McColo: un anno dopo

Un anno fa riportavo qui gli effetti osservati a seguito della chiusura forzata di McColo, hosting provider californiano pesantemente implicato in una grande fetta delle attività criminali online dell’epoca.

A 12 mesi di distanza è possibile guardare indietro per vedere cosa è successo nel frattempo e stabilire con maggior chiarezza quale è stato l’effetto degli eventi di allora.

Il solito Brian Krebs ne fa qui un succulento riassunto.

Read Full Post »

L’onda

Ieri sera pare che i tizi lì fuori abbiano deciso di rispolverare i vecchi fasti.

Riassunto delle puntate precedenti: dopo la chiusura di McColo, a Novembre, il flusso di spam uscente da botnet è crollato drasticamente, riportandosi su valori che non si osservavano da svariati mesi, e rimanendo tale più a lungo di quanto ci si aspettasse.

Quel che è accaduto, pare, è che, nel momento in cui sono stati eliminati dalla rete i server con funzioni primarie di comando delle botnet, chi le gestiva ne ha ovviamente perso il controllo (questi server sono detti, non a caso, “C&C”, ovvero Command&Control).

Soprattutto, molti dei bot in questione presentavano riferimenti ai server di controllo cablati in qualche misura nel codice stesso, con il risultato che le loro “creature” sono rimaste lì fuori, prive di governo ed inutilizzabili per chiunque.

Da ieri sera, invece, si è iniziato ad osservare quanto vedete qui accanto.

L'Onda

Nel corso di questi mesi si erano in effetti osservati svariati segnali che evidenziavano una ripresa dell’operatività di botnet, ma mai eventi con flussi paragonabili all’attuale e con una durata così protratta nel tempo.

Ora siamo, di fatto, estremamente vicini ai valori che si riscontravano nel corso dei mesi di Agosto/Settembre 2008, prima che il canto del cigno dei primi di Novembre (con valori quasi del 200% rispetto al periodo precedente) anticipasse la chiusura prima di Atrivo e poi di McColo.

Tuttto sommato, c’è da osservare che per riprendersi da quell’evento questi criminali hanno impiegato anche più tempo di quanto ci si aspettasse, a dimostrazione del fatto che, con un serio impegno e con una reale collaborazione tra gli operatori, è realmente possibile arginare queste operazioni.

Rimane il timore che abbiano imparato una lezione sul piano strettamente tecnico, e che “la prossima volta” i tempi di recovery saranno significativamente più compressi…

Read Full Post »

Il cigno e la talpa

Nonostante il titolo zoofilo, sempre di spam si parla.

L’aumento sostanzioso nella quantità di spam rilevato nel corso degli ultimi giorni, quale che ne fosse la ragione, pare essere stato una sorta di “canto del cigno” di una botnet che forse sapeva di avere i giorni contati.

Schiaccia la talpa!

Partiamo dai fatti: come visibile qui accanto, nella serata di ieri la quantità di spam ha subìto una drastica riduzione, portandosi a valori (meno del 70% del traffico complessivo) che non si vedevano oramai da parecchio tempo.

Questa osservazione, apparentemente, non è un fenomeno locale, ma è stata riscontrata in maniera sostanzialmente contemporanea da praticamente tutti gli osservatori. La causa più probabile apparirebbe essere la chiusura di McColo Corp., hosting provider con sede nella California del Nord (curiosamente, come Atrivo), additata come una delle reti con la maggiore concentrazione di attività di controllo di botnet, e dalla cui rete, secondo le stime degli addetti ai lavori, veniva orchestrato l’invio di quasi 3/4 dello spam che giornalmente vediamo passare.

Nel perenne gioco di “schiaccia la talpa” tra i buoni e i cattivi, McColo è stata disconnessa, e con ciò le botnet ivi controllate parrebbero essersi fermate.

Per poco. Godiamoci la quiete, perchè tanto è certo che in capo a poche ore le attività riprenderanno altrove, come sempre è accaduto finora…

Read Full Post »