[ atualizado 22/09 @ 3h59 ] — Quando um pesquisador de segurança ou qualquer internauta quer ajudar a rede a ficar mais segura, é comum o envio de e-mails a provedores avisando-os a respeito de sites maliciosos hospedados em seus servidores. Isto se chama “abuse report” ou “denúncia de abuso”. A Linha Defensiva faz isto por meio do grupo ARIS-LD.

Este post trata de duas empresas que sempre deixaram os denunciantes frustrados por nunca fazerem nada a respeito das denúncias: a registradora de domínios e hospedagem ESTDomains, sediada na Estônia[1. A empresa é de origem ESToniana, como sugere o nome, mas sua sede fica nos EUA.] e o provedor de hospedagem dedicada Atrivo, também conhecido como Intercage (após uma mudança de nome), ambos sediados nos Estados Unidos.

A principal fonte de conteúdo malicioso na rede da Atrivo é a própria ESTDomains — a registradora e prestadora de serviços de hospedagem é o maior cliente da Atrivo. Há outras empresas de hospedagem que alugam servidores na Atrivo, incluindo algumas legítimas, porém o conteúdo dos sites presentes na rede das duas companhias é predominantemente malicioso ou de qualidade duvidosa.

Isto não impediu que as duas tentassem se passar por empresas sérias, comprometidas com o bem-estar da rede, proibindo em seus “termos de uso” qualquer prática de spam ou disseminação de vírus. No entanto, derrubar um site malicioso hospedado na Atrivo, seja pela revenda da ESTHost ou diretamente, ou ainda um domínio malicioso registrado pela ESTDomains, era uma tarefa tão impossível quanto ganhar de uma máquina caça-níquel.

Infelizmente para a Atrivo, o repórter Brian Krebs do Washington Post resolveu publicar a respeito das práticas criminais da empresa. O efeito foi quase imediato: os provedores de conexão da Intercage começaram a desconectá-la, isolando-a na rede e tornando possível a possibilidade de que a Atrivo fosse totalmente desconectada da Internet e, com ela, todos os seus sites, legítimos ou maliciosos.

E a resposta da empresa não demorou: a Atrivo resolveu começar a derrubar os sites maliciosos para limpar sua imagem e tentar manter seus provedores consigo.

Já a ESTDomains começou a participar de fóruns de segurança públicos pedindo endereços de domínios maliciosos e desativando-os em massa.

Provavelmente a Atrivo mandou que a ESTDomains arrumasse seu lado do jardim, afinal a maioria dos sites maliciosos estavam sob o controle deles. Se a Atrivo ficasse sem provedor, muito provavelmente os processos de clientes sem conexão iriam dar ao dono da empresa (Emil Kacperski) dívidas para o resto de seus dias.

Administradores colocam pressão na Atrivo há muito tempo. Seus servidores foram bloqueados por listas negras e operadores de rede. Estes esforços não tiveram grandes resultados; a única ação da Atrivo foi mudar seu nome para Intercage.

É interessante ver como a publicação do fato por um grande veículo de mídia como o Washington Post foi capaz de colocar pressão suficiente para que as mudanças começassem a acontecer em poucos dias. Mesmo assim, é preciso elogiar os esforços de pesquisadores que conseguiram a informação que provou a negligência destas empresas para com as denúncias de ilegalidades. Sem esta informação, não haveria matéria sobre o assunto.

Resta saber se a nova atitude desta dupla infame é permanente ou se voltarão ao modelo antigo de negócios assim que os holofotes apontarem para outra direção. A Linha Defensiva estará de olho.

Práticas em que sites na ESTDomains/Atrivo estão envolvidos

De acordo com Brian Krebs, do Washington Post:

  • Hospedagem de vírus; uma matéria sobre codecs fajutos publicada na Linha Defensiva no fim de 2006 menciona a Intercage como provedor
  • Spam e hospedagem de sites anunciados em spam — inclusive com o uso de técnicas para dificultar a identificação das mensagens como spam, tais como o envio dos e-mails em massa a partir de múltiplos servidores
  • Hospedagem de antivírus falsos como “Antivirus 2008 XP” que apenas tomam o dinheiro das vítimas e não limpam o sistema
  • Hospedagem de exploits usados em sites pornôs afiliados ou sites comprometidos

Krebs ainda menciona em outro post que o CEO da ESTDomains foi condenado a três anos de cadeia na Estônia e que especialistas acreditam que a empresa tem ligação com o crime organizado.

O blog RBNExploit, que monitora as atividades da rede de cibercrime russa Russian Business Network (RBN), cita um estudo que concorda que a Atrivo faz parte da rede de cibercrime organizado. O estudo tem entre seus autores colaboradores com as matérias de Krebs sobre a Atrivo e ESTDomains.

Escrito por Altieres Rohr

Editor da Linha Defensiva.

Todos os posts Website

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Gravatar
Logo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Cancelar

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.