ISP tagliato fuori da Internet dopo preoccupazioni di sicurezza

Un fornitore di servizi Internet statunitense sospettato di aiutare i criminali informatici nelle truffe online e di ospitare la pornografia infantile è stato almeno parzialmente interrotto da Internet martedì sera.

L'ISP (Internet service provider), McColo, era sotto il occhio attento degli analisti della sicurezza informatica per anni. È uno dei pochi cosiddetti provider di hosting "a prova di proiettile" che offrono un rifugio sicuro online per i criminali informatici che vendono Viagra e software di sicurezza fasulli.

Gli ISP possono connettersi tra loro per lo scambio di traffico Internet, una pratica nota come "peering". " Hurricane Electric, un ISP che trasportava una parte del traffico di McColo, disconnesso da McColo martedì sera. Global Crossing, un provider di servizi di rete IP (Internet Protocol) collegato anche a McColo non commenterebbe.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

"Tutto quello che posso dire è che comunichiamo e rispettiamo pienamente con le autorità legali, ma non facciamo commenti su singoli clienti e singoli incidenti ", ha dichiarato Richard Larris, senior manager per le relazioni con i media a Global Crossing.

La chiusura coincide con un nuovo dannato rapporto scritto da diversi ricercatori della sicurezza informatica che dettagliano come McColo e altri fornitori di servizi discutibili sono legati allo spam e al crimine informatico.

L'arresto di McColo "dimostra che quando viene presentata una prova adeguata dell'attività criminale, la comunità di Internet può determinare le forze positive necessarie per eliminarla", hanno scritto gli analisti.

McColo, i cui server erano situati negli Stati Uniti, ospitava contemporaneamente fino a 40 siti Web con pornografia infantile, secondo il rapporto.

McColo ha anche svolto un ruolo importante nella distribuzione di spam bution, ha detto Richard Cox, CIO di Spamhaus, che segue le operazioni di spamming. Ha ospitato siti Web in grado di infettare i computer delle persone con software dannoso utilizzato per l'invio di spam, ha affermato.

I computer compromessi diventano parte di una botnet o reti di PC che possono essere utilizzate per inviare spam o attaccare altri siti Web.

McColo ha ospitato i cosiddetti server command-and-control per botnet che vengono utilizzati per istruire i PC a inviare spam. Le botnet includevano Rustock, Srizbi, Pushdo / Cutwail, Ozdok / Mega-D e Gheg, secondo il rapporto.

Quando ricevette lamentele, McColo spostava i siti Web sospetti sulla sua rete e cercava di cancellare tracce di errori "In sostanza, molti di questi provider sanno cosa stanno facendo i loro clienti e cercano di proteggerli", ha detto Cox.

Gli analisti prevedono una diminuzione delle attività di spam e botnet mentre McColo è offline. Joe Stewart, direttore della ricerca sui malware per SecureWorks, ha detto che ha ricevuto solo un messaggio spam dalla botnet Rustock, mentre in un giorno normale potrebbe arrivare fino a 20.

La scomparsa di McColo sta per "essere gentile di una rivendicazione per molti ricercatori che si sono lamentati di McColo per anni e perché le forze dell'ordine non stavano facendo nulla al riguardo ", ha detto Stewart.

SecureWorks ha monitorato la cattiva attività a McColo, ma le forze dell'ordine sono sempre state" a denti stretti "sulle indagini, ha detto.

Ma potrebbero essere solo pochi giorni prima che chi usa i servizi di hosting di McColo trovi altri hosters a prova di proiettile. "Ci sono tutti i tipi di McColos che si trovano nei forum degli hacker, i forum degli spammer", ha detto Stewart.

In effetti, la cattiva attività di McColo è aumentata dopo l'interruzione di settembre di Intercage, una società di hosting californiana conosciuta anche come Atrivo, ha detto Cox. I fornitori a monte di Intercage hanno smesso di trasportare il traffico dopo anni di lamentele che l'ISP supportava spam e siti Web dannosi.

L'aumento dell'attività di McColo ha mostrato che gli spammer si sono appena trasferiti da Intercage a lì e probabilmente si muoveranno velocemente, ha detto Cox. I criminali informatici probabilmente hanno siti Web di "hot stand-by" pronti ad andare con altri fornitori di servizi per rimanere in attività, ha detto Cox.

Il Washington Post ha riferito che i server di McColo si trovano a San Jose, in California. Il sito Web dell'ISP elenca un indirizzo postale in Delaware. Gli sforzi per raggiungere McColo attraverso un numero dell'area di New York non hanno avuto successo.