Spam wird zum Schweigen gebracht, aber wo sind die Feds?

Illustration: John BleckOn 14. Oktober verkündete die US Federal Trade Commission, mit Hilfe des US Federal Bureau of Investigation und der neuseeländischen Polizei, dass sie ein riesiges international bekanntes Spam-Netzwerk abgeschaltet habe Als HerbalKing.

Es war ein triumphaler Moment für die FTC, die sagte, dass die Gruppe mit bis zu einem Drittel der Junk-E-Mail im Internet verknüpft war. In einem Interview mit der New York Times war FTC-Kommissar Jon Leibowitz bescheiden in seiner Einschätzung der Situation. "Sie sendeten außergewöhnliche Mengen von Spam", sagte er. "Wir hoffen auf einer Ebene, dass dies dazu beitragen wird, die Menge an Spam, die in die Postfächer der Verbraucher gelangt, zu verringern."

Die HerbalKing-Operation der FTC hat viele Schlagzeilen gemacht, aber es hat nicht viel bewirkt Reduzieren Sie die Menge an Spam im Internet, sagen Forscher. Innerhalb einer Woche war Spam so groß wie nie zuvor.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Stattdessen wurde zwei Wochen später ein weiterer Vorgang gegen den ISP (Internetdienst Anbieter) McColo in San Jose, Kalifornien, um die Menge an Spam wirklich zu reduzieren. Aber obwohl McColo anscheinend ein Spielplatz für Internetkriminelle war, war keine Bundesbehörde, nicht die FTC, nicht das FBI, nicht der Geheimdienst oder das Justizministerium daran beteiligt, es zu schließen.

Mit McColo, Internetforscher Der Reporter der Washington Post, Brian Krebs, beschuldigte ISPs Global Crossing und Hurricane Electric im Wesentlichen, den Dienst für McColo einzustellen, dessen Netzwerk mit einer Reihe illegaler Aktivitäten von gehackten Botnet-Computern zu Spam und sogar Kinderpornografie in Verbindung gebracht wurde nachdem McColos Takedown dramatisch war. Ungefähr die Hälfte des Spams im Internet verschwand.

Die IronPort-Abteilung von Cisco Systems sagt, dass die Anzahl der Spitzenzeiten trotz der kurzen Spitzenzeiten immer noch deutlich niedriger ist als vor der Deaktivierung durch McColo. McColo konnte nicht für einen Kommentar zu dieser Geschichte erreicht werden.

Aber zwei Wochen nachdem McColo von seinen Netzwerkanbietern fallengelassen wurde, bleibt das Datenzentrum des Unternehmens unberührt. Das frustriert einige Sicherheitsforscher, die sagen, dass die Server, die zur Steuerung dieser Operationen verwendet werden, einen Schatz an Beweisen über Cyberkriminelle liefern.

"Es überrascht mich nicht, obwohl es mich enttäuscht", sagte Richard Cox, CIO bei der Antispam-Gruppe Spamhaus. Cox, der mit Strafverfolgungsbehörden bei Spam-Fällen zusammenarbeitet, sagt, dass Ermittler zwar verstehen, wie eine Operation wie McColo funktioniert, dass es aber schwierig sein kann, ihre Bosse dazu zu bringen, Maßnahmen zu ergreifen. "Die Leute in den Schützengräben werden von Leuten geleitet, die denken, dass sie Politiker sind", sagte er.

McColo war auf dem Radar der Bundesregierung, ebenso wie Dutzende von anderen Dienstleistern weltweit, die sogenannte "kugelsichere" Anbieter sind Hosting-Dienste, die nie heruntergenommen werden, trotz Beschwerden, nach einer Quelle in einem Bundeskriminalamt, die unter der Bedingung der Anonymität gesprochen hat, weil er nicht autorisiert war, mit der Presse zu sprechen.

Während Forscher möglicherweise fühlen sie einen Fall haben Gegen McColo ist es eine andere Sache, einen Anwalt des US-Justizministeriums davon zu überzeugen, einen Haftbefehl zu verlangen, um Hunderte von Servern zu beschlagnahmen, und noch schwieriger, einen Bundesrichter zu bekommen, der dies autorisiert. "Es gibt einen Grund, warum wir nicht alle Server genommen haben", sagte er. "Wenn Sie einen Haftbefehl für Hunderte von Servern wollen … das ist sehr schwierig."

Das DOJ und das FBI wollten McColo nicht kommentieren.

Ein weiteres Problem: Die mit McColo verbundenen Kriminellen sollen in Russland und Osteuropa leben wo Computerkriminalität selten verfolgt wird. Eine erfolgreiche Strafverfolgung würde also eine Auslieferung erfordern, und Beobachter könnten sagen, dass dies sehr schwierig sei. "Sie nehmen McColo herunter und was Sie wirklich haben, ist eine höllische Last für die Anwälte im Justizministerium und sehr wenig Rückkehr, weil Sie wirklich außerhalb der USA gehen müssen, um die tatsächlichen Schuldigen aufzusammeln, "Cox sagte.

Zweifellos sind die mit McColo verbundenen Aktivitäten nach US-amerikanischem Recht illegal. Die Idee, einen ISP wegen illegaler Aktivitäten anwerben zu können, ist jedoch weitgehend unbewiesen, sodass jeder Staatsanwalt, der diesen Fall übernimmt, ein großes Risiko eingeht außergerichtlich ausgeschlossen werden.

Es gibt jedoch mindestens einen Präzedenzfall. Am 14. Februar 2004 schloss das FBI den Betrieb eines kleinen Internetdienstanbieters namens Creative Internet Techniques in Ohio, in einem Fall, den das FBI das Cyber-Heilig-Valentinstag-Massaker nannte. Zu der Zeit war es der größte FBI-Takedown in der Geschichte der Organisation. Fast 300 Server wurden beschlagnahmt, nachdem Creative Internet, auch bekannt als FooNet, mit verteilten Denial-of-Service-Angriffen in Verbindung gebracht wurde.

Der Grund, warum einige Sicherheitsexperten bei McColo eine ähnliche Takedown forderten, hat teilweise mit dem Hinterhältigen zu tun so dass McColos Kunden gestört wurden. Forscher sagen, dass die Computer von McColo nicht wirklich Spam verschickten, sondern nur die Befehls- und Kontrollserver betrieben, die schätzungsweise eine halbe Million infizierter Botnet-Computer verwalteten. Diese infizierten Maschinen würden ihre Anweisungen von den Servern in McColos Netzwerk nehmen, sollten diese jedoch jemals offline gehen, erhielten sie mehrere andere Internetdomänen, um nach Befehlen zu suchen.

Um die Dinge geheim zu halten, hatten die Kriminellen diese nicht registriert Domains, aber sie hatten mehrere hundert von ihnen in ihre Botnet-Software kodiert. Aber die Forscher lernten diese Domainnamen kennen, indem sie sich den Botnetz-Code ansahen, um herauszufinden, was die gehackten Computer tun würden, wenn McColo unterging. Kurz bevor das McColo-Netzwerk von Global Crossing und Hurricane Electric offline geschleudert wurde, registrierten die Forscher die Hunderte von Backup-Domains selbst.

Als die Botnets nicht auf McColos IP-Adresse (Internet Protocol) zugreifen konnten, suchten sie nach ihren Backup-Domänen, aber diese wurden von Sicherheitsforschern kontrolliert. Nun, von ihren Kontrollservern getrennt und nicht in der Lage, sich mit einem Backup zu verbinden, wurden zwei der schlimmsten Botnets des Internets, Srizbi und Rustock, enthauptet.

"Da draußen müssen Hunderttausende von Bots sein, die nicht "Ich telefoniere gerade nach Hause", sagte Joe Stewart, ein Botnet-Experte mit SecureWorks, der die McColo-Situation verfolgt hat.

Diese Bots könnten für immer deaktiviert sein, vorausgesetzt, dass McColos Computer nicht wieder online gehen. Aber genau das passierte vor einer Woche, als ein Wiederverkäufer des schwedischen ISP TeliaSonera McColo vorübergehend wieder anschloss.

Der Fehler wurde schnell bemerkt, und TeliaSonera trennte schnell McColo ab. Aber der Sicherheitsanbieter FireEye geht davon aus, dass die bösen Jungs in diesem kurzen Zeitfenster die Kontrolle über Tausende von Botnet-Computern zurückgewinnen konnten. Als McColo wieder ins Internet ging, funktionierte sein IP-Adressraum wieder und Cyberkriminelle konnten Anweisungen an ihre Botnet-Computer senden. Sie hätten das nicht tun können, wenn das FBI McColos Rechenzentrum in San Jose, Kalifornien, wie bei Creative Internet hätte herunterfahren können.

Creative Internet war außergewöhnlich unverschämt über seine Aktivitäten und diese Art von Razzia wird wahrscheinlich nicht wieder passieren, sagte Spamhaus 'Cox. "Sie können diese Art von Fällen nicht ausreichend nachweisen, um sie an eine Grand Jury zu bringen", sagte er. ISPs erhalten fast immer einen Pass, wenn diese Art von Aktivität in ihrem Netzwerk entdeckt wird, weil sie plausibel abstreiten können, dass sie etwas darüber wussten.

Die FTC möchte dies jedoch ändern. Im April bat die FTC den Kongress um Änderungen des FTC Act, die es ermöglichen würden, diejenigen zu verfolgen, die Betrug unterstützten und unterstützten, was es Zielen wie bösartigen ISPs erlauben würde, betrügerischen Unternehmen zu helfen.

Der Kongress hat Englisch: www.germnews.de/archive/dn/1995/02/15.html Der FTC habe bereits eine ähnliche Befugnis erteilt, Makler zu beauftragen, die wissentlich Telemarkerlisten zur Verfügung stellen, sagte Steven Wernikoff, Anwalt für Personalfragen bei der FTC. "Es ist schwer zu verstehen, warum Menschen, die Betrug über das Internet ermöglichen, einen Pass erhalten sollten", sagte er.

Die Struktur der Cybercrime-Operationen hat sich in den letzten Jahren verändert und muss mehr wie lang andauernde Mafia-Ermittlungen verfolgt werden als einmalige Aktionen gegen einzelne Spammer, sagen Beobachter.

"Letztendlich ist das Problem, dass wir immer noch da sind der Prozess, einen ausgereiften Prozess zur Durchsetzung der Cyberkriminalität aufzubauen ", sagte Jon Praed, einer der Gründungspartner der Internet Law Group, der im Auftrag von großen Unternehmen wie Verizon Online und AOL gegen Spammer geklagt hat. "Strafverfolgungsmaßnahmen erfordern eine Menge Ressourcen, und Staatsanwälte werden wahrscheinlich niemanden verfolgen, es sei denn, sie wissen, dass sie eine Verurteilung erhalten werden."

Praed würde gerne sehen, dass die Unternehmen, die von Spam betroffen sind, zusammenarbeiten Kriminelle. Er würde gerne sehen, dass Unternehmen Informationen über schlechte Akteure austauschen und mehr Zivilklagen gegen Spammer und deren Ermöglicher einbringen. Wenn Unternehmen Cyberkriminelle davon abhalten könnten, seriöse Unternehmen zu nutzen, könnten sie die fundamentalen Ökonomien der Spam-Industrie verändern und es für viele Spieler zu teuer machen.

"All diese bösen Jungs brauchen unterstützende Dienste", sagte er. Sie fliegen ihre Computer von seriösen Quellen. Sie verwenden handelsübliche Software, und sie benutzen Kreditkarten und Handys wie Sie und ich Amerika sammelt kollektiv eine riesige Menge an Informationen über die bösen Jungs in seinen eigenen Händen … aber es nutzt diese Informationen nicht, um diese illegalen Aktivitäten zu stoppen. "

Er fügte hinzu:" Gute Unternehmen beginnen zu realisieren, dass sie Kosten reduzieren und locken Sie Kunden an, indem Sie proaktiver gegen Cyberkriminalität vorgehen. "