themes theme

Artiklid alates ‘Rämpspost’ rubriigist

Spämm = 2,1 miljoni majapidamise elektritarve

15. aprill 2009

McAfee turvaspetsialistide hinnangul moodustab spämm 80% kogu maailma meililiiklusest. Selle tarbetu bitihulga töötlemiseks kulub 33 miljardit kilovatt-tundi elektrienergiat, mis vastab 2,1 miljoni keskmise Ameerika majapidamise aastasele elektritarbimisele. Kogu spämmi töötlemisel eraldus sama palju kasvuhoonegaase kui 3,1 miljoni auto väljalasketorust.

Teine andmeturbefirma, Symantec, väidab oma viimases raportis, et spämmi koguhulk kasvas möödunud aastal 192% – 119,6 miljardilt sõnumilt 2007. aastal 349,6 miljardile rämpssõnumile 2008. aastal. 90% spämmist saatsid välja botnetid.

Kübergängide mustal turul maksavad varastatud krediitkaardiandmed Eesti rahas 70 senti tükk, varastatud täielikud isikuandmed aga veidi vähem kui 9 krooni.

Allikas: The Guardian

Spämmivabalt uude aastasse!

28. detsember 2008

spam

Rämpsposti kiire kasv sai alguse üheksakümnendate keskel, mil Internet muutus tavakasutajatele oluliselt kättesaadavamaks. Tänapäeval moodustab rämpspost 80-85, mõnede hinnangul isegi rohkem kui 90 protsenti kogu maailma kirjavahetusest.

Rämpsposti laviini alla sattumiseks ei ole enamasti vaja midagi rohkemat, kui mõnda veebilehte külastada või oma mailiaadress valede inimeste kätte usaldada. Paraku ei ole alati võimalik sellistest situatsioonidest hoiduda ja pärast ei jää midagi muud üle kui hakata soovimatuid kirju kustutama. Seekord räägimegi, kuidas seda kustutamist automatiseerida nii, et sajast rämpskirjast ei jõuaks kasutajani enam kui paar.

» Loe edasi: Spämmivabalt uude aastasse!

McColo-Srizbi spämmiva botneti tagasitulek

27. november 2008

Ülisuur McColo spämmibotnet, mille arvele langes parimatel hetkedel 50-75% ülemaailmsest spämmihulgast ja mis suleti juba kaks nädalat tagasi, tõusis üleeile varjusurmast.

FireEye Inc andmetel võtsid pahavaraga (Srizbi Trojan: Troj/RKAgen-A, Srizbi Rootkit:W32/Agent.EA jt) nakatunud arvutid ühendust Eestis asuvate Srizbi botneti kontrollserveritega, et teha nakatatud Windowsi-põhistes arvutites pahavaralisi versiooniuuendusi. Pahavara versiooniuuendus oli nakatatud arvutites eluliselt tähtis just sellepärast, et Srizbi botneti uued omanikud saaksid üle võtta “surnud” McColo-Srizbi botneti kontrollserverite tsentraalhalduse.

Huvitav ja (ebameeldivalt) üllatav on antud juhtumi puhul see, et paarisaja Srizbi botneti uute domeeninimede hulgas olid ka Eestis asuvate kontrollserverite IP aadressid.

Millised olid Eestis asuvate Srizbi botneti kontrollserverite IP aadressid ja domeeninimed?
FireEye Inc. andmetel olid need järgmised:

Domeeni nimi: prpoqpsy.com
IP aadress: 92.62.100.4

Domeeni nimi: gffsfpey.com
IP aadress: 92.62.100.9

Domeeni nimi: oryitugf.com
IP aadress: 92.62.100.12

Domeeni nimi: ypouaypu.com
IP aadress: 92.62.100.13

Tänu Eesti asjaomaste institutsioonide operatiivsele tegutsemisele pole antud hetkel need IP aadressid enam Internetis pingitavad ega anna nimelahendusi.

Tasub märkida, et kõik ülalmainitud domeeninimed on registreeritud kellegi kodanik Ulugbek Asatopov`i nimele, kelle kontaktiks on  Türgis Ankaras asuv aadress ja e-postiks mail.ru konto. Nende domeenide nimeserverid (ns.tsr.ru, ns4.tsr.ru) aga asuvad Venemaal  ning kuuluvad omakorda Moskvas asuvale firmale STC TeleCom Service JSC (TeleCom Service).

Kuid ülalmainitud domeenide IP aadressid seevastu kuuluvad hoopis Eestis asuvale infotehnoloogiafirmale Starline Web Services, mis pakub e-äri, veebidisaini ja virtuaalserverite teenuseid.

Nüüdsel it-ajastul võiksime õigustatult enda käest küsida, kuidas on ikka võimalik, et Internetist mahavõetud ülimassiivne rahvusvahelise haardega  botnet suudetakse lühikese ajaga uuesti püsti ajada ning seda läbi sadade tuhandete nakatatud arvutite tarkvaraliselt uuesti värskendada, taastades seeläbi uue kontrollserverite keskhalduse?

Istume siin kodu- ja tööarvutite taga ning saame oma e-postkasti jätkuvalt suurtes kogustes spämmi. Ja juhul kui me seda spämmi otseselt ei saa, siis ikkagi kurdame aeglase internetiühenduse üle. Mis tuleneb sellest, et seesama “pikendustega” spämm koormab ja tekitab pudelikaelu meie arvutivõrkudes, ruuterites, tulemüürides ja spämmifiltrites.

Internetis on liikvel uudiseid, mis väidavad et Eestis asuvate botnet kontrollserveritega võttis ühendust ligikaudu 100 000 nakatunud arvutit. Srizbi botneti kuulub üle 300 000 nakatunud arvuti. Paraku ei näita nakatunud arvutite statistika internetis mitte kahanemistendentsi.

Google’i spämmikalkulaator

20. november 2008

Tahad teada, kui palju spämmiga tegelemine sinu firma kassast raha välja viib?

Google on üles pannud lihtsa spämmikalkulaatori, mis liidab kokku spämmi kustutamiseks kuluva aja, korrutab selle töötajate arvu ning nende keskmise palgaga ning ütleb, kui palju sa tänu sinu firma postkastidesse potsatavatele fantastilistele äriskeemidele ning pikendusvahenditele rahas ja tootlikkuses kaotad.

Botipesa McColo – järelhüüe

19. november 2008

Vähem kui nädal tagasi lülitati Internetist välja küberkriminaalide laiaulatuslik spämmi-, pahavara- ja botnetvõrgustik. Seda hoidis üleval USA-s paiknev veebihostingufirma McColo Corporation.

McColo`le on esitatud järgnevad raskekaalulised süüdistused: lastepornograafia levitamine, krediitkaardipettused (muuhulgas hostis Sinowali kontrollservereid), spämm (kõikvõimalikud pikendajad jms), pahavara (nt. webscannertools.com), anonüümsed proxy serverid (nt. proxy.fraudcrew.com) ja botnetvõrgustikud (nt. Rustock). Teadaolevalt asub Rustock botnetis üle 150 000 pahavaraga nakatunud arvuti.

McColo “teeneks” Internetis oli ka see, et tema ülemaailmne spämmi tekitamise turuosa oli 50%. Mõnedki sõltumatud infoturbespetsialistid on oma uurimustes väitnud aga seda, et see ülemaailmne spämmi protsent küündis McColo puhul 75%-ni.

McColo Corporation’i hallatav aadressivahemik Internetis oli 208.66.192.0/22 ja 208.72.168.0/21. Nende kodulehekülg www.mccolo.com ja teised sealsed hostid on praegu maas ning ei vasta enam välismaailmale.

Kes on ja olid McColo taga olevad inimesed?

Internetifoorumitest võib lugeda, et firma McColo Corporation loojaks peetakse 19-aastast Moskva tudengit. Erinevates infoallikates on teda kutsutud nimedega Alexey, Nikolai ja Kolya . Hüüdnimedeks on tal “McColo”, “Kolya-McColo” ja “Alexey Bladewalker”. Eriti tabav on minu meelest viimane hüüdnimi “Alexey Bladewalker”, sest McColo firma ise kõndis ju aastaid noateral 🙂

McColo vaimne isa “Kolya-McColo” ise hukkus traagiliselt 2007 aastal autoavariis Moskvas. Ellu jäi tollel korral BMW autoroolis istuv Kolya-McColo sõber, küberkriminaal hüüdnimedega “Jax”, “Jux”, kes ise kuulus “kidala” (fraudster) põrandaalusesse kommuuni.

Kas me nüüd tõesti saime “McColo Corporation” puhul lahti lastepornost, krediitkaardipettustest, spämmist, pahavarast ja botnetvõrgustikest?

Vaevalt küll, sest on juba teada tõsiasi, et “McColo” hüljatud lapse “Rustock” botnetvõrgu on juba jõudnud lapsendada Moskvas asuv Rial Com JSC [62.176.17.200]. Võib arvata, et lühikese aja jooksul jagatakse ja ostetakse Internetis küberpättide poolt üles kõik ülejäänud McColo “hüljatud” botnetid: Asprox, Warezov, Pushdo/Cutwail, Mega-D/Ozdock ja Srizbi. Näiteks Srizbi botneti kuulub rohkem kui 300 000 pahavaraga nakatunud arvutit.

McColo Corporation jäi oma pahategudega lõplikult vahele tänu Security Fix’i ja Brian Krebs’i ennastsalgavale uurimustööle.

McColo Corporation-i pahalaste põhjalikum ja detailsem *.pdf raport asub siin.

Domeeniskämm

29. oktoober 2008

Veidi enam kui kuu aega tagasi suleti turvakogukonna ühiste jõupingutuste toel üks suurimaid pahatahtlike domeenide registraatoreid Atrivo (ülevaade Atrivost, PDF, 2MB). Ent kurikaeltele tuleb au anda – selmet nina norgu lasta ja endale muud rakendust otsida, said nad raskest olukorrast hoopis inspiratsiooni uue skämmi tarbeks:

Saatja: eNomCentral Tech Support [mailto:info2@enom.com]
Saatmisaeg: 29. oktoober 2008. a. 9:16
Adressaat: XXXX
Teema: Warning: Inaccurate whois information.

Dear user,

On Wed, 29 Oct 2008 10:15:37 +0300 we received a third party complaint of invalid domain contact information in the Whois database for this domain Whenever we receive a complaint, we are required by ICANN regulations to initiate an investigation as to whether the contact data displaying in the Whois database is valid data or not. If we find that there is invalid or missing data, we contact both the registrant and the account holder and inform them to update the information.

The contact information for the domain which displayed in the Whois database was indeed invalid. On Wed, 29 Oct 2008 10:15:37 +0300 we sent a notice to you at the admin/tech contact email address and the account email address informing you of invalid data in breach of the domain registration agreement and advising you to update the information or risk cancellation of the domain. The contact information was not updated within the specified period of time and we canceled the domain. The domain has subsequently been purchased by another party. You will need to contact them for any further inquiries regarding the domain.

PLEASE VERIFY YOUR CONTACT INFORMATION – http://www.enom.com

If you find any invalid contact information for this domain, please respond to this email with evidence of the specific contact information you have found to be invalid on the Whois record for the domain name. Examples would be a bounced email or returned postal mail. If you have a bounced email, please attach or forward with your reply or in the case of returned postal mail, scan the returned letter and attach to your email reply or please send it to:

Attn: Domain Services 14455 N Hayden Rd Suite 219 Scottsdale, AZ 85260

LINK TO CHANGE INFORMATION – http://www.enom.com

Thank you,
Domain Services

[IncidentID:32225]

Ehk siis kirja saajat hirmutatakse, et keegi on nende domeeni enda nimele registreerinud, omanikuvahetusprotsess on juba käimas ning halvima vältimiseks tuleks koheselt uuendada oma kontaktandmeid. Kirjas toodud link viitab pealtnäha maailma suuruselt teisele domeeninimede jae- ja hulgimüügifirmale eNom, kuid viib tegelikult saidile, mille kohta Firefox annab niisuguse hoiatuse:

Kui hoiatusi ignoreerida, sarnaneb avanev lehekülgki eNom-i omaga. Ilmselt kasutatakse siis “andmeid täpsustavate” domeeniomanike andmeid nende domeenide tegelikuks skvottimiseks. Viimased on küllap siis ainult kergelt pahased: näh, jäingi hiljaks…