Spam är tyst, men var är född?

Illustration: John BleckOn 14 oktober meddelade USA: s federala handelskommission med hjälp av US Federal Bureau of Investigation och New Zealands polis att den hade stängt ett omfattande internationellt spam-nätverk känt som HerbalKing.

Det var ett triumferande ögonblick för FTC, som sa att gruppen hade kopplats till så mycket som en tredjedel av skräpposten på Internet. I en intervju med The New York Times var FTC-kommissionär Jon Leibowitz blygsam i sin bedömning av situationen. "De skickade extraordinära mängder spam," sa han. "Vi hoppas på en viss nivå att det här kommer att bidra till att göra en liten dugg i mängden skräppost som kommer in i konsumenternas in-boxar."

FTC: s HerbalKing-operation tog många rubriker, men det gjorde inte mycket för att minska mängden skräppost på Internet, säger forskare. Inom en vecka var spam lika stort för ett problem som någonsin.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Istället tog det en annan åtgärd, två veckor senare, mot Internetleverantören leverantör) McColo i San Jose, Kalifornien, för att verkligen minska mängden skräppost. Men även om McColo verkar ha varit en lekplats för internetkriminella, var ingen federal myndighet, inte FTC, inte FBI, inte hemlighetstjänsten eller justitieministeriet, involverad i att stänga av det.

Med McColo, Internetforskare och Washington Post-reportern Brian Krebs skämde väsentligen ISP: er Global Crossing och Hurricane Electric till dropptjänst för McColo, vars nätverk hade förknippats med en rad olaglig aktivitet från hackade botnetdatorer till spam och till och med barnpornografi.

Till skillnad från HerbalKing efter McCologos takedown var dramatiska. Omkring hälften av spam på Internet försvann.

Cisco Systems 'IronPort-division säger att även om det har funnits några korta spikar i verksamheten, är spam fortfarande betydligt lägre än var det var före McColo-taket. McColo kunde inte nås för kommentar till den här historien.

Men två veckor efter att McColo tappades av sina nätleverantörer förblir företagets datacenter orörd. Det frustrerar några säkerhetsforskare som säger att servrarna som använde sig för att kontrollera dessa operationer kan ge en skatt på bevis om cyberkriminella. "Det överraskar mig inte, även om det gör mig besviken", säger Richard Cox, CIO med antispam-grupp Spamhaus. Cox, som arbetar med brottsbekämpning på spamfall, säger att medan federala utredare kan förstå hur en operation som McColo fungerar, får sina chefer att komma överens om att vidta åtgärder kan vara svåra. "Folket i grävningarna styrs av människor som tror att de är politiker", sa han.

McColo var på federal regeringens radar, liksom dussintals andra tjänsteleverantörer över hela världen som är kända leverantörer av sk Bulletproof värdtjänster, som aldrig tas ner, trots klagomål, enligt en källa i en federal brottsbekämpande myndighet som talade om anonymitet eftersom han inte var behörig att prata med pressen.

Medan forskare kan känna att de har ett ärende mot McColo är det en annan sak helt att övertyga en advokat för justitieministeriet i USA för att be om en dröjsmål att gripa hundratals servrar, och ännu svårare att få en federal domare att godkänna detta. "Det är en anledning till att vi inte bara gick och greppa alla servrar," sa han. "Om du vill ha en garanti för hundratals servrar … är det väldigt svårt."

DOJ och FBI nekade att kommentera McColo.

Ett annat problem: De kriminella som är associerade med McColo tror att de bor i Ryssland och Östeuropa, där datorbrott sällan åtalas. Så en framgångsrik åtal skulle kräva utlämning och det kan vara mycket svårt att dra av, säger observatörer. "Du tar ner McColo och vad du faktiskt har är ett helvete av en belastning för advokaterna vid justitiedepartementet och väldigt liten retur, för att du faktiskt måste gå utanför USA för att hämta de faktiska synderna, "Sade Cox.

Det finns ingen tvekan om att de aktiviteter som är associerade med McColo är olagliga enligt amerikansk lagstiftning, tanken att du kan åtala en Internetleverantör för att åstadkomma olaglig verksamhet är i stort sett ofrivilligt, så någon åklagare som tog på sig detta fall skulle utgöra en stor risk att fallet skulle kastas utanför domstol.

Det finns dock minst ett prejudikat. Den 14 februari 2004 stängde FBI operationer hos en liten ISP i Ohio som kallades Creative Internet Techniques i en händelse som FBI kallade Cyber ​​Saint Valentine's Day Massacre. Vid den tiden var det den största FBI-takten i organisationens historia. Nästan 300 servrar beslagtagits efter att Creative Internet, även känt som FooNet, var kopplat till distribuerade avslag på tjänsteattacker.

Anledningen till att vissa säkerhetsexperter har krävt en liknande neddragning på McColo har till viss del att göra med den smygande sätt att McCologos kunder stördes. Forskare säger att McColo-datorer inte skickade spam, bara kör kommandot och kontroller servrar som marshalled uppskattade halv miljon smittade botnet datorer. Dessa infekterade maskiner skulle ta sina instruktioner från servrar på McColos nätverk, men om dessa datorer någonsin skulle knackas offline fick de flera andra Internet-domäner för att kontrollera kommandon.

För att hålla sakerna hemliga hade brottslingar inte registrerat dessa domäner, men de hade kodat flera hundra av dem i deras botnet programvara. Men forskarna lärde sig dessa domännamn genom att titta på botnetkoden för att ta reda på vad de hackade datorerna skulle göra när McColo gick ner. Strax innan McColo-nätverket slogs offline av Global Crossing och Hurricane Electric registrerade forskare hundratals reservdomen själva.

När botnets inte kunde gå till McCologos IP-adress (Internet Protocol) för instruktioner, började de leta efter deras backup-domäner, men dessa kontrollerades av säkerhetsforskare. Nu kopplade från sina kontrollservrar och kan inte ansluta till en säkerhetskopia har två av Internetens värsta botnät, Srizbi och Rustock, blivit halshuggade.

"Det måste finnas hundratusentals bots där ute som är" inte ringa hem just nu ", säger Joe Stewart, en botnätekspert med SecureWorks som har spårat McColo-situationen.

Dessa bots kan väl vara inaktiverade för bra, förutsatt att McCologos datorer inte kommer tillbaka online. Men det var precis vad som hände för en vecka sedan, när en återförsäljare av svensk internetleverantör TeliaSonera återanslutte McColo tillfälligt.

Felet noterades snabbt, och TeliaSonera kopplade snabbt från McColo. Men säkerhetsleverantören FireEye tror att de dåliga killarna kunde återfå kontrollen med tusentals botnetdatorer under det här korta tillfället. När McColo gick tillbaka på Internet fungerade dess IP-adressutrymme igen och cyberkriminella kunde skicka instruktioner till sina botnetdatorer. De skulle inte ha kunnat göra det om FBI kunde stänga ned McCologos datasenter San Jose, Kalifornien, som det gjorde med Creative Internet.

Creative Internet var exceptionellt brazen om sin verksamhet och den typen av raid är osannolikt att hända igen, sa Spamhaus 'Cox. "Du kan inte bevisa sådana sorters fall till en tillräcklig nivå för att få det till en stor jury," sa han. Internetleverantörer ges nästan alltid ett pass när denna typ av aktivitet upptäcks i deras nätverk eftersom de på ett troligt sätt kan förneka att de visste någonting om det.

FTC vill ändå ändra det. I april bad FTC kongressen om ändringar i FTC-lagen som skulle göra det möjligt att bedriva dem som hjälpte och drog sig i bedrägerier, vilket skulle göra det möjligt att nå mål som dåliga aktörer som har hjälpt bedrägliga företag.

Kongressen har redan beviljat FTC en liknande auktoritet att gå efter mäklare som medvetet tillhandahåller listor till telemarkerters, säger Steven Wernikoff, en personaladvokat med FTC. "Det är svårt att se varför människor som underlättar bedrägerier via Internet ska få ett pass," sa han.

Uppbyggnaden av cyberbrottsverksamheten har blivit morfed de senaste åren och måste åtalas mer som långvariga Mafia-undersökningar än enstaka åtgärder mot enskilda spammare, säger observatörer. "

" Problemet är att vi fortfarande är i processen med att bygga en mogen cyberbrottsbekämpningsprocess ", säger Jon Praed, en grundande partner för Internet Law Group, som har tvister mot spammare på uppdrag av stora företag som Verizon Online och AOL. "Straffförfaranden kräver mycket resurser och åklagare är osannolikt att gå efter någon, om inte de vet att de kommer att få en övertygelse."

Praed vill se att de företag som påverkas av spam arbetar tillsammans för att gå efter brottslingar. Han skulle vilja se företag dela information om dåliga aktörer och få fler civila åtgärder mot spammare och deras enablers. Om företag kan hålla cyberkriminella från att använda legitima företag kan de förändra spamindustrins grundläggande ekonomi och göra det för dyrt för många spelare.

"Alla de dåliga killarna behöver aktivera tjänster," sa han. "De flyger inte på de brottsliga flygbolagen, de köper sina datorer från välrenommerade källor. De använder sig av affärsmjukvara, och de använder kreditkort och mobiltelefoner precis som du och jag. Det betyder företag Amerika har kollektivt en enorm mängd information om de dåliga killarna i sina egna händer … men det använder inte den informationen för att stoppa denna olagliga verksamhet. "Han tillade:" Bra företag börjar inse att de kan minska kostnaderna och locka kunder genom att vara mer proaktiv mot cyberbrottslighet. "