Lảng xa và gây choáng cho các mạng độc hại

Shunningand Stunning Malicious Networks

Aug 10

Theo:http://krebsonsecurity.com/2010/08/shunning-and-stunning-malicious-networks/

Bài đượcđưa lên Internet ngày: 10/08/2010

Lờingười dịch: “Các công nghệ an ninh củachúng ta hầu hết dựa vào hàng ngày – từ các phần mềmchống virus cho tới các tường lửa và các thiết bị dòtìm thâm nhập trái phép – là phản tác dụng. Nghĩa là,chúng chỉ có hiệu quả sau khi một mối đe dọa mới đãđược xác định và phân loại. Vấn đề là, trong khiđó, một số lượng vô cùng lớn các cá nhân và tổchức đã trở thành những nạn nhân của những kẻ tấncông không xác định được này”. Và từ mùa thunăm 2007, người ta đã thấy một cách làm khác nữa, đólà tấn công đánh sập hạ tầng của các mạng những kẻquấy phá. Đây là thông điệp chính của bài viết này.

McAfee vừaxuất bản Tạp chí về an ninh (Security Journa) lần thứ 6của mình, mà có một bài dài mà tôi đã viết về ưu vànhược điểm của việc đánh sập các nhà cung cấp dịchvụ Internet và các botnet mà tạo điều kiện thuận lợicho các hoạt động tội phạm không gian mạng. Phân tíchnày tập trung vào vài ví dụ lịch sử của những gì tôigọi là “tránh xa” và “gây choáng váng”, hoặc bỏđi những mạng lừa đảo hoặc bằng việc tẩy chaychúng, hoặc bằng việc đập tan hạ tầng của chúngtrong một cuộc tấn công có sự phối hợp và bất ngờmột cách tương ứng.

Chủ đềcủa tạp chí lần này là tìm kiếm các cách thức đểđưa an ninh vào sự tấn công, và nó bao gồm các bài viếttừ các nhà nghiên cứu an ninh nổi tiếng Joe Stewart vàFelix “FX” Lindner.

Đây là từsự đóng góp:

Cáccông nghệ an ninh của chúng ta hầu hết dựa vào hàngngày – từ các phần mềm chống virus cho tới các tườnglửa và các thiết bị dò tìm thâm nhập trái phép – làphản tác dụng. Nghĩa là, chúng chỉ có hiệu quả sau khimột mối đe dọa mới đã được xác định và phânloại. Vấn đề là, trong khi đó, một số lượng vô cùnglớn các cá nhân và tổ chức đã trở thành những nạnnhân của những kẻ tấn công không xác định đượcnày.

Cho tớirất gần đây, tiếp cận “săn và bịt” này khi làmviệc với hoạt động độc hại trực tuyến đã trởthành quá thâm căn cố đế trong cộng đồng an ninh màhầu hết những người cầm đầu tư tưởng về an ninhhài lòng chỉ đơn thuần đối với catalog mà những ngườiphạm tội tồi tệ nhất trên Internet và chịu đựngnhững mạng thù địch nhất. Sự gia tăng theo hàm mũ vềsố lượng và sự tinh vi phức tạp của những mối đedọa mới đã buông lỏng trong vài năm qua – đi cùng vớimột thái độ khắp nơi rằng việc đấu tranh chống hoạtđộng tội phạm trực tuyến là công việc có nguyên tắccủa sự tăng cường pháp luật – đã giúp tăng cườngcho tinh thần thủ cựu này.

McAfeejust published the sixth edition of its SecurityJournal,which includes a lengthy piece I wrote about the pros and cons oftaking down Internet service providers and botnets that facilitatecyber criminal activity. The analysis focuses on several historicalexamples of what I call “shuns” and “stuns,” or taking outrogue networks either by ostracizing them, or by kneecapping theirinfrastructure in a coordinated surprise attack, respectively.

Thetheme of this edition of the journal is finding ways to take securityon the offense, and it includes articles f-rom noted securityresearchers JoeStewartand Felix“FX” Lindner.

Here’sthe lead-in f-rom my contribution:

Thesecurity technologies most of us rely on every day — f-romanti-virus software to firewalls and intrusion detection devices —are reactive. That is, they are effective usually only after a newthreat has been identified and classified. The trouble is that,meanwhile, an indeterminate number of individuals and corporationsbecome victims of these unidentified stalkers.

Untilquite recently, this “bag ‘em and tag ‘em” approach todealing with malicious activity online had become so ingrained in thesecurity community that most of the thought leaders on security werecontent merely to catalog the Internet’s worst offenders and abidethe most hostile networks. Exponential increases in the volume andsophistication of new threats unleashed during the past few years —coupled with a pervasive attitude that fighting criminal activityonline is the principal job of law enforcement — have helped toreinforce this bunker mentality.

Rồi thì,vào mùa thu năm 2007, thứ gì đó đáng nhớ đã xảy ra mànó dường như làm rung động nền công nghiệp an ninhthoát khỏi tình trạng u mê: một loạt các công việcđiều tra trong dòng chính thống và công nghệ ép vàonhững tập trung của các hoạt động tội phạm khônggian mạng trong một khối Web hosting tại Saint Petersburgđược biết tới như là Mạng Doanh nghiệp Nga (RBN) đãgây ra cho việc phục vụ của các ISP đối với nhà cungcấp bị tước quyền để kéo nó ra. RBN, mà nó đã từnglà một cơn lốc các hoạt động độc hại trong nhiềunăm, đã bị ép phải đóng cửa và, sau đó, giải táncác hoạt động của nó.

Đây từnglà lần đầu tiên trong nhiều ví dụ mà có thể trìnhdiễn giá trị chiến lược (và, còn tranh cãi, sự tẩynhẹ) của việc xác định và cô lập các nguồn thù địchmột cách đáng kể và thường xuyên – nếu không phảilà tội phạm – các hoạt động trực tuyến. Tôi sẽtập trung vào 2 phương pháp nổi tiếng mang cuộc chiếntới cho kẻ thù và sẽ đưa ra một vài suy nghĩ về tínhcó thể sống sót được về lâu dài của các tiếp cậnnày.

Các bảnsao của tạp chí sẵn sàng ởđây.

Then,in the fall of 2007, something remarkable happened that seemed toshake the security industry out of its torpor: a series ofinvestigative stories in the mainstream and technology press aboutconcentrations of cybercrime activity at a Web hosting conglomeratein St. Petersburg known as the Russian Business Network (RBN) causedthe ISPs serving the infamous provider to pull the plug. The RBN,which had been a vortex of malicious activity for years, was forcedto close up shop and, subsequently, scattered its operations.

Thiswas the first of many examples that would demonstrate the strategic(and, arguably, cathartic) value of identifying and isolatingsignificant, consistent sources of hostile — if not criminal —activity online. I will focus on two popular methods of taking thefight to the enemy and will offer a few thoughts on the long-termviability of these approaches.

Copiesof the journal are available f-rom thislink.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com