De kriminelles nettleverandører

Såkalte «Rogue ISPs» sikrer datakriminelle anonym serverplass. Illustrasjonsfoto: Colourbox.com.
Såkalte «Rogue ISPs» sikrer datakriminelle anonym serverplass. Illustrasjonsfoto: Colourbox.com.

<pKriminelle datanettverk spesialiserer seg på å tilby tjenester til dem som vil spre ondsinnet programvare, søppelpost og barneporno.</p

Denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

Rogue ISP
* Internettleverandører som enten drives av kriminelle, eller lever av å levere tjenester til kriminelle.
* Ofte er det vanskelig å finne ut hvem som står bak selskapene.
* Et problem er gjerne at selskapet i seg selv ikke nødvendigvis gjør noe ulovlig, men de hjelper ikke til med å stoppe de kriminelle kundene sine.
* Kalles gjerne «Bulletproof Hosting,» ettersom disse selskapene er vanskelig å samarbeide med dersom man ønsker å fjerne noe hos dem.

(Kilde: NSM)

I løpet av oktober ble det i gjennomsnitt sendt ut omkring 190 milliarder søppelmeldinger (spam-mail) daglig på verdensbasis. En journalist fra Washington Post, Brian Krebs, klarte nærmest på egenhånd å bli kvitt to tredjedeler av søppelposten på internett i november, da han avslørte at nettleverandøren McColo i San Jose leide ut serverplass til kontrollsentrene til tre av verdens tre største spam-spredere.

De såkalte «botnettene» Srizbi, Mega-D og Rustock var blant de fremste sprederne av søppelpost i verden. Botnet er nettverk som kan bestå av flere hundre tusen datamaskiner som har blitt infisert av ondsinnet programvare og kapret. Systemer på McColo ble også brukt til å spre pornografi, støtte kredittkortsvindel og andre former for datakriminalitet.

Det anslås at det globale markedet for nettsvindel utgjorde omkring 700 milliarder kroner i 2008, mer enn den illegale omsetningen av narkotika.

Les også: Fra vandaler til mafia

Da selskapene som solgte båndbredde til nettleverandøren stengte forbindelsene til McColo sank den totale mengden spam-brev på verdensbasis med omkring 66 prosent i løpet av noen timer.

Men bakmennene forflyttet kommandosentralen til en nettleverandør i Russland, og mot slutten av november var mengden spam tilbake til 70 prosent av det opprinnelige nivået.

«Skuddsikker»

Å skaffe disse datakriminelle serverplass er en egen industri. Forskjellen mellom slike nettleverandører og andre er at de tilbyr såkalt bulletproof hosting. Dette innebærer at de vil gjøre alt i sin makt for å holde nettstedet ditt online, og ikke vil etterkomme politikrav om å fjerne ulovlige nettsteder. Slike leverandører tilbyr sine tjenester til en rekke former for datakriminalitet. For eksempel tilbyr de plass til ondsinnet programvare som trojanere, nettsteder som vil forsøke å installere slik programvare på folks maskiner, og barnepornografi. De skaffer også til veie såkalte drop zones, områder stjålet data overføres til.

I fjor høst beskrev Washington Post det russiske selskapet Russian Business Network, som skaffet sine brukere såkalt «skuddsikker hosting» til barneporno, spamming og identitetstyveri. Russian Business Network var opprinnelig basert i St. Petersburg, men etter å ha blitt eksponert i media spredde det seg til Kina og videre til andre asiatiske land.

- Navnet Russian Business Network (RBN) har ikke eksistert siden 2007. Tilgangen til alle RBN-tjenester ble blokkert, og serverne konfiskert av myndighetene i landene de opererte i: USA, Panama og Russland. Men bakmennene som utviklet og vedlikeholdt dette farlige nettverket ble ikke pågrepet, sier virusanalytiker Sergej Golovanov, ved Kaspersky Lab i Moskva.

- Alle ulovligheter som går an

- Nettverket gjennomførte nær sagt alle ulovlige aktiviteter man kan begå på internett: utsending av søppel-e-post, opprettelse av svindel-nettsteder, utvikling og distribusjon av ondsinnet programvare, barnepornografi, kontroll av botnet og så videre. RBN tilbød også en plattform for slike handlinger til sine «kunder», i bytte mot en andel av deres inntekter og teknologier, sier Golovanov.

Virusanalytiker ved Kaspersky Lab i Moskva Sergej Golovanov. Foto: KasperskyVirusanalytiker ved Kaspersky Lab i Moskva Sergej Golovanov. Foto: Kaspersky

- Hvem stod bak nettverket?
- Vi antar at nettverket ble støttet av 5-10 mennesker, som kjente hverandre personlig og administrerte RBN sammen. De andre som var involvert i RBNs aktiviteter var kun folk som satte ting ut i livet, uten å kjenne hele strukturen og dem som var ansvarlige. Det hevdes at lederen og grunnleggeren av RBN var kjent som «flyman», men hans identitet er ukjent, sier Golovanov.

- Det finnes mange tilsvarende grupper som er aktive på verdensbasis. Abdula, iFrameBiz og McColo, som nylig ble stengt. Slike nettverk opererer på samme måte, og RBN var bare ett av dem, sier Golovanov.

- For å bekjempe slike nettverk må myndighetene i berørte land jobbe sammen for å finne og pågripe forbryterne, samt å ty til hjelp fra tredjeparter. Internettleverandører og kontrollorganer som ICANN kan også gjøre mye. Disse bidro til å nedkjempe RBN, EstDomeins, McColo og andre. Dette er en måte man kan gjøre nettet tryggere, sier Golovanov.

ABC Nyheter skriver denne uken om datasikkerhet. I morgen kan du lese mer om de nye truslene mot din datamaskin.

Tidligere artikler om dette emnet:

* Fra vandaler til mafia
* Bekrefter svensk overvåking
* Kraftig økning i nettsensur
* - Jeg deaktiverte viruset, en halvtime etter kom politiet
* - Norges dataforsvar er robust
* Angriper Norge
* Ruster for dataangrep mot Norge

Mer fra ABC Nyheter
Siste fra forsiden

Velkommen til debatt

ABC Nyheter ønsker velkommen til debatt om det meste. Men vi krever at du er saklig og viser respekt for menneskene sakene handler om og dine meddebattanter. Regler for kommentering finner du her.

Tor Strand, redaktør.

comments powered by Disqus