Rusland strammer grebet om it-kriminelle

Anholdelser og stramninger tyder på en ny kurs over for it-kriminelle i Rusland, skriver Shehzad Ahmad i denne klumme fra Computerworld Online.

Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Megen internetkriminalitet stammer fra Rusland. Derfor bliver man ekstra glad, når der er godt nyt fra netop den front.

Det var der i den forløbne måned. Dels blev nogle formodede bagmænd i en stor hackersag anholdt, dels strammer myndighederne op på procedurerne for domæneregistrering.

De internationale nyhedsmedier har lidt modstridende beretninger om anholdelserne. De er enige om, at en formodet bagmand blev anholdt i Sankt Petersborg.

Men ifølge The Register er to af hans kumpaner også anholdt.

Under alle omstændigheder handler det om folk, der mistænkes for at stå bag en af de helt store hackersager.

Forhøjede hævegrænsen
I 2008 hackede gerningsmændene sig ind på it-systemer hos betalingsformidleren RBS Worldpay.

Her fik de adgang til data om betalingskort, som blev brugt til lønudbetalinger. De hævede maksimumgrænsen for, hvor meget man måtte hæve på hvert enkelt kort.

Den 8. november 2008 gik de i aktion.

130 medsammensvorne gik på samme tid i gang med at hæve kontanter i pengeautomater i 49 byer fordelt på flere lande.

I løbet af en halv times tid havde de hævet over ni millioner dollars. Det har FBI tidligere oplyst.

Et år senere blev tre navngivne og en unavngiven person anklaget for forbrydelsen i USA. Mindst en af de tre er nu i politiets varetægt.

Det gode ved nyheden er, at den tyder på, at Rusland ikke længere stiltiende vil acceptere it-kriminalitet.

Det er der også andet, der tyder på.

Vis pas ved domæneregistrering
I efteråret indførte det såkaldte Coordination Center, der står for registrering af domæner under landedomænet .ru, skrappere regler.

Nu skal virksomheder kunne dokumentere, at de er registreret som virksomhed, før de kan oprette et domæne.

Og privatpersoner skal identificere sig med pas, før de får lov.

Det er et lille skridt på vejen til bedre muligheder for at retsforfølge forbryderne.

Pas på udbyderne
I dag er Whois-oplysningerne om russiske domæner som regel værdiløse, fordi de oplyser navne på stråmænd eller fiktive personer som dem, der er ansvarlige for et givet domæne.

De nye regler træder i kraft den 1. april.

Netværk af lyssky udbydere
At der er brug for en indsats i Rusland fremgår af en analyse, som sikkerhedsfirmaet RSA har foretaget.

Firmaet har kigget på udbyderen Troyak, der var offline i flere dage i løbet af marts måned.

Flere botnet baseret på Zeus-programmet (Zbot) kørte på IP-adresser under Troyak. Derfor kunne det se ud til, at lukningen af Troyaks internetforbindelse var resultatet af forsøg på at lamme nogle botnet.

RSA FraudAction Research Lab har opdaget, at Troyak kun er en lille brik i et større puslespil.

Ifølge forskerne er der udbydere i tre lag.

Nederste lag er det såkaldte bulletproof network. Det rummer servere, som indeholder en mængde skadelige programmer, primært trojanske heste der inficerer offeret med Zeus.

Disse udbydere er der otte af.

Bulletproof networks kommunikerer med fem såkaldte upstream providers.

De har ikke direkte skadelige programmer på deres servere. Deres formål er at maskere tilknytningen til de otte udbydere i kernen.

De fem upstram providers kommunikerer med ni helt legitime internetudbydere, som giver dem adgang til det øvrige internet.

Der er forbindelser på kryds og tværs mellem udbyderne i de tre lag.

Det medfører, at en udbyder forholdsvis let kan finde en ny rute til internettet, når en anden bliver lukket ned.

Fire af fem er ude
Det så vi med Troyak, der røg af nettet den 9. marts. Den fandt hurtigt en ny udbyder, men blev smidt ud igen. Den 12. var den igen online, men lige nu ser den ud til at være væk.

I det hele taget er kun en enkelt af de upstream providers, som RSA-undersøgelsen fandt frem til, tilgængelig for øjeblikket.

Det viser, at opmærksomhed udefra kan påvirke, hvilke udbydere der får lov til at fortsætte med deres lyssky forehavender.

Det bliver spændende at se, om udviklingen vil gøre det vanskeligere for it-kriminelle i Østeuropa at slippe af sted med deres forbrydelser.

 

Oprindelig offentliggjort på Computerworld Online fredag den 26. marts 2010

LINKS

Artikel fra The Register om anholdelserne
AS-Troyak Exposes a Large Cybercrime Infrastructure, analyse fra RSA FraudAction Research Lab
Regler for registrering under .ru-domænet
Denne klumme på Computerworld Online

Keywords: