[ad_1]

Il y a environ deux ans, j’ai commencé une enquête visant à cartographier les endroits les plus dangereux d’Internet, les quartiers chauds du Web, si vous voulez. Ce que j’ai découvert dans le processus, c’est que de nombreux experts en sécurité, entreprises et chercheurs privés recueillaient également ces renseignements, mais que peu les publiaient. Travaillant avec plusieurs autres chercheurs, j’ai collecté et corrélé des tas de données,  Le débranchement ultérieur des logiciels malveillants et des FAI favorables aux spammeurs Atrivo et alors McColo à la fin de 2008 a montré ce qui peut arriver lorsque la communauté Internet met collectivement en évidence les centres de méchanceté en ligne.

Avance rapide jusqu’à aujourd’hui, et nous pouvons voir qu’il existe un grand nombre d’organisations qui publient des données sur les principaux points chauds d’Internet. J’ai interrogé certaines des sources les plus vigilantes de ces informations pour leurs données récentes et j’ai rassemblé un tableau approximatif indiquant les dix principaux FAI les plus répandus de chacun de leurs points de vue. [A few notes about the graphic below: The ISPs or hosts that show up more frequently than others on these lists are color-coded to illustrate consistency of findings. The ISPs at the top of each list are the “worst,” or have the most number of outstanding abuse issues.  “AS” stands for “autonomous system” and is mainly a numerical way of keeping track of ISPs and hosting providers. Click the image to enlarge it.]

Ce que vous constatez lorsque vous commencez à creuser dans ces divers efforts de surveillance communautaire, ce n’est pas que les réseaux nommés sont entièrement ou même principalement mauvais, mais qu’ils ont tendance à avoir plus que leur part de quartiers qui ont été envahis par l’équivalent en ligne des gangs de rue. . Le problème est que tous ces efforts individuels ont tendance à cartographier la réputation des FAI à partir d’une ou de quelques perspectives, chacune pouvant être limitée d’une manière ou d’une autre par des biais particuliers, tels que le type de menaces qu’ils surveillent. Par exemple, certains ne mesurent que les attaques de phishing, tandis que d’autres se concentrent sur la cartographie des réseaux qui hébergent des logiciels malveillants et des contrôleurs de botnet. Certains ne prennent que des instantanés de la méchanceté, au lieu de mesurer la méchanceté qui persiste chez un hôte donné pendant une période de temps assez longue.

De plus, certaines organisations qui mesurent la méchanceté sont limitées par leur niveau relatif de visibilité ou par une simple géographie. C’est-à-dire que même si Internet est véritablement un réseau mondial, le point de vue de tout observateur sur les choses peut être teinté par sa situation géographique dans le monde, ou par l’endroit où il rencontre le plus souvent des menaces, ainsi que par son niveau de visibilité au-delà de son horizon immédiat.

En février 2009, j’ai prononcé le discours d’ouverture lors d’une Groupe de travail anti-abus de messagerie (MAAWG) à San Francisco, où j’ai été invité à parler des recherches qui ont précédé les démantèlements d’Atrivo et de McColo. Le point le plus important que j’ai essayé de faire comprendre dans mon discours était qu’il y avait un besoin évident d’une entité dont le principe d’organisation était de rassembler et publier des informations en temps quasi réel sur les réseaux les plus dangereux du Web. Au lieu d’avoir 15 ou 20 organisations différentes cartographiant indépendamment la réputation des FAI, j’ai dit, pourquoi ne pas créer une entité qui s’en charge à plein temps ?

Malheureusement, certains des nids de méchanceté les plus clairs en ligne – les Troyaks du monde et d’autres réseaux qui semblent conçus dès le départ pour les cybercriminels – sont pour la plupart masqués par les efforts de collecte de données de surface tels que ma tentative simpliste au dessus. Pour diverses raisons, déterrer et confirmer ce niveau de méchanceté nécessite une plongée beaucoup plus profonde. Mais même dans sa forme la plus élémentaire, un projet public en cours qui croise les données de réputation des FAI à partir d’une multiplicité de points de vue pourrait persuader les FAI légitimes – en particulier les principaux opérateurs ici aux États-Unis – de faire un meilleur travail de nettoyage de leurs réseaux.

Ce qui suit est le premier de ce que j’espère être une série d’histoires sur différents efforts continus pour mesurer la réputation des FAI et pour tenir les fournisseurs d’accès Internet et les hébergeurs plus responsables de la méchanceté de leurs réseaux.

JOUER AVEC LE FEU

J’ai rencontré pour la première fois l’approche de réputation du Web créée par les chercheurs du Université de Californie Santa Barbara après avoir lu un article, ils ont écrit l’année dernière sur les résultats de leur détournement d’un réseau de sites de téléchargement en voiture qui est généralement loué à des cybercriminels. Rob Lemos écrit sur leur travail pour Examen de la technologie MIT l’automne dernier.

Peu de temps après les déconnexions d’Atrivo et de McColo, les gars de l’UCSB ont lancé leur propre projet de cartographie de réputation Web appelé Trouver des réseaux RoguEou FEU.

Brett Stone-Gross, doctorant à l’UCSB Département d’informatiquea déclaré que lui et deux collègues chercheurs avaient cherché à localiser les FAI qui affichaient constamment une mauvaise réputation.

« Les réseaux que vous trouvez dans le classement FIRE sont ceux qui présentent un comportement malveillant persistant et de longue durée », a déclaré Stone-Gross.

Les données qui alimentent le Top 20 de FIRE proviennent de plusieurs flux anti-spam, tels que Spamcop, Phishtanket inclut des données sur les sites contenant des logiciels malveillants à partir de Anubis et Wepawet, des outils open source qui permettent aux utilisateurs d’analyser des fichiers et des sites Web suspects. Stone-Gross a déclaré que le score est calculé en fonction du nombre de centres de commande et de contrôle de botnet, de serveurs d’exploitation de phishing et de logiciels malveillants pour les téléchargements en voiture se trouvant chez ces FAI, mais uniquement lorsqu’ils ont été hébergés chez un FAI donné pendant un certain nombre de jours. .

« Le seuil est d’environ une semaine. Fondamentalement, vous obtenez des points pour chaque mauvais serveur que vous avez, puis il est mis à l’échelle en fonction de la taille », a-t-il déclaré. « Nous prenons l’inverse de la taille du réseau (le nombre approximatif d’hôtes) et le multiplions par la somme agrégée des activités malveillantes du réseau. »

Stone-Gross a déclaré qu’environ la moitié du Top 20 est assez statique. « GigeNETpar exemple, semblent être des leaders dans l’hébergement Réseaux de zombies IRC, et c’est à peu près le cas depuis que nous suivons la trace. GigeNET n’a pas renvoyé les appels demandant des commentaires.

Même en compensant la taille, FIRE répertorie certains des plus grands FAI et hébergeurs du monde visiblement au sommet (le pire) de son indice de méchanceté. Cependant, les conclusions de FIRE sont cohérentes avec celles qui mesurent la méchanceté sous d’autres angles, et deux grands réseaux basés aux États-Unis apparaissent à maintes reprises sur la plupart de ces listes : basé à Houston LaPlanète.comet Plano, Texas basé Technologies Softlayer.

Stone-Gross a déclaré qu’un contributeur majeur au problème de la méchanceté chez de nombreux grands hôtes est le fait que la plupart de leurs locataires sont des propriétaires absents, dont certains ont loué et sous-loué leurs logements à des racailles itinérantes.

« Ce qui se passe, c’est qu’ils auront peut-être quelques centaines, voire des milliers de revendeurs, et ces revendeurs vendent souvent à d’autres revendeurs, et ainsi de suite », a-t-il déclaré. « Les fournisseurs en amont n’aiment pas les fermer tout de suite, car ce revendeur pourrait avoir un mauvais client sur 50, et ils ne sont pas des forces de l’ordre, et ils ne pensent pas que ce soit leur travail d’appliquer ce genre de choses. .”

Sam Fleitman, directeur de l’exploitation chez Softlayer, a déclaré que la société tentait de devenir plus proactive dans la gestion des problèmes d’abus sur son réseau. Fleitman a déclaré que son équipe d’abus avait contacté un certain nombre de groupes qui mesurent la réputation du Web pour voir comment obtenir des flux directs de leurs données.

« La plupart des sociétés d’hébergement sont réactives… trouvant et se débarrassant des problèmes qui leur sont signalés », a déclaré Fleitman. « Nous voulons être proactifs, nos objectifs sont alignés, et nous avons donc essayé d’obtenir ces informations de manière automatisée afin de pouvoir nous occuper de ces choses plus rapidement. »

En effet, peu de temps après que l’équipe de l’UCSB a publié ses statistiques FIRE en ligne, Softlayer a approché le groupe pour entendre des suggestions pour réduire son classement, a déclaré Stone-Gross.

« Ils sont venus nous voir et nous ont dit: » Nous aimerions améliorer cela « , alors nous avons eu une conversation avec eux et leur avons fait tout un tas de suggestions », a déclaré Stone-Gross. « C’était il y a environ trois semaines, et depuis, ils sont passés de systématiquement dans le Top 3 des pires à généralement beaucoup plus bas sur la liste. »

Ce qui est probablement le plus unique dans l’approche de FIRE, c’est qu’elle permet aux utilisateurs de visualiser non seulement le volume de problèmes d’abus signalés sur un réseau donné, mais aussi d’explorer des exemples spécifiques et même de tracer la durée de vie de ces exemples d’abus au fil du temps.

Par exemple, si vous cliquez sur ce lien vous verrez l’historique de réputation de ThePlanet.com. Le graphique en haut à droite indique que, mis à part une brève période au milieu de 2009, ThePlanet a été au sommet ou près du sommet de la liste FIRE pendant la majeure partie des 18 derniers mois. Stone-Gross a déclaré qu’un écart correspond à un moment en avril dernier où les serveurs de l’université se sont écrasés et ont cessé d’enregistrer des données pendant quelques jours.

Cliquez sur n’importe quel point historique dans les graphiques linéaires multicolores en bas à gauche et vous pouvez afficher les adresses IP des sites Web de phishing, des logiciels malveillants et des serveurs de botnet sur ThePlanet.com au cours de la même période, telles qu’enregistrées par l’UCSB.

Les planètes Yvonne Donaldson a refusé de discuter des chiffres FIRE, des allégations de longévité des abus ou de la prévalence de l’entreprise sur huit des dix listes de réputation qui l’ont signalée comme problématique. Dans une déclaration envoyée par e-mail à breachtrace on Security, elle a seulement déclaré que l’entreprise prenait la sécurité très au sérieux et qu’elle prenait des mesures contre les clients qui enfreignaient ses politiques d’utilisation acceptables.

« Lorsque nous découvrons des problèmes de menace crédible, nous en informons les autorités compétentes », a écrit Donaldson. « Nous pouvons également prendre des mesures en désactivant ou en supprimant le site, et également informer les clients si un site spécifique qu’ils hébergent est en violation. »

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *