Что такое хорошо и что такое плохо?

Previous Entry Поделиться Next Entry
3 июля, 2014
e_kaspersky
Несколько дней назад Микрософт заявил о масштабном наезде на сервис динамических DNS No-IP, в результате которого было прикрыто 22 домена. По словам ребят из Редмонда было за что – там хостилась всякая неприятная малварь, да и вообще No-IP оказался рассадником киберкриминала и эпицентром таргетированных атак, при этом от сотрудничества категорически отказывался.

Как в любой похожей заварушке стороны обменялись противоречивыми заявлениями формата «дурак сам дурак».

В частности, No-IP заявил, что они белые-пушистые, всегда были рады сотрудничеству в гашении источников кибератак, а сейчас их клиенты, задетые этим наездом страдают и вообще это неправомерный наезд на легальный бизнес, поскольку малвару можно найти где угодно и приостанавливать из-за этого сервис через суд – никак не кошерно.

Как бы то ни было, результат налицо - отвалилось более 4млн сайтов (1,8млн клиентов), как вредоносных, так и чистых. Микрософт пытается отсеять зерна от плевел и вернуть чистым сайтам работоспособность, однако многие пользователи до сих пор жалуются на перебои.

Разбираться кто больше виноват – дело бесперспективное и неблагодарное. Оставлю журналистские расследования журналистам. Вместо этого даю пищу для ума, сухие и веские цифры и факты, чтобы каждый мог сам для себя сделать вывод о правомерности и этичности действий Микрософт.

1)      Отключение 22 доменов No-IP затронуло операции около 25% таргетированных атак, которые мы отслеживаем. Это тысячи шпионских и криминальных операций за последние 3 года. Примерно четверть из них имели хотя бы один управляющий центр (C&C) у этого хостера. Например, такие хакерские группы как Syrian Electronic Army и Gaza Team используют только No-IP, у группы Turla в этом сервисе было 90% хостов.

2)      Мы подтверждаем, что среди всех крупных провайдеров динамических DNS No-IP был наиболее закрытым для сотрудничества. Они игнорировали наши обращения по поводу синкхола ботнетов.

3)      Наш анализ актуальной малвари показывает, что No-IP чаще всего используется кибер-негодяями для центров управления ботнетами. Поиск через агрегатор Virustotal красноречиво подтверждает этот факт – у 4,5млн (sic!) уникальных самплов вредоносов ноги растут именно оттуда.

4)      Но напоследок вот такая табличка из нашей облачной системы KSN о детектах кибератак с десяти крупнейших сервисов динамических DNS.
Название сервиса % вредоносных хостов

Количество срабатываний


антивируса (за неделю)


000webhost.com 89,47% 18163
changeip.com 39,47% 89742
dnsdynamic.org 37,04% 756
sitelutions.com 36,84% 199
no-ip.com 27,50% 29382
dtdns.com 17,65% 14
dyn.com 11,51% 2321
smartdots.com 0,00% 0
oray.com 0,00% 0
dnserver.com 0,00% 0

Вроде «ужос-ужос», но вот вам информация для сравнения:

(i) % вредоносных хостов по зоне .COM составляет 0,03%, а в зоне .RU 0,39%, в No-IP этот показатель составляет 27,5%;

(ii) за неделю вредоносные домены в No-IP нагенерили около 30 тыс. срабатываний, в то время как у одного самого вредоносного домена в зоне .COM этот показатель составил 429тыс (почти в 14 раз больше). А вот домен под номером 10 в зоне .RU нагенерил 146 тыс. срабатываний, т.е. примерно столько же, сколько вся десятка провайдеров динамических DNS вместе взятая.

Итого.

С одной стороны, блокировка популярного сервиса, которым пользуются тысячи (миллионы) обычных людей - сиё есть неправильно. С другой стороны, закрытие рассадника малвары есть дело правильное и богоугодное.

Но тут "адвокатом дьявола" начинает выступать математика, которая свидетельствует:  в количественном отношении, закрытие всех доменов No-IP не более эффективно для противодействия распространению малвары, чем закрытие одного-единственного топового вредоносного домена в одной из популярных зон – .COM, .NET или даже .RU. Проще говоря, даже если прикрыть вообще всех провайдеров динамических DNS, то Интернет от этого сильно чище не станет.

Вот такая вот неоднозначная история, и у меня нет чёткого понимания хорошо это или плохо. "Кроха сын к отцу пришел, и спросила кроха...".

Но "прицепом" вылезает попутная мысль вот о чём.

Как только количество контрафакта/криминала превышает какой-то порог, то "силовики" закрывают сервисы, несмотря на "интернет-свободу" и свободу предпринимательства. Это правило жизни, человеческого социума. Если "воняет", то рано или поздно "чистят".

Список заблокированных сервисов достаточно длинный: Napster, KaZaA, eMule, Pirate’s Bay и т.п. Сейчас No-IP.

Кто следующий?

// Неужели Биткоин? Начало положено.
Previous Entry Поделиться Next Entry
Что-то закрыть - много ума не надо (ну относительно). А вот над тем, что вылезет потом - надо ещё будет думать. Киберпреступность, как правило, на шаг впереди от тех, кто занимается ИБ (не про бумажную ИБ речь). Так что стоит ждать появления чего-то нового. Не думаю, что такая мелочь остановит преступников. Зато Майкрософт в глазах добропорядочных пострадавших однозначно падает.

Спасибо, очень интересно.

Заодно узнал, что случилось с моим домейном, я на DYN был клиентом. Не то что он мне жутко сильно нужен был, но кой какие неудобства дал, я на домашний сервер выходил, не запоминая ip. Потом пришлось запоминать.

Продление лицензии

ЛарисаКиргинцева

2014-07-18 13:27 (UTC)

Я уже несколько лет покупаю КИС 11-15 и мне не понятно почему всегда оставшиеся дни лицензии прибавляли к 365 дням новой лицензии,а в последний раз мне не включили оставшиеся 15 дней прошлогодней лицензии.Я допускаю,что ошиблась,но я не программист а врач.Почему ваши сотрудники, Евгений, в погоне за прибылью не видят людей с их проблемами и наказывают рублём за мелкие ошибки.Я приложила к письму скрины ключей, мне ответили только со второго письма и отказом вернуть мои законные 15 дней прошлогодней лицензии.Прошу вашего вмешательства.С уважением к вам Лариса Киргинцева Г Омск.

Визуализация кибератак в реальном времени

sergus21

2014-08-06 11:29 (UTC)


?

Log in

No account? Create an account