четверг, 18 октября 2007 г.

Мир против RBN: RBN наносит ответный удар!

После развязывания информационной травли анти - абьюзников РашнБусинессНетворкс со стороны газеты ВашингтонПост (http://www.washingtonpost.com/wp-dyn/content/article/2007/10/12/AR2007101202461.html?referrer=emailarticle) "честный питерский хостер" решил дать отпор.

Сначала интервью дал представитель RBN Тим Жарит (Tim Jaret):

http://www.wired.com/politics/security/news/2007/10/russian_network

Потом вышла статья в отечественной прессе:

http://spb.cnews.ru/news/top/index.shtml?2007/10/17/271004

Особенно понравилось вот такое мнение:

"Руководитель петербургского филиала хостинговой компании «Хостинг центр РБК» Анастасия Бауэр считает описанную выше бизнес-модель нелегального хостера нежизнеспособной."

Руководитель жжет =). Паразительная компетентность.

Будем следить за этой информационной битвой титанов. Тема обещает веселить немерянно.

9 комментариев:

Unknown комментирует...

Та самая статья в американской газете:

Shadowy Russian Firm Seen as Conduit for Cybercrime
By Brian Krebs
washingtonpost.com Staff Writer
Saturday, October 13, 2007; Page A15


An Internet business based in St. Petersburg has become a world hub for Web sites devoted to child pornography, spamming and identity theft, according to computer security experts. They say Russian authorities have provided little help in efforts to shut down the company.

The Russian Business Network sells Web site hosting to people engaged in criminal activity, the security experts say.
Groups operating through the company's computers are thought to be responsible for about half of last year's incidents of "phishing" -- ID-theft scams in which cybercrooks use e-mail to lure people into entering personal and financial data at fake commerce and banking sites.

One group of phishers, known as the Rock Group, used the company's network to steal about $150 million from bank accounts last year, according to a report by VeriSign of Mountain View, Calif., one of the world's largest Internet security firms.

In another recent report, the Cupertino, Calif.-based security firm Symantec said that the Russian Business Network is responsible for hosting Web sites that carry out a major portion of the world's cybercrime and profiteering.

The company "is literally a shelter for all illegal activities, be it child pornography, online scams, piracy or other illicit operations," Symantec analysts wrote in a report. "It is alleged that this organized cyber crime syndicate has strong links with the Russian criminal underground as well as the government, probably accomplished by bribing officials."

The Russian Business Network did not respond to requests for comment e-mailed to an address listed on its Internet address records. Other efforts to communicate with its organizers through third parties were not successful.

Law enforcement agencies say these kinds of Internet companies are able to thrive in countries where the rule of law is poorly established. "It is clear that organized cybercrime has taken root in countries that don't have response mechanisms, laws, infrastructure and investigative support set up to respond to the threat quickly," said Ronald K. Noble, secretary general of Interpol, an organization that facilitates transnational law enforcement cooperation. He declined to discuss the Russian Business Network specifically.

The company isn't a mainstream Internet service provider, as Comcast and Verizon are. Rather, it specializes in offering Web sites that will remain reachable on the Internet regardless of efforts to shut them down by law enforcement officials -- so-called bulletproof hosting.

Though there are thousands of Web sites that bear the Russian Business Network name on registration records, the company is unchartered and has no legal identity, computer security firms say.

The network has no official Web site of its own; those who want to buy its services must contact its operators via instant-messaging services or obscure, Russian-language online forums, said Don Jackson, a researcher at Atlanta-based SecureWorks.

Potential customers also must prove that they are not law enforcement investigators pretending to be criminals, Jackson said. Most often, he said, this "proof" takes the form of demonstrating active involvement in the theft of consumers' financial and personal data.

According to VeriSign, a cyber-criminal who clears these hurdles can rent a dedicated Web site from the Russian Business Network for about $600 a month, or roughly 10 times the monthly fee for a regular dedicated Web site at most legitimate Internet companies.

According to several private-sector security experts, U.S. federal law enforcement agencies have tried unsuccessfully to gain the cooperation of Russian officials in arresting the individuals behind the company and shutting it down.

Officials at Russia's Interior Ministry said last week that they could not discuss the network.

But Alexander Gostev, an analyst with Kaspersky Lab, a Russian antivirus and computer security firm, said the Russian Business Network has structured itself in ways that make prosecution difficult.

"They make money on the services they provide," he said -- the illegal activities are all carried out by groups that buy hosting services. "That's the main problem, because RBN, in fact, does not violate the law. From a legal point of view, they are clean."

In addition, Gostev said, criminals using the Russian Business Network tend to target non-Russian companies and consumers rather than Russians, who might contact local authorities. "In order to start an investigation, there should be a complaint from a victim. If your computer was infected, you should go to the police and write a complaint and then they can launch an investigation," Gostev said. Now, he added, his company and the police both have information, but no victim has filed a complaint.

Thomas V. Fuentes, the FBI's assistant director of international operations, declined to answer questions about the Russian Business Network but said the United States has had great success with other countries in investigating cybercrime.

Fuentes added that his agency's requests for law enforcement assistance from foreign governments sometimes conflict with domestic intelligence investigations that may be underway.

"There are times when it appears that action is not happening when in fact the other country is conducting a very sensitive investigation, and we have to take it on the chin," he said. "But that works both ways. That happens with us for requests we sometimes receive where we'd rather not go public with certain information at the time of the request."

Without a diplomatic or legal solution to the Russian Business Network, some Internet service providers have begun walling off their customers from the company.

One security administrator, speaking on condition of anonymity, said that within a few months of blocking the Russian company, his employer found it was saving significant amounts of money by spending less time helping customers clean viruses originating from the Russian Business Network off computers or taking down online scam sites or spam-spewing PCs. "Our instances of spam and infected machines dropped exponentially," he said.

Danny McPherson, chief research officer at Arbor Networks, a Lexington, Mass.-based company that provides network security services to some of the world's largest Internet providers, said most providers shy away from blocking whole networks. Instead, they choose to temporarily block specific problem sites.

"Who decides what the acceptable threshold is for stopping connectivity to an entire network? Also, if you're an AT&T or Verizon and you block access to a sizable portion of the Internet, it's very likely that some consumer rights advocacy group is going to come after you."

The unusually clear-cut case of Russian Business Network, McPherson said, has generated debate between the service providers and the security research community. Many researchers see blocking purely illegal networks as a no-brainer. But blocking problematic networks typically means they merely go to a new place on the Internet, McPherson said.

"At the end of the day," he said, "it only moves the problem somewhere else, when what we really need is for political and regulatory law enforcement to step in."

Growing numbers of security specialists for several U.S. Internet providers and telecommunications companies say they are done waiting for the cavalry to arrive. "There is never going to be an easy and painless way to combat this problem, mainly because it's been ignored for far too long and been allowed to fester," said the security administrator who did not want to be identified.

Unknown комментирует...

Тим жарит правду матку:

Russian Hosting Firm Denies Criminal Ties, Says It May Sue Blacklister
By Ryan Singel 10.15.07 | 7:30 PM
Speaking to the Western press for the first time, a Russia-based web-hosting firm pilloried by security companies as a free zone for online crime insists that it's really just misunderstood.
"We can't understand on which basis these organizations have such an opinion about our company," Tim Jaret of the Russian Business Network says in an e-mail interview. "We can say that this is subjective opinion based on these organizations' guesswork." Jaret's e-mail signature identifies him as working in RBN's abuse department.
Security researchers and anti-spam groups say the St. Petersburg-based RBN caters to the worst of the internet's scammers, renting them servers used for phishing and malware attacks, all the while enjoying the protection of Russian government officials. A report by VeriSign called the business "entirely illegal."
"They just figured out that in Russia no one will prosecute them, or if they do, they can pay them off," says Johannes Ullrich, chief technology officer of the SANS Internet Storm Center. Ullrich says RBN maintains a veneer of legitimacy by paying lip service to abuse complaints, but nothing more.
"What typically happens is a phishing site sets up with RBN, and when someone complains enough, RBN will take it down. But it will be back up the next day," Ullrich told Wired News. "There is lots of pseudo-compliance."
RBN allegedly rents dedicated servers to online criminals for $600 per month, promising "bullet-proof hosting." That term means sites won't be taken down when complaints are made, according to an analyst for iDefense, VeriSign's cybersecurity reporting arm, who spoke on condition of anonymity.
RBN offers customer support, has partners and subsidiaries, and sells various tiers of service. "If I were engaged in cybercrime, I would totally use them," says the analyst.
But Jaret, in what appears to be RBN's first press interview since the firm was founded in June 2006, claims the organization has made efforts to respond to complaints of wrongdoing on its network.
"We tried to cooperate with one of such organizations called Spamhaus, and this experience showed that such cooperation wasn't constructive."
Spamhaus, an antispam operation, includes the entire 2,048 internet addresses controlled by RBN on its widely used blacklist of known spammers. It lists the network as "among the world's worst spammer, child-pornography, malware, phishing and cybercrime-hosting networks" -- a description that displeases the RBN.
"Now we are considering a lawsuit as a way of resolving this issue," Jaret says of Spamhaus.
Spamhaus did not immediately respond to a request for comment.
But some of the internet's most respected researchers and security companies agree with Spamhaus, listing RBN as a key and blatant player in the increasingly professional world of online crime.
iDefense's clients have all configured their networks to block traffic from the IP addresses assigned to RBN. But since some of RBN's business partners have legitimate businesses, it's tough for large ISPs to block the unwanted traffic without collateral damage. "RBN is such a filthy network that touches the entire world, but we can't stop connecting," says Gadi Evron, a botnet expert and former director of Israel's Computer Emergency Response Team. "Who says who can connect to whom? Is that decision mine to make for the entire world?"
Despite the consensus of the security community, and recent press reports from The Economist and The Washington Post, RBN denies that it's a web shop for criminals. RBN doesn't have any more criminal activity on its network than any other provider, and it responds to abuse reports submitted via e-mail and a telephone hotline, says Jaret. He claims the organization closes criminals' sites down within 24 hours of notification.
Jaret also says there's no mystery about the company's ownership. According to Jaret, an offshore company called First Connect Telecom Limited Inc. owns RBN, though the company's principals remain anonymous. The registration information for the company's website lists a company called Absolutee Corp. LTD as the owner of the domain name.
After security companies began scrutinizing RBN, the company took down its website and changed its registration information. The iDefense analyst says RBN doesn't need a website, because it gets its business through word of mouth in the underworld, and from dodgy crime-oriented web forums. RBN says it gets its customers through resellers, and that a new website is under development.
Wired News asked RBN to provide the URLs for some legitimate customers, and Jaret says he couldn't oblige -- for legal reasons.
"Our customers are regional providers, legal entities and physical persons," Jaret says.
"We won't give you their names and brands as our contracts prohibit us to do this. We can give such information only in reply to formal request of officials."

Unknown комментирует...

Ну и отечестыенные акулы коммерческого пера:

Американцы выдумали питерского порно-хостера

CNews-СПб

Газета Washington Post опубликовала статью с обвинениями петербургской хостинговой компании Russian Business Network в предоставлении хостинга сайтам с детской порнографией, пиратским контентом и прочим нелегальным содержимым. Ни одному из опрошенных CNews экспертов и участников питерского рынка такая компания не известна.

Нашумевшая статья в Washington Post базируется на отчете компании Verisign, которая занимается поддержкой доменных зон .com и .net, а также вопросами сетевой безопасности. Согласно этому отчету, некая петербургская компания Russian Business Network предоставляет услуги хостинга противоправным сайтам (детская порнография, спам, пиратство, фишинг, кардерство и пр.), гарантируя защиту от блокирования и правоохранительных органов.
В статье говорится, что сама RBN сайта не имеет, а связаться с администрацией этого хостинга возможно только на специальных форумах или по интернет-пейджеру, при этом потенциальному клиенту нужно доказать, что он не является сотрудником правоохранительных органов. Попытки CNews найти название компании RBN в интернете показали, что все ее упоминания связаны либо с отчетом Verisign, либо с его цитированием в СМИ и блогах.

Руководитель петербургского филиала хостинговой компании «Хостинг центр РБК» Анастасия Бауэр считает описанную выше бизнес-модель нелегального хостера нежизнеспособной. «Зачем "нехорошим" клиентам получать такие сложности и связываться с подобным хостером? На мой взгляд, размещать противозаконные материалы намного удобнее, создав ресурс на собственной площадке, чем связываться с кем-то через форум или ICQ».

По сообщению Washington Post, многие провайдеры начали отключать своих пользователей от порталов, размещенных на серверах компании RBN. При этом названия этих многих остались загадкой, равно как и принадлежащие RBN IP-адреса.


Для просмотра изображения кликните по этой ссылке.


Ни одному из знатоков питерского интернет-рынка прославленный на страницах Washington Post хостер RBN не знаком
Андрей Кузнецов, технический директор провайдера «Элтел», рассказал CNews, что его компания никаких IP-адресов RBN не блокировала, так как они просто-напросто ей неизвестны. Он также обратил внимание, что основными клиентами такого нелегального хостинга, скорее всего, были бы иностранцы, а в этом случае петербургской хостинг-компании весьма проблематично установить их принадлежность к правоохранительным органам.
В качестве одной из причин существования RBN в статье Washington Post приводится мнение, что без обращения потерпевших сайты закрыть невозможно, а таковых обращений пока не было. Андрей Кузнецов выразил сомнение в том, что если такая сеть реально существует, то она долго бы продержалась. «Отдел «К» быстро прикрывает сайты с детской порнографией, если узнает о них, и тут не требуется никаких обращений потерпевших. Более того, если о таких сайтах узнают телеком-провайдеры, они и сами блокируют к ним доступ», — заявил он.

Денис Зенкин, директор по маркетингу компании InfoWatch, занимающейся информационной безопасностью, отметил: «Ознакомившись с десятками материалов о RBN, в том числе статьями в Washington Post и The Economist, я не получил ни единого веского доказательства о существовании этой компании или группы лиц. А тем более - об их принадлежности к России и обоснованности обвинений российской стороны в бездействии и потворстве международной киберпреступности». По мнению Зенкина, RBN вполне может оказаться плодом фантазии западных средств массовой информации, «помешанных на "чернухе" от восточного соседа».

С Денисом Зенкиным согласны в хостинг-провайдере Majordomo: «Ни для кого не секрет, что американцы славятся умением раздуть проблему из ничего. Может быть, из-за океана и виднее, но претензии, высказанные в такой категоричной форме и таким тоном, являются серьезным обвинением. Обидно, если они не подкреплены серьезными доказательствами и являются голословными». Генеральный директор аналитического агентства «Рустелеком» Юрий Брюквин полагает, что появление подобного материала в СМИ может быть инициировано «фирмой, занимающейся кибербезопасностью»: «Фирма занялась "выпусканием пиара", чтобы умаслить пострадавшего от интернет-преступников клиента. Повлиять на ситуацию кибердетективы не смогли, вот и решили нагнать страху на заказчика, чтобы он продлил контракт», — считает г-н Брюквин.

Интересно, что в Сети уже появились цитаты из e-mail-интервью с человеком с аутентично петербургским именем Tim Jaret. Его называют представителем RBN, и он отрицает выдвинутые против его компании обвинения, однако, никаких доказательств подлинности этого интервью также нет.

Журнал The Economist пишет, что «глава RBN скрывается под никнеймом "Flyman"; предполагается, что его дядя — один из высокопоставленных санкт-петербургских чиновников». Вкупе с вышеизложенной информацией можно предположить, что информационная волна о RBN — очередная вариация вечного мифа о «русской угрозе».

Unknown комментирует...

Ну и отечестыенные акулы коммерческого пера:

Американцы выдумали питерского порно-хостера

CNews-СПб

Газета Washington Post опубликовала статью с обвинениями петербургской хостинговой компании Russian Business Network в предоставлении хостинга сайтам с детской порнографией, пиратским контентом и прочим нелегальным содержимым. Ни одному из опрошенных CNews экспертов и участников питерского рынка такая компания не известна.

Нашумевшая статья в Washington Post базируется на отчете компании Verisign, которая занимается поддержкой доменных зон .com и .net, а также вопросами сетевой безопасности. Согласно этому отчету, некая петербургская компания Russian Business Network предоставляет услуги хостинга противоправным сайтам (детская порнография, спам, пиратство, фишинг, кардерство и пр.), гарантируя защиту от блокирования и правоохранительных органов.
В статье говорится, что сама RBN сайта не имеет, а связаться с администрацией этого хостинга возможно только на специальных форумах или по интернет-пейджеру, при этом потенциальному клиенту нужно доказать, что он не является сотрудником правоохранительных органов. Попытки CNews найти название компании RBN в интернете показали, что все ее упоминания связаны либо с отчетом Verisign, либо с его цитированием в СМИ и блогах.

Руководитель петербургского филиала хостинговой компании «Хостинг центр РБК» Анастасия Бауэр считает описанную выше бизнес-модель нелегального хостера нежизнеспособной. «Зачем "нехорошим" клиентам получать такие сложности и связываться с подобным хостером? На мой взгляд, размещать противозаконные материалы намного удобнее, создав ресурс на собственной площадке, чем связываться с кем-то через форум или ICQ».

По сообщению Washington Post, многие провайдеры начали отключать своих пользователей от порталов, размещенных на серверах компании RBN. При этом названия этих многих остались загадкой, равно как и принадлежащие RBN IP-адреса.


Для просмотра изображения кликните по этой ссылке.


Ни одному из знатоков питерского интернет-рынка прославленный на страницах Washington Post хостер RBN не знаком
Андрей Кузнецов, технический директор провайдера «Элтел», рассказал CNews, что его компания никаких IP-адресов RBN не блокировала, так как они просто-напросто ей неизвестны. Он также обратил внимание, что основными клиентами такого нелегального хостинга, скорее всего, были бы иностранцы, а в этом случае петербургской хостинг-компании весьма проблематично установить их принадлежность к правоохранительным органам.
В качестве одной из причин существования RBN в статье Washington Post приводится мнение, что без обращения потерпевших сайты закрыть невозможно, а таковых обращений пока не было. Андрей Кузнецов выразил сомнение в том, что если такая сеть реально существует, то она долго бы продержалась. «Отдел «К» быстро прикрывает сайты с детской порнографией, если узнает о них, и тут не требуется никаких обращений потерпевших. Более того, если о таких сайтах узнают телеком-провайдеры, они и сами блокируют к ним доступ», — заявил он.

Денис Зенкин, директор по маркетингу компании InfoWatch, занимающейся информационной безопасностью, отметил: «Ознакомившись с десятками материалов о RBN, в том числе статьями в Washington Post и The Economist, я не получил ни единого веского доказательства о существовании этой компании или группы лиц. А тем более - об их принадлежности к России и обоснованности обвинений российской стороны в бездействии и потворстве международной киберпреступности». По мнению Зенкина, RBN вполне может оказаться плодом фантазии западных средств массовой информации, «помешанных на "чернухе" от восточного соседа».

С Денисом Зенкиным согласны в хостинг-провайдере Majordomo: «Ни для кого не секрет, что американцы славятся умением раздуть проблему из ничего. Может быть, из-за океана и виднее, но претензии, высказанные в такой категоричной форме и таким тоном, являются серьезным обвинением. Обидно, если они не подкреплены серьезными доказательствами и являются голословными». Генеральный директор аналитического агентства «Рустелеком» Юрий Брюквин полагает, что появление подобного материала в СМИ может быть инициировано «фирмой, занимающейся кибербезопасностью»: «Фирма занялась "выпусканием пиара", чтобы умаслить пострадавшего от интернет-преступников клиента. Повлиять на ситуацию кибердетективы не смогли, вот и решили нагнать страху на заказчика, чтобы он продлил контракт», — считает г-н Брюквин.

Интересно, что в Сети уже появились цитаты из e-mail-интервью с человеком с аутентично петербургским именем Tim Jaret. Его называют представителем RBN, и он отрицает выдвинутые против его компании обвинения, однако, никаких доказательств подлинности этого интервью также нет.

Журнал The Economist пишет, что «глава RBN скрывается под никнеймом "Flyman"; предполагается, что его дядя — один из высокопоставленных санкт-петербургских чиновников». Вкупе с вышеизложенной информацией можно предположить, что информационная волна о RBN — очередная вариация вечного мифа о «русской угрозе».

Анонимный комментирует...

Вебпланета тоже веселится на тему RBN:
http://www.webplanet.ru/knowhow/security/designer/2007/10/22/rbn.html

Unknown комментирует...

Веб Планета закидала какашками всех участников инфоресталища.... Ну в принципе не так резко, но во многом верно... Привет Щерсу....

Опубликовано: Вебпланета (http://webplanet.ru)
Неуловимый RBN, или Дыра в дипломатии

Автор Лиля Брин
Создано 22/10/2007 - 03:14
Американская сказка

В середине октября газета Washington Post [1] поведала миру о загадочном русском хостинг-провайдере Russian Business Network, который является самым популярным прибежищем для фишеров, спамеров, детских порнографов и всех остальных сетевых негодяев. RBN предоставляет им "пуленепробиваемый", то есть очень хорошо защищенный хостинг за 600 долларов в месяц.

Еще раньше, в августе-сентябре, по теме отбомбились The Economist [2] и ZDNet [3]. Все СМИ ссылались на отчеты VeriSign и исследования Spamhaus (второе интересней [4]). Утверждалось, что данный хостинг для преступников находится в Петербурге, и даже под "крышей" российских чиновников. Однако никаких реальных имен и адресов не названо. Что неудивительно: RBN контактирует с клиентами только виртуальным путем, через почту и чаты.

На прошлой неделе журнал Wired рапортовал [5], что смог связаться с представителем этого "питерского" хостинга именно таким путем. Представитель с типичным русским именем "Тим Джарет" ответил журналу по емейлу - и отмел все обвинения.

Русская отмазка

Спустя пару дней издание Cnews (которое мы любим раз в месяц [6]) опубликовало "разоблачительную" статью [7]. В ней руководители различных российских интернет-компаний называли питерский хостинг RBN выдумкой. Аргументы чертовски веселы. Берем "Клубничную Маргариту" и читаем.

Андрей Кузнецов, техдиректор провайдера "Элтел", доказывает несуществование RBN через существование российской милиции:

"Отдел «К» быстро прикрывает сайты с детской порнографией, если узнает о них, и тут не требуется никаких обращений потерпевших. Более того, если о таких сайтах узнают телеком-провайдеры, они и сами блокируют к ним доступ".

Неплохо отжигает и глава питерского филиала хостинг-центра РБК Анастасия Бауэр. Она считает "нежизнеспособной" бизнес-модель виртуального сервиса RBN:

"Зачем "нехорошим" клиентам получать такие сложности и связываться с подобным хостером? На мой взгляд, размещать противозаконные материалы намного удобнее, создав ресурс на собственной площадке, чем связываться с кем-то через форум или ICQ".

Ну и самое прекрасное:

"Попытки CNews найти название компании RBN в Интернете показали, что все ее упоминания связаны либо с отчетом Verisign, либо с его цитированием в СМИ и блогах".

Еще более категоричную новость о несуществании RBN [8] опубликовало издание Utro.ru. Тоже, мол, нету такого хостинга.

Похоже, у журналистов РБК проблемы с поисковым ликбезом. Моя первая же попытка найти RBN привела к истории про это самое Utro.ru, где летом на главной странице сидел вирус из той самой RBN [9]. Подобные трояны, крадущие пароли, распространял летом даже главный сайт РБК [10]. Здрасте, Настя.

Транспортная развязка

Если вы не нашли черную кошку в темной комнате - это не значит, что ее там нет. Давайте пока отложим версию о "вашингтонской выдумке" и для разнообразия представим, как должен быть устроен "пуленепробиваемый" хостинг. А он должен быть устроен именно так, как в этой истории - чтобы его как бы не было. Ну или хотя бы так: его не должны видеть определенные группы людей. Именно те, кто выше и отбомбился в новостях.

Нет, я не буду нудеть о хитростях трассировки [11]. А лучше возьму вторую "Клубничную Маргариту" - и еще новости поцитирую. Вот французские полицейские на встрече с русскими обвиняют Россию в "одностороннем фишинге [12]". Дескать, фишеры сидят у вас, а деньги крадут у наших. Странно вообще, что они сообщили об этом нашей милиции. Могли бы прямо к фишерам обратиться, как Анастасия Бауэр. Дескать, ребята, крадите деньги, не отходя от кассы! Россия для россиян! Так будет гораздо удобнее... вас ловить.

Увы, фишерам удобнее международная схема. Если наших не трогать, то у наших органов и претензий не будет. А если иностранца обчистят, он жалуется только своим ментам. Те говорят: извините, русская мафия из Питера. И все, концы в воду.

Но насчет "улицы с одностронним движением" - это явный миф. Даже обналичить украденные электробабки, сидя в одной только России, очень непросто. А самому ехать за рубеж - загребают тут же [13]. Поэтому умные имеют зарубежных посредников. Так что "улица" все-таки "двусторонняя".

Не то же ли самое с хостингом? В конце концов, ихняя полиция может стукнуть нашей. Те пойдут прямиком к хостеру. Уже ходят. Значит, не надо в Питере сервера ставить. Достаточно устроить там лишь виртуальный сервис, своего рода "первалочную базу". Одно из звеньев цепочки. А сервера можно и в Англии держать.

Анастасия считает эту схему "нежизнеспособной"? Ну, мы поняли: если она потеряет работу в РБК, фишеры вряд ли возьмут ее в консультанты. А сами будут продолжать игры с переадресацией. Цепочка опять уходит из России, никто не знает хостинга RBN. Значит, нашей милиции опять делать нечего. Но даже если она и озаботится - сколько времени идут эти официальные обращения из страны в страну? А переадресация дело минутное, автоматизированное.

Впрочем, если эта очевидная логика все еще кажется неочевидной - вот что рассказал "Вебпланете" про RBN один российский специалист по хостингу:

"Возможно, их основная людская база - в Питере. Но и только. Ресурсы, судя по всему, все заграничные. Соответственно, отсюда и проблемы. То есть "русская мафия" или "покрытие" не при чём. Просто получилось, что люди, решившие так заработать деньги и оказавшиеся удачными в этом деле, оказались питерцами. И проблема не в том, что "покрывают" их. А в том, что мы разосрались с соседями и нихрена горизонтальных связей нет. Была давно-давно атака на Мастерхост и Петехост - так тоже, всех нашли, а сделать ничего не можем. Разбойник - резидент Эстонии. Причём все всё понимают - и тут внизу спецслужбы, и там внизу спецслужбы. Но поскольку должно быть согласование на дипломатических уровнях - увы".

Видите - бывают разбойники даже в такой прекрасной стране, как Эстония, которая полгода кричит об "атаках из Кремля [14]" и обещает "Нашим" арест в любой стране Европы [15]. Но своих тоже не спешит выдавать.

Вот так оно и тянется. Специалисты по безопасности изучают липовые регистрационные записи. Руководители компаний открещиваюся от существования схем, которые не укладываются в их собственный бизнес-план. Провайдеры ждут сигнала от Управления "К". Управление ждет наводок от Интерпола. А Интерпол "осваивает "Фотошоп" [16]. Натуральная сказка о Репке.

А Репка тем временем растет. Оффшорная Силандия, мечтающая предоставлять свободный от цензуры хостинг, нашла русских инвесторов [17] для запуска собственного спутника. Прям хочется пропеть "Мы верим в мужество отчаянных парней!" Хотя справедивости ради стоит заметить: "независимое государство Силандия" - это такая большая железяка, которая точит из моря у берегов Великобритании, а вовсе не в Финском заливе. Отчаянные парни давно являются международной сетью, а не просто "русской мафией".

Тем, кто хочет вытянуть эту Репку, стоило бы попробовать аналогичный рецепт. Подробнее здесь [18] (читать до конца!).

Источник
http://webplanet.ru/knowhow/security/designer/2007/10/22/rbn.html

Анонимный комментирует...

to Urs:

доброго времени суток.

не подскажите компании занимающиееся
аудитом безопасности корпоративных веб-сайтов ?

Unknown комментирует...

cybervisor.org

Unknown комментирует...

Еще статья, попытка серьезного анализа:

http://www.m3m.ru/articles/2007/9/18/4526.html

Русский след

Олег Никульшин, Алексей Савельев
Вторник 18 сентября 2007 г., 09:30 мск
Постоянный адрес материала: http://www.m3m.ru/articles/2007/9/18/4526.html

Добропорядочных граждан пугают русскими хакерами

В конце августа – начале сентября во многих средствах массовой информации по всему миру появились сообщения о новых проделках русских хакеров. Поводов оказалось два, и случились они по странному совпадению практически одновременно.

Сначала уважаемый британский журнал The Economist опубликовал статью A walk on the dark side , в которой рассказал о существовании в России подпольной компьютерной сети под названием Russian Business Network . О самой сети, по словам журнала, нет никакой информации, она не принадлежит какой-либо официально зарегистрированной организации, о людях, причастных к ее созданию, ничего не известно, кроме их никнеймов в сети интернет. При этом сеть RBN широко используется во всем мире для незаконной деятельности в сети интернет: от взлома сайтов, рассылки вирусов до распространения детской порнографии.

Через несколько дней после публикации статьи на сайте Economist.com появилась информация, что Russian Business Network оказалась причастна к взлому интернет-сайта Bank of India . В результате взлома злоумышленники разместили на сайте вредоносный скрипт, который незаметно для посетителей заражал их компьютеры вирусами. Чуть позже, когда специалисты по компьютерной безопасности исследовали код, обнаруженный на сайте, выяснилось, что после попадания на страницы взломанного сайта пользователь перенаправлялся на сервер хакеров, через который на компьютер пользователя загружались коды программ-троянов (по данным ZDnet – в количестве 22 штук, а по данным российского cnews.ru – 31). Каждая программа, которая загружалась на компьютер пользователя, выполняла свою функцию: некоторые открывали доступ для использования компьютера извне, например, для рассылки спама или участвовали в атаках на интернет-серверы, также было обнаружено несколько кодов, которые занимались сбором паролей, использовавшихся на данном зараженном компьютере.

Казалось бы, оба события интересны, скорее всего, специалистам в области компьютерной безопасности, и для рядового человека никаких последствий не несут. Но это только на первый взгляд. Что касается взлома сайта банка, и размещения на нем кода, который заражает компьютеры вирусами, то такое событие имеет, в общем-то, вполне реальные последствия для все тех, кто заходил на такой сайт. То, что в данном случае инцидент произошел с индийским банком, не означает, что нечто похожее не может случиться с сайтами российских, либо каких-либо других банков, которые вы имеете привычку время от времени посещать. Среди вирусов, которые загружались в компьютеры посетителей Bank of India , были и программы, предназначенные для сканирования содержимого компьютера на предмет хранящихся там паролей и логинов, следовательно, к организаторам этой акции могли попасть и регистрационные данные, например, в системах интернет-банкинга или электронных кошельках.

Кроме того, сейчас существуют вирусы, которые могут отслеживать текст, набираемый пользователем зараженного компьютера на клавиатуре, получая таким образом номера банковских карт, которые вводятся в интернет-магазинах.

Но кроме этого прикладного аспекта, есть и еще один, из-за которого стоит разобраться в шумихе вокруг русских хакеров вообще и RBN , в частности. В последние годы русские хакеры стали примерно тем же пугалом для всего остального мира, как, в свое время пресловутая «русская мафия». Раньше Россия ассоциировалась со здоровяками, вооруженными бейсбольными битами и с автоматами наперевес. Сейчас мировые СМИ пытаются заменить образ быковатых бандитов тщедушными гениями, которые из Санкт-Петербурга или Томска гораздо эффективнее потрошат кошельки добропорядочных жителей всех остальных стран, не покидая даже собственной квартиры. Нужно ли говорить, что ни тот ни другой образ не способствует благоприятному отношению к России и ее жителям за рубежом.

О том, насколько реальна угроза со стороны русских хакеров, достоверных данных нет. В большом количестве публикаций на этот счет вымысел причудливо переплетается с реальностью, и отделить одно от другого практически невозможно. Поэтому попробуем разобраться в конкретной ситуацией, связанной с деятельностью Russian Business Network – уж слишком много о ней в последнее время писалось в разных странах.

Сообщения о существовании некоей подпольной компьютерной сети под названием Russian Business Network ( RBN ) и физически располагается в России, стали появляться примерно год назад. Чаще всего, такие сообщения появлялись в контексте распространения вирусов. За комментарием на эту тему мы обратились в компанию, специалисты которой знают о вирусах и их распространении, наверное, больше всего в нашей стране – в «Лабораторию Касперского». «Действительно, изучая работу ряда вредоносных программ , мы обнаружили, что управление зараженными компьютерами производилось с серверов, IP -адреса которых относятся к сети так называемой Russian Business Network , - рассказал нам старший вирусный аналитик «Лаборатории Касперского» Виталий Камлюк. – Кроме того, с адресов, закрепленных за RBN , осуществлялись и атаки на ряд интернет-серверов».

Существование вредоносной сети очень часто обсуждалось на специализированных форумах, чаще всего, в связи с жалобами на то, что его компьютер подвергся атаке, которая велась с IP , закрепленных за RBN . Но основанное внимание к RBN было привлечено благодаря ряду сообщений компании VerySign , специализирующейся на вопросах сетевой безопасности. VerySign даже выпустила специальный отчет, посвященный RBN , в котором попыталась описать суть ее деятельности, взаимосвязи этой организации с рядом интернет-провайдеров в России и за рубежом. Согласно этого отчета, сеть RBN замешана в распространении детской порнографии, организации фишинговых сайтов, распределенных атак на разные серверы, рассылке вирусов, спама, управлении зараженных компьютеров. В общем, трудно придумать вид преступной деятельности, в которой бы не была замешана RBN . При этом сами организаторы в основном занимаются предоставлением услуг «пуленепробиваемого» хостинга (таким эпитетом наградили его в VerySign ) для тех, кто собирался распространять вирусы, организовывать атаки, воровать пароли у пользователей интернет-банкинга и распространять порнографию. В достаточно упрощенном виде суть такой деятельности заключается в следующем. Если какой-нибудь асоциальный элемент начнет заниматься подобно рода деятельностью со своего домашнего или офисного компьютера, то спецслужбам достаточно просто определить физическое положение такого компьютера, после чего прийти за его владельцем и самим компьютером в качестве вещдока. Любой интернет-провайдер сдаст такого неудобного клиента по первому же требованию властей. Бизнес RBN , по данным VerySign , строится и состоит именно в предоставлении желающим возможностей осуществления всего вышеперечисленного с гарантией отсутствия последствий со стороны правоохранительных органов. Путем несложных умозаключений в VerySign пришли к выводу, что такое возможно благодаря тотальной коррупции в России и связей владельцев сети RBN с высокопоставленными чиновниками и политиками в России. The Economist даже дает более четкие данные на этот счет. По информации журнала человек, управляющий сетью RBN , о котором известно только, что он скрывается под псевдонимом «flyman», является родственником одной из главных политических фигур в Санкт-Петербурге.

Судить о том, насколько такая информация соответствует реальности сложно. Многие атаки, управление вирусами действительно происходят с компьютеров, которые расположены по адресам, предоставленным организации Russian Business Network . Причем, русский след в таких действиях прослеживается. «Анализируя деятельность вредоносных программ, связанных с данной сетью, мы обнаружили, что основная деятельность RBN сосредоточена в России – именно внутри страны находятся значительная часть компьютеров зомби-сетей. Кроме того, у нас в распоряжении есть фрагменты скриптов, в которых видны комментарии на русском языке», - говорит Виталий Камлюк. С другой стороны, в настоящее время, в регистре IP -адресов в качестве места расположения RBN значится Панама, а блок адресного пространства, частью которого являются адреса, выданные RBN закреплен за компанией Too Coin , зарегистрированной в Великобритании.

По данным «Лаборатории Касперского», за сетью числится около 2000 IP -адресов, из которых от четверти до половины занято уже работающими и доступными из Интернета веб-серверами.

В общем, факты, позволяющие убедиться в существовании некоей сети, через которую ведется незаконная деятельность в сети интернет, есть. Остается только гадать, почему, если такая сеть существует запад сам не предпринимает попыток каким-то образом разобраться с RBN . По мнению, аналитика компании RU-CENTER, оказывающей помощь в получении IP -адресов и занимающейся регистрацией доменов, Павла Храмцова, для пресечения подобной деятельности и за пределами России достаточно средств. «Дело в том, - поясняет Храмцов, - что скажем, американские провайдеры могут просто блокировать диапазон IP -адресов, которые предоставлены RBN . Или, например, эти адреса могут быть заблокированы после направления соответствующего предписания компании Too Coin , в которой в качестве клиента RBN получила свои адреса. Too Coin находится в английской юрисдикции, подчиняется английским законам, и обращаться к российским властям нет никакой необходимости». Но почему-то такие действия не производятся. Видимо, пугающие истории о страшной хакерской угрозе со стороны России все-таки выгодны.

Что же касается прикладных вопросов финансовой компьютерной безопасности, то, читайте об этом вскоре на m3m.ru , а пока, как минимум, обновите свой антивирус, прочитайте и выполните все рекомендации по безопасности электронных платежных систем, которые вы используете.