Monopol, magtmisbrug og egeninteresse eller en hjælpende hånd i et hav af spam? Repræsentanter fra flere internetvirksomheder talte med tech-journalisten Lars "Ghandy" Sobiraj for at diskutere det kontroversielle Spamhaus-projekt. Tilpasset analyse under snittet.
Hvem er Spamhaus Project
En hurtig søgning på nettet afslører, at Spamhaus er en international non-profit organisation grundlagt i 1998. Ifølge virksomhedens tidligere CIO (læs: foredragsholder), Richard Cox, er Spamhaus dog et britisk aktieselskab. På tidspunktet for offentliggørelsen af interviewet med Cox (2011), var Spamhaus hovedkontor i Genève. Al information om virksomheden er dog selvmodsigende, inkonsekvent og mystisk.
Sven Olaf von Kamphuis (herefter kaldet SOvK), en af grundlæggerne af Cyberbunker, taler om Spamhaus på den mest lidet flatterende måde som muligt. Ifølge ham har hr. Cox været uden arbejde i mere end 20 år, hvis denne person overhovedet eksisterer. Projektet er angiveligt udelukkende kontrolleret af Mr. Stephen John Linford og hans kone Myra Peters. Hertil kommer, som SOvK foreslår, at non-profit organisationer generelt ikke kræver tilstedeværelse på Seychellerne eller Mauritius. Cyberbunker-medstifteren forstår heller ikke, hvorfor så mange journalister forelsker sig i projektet – mediebranchen er i høj grad ansvarlig for problemerne forbundet med Spamhaus. Al information, som projektet sender til teknologipublikationer, offentliggøres normalt uden nogen form for verifikation, fortsætter SOvK.
Spamhaus Project Twitter-konto, næsten 4000 følgere
Dommer og bøddel i én person uden nogen juridisk bemyndigelse til at gøre det
Hvad der umiddelbart falder dig i øjnene: Uanset hvor betydningsfuld og rimelig virksomhedens funktion kan synes, har Spamhaus-projektet ikke noget juridisk grundlag for deres aktiviteter. Derudover er deres aktiviteter aldrig blevet officielt godkendt af staten eller kompetente myndigheder: SOvK fokuserer på det faktum, at Spamhaus ikke engang er medlem af RIPE (Réseaux IP Européens er en europæisk regulator, der beskæftiger sig med registrering og fordeling af ressourcer på internettet). Men over for omverdenen er indtrykket, at Spamhaus er en slags "internetpoliti", mens Campuis påpeger, at virksomheden selv "har brug for politiopmærksomhed." Han siger også, at offentliggørelsen af meget af dataene på Spamhaus hjemmeside er ulovlig og krænker databeskyttelsesrettigheder. Offentliggørelse af al information om spammere i projektet bør være forbudt. Problemet er ifølge SOvK offentliggørelsen af persondata i Register of Known Spam Operations (ROKSO). Disse data skal beskyttes som andre personlige oplysninger, for ikke at nævne det faktum, at indholdet af Spamhaus-databaser ikke altid kunne fås på lovlig vis.
Roskomndazors holdning til Spamhaus i RuslandI øvrigt om lovligheden af projektets aktiviteter. Fra med forklaringer vedrørende Spamhaus fra Roskomnadzor følger det, at deres aktiviteter i Den Russiske Føderation er ulovlige:
Med undtagelse af indtastning af webstedet i registret på grundlag af informationsloven, en domstolsafgørelse eller detaljerne i en aftale med en abonnent (bruger) af telematiske kommunikationstjenester og andre grunde til at begrænse adgangen til webstedet (netværk) ( herunder efter anmodning fra Spamhaus-selskabet), har teleoperatøren det ikke.
Hvis en telematikoperatør ulovligt begrænser adgangen til et websted (netværk) til en abonnent (bruger) af telematiske kommunikationstjenester, vil operatørens handlinger indeholde tegn på en overtrædelse af kontrakten med abonnenten.
Sådan skete det: Cyberbunker versus "internetpolitiet"
I 2013 eskalerede konflikten mellem underjordiske webhosting Cyberbunker og Spamhaus. Spamhaus, som dengang var baseret i Schweiz, placerede Cyberbunker på sin sortliste på grund af sine kunders tvivlsomme aktiviteter og offentliggjorde den. Efter dette skete et af de største DDoS-angreb i internethistorien: Spamhaus.org blev bombarderet med digitalt affald med en hastighed på 75 Gbps. På grund af dets omfang siges angrebet kortvarigt at have forstyrret den globale webtrafik. I april 2013 fik den formodede gerningsmand, SOvK, der på det tidspunkt boede i Spanien, besøg af det lokale politi. Computere, lagermedier og mobiltelefoner fra den person, som anklageren har identificeret som hr. K., blev konfiskeret.
Spamhaus-projektet er en bog med syv segl
Uanset Cyberbunker-sagen forsøgte vi at finde ud af, hvad Spamhaus-projektet egentlig er, da det ikke fremgår tydeligt af oplysningerne på deres egen hjemmeside. Hidtil har henvendelser sendt til presseadressen ikke modtaget svar siden sidst i januar 2020. Hr. Campuis hævder, at Spamhaus havde et enkelt non-profit aktieselskab, som tidligere blev nævnt, men det blev afregistreret i begyndelsen af 2020. De resterende virksomheder havde ingen velgørende formål. Upstream-udbyder og backbone-operatør, SquareFlow, sagsøgte Spamhaus. SquareFlow tilbyder lignende tjenester til Cogent, HE, GTT, LibertyGlobal og andre ved at hoste VPN-tjenester. To SquareFlow Group-ledere svarede på vores anmodning den 1. marts 2020:
Vi har ikke råd til vilkårligt at afbryde en klient og nægte alle tjenester, udelukkende baseret på det faktum, at Spamhaus anser dem for at være dårlige. Under netneutralitet kan vi ikke afgøre, om trafikken er ondsindet eller ej, uden at udføre en dyb pakkeanalyse, hvilket dog i alvorlig grad vil kompromittere privatlivet for vores kunder og deres brugere. Vi er styret af loven og ikke af en tredjeparts virksomheds mening, der ønsker at diktere hele internettet, hvem der må arbejde på netværket, og hvem der ikke må. På nuværende tidspunkt har vi ingen beviser, retskendelser eller andre grunde til at tro, at vores klienter er involveret i skadelige aktiviteter.
Fordi vi ikke samarbejdede med Spamhaus, gjorde de flere forsøg på at skade vores virksomheds, vores leverandørers og partneres omdømme. Vi eller vores klienter kan under ingen omstændigheder holdes ansvarlige for mistanke.
Skræmme, advare, adskille kraftigt
Deres forsøg på at påvirke hele netværk kan med rette betragtes som tvang, som er en kriminel handling i alle EU-lande. Der har været flere tilfælde, hvor Spamhaus har sortlistet hele netværk af udbydere på grund af én kunde, hvilket har tvunget dem til at stoppe med at servicere uønskede. Vi mener, at databeskyttelse og anonymitet er grundlæggende menneskerettigheder. Som et resultat vil vi aldrig blindt følge de urimelige krav fra Spamhaus eller nogen anden part, der forsøger at diktere vilkår. På grund af deres handlinger er vi begyndt at gribe ind over for deres forretningspraksis.
Vi støtter også vores partnere i retssager mod Spamhaus, da Spamhaus stadig forsøger at tvinge os til at stoppe med at betjene nogle kunder ved at kontakte vores partnere og leverandører, og erklære os kriminelle for ikke at efterkomme deres anmodninger, hvilket naturligvis er magtmisbrug. Vi spekulerer i, at deres flytning til Andorra er relateret til deres kriminelle adfærd, som har kollideret med det britiske retssystem.
Med venlig hilsen.
SquareFlow Group - Public Relations
På vegne af bestyrelsen: Wim B., Florian B.
Flytter Spamhaus til Andorra
Spamhaus-projektet er i øjeblikket baseret i Andorra, et lille land beliggende i Pyrenæerne, som ifølge Wikipedia primært er kendt for sine skisportssteder, toldfrie butikker og status som skattely. Det er vigtigt at bemærke, at Andorra ikke er en del af EU; forholdet mellem Andorra og Den Europæiske Union er kun styret af traktater.
Det var ikke let at finde nogen information om den nye organisation i forbindelse med Spamhaus, men jeg var til sidst i stand til at finde de oplysninger, jeg havde brug for, fra EUIPO (European Union Intellectual Property Office). EUIPO-data angiver, at et selskab kaldet Spamhaus IP Holdings SLU i øjeblikket ejer varemærke nr. 005703401, med en varemærkeregistreringsdato den 8. februar 2007. Registreringsansøgningen blev indgivet af Boyes Turner LLP.
Spamhaus-varemærkeregistreringsoplysninger
Kontakter er skjult af indlysende årsager.
Notat fra oversætterenDet er virkelig svært at finde noget om den juridiske side af Spamhaus. Desuden er den information, der er tilgængelig på overfladen, ærlig talt usand. Den eneste information, der er tilgængelig på webstedet for Spamhaus selv om virksomhedens placering, vedrører varemærket - ordet "Spamhaus", som er registreret i EU.
ROKSO som en anstødssten
Målet med Spamhaus-projektet var naturligvis at finde spamdistributører. Som allerede nævnt lagres data om spammere i ROKSO-databasen. Men i betragtning af at denne database er offentlig, sætter Spamhaus bogstaveligt talt alle mistænkte på skammebordet. Ikke alene kan du finde en masse personlige data i databasen, den indeholder også beskeder fra ofre, der er offentliggjort uden censur. Og da Spamhaus bor uden for EU, er der ingen konsekvenser for virksomheden fra GDPR.
ROKSO fører bogstaveligt talt al mistænkelig aktivitet, hvad enten det er ægte spam eller en simpel fejl. Der er således ikke tale om nogen uskyldsformodning. Det er heller ikke muligt hurtigt at kontakte virksomheden. Der er intet telefonnummer, e-mail eller blot en kontaktformular til kundesupport på deres hjemmeside. Nogle fragmentariske oplysninger kan fås ved omhyggeligt at studere FAQ. Jeg forsøgte at kontakte virksomheden direkte: fra slutningen af januar 2020 og indtil offentliggørelsen af artiklen [note: 6. april samme år] blev der ikke modtaget svar på en enkelt anmodning.
Kritik af Spamhaus-sortlisten (SBL) fra VPN-tjenesten nVPN
VPN-udbyderen nVpn kritiserer projektet af andre grunde. Spamhaus Black List (SBL) er en konstant opdateret database med IP-adresser. Spamhaus anbefaler på det kraftigste ikke at acceptere e-mails fra adresser indeholdt i databasen. Virksomheden hævder endda, at denne database kan fås i realtid. På Spamhaus-webstedet står der i SBL-sektionen, at en sortliste "giver mailserveradministratorer mulighed for at identificere, markere eller blokere indgående forbindelser fra IP-adresser, som Spamhaus bestemmer er forbundet med afsendelse, hosting eller generering af uønsket bulk-e-mail." Den siger også, at SBL-databasen vedligeholdes af et dedikeret team af efterforskere og retsmedicinere fra 10 lande, som arbejder døgnet rundt for at overvåge spam-relaterede problemer. Men præcis hvordan identifikation, kontrol eller sletning af poster fungerer internt, er ikke forklaret.
nVpn har altid problemer med SBL-poster, hvilket får hostingfirmaer til at true med at opsige deres kontrakter. For eksempel fortalte en repræsentant fra en albansk vært i januar 2019 virksomheden, at deres VPN-servere var nede på grund af et "muligt SBL-hit."
Og dette er ikke det eneste tilfælde. »Selvfølgelig sker sådan noget fra tid til anden. Enten er serveren midlertidigt lukket ned på grund af indtastninger i SBL, eller også ophæver virksomhederne blot kontrakten helt. I starten (vi spørger specifikt), hævder de, at der ikke vil være problemer med SBL, men når hele deres IP-sortiment er sortlistet af Spamhaus, ændrer situationen sig. For eksempel er det sådan, vi mistede vores server i Niš, Serbien. Dette var blot et par uger siden. Heldigvis gav virksomheden os en delvis refusion for vores serverleje, som blev betalt for flere måneder i forvejen. Spamhaus er virkelig farligt for VPN-tjenester, men vi må bare leve med det.
nVPN-repræsentanten fortsætter:
Vi leverer en VPN-tjeneste uden registrering og er en af de få, der giver kunderne mulighed for at åbne op til otte porte (TCP og UDP). Det er uundgåeligt, at nogle angribere vil forsøge at misbruge denne funktion til ulovlige formål. Selvom vi udtrykkeligt angiver i vores servicevilkår, at sådan brug er forbudt, betyder det ikke, at alle kunder overholder reglerne. Som følge heraf endte nogle af vores præfikser i EDROP. Men efter vores mening er en EDROP-indgang ikke verdens undergang, selvom den blokerer et par hjemmesider eller en streamingtjeneste eller to.
Dette skaber dog stadig problemer. Lad os antage, at vi lejede en server et sted og oprettede vores eget /24-undernet til at annoncere under hostingfirmaets ASN eller under vores eget. Spamhaus kontakter vores hoster og beder os om at afbryde klienten, det vil sige os. Hvis udbyderen ikke efterkommer deres anmodninger, fordi de har tillid til os, begynder Spamhaus at tilføje rene hosterpræfikser til SBL, hvilket medfører, at alle dets andre klienter ikke er i stand til at sende post. Så har virksomheden ikke andet valg og lukker os ned, så de ikke skal lide store økonomiske tab.
Et eksempel på et afslagsbrev fra en vært:
Velkommen
Desværre kan vi ikke længere hoste dig på vores netværk, da Spamhaus har sortlistet alle vores IP-adresser på grund af din hosting hos os.
Din server vil blive lukket ned på den sidste dag af din leje uden mulighed for fornyelse.
Gem venligst en sikkerhedskopi så hurtigt som muligt og flyt til en anden udbyder.Med venlig hilsen
Vikas S.
(instruktør/stifter)
Skype: v **** vp *
Opsigelse af tjenester og afslag på yderligere samarbejde
nVpn hævder at have mistet mange servere på grund af usamarbejdsvillige hostere i de seneste år. Til sidst blev det svært at finde en virksomhed, der var villig til at acceptere dem. nVpn gav Tarnkappe.info en ordre om at suspendere samarbejdet og nægte yderligere levering af tjenester dateret den 11. juli 2019. Brevet fra den schweiziske hostingudbyder hævder, at Spamhaus-projektet vil udøve "kriminel håndhævelse" - det vil sige tvinge udbyderen til at nægte at levere hosting til en anden virksomhed under straf af retsforfølgning.
En nVpn-repræsentant kommenterede:
Nogle gange tøver Spamhaus ikke med at kontakte virksomheder og kræve, at de ikke længere ruter vores præfikser. Men det er ikke alle, der kan finde sig i dette. Et af disse virksomheder besluttede at sagsøge Spamhaus Ltd i Storbritannien, hvor projektets officielle hovedkvarter tidligere lå. Dengang kunne Spamhaus ikke bruge Ltd i navnet.
Som et resultat af sagen måtte Spamhaus flytte sit hovedkvarter fra Storbritannien til Andorra.
Siden da har nVpn stadig modtaget notifikationer fra SBL, men Spamhaus er endelig holdt op med at true deres hostingudbydere. Spamhaus holdt også op med at svare på anmodninger fra VPN-tjenesten om at slette poster fra SBL, hvilket betyder, at adskillige gamle poster ikke længere slettes og forbliver i databasen, selvom de ikke længere er relevante.
VPN-udbyderen nævner, at Spamhaus tidligere har hjulpet med at reducere global spam, hvilket har været nyttigt. Men med tiden begyndte projektet at trække tæppet over sig selv, offentliggøre personlige data om dem på listen og manipulere hostingfirmaer.
Der er stadig ingen svar på kritiske spørgsmål
Der er stadig mange spørgsmål om Spamhaus-projektet, som ingen ønsker at besvare. En anmodning, jeg sendte til den amerikanske spamforsker og journalist Brian Krebs for tre uger siden, fik aldrig noget svar. Måske var spørgsmålene for skarpe, men det er ikke helt klart. Der er sendt anmodninger til andre virksomheder, men næsten ingen kender hele historien om Spamhaus-projektet.
Om forfatteren til den originale artikel
Lars "Ghandy" Sobiraj
Lars Sobiraj begyndte sin karriere i 2000 som skribent for forskellige computerblade. Han er grundlæggeren af Tarnkappe.info. Siden 2014 har Gandhi, som han kalder sig selv på scenen, talt med studerende på forskellige universiteter og andre uddannelsesinstitutioner om, hvordan internettet fungerer.
Fra oversætteren
Spamhaus aktiviteter har allerede var dækket på Habré, og udelukkende på en negativ måde. I Rusland blandede Spamhaus sig (og blander sig) i både private virksomheders og store hostingvirksomheders arbejde. I 2010 blev hele Letland sortlistet: derefter svarede Spamhaus som svar på klager fra en af de største udbydere i landet, at Letland er et af de mindste lande i verden, som om det antydede. Af en eller anden grund er de sidste indlæg relateret til Spamhouse dateret 2012-2013, selvom virksomheden stadig eksisterer i dag, synes jeg, at denne uretfærdige glemsel skal afbrydes.
Kilde: www.habr.com