Як боротися з кіберзлочинами, отримуючи при цьому непоганий прибуток

Зло «бореться» зі злом або як одні злочинці роблять вигляд, що борються з іншими
Їли хто пам'ятає, на початку 2000-х була така приказка: «Бабло перемагає зло», яка потім перетворилася на «Добро перемагає бабло». У нашій же історії «Зло перемагає добро, борючись зі злом».



Онсе упон е тайм ми вирішили створити черговий школохост хостингову компанію з надання в оренду VPS та інших виділених серверів. Інвестори до проекту поставилися обережно. Сказали:
«Ідея, звичайно, класна, свіжа, на ринку нічого подібного немає (якщо раптом читає Шелдон Купер — sarcasm)… Але так, як тема нова, великих грошей дамо тільки після того, як переконаємося, що робочий проект».
І зрозуміти їх, звичайно, можна. Скільки було стартапів, які після отримання інвестицій та купівлі кльові офісів з секретарками, кава-машини та потужними ігровими компами розуміли, що їх продукт чомусь нікому не потрібен, і дурні клієнти не шикуються в чергу за геніальним додатком. Уклали договір з дата-центром (робота дата центру це окремий роман на тему «як не треба будувати бізнес в області телехауса», і, можливо, я навіть напишу про це пізніше). Закупили сервера, сховища, «циски», купили ліцензії на софт, уклали договори з апстримами, взяли в оренду у друзів 22-ю мережу і почали працювати, показуючи інвесторам, наскільки крутий бізнес в області «хмар» та інших вигадок маркетологів. Сервера були свіжі, сховища швидкі, ціни доступні і народ пішов. Все, здавалося б, добре. Знай, закупай нові блейд-кошики і збільшуй частку на ринку.

Але тут надійшов перший дзвінок (в прямому і переносному сенсі). Зі мною зв'язався шеф нашого, на той момент найбільшого, провайдера і повідомив:
«У вас там проблеми, наші „нокі“ кажуть, що ви спам шлете пачками. Розрулите».
Думаю:
«Який ще спам? Начебто ми моніторимо трафік, спамерів баним, так і в цілому стежимо за своєю мережею, нічого такого бути не повинно».
Зв'язуюся з ноками, і вони мені повідомляють:
«На вас абузы від Спамхауса. Якщо протягом двох днів не розрулите, ми BGP сесію з вами приб'ємо».

І тут я розумію нашу першу помилку – сітку 22 ми взяли у друзів. І вони забули поміняти в поле абуз контакт в RIPE. А так як сіткою вони не користувалися, і друзі зовсім не в темі телекому, то про це всі забули. Дивимося, які претензії Спамхауса до нас. Бачимо, що на нас у них там повний набір виду: dirty network, cyber crime, hosting escalation та інші принади з-за якогось одного клієнта. Запис виглядала так:
«Cybercrime domains profitmax.org etc. at @нашип».
Вступаємо в листування з Спамхаусом, з'ясовуємо, чим же ми завинили. Мережа, до речі, свежеполученная в RIPE, і до цього ніким і ніколи крім нас не використовувалася. Намагаємося зв'язатися з клієнтом, який орендує у нас цей ip-адресу. Не отримавши зворотного зв'язку, блокуємо віртуалку. Повідписуємося в Спамхаус, що всі ваші претензії усунуті, ми хороші! А у відповідь отримуємо:

Hello

This network is rogue and operated by spammers. We won't be able to remove it from DROP unless it has been returned to RIPE.

Thanks for your understanding.
— Best regards
Thomas Morrison
Пишемо апстриму, що ось так і так претензії усунули, але вони нас не видаляють. Отримуємо тимчасовий перепочинок. Записи від Спамхауса починають приходити пачками:
«Downloader. Pony botnet controller. Spam domain hosting: ytk-garant.ru, etc.» І найголовніше: «Spam leading to: trafmarket.ru, memorhost.ru, etc.» (остання з'являлася потім з помітною регулярністю).
Ми блокуємо відразу ж за першим їх чиху в нашу сторону. Якийсь Thomas Morrison суворим тоном запитує нас:
«Як же ви докотилися до такого життя?»
Ми постійно вибачаємося, і говоримо, що мережа свою ми контролюємо і ось баним лиходіїв. Але Томас нам відповідає:
«У нас є відомості, що ви заодно з киберкраймом і постійно надаєте їм нові адреси (угу треба воно нам з-за 65 рублів заробляти собі проблеми)».

Загалом, в такому ключі проходить кілька місяців, і ми розуміємо, що нам потрібні додаткові канали на випадок блокування. Ведемо переговори з Великим Федеральним Оператором TIER1. Коли до підключення Великого Федерального Оператора залишаються лічені дні, наш апстрім без оголошення війни кладе нам BGP. Резервний канал у нас був, зрозуміло, і ми його тестували. Але, скажімо так, коли ми були ще зовсім дрібні. З тих пір у нас обсяги трафіку зросли в рази, з'явилися анонси ipv6 мереж. Загалом, коли нам наш апстрім поклав BGP, наш резервний канал практично впав від тих об'ємів трафіку, які ми генерували. Ні, ми працювали, зрозуміло, але деградація мережі була досить помітна. Втратили, як в зв'язності, так і в анонсах ipv6 (виявилося, що далеко не всі вміють з ними нормально працювати). Але нас врятувало на той момент, що приєднання нашої мережі до Великого Федеральному TIER1 оператору було вже практично готове, і ми змогли досить швидко відновити. Втратили, зрозуміло, частина клієнтів, виплатили компенсації і продовжили роботу. Наші мережі міцно прописалися в Спамхаусе. Чим це нам загрожувало, я опишу далі.

Які бувають кіберзлочинці (реальні і вигадані)?


Так як відбулися на перших порах легким переляком, ми не стали подавати в суд на нашого апстрима1, а просто засукали рукави і продовжували працювати. Як показала практика, дуже даремно. Використовували наш хостинг реальні (а які бувають ще крім «реальних», я напишу нижче) кіберзлочинці? Зрозуміло, так. За час своєї роботи ми навчилися їх досить швидко обчислювати, і боротьба з ними не доставляє якихось значних клопотів. Отже, які методи ми використовували?

Перше – аналіз всього трафіку
Весь трафік ми аналізували, і з допомогою певних тригерів на аналізаторі, які створювали оповіщення про аномалії, приймали рішення. Це було або попередження, або відразу блокування (у випадку особливо зловживають клієнтів). Як це виглядало на практиці? Припустимо, сніфер бачить, що йде велика кількість SMTP пакетів з певного хоста — швидше за все, це спам (хоча іноді бувають абсолютно легальні поштові розсилки великих інтернет-магазинів). Ми блокуємо порт і просимо клієнта пояснити таку активність. Більшість легальних клієнтів без проблем пояснюють свої дії, і надалі ми просто робимо винятки для них. Бувають моменти, коли на нашого клієнта йде DDoS атака, характеризується великими потоками вхідного трафіку (нерідкі випадки, коли на віртуалку лилося 10гбіт/с). В цьому випадку ми просто повідомляємо клієнта і весь трафік, що йде на нього, зливаємо в Black Hole. На сьогоднішній день ми опрацьовуємо послугу захисту від DDoS і зараз вона в стадії бета-тесту.

Друге – аналіз клієнта
Практика показала, що якщо ім'я клієнта виглядає як Vera F. Talbott, Alice Grimes, Darinka Korten або Олена Міро і в назві хоста фігурує слово blog, то, швидше за все, блог цієї милої дівчини буде нічим не відрізняться від сторінки відомого іноземного банку або стартової сторінки paypal.com. Мабуть, це якісь нові тренди в сучасному блоггинге, але вони чомусь не подобаються банкам і пейпалу, та й нам теж. Ми нічого не маємо проти блогерів (маємо насправді, але проти окремих трендів), однак вважаємо, що над унікальністю дизайну блогу треба працювати як більш ретельно. Тому ми таких клієнтів навіть не активуємо і оплату при цьому не повертаємо. Хоча, якщо бути чесними, ще жоден такий клієнт не звернувся за компенсацією.

Третє – Скарги на копірайт
Нерідко ми отримуємо скарги на розміщення контенту, підпадає під закони про копірайт. У цьому випадку ми вступаємо в листування і просимо видалити незаконний (на думку борців за копірайт) контент з сайту. Але, найголовніше, з усього цього списку злочинців тільки пару раз були скарги від Спамхауса, та й часто вже після того, як клієнт вже був заблокований. Тим не менш, Спамхаус не поспішав видаляти ці ip зі своєї бази, а на наші прохання писав щось типу
«Ми бачимо, що цей ip-адреса доступний, вимагаємо його заблокувати і написати нам, які заходи прийняті».
Ми, зрозуміло, писали у відповідь:
« Так, був такий, але сайт давно видалений, клієнт заблокований».
Після довгої переписки Спамхаус видаляв окремий запис. Але всі наші мережі так і продовжували залишатися у їхній базі з грізними написами «мережа така-то is listed on the don't Route or Peer List» і «is listed on the Spamhaus Block List».

Четверте – уявні злочинці
Найбільша категорія. Ми Регулярно потрапляли в списки з формулюванням «Neurevt Cybercrime domains de-conflict.ru, profitmax.org etc.». Таких клієнтів відстежити було просто неможливо. З вигляду звичайний клієнт замовляє VPC, і практично відразу ж після замовлення або максимум через один день ми отримували абузу від Спамхауса. Блокували і вступали в довгу переписку. До речі, останній вид Спамхаус видаляє досить неохоче. Вони просто ігнорують наші повідомлення про те, що клієнт заблокований. Але, тим не менш, такі записи з'являються як мінімум 2-3 рази в місяць. Я як-то насилу зможу уявити людину, який 2-3 рази в місяць буде купувати на одному і тому ж хостингу віртуалку, заздалегідь знаючи, що її видалять буквально через годину або, максимум, день без всякої компенсації.

Поміркувавши над цим і застосувавши старий римський принцип «Cui prodest?» ми зрозуміли, що вигідно це може бути тільки однієї організації. А саме — цього самого Спамхаусу. У чому ж полягає їх профіт? Про це я напишу нижче.

Великий Федеральний Оператор
Ми продовжили роботу з великим федеральним оператором, час від часу отримуючи від їх служби безпеки листи з проханням відреагувати на скарги Спамхауса, на які ми й так реагували блискавично в будь-який час дня або ночі. Спамхаус вніс цього оператора в свої блеклисты через уявних скарг. Причому, ті скарги, які у нас були видалені, у оператора висіли місяцями (та й досі висять). Ми багато спілкувалися з саппортом оператора, пересилали листування зі Спамхаусом і доводили, що ми хороші, і ніякої «такий» діяльністю не займаємося. Врешті-решт, отримали від них офіційний лист з проханням так само офіційно відповісти. Ми офіційно відповіли, що ніколи не займалися ніякої протизаконною діяльністю і надалі не плануємо їй займатися, а Спамхаус організація міжнародних кібершахраїв, і на території РФ ніякої влади не має, про що є відповідний лист від Роскомнадзора, і їх дії незаконні. Отримали запевнення, що все нормально і співробітникам Оператора це і так відомо, а блокувати нас з цього надуманого приводу вони не планують. Ми, зрозуміло, навчені гірким досвідом, почали вести переговори з іншим Великим Федеральним Оператором TIER1, але трохи не встигли…

Карма
У себе в компанії ми використовуємо для спілкування між співробітниками такий зручний чат як Slack (не реклама), так як багато віддалених співробітників, і зібрати їх усіх в одному місці для спілкування не представляється можливим. І ось якось увечері, спілкуючись в чаті, ми обговорювали питання, чи варто блокувати дрібного клієнта, з-за проблем якого страждають інші клієнти, які приносять компанії значно більший прибуток? Тих. фахівці були однозначно за блокування з формулюваннями:
«так від нього одні проблеми, він просто не вміє користуватися лінуксом, нехай навчиться з ботнетами боротися, ламер».

Моя ж позиція як керівника компанії була однозначною – не важливо, який це клієнт, крупний або дрібний. Клієнт нам довіряє, так як приніс нам свої гроші. А це, я вважаю, основа будь-якого бізнесу. Найголовніша людина в будь-якій компанії — це аж ніяк не технічний геній або директор, а той чоловік, який повірив в компанію і приніс їй свої кровні рублі, долари або юані. І весь бізнес будується на клієнтах, вони найважливіші люди і рішення проблем клієнтів — це і є найголовніше, за рахунок чого живе і розвивається компанія. Якщо не буде тих людей, які принесуть в організацію свої гроші, не буде програмістів, сіс.адмінів, директорів і секретарок.

Втім, я відволікся. Моя позиція була – допомогти клієнту, нехай це навіть і безкоштовно. І навчити його елементарним основам безпеки. Причому тут карма? А при тому, що Великий Федеральний Оператор так не думав. І буквально на наступний день, стоячи в пробці на Садовій, я побачив купу повідомлень від бота в Slack, що вся наша інфраструктура – down (для контролю інфраструктури ми використовуємо Zabbix, який при проблемах відразу ж пише в загальний канал Slack повідомлення, про те, що саме і де впало). Я відразу ж набрав нашому менеджеру у оператора з питанням:
«А не заблокували ви нас?»
На що отримав відповідь:
«Ні, все нормально, я дивлюся — ваше замовлення активний».
Подзвонив в саппорт провайдера, там мене теж запевнили, що все нормально, але створили тікет і обіцяли передзвонити. Зрозуміло, у нас, як і в першому випадку, був резерв. І ми бачили, що анонси від нас ідуть в резервний канал, і все начебто як повинно бути добре. АЛЕ нас не бачила половина інтернету. Передзвонив менеджер і повідомив, що нас все-таки заблокували за вказівкою особисто віце-президента, і він нічого зробити не може. Я попросив дати нам хоча б кілька днів на підключення іншого аплінку, в чому він обіцяв спробувати посприяти. Але залишалося питання – чому так криво працює резервний канал?

Виявилося, що крім того, що Оператор поклав нам BGP сесію, він також повністю заблокував весь іп транзит і з інших мереж з нашими AS. Тобто всі ті точки обміну трафіком, в яких брав участь оператор, просто не пропускали трафік з наших мереж. А так, як половина трафіку в країні йде через цього оператора, половина країни і майже півсвіту нас просто не бачили. Після довгих переговорів оператор нам все таки відновив іп транзит за умови, що ми протягом трьох днів надамо нову AS. Але, я думаю, що як тільки ця нова AS почне анонси наших мереж, так відразу ж ми отримаємо купу ескалацій від Спамхауса на цю AS. Так що зараз ми в посиленому режимі ведемо роботи по підключенню до Федеральному Оператору TIER1 №2

Хто такі Спамхаус ?
Повернуся тепер до заголовка – як же все таки заробляти мільйони на боротьбу з киберкраймом. Я вивчив купу інформації з питання, хто ж такі non-profit organization Spamhaus і в чому ж все-таки полягає їх профіт і методи тиску. Сама грамотна стаття, яка мені попалася — вот.

Коротко переповім: Спамхаус це шахраї (далі можна не розповідати). Зрозуміло, вони під виглядом боротьби зі спамом займаються вимагань і рекетом шляхом закошмаривания дрібних і середніх хостингових компаній, а також інтернет сервіс-провайдерів. У чому ж полягає їх «бізнес-модель»? Та все дуже просто – вас заносять в чорний список, вибратися з якого практично нереально, і починають на вас тиснути через ваших апстримов, змушуючи вас придбати пакет послуг у афілійованої з Спамхаусом компанії.

Здавалося б ну в чому проблема – заніс вас якийсь Томас у чорний список. Проблема в тому, що багато великі поштові сервіси і компанії (як пише автор статті, часто за відкати) користуються блеклистами від Спамхауса і пошта від ваших клієнтів не буде доходити до одержувачів тих, хто користується списками Спамхауса.

Багато великі оператори давно не реагують на Спамхаус. Наприклад, у Китаї виписаний ордер на арешт Stephen John Linford, який є керівником Спамхауса. Спамхаус в свій час блокував цілком такі країни, як Латвія, Туреччина, повністю блокував мережа Google і досі у них в блокуванні вся мережа Китаю, а beeline.ru ніхто інші, як spamer webhosting, так само в їхніх списках багато мережі Ростелекома і таких великих зарубіжних хостингових компаній як, наприклад, OVH.

Що ми маємо намір робити далі?
Ну, у нас вибору, за великим рахунком, немає. Або, як вони пишуть – здавати свої мережі назад в RIPE, або заплатити їм грошей (причому платити доведеться постійно), або подавати в суд. Суд щодо працює погано. У США вони вже програли ряд судів, але оголосили, що суди були захоплені cybercrime і вони не підкоряються юрисдикції США. Можна, звичайно, спробувати звернутися до світової суд управи Зюзино (нічого не маю проти цього прекрасного району та світового суду) і спробувати виграти справу з проханням блокування сайту spamhaus.org на території РФ а pornhub розблокувати, правда, навіть не припускаю як це може вплинути на їх списки. Загалом, питання на сьогоднішній день так і залишається відкритим. Але найголовніше, що мені хотілося б сказати цією статтею – шахраї будуть використовувати хостингові компанії і операторів до тих пір, поки хтось користується їх так званими блеклистами, Великий Федеральний Оператор TIER1 сказав, основна проблема в тому, що перестала доходити пошта з їх мереж і досить багато системних адміністраторів ще користується списками Спамхауза для фільтрації пошти! Хотілося б запитати у спільноти – який сенс в чорних списках для e-mail у 2016 році?
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.