ISP afgesneden van internet na beveiligingsproblemen

De internetprovider ISP, McColo, was onder de waakzaam oog van computer beveiligingsanalisten voor jaren. Het is een van de weinige zogenaamde "kogelvrije" hostingproviders die een veilig toevluchtsoord bieden voor cybercriminelen die Viagra en valse beveiligingssoftware verkopen.

ISP's kunnen met elkaar communiceren om internetverkeer uit te wisselen, een praktijk die bekend staat als "peering". " Hurricane Electric, een ISP die een deel van McColo's verkeer vervoerde, verbrak de verbinding met McColo op dinsdagavond. Global Crossing, een IP (Internet Protocol) -netwerkserviceprovider die ook verbonden is met McColo, zou geen commentaar geven.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

"Alles wat ik kan zeggen is dat we volledig communiceren en volledig voldoen met juridische autoriteiten, maar we geven geen commentaar op individuele klanten en individuele incidenten, "zei Richard Larris, senior manager voor mediarelaties bij Global Crossing.

De shutdown valt samen met een indammend nieuw rapport geschreven door verschillende computerbeveiligingsonderzoekers die gedetailleerd beschrijven hoe McColo en andere dubieuze serviceproviders zijn verbonden met spam en cybercriminaliteit. toont aan dat wanneer de internetgemeenschap met gepast bewijs van criminele activiteit wordt gepresenteerd, deze de positieve krachten kan creëren die nodig zijn om het te zuiveren, "schreven de analisten.

McColo, wiens servers zich in de VS bevonden, heeft ooit 40 websites met kinderpornografie gehost, aldus het rapport.

McColo speelde ook een grote rol in spam distri bution, zei Richard Cox, CIO van Spamhaus, die spamming-operaties bijhoudt. Het hostte websites die de computers van mensen zouden kunnen infecteren met kwaadaardige software die wordt gebruikt voor het verzenden van spam, zei hij.

Gehackte computers worden dan onderdeel van een botnet, of netwerken van pc's die kunnen worden gebruikt om spam te verzenden of andere websites aan te vallen.

McColo hostte de zogeheten command-and-control-servers voor botnets die worden gebruikt om pc's te instrueren om spam te verzenden. De botnets omvatten Rustock, Srizbi, Pushdo / Cutwail, Ozdok / Mega-D en Gheg, volgens het rapport.

Toen het klachten ontving, zou McColo zich verplaatsen op de verdachte websites op zijn netwerk en trachten sporen van kwaaddoenerij te wissen, Zei Cox.

"In essentie weten veel van deze providers wat hun klanten doen en proberen ze te beschermen," aldus Cox.

Analisten voorspellen een daling van spam en botnetactiviteit terwijl McColo offline is. Joe Stewart, directeur van malware-onderzoek voor SecureWorks, zei op woensdag dat hij slechts één spambericht van het Rustock-botnet had ontvangen, terwijl hij op een normale dag misschien wel 20 zou worden.

McColo's ondergang wordt "vriendelijk" van een rechtvaardiging voor veel onderzoekers die jarenlang over McColo hebben geklaagd en waarom wetshandhaving er niets aan deed, "zei Stewart.

SecureWorks heeft slechte activiteiten bij McColo gevolgd, maar wetshandhaving is altijd geweest" met gesloten lippen "over onderzoeken, zei hij.

Maar het kan maar een paar dagen duren voordat degenen die gebruik maken van hostingdiensten van McColo andere kogelvrije hosters vinden. "Er zijn allerlei soorten McColos die op de hackerforums staan, de spammer-forums", zei Stewart.

In feite nam de slechte activiteit bij McColo toe na de sluiting in september van Intercage, een Californisch hostingbedrijf dat ook bekend staat als Atrivo, zei Cox. De upstream-providers van Intercage stopten met het transporteren van het verkeer na jarenlange klachten dat de ISP spam en schadelijke websites ondersteunde.

De Washington Post meldde dat de servers van McColo zich in San Jose, Californië, bevinden. Op de website van de ISP staat een postadres in Delaware. De pogingen om McColo te bereiken via een New York-nummer waren niet succesvol.