网服提供商未必安全

评论
8 views

  近年来,网络犯罪分子以网络服务提供商为媒介小心地进行各种犯罪活动,这一策略使得执法和安全管理员难以追踪到这些有组织的犯罪行为。

  但新的研究表明,通过反恶意软件和反垃圾邮件公司以及网络仿冒黑名单等多处收集而来的数据,使识别那些对恶意行为过于宽容的网络服务提供商密集群成为可能。这种工作模式在东欧及中东地区尤其奏效。

  来自布卢明顿的印第安那州立大学和田纳西州的橡树岭国家实验室的研究人员,对从不同方面考量网络服务提供商声誉的各种各样的来源数据作了对比。

  各种安全组织倾向于根据网络威胁的来源地理位置和威胁重点,来进行不同的衡量。这一研究含有:来自网站Phishtank.com 和反钓鱼工作组(Anti-Phishing Working Group)的有关钓鱼网站的信息;来自网络安全监管组织Shadowserver Foundation的关于僵尸网络的数据;来自印第安那州立大学、反垃圾邮件组织Spamhaus以及SURBL,和情报支持部门(Support Intelligence)的垃圾邮件数据;来自CleanMX、eSoft、Malware Patrol等组织的恶意软件集合数据。

  橡树岭国家实验室的网络安全研究科学家克雷格.舒(Craig Shue)说,他所在的研究小组同意不公开那些已确认有恶意行为的主机和ISP的名字,作为交换,他们能够查看不同的数据集。舒的老板以及几家提供了数据的组织,对是否会因点名批评某网络服务提供商而遭到起诉充满顾虑。

  舒还表示,很多网络服务提供商的网络地址范围内有相当大的一部分都明显参与了恶意行为。“总体来说,只有少数的网络服务提供商有少量不成规模的恶意主机,”研究人员在报告中指出,“这些网络可能会庇护恶意行为,应该接受调查。”

  在一个数据集中,若某网络服务提供商允许了至少2.5%的恶意网站地址的话,那么研究人员就将它划归到恶意网络服务提供商名单中,比如钓鱼网站和捆绑了恶意软件的网站名单。他们发现在58个网络服务提供商的网络地址空间范围中,每一个网络都有超过10万个恶意主机,而有255个网络则各有1万~10万个主机系统被列入黑名单。

  “我们看到,在每个数据组中, 网络服务提供商的数量没有超过1%,但是比我们想象的要多一些。”舒说到。

  研究小组发现两个网络服务提供商——分别来自乌克兰和白俄罗斯——的网络地址范围内有超过80%的网址因同时含有垃圾邮件、钓鱼软件和恶意软件被列入黑名单。在另一个数据组中,他们调查了大量存在的犯罪分子用来控制僵尸网络(大量被黑掉的主机)的服务器,并发现一个来自土耳其的大型宽带网络服务提供商的服务器就占了所有网络地址的9.11%。

  研究人员试图避免不公平的评判,他们不会根据通过调查一个网络服务提供商的网络地址出现在坏数据组的百分比,而妨碍大型网络服务提供商的利益。其他的一些方法会依据列入黑名单的网址数量来确定有问题的网络。这种方式通常会指向世界上最大的一些网络服务提供商,而他们大多都位于美国。

  研究人员也试图辨认那些拥有少量恶意网络合作伙伴的网络服务提供商和网络供应商。为此,他们将注意力集中于那些至少有三个恶意网络合作伙伴的网络服务提供商,他们发现有22个网络中所有客户都是恶意用户,另外有194个网络,其中至少有50%的客户应归于恶意用户。

  2010年3月,俄国的网络运营商Troyak被其上游网络服务提供商切断了网络。研究人员发现,Troyak为几家不同的网络运营商提供服务,而这些运营商是60余个宙斯(Zeus)僵尸网络的指挥和控制中心。僵尸网络是由持续为犯罪分子提供盗取的金融数据——例如网上银行证书——的大量僵尸电脑构成的网络。

  2010年3月9日,Troyak曾有几次短时间的断离网络,之后又寻找新的上游网络服务提供商重新连接入网。这种猫捉老鼠的游戏在随后的3天内重复上演了五次。

  瑞士的信息科技专家罗马.赫西(Roman Hussey)建立的Zeustracker网站一直在跟踪宙斯僵尸网络的全球指挥和控制中心,他表示,收集和公开强调恶意网络服务提供商的信息非常重要,这不仅有助于防范和隔绝恶意主机,还能够为媒体提供相关信息。

  “Troyak再次接入互联网时遇到了一些麻烦,这在很大程度上是因为媒体的炒作,”赫西说。因为这些大肆宣传,“现在每个网络服务提供商都知道了Troyak的鼎鼎大名,未来将不会再与它合作。”

  亚历克斯.兰斯顿(Alex Lanstein)是位于加利福尼亚州米尔皮塔斯市的安全公司Fireeye的高级安全研究专家,该公司参与了对一些僵尸网络和恶意网络服务提供商的打击行动。他说,很多安全公司出于竞争的原因,不愿意公开地分享信息。

  出于一些重要的战略性原因,安全公司会对某些类型的威胁情报守口如瓶,兰斯顿说。“一些安全公司会为自己的客户阻挡特定的主机或网络服务提供商,但他们不会告诉任何人,这样,那些恶意网络也就不知道他们已经被阻挡在外了。”他说。

  他提到,公司在2009年9月发布了一份关于乌克兰一家网络服务提供商的报告。“当我将这份报告公之于众时,仅仅一天之后就没有人在使用我们公布的那些网络地址了,”并且将他们的操作全部转移到了那些感染较少的网络空间。