El Proyecto Spamhaus es una organización internacional con sede en el Principado de Andorra , fundada en 1998 por Steve Linford para rastrear a los spammers de correo electrónico y la actividad relacionada con el spam . El nombre spamhaus , una expresión pseudoalemana, fue acuñado por Linford para referirse a un proveedor de servicios de Internet u otra empresa que envía spam o proporciona servicios a sabiendas a los spammers.
El Proyecto Spamhaus es responsable de la compilación de varias listas antispam ampliamente utilizadas [2] . Muchos [3] proveedores de servicios de Internet y servidores de correo electrónico utilizan las listas para reducir la cantidad de spam que llega a sus usuarios. En 2006, los servicios de Spamhaus protegieron a 650 millones de usuarios de correo electrónico, incluidos el Parlamento Europeo, el Ejército de los EE. UU., la Casa Blanca y Microsoft, de miles de millones de mensajes de spam al día. [4]
Spamhaus distribuye las listas en forma de listas de bloqueo basadas en DNS ( DNSBL ). Las listas se ofrecen como un servicio público gratuito a los operadores de servidores de correo de bajo volumen en Internet. [5] Los servicios comerciales de filtrado de spam y otros sitios que realizan un uso a gran escala deben registrarse para obtener una cuenta comercial a través de Spamhaus Technology, su socio para la distribución. Spamhaus describe el funcionamiento de su tecnología DNSBL en un documento llamado "Understanding DNSBL Filtering" [Comprensión del filtrado DNSBL]. [6]
La lista de bloqueo de Spamhaus (SBL) [7] se centra en "fuentes de spam verificadas (incluidos los spammers, las bandas de spammers y los servicios de soporte de spam)". Su objetivo es incluir las direcciones IP que pertenecen a spammers conocidos, operaciones de spam y servicios de soporte de spam. [8] Las listas de la SBL se basan parcialmente en el índice ROKSO de spammers conocidos.
La lista de bloqueo de exploits (XBL) [9] se centra en "exploits ilegales de terceros, incluidos servidores proxy abiertos , gusanos y virus con motores de spam integrados, PC y servidores infectados con virus y otros tipos de exploits de caballos de Troya". Es decir, es una lista de servidores proxy abiertos conocidos y equipos con exploits que se utilizan para enviar spam y virus. La XBL incluye información recopilada por Spamhaus, así como por otras operaciones de DNSBL que contribuyen, como la Lista de bloqueo compuesta (CBL).
La lista de bloqueo de políticas (PBL) [10] es similar a una lista de usuarios de acceso telefónico . No solo incluye direcciones IP dinámicas, sino también direcciones estáticas que no deberían enviar correo electrónico directamente a servidores de terceros. Algunos ejemplos son los enrutadores principales de un ISP , los usuarios corporativos que, según la política, deben enviar su correo electrónico a través de servidores de la empresa y las direcciones IP no asignadas. Gran parte de los datos son proporcionados a Spamhaus por las organizaciones que controlan el espacio de direcciones IP, generalmente los ISP.
La lista de bloqueo de dominios (DBL) [11] se publicó en marzo de 2010 y es una lista de nombres de dominio, que es a la vez una lista de bloqueo de URL de dominio y una lista de bloqueo de RHSBL . Enumera los dominios de spam, incluidas las URL de carga útil de spam, las fuentes y los remitentes de spam ("lado derecho"), los spammers y las bandas de spam conocidos, y los sitios relacionados con phishing, virus y malware . Más tarde agregó una zona de "acortadores de URL abusados", una forma común en que los spammers insertan enlaces en los correos electrónicos de spam.
Combined Spam Sources (CSS) [12] es un conjunto de datos generado automáticamente de direcciones IP que participan en el envío de correo electrónico de baja reputación. Los listados pueden basarse en saludos HELO sin un registro A, rDNS de aspecto genérico o el uso de dominios falsos, lo que podría indicar la presencia de robots de spam o una configuración incorrecta del servidor. CSS es parte de SBL.
La lista de bloqueo ZEN [13] es una lista combinada que incluye todas las listas de bloqueo de DNS basadas en IP de Spamhaus.
La lista de controladores de botnets (BCL) [14] se publicó en junio de 2012 y es una lista de direcciones IP. En ella se enumeran las direcciones IP que el personal de Spamhaus cree que son utilizadas por cibercriminales con el único fin de alojar la infraestructura de comando y control de botnets. Los cibercriminales suelen utilizar dicha infraestructura para controlar los equipos infectados con malware.
Las listas DROP ("Don't Route Or Peer") de Spamhaus son archivos JSON que delimitan bloques CIDR y ASN que han sido robados o que están "totalmente controlados por spammers o por operaciones de alojamiento de spam al 100%". [15] [16] Como un pequeño subconjunto de la SBL, no incluye rangos de direcciones registrados a ISP y subarrendados a spammers, sino solo aquellos bloques de red utilizados en su totalidad por spammers. Está pensado para ser incorporado en firewalls y equipos de enrutamiento para descartar todo el tráfico de red hacia y desde los bloques listados. [15] La página web de preguntas frecuentes de DROP [17] establece que los datos son gratuitos para que todos los descarguen y usen. En 2012, Spamhaus Technology ofreció una fuente BGP de los mismos datos.
El Registro de operaciones de spam conocidas de Spamhaus (ROKSO) es una base de datos de spammers y operaciones de spam que han sido canceladas de tres o más ISP debido al spam. Contiene información de fuentes públicas sobre estas personas y sus dominios, direcciones y alias. [18]
ROKSO ya no está disponible para el público. Sin embargo, existe una versión especial disponible para las fuerzas de seguridad , que contiene datos sobre cientos de bandas de spam, con pruebas, registros e información sobre las actividades ilegales de estas bandas.
El Grupo Spamhaus está formado por varias empresas independientes que se centran en diferentes aspectos de la tecnología antispam de Spamhaus o proporcionan servicios basados en ella. En el núcleo se encuentra Spamhaus Project SLU, [19] una empresa sin ánimo de lucro con sede en Andorra que rastrea las fuentes de spam y las amenazas cibernéticas como el phishing, el malware y las botnets y publica DNSBL gratuitas. Los servicios comerciales están gestionados por una empresa británica de distribución de datos, Spamhaus Technology Ltd. [20] , con sede en Londres, Reino Unido, que gestiona los servicios de distribución de datos para sistemas de filtrado de spam a gran escala.
En septiembre de 2006, David Linhardt, el propietario y operador de la empresa estadounidense de correo masivo "e360 Insight LLC", [4] presentó una demanda en Illinois, EE. UU., contra Spamhaus en el Reino Unido por incluir en la lista negra sus correos masivos. Spamhaus, al ser una organización británica sin vínculos con Illinois o los EE. UU., hizo que el caso se trasladara del tribunal estatal al Tribunal Federal de Distrito de los EE. UU. para el Distrito Norte de Illinois y solicitó que se desestimara el caso por evidente falta de jurisdicción . [24] [25] Sin embargo, el tribunal de Illinois, presidido por el juez Charles Kocoras , ignoró la solicitud de desestimación y procedió con el caso contra Spamhaus, con sede en el Reino Unido, sin considerar la cuestión de la jurisdicción, lo que llevó al diputado británico Derek Wyatt a solicitar la suspensión del juez de su cargo. [26] Al no haber examinado su objeción a la jurisdicción, Spamhaus se negó a participar más en el caso estadounidense y retiró a su abogado. Sin embargo, el juez Kocoras, enfadado por la decisión de Spamhaus de abandonar el tribunal, consideró que Spamhaus, con sede en Gran Bretaña, había "aceptado técnicamente la jurisdicción" al no haber respondido en un principio, y concedió a e360 una sentencia en rebeldía por un total de 11.715.000 dólares estadounidenses en concepto de daños y perjuicios. Posteriormente, Spamhaus anunció que ignoraría la sentencia porque las sentencias en rebeldía dictadas por tribunales estadounidenses sin un juicio "no tienen validez en el Reino Unido y no pueden ejecutarse en el marco del sistema jurídico británico". [27] [28]
Tras la sentencia en rebeldía a su favor, e360 presentó una moción para intentar obligar a ICANN a eliminar los registros de dominio de Spamhaus hasta que se cumpliera la sentencia en rebeldía. [25] Esto planteó cuestiones internacionales con respecto a la posición inusual de ICANN como organización estadounidense con responsabilidad mundial sobre nombres de dominio, [29] [30] e ICANN protestó [31] que no tenía ni la capacidad ni la autoridad para eliminar los registros de dominio de Spamhaus, que es una empresa con sede en el Reino Unido. El 20 de octubre de 2006, el juez Kocoras emitió una sentencia denegando la moción de e360 contra ICANN, afirmando en su opinión que "no ha habido ninguna indicación de que ICANN [no sea] [una] entidad independiente [de Spamhaus], lo que impide concluir que [está] actuando en concierto" con Spamhaus y que el tribunal no tenía autoridad sobre ICANN en este asunto. El tribunal dictaminó además que la eliminación del registro del nombre de dominio de Spamhaus era una solución "demasiado amplia para justificarse en este caso", porque "cortaría todas las actividades en línea legales de Spamhaus a través de su nombre de dominio existente, no sólo aquellas que contravienen" la sentencia en rebeldía. Kocoras concluyó: "[s]i bien no aprobaremos ni toleraremos el incumplimiento de una orden válida de este tribunal [es decir, la negativa de Spamhaus a cumplir la sentencia en rebeldía] tampoco impondremos una sanción que no corresponda a la gravedad de la conducta infractora". [32] [33]
En 2007, el bufete de abogados Jenner & Block LLP de Chicago se hizo cargo del caso de Spamhaus pro bono público y apeló con éxito la sentencia en rebeldía. El Tribunal Federal de Apelaciones de los Estados Unidos para el Séptimo Circuito anuló la indemnización por daños y perjuicios y remitió el asunto al tribunal de distrito para que se hiciera una investigación más exhaustiva a fin de determinar los daños y perjuicios.
Tras la exitosa apelación de Jenner & Block LLP en 2010, el juez Kocoras redujo la indemnización por daños y perjuicios de 11,7 millones de dólares a 27.002 dólares [34] : 1 dólar por interferencia ilícita con una posible ventaja económica, 1 dólar por reclamaciones de difamación y 27.000 dólares por "contratos existentes". [35]
Ambas partes apelaron, pero el juez Richard Posner del Séptimo Circuito criticó duramente la demanda de e360 para aumentar los daños : "Nunca he visto una presentación tan incompetente de un caso de daños", dijo Posner. "No sólo es incompetente, es grotesca. Los daños oscilan entre 11 millones de dólares, 130 millones de dólares, 122 millones de dólares y 33 millones de dólares. De hecho, los daños probablemente sean cero". [36] y por segunda vez el Tribunal de Apelaciones anuló la indemnización por daños y perjuicios.
Finalmente, el 2 de septiembre de 2011, el tribunal de Illinois redujo la indemnización por daños y perjuicios a sólo 3 dólares (tres dólares) en total y ordenó al demandante e360 pagar a Spamhaus los costos de la apelación por la defensa. [37]
En el curso de estos procedimientos, en enero de 2008 e360 Insight LLC se declaró en quiebra y cerró, citando las astronómicas facturas legales asociadas con este caso judicial como la razón de su desaparición. [38]
En junio de 2007, Spamhaus solicitó al registro nacional de dominios de Austria , nic.at , que suspendiera una serie de dominios, alegando que habían sido registrados anónimamente por bandas de phishing con fines de phishing bancario ilegal . [39] El registro nic.at rechazó la solicitud y argumentó que violarían la ley austriaca al suspender los dominios, a pesar de que los dominios se usaban con fines delictivos, y exigió pruebas de que los dominios estaban registrados bajo identidades falsas. [39] [40] Durante algún tiempo, los dominios continuaron estafando a los titulares de cuentas en bancos europeos. Finalmente, Spamhaus puso el servidor de correo de nic.at en su lista negra de spam de SBL bajo la política de SBL "Proporcionar conscientemente un servicio de soporte de spam con fines de lucro" durante varios días, lo que causó interferencias en el tráfico de correo en nic.at. [40] Todos los dominios de phishing en cuestión han sido eliminados o suspendidos desde entonces por sus proveedores de DNS. [39] [41]
En agosto de 2010, Spamhaus añadió algunas direcciones IP controladas por Google utilizadas por Google Docs a su lista de spam de SBL, debido a que Google Docs era una gran fuente de spam no controlado. Google solucionó rápidamente el problema y Spamhaus eliminó la lista. Aunque inicialmente algunos medios informaron erróneamente que se trataba de direcciones IP utilizadas por Gmail, más tarde se aclaró que solo Google Docs estaba bloqueada. [42]
En marzo de 2013, CyberBunker , un proveedor de Internet que lleva el nombre de su antigua sede en un búnker de la OTAN en los Países Bajos [45] que "ofrece alojamiento anónimo de cualquier cosa excepto pornografía infantil y cualquier cosa relacionada con el terrorismo" [46] fue añadido a la lista negra de Spamhaus utilizada por los proveedores de correo electrónico para eliminar el spam. [47] Poco después, a partir del 18 de marzo, [48] Spamhaus fue el objetivo de un ataque de denegación de servicio distribuido (DDoS) que explotaba una vulnerabilidad conocida desde hace mucho tiempo en el Sistema de nombres de dominio (DNS) que permite el origen de cantidades masivas de mensajes en dispositivos propiedad de otros utilizando la suplantación de direcciones IP . [49] [50] Los dispositivos explotados en el ataque pueden ser tan simples como un decodificador de cable conectado a Internet. [51] El ataque fue de una escala no reportada previamente (alcanzó un pico de 300 Gbit/s; un ataque promedio a gran escala puede alcanzar los 50 Gbit/s, y el ataque más grande reportado públicamente anteriormente fue de 100 Gbit/s) fue lanzado contra los servidores DNS de Spamhaus; al 27 de marzo de 2013 [update]los efectos del ataque habían durado más de una semana. Steve Linford, director ejecutivo de Spamhaus, dijo que habían resistido el ataque, utilizando la ayuda de otras empresas de Internet como Google para absorber el exceso de tráfico. Linford también afirmó que el ataque estaba siendo investigado por cinco fuerzas policiales cibernéticas nacionales diferentes en todo el mundo, que luego se confirmó en informes de prensa como el FBI, Europol, la Agencia Nacional del Crimen (NCA) británica, la Unidad Nacional de Delitos de Alta Tecnología (NHTCU) de la Policía Holandesa y la Policía Nacional Española. [52] Spamhaus también contrató a Cloudflare , una empresa de mitigación de DDoS, para ayudarlos a distribuir sus servicios de Internet a través de la red mundial de Cloudflare, [53] después de lo cual el foco del ataque se redirigió a las empresas que proporcionan las conexiones de red de Cloudflare. [47]
Spamhaus afirmó que CyberBunker, en cooperación con "bandas criminales" de Europa del Este y Rusia, estaba detrás del ataque; CyberBunker no respondió a la solicitud de la BBC de comentarios sobre la acusación; [52] sin embargo, Sven Olaf Kamphuis, el propietario de CyberBunker, publicó en su cuenta de Facebook el 23 de marzo "Hola anónimos, nos vendría bien un poco de ayuda para cerrar el proyecto de censura de calumnias y chantaje ilegal 'spamhaus.org', que cree que puede dictar sus puntos de vista sobre lo que debería y no debería estar en Internet". [45] Según The New York Times, Kamphuis también afirmó ser el portavoz de los atacantes, y dijo en un mensaje "Somos conscientes de que este es uno de los mayores ataques DDoS que el mundo haya visto públicamente", y que CyberBunker estaba tomando represalias contra Spamhaus por "abusar de su influencia". El NYT añadió que el investigador de seguridad Dan Kaminsky dijo: "No se puede detener una inundación de DNS... La única forma de lidiar con este problema es encontrar a quienes lo hacen y arrestarlos". [47]
Los ingenieros de red atribuyeron el ataque a un grupo anónimo descontento con Spamhaus, [47] posteriormente identificado por las víctimas del ataque como Stophaus, [45] un grupo poco organizado de "alojadores de spam y malware a prueba de balas". [54]
El 26 de abril de 2013, el propietario de CyberBunker, Sven Olaf Kamphuis, fue detenido en España por su participación en el ataque a Spamhaus. Estuvo en prisión durante 55 días a la espera de su extradición a los Países Bajos, fue puesto en libertad a la espera de juicio y, finalmente, fue declarado culpable y condenado a 240 días de prisión, con los días restantes en suspenso. [55] [56]
El arresto de 'Narko': La Unidad Nacional Británica contra el Delito Cibernético reveló que un estudiante londinense había sido arrestado en secreto como parte de una presunta banda de crimen organizado responsable de los ataques DDoS. [57] Un documento informativo que da detalles de la presunta participación del estudiante dice: "El sospechoso fue encontrado con sus sistemas informáticos abiertos y conectado a varios sistemas y foros virtuales. El sujeto tiene una cantidad significativa de dinero fluyendo a través de su cuenta bancaria. Los investigadores financieros están en el proceso de incautar el dinero".
En 2014, Spamhaus fue demandada por los empresarios con sede en California Craig Ames y Rob McGee, quienes estaban involucrados con un negocio de servicios de marketing por correo electrónico masivo, inicialmente a través de una corporación estadounidense llamada Blackstar Media LLC, y luego como empleados de Blackstar Marketing, una subsidiaria de la empresa inglesa Adconion Media Group Limited, que compró Blackstar Media en abril de 2011. Aunque una moción inicial de Spamhaus para desestimar las reclamaciones fracasó, [58] finalmente prevalecieron cuando los demandantes abandonaron su caso y pagaron los costos legales de Spamhaus. [59]
Alemán
:
Die DNS-Provider der Domains haben die Einträge gelöscht.
,
iluminado.
'Los proveedores de DNS de los dominios eliminaron las entradas del dominio.'