Monopol, nadużycie władzy i własnego interesu czy pomocna dłoń w morzu spamu? Przedstawiciele kilku firm internetowych rozmawiali z dziennikarzem technologicznym Larsem „Ghandym” Sobirajem, aby omówić kontrowersyjny projekt Spamhaus. Dostosowana analiza poniżej cięcia.
Kim są Spamhaus Project
Szybkie wyszukiwanie w Internecie pokazuje, że Spamhaus to międzynarodowa organizacja non-profit założona w 1998 roku. Jednak według byłego CIO (czytaj: prelegenta) firmy, Richarda Coxa, Spamhaus jest spółką z ograniczoną odpowiedzialnością w Wielkiej Brytanii. W momencie publikacji wywiadu z Coxem (2011) siedziba Spamhausu znajdowała się w Genewie. Jednak wszystkie informacje na temat firmy są sprzeczne, niespójne i tajemnicze.
Sven Olaf von Kamphuis (zwany dalej SOvK), jeden z założycieli Cyberbunkera, wypowiada się o Spamhausie w najbardziej niepochlebny sposób. Według niego pan Cox jest bez pracy od ponad 20 lat, jeśli taka osoba w ogóle istnieje. Projekt jest rzekomo kontrolowany wyłącznie przez pana Stephena Johna Linforda i jego żonę Myrę Peters. Ponadto, jak sugeruje SOvK, organizacje non-profit zasadniczo nie wymagają obecności na Seszelach ani na Mauritiusie. Współzałożyciel Cyberbunkera nie rozumie też, dlaczego tak wielu dziennikarzy zakochuje się w projekcie – za problemy związane ze Spamhausem w dużej mierze odpowiedzialna jest branża medialna. Wszystkie informacje, które projekt przekazuje do publikacji technologicznych, są zwykle publikowane bez jakiejkolwiek weryfikacji, kontynuuje SOvK.
Konto Spamhaus Project na Twitterze, prawie 4000 obserwujących
Sędzia i kat w jednej osobie, bez żadnej władzy prawnej
Co od razu rzuca się w oczy: niezależnie od tego, jak istotna i uzasadniona może wydawać się funkcja firmy, projekt Spamhaus nie ma podstawy prawnej dla jej działalności. Ponadto ich działalność nigdy nie została oficjalnie autoryzowana przez państwo ani właściwe władze: SOvK skupia się na tym, że Spamhaus nie jest nawet członkiem RIPE (Réseaux IP Européens to europejski organ regulacyjny zajmujący się rejestracją i dystrybucją zasobów na Internet). Jednak na zewnątrz można odnieść wrażenie, że Spamhaus jest rodzajem „policji internetowej”, podczas gdy, jak zauważa Campuis, sama firma „potrzebuje trochę uwagi policji”. Twierdzi też, że publikacja dużej części danych na stronie Spamhaus jest nielegalna i narusza prawa do ochrony danych. Publikacja wszelkich informacji o spamerach w projekcie powinna być zabroniona. Zdaniem SOvK problemem jest publikacja danych osobowych w Rejestrze znanych operacji spamowych (ROKSO). Dane te muszą być chronione tak samo jak inne dane osobowe, nie mówiąc już o tym, że zawartość baz danych Spamhaus nie zawsze mogła zostać uzyskana legalnie.
Stanowisko Roskomndazora w sprawie Spamhaus w RosjiPrzy okazji, o legalności działań w ramach projektu. Z z wyjaśnień dotyczących Spamhausu z Roskomnadzor wynika, że ich działalność na terenie Federacji Rosyjskiej jest nielegalna:
Z wyjątkiem wpisu serwisu do Rejestru na podstawie Prawa informacyjnego, orzeczenia sądu lub szczegółów umowy z abonentem (użytkownikiem) usług łączności telematycznej i innych przyczyn ograniczenia dostępu do serwisu (sieci) ( w tym na zlecenie firmy Spamhaus), Operator telekomunikacyjny jej nie posiada.
Jeżeli operator telematyczny bezprawnie ograniczy dostęp do strony internetowej (sieci) abonentowi (użytkownikowi) usług łączności telematycznej, działania operatora będą nosiły znamiona naruszenia umowy z abonentem.
Jak to się stało: Cyberbunker kontra „policja internetowa”
W 2013 roku nasilił się konflikt pomiędzy podziemnym hostingiem Cyberbunker a Spamhausem. Spamhaus, mający wówczas siedzibę w Szwajcarii, umieścił Cyberbunker na swojej czarnej liście ze względu na budzące wątpliwości działania swoich klientów i podał go do wiadomości publicznej. Następnie miał miejsce jeden z największych ataków DDoS w historii Internetu: witryna Spamhaus.org została zbombardowana cyfrowymi śmieciami z szybkością 75 Gb/s. Uważa się, że ze względu na swoją skalę atak na krótko zakłócił globalny ruch w sieci. W kwietniu 2013 r. lokalna policja odwiedziła domniemanego sprawcę, SOvK, który wówczas mieszkał w Hiszpanii. Skonfiskowano komputery, nośniki danych i telefony komórkowe osoby zidentyfikowanej przez prokuratora jako pan K..
Projekt Spamhaus to księga z siedmioma pieczęciami
Niezależnie od sprawy Cyberbunkera próbowaliśmy dowiedzieć się, czym właściwie jest projekt Spamhaus, ponieważ z informacji znajdujących się na ich własnej stronie internetowej nie wynika jasno. Na zapytania kierowane na adres prasowy nie otrzymano dotychczas odpowiedzi od końca stycznia 2020 r. Campuis twierdzi, że Spamhaus miał jedną spółkę z ograniczoną odpowiedzialnością o charakterze non-profit, o której wspomniano wcześniej, ale została ona wyrejestrowana na początku 2020 r. Pozostałe spółki nie miały celów charytatywnych. Dostawca usług wyższego szczebla i operator szkieletowy SquareFlow pozywa Spamhaus. SquareFlow oferuje podobne usługi Cogent, HE, GTT, LibertyGlobal i innym, hostując usługi VPN. Dwóch dyrektorów SquareFlow Group odpowiedziało na naszą prośbę 1 marca 2020 r.:
Nie możemy sobie pozwolić na samowolne odłączenie klienta, odmowę wszystkich usług, bazując wyłącznie na tym, że Spamhaus uważa je za złe. W przypadku neutralności sieci nie możemy określić, czy ruch jest złośliwy, czy nie, bez przeprowadzenia głębokiej analizy pakietów, co jednak poważnie zagrozi prywatności naszych klientów i ich użytkowników. Kierujemy się prawem, a nie opinią obcej firmy, która chce dyktować całemu Internetowi, kto może pracować w sieci, a kto nie. W tej chwili nie mamy żadnych dowodów, nakazów sądowych ani innych powodów, aby sądzić, że nasi klienci angażują się w szkodliwe działania.
Ponieważ nie współpracowaliśmy ze Spamhausem, podjęli oni kilka prób zniszczenia reputacji naszej firmy, naszych dostawców i partnerów. W żadnym wypadku my ani nasi klienci nie możemy ponosić odpowiedzialności za podejrzenia.
Zastraszaj, ostrzegaj, oddzielaj na siłę
Ich próby wywierania wpływu na całe sieci można słusznie uznać za przymus, który jest czynem przestępczym we wszystkich krajach UE. Było kilka przypadków, w których Spamhaus umieścił na czarnej liście całe sieci dostawców z powodu jednego klienta, zmuszając ich do zaprzestania obsługi niechcianych. Wierzymy, że prywatność danych i anonimowość to podstawowe prawa człowieka. W rezultacie nigdy nie będziemy ślepo podążać za nieuzasadnionymi żądaniami Spamhausu lub jakiejkolwiek innej strony próbującej dyktować warunki. Z powodu ich działań zaczęliśmy podejmować działania przeciwko ich praktykom biznesowym.
Wspieramy także naszych partnerów w procesach sądowych przeciwko Spamhaus, gdyż Spamhaus w dalszym ciągu próbuje nas zmusić do zaprzestania obsługi niektórych klientów, kontaktując się z naszymi partnerami i dostawcami, uznając nas za przestępców za niespełnienie ich żądań, co jest oczywistym nadużyciem władzy. Spekulujemy, że ich przeprowadzka do Andory ma związek z ich przestępczym zachowaniem, które koliduje z brytyjskim systemem prawnym.
Pozdrawiam
Grupa SquareFlow - Public Relations
W imieniu Zarządu: Wim B., Florian B.
Przeniesienie Spamhausu do Andory
Projekt Spamhaus ma obecnie siedzibę w Andorze, małym kraju położonym w Pirenejach, który według Wikipedii słynie przede wszystkim z ośrodków narciarskich, sklepów wolnocłowych i statusu raju podatkowego. Należy zauważyć, że Andora nie jest częścią UE; stosunki między Andorą a Unią Europejską regulują wyłącznie traktaty.
Znalezienie jakichkolwiek informacji na temat nowej organizacji powiązanej ze Spamhausem nie było łatwe, ale w końcu udało mi się znaleźć potrzebne informacje w EUIPO (Urzędzie Unii Europejskiej ds. Własności Intelektualnej). Z danych EUIPO wynika, że spółka o nazwie Spamhaus IP Holdings SLU jest obecnie właścicielem znaku towarowego nr 005703401, którego data rejestracji znaku towarowego przypada na dzień 8 lutego 2007 roku. Wniosek o rejestrację złożyła spółka Boyes Turner LLP.
Szczegóły rejestracji znaku towarowego Spamhaus
Kontakty są ukryte z oczywistych powodów.
Notatka od tłumaczaZnalezienie czegokolwiek na temat prawnej strony Spamhaus jest naprawdę trudne. Co więcej, informacje dostępne na powierzchni są szczerze mówiąc nieprawdziwe. Jedyna informacja dostępna na stronie internetowej Spamhaus na temat lokalizacji firmy dotyczy znaku towarowego – słowa „Spamhaus”, który jest zarejestrowany w UE.
ROKSO jako przeszkoda
Oczywiście celem projektu Spamhaus było znalezienie dystrybutorów spamu. Jak już wspomniano, dane o spamerach przechowywane są w bazie danych ROKSO. Jednakże biorąc pod uwagę, że ta baza danych jest publiczna, Spamhaus dosłownie umieszcza wszystkich podejrzanych na tablicy wstydu. W bazie danych można nie tylko znaleźć wiele danych osobowych, ale zawiera ona także wiadomości od ofiar, które są publikowane bez cenzury. A ponieważ Spamhaus mieszka poza UE, RODO nie pociąga za sobą żadnych konsekwencji dla firmy.
ROKSO dosłownie rejestruje każdą podejrzaną aktywność, niezależnie od tego, czy jest to prawdziwy spam, czy zwykły błąd. Nie ma zatem mowy o domniemaniu niewinności. Nie ma również możliwości szybkiego kontaktu z firmą. Na ich stronie internetowej nie ma numeru telefonu, adresu e-mail ani po prostu formularza kontaktowego do obsługi klienta. Niektóre fragmentaryczne informacje można uzyskać po dokładnym przestudiowaniu FAQ. Próbowałem skontaktować się bezpośrednio z firmą: od końca stycznia 2020 r. do publikacji artykułu [uwaga: 6 kwietnia tego samego roku] na żadną prośbę nie otrzymano odpowiedzi.
Krytyka czarnej listy Spamhaus (SBL) z usługi VPN nVPN
Dostawca VPN nVpn krytykuje projekt z innych powodów. Czarna lista Spamhaus (SBL) to stale aktualizowana baza danych adresów IP. Spamhaus stanowczo odradza przyjmowanie wiadomości e-mail z adresów zawartych w bazie danych. Firma twierdzi nawet, że tę bazę danych można uzyskać w czasie rzeczywistym. W witrynie Spamhaus w sekcji SBL znajduje się informacja, że czarna lista „umożliwia administratorom serwerów pocztowych identyfikowanie, oznaczanie lub blokowanie połączeń przychodzących z adresów IP, które Spamhaus uzna za powiązane z wysyłaniem, hostingiem lub generowaniem niechcianych masowych wiadomości e-mail”. Mówi się również, że baza danych SBL jest prowadzona przez wyspecjalizowany zespół śledczych i kryminalistów z 10 krajów, którzy przez całą dobę monitorują problemy związane ze spamem. Nie wyjaśniono jednak, jak dokładnie działa wewnętrzna identyfikacja, sprawdzanie, a nawet usuwanie rekordów.
nVpn zawsze ma problemy z wpisami SBL, przez co firmy hostingowe grożą rozwiązaniem umów. Na przykład w styczniu 2019 r. przedstawiciel albańskiego hosta powiedział firmie, że jej serwery VPN przestały działać z powodu „możliwego trafienia w SBL”.
I nie jest to jedyny przypadek. „Oczywiście, coś takiego zdarza się od czasu do czasu. Albo serwer zostanie tymczasowo wyłączony z powodu wpisów w SBL, albo firmy po prostu całkowicie anulują umowę. Na początku (specjalnie pytamy) twierdzą, że z SBL nie będzie problemów, ale gdy cały ich zakres adresów IP zostanie umieszczony na czarnej liście przez Spamhaus, sytuacja się zmienia. Na przykład w ten sposób straciliśmy nasz serwer w Niszu w Serbii. To było zaledwie kilka tygodni temu. Na szczęście firma zapewniła nam częściowy zwrot kosztów wynajmu serwera, który został opłacony za kilka miesięcy z góry. Spamhaus jest naprawdę niebezpieczny dla usług VPN, ale musimy z tym żyć.
Przedstawiciel nVPN kontynuuje:
Świadczymy usługę VPN bez rejestracji i jako jedni z nielicznych oferujemy klientom możliwość otwarcia aż ośmiu portów (TCP i UDP). Nieuniknione jest, że niektórzy napastnicy będą próbować nadużywać tej funkcji do celów nielegalnych. Chociaż w naszym regulaminie wyraźnie stwierdzamy, że takie użycie jest zabronione, nie oznacza to, że wszyscy klienci przestrzegają tych zasad. W rezultacie niektóre z naszych prefiksów znalazły się w EDROP. Jednak naszym zdaniem wpis EDROP to nie koniec świata, nawet jeśli blokuje kilka stron internetowych lub usługę przesyłania strumieniowego lub dwie.
Jednak nadal stwarza to problemy. Załóżmy, że wynajęliśmy gdzieś serwer i utworzyliśmy własną podsieć /24, aby reklamować się pod numerem ASN firmy hostingowej lub pod własnym. Spamhaus kontaktuje się z naszym hosterem i prosi o odłączenie klienta, czyli nas. Jeśli dostawca nie spełni ich żądań, ponieważ nam ufa, Spamhaus zaczyna dodawać przedrostki czystego hosta do SBL, powodując, że wszyscy inni jego klienci nie będą mogli wysyłać poczty. Wtedy firma nie ma innego wyjścia i zamyka nas, żeby nie musieć ponosić ogromnych strat finansowych.
Przykład listu odmownego od hostera:
Powitanie
Niestety nie możemy już gościć Cię w naszej sieci, ponieważ Spamhaus umieścił na czarnej liście wszystkie nasze adresy IP ze względu na Twój hosting u nas.
Twój serwer zostanie wyłączony ostatniego dnia wynajmu bez możliwości przedłużenia.
Proszę jak najszybciej zapisać kopię zapasową i przejść do innego dostawcy.Z poważaniem,
Wikas S.
(Dyrektor/Założyciel)
Skype: v **** vp *
Zakończenie świadczenia usług i odmowa dalszej współpracy
nVpn twierdzi, że w ostatnich latach stracił wiele serwerów z powodu niechętnych do współpracy dostawców usług hostingowych. W końcu trudno było znaleźć firmę, która byłaby skłonna je przyjąć. nVpn przedstawił Tarnkappe.info postanowienie o zawieszeniu współpracy i odmowie dalszego świadczenia usług z dnia 11 lipca 2019 roku. W piśmie szwajcarskiego dostawcy usług hostingowych twierdzi się, że projekt Spamhaus będzie prowadził „egzekucję karną” – czyli zmusi dostawcę do odmowy świadczenia hostingu innej firmie pod rygorem postępowania sądowego.
Przedstawiciel nVpn skomentował:
Czasami Spamhaus nie waha się kontaktować z firmami i żądać, aby nie przekierowywały już naszych prefiksów. Ale nie każdy to toleruje. Jedna z tych firm zdecydowała się pozwać Spamhaus Ltd w Wielkiej Brytanii, gdzie wcześniej mieściła się oficjalna siedziba projektu. W tamtych czasach Spamhaus nie mógł używać nazwy Ltd.
W wyniku postępowania Spamhaus musiał przenieść swoją siedzibę z Wielkiej Brytanii do Andory.
Od tego czasu nVpn nadal otrzymuje powiadomienia od SBL, ale Spamhaus w końcu przestał grozić swoim dostawcom usług hostingowych. Spamhaus przestał także odpowiadać na prośby usługi VPN o usunięcie wpisów z SBL, co oznacza, że wiele starych wpisów nie jest już usuwanych i pozostaje w bazie danych, nawet jeśli są już nieaktualne.
Dostawca VPN wspomina, że Spamhaus pomógł w przeszłości ograniczyć globalny spam, co okazało się przydatne. Jednak z biegiem czasu projekt zaczął okrywać się kocem, publikując dane osobowe osób znajdujących się na liście i manipulując firmami hostingowymi.
Nadal nie ma odpowiedzi na kluczowe pytania
Wciąż jest wiele pytań dotyczących projektu Spamhaus, na które nikt nie chce odpowiedzieć. Prośba, którą wysłałem trzy tygodnie temu do amerykańskiego badacza spamu i dziennikarza Briana Krebsa, nigdy nie doczekała się odpowiedzi. Być może pytania były zbyt ostre, ale nie jest to do końca jasne. Zgłoszenia zostały wysłane do innych firm, ale prawie nikt nie zna pełnej historii projektu Spamhaus.
O autorze oryginalnego artykułu
Larsa „Ghandy’ego” Sobiraja
Lars Sobiraj rozpoczął karierę w 2000 roku jako autor różnych magazynów komputerowych. Jest założycielem Tarnkappe.info. Od 2014 roku Gandhi, jak sam siebie nazywa na scenie, rozmawia ze studentami różnych uniwersytetów i innych instytucji edukacyjnych o tym, jak działa Internet.
Od tłumacza
Działania Spamhaus już miały została przedstawiona Habré i wyłącznie w negatywny sposób. W Rosji Spamhaus ingerował (i ingeruje) zarówno w pracę prywatnych firm, jak i dużych firm hostingowych. W 2010 roku cała Łotwa znalazła się na czarnej liście: następnie w odpowiedzi na skargi jednego z największych dostawców w kraju Spamhaus odpowiedział, że Łotwa jest jednym z najmniejszych krajów na świecie, jakby dając do zrozumienia. Z jakiegoś powodu ostatnie posty związane ze Spamhouse datowane są na lata 2012-2013, choć firma istnieje do dziś, to myślę, że trzeba przerwać to niesłuszne zapomnienie.
Źródło: www.habr.com