Проект Spamhaus — это международная организация, базирующаяся в Княжестве Андорра , основанная в 1998 году Стивом Линфордом для отслеживания спамеров электронной почты и активности, связанной со спамом . Название spamhaus , псевдонемецкое выражение, было придумано Линфордом для обозначения интернет-провайдера или другой фирмы, которая рассылает спам или сознательно предоставляет услуги спамерам.
Проект Spamhaus отвечает за составление нескольких широко используемых [2] списков защиты от спама. Многие [3] интернет-провайдеры и серверы электронной почты используют списки, чтобы уменьшить количество спама, доходящего до их пользователей. В 2006 году службы Spamhaus защитили 650 миллионов пользователей электронной почты, включая Европейский парламент, армию США, Белый дом и Microsoft, от миллиардов спам-сообщений в день. [4]
Spamhaus распространяет списки в виде черных списков на основе DNS ( DNSBL ) и белых списков ( DNSWL ). Списки предлагаются в качестве бесплатной государственной услуги операторам почтовых серверов с небольшим объемом трафика в Интернете. [5] Коммерческие службы фильтрации спама и другие сайты, выполняющие большое количество запросов, вместо этого должны подписаться на Rsync -канал этих DNSBL, который называется «Служба подачи данных». [6] Spamhaus описывает принцип работы своей технологии DNSBL в документе «Понимание фильтрации DNSBL». [7]
Черный список Spamhaus [ 8] нацелен на «проверенные источники спама (включая спамеров, спам-банды и службы поддержки спама)». Его цель — составить список IP-адресов , принадлежащих известным спамерам, спам-операциям и службам поддержки спама. [9] Списки SBL частично основаны на индексе известных спамеров ROKSO.
«Список блокировки эксплойтов» [10] нацелен на «незаконные эксплойты третьих лиц, включая открытые прокси , червей/вирусы со встроенными спам-машинами, зараженные вирусами ПК и серверы и другие типы эксплойтов-троянов». То есть это список известных открытых прокси и эксплуатируемых компьютеров, используемых для рассылки спама и вирусов. XBL включает информацию, собранную Spamhaus, а также другими операциями DNSBL, такими как составной черный список (CBL).
Черный список политик [ 11] аналогичен списку пользователей коммутируемого доступа . В нем перечислены не только динамические IP-адреса, но и статические адреса, с которых не следует отправлять электронную почту напрямую на сторонние серверы. Примерами являются основные маршрутизаторы интернет-провайдера , корпоративные пользователи, которым политика требует отправлять электронную почту через серверы компании, а также неназначенные IP-адреса. Большая часть данных предоставляется Spamhaus организациями, контролирующими пространство IP-адресов, обычно интернет-провайдерами.
«Список заблокированных доменов» [12] был выпущен в марте 2010 года и представляет собой список доменных имен, который одновременно является черным списком URI домена и RHSBL . В нем перечислены спам-домены, включая URL-адреса полезной нагрузки спама, источники и отправители спама («правая сторона»), известные спамеры и спам-банды, а также сайты, связанные с фишингом, вирусами и вредоносным ПО . Позже была добавлена зона «злоупотребляющих сокращателями URL» — распространенный способ, которым спамеры вставляют ссылки в спам-сообщения.
«Список контроллеров ботнетов» [13] был выпущен в июне 2012 года и представляет собой список IP-адресов. В нем перечислены IP-адреса, которые, по мнению сотрудников Spamhaus, используются киберпреступниками исключительно с целью размещения инфраструктуры управления и контроля ботнета. Такая инфраструктура обычно используется киберпреступниками для контроля компьютеров, зараженных вредоносным ПО.
«Композитный снегоступ» [14] представляет собой автоматически создаваемый набор данных IP-адресов, которые участвуют в отправке электронной почты с низкой репутацией. Списки могут быть основаны на приветствиях HELO без записи A, общем виде rDNS или использовании поддельных доменов, что может указывать на спам-боты или неправильную конфигурацию сервера. CSS является частью SBL.
Белый список Spamhaus [15] был выпущен в октябре 2010 года и представлял собой белый список адресов IPv4 и IPv6. Этот список был предназначен для того, чтобы позволить почтовым серверам разделить входящий почтовый трафик на 3 категории: хороший, плохой и неизвестный. Только проверенные законные отправители с чистой репутацией были одобрены для включения в белый список, и существовали строгие условия для ведения учетной записи в белом списке Spamhaus.
Белый список доменов [15] был выпущен в октябре 2010 года и представлял собой белый список доменных имен. Этот список включает автоматическую сертификацию доменов с помощью подписей DKIM . Только проверенные законные отправители с чистой репутацией были одобрены для включения в белый список, и существуют строгие условия ведения учетной записи в белом списке.
Spamhaus также предоставляет два комбинированных списка. Один из них — SBL+XBL [16] , а второй — «zen» и стилизован заглавными буквами [17] , который объединяет все списки IP-адресов Spamhaus.
Реестр известных спам-операций Spamhaus представляет собой базу данных спамеров и спам-операций, которые были прекращены тремя или более интернет-провайдерами из-за рассылки спама. Он содержит общедоступную информацию об этих людях и их доменах, адресах и псевдонимах. [18]
Эта база данных позволяет интернет-провайдерам проверять новых клиентов, гарантируя, что зарегистрированным спамерам будет сложно получить хостинг. [19]
Для правоохранительных органов доступна специальная версия , содержащая данные о сотнях спам-банд, а также доказательства, журналы и информацию о незаконной деятельности этих банд, которые считаются слишком секретными для публикации в публичной части РОКСО.
Список Spamhaus «не маршрутизировать и не использовать одноранговые узлы» представляет собой текстовый файл, описывающий блоки CIDR , которые были украдены или иным образом «полностью контролируются спамерами или 100% операциями по размещению спама». [20] Являясь небольшим подмножеством SBL, он не включает диапазоны адресов, зарегистрированных интернет-провайдерами и субаренду спамерам, а только те сетевые блоки, которые полностью используются спамерами. Он предназначен для включения в межсетевые экраны и оборудование маршрутизации для пропуска всего сетевого трафика в перечисленные блоки и из них. [20] Часто задаваемые вопросы на веб-странице DROP [21] утверждают, что данные могут бесплатно скачиваться и использоваться всеми. В 2012 году Spamhaus предложил поток BGP тех же данных.
Группа Spamhaus состоит из ряда независимых компаний, которые занимаются различными аспектами технологии защиты от спама Spamhaus или предоставляют услуги, основанные на ней. В основе лежит Spamhaus Project SLU, [22] некоммерческая компания, базирующаяся в Андорре, которая отслеживает источники спама и киберугрозы, такие как фишинг, вредоносное ПО и ботнеты, а также публикует бесплатные DNSBL. Коммерческие услуги находятся в ведении британской компании по доставке данных Spamhaus Technology Ltd., [23] базирующейся в Лондоне, Великобритания, которая управляет услугами по распространению данных для крупномасштабных систем фильтрации спама.
В сентябре 2006 года Дэвид Линхардт, владелец-оператор американской компании по массовой рассылке e360 Insight LLC, [4] подал иск против Spamhaus в Иллинойсе за внесение его рассылок в черный список. Компания Spamhaus добилась передачи дела из суда штата в Федеральный окружной суд США Северного округа штата Иллинойс и потребовала прекращения дела из-за отсутствия юрисдикции . [27] [28] Суд под председательством судьи Чарльза Кокораса приступил к рассмотрению дела против Spamhaus без рассмотрения вопроса о юрисдикции, что побудило британского депутата Дерека Вятта потребовать отстранения судьи от должности. [29] Не рассмотрев возражения против юрисдикции, компания Spamhaus отказалась от дальнейшего участия в деле США и отозвала своего адвоката. Тем не менее, суд счел, что Spamhaus обладает «технически приемлемой юрисдикцией», поскольку изначально вообще ответил, и судья, рассерженный тем, что Spamhaus покинул суд, присудил e360 заочное решение на общую сумму 11 715 000 долларов США в качестве компенсации за ущерб. Впоследствии Spamhaus объявил, что проигнорирует это решение, поскольку заочные решения, вынесенные судами США без судебного разбирательства, «не имеют юридической силы в Великобритании и не могут быть исполнены в соответствии с британской правовой системой». [30] [31]
После вынесения решения в свою пользу e360 подала ходатайство о попытке заставить ICANN удалить записи домена Spamhaus до тех пор, пока не будет удовлетворено заочное решение. [28] Это подняло международные вопросы относительно необычного положения ICANN как американской организации, несущей всемирную ответственность за доменные имена, [32] [33] и ICANN выразила протест [34] , что у них нет ни возможности, ни полномочий удалять записи домена Spamhaus. , британская компания. 20 октября 2006 года судья Кокорас вынес постановление, отклоняющее ходатайство e360 против ICANN, заявив, что, по его мнению, «не было никаких указаний на то, что ICANN [является] не [независимой организацией] [от Spamhaus], что препятствует заключению что [оно] действует совместно» со Spamhaus и что суд не имеет полномочий над ICANN в этом вопросе. Суд далее постановил, что отмена регистрации доменного имени Spamhaus была средством правовой защиты, которое было «слишком широким, чтобы быть оправданным в данном случае», поскольку оно «прекратило бы всю законную онлайн-деятельность Spamhaus через существующее доменное имя, а не только ту, которая находится в нарушение» заочного решения. Кочорас заключил: «Хотя мы не будем мириться или терпеть неисполнение действующего постановления этого суда [т. е. отказ Spamhaus удовлетворить заочное решение], мы также не будем налагать санкции, которые не соответствуют серьезности правонарушения. руководить". [35] [36]
В 2007 году чикагская юридическая фирма Jenner & Block LLP взялась за дело Spamhaus на общественных началах и обжаловала решение. Федеральный апелляционный суд седьмого округа США отменил решение о возмещении ущерба и вернул дело в окружной суд для более тщательного расследования с целью определения размера ущерба. В январе 2008 года компания e360 Insight LLC объявила о банкротстве и закрылась, сославшись на астрономические юридические законопроекты, связанные с этим судебным делом, как на причину своего закрытия. [37]
В 2010 году судья Кокорас уменьшил сумму компенсации за ущерб в размере 11,7 миллиона долларов до 27 002 долларов США [38] — 1 доллар за вредное вмешательство в получение предполагаемой экономической выгоды, 1 доллар за иски о клевете и 27 000 долларов за «существующие контракты». [39]
Обе стороны подали апелляцию, но дело e360 об увеличении размера ущерба подверглось резкой критике со стороны судьи седьмого округа Ричарда Познера : «Я никогда не видел такого некомпетентного изложения дела о возмещении ущерба», - сказал Познер. «Это не только некомпетентно, это гротескно. Убытки колеблются от 11 до 130 миллионов долларов, от 122 до 33 миллионов долларов. На самом деле, ущерб, вероятно, равен нулю». [40] 2 сентября 2011 года суд уменьшил сумму компенсации до всего лишь 3 долларов и обязал истца e360 оплатить расходы на апелляцию защиты. [41]
В июне 2007 года Spamhaus обратился к национальному реестру доменов Австрии nic.at с просьбой приостановить действие ряда доменов, утверждая, что они были анонимно зарегистрированы мошенническими группировками в целях незаконного банковского фишинга . [42] Реестр nic.at отклонил запрос и заявил, что они нарушат австрийское законодательство, приостановив действие доменов, даже несмотря на то, что домены использовались в преступных целях, и потребовал доказательств того, что домены были зарегистрированы под вымышленными именами. [42] [43] В течение некоторого времени домены продолжали фишинговать владельцев счетов в европейских банках. Наконец, Spamhaus поместил почтовый сервер nic.at в свой черный список спама SBL в соответствии с политикой SBL «Сознательное предоставление услуг поддержки спама с целью получения прибыли» на несколько дней, что вызвало помехи почтовому трафику на nic.at. [43] Все указанные фишинговые домены были впоследствии удалены или заблокированы их DNS-провайдерами. [42] [44]
В августе 2010 года Spamhaus добавил некоторые IP-адреса, контролируемые Google, используемые Документами Google, в свой список спама SBL, поскольку Документы Google являются крупным источником неконтролируемого спама. Google быстро устранил проблему, и Spamhaus удалил страницу. Хотя первоначально некоторые СМИ ошибочно сообщали, что это IP-адреса, используемые Gmail, позже выяснилось, что заблокированы были только Google Docs. [45]
В марте 2013 года CyberBunker , интернет-провайдер, названный в честь его бывшей штаб-квартиры в избыточном бункере НАТО в Нидерландах [48] , который «предлагает анонимный хостинг всего, кроме детской порнографии и всего, что связано с терроризмом» [49], был добавлен в черный список Spamhaus. используется провайдерами электронной почты для отсеивания спама. [50] Вскоре после этого, начиная с 18 марта, [51] Spamhaus стал объектом распределенной атаки типа «отказ в обслуживании» (DDoS), использующей давно известную уязвимость в системе доменных имен (DNS), которая позволяет создавать огромное количество сообщений. на чужих устройствах с использованием подмены IP-адреса . [52] [53] Устройства, использованные в ходе атаки, могут быть такими же простыми, как кабельный преобразователь, подключенный к Интернету. [54] Атака имела ранее не сообщалось масштаба (максимальная скорость 300 Гбит/с; средняя крупномасштабная атака может достигать 50 Гбит/с, а самая крупная предыдущая публично зарегистрированная атака составляла 100 Гбит/с) была начата против DNS Spamhaus. серверы; по состоянию на 27 марта 2013 г. [update]последствия нападения продолжались более недели. Стив Линфорд, исполнительный директор Spamhaus, заявил, что они выдержали атаку, воспользовавшись помощью других интернет-компаний, таких как Google, для поглощения избыточного трафика. Линфорд также заявил, что атаку расследуют пять различных национальных киберполиций по всему миру, которые предпочли остаться анонимными, чтобы избежать подобных атак на свою собственную инфраструктуру. [55] Spamhaus также нанял Cloudflare , компанию по предотвращению DDoS-атак, чтобы она помогла им распространить свои интернет-услуги по всемирной сети Cloudflare, [56] после чего фокус атаки был перенаправлен на компании, обеспечивающие сетевые соединения Cloudflare. [50]
Spamhaus утверждал, что за атакой стоял CyberBunker в сотрудничестве с «преступными группировками» из Восточной Европы и России; CyberBunker не ответил на запрос BBC о комментариях по поводу обвинения; [55] Однако Свен Олаф Камфуис, владелец CyberBunker, 23 марта написал в своем аккаунте в Facebook : «Эй, аноны, нам не помешала бы небольшая помощь в закрытии незаконного проекта цензуры клеветы и шантажа «spamhaus.org», который так считает. может диктовать свои взгляды на то, что должно и не должно быть в Интернете». [48] По данным The New York Times, Камфуис также заявил, что является представителем злоумышленников, и сказал в сообщении: «Мы знаем, что это одна из крупнейших DDoS-атак, которые публично видел мир», и что CyberBunker принимает ответные меры. против Spamhaus за «злоупотребление своим влиянием». Нью-Йорк Таймс добавила, что исследователь безопасности Дэн Камински сказал: «Вы не можете остановить DNS-флуд… Единственный способ справиться с этой проблемой — найти людей, которые это делают, и арестовать их». [50]
Сетевые инженеры приписали атаку анонимной группе, недовольной Spamhaus, [50] позже идентифицированной жертвами атаки как Stophaus, [48] слабо организованной группе «пуленепробиваемых хостеров спама и вредоносного ПО». [57]
26 апреля 2013 года владелец CyberBunker Свен Олаф Камфиус был арестован в Испании за участие в нападении на Spamhaus. Он продержался в тюрьме 55 дней в ожидании экстрадиции в Нидерланды, был освобожден до суда и в конечном итоге был признан виновным и приговорен к 240 дням тюремного заключения с отсрочкой исполнения остальных дней. [58] [59]
Арест «Нарко»: Британское национальное подразделение по борьбе с киберпреступностью сообщило, что лондонский школьник был тайно арестован как член предполагаемой организованной преступной группировки, ответственной за DDoS-атаки. [60] В информационном документе, в котором подробно описывается предполагаемая причастность школьника, говорится: «Подозреваемый был обнаружен с открытыми компьютерными системами и входом в различные виртуальные системы и форумы. Через его банковский счет проходит значительная сумма денег. Следователи находятся в процессе ареста денежных средств».
В 2014 году против Spamhaus подали в суд калифорнийские предприниматели Крейг Эймс и Роб МакГи, которые занимались услугами массового электронного маркетинга сначала через американскую корпорацию Blackstar Media LLC, а затем в качестве сотрудников Blackstar Marketing, дочерней компании Английская компания Adconion Media Group Limited, купившая Blackstar Media в апреле 2011 года. Хотя первоначальное ходатайство Spamhaus об отклонении исков было отклонено, [61] в конечном итоге оно выиграло, когда истцы отказались от иска и оплатили судебные издержки Spamhaus. [62]
Немецкий
:
DNS-провайдер доменов haben die Einträge gelöscht.
,
букв.
«Поставщики DNS доменов удалили записи домена».