Le Spam est réduit au silence, mais où sont les autorités?

Illustration: John Bleck Le 14 octobre, la Federal Trade Commission des États-Unis, avec l'aide du Federal Bureau of Investigation des États-Unis et de la police néo-zélandaise, a annoncé la fermeture d'un vaste réseau international de spams. HerbalKing.

Ce fut un moment triomphal pour la FTC, qui a déclaré que le groupe avait été lié à un tiers du courrier indésirable sur Internet. Dans une interview accordée au New York Times, le commissaire de la FTC, Jon Leibowitz, a été modeste dans son évaluation de la situation. "Ils envoyaient des quantités extraordinaires de spam", a-t-il dit. "Nous espérons, à un certain niveau, que cela contribuera à réduire le nombre de spams dans les boîtes aux lettres des consommateurs."

L'opération HerbalKing de la FTC a fait couler beaucoup d'encre, mais elle n'a pas fait grand chose réduire la quantité de spam sur Internet, disent les chercheurs.

[En savoir plus: Comment supprimer les logiciels malveillants de votre PC Windows]

Au lieu de cela, il a fallu une autre opération, deux semaines plus tard, contre le FAI (service Internet). fournisseur) McColo à San Jose, en Californie, pour vraiment réduire la quantité de spam. Mais bien que McColo semble avoir été un terrain de jeu pour les cybercriminels, aucun organisme fédéral, pas la FTC, ni le FBI, ni les services secrets ou le ministère de la Justice, n'a été impliqué dans la fermeture de l'entreprise. et Brian Krebs, journaliste au Washington Post, a essentiellement hué les fournisseurs d'accès internationaux Global Crossing et Hurricane Electric à abandonner le service pour McColo, dont le réseau avait été associé à une série d'activités illégales allant des ordinateurs botnet piratés au spam et même à la pornographie enfantine. après le retrait de McColo était dramatique. Près de la moitié des spams sur Internet ont disparu.

La division IronPort de Cisco Systems indique que même s'il y a eu quelques pics d'activité, le spam est toujours en baisse par rapport à ce qu'il était avant le démantèlement de McColo. McColo n'a pas pu être joint pour commenter cette histoire.

Mais deux semaines après que McColo ait été abandonné par ses fournisseurs de réseau, le centre de données de l'entreprise n'a pas été touché. Cela frustre certains chercheurs en sécurité qui affirment que les serveurs utilisés pour contrôler ces opérations pourraient fournir une mine de preuves sur les cybercriminels.

"Cela ne me surprend pas, même si cela me déçoit", a déclaré Richard Cox, CIO. groupe antispam Spamhaus. Cox, qui travaille avec les forces de l'ordre sur les cas de spam, dit que même si les enquêteurs fédéraux comprennent comment fonctionne une opération comme McColo, il peut être difficile de convaincre leurs supérieurs d'agir. «Les gens dans les tranchées sont dirigés par des gens qui pensent qu'ils sont des politiciens», a-t-il dit.

McColo était sur le radar du gouvernement fédéral, tout comme des douzaines d'autres fournisseurs de services connus dans le monde entier. des services d'hébergement, qui ne sont jamais retirés, malgré les plaintes, selon une source d'un organisme fédéral d'application de la loi qui a parlé sous couvert d'anonymat parce qu'il n'était pas autorisé à parler à la presse.

contre McColo, c'en est une autre de convaincre un procureur du ministère de la Justice américain de demander un mandat pour saisir des centaines de serveurs, et encore plus difficile d'obtenir un juge fédéral pour autoriser cela. "Il y a une raison pour laquelle nous ne sommes pas allés chercher tous les serveurs", a-t-il déclaré. «Si vous voulez un mandat pour des centaines de serveurs … c'est très difficile.»

Le DOJ et le FBI ont refusé de commenter McColo.

Un autre problème: les criminels associés à McColo vivraient en Russie et en Europe de l'Est, où les crimes informatiques sont rarement poursuivis. Ainsi, une poursuite réussie nécessiterait l'extradition et cela pourrait être très difficile à retirer, disent les observateurs. "Vous démolissez McColo et ce que vous avez en réalité est une sacrée charge pour les avocats du ministère de la Justice et très peu de retours, parce que vous devez aller à l'extérieur des États-Unis pour récupérer les vrais coupables, "Cox a dit.

Bien qu'il ne fasse aucun doute que les activités associées à McColo sont illégales en vertu de la loi américaine, l'idée que vous puissiez poursuivre un fournisseur de services Internet pour avoir encouragé une activité illégale est largement prouvée, donc tout procureur qui prendrait ce cas prendrait un grand risque que l'affaire être rejeté à l'amiable.

Il existe cependant au moins un précédent. Le 14 février 2004, le FBI a mis fin aux opérations d'un petit fournisseur d'accès Internet de l'Ohio, Creative Internet Techniques, au cours d'un événement que le FBI a baptisé le massacre de la Saint-Valentin. À l'époque, c'était le plus gros démantèlement du FBI dans l'histoire de l'organisation. Près de 300 serveurs ont été saisis après que Creative Internet, également connu sous le nom de FooNet, ait été associé à des attaques de déni de service distribuées.

La raison pour laquelle certains experts en sécurité ont demandé un démontage similaire à McColo manière que les clients de McColo ont été perturbés. Les chercheurs affirment que les ordinateurs McColo n'émettaient pas de spam, mais exécutaient simplement les serveurs de commande et de contrôle qui rassemblaient environ un demi-million d'ordinateurs infectés. Ces machines infectées prendraient leurs instructions à partir de serveurs sur le réseau de McColo, mais si ces ordinateurs devaient être déconnectés, on leur donnerait plusieurs autres domaines Internet de sauvegarde pour vérifier les commandes.

Pour garder les choses secrètes, les criminels n'avaient pas enregistré ces domaines, mais ils avaient codé plusieurs centaines d'entre eux dans leur logiciel de botnet. Mais les chercheurs ont appris ces noms de domaine en regardant le code botnet pour savoir ce que les ordinateurs piratés feraient quand McColo serait tombé. Peu de temps avant que Global Crossing et Hurricane Electric ne déconnectent le réseau McColo, les chercheurs ont enregistré les centaines de domaines de sauvegarde eux-mêmes.

Lorsque les botnets ne pouvaient pas accéder à l'espace IP de McColo (Internet Protocol) domaines de sauvegarde, mais ceux-ci ont été contrôlés par des chercheurs en sécurité. Désormais déconnectés de leurs serveurs de contrôle, et incapables de se connecter à une sauvegarde, deux des plus mauvais réseaux de zombies d'Internet, Srizbi et Rustock, ont été décapités.

"Il doit y avoir des centaines de milliers de robots qui ne sont pas là" »a déclaré Joe Stewart, un expert en botnet avec SecureWorks qui a suivi la situation de McColo.

Ces robots pourraient bien être désactivés pour de bon, à condition que les ordinateurs de McColo ne soient pas remis en ligne. Mais c'est exactement ce qui s'est passé il y a une semaine, lorsqu'un revendeur de l'ISP suédois TeliaSonera a reconnecté temporairement McColo.

L'erreur a été rapidement notée, et TeliaSonera a rapidement déconnecté McColo. Mais le fournisseur de sécurité FireEye estime que les méchants ont pu reprendre le contrôle de milliers d'ordinateurs botnet au cours de cette brève opportunité. Lorsque McColo est revenu sur Internet, son espace d'adresses IP a de nouveau fonctionné et les cybercriminels ont pu envoyer des instructions à leurs ordinateurs zombies. Ils n'auraient pas pu le faire si le FBI avait pu fermer le centre de données de McColo à San Jose, en Californie, comme il l'avait fait avec Creative Internet. Il est peu probable que cela se reproduise, a déclaré Cox de Spamhaus. "Vous ne pouvez pas prouver ce genre de cas à un niveau suffisant pour le transmettre à un grand jury", a-t-il dit. Les FAI obtiennent presque toujours un laissez-passer lorsque ce type d'activité est découvert sur leur réseau, car ils peuvent nier de manière plausible qu'ils en savent quelque chose.

La FTC aimerait toutefois changer cela. En avril, la FTC a demandé au Congrès des changements à la loi FTC qui lui permettraient de poursuivre ceux qui ont aidé et encouragé la fraude, ce qui lui permettrait d'atteindre des cibles telles que les mauvais fournisseurs d'accès Internet qui ont aidé les entreprises frauduleuses. déjà accordé à la FTC une autorité similaire pour aller après les courtiers qui fournissent sciemment des listes aux télémarkers, a déclaré Steven Wernikoff, un avocat du personnel de la FTC. "Il est difficile de voir pourquoi les personnes qui facilitent la fraude via Internet devraient obtenir un laissez-passer", a-t-il dit.

La structure des opérations de cybercriminalité s'est modifiée au cours des dernières années et devra être poursuivie plus comme des enquêtes de mafia de longue haleine que des actions ponctuelles contre des spammeurs individuels, disent les observateurs.

"Finalement, le problème est que nous sommes toujours en », a déclaré Jon Praed, associé fondateur d'Internet Law Group, qui a plaidé contre les spammeurs pour le compte de grandes entreprises telles que Verizon Online et AOL. «Les poursuites pénales exigent beaucoup de ressources et les procureurs ont peu de chances de s'en prendre à quelqu'un à moins qu'ils sachent qu'ils vont être condamnés.»

Praed aimerait que les entreprises touchées par le pourriel travaillent ensemble les criminels. Il aimerait que les entreprises partagent des informations sur les mauvais acteurs et engagent davantage d'actions civiles contre les spammeurs et leurs facilitateurs. Si les entreprises pouvaient empêcher les cybercriminels d'utiliser des entreprises légitimes, elles pourraient modifier l'économie fondamentale de l'industrie du spam et la rendre trop chère pour de nombreux acteurs.

"Tous ces méchants ont besoin de services habilitants", a-t-il déclaré. «Ils ne volent pas sur les compagnies aériennes criminelles, ils achètent leurs ordinateurs auprès de sources fiables, ils utilisent des logiciels commerciaux standard, ils utilisent des cartes de crédit et des téléphones portables comme vous et moi. L'Amérique détient collectivement une énorme quantité d'informations sur les méchants dans ses propres mains … mais elle n'utilise pas cette information pour arrêter cette activité illégale. "

Il a ajouté:" Les bonnes entreprises commencent à réaliser qu'elles peuvent réduire les coûts et attirer les clients en étant plus proactifs contre la cybercriminalité. "