зрелого процесса принудительной защиты от киберпреступлений », - сказал Джон Прад, основатель интернет-группы Law Law, который боролся против спамеров от имени крупных компаний, таких как Verizon Online и AOL. «Уголовное преследование требует много ресурсов, и прокуроры вряд ли пойдут за кем-то, если они не узнают, что они получат обвинительный приговор».

Praed хотел бы видеть, что компании, на которых работает спам, работают вместе, чтобы преступники. Он хотел бы, чтобы компании делились информацией о плохих актерах и приносили больше гражданских действий против спамеров и их активистов. Если компании могут заставить киберпреступников использовать законные предприятия, они могут изменить фундаментальную экономику индустрии спама и сделать ее слишком дорогой для многих игроков.

«Все эти плохие парни нуждаются в предоставлении услуг», - сказал он. «Они не летают на преступных авиалиниях, они покупают свои компьютеры из уважаемых источников, они используют готовое программное обеспечение для бизнеса, и они используют кредитные карты и сотовые телефоны, как и вы и я. Америка коллективно содержит огромную информацию о плохих парнях в своих руках … но она не использует эту информацию, чтобы остановить эту незаконную деятельность ».

Он добавил:« Хорошие компании начинают понимать, что они могут сократить расходы и привлекать клиентов, будучи более активными против киберпреступности ».