O spam é silenciado, mas onde estão os federais?

Ilustração: John BleckNo dia 14 de outubro, a Comissão Federal de Comércio dos EUA, com a ajuda do Departamento de Investigação Federal dos EUA e da Nova Zelândia, anunciou que havia desativado uma vasta rede internacional de spam conhecida. como Herbalking.

Foi um momento de triunfo para a FTC, que disse que o grupo estava ligado a até um terço do lixo eletrônico na Internet. Em entrevista ao The New York Times, o comissário da FTC, Jon Leibowitz, foi modesto em sua avaliação da situação. "Eles estavam enviando quantidades extraordinárias de spam", disse ele. "Esperamos em algum nível que isso ajude a reduzir a quantidade de spam que chega às caixas de entrada dos consumidores."

A operação HerbalKing da FTC recebeu muitas manchetes, mas não ajudou muito. reduzir a quantidade de spam na Internet, dizem os pesquisadores. Em uma semana, o spam era um problema tão grande quanto antes.

[Leia mais: Como remover malwares do seu PC com Windows]

Em vez disso, outra operação, duas semanas depois, contra o ISP (Internet service) McColo em San Jose, Califórnia, para realmente reduzir a quantidade de spam. Mas embora McColo pareça ter sido um playground para criminosos da Internet, nenhuma agência federal, nem a FTC, nem o FBI, nem o Serviço Secreto ou o Departamento de Justiça, estava envolvida em encerrar as atividades.

Com McColo, pesquisadores da Internet e o repórter do Washington Post Brian Krebs essencialmente envergonhou os ISPs da Global Crossing e da Hurricane Electric por deixar cair o serviço para a McColo, cuja rede havia sido associada a uma série de atividades ilegais de computadores de botnets hackeados a spam e até pornografia infantil.

Ao contrário do HerbalKing, os resultados depois que a queda de McColo foi dramática. Cerca de metade do spam na Internet desapareceu.

A divisão IronPort da Cisco Systems diz que, embora tenha havido alguns picos de atividade, o spam ainda está significativamente abaixo do que era antes da derrubada da McColo. A McColo não pôde ser contatada para comentar esta matéria.

Mas duas semanas após a McColo ter sido descartada por seus provedores de rede, o data center da empresa permanece intacto. Isso frustra alguns pesquisadores de segurança que dizem que os servidores usados ​​para controlar essas operações podem fornecer um tesouro de evidências sobre criminosos cibernéticos. “Não me surpreende, embora me desaponte”, disse Richard Cox, CIO da empresa. antispam group Spamhaus. Cox, que trabalha com a lei em casos de spam, diz que, embora os investigadores federais possam entender como uma operação como a McColo funciona, fazer com que seus chefes concordem em agir pode ser difícil. "As pessoas nas trincheiras estão sendo dirigidas por pessoas que pensam que são políticos", disse ele.

McColo estava no radar do governo federal, assim como dúzias de outros prestadores de serviços em todo o mundo que são conhecidos provedores da chamada "prova de balas". serviços de hospedagem, que nunca são retirados, apesar das reclamações, de acordo com uma fonte em uma agência federal que falou sob condição de anonimato porque ele não estava autorizado a falar com a imprensa.

Enquanto os pesquisadores sentem que têm um caso contra a McColo, outra coisa é convencer um advogado do Departamento de Justiça dos Estados Unidos a pedir um mandado para confiscar centenas de servidores, e ainda mais difícil conseguir que um juiz federal autorize isso. "Há uma razão pela qual não fomos apenas pegar todos os servidores", disse ele. "Se você quer um mandado para centenas de servidores … isso é muito difícil."

O DOJ e o FBI se recusaram a comentar sobre McColo.

Outro problema: acredita-se que os criminosos associados a McColo vivem na Rússia e Europa Oriental., onde os crimes de computador raramente são processados. Assim, um processo bem-sucedido exigiria a extradição e isso poderia ser muito difícil de conseguir, afirmam os observadores. "Você derruba McColo e o que você realmente tem é um fardo para os advogados do Departamento de Justiça e muito pouco retorno, porque você realmente tem que ir para fora dos EUA para pegar os verdadeiros culpados, "Cox disse.

Embora não haja dúvidas de que as atividades associadas à McColo sejam ilegais de acordo com a lei dos EUA, a idéia de que você poderia processar um ISP por cumplicidade com atividades ilegais não é amplamente comprovada, então qualquer promotor que aceitasse esse caso estaria correndo um grande risco de que o caso ocorresse. ser jogado fora do tribunal

Há pelo menos um precedente no entanto. Em 14 de fevereiro de 2004, o FBI encerrou as operações em um pequeno ISP de Ohio chamado Creative Internet Techniques, em um evento que o FBI apelidou de Massacre do Dia dos Namorados Cibernéticos. Na época, foi a maior queda do FBI na história da organização. Quase 300 servidores foram apreendidos depois que a Creative Internet, também conhecida como FooNet, foi vinculada a ataques distribuídos de negação de serviço.

A razão pela qual alguns especialistas em segurança pediram uma queda similar na McColo tem, em parte, a ver com o sorrateiro. maneira que os clientes da McColo foram interrompidos. Pesquisadores dizem que os computadores da McColo não estavam realmente enviando spam, apenas executando os servidores de comando e controle que reuniam cerca de meio milhão de computadores de bots infectados. Essas máquinas infectadas receberiam suas instruções dos servidores na rede da McColo, mas se esses computadores fossem colocados off-line, eles receberiam vários outros domínios da Internet de backup para verificar os comandos.

Para manter as coisas em segredo, os criminosos não registraram esses dados. domínios, mas eles tinham codificado várias centenas deles em seu software de botnet. Mas os pesquisadores aprenderam esses nomes de domínio examinando o código da rede de bots para descobrir o que os computadores hackeados fariam quando a McColo falisse. Pouco antes de a rede McColo ser desativada pela Global Crossing e pela Hurricane Electric, os pesquisadores registraram as centenas de domínios de backup.

Quando as botnets não puderam ir ao espaço de IP da McColo (Internet Protocol) para instruções, começaram a procurar domínios de backup, mas estes foram controlados por pesquisadores de segurança. Agora, desconectados de seus servidores de controle e incapazes de se conectar a um backup, dois dos piores botnets da Internet, Srizbi e Rustock, foram decapitados.

"Tem que haver centenas de milhares de bots por aí que não são" "Estou telefonando para casa agora", disse Joe Stewart, um especialista em botnets da SecureWorks que rastreou a situação da McColo.

Esses bots podem ser desativados para sempre, desde que os computadores da McColo não voltem à Internet. Mas foi exatamente o que aconteceu há uma semana, quando um revendedor da ISP TeliaSonera, da Suécia, reconectou McColo temporariamente.

O erro foi notado rapidamente, e a TeliaSonera rapidamente desconectou McColo. Mas o fornecedor de segurança FireEye acredita que os criminosos conseguiram recuperar o controle de milhares de computadores de botnets durante essa breve janela de oportunidade. Quando a McColo voltou à Internet, seu espaço de endereços IP funcionou novamente e os cibercriminosos puderam enviar instruções para seus computadores de botnet. Eles não teriam sido capazes de fazer isso se o FBI tivesse sido capaz de fechar o centro de dados da McColo em San Jose, Califórnia, como fez com a Creative Internet. A Internet Criativa foi excepcionalmente descarada sobre suas atividades e esse tipo de invasão é É improvável que isso aconteça novamente, disse Spamhaus 'Cox. "Você não pode provar esse tipo de casos a um nível suficiente para levá-lo a um grande júri", disse ele. ISPs quase sempre recebem um passe quando esse tipo de atividade é descoberto em sua rede, porque eles podem negar plausivelmente que eles sabiam alguma coisa sobre isso.

A FTC gostaria de mudar isso, no entanto. Em abril, a FTC pediu ao Congresso mudanças no Ato FTC que permitiriam perseguir aqueles que ajudaram e encorajaram fraudes, o que permitiria que fossem atingidos alvos como provedores de mau ator que ajudaram empresas fraudulentas.

A FTC já concedeu uma autoridade semelhante para ir atrás de corretores que conscientemente fornecem listas para telemarkerters, disse Steven Wernikoff, um advogado da equipe da FTC. "É difícil entender por que as pessoas que facilitam as fraudes pela Internet devem conseguir um passe", disse ele.A estrutura das operações de cibercrime se modificou nos últimos anos e precisará ser processada mais como investigações de longa data da Mafia do que ações pontuais contra spammers individuais, dizem os observadores.

"Em última análise, o problema é que ainda estamos o processo de construção de um processo maduro de fiscalização do cibercrime ", disse Jon Praed, sócio-fundador do Internet Law Group, que litigou spammers em nome de grandes empresas como Verizon Online e AOL. "Processos criminais exigem muitos recursos e é pouco provável que procuradores busquem alguém, a menos que saibam que vão conseguir uma condenação."

Praed gostaria de ver as empresas afetadas pelo spam trabalhando juntas para ir atrás do criminosos. Ele gostaria de ver as empresas compartilharem informações sobre os maus atores e trazer mais ações civis contra os spammers e seus facilitadores. Se as empresas pudessem impedir que os cibercriminosos usassem negócios legítimos, eles poderiam mudar a economia fundamental da indústria de spam e torná-la muito cara para muitos players.

"Todos esses criminosos precisam de serviços de habilitação", disse ele. "Eles não estão voando nas companhias aéreas criminosas. Eles estão comprando seus computadores de fontes confiáveis. Eles estão usando software comercial de prateleira e usam cartões de crédito e celulares como você e eu. Isso significa A América detém coletivamente uma enorme quantidade de informações sobre os bandidos em suas próprias mãos … mas não está usando essa informação para impedir essa atividade ilegal. "

Ele acrescentou:" Boas empresas estão começando a perceber que podem reduzir custos e atrair clientes sendo mais proativo contra o cibercrime. "