Kuloodporny hosting

Dawny bunkier NATO w Holandii, w którym mieścił się kuloodporny dostawca usług hostingowych CyberBunker .

Hosting kuloodporny (BPH) to usługa infrastruktury technicznej świadczona przez usługę hostingu internetowego , która jest odporna na skargi dotyczące nielegalnych działań , która służy podmiotom przestępczym jako podstawowy budulec usprawniający różne cyberataki . Dostawcy BPH zezwalają na hazard online , nielegalną pornografię , botnety dowodzenia i kontroli serwerów , spam , materiały chronione prawami autorskimi , mowę nienawiści i dezinformację , pomimo nakazów sądowych usunięcia i wezwań organów ścigania , zezwalając na takie materiały w swoich zasadach dopuszczalnego użytkowania .

Dostawcy BPH zwykle działają w jurysdykcjach, które mają łagodne przepisy przeciwko takiemu postępowaniu. Większość usługodawców innych niż BPH zabrania przesyłania przez swoją sieć materiałów, które byłyby sprzeczne z ich warunkami świadczenia usług i lokalnymi przepisami prawnymi danej jurysdykcji , a często wszelkie zgłoszenia nadużyć skutkowałyby usunięciem, aby uniknąć zablokowania adresu IP ich autonomicznego systemu na czarnej liście innych dostawców i Spamhaus .

Historia

BPH po raz pierwszy stał się przedmiotem badań w 2006 roku, kiedy analitycy bezpieczeństwa z VeriSign ujawnili Russian Business Network , dostawcę usług internetowych, który był gospodarzem grupy phishingowej odpowiedzialnej za około 150 milionów dolarów w oszustwach związanych z phishingiem. RBN stał się również znany z kradzieży tożsamości , pornografii dziecięcej i botnetów. W następnym roku McColo , dostawca usług hostingowych odpowiedzialny za ponad 75% globalnego spamu, został zamknięty i usunięty przez Global Crossing i Hurricane Electric po publicznym ujawnieniu przez ówczesnego reportera Washington Post , Briana Krebsa , na swoim blogu Security Fix na ta gazeta.

trudności

Ponieważ wszelkie zgłoszenia nadużyć kierowane do BPH będą ignorowane, w większości przypadków cały blok IP („netblock”) przypisany do autonomicznego systemu BPH zostanie umieszczony na czarnej liście innych dostawców i zewnętrznych filtrów antyspamowych . Dodatkowo BPH ma również trudności ze znalezieniem sieciowych punktów peeringowych do nawiązywania sesji Border Gateway Protocol , ponieważ trasowanie sieci dostawcy BPH może mieć wpływ na reputację nadrzędnych systemów autonomicznych i dostawcy tranzytu . Utrudnia to usługom BPH zapewnienie stabilnej łączności sieciowej, aw skrajnych przypadkach może nastąpić ich całkowite odłączenie; dlatego dostawcy BPH unikają wzmacniania reputacji AS, takiego jak BGP Ranking i ASwatch, poprzez niekonwencjonalne metodologie.

Sprzedawca hostingu

Według raportu, ze względu na narastające trudności, dostawcy BPH angażują się w nawiązywanie relacji resellerskich z dostawcami usług hostingowych niższej klasy ; chociaż ci dostawcy nie są współwinni wspierania nielegalnych działań, zwykle są pobłażliwi w stosunku do zgłoszeń nadużyć i nie angażują się aktywnie w wykrywanie oszustw . Dlatego BPH ukrywa się za dostawcami hostingu niższej klasy, wykorzystując ich lepszą reputację i jednocześnie obsługując zarówno kuloodporne, jak i legalne odsprzedaży za pośrednictwem przydzielonych bloków sieciowych. Jeśli jednak usługi BPH zostaną złapane, dostawcy BPH migrują swoich klientów do nowszej infrastruktury internetowej — nowszego AS niższego rzędu lub przestrzeni IP — skutecznie czyniąc adresy IP z czarnej listy poprzedniego AS efemerycznymi; kontynuując w ten sposób działania przestępcze, modyfikując rekordy zasobów serwera DNS usług nasłuchujących i kierując je na nowsze adresy IP należące do aktualnej przestrzeni IP AS. Ze względu na obawy związane z prywatnością, zwyczajowymi sposobami kontaktu dla dostawców BPH są ICQ , Skype i XMPP (lub Jabber ).

Dopuszczalne nadużycia

Większość dostawców BPH obiecuje ochronę przed naruszeniami praw autorskich i nakazami sądowymi , w szczególności ustawą Digital Millennium Copyright Act (DMCA), dyrektywą o handlu elektronicznym (ECD) i wezwaniami organów ścigania . Pozwalają również użytkownikom na wyłudzanie informacji , oszustwa (takie jak wysokodochodowy program inwestycyjny ), mistrzów botnetów i nielicencjonowane witryny aptek internetowych . W takich przypadkach dostawcy BPH (znani jako „ dostawcy offshore ”) działają w jurysdykcjach, które nie mają żadnej umowy ekstradycyjnej ani umowy o wzajemnej pomocy prawnej (MLAT) podpisanej z pięcioma państwami oka , w szczególności ze Stanami Zjednoczonymi . Jednak większość dostawców BPH stosuje politykę zerowej tolerancji wobec pornografii dziecięcej i terroryzmu , chociaż kilku zezwala na przechowywanie takich materiałów w chłodni ze względu na zakaz otwartego dostępu w publicznym Internecie .

Przeważające jurysdykcje dla zakładania i lokalizacji centrów danych dla dostawców BPH to Rosja (bardziej liberalna), Ukraina , Chiny , Mołdawia , Rumunia , Bułgaria , Belize , Panama i Seszele .

Wpływy

Usługi BPH działają jako kluczowi dostawcy infrastruktury sieciowej dla działań takich jak cyberprzestępczość i nielegalne gospodarki internetowe , a dobrze ugruntowany model działania gospodarek cyberprzestępczych opiera się na rozwijaniu narzędzi i dzieleniu się umiejętnościami wśród rówieśników. Opracowywaniem exploitów , takich jak luki dnia zerowego , zajmuje się bardzo mała społeczność wysoko wykwalifikowanych aktorów , którzy umieszczają je w wygodnych narzędziach , które zwykle kupują aktorzy o niskich kwalifikacjach (znani jako script kiddies ), którzy wykorzystują dostawców BPH do przeprowadzania cyberataków , zwykle wymierzonych w niskoprofilowe, bezpretensjonalne usługi sieciowe i osoby fizyczne. Według raportu sporządzonego przez Carnegie Mellon University dla Departamentu Obrony Stanów Zjednoczonych , niskoprofilowi ​​amatorzy również mogą wywoływać szkodliwe konsekwencje, zwłaszcza dla małych firm , niedoświadczonych użytkowników Internetu i miniaturowych serwerów .

Przestępcy uruchamiają również wyspecjalizowane programy komputerowe na dostawcach BPH, znane jako skanery portów , które skanują całą przestrzeń adresową IPv4 w poszukiwaniu otwartych portów , usług uruchamianych na tych otwartych portach oraz wersji demonów usług , szukając podatnych wersji do wykorzystania. Jedną z takich godnych uwagi luk skanowanych przez skanery portów jest Heartbleed , która dotknęła miliony serwerów internetowych. Co więcej, klienci BPH hostują także służące do oszustw związanych z kliknięciami , oprogramowanie reklamowe (takie jak DollarRevenue ) oraz strony rekrutacyjne służące do prania brudnych pieniędzy , które wabią niewypróbowanych internautów w łapanie pułapek i powodowanie strat finansowych dla osób fizycznych, jednocześnie bez ograniczeń utrzymując swoje nielegalne witryny w Internecie, pomimo nakazów sądowych i usunięcia próby organów ścigania .

Kontrinicjatywy przeciwko BPH

Spamhaus Project to międzynarodowa organizacja non-profit , która monitoruje cyberzagrożenia i dostarcza w czasie rzeczywistym raporty z czarnej listy (znane jako „Badness Index”) dotyczące złośliwych AS, blokad sieciowych i rejestratorów zaangażowanych w działania związane ze spamem, phishingiem lub cyberprzestępczością. Zespół Spamhaus ściśle współpracuje z organami ścigania, takimi jak National Cyber-Forensics and Training Alliance (NCFTA) i Federal Bureau of Investigation (FBI), a dane zebrane przez Spamhaus są wykorzystywane przez większość dostawców usług internetowych , dostawców usług poczty elektronicznej , korporacje , instytuty edukacyjne , rządy i bramy uplink sieci wojskowych. Spamhaus publikuje różne źródła danych , które zawierają listę bloków sieciowych podmiotów przestępczych i jest przeznaczony do użytku przez bramy , zapory ogniowe i sprzęt routingu w celu odfiltrowania (lub „ zerowej trasy ”) ruchu pochodzącego z tych blokad sieci:

• Spamhaus Don't Route Or Peer List (DROP) zawiera listę blokad sieciowych przydzielonych przez ustanowiony regionalny rejestr internetowy (RIR) lub krajowy rejestr internetowy (NIR), które są używane przez podmioty przestępcze, i nie obejmuje nadużywanych przestrzeni adresowych IP, alokowanych podrzędnie blokad sieciowych renomowanego AS.
• Spamhaus Domain Block List (DBL) wyświetla nazwy domen o złej reputacji w formacie DNSBL .
• Spamhaus Botnet Controller List (BCL) zawiera listę pojedynczych adresów IPv4 mistrzów botnetu.

Godne uwagi usługi zamknięte

Oto niektórzy z godnych uwagi nieistniejących dostawców BPH:

• CyberBunker , zdjęty we wrześniu 2019 r.
• McColo , zdjęty w listopadzie 2008 roku.
• Russian Business Network (RBN), zlikwidowany w listopadzie 2007 roku.
• Atrivo, zdjęty we wrześniu 2008 roku.
• 3FN, zdjęty przez FTC w czerwcu 2009 roku.
• Proxiez, zdjęty w maju 2010 roku.

Zobacz też

• Wolność Hostingu
• Szybki przepływ
• Teatr bezpieczeństwa

Bibliografia

•    McCoy, Damon; Mi, Xianghang; Wang, Xiofeng (26 czerwca 2017). „W cieniu słońca: zrozumienie i wykrywanie kuloodpornego hostingu w sieciach legalnych dostawców usług” . Bezpieczeństwo i prywatność IEEE . Uniwersytet Nowojorski : 805–823. doi : 10.1109/SP.2017.32 . ISBN 978-1-5090-5533-3 . S2CID 1593958 .
• Han, Katarzyna; Kumar, Deepak; Durumic, Zakir (2021). „O dostawcach infrastruktury, którzy wspierają dezinformację” (PDF) . Uniwersytet Stanforda . Zarchiwizowane (PDF) od oryginału w dniu 25 sierpnia 2021 r . Źródło 4 grudnia 2021 r .
•   Konte, Maria; Feamster, Nick; Perdisci, Roberto (17 sierpnia 2015). „ASwatch: system reputacji AS do ujawniania kuloodpornych AS-ów hostingowych” . SIGCOMM Stowarzyszenie Maszyn Komputerowych . Nowy Jork, Stany Zjednoczone . 45 (4). doi : 10.1145/2829988.2787494 . ISSN 0146-4833 .
•   Leporini Dino (2015). Architektury i protokoły umożliwiające przesyłanie nielegalnych treści przez Internet . Uniwersytet w Pizie . Amsterdam , Holandia : Międzynarodowa konwencja radiofonii i telewizji . P. 7. doi : 10.1049/ibc.2015.0013 . ISBN 978-1-78561-185-8 .
•   Clayton, Richard; Moore, Tyler (22 grudnia 2008). „Wpływ zachęt na powiadamianie i usuwanie” . Zarządzanie ryzykiem informacyjnym i ekonomika bezpieczeństwa . Boston : wydawnictwo Springer : 199–223. doi : 10.1007/978-0-387-09762-6_10 . ISBN 978-0-387-09761-9 .
•    Kopp, Daniel; Strehle, Eric; Hohlfeld, Oliver (listopad 2021). „CyberBunker 2.0 - perspektywa domeny i ruchu na kuloodpornym hoście” . Materiały z konferencji ACM SIGSAC 2021 na temat bezpieczeństwa komputerów i komunikacji . Association for Computing Machinery , Brandenburski Uniwersytet Techniczny . s. 2432–2434. ar Xiv : 2109.06858 . doi : 10.1145/3460120.3485352 . ISBN 9781450384544 . S2CID 237503582 .
• Collier, Benjamin; Hutchings, Alice (15 kwietnia 2021). „Cyberprzestępczość jest (często) nudna: utrzymywanie infrastruktury ekonomii cyberprzestępczości” . Brytyjski Dziennik Kryminologii . Oxford University Press . 61 (5). doi : 10.1093/bjc/azab026 .
•   Bradbury, Danny (15 października 2010). „Wykopywanie hakerskiego podziemia” . Bezpieczeństwo informacyjne . ScienceDirect . 7 (5): 14–17. doi : 10.1016/S1754-4548(10)70084-X . ISSN 1754-4548 .
• Konte, M.; Feamster, N.; Jung, J. (styczeń 2008). „SAC 025: Doradztwo SSAC dotyczące hostingu Fast Flux i DNS” (PDF) . Komitet Doradczy ds. Bezpieczeństwa i Stabilności (SSAC) . Internet Corporation for Assigned Names and Numbers (1). Zarchiwizowane (PDF) od oryginału w dniu 22 listopada 2021 r . Źródło 12 grudnia 2021 r .