Spam er stilt, men hvor er fedre?

Illustrasjon: John BleckOn 14 oktober annonserte US Federal Trade Commission med hjelp fra US Federal Bureau of Investigation og New Zealand politiet at den hadde lukket ned et stort internasjonalt spamnettverk kjent som HerbalKing.

Det var et triumferende øyeblikk for FTC, som sa at gruppen hadde vært koblet til så mye som en tredjedel av søppelposten på Internett. I et intervju med The New York Times var FTC-kommissær Jon Leibowitz beskjeden i sin vurdering av situasjonen. "De sendte ekstra mengder spam," sa han. "Vi håper på et visst nivå at dette vil bidra til å gjøre en liten kilde i mengden spam som kommer inn i forbrukerens in-bokser."

FTCs HerbalKing-operasjon tok mange overskrifter, men det gjorde ikke mye for å redusere mengden spam på internett, sier forskere. Innen en uke var spam så stort av et problem som noensinne.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

I stedet tok det en annen operasjon, to uker senere, mot Internett-leverandøren leverandør) McColo i San Jose, California, for å virkelig redusere mengden spam. Men selv om McColo ser ut til å ha vært en lekeplass for Internett-kriminelle, var ikke et føderalt organ, ikke FTC, ikke FBI, ikke Secret Service eller Justisdepartementet, involvert i å slå den ned.

Med McColo, har internettforskere og Washington Post-reporteren Brian Krebs skammet hovedsakelig ISPs Global Crossing og Hurricane Electric til å slippe tjeneste for McColo, hvis nettverk hadde vært forbundet med en rekke ulovlig aktivitet fra hacked botnet-datamaskiner til spam og til og med barnepornografi.

I motsetning til HerbalKing, ble resultatene etter at McCologos takedown var dramatisk. Om lag halvparten av spam på Internett forsvunnet.

Cisco Systems 'IronPort-avdeling sier at selv om det har vært noen korte toppene i aktivitet, er spam fortsatt betydelig ned fra hvor det var før McColo-taket. McColo kunne ikke nås for kommentar til denne historien.

Men to uker etter at McColo ble tapt av nettverksleverandørene, forblir selskapets datasenter uberørt. Det frustrerer noen sikkerhetsforskere som sier at serverne som brukes til å kontrollere disse operasjonene, kunne gi en skattekilde av bevis for cyberkriminelle. "Det overrasker meg ikke, selv om det skuffer meg," sa Richard Cox, CIO med antispam-gruppe Spamhaus. Cox, som jobber med rettshåndhevelse på spam saker, sier at mens føderale etterforskere kan forstå hvordan en operasjon som McColo fungerer, får deres sjefer til å godta å handle, kan være vanskelig. "Folk i grendene blir dirigert av folk som tror de er politikere," sa han.

McColo var på den føderale regjeringens radar, og det er dusinvis av andre tjenesteleverandører over hele verden som er kjent som leverandører av såkalte bulletproof hosting tjenester, som aldri blir tatt ned, til tross for klager, ifølge en kilde i et føderalt rettshåndhevelsesbyrå som snakket på betingelse av anonymitet fordi han ikke var autorisert til å snakke med pressen.

Mens forskere kan føle at de har en sak mot McColo, er det enda en ting å overbevise en advokat for justisdepartementet i USA for å be om en garanti for å gripe hundrevis av servere, og enda vanskeligere å få en føderal dommer til å godkjenne dette. "Det er en grunn til at vi ikke bare gikk og tok tak i alle serverne," sa han. "Hvis du vil ha en garanti for hundrevis av servere … det er veldig vanskelig."

DOJ og FBI nektet å kommentere McColo.

Et annet problem: De kriminelle som er assosiert med McColo, antas å bo i Russland og Øst-Europa, hvor datamaskinforbrytelser sjelden blir straffet. Så en vellykket prosedyre vil kreve utlevering, og det kan være svært vanskelig å trekke av, sier observatører. "Du tar ned McColo, og det du egentlig har, er et helvete for advokater i Justisdepartementet og svært liten retur, fordi du faktisk må gå utenfor USA for å plukke opp de faktiske skyldige, "Sa Cox.

Selv om det ikke er tvil om at aktivitetene knyttet til McColo er ulovlige i henhold til amerikansk lov, kan ideen om at du kan påtale en ISP for å oppnå ulovlig aktivitet, stort sett være ubevisst, så enhver saksøker som tok på seg denne saken, ville ta stor risiko for at saken ville bli kastet ut av retten.

Det er imidlertid minst en prejudikat. Den 14. februar 2004 slår FBI ned operasjoner hos en liten ISP i Ohio, kalt Creative Internet Techniques, i et tilfelle at FBI kalt Cyber ​​Saint Valentine's Day Massacre. På den tiden var det den største FBI-takten i organisasjonens historie. Nesten 300 servere ble beslaglagt etter at Creative Internet, også kjent som FooNet, var knyttet til distribuert nektelse av tjenestenangrep.

Årsaken til at noen sikkerhetseksperter har kalt for en lignende takknemlighet på McColo, har delvis å gjøre med snuskede måte at McCologos kunder ble forstyrret. Forskere sier at McColo-datamaskiner ikke faktisk sendte ut spam, bare kjører kommandoen og kontroll servere som marshalled anslagsvis halv million infiserte botnet datamaskiner. Disse infiserte maskinene vil ta instruksjonene fra servere på McColo's nettverk, men hvis disse datamaskinene noensinne blir slått av, fikk de flere andre sikkerhetskopierte Internett-domener for å sjekke kommandoer.

For å holde hemmelighetene, hadde de ikke registrert disse domener, men de hadde kodet flere hundre av dem i deres botnet programvare. Men forskerne lærte disse domenenavnene ved å se på botnetkoden for å finne ut hva de hakkede datamaskinene ville gjøre da McColo gikk ned. Kort før McColo-nettverket ble banket offline av Global Crossing og Hurricane Electric, registrerte forskere hundrevis av backup domener selv.

Når botnets ikke kunne gå til McCologos IP (Internet Protocol) plass for instruksjoner, begynte de å lete etter deres backup domener, men disse ble kontrollert av sikkerhetsforskere. Nå, frakoblet fra sine kontrollservere, og ikke i stand til å koble til en sikkerhetskopi, er to av internettets verste botnetter, Srizbi og Rustock, blitt avskåret.

"Det må være hundrevis av tusenvis av bots der ute som er" ikke ringe hjem akkurat nå, "sa Joe Stewart, en botnetekspert med SecureWorks som har sporet McColo-situasjonen.

Disse botsene kan godt bli deaktivert for godt, forutsatt at McCologos datamaskiner ikke blir hentet tilbake på nettet. Men det var akkurat det som skjedde for en uke siden, da en forhandler av svenske ISP TeliaSonera midlertidig koblet til McColo.

Feilen ble raskt notert, og TeliaSonera ble raskt koblet fra McColo. Men sikkerhetsleverandøren FireEye regner med at de gutta var i stand til å gjenvinne kontrollen med tusenvis av botnet-datamaskiner under dette korte mulighetsvinduet. Da McColo gikk tilbake på Internett, jobbet IP-adresserommet igjen, og cyberkriminelle kunne sende instruksjoner til sine botnet-datamaskiner. De ville ikke vært i stand til å gjøre dette hvis FBI var i stand til å slå ned McColos datasenter San Jose, California, som det gjorde med Creative Internet.

Creative Internet var eksepsjonelt brazen om aktivitetene og den typen raid er usannsynlig å skje igjen, sa Spamhaus 'Cox. "Du kan ikke bevise slike sager til et tilstrekkelig nivå for å få det til en stor jury," sa han. Internett-leverandører blir nesten alltid gitt et pass når denne typen aktivitet er oppdaget på nettverket, fordi de trolig kan nekte at de visste noe om det.

FTC vil gjerne endre det. I april ba FTC Kongressen om endringer i FTC-loven som ville tillate den å forfølge de som hjalp og støttet seg i svindel, noe som ville tillate det å gå mål som for eksempel dårlige skuespillerinnehavere som har hjulpet svindelige bedrifter.

Kongressen har allerede gitt FTC en lignende myndighet til å gå etter meglere som bevidst gir lister til telemarketere, sa Steven Wernikoff, en stabsadvokat med FTC. "Det er vanskelig å se hvorfor folk som letter svindel via Internett, skal få et pass," sa han.

Strukturen av nettkriminalitetsoperasjoner har blitt morphed de siste årene, og må bli saksøkt mer som langvarige Mafia-undersøkelser enn engangsprosedyrer mot individuelle spammere, sier observatører. «I siste ende er problemet at vi fortsatt er i Prosessen med å bygge en moden håndhevelsesprosess for cyberkriminalitet, sier Jon Praed, en grunnlegger av Internet Law Group, som har talt mot spammere på vegne av store selskaper som Verizon Online og AOL. "Retsforfølgelser krever mange ressurser, og anklagere er usannsynlig å gå etter noen, med mindre de vet at de skal få en overbevisning."

Praed vil gjerne se at selskapene som er rammet av spam jobber sammen for å gå etter kriminelle. Han vil gjerne se selskaper dele informasjon om dårlige skuespillere og bringe flere sivile tiltak mot spammere og deres engasjere. Hvis selskaper kan holde cyberkriminelle fra å bruke legitime bedrifter, kan de endre den grunnleggende økonomien til spamindustrien, og gjøre det for dyrt for mange spillere.

"Alle de dårlige gutta trenger å aktivere tjenester," sa han. "De flyr ikke på de kriminelle flyselskapene, de kjøper sine datamaskiner fra anerkjente kilder. De bruker forretningsmessig forretningshjelp, og de bruker kredittkort og mobiltelefoner, akkurat som deg og meg. Det betyr bedriftens Amerika har kollektivt en enorm mengde informasjon om de onde gutta i sine egne hender … men det bruker ikke denne informasjonen for å stoppe denne ulovlige aktiviteten. "Han la til:" Gode bedrifter begynner å innse at de kan redusere kostnader og tiltrekke kunder ved å være mer proaktiv mot nettkriminalitet. "