Zombihálózatok irányítói csaptak le a net jó tündérére

Minden idők legnagyobb kibertámadását provokálta ki maga ellen a kéretlen levelek ellen küzdő Spamhaus nevű nonprofit szervezet, amelynek Londonban és Genfben is van központja. A Spamhaus szerverei ellen olyan erőket fordítottak, amelyek egy kormányzati vagy egy banki rendszert is térdre kényszerítettek volna. Amint arról tegnap beszámoltunk, a legnagyobb internetes cégek siettek a Spamhaus segítségére.

A Spamhaus legfrissebb, csütörtöki blogbejegyzése szerint a támadás lassan már gyengül, a kiberbűnözők valószínűleg belátták, hogy nem tudják elérhetetlenné tenni a szervezet honlapját. Azt azonban még mindig nem lehet tudni, hogy pontosan kik álltak a rekordméretű, másodpercenként 300 gigabites támadás mögött.

Ami már látszik: a szűrőlistákat kiadó Spamhaus olyan kiberbűnözői csoportoknak léphetett a tyúkszemére, amelyeknek komoly bevételük van a kéretlen levelek küldéséből. A piac pedig óriási, a Microsoft és a Google kutatói által készített 2012-es tanulmány évi 200 millió dollárra teszi a spammerek és az így hirdető kereskedők bevételeit.

A levelek nagy többsége spam

A Spamhaus statisztikái szerint az internetes levélforgalom kilencven százalékát a kéretlen levelek teszik ki. Azaz minden lényeges üzenetre kilenc olyan levél jut, amely például vágyserkentő tablettát vagy hamis órát próbál eladni, péniszhosszabbítást ígér, vagy egyszerűen vírussal akarja megfertőzni a felhasználó gépét. A Kaspersky kiberbiztonsági cég 2013. februári elemzése valamivel kisebb számot ír: szerintük a levelek 71,1 százaléka volt spam a múlt hónapban. A spameken belül a pénzkicsaló levelek csupán az e-mailforgalom három tízezrelékét tették ki, vírust viszont az üzenetek 2,6 százaléka tartalmazott.

Még a két adat közti húszszázalékos eltérés ellenére is világos, hogy a levelek túlnyomó többsége spam. A Spamhaushoz hasonló szervezetek által kiadott szűrőlisták arra szolgálnak, hogy ezeket a kéretlen leveleket kiszűrjék - még azelőtt, hogy közel kerülnének a felhasználók levelesfiókjához. A listákra felkerülő feladók, szerverek, szolgáltatók leveleinek esélye sincs célba érni, azokat rögtön elutasítja a levelezőszerver. "A Spamhaus szűrőlistája az első, amelyet az ember beállít, ha levelezőszervert helyez üzembe. A listán szereplő szerverektől nem fogadunk el semmit" - mondta az [origo]-nak egy korábban levelezőszervert is üzemeltető informatikus.

Gondosan páncélozott szerverek

A spamforgalom fenntartása csak úgy lehetséges, ha elég olyan gép van, amely elárasztja az internetet kéretlen levelekkel, és ezeket megbízhatóan lehet vezérelni. Az első feladatot trójai kártevővel megfertőzött számítógépek látják el. A gépek gazdái többnyire nem is tudják, hogy a számítógépük mit csinál egy-egy botnet (megfertőzött gépek hálózata) tagjaként. Az irányítószervereket pedig olyan, golyóállónak nevezett szolgáltatóknál helyezik el, amelyek szemet hunynak az ügyfeleik tevékenysége felett, illetve amíg lehet, megvédik őket a hatóságokkal szemben.

Az irányítás mellett a spamekben reklámozott oldalakat - például hamis gyógyszert árusító patikák, hamisított tárgyakat kínáló boltok honlapjait - is a golyóálló szolgáltatók géptermében lévő szerverek szolgálják ki. A különböző szerepet ellátó szerverek gyakran más országokban vannak - derül ki a spamhálózatokat vizsgáló, a Berkeley Egyetem, a San Diegó-i Kaliforniai Egyetem és a Budapesti Műszaki és Gazdaságtudományi Egyetem (BME) CrySys nevű it-biztonsági laborjának közös munkájával elkészült 2011-es tanulmányból (PDF). A több országra kiterjedő spamhálózat elleni fellépéshez több ország kiberrendőrségének együttműködésére lehet szükség.

Ki lehet lőni a golyóálló szervert is

A Spamhaus ügyében való tisztánlátást kezdetekben nehezítette, hogy Sven Olaf Kamphuis, a tiltólistára került Cyberbunker nevű szolgáltató egyik üzemeltetője nemcsak cége, hanem a támadók nevében is nyilatkozott. Az Al Jazeerának később már azt mondta, hogy csupán kapcsolatban áll a Spamhaus elleni akciót elindító csoporttal, amely főleg a Spamhaus által feldühített orosz internetszolgáltatókból áll. Kamphuis állításait az ügyről tudósító egyik lap sem tudta ellenőrizni. A helyzetet tovább árnyalja, hogy nemcsak a Cyberbunker szerepel a Spamhaus szűrőlistáján, hanem Kamphuis másik, CB3Rob nevű munkahelye is. A szűrőlista szerint csaló oldalaknak, zombihálózatok irányítószervereinek, zsaroló oldalaknak és spamet küldő gépeknek adott helyet a CB3Rob. Ez a szolgáltató az első a Spamhaus által vezetett legrosszabb hírű internetszolgáltatók listán is.

Minden valószínűség szerint a Spamhaus elleni támadást az indította el, hogy újabb golyóálló szolgáltatót tettek tiltólistára. A tiltakozók azzal érvelnek, hogy a Spamhaus nem hatóság, nincsenek jogosítványai, ezért nincs joga cenzúrázni az internetet. A 12 éve működő Spamhaus szolgáltatása azonban hasznos azoknak a rendszergazdáknak, akik távol akarják tartani szervereiktől a spamet. A szűrőlisták ellen azért léptek fel most különösen nagy erőkkel a kiberbűnözők, mert a meg nem érkező levelekből semmiképp nem lesz bevétel.