Projeto Spamhaus - The Spamhaus Project

O Projeto Spamhaus
Logotipo - The Spamhaus Project.png
Fundado Londres , Inglaterra 1998 ( 1998 )
Fundador Steve Linford
Modelo Empresa sem fins lucrativos limitada por garantia
Foco Combate ao spam de e -mail e formas associadas de crime de computador
Localização
Área servida
No mundo todo
Método Investigação forense , listas de bloqueio DNS em tempo real
Funcionários
38 (em março de 2013)
Local na rede Internet www.spamhaus.org

O Projeto Spamhaus é uma organização internacional, com sede em Andorra e Genebra , fundada em 1998 por Steve Linford para rastrear spammers de e - mail e atividades relacionadas a spam . O nome spamhaus , uma expressão pseudo-alemã, foi cunhado por Linford para se referir a um provedor de serviços de Internet , ou outra empresa, que envia spam ou fornece serviços intencionalmente a spammers.

Listas anti-spam

O Projeto Spamhaus é responsável por compilar várias listas anti-spam amplamente utilizadas. Muitos provedores de serviços de Internet e servidores de e- mail usam as listas para reduzir a quantidade de spam que chega aos usuários. Em 2006, os serviços do Spamhaus protegeram 650 milhões de usuários de e-mail, incluindo o Parlamento Europeu, o Exército dos EUA, a Casa Branca e a Microsoft, de bilhões de e-mails de spam por dia.

O Spamhaus distribui as listas na forma de listas negras baseadas em DNS ( DNSBLs ) e listas brancas ( DNSWLs ). As listas são oferecidas como um serviço público gratuito para operadores de servidores de correio de baixo volume na Internet. Os serviços comerciais de filtragem de spam e outros sites que fazem um grande número de consultas devem, em vez disso, se inscrever em um feed baseado em rsync desses DNSBLs, que o Spamhaus chama de serviço Datafeed . Spamhaus descreve a forma como sua tecnologia DNSBL funciona em um documento chamado Understanding DNSBL Filtering .

A Lista de Bloqueios de Spamhaus (SBL) visa "fontes de spam verificadas (incluindo spammers, gangues de spam e serviços de suporte a spam)." Seu objetivo é listar os endereços IP pertencentes a spammers conhecidos, operações de spam e serviços de suporte a spam. As listagens do SBL são parcialmente baseadas no índice ROKSO de spammers conhecidos.

A Lista de Bloqueios de Exploits (XBL) visa "exploits ilegais de terceiros, incluindo proxies abertos , worms / vírus com mecanismos de spam integrados, PCs e servidores infectados por vírus e outros tipos de exploits de cavalos de tróia". Ou seja, é uma lista de proxies abertos conhecidos e computadores explorados usados ​​para enviar spam e vírus. O XBL inclui informações coletadas pelo Spamhaus, bem como por outras operações DNSBL contribuintes, como a Lista de Bloqueio Composto (CBL).

A Lista de Bloqueios de Política (PBL) é semelhante a uma Lista de Usuários de Discagem . O PBL lista não apenas endereços IP dinâmicos, mas também endereços estáticos que não devem enviar e-mail diretamente para servidores de terceiros. Exemplos disso são os roteadores de núcleo de um ISP , usuários corporativos exigidos pela política para enviar seus e-mails por meio dos servidores da empresa e endereços IP não atribuídos. Muitos dos dados são fornecidos ao Spamhaus pelas organizações que controlam o espaço de endereço IP, normalmente ISPs.

A Lista de Bloqueios de Domínio (DBL) foi lançada em março de 2010 e é uma lista de nomes de domínio, que é uma Lista de Bloqueio de URI de domínio e RHSBL . Ele lista domínios de spam, incluindo URLs de carga útil de spam, fontes e remetentes de spam ("lado direito"), spammers e gangues de spam conhecidos e sites relacionados a phish, vírus e malware . Posteriormente, ele adicionou uma zona de "abreviadores de URL abusados", uma maneira comum de spammers inserirem links em e-mails de spam.

A Lista de controladores de botnet (BCL) foi lançada em junho de 2012 e é uma lista de endereços IP. Ele lista os endereços IP que o Spamhaus acredita serem operados por cibercriminosos com o propósito exclusivo de hospedar a infraestrutura de Comando e Controle de botnet. Essa infraestrutura é comumente usada por cibercriminosos para controlar computadores infectados por malware.

A Lista Branca de Spamhaus (SWL) foi lançada em outubro de 2010 e era uma lista de permissões de endereços IPv4 e IPv6. O SWL tinha como objetivo permitir que os servidores de e-mail separassem o tráfego de e-mail de entrada em 3 categorias: Bom, Ruim e Desconhecido. Apenas remetentes legítimos verificados com reputação limpa foram aprovados para a lista de permissões e havia termos estritos para manter uma conta da Spamhaus Whitelist.

A Lista Branca de Domínios (DWL) foi lançada em outubro de 2010 e era uma lista branca de nomes de domínio. O DWL permite a certificação automática de domínios com assinaturas DKIM . Apenas remetentes legítimos verificados com reputação limpa foram aprovados para a lista de permissões e existem termos rígidos para manter uma conta na lista de permissões.

O Spamhaus também oferece duas listas combinadas. Um é o SBL + XBL e o segundo é denominado ZEN , que combina todas as listas baseadas em endereços IP do Spamhaus.

Registro de operações de spam conhecidas

O Registro Spamhaus de Operações de Spam Conhecidas (ROKSO) é um banco de dados de spammers e operações de spam que foram encerrados de três ou mais ISPs devido ao spamming. Ele contém informações de origem pública sobre essas pessoas, seus domínios, endereços e apelidos.

O banco de dados ROKSO permite que os ISPs examinem novos clientes, garantindo que os spammers listados na ROKSO tenham dificuldade em obter hospedagem. Uma listagem no ROKSO também significa que todos os endereços IP associados ao spammer (seus outros domínios, sites, servidores, etc.) são listados no Spamhaus SBL como "sob o controle de um spammer listado por ROKSO", independentemente de haver spam vindo de eles ou não (como uma medida preventiva).

Existe uma versão especial do ROKSO, disponível para Agências de Execução da Lei, contendo dados sobre centenas de gangues de spam, com evidências, logs e informações sobre atividades ilegais dessas gangues, sensíveis demais para publicar na parte pública da ROKSO.

Não rotear ou lista de pares

A lista Spamhaus Don't Route Or Peer (DROP) é ​​um arquivo de texto delineando blocos CIDR que foram roubados ou são "totalmente controlados por spammers ou 100% por operações de hospedagem de spam". Como um pequeno subconjunto do SBL, ele não inclui intervalos de endereços registrados para ISPs e sublocações para spammers, mas apenas os blocos de rede totalmente usados ​​por spammers. Destina-se a ser incorporado em firewalls e equipamentos de roteamento para eliminar todo o tráfego de rede de e para os blocos listados. O FAQ da página DROP afirma que os dados são gratuitos para todos baixarem e usarem. Em 2012, o Spamhaus ofereceu um feed BGP dos mesmos dados DROP.

Empresas

O Grupo Spamhaus consiste em várias empresas independentes que se concentram em diferentes aspectos da tecnologia anti-spam Spamhaus ou fornecem serviços baseados nela. No centro está o The Spamhaus Project SLU , uma empresa sem fins lucrativos com sede em Andorra que rastreia fontes de spam e ameaças cibernéticas, como phishing, malware e botnets, e publica DNSBLs gratuitos. Os serviços comerciais são gerenciados pela empresa britânica de distribuição de dados Spamhaus Technology Ltd. , com sede em Londres, Reino Unido, que gerencia serviços de distribuição de dados para sistemas de filtro de spam em grande escala.

Prêmios

  • Prêmio Cyber ​​Crime Fighter 2008 da National Cyber ​​Forensics Training Alliance
  • Prêmio Herói da Internet de 2003 da Internet Service Providers Association
  • A maior contribuição para o anti-spam nos últimos 10 anos apresentada ao Spamhaus pela Virus Bulletin Magazine.

Conflitos

ação e360

Em setembro de 2006, David Linhardt, o proprietário-operador da empresa americana de email em massa "e360 Insight LLC", entrou com uma ação contra a Spamhaus em Illinois por colocar suas correspondências na lista negra. Spamhaus transferiu o caso do tribunal estadual para o Tribunal do Distrito Federal dos Estados Unidos para o Distrito Norte de Illinois e pediu que o caso fosse encerrado por falta de jurisdição . O tribunal, presidido pelo juiz Charles Kocoras , prosseguiu com o caso contra Spamhaus sem considerar a questão da jurisdição, levando o parlamentar britânico Derek Wyatt a pedir a suspensão do juiz. Não tendo sua objeção à jurisdição examinada, Spamhaus recusou-se a participar do caso nos Estados Unidos e retirou seu advogado. No entanto, Spamhaus foi considerado pelo tribunal como tendo "jurisdição tecnicamente aceita" por ter inicialmente respondido, e o juiz, zangado por Spamhaus ter saído de seu tribunal, concedeu à e360 uma sentença à revelia totalizando US $ 11.715.000 em danos. A Spamhaus subsequentemente anunciou que iria ignorar a sentença porque sentenças padrão emitidas pelos tribunais dos EUA sem julgamento "não têm validade no Reino Unido e não podem ser executadas sob o sistema jurídico britânico".

Seguindo a decisão a seu favor, o e360 entrou com uma moção para tentar forçar a ICANN a remover os registros de domínio do Spamhaus até que a sentença padrão fosse cumprida. Isso levantou questões internacionais relacionadas à posição incomum da ICANN como uma organização americana com responsabilidade mundial por nomes de domínio, e ICANN protestou que não tinha capacidade nem autoridade para remover os registros de domínio da Spamhaus, que é uma empresa com sede no Reino Unido. Em 20 de outubro de 2006, o juiz Kocoras emitiu uma decisão negando a moção do e360 contra ICANN, declarando em sua opinião que "não há indicação de que ICANN [não é] [um] direito independente [y] [de Spamhaus], impedindo assim uma conclusão que [está] agindo em conjunto "com a Spamhaus e que o tribunal não tinha autoridade sobre a ICANN neste assunto. O tribunal decidiu ainda que a remoção do registro de nome de domínio do Spamhaus era uma solução "ampla demais para ser garantida neste caso", porque "cortaria todas as atividades online legais do Spamhaus por meio de seu nome de domínio existente, não apenas aqueles que estão em violação "da sentença à revelia. Kocoras concluiu: "[enquanto] não toleraremos o descumprimento de uma ordem válida deste tribunal [ou seja, a recusa de Spamhaus em cumprir a sentença à revelia] nem imporemos uma sanção que não corresponda à gravidade do delito conduta".

Em 2007, o escritório de advocacia Jenner & Block LLP de Chicago assumiu o caso de Spamhaus pro bono publico e apelou da decisão. O Tribunal Federal de Apelações dos Estados Unidos para o Sétimo Circuito anulou a indenização por danos e reenviou o assunto ao tribunal distrital para uma investigação mais ampla para determinar os danos. Em janeiro de 2008, a e360 Insight LLC entrou com pedido de falência e fechou, citando contas legais astronômicas associadas a este caso judicial como o motivo de sua extinção.

Em 2010, o juiz Kocoras reduziu a indenização por danos de US $ 11,7 milhões para US $ 27.002 - US $ 1 por interferência ilícita com vantagem econômica em potencial, US $ 1 por reclamações de difamação e US $ 27.000 por "contratos existentes".

Ambas as partes apelaram, mas o caso do e360 para aumentar os danos foi duramente criticado pelo juiz Richard Posner do Sétimo Circuito: "Nunca vi uma apresentação tão incompetente de um caso de danos", disse Posner. "Não é apenas incompetente, é grotesco. Você tem danos que saltam de US $ 11 milhões para US $ 130 milhões para US $ 122 milhões para US $ 33 milhões. Na verdade, os danos são provavelmente zero." Em 2 de setembro de 2011, o tribunal reduziu a indenização por danos para apenas $ 3 no total e condenou o autor e360 a pagar as despesas do recurso de defesa.

Spamhaus versus nic.at

Em junho de 2007, o Spamhaus solicitou ao registro nacional de domínios da Áustria , nic.at , a suspensão de vários domínios, alegando que eles foram registrados anonimamente por gangues de phishing para fins ilegais de phishing bancário . O registro nic.at rejeitou o pedido e argumentou que eles violariam a lei austríaca ao suspender domínios, mesmo que os domínios fossem usados ​​para fins criminosos, e exigiu prova de que os domínios foram registrados com identidades falsas. Por algum tempo, os domínios continuaram a roubar titulares de contas em bancos europeus. Finalmente, o Spamhaus colocou o servidor de e-mail de nic.at em sua lista negra de spam da SBL sob a política da SBL "Fornecendo Conscientemente um Serviço de Suporte a Spam para Lucro" por vários dias, o que causou interferência no tráfego de e-mail em nic.at. Todos os domínios de phishing em questão foram excluídos ou suspensos por seus provedores de DNS.

Bloqueio de IPs do Google Docs

Em agosto de 2010, o Spamhaus adicionou alguns endereços IP controlados pelo Google usados ​​pelo Google Docs à sua lista de spam SBL, devido ao Google Docs ser uma grande fonte de spam não controlado. O Google corrigiu o problema rapidamente e o Spamhaus removeu a listagem. Embora inicialmente relatado erroneamente por alguma imprensa como sendo IPs usados ​​pelo Gmail, mais tarde foi esclarecido que apenas o Google Docs estava bloqueado.

Disputa de CyberBunker e ataque DDoS

Diagrama mostrando a função de resolvedores abertos, servidores configurados incorretamente e vulneráveis ​​a falsificação de endereço IP

Em março de 2013, o CyberBunker , um provedor de internet com o nome de sua antiga sede em um bunker da OTAN excedente na Holanda que "oferece hospedagem anônima de qualquer coisa, exceto pornografia infantil e qualquer coisa relacionada ao terrorismo" foi adicionado à lista negra do Spamhaus usada por provedores de e-mail para eliminar fora spam. Pouco depois, a partir de 18 de março, Spamhaus foi alvo de um ataque distribuído de negação de serviço (DDoS) explorando uma vulnerabilidade há muito conhecida no Sistema de Nomes de Domínio (DNS) que permite a origem de grandes quantidades de mensagens em dispositivos pertencentes a terceiros que usam Falsificação de endereço IP . Os dispositivos explorados no ataque podem ser tão simples quanto um conversor de cabo conectado à Internet. O ataque foi de uma escala não relatada anteriormente (com pico de 300 Gbit / s; um ataque médio em grande escala pode chegar a 50 Gbit / s, e o maior ataque relatado publicamente foi de 100 Gbit / s) foi lançado contra os servidores DNS do Spamhaus; em 27 de março de 2013, os efeitos do ataque duraram mais de uma semana. Steve Linford, presidente-executivo da Spamhaus, disse que eles resistiram ao ataque, usando a ajuda de outras empresas de internet, como o Google, para absorver o excesso de tráfego. Linford também afirmou que o ataque estava sendo investigado por cinco forças policiais cibernéticas em todo o mundo, que optaram por permanecer anônimas para evitar ataques semelhantes em sua própria infraestrutura. A Spamhaus também contratou a Cloudflare , uma empresa de mitigação de DDoS, para ajudá-los com a distribuição de seus serviços de Internet pela rede mundial da Cloudflare, após o que o foco do ataque foi redirecionado para as empresas que fornecem as conexões de rede da Cloudflare.

Spamhaus alegou que o CyberBunker, em cooperação com "gangues criminosas" da Europa Oriental e da Rússia, estava por trás do ataque; O CyberBunker não respondeu ao pedido da BBC para comentar a alegação; no entanto, Sven Olaf Kamphuis, o proprietário do CyberBunker, postou em sua conta do Facebook em 23 de março "Ei anons, nós poderíamos usar um pouco de ajuda para encerrar o projeto ilegal de calúnia e chantagem de censura 'spamhaus.org', que pensa que pode ditar seu opiniões sobre o que deve e não deve estar na Internet. " De acordo com o The New York Times Kamphuis também afirmou ser o porta-voz dos atacantes, e disse em uma mensagem "Estamos cientes de que este é um dos maiores ataques DDoS que o mundo já viu publicamente", e que o CyberBunker estava retaliando o Spamhaus por "abusando de sua influência". O NYT acrescentou que o pesquisador de segurança Dan Kaminsky disse: "Você não pode impedir uma inundação de DNS ... A única maneira de lidar com esse problema é encontrar as pessoas que estão fazendo isso e prendê-las".

O ataque foi atribuído por engenheiros de rede a um grupo anônimo insatisfeito com o Spamhaus, mais tarde identificado pelas vítimas do ataque como Stophaus, um grupo vagamente organizado de "hosters de spam e malware à prova de balas".

Em 26 de abril de 2013, o proprietário do CyberBunker, Sven Olaf Kamphuis, foi preso na Espanha por sua participação no ataque ao Spamhaus. Ele foi detido por 55 dias até a extradição para a Holanda, foi solto enquanto aguardava o julgamento e, por fim, foi considerado culpado e sentenciado a 240 dias de prisão, com os dias restantes suspensos.

A British National Cyber ​​Crime Unit revelou que um estudante de Londres havia sido secretamente preso como parte de uma suposta gangue do crime organizado responsável pelos ataques DDoS. Um documento informativo com detalhes do suposto envolvimento do estudante afirma: "O suspeito foi encontrado com seus sistemas de computador abertos e conectado a vários sistemas virtuais e fóruns. O sujeito tem uma quantia significativa de dinheiro fluindo por sua conta bancária. Investigadores financeiros estão em o processo de restrição de dinheiro. "

Ames v. The Spamhaus Project Ltd

Em 2014, Spamhaus foi processado pelos empreendedores da Califórnia Craig Ames e Rob McGee, que estavam envolvidos com um negócio de serviços de marketing por e-mail em massa, inicialmente por meio de uma empresa americana chamada Blackstar Media LLC, e mais tarde como funcionários da Blackstar Marketing, uma subsidiária da A empresa inglesa Adconion Media Group Limited, que comprou a Blackstar Media em abril de 2011. Embora uma moção inicial da Spamhaus para eliminar as reivindicações tenha falhado, eles acabaram prevalecendo quando os reclamantes desistiram do caso e pagaram os custos legais da Spamhaus.

Veja também

Referências

links externos