Lo spam è messo a tacere, ma dove sono i federali?

Illustrazione: John BleckOn 14 ottobre, la Federal Trade Commission statunitense, con l'aiuto del Federal Bureau of Investigation e della polizia neozelandese, ha annunciato di aver chiuso una vasta rete di spam internazionale nota come HerbalKing.

È stato un momento trionfale per la FTC, che diceva che il gruppo era collegato a un terzo della posta indesiderata su Internet. In un'intervista con il New York Times, il Commissario FTC Jon Leibowitz è stato modesto nella sua valutazione della situazione. "Stavano inviando quantità straordinarie di spam", ha detto. "Speriamo che a un certo livello questo possa aiutare a ridurre la quantità di spam che entra nelle caselle di posta dei consumatori."

L'operazione HerbalKing dell'FTC ha attirato molti titoli, ma non ha fatto molto per ridurre la quantità di spam su Internet, dicono i ricercatori. Entro una settimana, lo spam era il problema più grande che mai.

[Ulteriori letture: Come rimuovere il malware dal tuo PC Windows]

Invece, ci volle un'altra operazione, due settimane dopo, contro l'ISP (servizio Internet fornitore) McColo a San Jose, in California, per ridurre davvero la quantità di spam. Ma anche se McColo sembra essere stato un campo di giochi per criminali su Internet, nessuna agenzia federale, non la FTC, non l'FBI, né il Servizio segreto o il Dipartimento di Giustizia, fu coinvolto nel chiuderla.

Con McColo, ricercatori di Internet e il reporter del Washington Post, Brian Krebs, ha sostanzialmente confuso gli ISP Global Crossing e Hurricane Electric al servizio di rilascio per McColo, la cui rete era stata associata a una serie di attività illegali da computer botnet compromessi a spam e persino pornografia infantile.

A differenza di HerbalKing, i risultati dopo che il takedown di McColo è stato drammatico. Circa la metà dello spam su Internet è scomparso.

La divisione IronPort di Cisco Systems afferma che sebbene ci siano stati alcuni brevi picchi di attività, lo spam è ancora in calo significativamente rispetto a prima della rimozione del McColo. Non è stato possibile raggiungere McColo per commentare questa storia.

Ma due settimane dopo che McColo è stato abbandonato dai suoi fornitori di rete, il data center della società rimane intatto. Ciò frustra alcuni ricercatori della sicurezza che affermano che i server utilizzati per controllare queste operazioni potrebbero fornire un tesoro di prove sui criminali informatici.

"Non mi sorprende, anche se mi delude", ha detto Richard Cox, CIO con il gruppo antispam Spamhaus. Cox, che lavora con le forze dell'ordine per i casi di spam, dice che mentre gli investigatori federali possono capire come funziona un'operazione come McColo, è difficile riuscire a convincere i loro capi ad agire. "Le persone nelle trincee vengono dirette da persone che pensano di essere dei politici", ha detto.

McColo era sul radar del governo federale, così come decine di altri fornitori di servizi in tutto il mondo che sono noti fornitori di cosiddetti bulletproof servizi di hosting, che non vengono mai smontati, nonostante le lamentele, secondo una fonte di un'agenzia di polizia federale che parlava in condizione di anonimato perché non era autorizzato a parlare alla stampa.

Mentre i ricercatori possono ritenere di avere un caso contro McColo, è un'altra cosa interamente convincere un avvocato del Dipartimento di giustizia degli Stati Uniti a chiedere un mandato per sequestrare centinaia di server, e ancora più difficile ottenere un giudice federale per autorizzarlo. "C'è una ragione per cui non siamo solo andati a prendere tutti i server", ha detto. "Se vuoi un mandato per centinaia di server … è molto difficile."

Il Dipartimento di Giustizia e l'FBI rifiutarono di commentare McColo.

Un altro problema: i criminali associati a McColo sono pensati per vivere in Russia e nell'Europa orientale, dove i crimini informatici sono raramente perseguiti. Quindi un processo accolto con successo richiederebbe l'estradizione e questo potrebbe essere molto difficile da realizzare, dicono gli osservatori. "Abbatti McColo e quello che hai effettivamente è un inferno per gli avvocati del Dipartimento di Giustizia e molto poco ritorno, perché devi davvero andare fuori dagli Stati Uniti per raccogliere i colpevoli, "Ha detto Cox.

Anche se non vi è alcun dubbio che le attività associate a McColo siano illegali secondo la legge statunitense, l'idea che si possa perseguire un ISP per favoreggiamento di attività illegali è in gran parte non provata, quindi qualsiasi pubblico ministero che assumesse questo caso rischierebbe seriamente che il caso essere buttato fuori dal campo.

Tuttavia, c'è almeno un precedente. Il 14 febbraio 2004, l'FBI ha chiuso le operazioni a un piccolo ISP dell'Ohio chiamato Creative Internet Techniques in un evento che l'FBI ha soprannominato il massacro del Cyber ​​San Valentino. A quel tempo, era il più grande tafferimento dell'FBI nella storia dell'organizzazione. Quasi 300 server sono stati sequestrati dopo che Creative Internet, noto anche come FooNet, era collegato a attacchi di denial of service distribuiti.

Il motivo per cui alcuni esperti di sicurezza hanno chiesto una simile rimozione a McColo ha, in parte, a che fare con il subdolo modo in cui i clienti di McColo sono stati interrotti. I ricercatori dicono che i computer McColo in realtà non stavano inviando spam, semplicemente eseguendo i server di comando e controllo che gestivano circa mezzo milione di computer botnet infetti. Queste macchine infette avrebbero preso le loro istruzioni dai server sulla rete di McColo, ma se quei computer fossero mai stati messi fuori linea, gli furono dati altri domini Internet di backup per controllare i comandi.

Per mantenere le cose segrete, i criminali non li avevano registrati domini, ma ne avevano codificati diverse centinaia nel loro software botnet. Ma i ricercatori hanno imparato questi nomi di dominio guardando il codice botnet per scoprire cosa avrebbero fatto i computer hacker quando McColo è andato giù. Poco prima che la rete McColo venisse messa offline da Global Crossing e Hurricane Electric, i ricercatori hanno registrato personalmente le centinaia di domini di backup.

Quando le botnet non potevano accedere allo spazio IP (Internet Protocol) di McColo per le istruzioni, hanno iniziato a cercare il loro domini di backup, ma questi erano controllati dai ricercatori di sicurezza. Ora, disconnessi dai loro server di controllo e impossibilitati a connettersi a un backup, due dei peggiori botnet di Internet, Srizbi e Rustock, sono stati decapitati.

"Ci devono essere centinaia di migliaia di robot là fuori che non sono" "Telefonate a casa in questo momento", ha detto Joe Stewart, un esperto di botnet con SecureWorks che ha tracciato la situazione di McColo.

Questi robot potrebbero essere disabilitati per sempre, a condizione che i computer di McColo non vengano riportati online. Ma è esattamente quello che è successo una settimana fa, quando un rivenditore dell'ISP svedese TeliaSonera ha ricollegato temporaneamente McColo.

L'errore è stato subito notato e TeliaSonera ha rapidamente disconnesso McColo. Ma il fornitore di sicurezza FireEye calcola che i cattivi sono riusciti a riprendere il controllo di migliaia di computer botnet durante questa breve finestra di opportunità. Quando McColo è tornato su Internet, il suo spazio indirizzo IP ha funzionato di nuovo e i criminali informatici sono stati in grado di inviare istruzioni ai loro computer botnet. Non sarebbero stati in grado di farlo se l'FBI fosse stato in grado di chiudere il centro dati di San José, in California, di McColo, come con Creative Internet.

Creative Internet era eccezionalmente sfacciata riguardo alle sue attività e quel tipo di incursione è improbabile che accada di nuovo, ha detto Spamhaus 'Cox. "Non è possibile dimostrare questo tipo di casi a un livello sufficiente per portarlo a un grand jury", ha detto. Gli ISP ricevono quasi sempre un lasciapassare quando questo tipo di attività viene scoperto sulla loro rete perché possono plausibilmente negare di averne saputo qualcosa.

La FTC vorrebbe comunque cambiarla. Ad aprile, la FTC ha chiesto al Congresso modifiche alla FTC Act che le consentissero di perseguire coloro che hanno aiutato e favorito la frode, il che gli avrebbe permesso di raggiungere obiettivi come gli ISP che hanno aiutato le aziende fraudolente.

Il Congresso ha ha già concesso alla FTC un'autorità simile per rivolgersi agli intermediari che forniscono deliberatamente elenchi ai telemarkerters, ha affermato Steven Wernikoff, uno staff legale presso la FTC. "È difficile capire perché le persone che facilitano le frodi via Internet dovrebbero ottenere un lasciapassare", ha detto.

La struttura delle operazioni sulla criminalità informatica si è trasformata negli ultimi anni e dovrà essere perseguita più come inchieste della mafia di lunga durata che azioni una tantum contro singoli spammer, dicono gli osservatori.

"In definitiva, il problema è che siamo ancora dentro il processo di costruzione di un processo di applicazione del crimine informatico maturo ", ha dichiarato Jon Praed, socio fondatore di Internet Law Group, che ha litigato contro gli spammer per conto di grandi aziende come Verizon Online e AOL. "I procedimenti penali richiedono molte risorse e è improbabile che i pubblici ministeri seguano qualcuno a meno che non sappiano che avranno una condanna".

Praed vorrebbe vedere le aziende che sono affette dallo spam collaborare per perseguire criminali. Vorrebbe vedere le aziende condividere informazioni sui cattivi attori e portare più azioni civili contro gli spammer e i loro attivatori. Se le aziende riuscissero a impedire ai criminali informatici di utilizzare aziende legittime, potrebbero cambiare l'economia fondamentale del settore dello spam e renderlo troppo costoso per molti giocatori.

"Tutti quei malintenzionati hanno bisogno di servizi di abilitazione", ha affermato. "Non stanno volando sulle compagnie aeree criminali, stanno acquistando i loro computer da fonti attendibili, utilizzano software aziendali pronti all'uso e utilizzano carte di credito e telefoni cellulari proprio come te e me. L'America possiede collettivamente un'enorme quantità di informazioni sui malviventi nelle sue mani … ma non sta usando queste informazioni per fermare questa attività illegale. "

Ha aggiunto," Le buone aziende stanno iniziando a capire che possono ridurre i costi e attirare i clienti essendo più proattivi contro la criminalità informatica. "