Spam Dihidupkan, tetapi Dimana Feds?

Ilustrasi: John BleckOn 14 Oktober, Suruhanjaya Perdagangan Persekutuan Amerika Syarikat, dengan bantuan dari Biro Penyiasatan Persekutuan Amerika Syarikat dan polis New Zealand, mengumumkan bahawa ia telah menutup rangkaian spam antarabangsa yang luas sebagai HerbalKing.

Ini adalah momen kejayaan bagi FTC, yang mengatakan bahawa kumpulan itu telah dikaitkan dengan sebanyak satu pertiga daripada e-mel sampah di Internet. Dalam satu wawancara dengan The New York Times, Pesuruhjaya FTC Jon Leibowitz adalah sederhana dalam menilai keadaannya. "Mereka menghantar spam yang luar biasa," katanya. "Kami berharap pada tahap tertentu bahawa ini akan membantu membuat penyok kecil dalam jumlah spam yang datang ke dalam kotak pengguna."

Operasi HerbalKing FTC meraih banyak tajuk berita, tetapi ia tidak banyak membantu mengurangkan jumlah spam di Internet, kata para penyelidik.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Sebaliknya, ia mengambil satu lagi operasi, dua minggu kemudian, terhadap ISP (perkhidmatan Internet penyedia) McColo di San Jose, California, untuk mengurangkan jumlah spam. Tetapi walaupun McColo nampaknya telah menjadi taman permainan untuk penjenayah Internet, tiada agensi persekutuan, bukan FTC, bukan FBI, bukan Perkhidmatan Rahsia atau Jabatan Kehakiman, terlibat dalam menutupnya.

Dengan McColo, penyelidik Internet dan wartawan Washington Post Brian Krebs pada dasarnya memalukan ISP Global Crossing dan Badai Listrik untuk menjatuhkan layanan untuk McColo, rangkaiannya telah dikaitkan dengan pelbagai kegiatan ilegal dari komputer botnet yang digodam untuk spam dan bahkan pornografi kanak-kanak.

Tidak seperti HerbalKing, hasilnya selepas penyingkiran McColo adalah dramatik. Sekitar separuh daripada spam di Internet hilang.

Bahagian IronPort Cisco Systems 'mengatakan bahawa walaupun terdapat pancang singkat dalam kegiatan, spam masih turun dengan ketara dari mana ia sebelum pengurangan McColo. McColo tidak dapat dihubungi untuk komen mengenai kisah ini.

Tetapi dua minggu selepas McColo dijatuhkan oleh penyedia rangkaiannya, pusat data syarikat itu masih tidak disentuh. "Ini tidak mengejutkan saya, walaupun ia mengecewakan saya," kata Richard Cox, CIO dengan Spamhaus kumpulan antispam. Cox, yang bekerja dengan penguatkuasa undang-undang terhadap kes spam, mengatakan bahawa sementara penyiasat persekutuan mungkin memahami bagaimana operasi seperti McColo berfungsi, mendapatkan bos mereka untuk mengambil tindakan boleh menjadi sukar. "Orang-orang di parit sedang diarahkan oleh orang-orang yang menganggap mereka ahli politik," katanya.

McColo berada di radar kerajaan persekutuan, seperti berpuluh-puluh pembekal perkhidmatan lain di seluruh dunia yang dikenali penyedia apa yang disebut peluru perkhidmatan hosting, yang tidak pernah diturunkan, walaupun menurut aduan, menurut sumber di sebuah agensi penguatkuasaan undang-undang persekutuan yang bercakap dengan syarat tidak mahu namanya disiarkan kerana dia tidak diberi kuasa untuk bercakap dengan media.

Walaupun penyelidik mungkin merasakan mereka mempunyai kes terhadap McColo, ia adalah satu perkara yang sama sekali untuk meyakinkan seorang peguam Jabatan Kehakiman AS untuk meminta waran untuk merampas beratus-ratus pelayan, dan bahkan lebih keras untuk mendapatkan hakim persekutuan untuk memberi kuasa ini. "Ada sebab mengapa kita tidak pergi dan merebut semua pelayan," katanya. "Jika anda mahukan waran untuk beratus-ratus pelayan … itu sangat sukar."

The DOJ dan FBI enggan mengulas mengenai McColo.

Masalah lain: Penjenayah yang dikaitkan dengan McColo dianggap tinggal di Rusia dan Eropah Timur, di mana jenayah komputer jarang dituntut. Oleh itu, pendakwaan yang berjaya memerlukan ekstradisi dan mungkin sangat sukar untuk ditarik, kata pemerhati. "Anda mengambil McColo dan apa yang sebenarnya anda dapatkan adalah salah satu beban bagi peguam di Jabatan Kehakiman dan pulangan yang sangat sedikit, kerana anda sebenarnya telah pergi ke luar AS untuk mengambil tindakan yang sebenarnya, "Kata Cox.

Walaupun tidak ada keraguan bahawa kegiatan yang dikaitkan dengan McColo adalah tidak sah di bawah undang-undang AS, idea bahawa anda boleh mendakwa ISP kerana bersekongkol aktiviti haram tidak banyak terbukti, jadi mana-mana pendakwa yang mengambil kes ini akan mengambil risiko besar bahawa kes itu akan akan dilepaskan dari mahkamah.

Sekurang-kurangnya ada satu preseden. Pada 14 Februari 2004, FBI menutup operasi di ISP Ohio kecil yang dikenali sebagai Teknik Internet Kreatif dalam satu peristiwa FBI menggelar Pembunuhan Day Cyber ​​Saint Valentine. Pada masa itu, ia adalah FBI terbesar yang dikeluarkan dalam sejarah organisasi. Hampir 300 pelayan telah dirampas selepas Internet Kreatif, yang juga dikenali sebagai FooNet, dikaitkan dengan penyangkalan penyebaran serangan teragih.

Alasan mengapa sesetengah pakar keselamatan telah meminta penyingkiran yang sama di McColo, sebahagiannya, dilakukan dengan licik cara pelanggan McColo terganggu. Penyelidik mengatakan bahawa komputer McColo sebenarnya tidak menghantar spam, hanya menjalankan pelayan arahan dan kawalan yang memakan kira-kira setengah juta komputer botnet yang dijangkiti. Mesin-mesin yang dijangkiti ini akan mengambil arahan mereka dari pelayan di rangkaian McColo, tetapi sekiranya komputer-komputer tersebut telah dialihkan ke luar talian, mereka diberi beberapa domain Internet sandaran lain untuk memeriksa arahan.

Untuk menyimpan perkara-perkara rahsia, penjenayah tidak mendaftarkan ini domain, tetapi mereka telah mengodkan beberapa ratus mereka ke dalam perisian botnet mereka. Tetapi para penyelidik mempelajari nama domain ini dengan melihat kod botnet untuk mengetahui apa yang komputer yang digodam akan dilakukan ketika McColo turun. Tidak lama sebelum rangkaian McColo telah diketuk oleh luar talian oleh Global Crossing dan Hurricane Electric, penyelidik mencatatkan beratus-ratus domain sandaran itu sendiri.

Apabila botnet tidak dapat pergi ke ruang alamat IP (Internet Protocol) McColo untuk arahan, mereka mula mencari domain sandaran, tetapi ini dikawal oleh penyelidik keselamatan. Sekarang, terputus dari pelayan kawalan mereka, dan tidak dapat menyambung ke sandaran, dua botnet paling buruk di Internet, Srizbi dan Rustock, telah dipenggal.

"Ada ratusan ribu bot di luar sana yang ' t memanggil rumah sekarang "kata Joe Stewart, pakar botnet dengan SecureWorks yang telah mengesan keadaan McColo.

Bot ini mungkin dinyahdayakan untuk kebaikan, dengan syarat komputer McColo tidak dapat dibawa balik dalam talian. Tetapi itulah yang berlaku seminggu yang lalu, apabila penjual ISP Sweden TeliaSonera menyambung semula McColo buat sementara waktu.

Kesilapan itu dengan cepat dicatatkan, dan TeliaSonera dengan cepat memutuskan sambungan McColo. Tetapi vendor keselamatan FireEye menganggap bahawa orang jahat dapat mengembalikan beribu-ribu komputer botnet semasa peluang ini. Apabila McColo kembali ke Internet, ruang alamat IPnya bekerja sekali lagi dan penjenayah siber dapat menghantar arahan kepada komputer botnet mereka. Mereka tidak akan dapat melakukan ini jika FBI telah berjaya mematikan McColo's San Jose, California, pusat data, seperti yang dilakukan dengan Internet Kreatif.

Internet Kreatif adalah sangat kurang ajar tentang kegiatannya dan jenis serangan itu tidak mungkin berlaku lagi, kata Spamhaus 'Cox. "Anda tidak boleh membuktikan kes-kes seperti itu ke tahap yang mencukupi untuk membawanya ke juri besar," katanya. ISP hampir selalu diberikan lulus apabila jenis aktiviti ini ditemui di rangkaian mereka kerana mereka boleh menafikan bahawa mereka tahu apa-apa mengenainya.

FTC ingin mengubahnya, bagaimanapun. Pada bulan April, FTC meminta Kongres untuk menukar kepada Akta FTC yang membolehkannya meneruskan mereka yang membantunya dan bersubahat dengan penipuan, yang akan membolehkannya menjadi sasaran seperti pelaku ISP buruk yang telah membantu perniagaan penipuan.

Kongres telah sudah memberikan FTC kuasa yang sama untuk mengejar broker yang dengan sengaja menyediakan senarai kepada telemarkerter, kata Steven Wernikoff, seorang pengacara kakitangan FTC. "Sukar untuk melihat mengapa orang yang memfasilitasi penipuan melalui Internet harus mendapatkan lulus," katanya.

Struktur operasi jenayah siber telah berkembang sejak beberapa tahun kebelakangan ini dan perlu dituntut lebih banyak seperti penyiasatan mafia yang berlarutan daripada satu tindakan terhadap spammer individu, kata para pemerhati.

"Pada akhirnya, masalahnya adalah kita masih dalam proses membina proses penguatkuasaan jenayah siber yang matang, "kata Jon Praed, rakan kongsi pengasas Internet Law Group, yang telah melakukan litigasi terhadap spammer bagi pihak syarikat utama seperti Verizon Online dan AOL. "Pendakwaan jenayah memerlukan banyak sumber dan pendakwa tidak mungkin mengejar seseorang kecuali mereka tahu mereka akan mendapat keyakinan."

Praed ingin melihat syarikat-syarikat yang terjejas oleh kerja sama spam untuk mengikuti penjenayah. Dia ingin melihat syarikat berkongsi maklumat tentang pelaku buruk dan membawa lebih banyak tindakan sivil terhadap spammer dan penyokong mereka. Jika syarikat boleh menyimpan penjenayah siber daripada menggunakan perniagaan yang sah, mereka boleh mengubah ekonomi asas industri spam, dan menjadikannya terlalu mahal untuk banyak pemain.

"Semua orang jahat perlu mengaktifkan perkhidmatan," katanya. "Mereka tidak terbang di syarikat penerbangan jenayah, mereka membeli komputer mereka dari sumber-sumber yang bereputasi, mereka menggunakan perisian perniagaan luar, dan mereka menggunakan kad kredit dan telefon bimbit seperti anda dan saya. Amerika secara kolektif memegang sejumlah besar maklumat mengenai orang-orang jahat dengan tangannya sendiri … tetapi ia tidak menggunakan maklumat itu untuk menghentikan aktiviti haram ini. "

Dia menambah," Syarikat-syarikat yang baik mula menyedari mereka dapat mengurangkan kos dan menarik pelanggan dengan lebih proaktif terhadap jenayah siber. "