Roskapostin hiljennys, mutta missä ovat Feds?

Kuva: John BleckNo 14. lokakuuta Yhdysvaltain Federal Trade Commission, Yhdysvaltain liittovaltion tutkintolautakunnan ja Uuden-Seelannin poliisin avustuksella, ilmoitti, että se oli sulkenut laajan kansainvälisen roskapostin kuten HerbalKing.

Se oli FTC: n voitonhimoinen hetki, joka sanoi, että ryhmä oli liitetty jopa kolmasosaan roskapostiviestistä Internetissä. New York Timesin haastattelussa FTC: n komissaari Jon Leibowitz oli vaatimaton arvioidessaan tilannettaan. "He lähettivät ylimääräisiä roskapostia", hän sanoi. "Toivomme jonkin verran, että tämä auttaa vähentämään roskapostia kuluttajien postilaatikoihin."

FTC: n HerbalKing-operaatio tarttui paljon otsikoihin, mutta se ei tehnyt paljon vähentää roskapostin määrää Internetissä, tutkijat sanovat. Viikon sisällä roskaposti oli yhtä suuri ongelma kuin koskaan.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneesta]

Sen sijaan toinen toimenpide toteutettiin kahden viikon kuluttua Internet-palveluntarjoajaa vastaan palveluntarjoaja) McColo San Jose, Kalifornia, todella vähentää roskapostia. Mutta vaikka McColo näytti olevan Internet-rikollisten leikkipaikka, mikään liittovaltion virasto, ei FTC, ei FBI, ei salaispalvelu tai oikeusministeriö, osallistui sen sulkemiseen.

Internetin tutkijat McCololla ja Washington Postin toimittaja Brian Krebs epäilivät pääasiassa Internet-palveluntarjoajia Global Crossingin ja Hurricane Electricin pudottamasta palvelua McCololle, jonka verkko oli liittynyt lukuisiin laittomaan toimintaan hakkereiden botnet-tietokoneista roskapostiin ja jopa lapsipornografiaan.

Toisin kuin HerbalKing, tulokset kun McColon takedown oli dramaattinen. Noin puolet Internetissä olevasta roskapostista on kadonnut.

Cisco Systemsin IronPort-divisioonasta käy ilmi, että vaikka roskapostia on esiintynyt jonkin verran, roskapostia on edelleen huomattavasti alhaisemmalla tasolla kuin ennen McColo-takedown. McColoa ei voitu kommentoida tätä tarinaa.

Mutta kahden viikon kuluttua sen verkko-operaattoreiden pudotuksesta McColo jäi koskemattomaksi. Tämä turhautuu tietoturva-tutkijoille, jotka sanovat, että näiden operaatioiden hallitsemiseen käytettävät palvelimet voivat tarjota aarrekarjan todisteita tietoverkkorikollisuuksista.

"Se ei ole mikään yllätys, vaikka se pettää minua", Richard Cox, CIO antispam-ryhmä Spamhaus. Cox, joka työskentelee lainvalvontaviranomaisten kanssa roskapostitapauksissa, sanoo, että vaikka liittovaltion tutkijat voivat ymmärtää, miten McColon toiminta kuten esimerkiksi päättäjät päättävät ryhtyä toimiin, voi olla vaikeaa. "Juhlojen ihmisiä ohjaavat ihmiset, jotka ajattelevat olevansa poliitikkoja", hän sanoi.

McColo oli liittovaltion hallituksen tutkassa, samoin kuin kymmeniä muita maailmanlaajuisesti toimivia palveluntarjoajia, jotka ovat tunnettuja ns. hosting-palveluita, joita ei koskaan oteta valituksista huolimatta, liittovaltion lainvalvontaviranomaisen lähteen mukaan, joka puhui nimettömyyden ehdoilla, koska hänellä ei ollut lupaa puhua lehdistölle.

Vaikka tutkijat voivat tuntea, että heillä on asia vastaan ​​McColoa vastaan, on toinen asia vakuuttaa Yhdysvaltain oikeusministeriön asianajaja pyytämästä takavarikointia sadoille palvelimille ja jopa vaikeampaa saada liittovaltion tuomari sallimaan tämän. "Meillä ei ole syytä miksi mennä ja napata kaikki palvelimet", hän sanoi. "Jos haluat satoja palvelimia, niin se on hyvin vaikeaa."

DOJ ja FBI kieltäytyivät kommentoimasta McColoa.

Toinen ongelma: McColon liittyvien rikollisten uskotaan elävän Venäjällä ja Itä-Euroopassa, jossa tietokonerikoksia harvoin syytetään. Siten onnistunut syytetoimi edellyttäisi luovuttamista, ja se voisi olla hyvin vaikea vetää pois, tarkkailijat sanovat. "Sinä otat McColon ja mitä olet tosiasiallisesti saanut, on oikeusasiamiehen asianajajien helvettiä ja hyvin vähän paluuta, koska olet tosiasiallisesti joutunut Yhdysvaltojen ulkopuolelle pohtimaan todelliset syylliset, "Cox sanoi.

Vaikka ei ole epäilystäkään siitä, että McColoon liittyvät toiminnat ovat laittomia Yhdysvaltojen lainsäädännön nojalla, ajatus siitä, että voitat syytteeseen Internet-palveluntarjoajalle laittoman toiminnan tukemisesta, on suurelta osin epätodennäköinen, joten mikä tahansa syyttäjä, joka otti tämän tapauksen, olisi suuressa vaarassa hävitettävä ulos tuomioistuimesta.

On kuitenkin ainakin yksi ennakkotapaus. 14. helmikuuta 2004 FBI lopetti toimintansa pienessä Ohio-palveluntarjoajassa nimeltä Creative Internet Techniques, jossa FBI nimitti Cyber ​​Saint Valentine's Day Massacre -tapahtuman. Tuolloin se oli suurin FBI takedownown organisaation historiassa. Lähes 300 palvelinta takavarikoitiin Creative Internetin, joka tunnetaan myös nimellä FooNet, liittyneenä hajautettuihin palvelunestohyökkäyksiin.

Syynä siihen, miksi jotkut tietoturva-asiantuntijat ovat vaatineet samanlaista poistamista McColosta, on osittain tekemisissä salamyhkäisten tavalla, jolla McColon asiakkaat häiriintyivät. Tutkijat sanovat, että McColo-tietokoneet eivät lähettänyt roskapostia, vaan suorittivat komentojen ja valvontapalvelimien, jotka järjestivät arviolta puoli miljoonaa tartunnan saaneita botnet-tietokoneita. Nämä tartunnan saaneet koneet ottaisivat ohjeensa palvelimilta McColon verkossa, mutta jos nämä tietokoneet joutuisivat kopioimaan offline-tilassa, heille annettiin useita muita varmuuskopiointiin tarkoitettuja verkkotunnuksia komennoille.

Jotta asiat olisivat salaisia, rikolliset eivät olleet rekisteröineet näitä mutta ne olivat koodattaneet useita satoja niistä botnet-ohjelmistoonsa. Mutta tutkijat oppivat näitä verkkotunnuksia tarkastelemalla botnet-koodia selvittääkseen, mitä hakkeroidut tietokoneet tekisivät, kun McColo laski. Pian ennen kuin Global Crossing ja Hurricane Electric koputtivat McColo-verkkoa, tutkijat rekisteröivät satoja varmuuskopioalueita itse.

Kun botnetit eivät voineet mennä McColon IP-protokollaa (Internet Protocol) varten, he alkoivat etsiä varmenteen verkkotunnuksia, mutta niitä hallinnoivat turvallisuustieteilijät. Nyt on katkaistu yhteys ohjauspalvelimiinsa, eivätkä pysty muodostamaan yhteyttä varmuuskopioon, kaksi Internetin pahin botnet-verkkoa, Srizbi ja Rustock, on päätetty.

"Siellä on oltava satoja tuhansia botteja, jotka ovat" t soittaa kotiin juuri nyt ", sanoi Joe Stewart, botnet-asiantuntija SecureWorksin kanssa, joka on seurannut McColon tilannetta.

Nämä botit saattavat olla hyviä, jos McColon tietokoneet eivät palaa verkossa. Mutta juuri tämä tapahtui viikko sitten, kun ruotsalaisen ISP TeliaSoneran jälleenmyyjä kytkettiin väliaikaisesti McColoon.

Virhe havaittiin nopeasti, ja TeliaSonera irrotti nopeasti McColon. Mutta tietoturva-alan myyjä FireEye arvioi, että huonoja ihmisiä pystyi jälleen hallitsemaan tuhansia botnet-tietokoneita tämän lyhyen tilaisuuden aikana. Kun McColo palasi Internetiin, sen IP-osoiteavaruus toimi uudelleen ja tietokonerikolliset pystyivät lähettämään ohjeita botnet-tietokoneisiinsa. He eivät olisi voineet tehdä tätä, jos FBI pystyi sulkemaan McColon San Jose, Kalifornian tietokonekeskuksen, kuten Creative Internetin kanssa.

Luova Internet oli poikkeuksellisen kovaa toimintansa suhteen ja tällainen rauta on ei todennäköisesti tapahdu uudelleen, sanoi Spamhaus 'Cox. "Et voi todistaa tällaisia ​​tapauksia riittävälle tasolle saadakseen sen suurelle tuomaristoon", hän sanoi. Internet-palveluntarjoajat saavat lähes aina passin, kun tällainen toiminta havaitaan verkossaan, koska he voivat kieltää tietävänsä siitä.

FTC haluaa kuitenkin muuttaa sitä. Huhtikuussa FTC pyysi Kongressia muutettavaksi FTC-lakiin, jonka avulla se voisi harjoittaa petoksia, jotka auttoivat ja tukivat petoksia, minkä ansiosta se voisi päästä kohteisiin, kuten huonoihin näyttelijöihin, jotka ovat auttaneet petollisia yrityksiä. jo myöntänyt FTC: lle samanlaisen valtuutuksen mennä sellaisten välittäjien välityksellä, jotka tietävät luettelot telemarkkinoijille, sanoi Steven Wernikoff, henkilöstön edustaja FTC: n kanssa. "On vaikea ymmärtää, miksi ihmiset, jotka helpottavat petoksia internetin välityksellä, saavat läpäistä."

Tietoverkkorikollisuuden rakenteet ovat muuttuneet viime vuosina, ja niitä on syytettävä enemmän pitkäaikaisilta mafian tutkimuksilta kuin kertaluonteiset toimet yksittäisiä roskapostittajia vastaan, tarkkailijat sanovat.

"Lopulta ongelma on, että olemme edelleen kypsän tietoverkkorikollisuuden täytäntöönpanoprosessin rakentamisen prosessi ", sanoo Internet Law Groupin perustajajäsen pari Jon Praed, joka on kiistellyt roskapostittajia vastaan ​​suuryritysten kuten Verizon Onlinein ja AOL: n puolesta. "Rikosseuraamukset edellyttävät runsaasti resursseja, ja syyttäjät eivät todennäköisesti joudu jollekulle, elleivät he tiedä, että he tulevat vakuuttamaan."

Praed haluaisi, että yritykset, joihin roskaposti vaikuttaa, toimivat yhdessä rikollisia. Hän haluaisi, että yritykset jakavat tietoa huonoista toimijoista ja tuovat lisää kansalaistoimia roskapostittajiin ja heidän mahdollisuuksiinsa. Jos yritykset pystyisivät pitämään tietoverkkorikolliset käyttämästä laillisia yrityksiä, ne voivat muuttaa roskapostiteollisuuden perusominaisuutta ja tehdä siitä liian kalliiksi monille pelaajille.

"Kaikki nämä roistoista tarvitsevat palveluita", hän sanoi. "He eivät lentävät rikollisia lentoyhtiöitä, vaan he ostavat tietokonetta hyvämaineisilta lähteiltään, he käyttävät off-the-shelf-ohjelmistoja ja käyttävät luottokortteja ja matkapuhelimia aivan kuten sinä ja minulle. Amerikka omistaa kollektiivisesti rohkeita tietoja roistoista omissa käsissään … mutta se ei käytä näitä tietoja lopettaakseen tämän laittoman toiminnan. "

Hän lisäsi:" Hyvät yritykset alkavat ymmärtää, että ne voivat vähentää kustannuksia ja houkutella asiakkaita toimimalla ennakoivammin tietoverkkorikollisuutta vastaan. "