Español | English
rss facebook linkedin Twitter

McColo vuelve... durante un rato (¡aunque bien aprovechado!)


Ya hablamos del ISP McColo hace unos días y de lo que suponía como amenaza a la sociedad. Pensaba que ya teníamos que pasar página sobre este ISP pero no es así, puesto que esta semana reapareció durante unos instantes, esta vez más cerca de nosotros, en Suecia. El motivo fue que un ISP sueco (TeliaSonera AB) fue el que le pusó otra vez activo en Internet a través de un router que tiene esta empresa en San José. Rápidamente este ISP fue notificado del error que estaba haciendo y tomaron las medidas oportunas para volver a dejar a McColo fuera de Internet. Realmente reaccionaron rápido y muy bien.

Durante el tiempo en que McColo estuvo de nuevo vivo, se esforzó en actualizar todos sus C&C para redirigir todas sus botnets a otros ISPs (varios de Rusia) para poder seguir con su fraudulento negocio. Si fue capaz o no de migrar todos sus C&C el tiempo lo dirá.

Lo que sí es que está claro es que siguen esforzándose en volver a aparecer en Internet. Hay otros ISPs de Asia que están siendo utilizados para intentar volver a estar activo. Justo en el momento de escribir estas líneas, acabo de comprobarlo y hay otro ISP que está dándoles acceso, en este caso GBLX Global Crossing Ltd. (AS3549), con lo que con toda probabilidad les dará tiempo a "mover" toda su infraestructura y el SPAM volverá a los números anteriores.

De nuevo nos encontramos el problema que ya hemos comentado varias veces: blackholing a un ISP no es efectivo puesto que es relativamente fácil reubicarse en otro sitio. O se toman medidas legales y se persigue a la gente que está detrás de McColo, o nunca seremos capaces de acabar con sus actividades.

David Barroso
S21sec e-crime

3 comentarios:

Anónimo dijo...

Mi pregunta es...

¿Quien tiene que tomar esas "medidas legales"? ¿O tienen que ser penales contra el CEO de turno?

¿Cada gobierno, por libre?¿Obama el rey del mundo?¿ICANN? :?

S21sec e-crime dijo...

Anónimo,
en este caso al ser el propio ISP el responsable demostrado, y al estar registrado en EEUU, es EEUU el que en mi opinión tendría que tomar las medidas legales que me refiero por todos los delitos relacionados (y seguramente McColo esté bajo investigación por parte de alguna agencia norteamericana desde hace tiempo).Realmente no es sencillo puesto que las personas que estaban detrás realmente parece que no estaban en EEUU.

La dirección postal de McColo era 64 East Main St. Box 275, Newark, DE, 19715 USA, aunque se sospecha que realmente estaba operada desde Rusia (de hecho el supuesto CEO, Nikolai, 19 años y de Moscú) murió hace un año en un accidente.

Si nos basamos en el origen de la amenaza, es EEUU el que tendría que mover cielo y tierra para descubrir quién está detrás colaborando con otros países. Lo que está claro es que no es nada fácil.

David

Anónimo dijo...

http://en.wikipedia.org/wiki/Tier_1_carrier#List_of_Tier_1_IPv4_ISPs

Tambien podemos reflexionar sobre como los mas grandes le dan conexion a McColo.

Bueno son como los fabricantes de armas, ellos no aprietan el gatillo, pero venden el ancho de banda ;)


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login