Lảng xa và gây choáng cho các mạng độc hại

Shunning and Stunning Malicious Networks

Aug 10

Theo: http://krebsonsecurity.com/2010/08/shunning-and-stunning-malicious-networks/

Bài được đưa lên Internet ngày: 10/08/2010

Lời người dịch: “Các công nghệ an ninh của chúng ta hầu hết dựa vào hàng ngày – từ các phần mềm chống virus cho tới các tường lửa và các thiết bị dò tìm thâm nhập trái phép – là phản tác dụng. Nghĩa là, chúng chỉ có hiệu quả sau khi một mối đe dọa mới đã được xác định và phân loại. Vấn đề là, trong khi đó, một số lượng vô cùng lớn các cá nhân và tổ chức đã trở thành những nạn nhân của những kẻ tấn công không xác định được này”. Và từ mùa thu năm 2007, người ta đã thấy một cách làm khác nữa, đó là tấn công đánh sập hạ tầng của các mạng những kẻ quấy phá. Đây là thông điệp chính của bài viết này.

McAfee vừa xuất bản Tạp chí về an ninh (Security Journa) lần thứ 6 của mình, mà có một bài dài mà tôi đã viết về ưu và nhược điểm của việc đánh sập các nhà cung cấp dịch vụ Internet và các botnet mà tạo điều kiện thuận lợi cho các hoạt động tội phạm không gian mạng. Phân tích này tập trung vào vài ví dụ lịch sử của những gì tôi gọi là “tránh xa” và “gây choáng váng”, hoặc bỏ đi những mạng lừa đảo hoặc bằng việc tẩy chay chúng, hoặc bằng việc đập tan hạ tầng của chúng trong một cuộc tấn công có sự phối hợp và bất ngờ một cách tương ứng.

Chủ đề của tạp chí lần này là tìm kiếm các cách thức để đưa an ninh vào sự tấn công, và nó bao gồm các bài viết từ các nhà nghiên cứu an ninh nổi tiếng Joe Stewart và Felix “FX” Lindner.

Đây là từ sự đóng góp:

Các công nghệ an ninh của chúng ta hầu hết dựa vào hàng ngày – từ các phần mềm chống virus cho tới các tường lửa và các thiết bị dò tìm thâm nhập trái phép – là phản tác dụng. Nghĩa là, chúng chỉ có hiệu quả sau khi một mối đe dọa mới đã được xác định và phân loại. Vấn đề là, trong khi đó, một số lượng vô cùng lớn các cá nhân và tổ chức đã trở thành những nạn nhân của những kẻ tấn công không xác định được này.

Cho tới rất gần đây, tiếp cận “săn và bịt” này khi làm việc với hoạt động độc hại trực tuyến đã trở thành quá thâm căn cố đế trong cộng đồng an ninh mà hầu hết những người cầm đầu tư tưởng về an ninh hài lòng chỉ đơn thuần đối với catalog mà những người phạm tội tồi tệ nhất trên Internet và chịu đựng những mạng thù địch nhất. Sự gia tăng theo hàm mũ về số lượng và sự tinh vi phức tạp của những mối đe dọa mới đã buông lỏng trong vài năm qua – đi cùng với một thái độ khắp nơi rằng việc đấu tranh chống hoạt động tội phạm trực tuyến là công việc có nguyên tắc của sự tăng cường pháp luật – đã giúp tăng cường cho tinh thần thủ cựu này.

McAfee just published the sixth edition of its Security Journal, which includes a lengthy piece I wrote about the pros and cons of taking down Internet service providers and botnets that facilitate cyber criminal activity. The analysis focuses on several historical examples of what I call “shuns” and “stuns,” or taking out rogue networks either by ostracizing them, or by kneecapping their infrastructure in a coordinated surprise attack, respectively.

The theme of this edition of the journal is finding ways to take security on the offense, and it includes articles from noted security researchers Joe Stewart and Felix “FX” Lindner.

Here’s the lead-in from my contribution:

The security technologies most of us rely on every day — from anti-virus software to firewalls and intrusion detection devices — are reactive. That is, they are effective usually only after a new threat has been identified and classified. The trouble is that, meanwhile, an indeterminate number of individuals and corporations become victims of these unidentified stalkers.

Until quite recently, this “bag ‘em and tag ‘em” approach to dealing with malicious activity online had become so ingrained in the security community that most of the thought leaders on security were content merely to catalog the Internet’s worst offenders and abide the most hostile networks. Exponential increases in the volume and sophistication of new threats unleashed during the past few years — coupled with a pervasive attitude that fighting criminal activity online is the principal job of law enforcement — have helped to reinforce this bunker mentality.

Rồi thì, vào mùa thu năm 2007, thứ gì đó đáng nhớ đã xảy ra mà nó dường như làm rung động nền công nghiệp an ninh thoát khỏi tình trạng u mê: một loạt các công việc điều tra trong dòng chính thống và công nghệ ép vào những tập trung của các hoạt động tội phạm không gian mạng trong một khối Web hosting tại Saint Petersburg được biết tới như là Mạng Doanh nghiệp Nga (RBN) đã gây ra cho việc phục vụ của các ISP đối với nhà cung cấp bị tước quyền để kéo nó ra. RBN, mà nó đã từng là một cơn lốc các hoạt động độc hại trong nhiều năm, đã bị ép phải đóng cửa và, sau đó, giải tán các hoạt động của nó.

Đây từng là lần đầu tiên trong nhiều ví dụ mà có thể trình diễn giá trị chiến lược (và, còn tranh cãi, sự tẩy nhẹ) của việc xác định và cô lập các nguồn thù địch một cách đáng kể và thường xuyên – nếu không phải là tội phạm – các hoạt động trực tuyến. Tôi sẽ tập trung vào 2 phương pháp nổi tiếng mang cuộc chiến tới cho kẻ thù và sẽ đưa ra một vài suy nghĩ về tính có thể sống sót được về lâu dài của các tiếp cận này.

Các bản sao của tạp chí sẵn sàng ở đây.

Then, in the fall of 2007, something remarkable happened that seemed to shake the security industry out of its torpor: a series of investigative stories in the mainstream and technology press about concentrations of cybercrime activity at a Web hosting conglomerate in St. Petersburg known as the Russian Business Network (RBN) caused the ISPs serving the infamous provider to pull the plug. The RBN, which had been a vortex of malicious activity for years, was forced to close up shop and, subsequently, scattered its operations.

This was the first of many examples that would demonstrate the strategic (and, arguably, cathartic) value of identifying and isolating significant, consistent sources of hostile — if not criminal — activity online. I will focus on two popular methods of taking the fight to the enemy and will offer a few thoughts on the long-term viability of these approaches.

Copies of the journal are available from this link.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com