Пуленепробиваемый хостинг

Интернет-сервис для использования киберпреступниками

Бывший бункер НАТО в Нидерландах, в котором размещался защищенный хостинг-провайдер CyberBunker с автомобилем Pontiac Trans Sport спереди.

Bulletproof hosting (BPH) — это техническая инфраструктурная услуга , предоставляемая службой интернет-хостинга , которая устойчива к жалобам на незаконную деятельность , и которая служит преступникам в качестве основного строительного блока для оптимизации различных кибератак . ^[1] Провайдеры BPH разрешают азартные игры в Интернете , нелегальную порнографию , серверы управления и контроля ботнетов , спам , материалы, защищенные авторским правом , разжигание ненависти и дезинформацию , несмотря на судебные постановления об удалении и повестки правоохранительных органов , разрешая такие материалы в своих политиках приемлемого использования . ^{[2] [3] [4]}

Поставщики BPH обычно работают в юрисдикциях, которые имеют мягкие законы против такого поведения. Большинство поставщиков услуг, не являющихся поставщиками BPH, запрещают передачу материалов по своей сети, которая нарушала бы их условия обслуживания и местные законы инкорпорированной юрисдикции, и часто любые сообщения о злоупотреблениях приводили к удалению, чтобы избежать блокировки IP - адреса их автономной системы другими поставщиками и Spamhaus . ^[5]

История

BPH впервые стал предметом исследования в 2006 году, когда исследователи безопасности из VeriSign выявили, что Russian Business Network , интернет-провайдер, который размещал фишинговую группу, был ответственен за мошенничество, связанное с фишингом, на сумму около 150 миллионов долларов. RBN также стал известен кражами личных данных , детской порнографией и ботнетами. ^{[6] [7] [8]} В следующем году McColo , веб-хостинг-провайдер, ответственный за более чем 75% мирового спама, был закрыт и отключён Global Crossing и Hurricane Electric после публичного раскрытия информации тогдашним репортёром Washington Post Брайаном Кребсом в его блоге Security Fix в этой газете. ^{[9] [10]}

Трудности

Поскольку любые сообщения о злоупотреблениях в BPH будут игнорироваться, в большинстве случаев весь блок IP-адресов («netblock»), назначенный автономной системе BPH, будет занесен в черный список другими провайдерами и сторонними спам-фильтрами . Кроме того, BPH также испытывает трудности с поиском точек пиринга в сети для установления сеансов протокола Border Gateway , поскольку маршрутизация сети провайдера BPH может повлиять на репутацию автономных систем верхнего уровня и транзитного провайдера . ^[11] Это затрудняет для служб BPH обеспечение стабильного сетевого подключения, а в крайних случаях они могут быть полностью депирингованы; ^[1] поэтому провайдеры BPH обходят основанное на репутации укрепление AS, такое как рейтинг BGP и ASwatch, с помощью нетрадиционных методологий. ^[2]

Реселлер веб-хостинга

Согласно отчету, из-за растущих трудностей поставщики BPH устанавливают отношения реселлеров с поставщиками хостинга более низкого уровня ; хотя эти поставщики не замешаны в поддержке незаконной деятельности, они, как правило, снисходительны к сообщениям о злоупотреблениях и не принимают активного участия в выявлении мошенничества . ^[1] Таким образом, BPH скрывается за поставщиками хостинга более низкого уровня, используя их лучшую репутацию и одновременно осуществляя как надежные, так и законные перепродажи через выделенные сетевые блоки. ^[12] Однако, если услуги BPH пойманы, поставщики BPH переводят своих клиентов на более новую интернет-инфраструктуру — более новую AS более низкого уровня или IP-пространство — фактически делая черные списки IP-адресов предыдущей AS эфемерными; таким образом продолжая заниматься преступной деятельностью, изменяя записи ресурсов DNS-сервера прослушивающих служб и заставляя их указывать на более новые IP-адреса, принадлежащие IP-пространству текущей AS. ^[12] Из-за проблем с конфиденциальностью обычные способы связи для поставщиков BPH включают ICQ , Skype и XMPP (или Jabber ). ^{[13] [14]}

Допустимые злоупотребления

Большинство поставщиков BPH обещают иммунитет от нарушения авторских прав и судебных постановлений об удалении , в частности, Закона об авторском праве в цифровую эпоху (DMCA), Директивы об электронной коммерции (ECD) и повесток правоохранительных органов . Они также позволяют пользователям заниматься фишингом , мошенничеством (например, высокодоходной инвестиционной программой ), ботнет-мастерами и нелицензированными веб-сайтами онлайн-аптек . В этих случаях поставщики BPH (известные как « офшорные поставщики ») работают в юрисдикциях, которые не имеют никаких договоров об экстрадиции или договоров о взаимной правовой помощи (MLAT), подписанных со странами «пяти глаз» , в частности с Соединенными Штатами . ^{[15] [16] [17]} Однако большинство поставщиков BPH придерживаются политики нулевой терпимости к детской порнографии и терроризму , хотя некоторые из них разрешают холодное хранение таких материалов, учитывая запрет на открытый доступ через общедоступный Интернет . ^[18]

Распространенными юрисдикциями для регистрации и размещения центров обработки данных для поставщиков BPH являются Россия (где более разрешительные условия), ^[19] Украина , Китай , Молдова , Румыния , Болгария , Белиз , Панама и Сейшельские острова . ^{[20] [21]}

Воздействия

Услуги BPH выступают в качестве жизненно важных поставщиков сетевой инфраструктуры для таких видов деятельности, как киберпреступность и незаконная онлайн-экономика , ^[22] а хорошо зарекомендовавшая себя рабочая модель экономики киберпреступности основана на разработке инструментов и обмене навыками между коллегами. ^[23] Разработка эксплойтов , таких как уязвимости нулевого дня , осуществляется очень небольшим сообществом высококвалифицированных участников , которые заключают их в удобные инструменты , которые обычно покупаются низкоквалифицированными участниками (известными как script kiddies ), которые используют поставщиков BPH для проведения кибератак , обычно нацеленных на малоизвестные простые сетевые сервисы и отдельных лиц. ^{[24] [25]} Согласно отчету, подготовленному Университетом Карнеги-Меллона для Министерства обороны США , малоизвестные участники-любители также способны вызывать пагубные последствия, особенно для малого бизнеса , неопытных пользователей Интернета и миниатюрных серверов . ^[26]

Преступники также запускают специализированные компьютерные программы на провайдерах BPH, известные как сканеры портов , которые сканируют все адресное пространство IPv4 на предмет открытых портов , служб, работающих на этих открытых портах, и версий своих демонов служб , ища уязвимые версии для эксплуатации. ^[27] Одной из таких заметных уязвимостей, сканируемых сканерами портов, является Heartbleed , которая затронула миллионы интернет-серверов. ^[28] Кроме того, клиенты BPH также размещают сайты для мошенничества с кликами , рекламного ПО (например, DollarRevenue ) и отмывания денег , которые заманивают доверчивых интернет-пользователей в ловушки и наносят финансовые убытки отдельным лицам, при этом сохраняя свои незаконные сайты в сети, несмотря на постановления суда и попытки правоохранительных органов их закрыть . ^[29]

Контрмеры против ДГПЖ

Проект Spamhaus — это международная некоммерческая организация , которая отслеживает киберугрозы и предоставляет отчеты в реальном времени о черных списках (известные как «Индекс плохости») вредоносных AS, сетевых блоков и регистраторов , которые участвуют в спаме, фишинге или киберпреступности. Команда Spamhaus тесно сотрудничает с правоохранительными органами, такими как Национальный альянс киберкриминалистики и обучения (NCFTA) и Федеральное бюро расследований (ФБР), а данные, собранные Spamhaus, используются большинством интернет-провайдеров , поставщиков услуг электронной почты , корпораций , учебных заведений , правительств и шлюзов восходящей связи военных сетей. ^{[30] [31] [32]} Spamhaus публикует различные каналы данных , в которых перечислены сетевые блоки преступников, и предназначен для использования шлюзами , брандмауэрами и оборудованием маршрутизации для фильтрации (или « нулевого маршрута ») трафика, исходящего из этих сетевых блоков: ^[11]

• Spamhaus Don't Route Or Peer List (DROP) перечисляет сетевые блоки, выделенные установленным региональным интернет-регистратором (RIR) или национальным интернет-регистратором (NIR), которые используются преступниками, и не включает в себя злоупотребляемые пространства IP-адресов, выделенные подблоками сетевых блоков авторитетной AS. ^[33]
• Список заблокированных доменов Spamhaus (DBL) содержит список доменных имен с плохой репутацией в формате DNSBL . ^[34]
• Список контроллеров ботнетов Spamhaus (BCL) содержит отдельные адреса IPv4 хозяев ботнетов. ^[35]

Известные закрытые службы

Ниже приведены некоторые из известных прекративших свое существование поставщиков услуг по лечению ДГПЖ:

• CyberBunker , закрыт в сентябре 2019 года. ^[36]
• Макколо , снят в ноябре 2008 года. ^[37]
• Russian Business Network (RBN), закрыт в ноябре 2007 года. ^[38]
• Atrivo, закрыт в сентябре 2008 года. ^[39]
• 3FN, закрыт FTC в июне 2009 года. ^{[40] [41] [42]}
• Proxiez, закрыт в мае 2010 года. ^[43]

Смотрите также

• Свобода Хостинг
• Быстрый поток
• Театр безопасности

Ссылки

1. McCoy, Mi & Wang 2017, стр. 805.
2. Konte, Feamster & Perdisci 2015, стр. 625.
3. Хан, Кумар и Дурумик, 2021, с. 4.
4. "Host of Internet Spam Groups Is Cut Off". The Washington Post . 12 ноября 2008 г. Архивировано из оригинала 22 июня 2020 г. Получено 4 декабря 2021 г.
5. Хан, Кумар и Дурумик, 2021, с. 5-6.
6. Кербс, Брайан (13 октября 2007 г.). «Теневая российская фирма рассматривается как канал киберпреступности». Washington Post . Архивировано из оригинала 15 сентября 2021 г. Получено 5 января 2022 г.
7. Уоррен, Питер (15 ноября 2007 г.). «Охота на российских интернет-преступников». The Guardian . Архивировано из оригинала 25 ноября 2021 г. Получено 5 января 2022 г.
8. Стоун-Гросс, Бретт; Кругель, Кристофер; Альмерот, Кевин ; Мозер, Андреас (11 декабря 2009 г.). FIRE: FInding Rogue Networks . Ежегодная конференция по приложениям компьютерной безопасности. Труды ... Ежегодная конференция по приложениям компьютерной безопасности . Институт инженеров по электротехнике и электронике . стр. 231. doi :10.1109/ACSAC.2009.29. ISBN 978-1-4244-5327-6. ISSN  1063-9527.
9. Кребс, Брейн (12 ноября 2008 г.). «Хост групп интернет-спама отключен». The Washington Post . Архивировано из оригинала 27 мая 2012 г. Получено 5 января 2022 г.
10. Кребс, Брейн. «Основной источник онлайн-мошенничества и спама выведен из сети». Архивировано из оригинала 30 сентября 2021 г. Получено 5 января 2022 г.
11. Spamhaus Research Team (19 декабря 2019 г.). «Пуленепробиваемый хостинг — в городе появился новый парень». Проект Spamhaus . Архивировано из оригинала 22 апреля 2021 г. Получено 21 декабря 2021 г.
12. McCoy, Mi & Wang 2017, стр. 806.
13. Маккой, Ми и Ван 2017, стр. 811.
14. Гончаров, Макс (15 июля 2015 г.). «Убежища преступников в аренду: пуленепробиваемые хостинговые услуги» (PDF) . Trend Micro . Архивировано (PDF) из оригинала 19 июля 2021 г. . Получено 5 декабря 2021 г. .
15. Лепорини 2015, стр. 5.
16. Клейтон и Мур 2008, стр. 209.
17. Конте, Фимстер и Юнг 2008, стр. 10.
18. Копп, Штреле и Холфельд 2021, стр. 2432.
19. Caesar, Ed (27 июля 2020 г.). «Бункер холодной войны, ставший домом для империи даркнета». The New Yorker . Архивировано из оригинала 29 сентября 2021 г. Получено 5 декабря 2021 г.
20. Томас, Элиз (8 августа 2019 г.). «Внутри провайдеров пуленепробиваемого хостинга, которые поддерживают худшие веб-сайты мира в бизнесе». ABC News . Архивировано из оригинала 4 сентября 2021 г. Получено 5 ноября 2021 г.
21. Ричардсон, Ронни; Норт, Макс М. (1 января 2017 г.). «Программы-вымогатели: эволюция, смягчение и предотвращение». International Management Review . 13 (1). Государственный университет Кеннесо : 13.
22. Collier & Hutchings 2021, стр. 1.
23. Collier & Hutchings 2021, стр. 1-2.
24. Брэдбери 2010, стр. 17.
25. Collier & Hutchings 2021, стр. 2.
26. Мид, Нэнси Р.; Хаф, Эрик; Стайни, Теодор Р. (31 октября 2005 г.). Методология проектирования требований к качеству безопасности (SQUARE) (отчет). Университет Карнеги — Меллона . doi :10.1184/R1/6583673.v1. Архивировано из оригинала 6 декабря 2021 г. . Получено 6 декабря 2021 г. .
27. Дурумерик, Закир; Бейли, Майкл; Халдерман, Дж. Алекс (август 2014 г.). Взгляд на интернет-сканирование в масштабах всего интернета. Конференция USENIX по симпозиуму по безопасности. USENIX . стр. 65–66. Архивировано из оригинала 2021-12-06 . Получено 2021-12-06 .
28. Хео, Хонджо; Шин, Сынвон (май 2018 г.). Кто стучит в порт Telnet: масштабное эмпирическое исследование сетевого сканирования. Азиатская конференция по компьютерной и коммуникационной безопасности. стр. 625–626. doi :10.1145/3196494.3196537. Архивировано из оригинала 2021-12-06 . Получено 2021-12-06 .
29. Уотсон, Дэвид (2007). «Эволюция атак на веб-приложения». Network Security . 2007 (11): 7–12. doi :10.1016/S1353-4858(08)70039-4. ISSN  1353-4858. Архивировано из оригинала 2019-04-10 . Получено 2021-12-06 .
30. Nandi O. Leslie; Richard E. Harang; Lawrence P. Knachel; Alexander Kott (30 июня 2017 г.). «Статистические модели для количества успешных кибервторжений». Журнал моделирования и имитации обороны . 15 (1). Соединенные Штаты Америки : Исследовательская лаборатория армии США : 49–63. arXiv : 1901.04531 . doi : 10.1177/1548512917715342. S2CID  58006624. Архивировано из оригинала 22 декабря 2021 г. Получено 22 декабря 2021 г.
31. Грауэр, Яэль (17 января 2016 г.). «Новости безопасности на этой неделе: Тим Кук требует, чтобы Белый дом защищал шифрование». Wired . Архивировано из оригинала 23 апреля 2021 г. Получено 22 декабря 2021 г.
32. "Корпоративные документы: О Spamhaus". Архивировано из оригинала 14 декабря 2021 г. Получено 22 декабря 2021 г.
33. "The Spamhaus Don't Route Or Peer Lists". Проект Spamhaus . Архивировано из оригинала 21 декабря 2021 г. Получено 22 декабря 2021 г.
34. "The Domain Block List (DBL)". Проект Spamhaus . Архивировано из оригинала 21 декабря 2021 г. Получено 22 декабря 2021 г.
35. "Spamhaus Botnet Controller List". Проект Spamhaus . Архивировано из оригинала 26 августа 2020 г. Получено 22 декабря 2021 г.
36. Кребс, Брайан (28 сентября 2019 г.). «Немецкие полицейские совершили рейд на «Кибербункер 2.0», арестовали 7 человек за детскую порнографию, атака на рынок Dark Web». Krebs on Security . Архивировано из оригинала 16 мая 2021 г. Получено 10 июня 2021 г.
37. «Основной источник интернет-мошенничества и спама выведен из сети». Архивировано 30 сентября 2021 г. на Wayback Machine , The Washington Post , ноябрь 2008 г.
38. "Security Fix - Russian Business Network: Down, But Not Out". The Washington Post . Архивировано из оригинала 2016-09-26 . Получено 2016-10-07 .
39. «Американский интернет-провайдер, активно использующий мошенничество, становится все более изолированным». Архивировано 06.09.2008 в Wayback Machine , The Washington Post , сентябрь 2009 г.
40. «Последствия ликвидации 3FN». Архивировано 10 августа 2011 г. на Wayback Machine , The Washington Post , июнь 2009 г.
41. "Интернет-провайдер закрыт за размещение спама и детской порнографии "ведьминого варева"" Архивировано 10 августа 2017 г. в Wayback Machine , The Register , май 2010 г.
42. «Мошенническому интернет-провайдеру предписано ликвидироваться, выплатить FTC 1,08 миллиона долларов». Архивировано 02.05.2012 в Wayback Machine , Ars Technica , май 2010 г.
43. «Пуленепробиваемый» интернет-провайдер для преступных группировок отключен. Архивировано 10 августа 2017 г. в Wayback Machine , The Register , май 2010 г.

Библиография

• Маккой, Дэймон; Ми, Сянхан; Ван, Сьофэн (26 июня 2017 г.). «Под тенью солнечного света: понимание и обнаружение пуленепробиваемого хостинга в легитимных сетях поставщиков услуг». Симпозиум IEEE 2017 г. по безопасности и конфиденциальности (SP) . Нью-Йоркский университет . стр. 805–823. doi :10.1109/SP.2017.32. ISBN 978-1-5090-5533-3. S2CID  1593958.
• Хан, Кэтрин; Кумар, Дипак; Дурумич, Закир (2021). «О поставщиках инфраструктуры, поддерживающих дезинформацию» (PDF) . Стэнфордский университет . Архивировано (PDF) из оригинала 25 августа 2021 г. . Получено 4 декабря 2021 г. .
• Konte, Maria; Feamster, Nick; Perdisci, Roberto (17 августа 2015 г.). «ASwatch: система репутации AS для выявления пуленепробиваемых хостинговых AS». ACM SIGCOMM Comput. Commun. Rev. 45 ( 4). Нью-Йорк, США : 625–638. doi : 10.1145/2829988.2787494. ISSN  0146-4833.
• Лепорини, Дино (2015). Архитектуры и протоколы, обеспечивающие нелегальную потоковую передачу контента через Интернет. Пизанский университет . Амстердам , Нидерланды : Международная вещательная конвенция . стр. 7. doi : 10.1049/ibc.2015.0013. ISBN 978-1-78561-185-8.
• Клейтон, Ричард; Мур, Тайлер (22 декабря 2008 г.). «Влияние стимулов на уведомление и удаление». Управление информационными рисками и экономика безопасности . Бостон : Springer Publishing . стр. 199–223. doi :10.1007/978-0-387-09762-6_10. ISBN 978-0-387-09761-9.
• Копп, Даниэль; Штреле, Эрик; Хольфельд, Оливер (ноябрь 2021 г.). «CyberBunker 2.0 — перспектива домена и трафика на пуленепробиваемом хостере». Труды конференции ACM SIGSAC 2021 года по компьютерной и коммуникационной безопасности . Ассоциация вычислительной техники , Бранденбургский технический университет . стр. 2432–2434. arXiv : 2109.06858 . doi : 10.1145/3460120.3485352. ISBN 9781450384544. S2CID  237503582.
• Кольер, Бенджамин; Хатчингс, Элис (15 апреля 2021 г.). «Киберпреступность (часто) скучна: поддержание инфраструктуры экономики киберпреступности». Британский журнал криминологии . 61 (5). Oxford University Press . doi : 10.1093/bjc/azab026 . hdl : 20.500.11820/68a9a01b-f7c3-4fcb-9128-66caf04a4684 .
• Брэдбери, Дэнни (15 октября 2010 г.). «Раскопки хакерского подполья». Infosecurity . 7 (5): 14–17. doi :10.1016/S1754-4548(10)70084-X. ISSN  1754-4548.
• Konte, M.; Feamster, N.; Jung, J. (январь 2008 г.). "SAC 025: Консультации SSAC по хостингу Fast Flux и DNS" (PDF) . Консультативный комитет по безопасности и стабильности (SSAC) (1). Корпорация по управлению доменными именами и IP-адресами в Интернете . Архивировано (PDF) из оригинала 22 ноября 2021 г. . Получено 12 декабря 2021 г. .