Вычислят не только по IP

Как можно бороться с нелегальным хостингом?

Специализирующаяся на кибербезопасности компания Trend Micro опубликовала финальную часть исследования рынка криминальных операций в интернете. В ней даны рекомендации по противодействию нелегальным хостингам.

Как передает Коммерсант, новый отчет Trend Micro завершает серию из трех исследований о рынке нелегального хостинга. Первая часть под названием «Инфраструктура хакеров и нелегальный хостинг» раскрывала, как устроен рынок нелегальных интернет-услуг, как и где киберпреступники находят инфраструктуру для своих действий. Во второй части рассказано, как преступники используют взломанные локальные и облачные серверы и что помогает выявить такие взломы. В последней части исследователи описывают методы борьбы с отраслью «пуленепробиваемого» хостинга (bulletproof hosting, BPH).

BPH предназначен для ресурсов с заведомо нелегальным содержанием. Чаще всего подобный хостинг используют спамеры, онлайн-казино и порноресурсы.

«Пуленепробиваемый» хостинг — это основа инфраструктуры киберпреступников, в которой для борьбы с попытками закрытия нелегальных ресурсов используется сложная бизнес-модель,— подчеркивает Trend Micro.— Среди преимуществ провайдеров BPH гибкость, профессионализм и большой выбор услуг, способных удовлетворить различные потребности клиентов».

Исследователи подчеркивают, что уровень «выживаемости» таких хостингов во многом зависит от адаптивности их операторов.

Некоторые провайдеры могут перемещать свои виртуальные выделенные серверы (VPS), чтобы затруднить их обнаружение и блокировку правоохранительными органами. В сочетании с обратными прокси-серверами такие хостинги могут обеспечивать высокую доступность услуг.

Исследователи отмечают разные подходы властей к борьбе с тем или иным видом контента. Например, в Китае мягче отношение к хостингам, которые служат для массовой рекламной рассылки по зарубежным адресам. При этом хостинги, связанные с онлайн-казино или размещением политического контента, могут гораздо быстрее привлечь внимание местных регуляторов. В России весьма жестко относятся к распространению порноконтента, информации о наркосодержащих веществах и политического контента.

В таких же странах, как Швейцария или Нидерланды, провайдеры подпольных хостингов пользуются особенностями местных законодательств, при которых власти сначала выносят предупреждение о нарушении, угрожая обыском или арестом. Эти предупреждения позволяют преступникам оперативно создать новые подставные фирмы и перевести серверы.

Региональные и страновые различия приводят к тому, что на нелегальных биржах покупатели соответствующего трафика или услуг могут фактически выбирать страны, где их деятельность будет наименее рискованной и более выгодной. Например, заниматься спам-рассылкой с хостингом в одной стране, а управлять онлайн-казино — из другой.

Аналитики Trend Micro дают компаниям, организациям, корпоративным или государственным службам IT-безопасности следующие советы по обнаружению и борьбе с подпольным хостингом:

1. Определять, какие диапазоны IP-адресов находятся в публичных черных списках.
2. Обращать внимание на адреса, которые связаны с большим количеством публичных запросов о злоупотреблениях, поскольку это может указывать на деятельность BPH.
3. Анализировать поведение автономных систем и данных пиринга — это также может помочь выявить активность, связанную с BPH.
4. После обнаружения одного хоста BPH использовать полученный цифровой отпечаток, чтобы найти другие, которые могут быть связаны с тем же провайдером.

В отчете также перечислены методы, используемые правоохранительными органами и другими организациями для прекращения деятельности подпольных хостинговых компаний без необходимости обнаружения или отключения их серверов:

1. Отправка должным образом задокументированных запросов о злоупотреблениях подозреваемому провайдеру нелегального хостинга и его вышестоящим партнерам.
2. Добавление диапазонов IP-адресов сетей BPH в популярные черные списки.
3. Повышение эксплуатационных расходов BPH, чтобы подорвать прибыльность их бизнеса.
4. Подрыв репутации провайдера BPH в киберпреступном подполье — создание аккаунтов на подпольных форумах, сообщения которых будут ставить под сомнение безопасность BPH или обсуждать его возможное сотрудничество с властями.