Spam er slået, men hvor er fedre?

Illustration: John BleckOm 14 oktober meddelte US Federal Trade Commission med hjælp fra US Federal Bureau of Investigation og New Zealand-politiet, at den havde lukket et stort internationalt spamnetværk kendt som HerbalKing.

Det var et triumferende øjeblik for FTC, som sagde, at gruppen havde været forbundet med så meget som en tredjedel af junk-e-mailen på internettet. I et interview med The New York Times var FTC-kommissær Jon Leibowitz beskeden i sin vurdering af situationen. "De sendte ekstraordinære mængder spam," sagde han. "Vi håber på et eller andet niveau, at dette vil medvirke til at gøre en lille smule i mængden af ​​spam, der kommer ind i forbrugernes indbakke."

FTC's HerbalKing-operation tog mange overskrifter, men det gjorde ikke meget for reducere mængden af ​​spam på internettet, siger forskere. Inden for en uge var spam lige så stort af et problem som nogensinde. [

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

I stedet tog det en anden operation, to uger senere, imod internetudbyderen udbyder) McColo i San Jose, Californien, for virkelig at reducere mængden af ​​spam. Men selv om McColo synes at have været en legeplads for internetkriminelle, var ikke noget føderalt organ, ikke FTC, ikke FBI, ikke Secret Service eller Justitsministeriet, involveret i at lukke det ned.

Med McColo, internetforskere og Washington Post-reporter Brian Krebs skamede hovedsageligt ISP'er Global Crossing og Hurricane Electric til at tabe service til McColo, hvis netværk var blevet forbundet med en række ulovlige aktiviteter fra hackede botnet-computere til spam og endda børnepornografi.

I modsætning til HerbalKing blev resultaterne efter McColo's takedown var dramatisk. Omkring halvdelen af ​​spam på internettet forsvandt.

Cisco Systems 'IronPort-division siger, at selvom der har været nogle korte spidser i aktivitet, er spam stadig betydeligt, hvorfra det var forud for McColo-aftagelsen. McColo kunne ikke nås til kommentarer til denne historie.

Men to uger efter, at McColo blev droppet af sine netudbydere, forbliver virksomhedens datacenter uberørt. Det frustrerer nogle sikkerhedsforskere, der siger, at de servere, der bruges til at kontrollere disse operationer, kunne give en skattekiste af bevis for cyberkriminelle. "Det overrasker mig ikke, selvom det skuffer mig", sagde Richard Cox, CIO med antispam gruppe Spamhaus. Cox, der arbejder med retshåndhævelse på spam-sager, siger, at mens føderale efterforskere kan forstå, hvordan en operation som McColo fungerer, får deres chefer til at acceptere at handle, kan være svært. "Folkene i skyttegravene bliver ledet af folk, som tror, ​​de er politikere," sagde han.

McColo var på den føderale regerings radar, ligesom det er snesevis af andre tjenesteudbydere på verdensplan, der er kendt udbydere af såkaldte skudtætte hosting-tjenester, som aldrig tages ned på trods af klager ifølge en kilde i et føderalt retshåndhævende organ, der talte på betingelse af anonymitet, fordi han ikke var bemyndiget til at tale med pressen.

Mens forskere kan mærke, at de har en sag mod McColo, er det en anden ting helt at overbevise en advokat for justitsministeriet i USA for at anmode om en warrant til at beslaglægge hundredvis af servere og endda sværere at få en føderal dommer til at godkende dette. "Der er en grund til, at vi ikke bare gik og greb alle serverne," sagde han. "Hvis du vil have en warrant for hundredvis af servere … er det meget svært."

DOJ og FBI nægtede at kommentere McColo.

Et andet problem: De kriminelle, der er forbundet med McColo, menes at bo i Rusland og Østeuropa, hvor computerforbrydelser sjældent retsforfølges. Så en vellykket retsforfølgning ville kræve udlevering og det kunne være meget svært at trække af, siger observatører. "Du tager ned McColo, og hvad du faktisk har fået, er et helvede for advokaterne ved justitsministeriet og meget lidt tilbagevenden, fordi du faktisk skal gå udenfor USA for at afhente de faktiske syndere, "Sagde cox.

Selv om der ikke er nogen tvivl om, at aktiviteterne i forbindelse med McColo er ulovlige i henhold til amerikansk lov, er tanken om, at du kan retsforfølge en internetudbyder til at begå ulovlig aktivitet, stort set ubeviset, så enhver anklager, der overtog denne sag, ville tage en stor risiko for, at sagen ville kastes ud af retten.

Der er dog mindst en præcedens. Den 14. februar 2004 lukkede FBI operationerne hos en lille ISP i Ohio kaldet Creative Internet Techniques i tilfælde af, at FBI kaldte Cyber ​​Saint Valentine's Day Massacre. På det tidspunkt var det den største FBI-tak i organisationens historie. Næsten 300 servere blev beslaglagt, efter at Creative Internet, også kendt som FooNet, var forbundet med distribueret benægtelse af serviceangreb.

Grunden til, at nogle sikkerhedseksperter har opfordret til en lignende takknemmelse på McColo, har til dels at gøre med den luskede måde at McColos kunder blev forstyrret. Forskere siger, at McColo-computere ikke rent faktisk sendte spam ud, bare kører kommandoen og kontrollerer servere, der marcherede en anslået halv million inficerede botnetcomputere. Disse inficerede maskiner ville tage deres instruktioner fra servere på McColo's netværk, men hvis disse computere nogensinde skulle bankes offline, blev de givet flere andre backup-internetdomeiner for at kontrollere kommandoer.

For at holde tingene hemmelige havde de ikke registreret disse domæner, men de havde kodet flere hundrede af dem i deres botnet software. Men forskerne lærte disse domænenavne ved at kigge på botnet-koden for at finde ud af, hvad de hackede computere ville gøre, da McColo gik ned. Kort før McColo-netværket blev banket offline af Global Crossing og Hurricane Electric, registrerede forskere hundreder af backup-domæner selv.

Når botnets ikke kunne gå til McColos IP (Internet Protocol) plads til instruktioner, begyndte de at kigge efter deres backup-domæner, men disse blev kontrolleret af sikkerhedsforskere. Nu afbrudt fra deres kontrolservere og ude af stand til at oprette forbindelse til en sikkerhedskopi er to af internetets værste botnets, Srizbi og Rustock blevet afskediget.

"Der skal være hundreder af tusinder af bots derude, der er" t telefon hjem lige nu "sagde Joe Stewart, en botnet ekspert med SecureWorks, der har sporet McColo situationen.

Disse bots kan godt være deaktiveret for godt, forudsat at McCologos computere ikke bliver hentet online. Men det var netop det, der skete for en uge siden, da en forhandler af svenske internetudbyder TeliaSonera genoptog McColo midlertidigt.

Fejlen blev hurtigt noteret, og TeliaSonera blev hurtigt frakoblet McColo. Men sikkerhedsleverandøren FireEye regner med, at de onde gutter kunne genvinde kontrollen med tusindvis af botnetcomputere under dette korte vindue. Da McColo gik tilbage på internettet, fungerede dens IP-adresserum igen, og cyberkriminelle kunne sende instruktioner til deres botnet-computere. De ville ikke have kunnet gøre dette, hvis FBI var i stand til at lukke McColos datacenter San Jose, Californien, som det gjorde med Creative Internet.

Creative Internet var usædvanligt braseret om sine aktiviteter, og den slags raid er usandsynligt at ske igen, sagde Spamhaus 'Cox. "Du kan ikke bevise sådanne sager til et tilstrækkeligt niveau for at få det til en stor jury," sagde han. Internetudbydere får næsten altid et pass, når denne type aktivitet opdages på deres netværk, fordi de på en plausibelt måde kan benægte, at de vidste noget om det.

FTC vil gerne ændre det. I april anmodede FTC Kongressen om ændringer i FTC-loven, der ville give den mulighed for at forfølge dem, der støttede og støttede sig i bedrageri, hvilket ville gøre det muligt at gå mål som f.eks. Dårlige skuespillerindefællere, der har hjulpet svigagtige virksomheder.

Kongressen har allerede bevilget FTC en lignende myndighed til at gå efter mæglere, der bevidst giver lister til telemarketere, sagde Steven Wernikoff, en personalets advokat hos FTC. "Det er svært at se, hvorfor folk, der letter svindel via internettet, skulle få et pas," sagde han.

Strukturen af ​​cyberkriminalitetsoperationer er blevet morphed de seneste år og vil blive retsforfulgt mere som langvarige Mafia-undersøgelser end engangsaktioner mod individuelle spammere, siger observatører. "

" Problemet er, at vi stadig er i processen med at opbygge en moden håndhævelsesproces for cyberkriminalitet ", siger Jon Praed, en grundlægger af Internet Law Group, der har talt mod spammere på vegne af store virksomheder som Verizon Online og AOL. "Straffedomstol kræver mange ressourcer, og anklagere er usandsynligt at gå efter en person, medmindre de ved, at de får en overbevisning."

Praed vil gerne se, at de virksomheder, der er ramt af spam, arbejder sammen om at gå efter forbrydere. Han vil gerne se, at virksomheder deler oplysninger om dårlige aktører og bringer flere civile handlinger mod spammere og deres brugere. Hvis virksomheder kunne holde cyberkriminelle fra at bruge lovlige virksomheder, kunne de ændre spamindustriens grundlæggende økonomi og gøre det for dyrt for mange spillere.

"Alle de dårlige fyre har brug for at muliggøre tjenester," sagde han. "De flyver ikke på de kriminelle flyselskaber, de køber deres computere fra velrenommerede kilder. De bruger off-the-shelf business software, og de bruger kreditkort og mobiltelefoner ligesom dig og mig. Det betyder corporate Amerika har kollektivt en enorm mængde oplysninger om de onde fyre i egne hænder … men det bruger ikke disse oplysninger til at stoppe denne ulovlige aktivitet. "Han tilføjede:" Gode virksomheder er begyndt at indse, at de kan reducere omkostningerne og tiltrække kunder ved at være mere proaktiv mod cyberkriminalitet. "