Spam is het zwijgen opgelegd, maar waar zijn de FBI?

De HerbalKing-operatie van de FTC heeft veel krantenkoppen gehaald, maar het heeft niet veel te doen gehad verminderen de hoeveelheid spam op internet, zeggen onderzoekers. Binnen een week was spam een ​​van de grootste problemen.

[Meer informatie: hoe verwijder je malware van je Windows-pc]

Met McColo, internetonderzoekers en de Washington Post-verslaggever Brian Krebs beschaamde ISP's Global Crossing en Hurricane Electric in wezen als drop-service voor McColo, wiens netwerk was geassocieerd met een reeks illegale activiteiten van gehackte botnetcomputers tot spam en zelfs kinderporno.

Anders dan HerbalKing, waren de resultaten nadat de takedown van McColo dramatisch was. Ongeveer de helft van de spam op het internet verdween.

De IronPort-divisie van Cisco Systems zegt dat er weliswaar een paar korte pieken in de activiteit zijn, maar dat spam nog steeds aanzienlijk daalt van voor de verwijdering van McColo. McColo kon niet worden bereikt voor commentaar op dit verhaal. Maar twee weken nadat McColo door netwerkproviders werd gedropt, blijft het datacenter van het bedrijf onaangetast. Dat frustreert sommige beveiligingsonderzoekers die zeggen dat de servers die gebruikt worden om deze operaties te beheersen een schat aan bewijsmateriaal kunnen bieden over cybercriminelen.

"Het verbaast me niet, hoewel het me teleurstelt," zei Richard Cox, CIO bij de antispamgroep Spamhaus. Cox, die met rechtshandhaving werkt in spambestanden, zegt dat hoewel federale onderzoekers misschien begrijpen hoe een operatie als McColo werkt, het moeilijk kan zijn om hun bazen ertoe te bewegen actie te ondernemen. "De mensen in de loopgraven worden geregisseerd door mensen die denken dat ze politici zijn", zei hij.

McColo was op de radar van de federale overheid, evenals tientallen andere serviceproviders wereldwijd die bekend staan ​​als aanbieders van zogenaamde kogelvrije hosting-diensten, die nooit worden afgesloten, ondanks klachten, volgens een bron in een federale wetshandhavingsinstantie die op voorwaarde van anonimiteit sprak omdat hij niet bevoegd was om met de pers te praten.

Hoewel onderzoekers het gevoel kunnen hebben dat ze een zaak hebben tegen McColo is het een ander ding om een ​​advocaat van het Amerikaanse ministerie van Justitie volledig te overtuigen om een ​​bevelschrift in te dienen om honderden servers te grijpen, en nog moeilijker om een ​​federale rechter te krijgen om dit te autoriseren. "Er is een reden waarom we niet alle servers gingen pakken," zei hij. "Als u een beveling voor honderden servers wilt … dat is heel moeilijk." Het DOJ en de FBI weigerden commentaar te geven op McColo.

Nog een probleem: de criminelen geassocieerd met McColo worden verondersteld te leven in Rusland en Oost-Europa, waar computercriminelen zelden worden vervolgd. Dus een succesvolle vervolging zou uitlevering vereisen en dat zou heel moeilijk zijn om af te dwingen, zeggen waarnemers. "Je neemt McColo neer en wat je echt hebt gekregen is een enorme belasting voor de advocaten van het Ministerie van Justitie en heel weinig terugkomst, omdat je eigenlijk buiten de VS moet gaan om de echte boosdoeners op te halen, "Cox zei.

Hoewel er geen twijfel over bestaat dat de activiteiten in verband met McColo volgens de Amerikaanse wetgeving illegaal zijn, is het idee dat u een ISP kunt vervolgen wegens het plegen van illegale activiteiten grotendeels onbewezen, dus zou elke officier van justitie die deze zaak aanging een groot risico nemen dat de zaak zou buitengegraven worden.

Er is echter minstens één precedent. Op 14 februari 2004 sloot de FBI de operaties af bij een kleine internetprovider uit Ohio, genaamd Creative Internet Techniques, in een evenement dat de FBI de Cyber ​​Saint Valentine's Day Massacre noemde. In die tijd was het de grootste FBI-takedown in de geschiedenis van de organisatie. Bijna 300 servers werden in beslag genomen nadat Creative Internet, ook bekend als FooNet, was gekoppeld aan gedistribueerde denial of service-aanvallen.

De reden waarom sommige beveiligingsexperts een soortgelijke verwijdering bij McColo hebben geëist, heeft gedeeltelijk te maken met de sneaky manier waarop McColo's klanten werden verstoord. Onderzoekers zeggen dat McColo-computers eigenlijk geen spam versturen, alleen het uitvoeren van de opdracht- en controleservers die naar schatting half miljoen geïnfecteerde botnetcomputers verzamelden. Deze geïnfecteerde machines zouden hun instructies opvolgen van servers op het McColo-netwerk, maar mochten die computers ooit offline worden geklopt, dan kregen ze verschillende andere back-up internetdomeinen om te controleren op commando's. <> Om dingen geheim te houden, hadden de criminelen deze niet geregistreerd domeinen, maar ze hadden er een paar honderd in hun botnet-software gecodeerd. Maar de onderzoekers leerden deze domeinnamen door naar de botnetcode te kijken om erachter te komen wat de gehackte computers zouden doen wanneer McColo naar beneden ging. Kort voordat het McColo-netwerk offline werd geslagen door Global Crossing en Hurricane Electric, registreerden onderzoekers de honderden back-updomeinen zelf.

Toen de botnets niet naar McColo's IP (Internet Protocol) -ruimte konden gaan voor instructies, gingen ze op zoek naar hun back-updomeinen, maar deze werden gecontroleerd door beveiligingsonderzoekers. Nu, losgekoppeld van hun controleservers, en niet in staat om verbinding te maken met een back-up, zijn twee van de ergste botnets op het internet, Srizbi en Rustock, onthoofd.

"Er moeten honderdduizenden bots zijn die er niet zijn" "Ik belde nu naar huis", zegt Joe Stewart, een botnet-expert van SecureWorks die de situatie bij McColo heeft gevolgd.

Deze bots kunnen goed worden uitgeschakeld, op voorwaarde dat McColo's computers niet online worden gebracht. Maar dat is precies wat een week geleden gebeurde, toen een reseller van de Zweedse ISP TeliaSonera McColo tijdelijk opnieuw verbond.

De fout werd snel opgemerkt en TeliaSonera schakelde McColo snel uit. Maar beveiligingsbedrijf FireEye denkt dat de slechteriken tijdens deze korte kans de controle over duizenden botnetcomputers hebben teruggekregen. Toen McColo weer op internet ging, werkte de ruimte op zijn IP-adres opnieuw en konden cybercriminelen instructies naar hun botnet-computers sturen. Ze hadden dit niet kunnen doen als de FBI McColo's datacentrum in San Jose, Californië, had kunnen afsluiten, zoals bij Creative Internet.

Creatief internet was buitengewoon brutaal over zijn activiteiten en dat type overval is Het is onwaarschijnlijk dat dit opnieuw zal gebeuren, zei Cox van Spamhaus. "Je kunt dat soort zaken niet op een voldoende niveau bewijzen om het bij een grand jury te krijgen," zei hij. Aan ISP's wordt bijna altijd een pas gegeven wanneer dit soort activiteit op hun netwerk wordt ontdekt, omdat ze aannemelijk kunnen ontkennen dat ze er iets van af wisten. De FTC zou dat echter willen veranderen. In april vroeg de FTC het Congres om wijzigingen in de FTC-wet die het mogelijk zou moeten maken diegenen na te streven die bij fraude hadden bijgedragen, waardoor het doelwit kon worden, zoals slechte actor-ISP's die frauduleuze bedrijven hebben geholpen. gaf de FTC al een vergelijkbare bevoegdheid om op te treden na tussenpersonen die willens en wetens lijsten aan telemarkers verstrekken, zei Steven Wernikoff, een personeelsprocureur bij de FTC. "Het is moeilijk in te zien waarom mensen die fraude via internet mogelijk maken, een pass krijgen", zei hij.

De structuur van cybercrime-operaties is de afgelopen jaren veranderd en zal meer moeten worden vervolgd als langlopende maffia-onderzoeken dan eenmalige acties tegen individuele spammers, zeggen waarnemers. "Uiteindelijk is het probleem dat we nog steeds meedoen het proces van het bouwen van een volwassen cybercriminaliteit handhavingsproces, "zei Jon Praed, een van de oprichters van Internet Law Group, die heeft geprocedeerd tegen spammers namens grote bedrijven zoals Verizon Online en AOL. "Strafrechtelijke vervolging vereist veel middelen en het is onwaarschijnlijk dat aanklagers achter iemand aan gaan tenzij ze weten dat ze een veroordeling zullen krijgen." Praed zou graag zien dat de bedrijven die door spam worden getroffen samenwerken om achter de feiten aan te gaan criminelen. Hij zou graag zien dat bedrijven informatie delen over slechte actoren en meer civiele acties tegen spammers en hun actoren ondernemen. Als bedrijven cybercriminelen ervan zouden kunnen weerhouden legitieme bedrijven te gebruiken, zouden ze de fundamentele economische aspecten van de spamsector kunnen veranderen en het voor veel spelers te duur maken.

"Al die slechteriken hebben behoefte aan ondersteunende diensten", zei hij. 'Ze vliegen niet op de criminele luchtvaartmaatschappijen, ze kopen hun computers bij gerenommeerde bronnen, ze gebruiken standaard zakelijke software en ze gebruiken creditcards en mobiele telefoons net als jij en ik. Amerika bezit collectief enorm veel informatie over de slechteriken in eigen hand … maar het gebruikt die informatie niet om deze illegale activiteit te stoppen. "

Hij voegde eraan toe:" Goede bedrijven beginnen te beseffen dat ze de kosten kunnen verlagen en klanten aantrekken door proactiever te zijn tegen cybercriminaliteit. "