Kriminālprocesa datu centru izsekošana

Ļaunprātīgu tīmekļa saturu arvien vairāk izplata profesionāli noziedznieki, kuri izmanto paši savu infrastruktūru. Šie blēži pārvalda mitināšanas uzņēmumus, kas tiek izmantoti kaitīga koda mitināšanai un izdod komandas nolaupītiem datoriem. Sarunā, kas tika sniegta šonedēļ plkst Avots Boston , konferencē par datoru drošību, viens pētnieks aprakstīja taktiku, ko viens šāds ļaunprātīgs hostinga uzņēmums izmanto, lai izvairītos no slēgšanas.





Lai gan šķiet, ka surogātpasta un ļaunprātīgas programmatūras tiešsaistē ir bezgalīgi daudz, ļaunprātīgiem mitināšanas uzņēmumiem ir būtiska nozīme šo kaitēkļu izplatīšanā, saka Alekss Lanšteins, uzņēmuma vecākais drošības pētnieks. FireEye , drošības firma, kas atrodas Milpitasā, Kalifornijā. Piemēram, viņš norāda uz ļaunprātīgā mitināšanas uzņēmuma McColo slēgšanu 2008. gada beigās. Kad šis viens uzņēmums pārtrauca darbību, vairāk nekā divas trešdaļas surogātpasta internetā apstājās.

Tomēr McColo vietā ir izvirzījušies citi uzņēmumi. Jo īpaši Lanšteins norāda uz kompromitētu datoru kopumu jeb robottīklu, kas pazīstams kā Grum, kas atsevišķos pīķa punktos pagājušajā gadā bija atbildīgs par 26 procentiem no pasaules surogātpasta. Lanšteins saka, ka viņš Gruma darbību izsekojis līdz interneta protokola (IP) adrešu blokam, ko mitināja viens uzņēmums Ukrainā ar nosaukumu SteepHost.

Lanšteins atklāja, ka IP adreses, kas pavēlēja Grum, tika izplatītas visās SteepHost pārvaldītajās adresēs, kas, viņaprāt, norāda, ka uzņēmums darbojas tikai kā noziedzīgs datu centrs.



Taču nav viegli sagraut ļaunprātīgu mitināšanas uzņēmumu. Lanšteins saka, ka viņš sazinājās ar uzņēmumiem, kas sniedz pakalpojumus SteepHost. Viņi bloķēja dažas uzņēmuma izmantotās ļaunprātīgās IP adreses, taču Lanšteins atzīmē, ka SteepHost atbildēja, noslēdzot līgumu par rezerves savienojumu no cita pakalpojumu sniedzēja. Viņi nevēlējās tikt slēgti, un tāpēc viņiem bija labāks tranzīts, viņš saka. Tas rada vilšanos.

Pat tad, kad tiek slēgts ļaunprātīgs mitināšanas uzņēmums, nekas neliedz citam izveidoties, lai to aizstātu. Sliktie puiši patiešām labi spēj iegūt IP vietu, saka Lanšteins.

Viņš saka, ka problēma ir tāda, ka nav ieviesti mehānismi, lai atņemtu IP adreses no sliktiem dalībniekiem. Pat McColo piederošie IP adrešu bloki tika atgriezti pūlā tikai pirms pāris mēnešiem, jo ​​tos nevarēja konfiscēt, kamēr īpašnieki pilnībā saņēma samaksu par to izmantošanu. Es varu iedomāties, kāpēc trūkst IP adrešu, saka Lanšteins.



Ļaunprātīgi hostinga uzņēmumi dažreiz aizsargā sevi, slēpjoties aiz citiem uzņēmumiem. Šī gada sākumā Krievijas interneta pakalpojumu sniedzējs Troyak tika izslēgts pēc tam, kad kļuva skaidrs, ka tas sniedz pakalpojumus vairākiem hostinga uzņēmumiem, kas sniedz vadības un kontroles atbalstu robottīkliem.

Source Boston, HD Moore, Bostonas datordrošības uzņēmuma galvenais drošības speciālists Rapid7 , uzstājās ar pamatrunu, kurā norādīja uz to, cik pārpildīta kļūst IP adrešu telpa: 91 procents izmantojamās adrešu telpas jau ir piešķirts.

Mūrs atzīmēja, ka cita problēma varētu rasties kā blakusefekts centieniem atrisināt trūkumu. Pašreizējās sistēmas pēctece, kas pazīstama kā IPv6, atvērs lielu skaitu pieejamo IP adrešu. Mūrs sacīja, ka šādā scenārijā būtu tik daudz brīvas vietas, ka negodīgi hostinga uzņēmumi varētu paņemt lielus IP adrešu blokus, kurus būtu grūtāk izsekot.



paslēpties