[Из песочницы] Как бороться с киберпреступлениями, извлекая при этом неплохую прибыль

Зло «борется» со злом или как одни преступники делают вид, что борются с другими

Ели кто помнит, в начале 2000-х была такая поговорка: «Бабло побеждает зло», которая потом превратилась в «Добро побеждает бабло». В нашей же истории «Зло побеждает добро, борясь со злом».

61a340d4fb124a81a3addbf3bf5d6db1.jpg

Онсе упон э тайм решили мы создать очередной школохост хостинговую компанию по предоставлению в аренду VPS и прочих выделенных серверов. Инвесторы к проекту отнеслись осторожно. Сказали:

«Идея, конечно, классная, свежая, на рынке ничего подобного нет (если вдруг читает Шелдон Купер — sarcasm)… Но так, как тема новая, денег больших дадим только после того, как убедимся, что проект рабочий».
И их понять, конечно, можно. Сколько было стартапов, которые после получения инвестиций и покупки клевых офисов с секретаршами, кофемашинами и мощными игровыми компами вдруг понимали, что их продукт почему-то никому не нужен, и глупые клиенты не выстраиваются в очередь за гениальным приложением. Заключили договор с дата центром (работа дата центра это отдельный роман на тему «как не надо строить бизнес в области телехауса», и, возможно, я даже напишу об этом позже). Закупили сервера, хранилища, «циски», купили лицензии на софт, заключили договора с апстримами, взяли в аренду у друзей 22-ю сеть и начали работать, показывая инвесторам, насколько крут бизнес в области «облаков» и прочих выдумок маркетологов. Сервера были свежие, хранилища быстрые, цены доступные и народ пошел. Все, казалось бы, хорошо. Знай, закупай новые блейд-корзины и увеличивай долю на рынке.

Но тут поступил первый звонок (в прямом и переносном смысле). Со мной связался шеф нашего, на тот момент самого крупного, провайдера и сообщил:
«У вас там проблемы, наши «ноки» говорят, что вы спам шлете пачками. Разрулите».

Думаю:
«Какой еще спам? Вроде бы мы мониторим трафик, спамеров баним, да и в целом следим за своей сетью, ничего такого быть не должно».

Связываюсь с ноками, и они мне сообщают:
«На вас абузы от Спамхауса. Если в течение двух дней не разрулите, мы BGP сессию с вами прибьем».

И тут я понимаю нашу первую ошибку — сетку 22 мы взяли у друзей. И они забыли поменять в поле абуз контакт в RIPE. А так как сеткой они не пользовались, и друзья совсем не в теме телекома, то про это все благополучно забыли. Смотрим, какие претензии у Спамхауса к нам. Видим, что на нас у них там полный набор вида: dirty network, cyber crime, hosting escalation и прочие прелести из-за какого-то одного клиента. Запись выглядела так:
«Cybercrime domains profitmax.org etc. at @нашип».

Вступаем в переписку со Спамхаусом, выясняем, чем же мы провинились. Сеть, кстати, свежеполученная в RIPE, и до этого никем и никогда кроме нас не использовалась. Пытаемся связаться с клиентом, который арендует у нас этот ip-адрес. Не получив обратной связи, блокируем виртуалку. Отписываемся в Спамхаус, что все ваши претензии устранены, мы хорошие! А в ответ получаем:
Hello

This network is rogue and operated by spammers. We won’t be able to remove it from DROP unless it has been returned to RIPE.

Thanks for your understanding.
 — Best regards
Thomas Morrison


Пишем апстриму, что вот так и так претензии устранили, но они нас не удаляют. Получаем временную передышку. Записи от Спамхауса начинают приходить пачками:
«Downloader. Pony botnet controller. Spam domain hosting: ytk-garant.ru, etc.» И самое главное: «Spam leading to: trafmarket.ru, memorhost.ru, etc.» (последняя появлялась потом с заметной регулярностью).

Мы блокируем сразу же по первому их чиху в нашу сторону. Некий Thomas Morrison строгим тоном спрашивает нас:
«Как же вы докатились до жизни такой?»

Мы постоянно извиняемся, и говорим, что сеть свою мы контролируем и вот баним злодеев. Но Томас нам отвечает:
«У нас есть сведения, что вы заодно с киберкраймом и постоянно предоставляете им новые адреса (угу надо оно нам из-за 65 рублей себе проблемы зарабатывать)».

В общем, в таком ключе проходит пару месяцев, и мы понимаем, что нам нужны дополнительные каналы на случай блокировки. Ведем переговоры с Крупным Федеральным Оператором TIER1. Когда до подключения Крупного Федерального Оператора остаются считанные дни, наш апстрим без объявления войны кладет нам BGP. Резервный канал у нас был, разумеется, и мы его тестировали. Но, скажем так, когда мы были еще совсем мелкие. С тех пор у нас объемы трафика выросли в разы, появились анонсы ipv6-сетей. В общем, когда нам наш апстрим положил BGP, наш резервный канал практически упал от тех объемов трафика, которые мы генерировали. Нет, мы работали, разумеется, но деградация сети была достаточно заметная. Потеряли, как в связности, так и в анонсах ipv6 (оказалось, что далеко не все умеют с ними нормально работать). Но нас спасло на тот момент, что присоединение нашей сети к Крупному Федеральному TIER1 оператору было уже практически готово, и мы смогли достаточно быстро все восстановить. Потеряли, разумеется, часть клиентов, выплатили компенсации и продолжили работу. Наши сети прочно прописались в Спамхаусе. Чем это нам грозило, я опишу дальше.

Какие бывают киберпреступники (реальные и вымышленные)?


35a2517e3bd64d1fa78e6ee0b26522ec.jpg

Так как отделались на первых порах легким испугом, мы не стали подавать в суд на нашего апстрима1, а просто засучили рукава и продолжали работать. Как показала практика — очень зря. Использовали ли наш хостинг реальные (а какие бывают еще кроме «реальных», я так же напишу ниже) киберпреступники? Разумеется, да. За время своей работы мы их научились достаточно быстро вычислять, и борьба с ними не доставляет каких-то значительных хлопот. Итак, какие методы мы использовали?

Первое — анализ всего трафика


Весь трафик мы анализировали, и с помощью определенных триггеров на анализаторе, которые создавали оповещения об аномалиях, принимали решение. Это было либо предупреждение, либо сразу блокировка (в случае особо злоупотребляющих клиентов). Как это выглядело на практике? Допустим, снифер видит, что идет большое количество SMTP пакетов с определенного хоста — скорее всего, это спам (хотя иногда бывают совершенно легальные почтовые рассылки крупных интернет магазинов). Мы блокируем порт и просим клиента объяснить такую активность. Большинство легальных клиентов без проблем объясняют свои действия, и в дальнейшем мы просто вносим исключения для них. Бывают моменты, когда на нашего клиента идет DDoS атака, характеризующаяся большими потоками входящего трафика (нередки случаи, когда на виртуалку лилось 10Гбит/сек). В этом случае мы просто извещаем клиента и весь трафик, идущий на него, сливаем в Black Hole. На сегодняшний день мы прорабатываем услугу защиты от DDoS и сейчас она в стадии бета-теста.

Второе — анализ клиента


Практика показала, что если имя клиента выглядит как Vera F. Talbott, Alice Grimes, Darinka Korten или Лена Миро и в названии хоста фигурирует слово blog, то, скорее всего, блог этой милой девушки будет ничем не отличатся от страницы известного зарубежного банка или стартовой страницы paypal.com. Видимо, это какие-то новые тренды в современном блоггинге, но они почему-то не нравятся банкам и пейпалу, да и нам тоже. Мы ничего не имеем против блоггеров (имеем на самом деле, но против отдельных трендов), однако считаем, что над уникальностью дизайна блога надо работать как-то более тщательно. Поэтому мы таких клиентов даже не активируем и оплату при этом не возвращаем. Хотя, если быть честными, еще ни один такой клиент не обратился за компенсацией.

Третье — Жалобы на копирайт


Нередко мы получаем жалобы на размещение контента, попадающего под законы о копирайте. В этом случае мы вступаем в переписку и просим удалить незаконный (по мнению борцов за копирайт) контент с сайта. Но, самое главное, из всего этого списка преступников только пару раз были жалобы от Спамхауса, да и зачастую уже после того, как клиент уже был заблокирован. Тем не менее, Спамхаус не спешил удалять эти ip из своей базы, а на наши просьбы писал что-то типа
«Мы видим, что этот ip-адрес доступен, требуем его заблокировать и написать нам, какие меры приняты».
Мы, разумеется, писали в ответ:
» Да, был такой, но сайт давно удален, клиент заблокирован».
После долгой переписки Спамхаус удалял отдельную запись. Но все наши сети так и продолжали оставаться в их базе с грозными надписями «сеть такая-то is listed on the Don’t Route or Peer List» и «is listed on the Spamhaus Block List».

Четвертое — мнимые преступники


Самая большая категория. Регулярно мы попадали в списки с формулировкой «Neurevt Cybercrime domains de-conflict.ru, profitmax.org etc.». Таких клиентов отследить было просто невозможно. С виду обычный клиент заказывает VPC, и практически сразу же после заказа или максимум через один день мы получали абузу от Спамхауса. Блокировали и вступали в долгую переписку. Кстати, последний вид Спамхаус удаляет достаточно неохотно. Они просто игнорируют наши сообщения о том, что клиент заблокирован. Но, тем не менее, такие записи появляются как минимум 2–3 раза в месяц. Я как-то с трудом смогу представить человека, который 2–3 раза в месяц будет покупать на одном и том же хостинге виртуалку, заранее зная, что ее удалят буквально через час или, максимум, день без всякой компенсации.

Поразмыслив над этим и применив старый римский принцип «Cui prodest?» мы поняли, что выгодно это может быть только одной организации. А именно — этому самому Спамхаусу. В чем же заключается их профит? Об этом я напишу ниже.

Крупный Федеральный Оператор


Мы продолжили работу с крупным федеральным оператором, время от времени получая от их службы безопасности письма с просьбой отреагировать на жалобы Спамхауса, на которые мы и так реагировали молниеносно в любое время дня или ночи. Спамхаус внес этого оператора в свои блеклисты из-за мнимых жалоб. Причем, те жалобы, которые у нас были удалены, у оператора висели месяцами (да и до сих пор висят). Мы много общались с саппортом оператора, пересылали переписку со Спамхаусом и доказывали, что мы хорошие, и никакой «такой» деятельностью не занимаемся. В конце концов, получили от них официальное письмо с просьбой так же официально ответить. Мы официально ответили, что никогда не занимались никакой противозаконной деятельностью и в дальнейшем не планируем ей заниматься, а Спамхаус организация международных кибермошенников, и на территории РФ никакой власти не имеет, о чем есть соответствующее письмо от Роскомнадзора, и действия их незаконны. Получили заверения, что все нормально и сотрудникам Оператора это и так известно, а блокировать нас по этому надуманному поводу они не планируют. Мы, разумеется, наученные горьким опытом, начали вести переговоры с другим Крупным Федеральным Оператором TIER1, но немного не успели…

Карма


У себя в компании мы используем для общения между сотрудниками такой удобный чат как Slack (не реклама), так как много удаленных сотрудников, и собрать их всех в одном месте для общения не представляется возможным. И вот как-то вечером, общаясь в чате, мы обсуждали вопрос, стоит ли блокировать мелкого клиента, из-за проблем которого страдают другие клиенты, приносящие компании значительно большую прибыль? Тех. специалисты были однозначно за блокировку с формулировками:
«да от него одни проблемы, он просто не умеет пользоваться линуксом, пусть научится с ботнетами бороться, ламер».

Моя же позиция как руководителя компании была однозначной — не важно, какой это клиент, крупный или мелкий. Клиент нам доверяет, так как принес нам свои деньги. А это, я считаю, основа любого бизнеса. Самый главный человек в любой компании — это отнюдь не технический гений или директор, а тот человек, который поверил в компанию и принес ей свои кровные рубли, доллары или юани. И весь бизнес строится на клиентах, они самые важные люди и решение проблем клиентов — это и есть самое главное, за счет чего живет и развивается компания. Если не будет тех людей, которые принесут в организацию свои деньги, не будет программистов, сис.админов, директоров и секретарш.

Впрочем, я отвлекся. Моя позиция была — помочь клиенту, пусть это даже и бесплатно. И научить его элементарным основам безопасности. Причем здесь карма? А при том, что Крупный Федеральный Оператор так не думал. И, буквально, на следующий день, стоя в пробке на Садовом, я увидел кучу сообщений от бота в Slack, что вся наша инфраструктура — down (для контроля инфраструктуры мы используем Zabbix, который при проблемах сразу же пишет в общий канал Slack сообщения, о том, что именно и где упало). Я сразу же набрал нашему менеджеру у оператора с вопросом:

«А не заблокировали ли вы нас?»
На что получил ответ:
«Нет, все нормально, я смотрю — ваш заказ активен».
Позвонил в саппорт провайдера, там меня тоже заверили, что все нормально, но создали тикет и обещали перезвонить. Разумеется, у нас, как и в первом случае, был резерв. И мы видели, что анонсы от нас уходят в резервный канал, и все вроде бы как должно быть хорошо. НО нас не видела половина интернета. Перезвонил менеджер и сообщил, что нас все-таки заблокировали по указанию лично их вице-президента, и он ничего сделать не может. Я попросил дать нам хотя бы несколько дней на подключение другого аплинка, в чем он обещал попробовать посодействовать. Но оставался вопрос — почему так криво работает резервный канал?

Оказалось, что кроме того, что Оператор положил нам BGP сессию, он также полностью заблокировал весь ип транзит и из других сетей с нашими AS.Т. е все те точки обмена трафиком, в которых участвовал оператор, просто не пропускали трафик из наших сетей. А так, как половина трафика в стране идет через этого оператора, половина страны и почти полмира нас просто не видели. После долгих переговоров оператор нам все таки восстановил ип транзит при условии, что мы в течение трех дней предоставим новую AS. Но, я думаю, что как только эта новая AS начнет анонсы наших сетей, так сразу же мы получим кучу эскалаций от Спамхауса на эту AS. Так что сейчас мы в усиленном режиме ведем работы по подключению к Федеральному Оператору TIER1 №2

Кто такие Спамхаус ?


Вернусь теперь к заголовку — как же все таки зарабатывать миллионы на борьбе с киберкраймом. Я изучил кучу информации по вопросу, кто же такие non-profit organization Spamhaus и в чем же все-таки заключается их профит и методы давления. Самая грамотная статья, которая мне попалась — вот.

Вкратце перескажу: Спамхаус это жулики (дальше можно не рассказывать). Разумеется, они под видом борьбы со спамом занимаются вымогательств и рекетом путем закошмаривания мелких и средних хостинговых компаний, а также интернет сервис-провайдеров. В чем же заключается их «бизнес-модель»? Да все очень просто — вас заносят черный список, выбраться из которого практически нереально, и начинают на вас давить через ваших апстримов, вынуждая вас купить пакет услуг у аффилированной со Спамхаусом компании.

Казалось бы ну в чем проблема — занес вас какой-то Томас в черный список. Проблема в том, что многие крупные почтовые сервисы и компании (как пишет автор статьи, часто за откаты) пользуются блеклистами от Спамхауса и почта от ваших клиентов не будет доходить до получателей тех, кто пользуется списками Спамхауса.

Многие крупные операторы давно не реагируют на Спамхаус. Например, в Китае выписан ордер на арест Stephen John Linford, который является руководителем Спамхауса. Спамхаус в свое время блокировал целиком такие страны как Латвия, Турция, полностью блокировал сеть Google и до сих пор у них в блокировке вся сеть Китая, а beeline.ru никто иные, как spamer webhosting, так же в их списках многие сети Ростелекома и таких крупных зарубежных хостинговых компаний как, например, OVH.

Что мы намерены делать дальше?


Ну, у нас выбора, по большому счету, особо нет. Либо, как они пишут — сдавать свои сети обратно в RIPE, либо заплатить им денег (причем платить придется постоянно), либо подавать в суд. Суд в их отношении работает плохо. В США они уже проиграли ряд судов, но объявили, что суды были захвачены cybercrime и они не подчиняются юрисдикции США. Можно, конечно, попробовать обратится в мировой суд управы Зюзино (ничего не имею против этого прекрасного района и мирового суда) и попробовать выиграть дело с просьбой блокировки сайта spamhaus.org на территории РФ, а pornhub разблокировать, правда, даже не предполагаю как это может повлиять на их списки. В общем, вопрос на сегодняшний день так и остается открытым. Но самое главное, что мне хотелось бы сказать этой статьёй — мошенники будут использовать хостинговые компании и операторов до тех пор, пока кто-то пользуется их так называемыми блеклистами, Крупный Федеральный Оператор TIER1 сказал, основная проблема в том, что перестала доходить почта из их сетей и достаточно много системных администраторов еще пользуется списками Спамхауза для фильтрации почты! Хотелось бы спросить у сообщества — какой смысл в черных списках для e-mail в 2016 году?

Комментарии (1)

  • 21 октября 2016 в 19:25

    0

    Я что раньше их недолюбливал, что сейчас не люблю. Я не очень понимаю как может жить блеклист в котором данные просто принципиально не удаляются? Сеть же живая, и то что было актуально еще час назад сейчас может быть мягко говоря устаревшей информацией. Особенно облачные окружения.

© Habrahabr.ru