Alojamiento a prueba de balas

Servicio de Internet para uso de ciberdelincuentes

Un antiguo búnker de la OTAN en los Países Bajos, que albergó al proveedor de alojamiento a prueba de balas CyberBunker con un Pontiac Trans Sport en el frente.

El alojamiento a prueba de balas (BPH) es un servicio de infraestructura técnica proporcionado por un servicio de alojamiento de Internet que es resistente a las denuncias de actividades ilícitas , que sirve a los actores criminales como un elemento básico para agilizar varios ciberataques . ^[1] Los proveedores de BPH permiten los juegos de azar en línea , la pornografía ilegal , los servidores de comando y control de botnets , el spam , los materiales con derechos de autor , el discurso de odio y la desinformación , a pesar de las órdenes judiciales de eliminación y las citaciones de las fuerzas del orden , que permiten dicho material en sus políticas de uso aceptable . ^{[2] [3] [4]}

Los proveedores de BPH suelen operar en jurisdicciones que tienen leyes indulgentes contra este tipo de conducta. La mayoría de los proveedores de servicios que no son de BPH prohíben la transferencia de materiales a través de su red que violarían sus términos de servicio y las leyes locales de la jurisdicción incorporada , y muchas veces cualquier informe de abuso daría lugar a la eliminación de los mismos para evitar que el bloque de direcciones IP de su sistema autónomo fuera incluido en la lista negra de otros proveedores y de Spamhaus . ^[5]

Historia

BPH se convirtió por primera vez en objeto de investigación en 2006, cuando los investigadores de seguridad de VeriSign revelaron que Russian Business Network , un proveedor de servicios de Internet que albergaba a un grupo de phishing, era responsable de unos 150 millones de dólares en estafas relacionadas con el phishing. RBN también se hizo conocido por robos de identidad , pornografía infantil y botnets. ^{[6] [7] [8]} El año siguiente, McColo , el proveedor de alojamiento web responsable de más del 75% del spam mundial, fue cerrado y desvinculado de Global Crossing y Hurricane Electric después de la divulgación pública por parte del entonces periodista del Washington Post Brian Krebs en su blog Security Fix en ese periódico. ^{[9] [10]}

Dificultades

Dado que cualquier informe de abuso al BPH será ignorado, en la mayoría de los casos, todo el bloque de IP ("netblock") asignado al sistema autónomo del BPH será incluido en la lista negra por otros proveedores y filtros de spam de terceros . Además, el BPH también tiene dificultades para encontrar puntos de interconexión de red para establecer sesiones de protocolo de puerta de enlace fronteriza , ya que el enrutamiento de la red de un proveedor de BPH puede afectar la reputación de los sistemas autónomos ascendentes y del proveedor de tránsito . ^[11] Esto dificulta que los servicios BPH proporcionen una conectividad de red estable y, en casos extremos, pueden quedar completamente desconectados; ^[1] por lo tanto, los proveedores de BPH evaden la fortificación basada en la reputación de los AS, como BGP Ranking y ASwatch, a través de metodologías no convencionales. ^[2]

Revendedor de alojamiento web

Según un informe, debido a sus crecientes dificultades, los proveedores de BPH se involucran en establecer relaciones de revendedor con proveedores de alojamiento de gama baja ; aunque estos proveedores no son cómplices en el apoyo a las actividades ilegítimas, tienden a ser indulgentes con los informes de abuso y no participan activamente en la detección de fraudes . ^[1] Por lo tanto, BPH se oculta detrás de proveedores de alojamiento de gama baja, aprovechando su mejor reputación y operando simultáneamente reventas a prueba de balas y legítimas a través de los bloques de red subasignados. ^[12] Sin embargo, si se detectan los servicios de BPH, los proveedores de BPH migran a sus clientes a una infraestructura de Internet más nueva (un AS de gama baja más nuevo o un espacio IP), lo que hace que las direcciones IP incluidas en la lista negra del AS anterior sean efímeras; por lo tanto, continúan participando en una conducta delictiva al modificar los registros de recursos del servidor DNS de los servicios de escucha y hacer que apunten a las direcciones IP más nuevas que pertenecen al espacio IP del AS actual. ^[12] Debido a las preocupaciones por la privacidad, los modos habituales de contacto para los proveedores de BPH incluyen ICQ , Skype y XMPP (o Jabber ). ^{[13] [14]}

Abusos admisibles

La mayoría de los proveedores de BPH prometen inmunidad contra la infracción de derechos de autor y los avisos de eliminación por orden judicial , en particular la Ley de Derechos de Autor del Milenio Digital (DMCA), la Directiva de Comercio Electrónico (ECD) y las citaciones de las fuerzas del orden . También permiten a los usuarios operar phishing , estafas (como programas de inversión de alto rendimiento ), maestros de botnet y sitios web de farmacias en línea sin licencia . En estos casos, los proveedores de BPH (conocidos como " proveedores offshore ") operan en jurisdicciones que no tienen ningún tratado de extradición o tratado de asistencia legal mutua (MLAT) firmado con los países de los cinco ojos , particularmente los Estados Unidos . ^{[15] [16] [17]} Sin embargo, la mayoría de los proveedores de BPH tienen una política de tolerancia cero hacia la pornografía infantil y el terrorismo , aunque algunos permiten el almacenamiento en frío de dicho material dada la accesibilidad abierta prohibida a través de Internet pública . ^[18]

Las jurisdicciones predominantes para la incorporación y ubicación de los centros de datos para los proveedores de BPH incluyen Rusia (siendo más permisiva), ^[19] Ucrania , China , Moldavia , Rumania , Bulgaria , Belice , Panamá y Seychelles . ^{[20] [21]}

Impactos

Los servicios BPH actúan como proveedores de infraestructura de red vital para actividades como el cibercrimen y las economías ilícitas en línea , ^[22] y el modelo de trabajo bien establecido de las economías del cibercrimen gira en torno al desarrollo de herramientas y el intercambio de habilidades entre pares. ^[23] El desarrollo de exploits , como las vulnerabilidades de día cero , lo realiza una comunidad muy pequeña de actores altamente capacitados , que los encierran en herramientas convenientes que generalmente son compradas por actores poco capacitados (conocidos como script kiddies ), que hacen uso de proveedores de BPH para llevar a cabo ciberataques , generalmente dirigidos a servicios de red y personas poco sofisticados de bajo perfil . ^{[24] [25]} Según un informe elaborado por la Universidad Carnegie Mellon para el Departamento de Defensa de los Estados Unidos , los actores aficionados de bajo perfil también son potentes para causar consecuencias dañinas, especialmente para pequeñas empresas , usuarios de Internet inexpertos y servidores en miniatura . ^[26]

Los actores criminales también ejecutan programas informáticos especializados en los proveedores de BPH, conocidos como escáneres de puertos , que escanean todo el espacio de direcciones IPv4 en busca de puertos abiertos , servicios que se ejecutan en esos puertos abiertos y la versión de sus daemons de servicio , en busca de versiones vulnerables para su explotación. ^[27] Una de esas vulnerabilidades notables escaneadas por los escáneres de puertos es Heartbleed , que afectó a millones de servidores de Internet. ^[28] Además, los clientes de BPH también alojan sitios de reclutamiento de fraude de clics , adware (como DollarRevenue ) y lavado de dinero , que atraen a usuarios crédulos de Internet a trampas de miel y causan pérdidas financieras a las personas mientras mantienen sus sitios ilícitos en línea, a pesar de las órdenes judiciales y los intentos de eliminación por parte de las fuerzas del orden . ^[29]

Contrainiciativas contra la HBP

El Proyecto Spamhaus es una organización internacional sin fines de lucro que monitorea las amenazas cibernéticas y proporciona informes de listas negras en tiempo real (conocidos como el "Índice de maldad") sobre sistemas autónomos maliciosos, netblocks y registradores que están involucrados en actividades de spam, phishing o cibercrimen. El equipo de Spamhaus trabaja en estrecha colaboración con agencias de aplicación de la ley como la National Cyber-Forensics and Training Alliance (NCFTA) y la Oficina Federal de Investigaciones (FBI), y los datos recopilados por Spamhaus son utilizados por la mayoría de los ISP , proveedores de servicios de correo electrónico , corporaciones , institutos educativos , gobiernos y puertas de enlace ascendente de redes militares. ^{[30] [31] [32]} Spamhaus publica varias fuentes de datos que enumeran los netblocks de los actores criminales, y está diseñado para que lo utilicen puertas de enlace , cortafuegos y equipos de enrutamiento para filtrar (o " anular ") el tráfico que se origina en estos netblocks: ^[11]

• La lista Don't Route Or Peer List (DROP) de Spamhaus incluye bloques de red asignados por un Registro Regional de Internet (RIR) o un Registro Nacional de Internet (NIR) establecidos que son utilizados por actores criminales, y no incluye espacios de direcciones IP abusados ​​ni bloques de red subasignados de un AS de buena reputación. ^[33]
• La lista de bloqueo de dominios (DBL) de Spamhaus enumera los nombres de dominio con mala reputación en formato DNSBL . ^[34]
• La lista de controladores de botnets de Spamhaus (BCL) enumera las direcciones IPv4 individuales de los controladores de botnets. ^[35]

Servicios cerrados notables

Los siguientes son algunos de los proveedores de BPH desaparecidos más notables:

• CyberBunker , desmantelado en septiembre de 2019. ^[36]
• McColo , derribado en noviembre de 2008. ^[37]
• Red Empresarial Rusa (RBN), dado de baja en noviembre de 2007. ^[38]
• Atrivo, dado de baja en septiembre de 2008. ^[39]
• 3FN, eliminado por la FTC en junio de 2009. ^{[40] [41] [42]}
• Proxiez, eliminado en mayo de 2010. ^[43]

Véase también

• Alojamiento de libertad
• Flujo rápido
• Teatro de seguridad

Referencias

1. McCoy, Mi y Wang 2017, pág. 805.
2. Konte, Feamster y Perdisci 2015, p. 625.
3. Han, Kumar y Durumic 2021, pag. 4.
4. "Se corta el servicio de grupos de spam en Internet". The Washington Post . 12 de noviembre de 2008. Archivado desde el original el 22 de junio de 2020 . Consultado el 4 de diciembre de 2021 .
5. Han, Kumar y Durumic 2021, pag. 5-6.
6. Kerbs, Brian (13 de octubre de 2007). "Shadowy Russian Firm Seen as Conduit for Cybercrime" (Una empresa rusa sospechosa vista como conducto para el cibercrimen). Washington Post . Archivado desde el original el 15 de septiembre de 2021. Consultado el 5 de enero de 2022 .
7. Warren, Peter (15 de noviembre de 2007). "Hunt for Russia's Web Criminals". The Guardian . Archivado desde el original el 25 de noviembre de 2021. Consultado el 5 de enero de 2022 .
8. Stone-Gross, Brett; Kruegel, Christopher; Almeroth, Kevin ; Moser, Andreas (11 de diciembre de 2009). FIRE: Finding Rogue nEtworks . Conferencia anual sobre aplicaciones de seguridad informática. Actas de la ... Conferencia anual sobre aplicaciones de seguridad informática . Instituto de Ingenieros Eléctricos y Electrónicos . p. 231. doi :10.1109/ACSAC.2009.29. ISBN 978-1-4244-5327-6. ISSN  1063-9527.
9. Krebs, Brain (12 de noviembre de 2008). «Se corta el acceso a los grupos de spam de Internet». The Washington Post . Archivado desde el original el 27 de mayo de 2012. Consultado el 5 de enero de 2022 .
10. Krebs, Brain. "La principal fuente de estafas y spam en línea se desvincula de la red". Archivado desde el original el 30 de septiembre de 2021. Consultado el 5 de enero de 2022 .
11. Equipo de investigación de Spamhaus (19 de diciembre de 2019). «Alojamiento a prueba de balas: hay un nuevo chico en la ciudad». El proyecto Spamhaus . Archivado desde el original el 22 de abril de 2021. Consultado el 21 de diciembre de 2021 .
12. McCoy, Mi y Wang 2017, pág. 806.
13. McCoy, Mi y Wang 2017, pág. 811.
14. Goncharov, Max (15 de julio de 2015). «Escondites criminales en alquiler: servicios de alojamiento a prueba de balas» (PDF) . Trend Micro . Archivado (PDF) del original el 19 de julio de 2021. Consultado el 5 de diciembre de 2021 .
15. Leporini 2015, pág. 5.
16. Clayton y Moore 2008, pág. 209.
17. Konte, Feamster y Jung 2008, pág. 10.
18. Kopp, Strehle y Hohlfeld 2021, pág. 2432.
19. Caesar, Ed (27 de julio de 2020). «El búnker de la Guerra Fría que se convirtió en el hogar de un imperio de la Dark Web». The New Yorker . Archivado desde el original el 29 de septiembre de 2021. Consultado el 5 de diciembre de 2021 .
20. Thomas, Elise (8 de agosto de 2019). "Dentro de los proveedores de alojamiento a prueba de balas que mantienen en funcionamiento los peores sitios web del mundo". ABC News . Archivado desde el original el 4 de septiembre de 2021 . Consultado el 5 de noviembre de 2021 .
21. Richardson, Ronny; North, Max M. (1 de enero de 2017). "Ransomware: evolución, mitigación y prevención". International Management Review . 13 (1). Universidad Estatal de Kennesaw : 13.
22. Collier & Hutchings 2021, pág. 1.
23. Collier & Hutchings 2021, pág. 1-2.
24. Bradbury 2010, pág. 17.
25. Collier & Hutchings 2021, pág. 2.
26. Mead, Nancy R.; Hough, Eric; Stehney, Theodore R. (31 de octubre de 2005). Metodología de ingeniería de requisitos de calidad de seguridad (SQUARE) (informe). Universidad Carnegie Mellon . doi :10.1184/R1/6583673.v1. Archivado desde el original el 6 de diciembre de 2021. Consultado el 6 de diciembre de 2021 .
27. Durumeric, Zakir; Bailey, Michael; Halderman, J. Alex (agosto de 2014). Una visión de Internet a nivel mundial del escaneo a nivel mundial. Simposio de la conferencia USENIX sobre seguridad. USENIX . págs. 65–66. Archivado desde el original el 2021-12-06 . Consultado el 2021-12-06 .
28. Heo, Hawnjo; Shin, Seungwon (mayo de 2018). Who is knock on the Telnet Port: A Large-Scale Empirical Study of Network Scanning. Conferencia asiática sobre seguridad informática y de las comunicaciones. págs. 625–626. doi :10.1145/3196494.3196537. Archivado desde el original el 2021-12-06 . Consultado el 2021-12-06 .
29. Watson, David (2007). «La evolución de los ataques a aplicaciones web». Seguridad en redes . 2007 (11): 7–12. doi :10.1016/S1353-4858(08)70039-4. ISSN  1353-4858. Archivado desde el original el 2019-04-10 . Consultado el 2021-12-06 .
30. Nandi O. Leslie; Richard E. Harang; Lawrence P. Knachel; Alexander Kott (30 de junio de 2017). «Modelos estadísticos para el número de intrusiones cibernéticas exitosas». The Journal of Defense Modeling and Simulation . 15 (1). Estados Unidos : United States Army Research Laboratory : 49–63. arXiv : 1901.04531 . doi :10.1177/1548512917715342. S2CID  58006624. Archivado desde el original el 22 de diciembre de 2021 . Consultado el 22 de diciembre de 2021 .
31. Grauer, Yael (17 de enero de 2016). «Noticias de seguridad de esta semana: Tim Cook exige que la Casa Blanca defienda el cifrado». Wired . Archivado desde el original el 23 de abril de 2021. Consultado el 22 de diciembre de 2021 .
32. "Documentos corporativos: Acerca de Spamhaus". Archivado desde el original el 14 de diciembre de 2021 . Consultado el 22 de diciembre de 2021 .
33. "Spamhaus no enruta ni hace listas de pares". El proyecto Spamhaus . Archivado desde el original el 21 de diciembre de 2021. Consultado el 22 de diciembre de 2021 .
34. "La lista de dominios bloqueados (DBL)". El proyecto Spamhaus . Archivado desde el original el 21 de diciembre de 2021. Consultado el 22 de diciembre de 2021 .
35. "Lista de controladores de botnets de Spamhaus". El proyecto Spamhaus . Archivado desde el original el 26 de agosto de 2020. Consultado el 22 de diciembre de 2021 .
36. Krebs, Brian (28 de septiembre de 2019). «Policías alemanes allanan el 'Cyberbunker 2.0', arrestan a 7 personas en una redada de pornografía infantil en el mercado de la Dark Web». Krebs on Security . Archivado desde el original el 16 de mayo de 2021. Consultado el 10 de junio de 2021 .
37. "La principal fuente de estafas y spam en línea fue eliminada de la red" Archivado el 30 de septiembre de 2021 en Wayback Machine , The Washington Post , noviembre de 2008.
38. "Solución de seguridad: Red empresarial rusa: caída, pero no fuera de combate". The Washington Post . Archivado desde el original el 26 de septiembre de 2016. Consultado el 7 de octubre de 2016 .
39. "El ISP estadounidense, repleto de estafadores, se vuelve cada vez más aislado" Archivado el 6 de septiembre de 2008 en Wayback Machine . , The Washington Post , septiembre de 2009.
40. "Las consecuencias del derribo de 3FN" Archivado el 10 de agosto de 2011 en Wayback Machine . , The Washington Post , junio de 2009.
41. "Cerró un ISP por alojar una 'mezcla de spam' y pornografía infantil" Archivado el 10 de agosto de 2017 en Wayback Machine , The Register , mayo de 2010
42. "Se le ordena a un ISP corrupto liquidarse y pagar a la FTC 1,08 millones de dólares" Archivado el 2 de mayo de 2012 en Wayback Machine . , Ars Technica , mayo de 2010.
43. El ISP "a prueba de balas" para bandas de software criminal fue desconectado Archivado el 10 de agosto de 2017 en Wayback Machine , The Register , mayo de 2010.

Bibliografía

• McCoy, Damon; Mi, Xianghang; Wang, Xiofeng (26 de junio de 2017). "Bajo la sombra del sol: comprensión y detección de alojamiento a prueba de balas en redes de proveedores de servicios legítimos". Simposio IEEE sobre seguridad y privacidad de 2017 (SP) . Universidad de Nueva York . págs. 805–823. doi :10.1109/SP.2017.32. ISBN. 978-1-5090-5533-3. Número de identificación del sujeto  1593958.
• Han, Catherine; Kumar, Deepak; Durumic, Zakir (2021). "Sobre los proveedores de infraestructura que apoyan la desinformación" (PDF) . Universidad de Stanford . Archivado (PDF) del original el 25 de agosto de 2021 . Consultado el 4 de diciembre de 2021 .
• Konte, Maria; Feamster, Nick; Perdisci, Roberto (17 de agosto de 2015). "ASwatch: un sistema de reputación de AS para exponer sistemas AS de alojamiento a prueba de balas". ACM SIGCOMM Comput. Commun. Rev. 45 ( 4). Nueva York, Estados Unidos : 625–638. doi :10.1145/2829988.2787494. ISSN  0146-4833.
• Leporini, Dino (2015). Arquitecturas y protocolos que impulsan la transmisión de contenidos ilegales por Internet. Universidad de Pisa . Ámsterdam , Países Bajos : Convención Internacional de Radiodifusión . p. 7. doi :10.1049/ibc.2015.0013. ISBN . 978-1-78561-185-8.
• Clayton, Richard; Moore, Tyler (22 de diciembre de 2008). "El impacto de los incentivos en la notificación y la retirada de información". Gestión del riesgo de la información y la economía de la seguridad . Boston : Springer Publishing . pp. 199–223. doi :10.1007/978-0-387-09762-6_10. ISBN 978-0-387-09761-9.
• Kopp, Daniel; Strehle, Eric; Hohlfeld, Oliver (noviembre de 2021). "CyberBunker 2.0: una perspectiva de dominio y tráfico en un servidor a prueba de balas". Actas de la Conferencia ACM SIGSAC de 2021 sobre seguridad informática y de las comunicaciones . Association for Computing Machinery , Universidad Tecnológica de Brandeburgo . págs. 2432–2434. arXiv : 2109.06858 . doi :10.1145/3460120.3485352. ISBN 9781450384544. Número de identificación del sujeto  237503582.
• Collier, Benjamin; Hutchings, Alice (15 de abril de 2021). «El cibercrimen es (a menudo) aburrido: mantener la infraestructura de las economías del cibercrimen». The British Journal of Criminology . 61 (5). Oxford University Press . doi : 10.1093/bjc/azab026 . hdl : 20.500.11820/68a9a01b-f7c3-4fcb-9128-66caf04a4684 .
• Bradbury, Danny (15 de octubre de 2010). "Desenterrando el subsuelo del hacking". Infosecurity . 7 (5): 14–17. doi :10.1016/S1754-4548(10)70084-X. ISSN  1754-4548.
• Konte, M.; Feamster, N.; Jung, J. (enero de 2008). "SAC 025: SSAC Advisory on Fast Flux Hosting and DNS" (PDF) . Comité Asesor de Seguridad y Estabilidad (SSAC) (1). Corporación de Internet para la Asignación de Nombres y Números . Archivado (PDF) del original el 22 de noviembre de 2021 . Consultado el 12 de diciembre de 2021 .