Monopol, zloraba moči in lastni interesi ali pomoč v morju neželene pošte? Predstavniki več internetnih podjetij so se pogovarjali s tehnološkim novinarjem Larsom "Ghandyjem" Sobirajem, da bi razpravljali o kontroverznem projektu Spamhaus. Prilagojena analiza pod rezom.
Kdo je Spamhaus Project
Hitro iskanje po spletu razkrije, da je Spamhaus mednarodna neprofitna organizacija, ustanovljena leta 1998. Vendar pa je po besedah nekdanjega CIO (beri: govornika) podjetja Richarda Coxa Spamhaus britanska družba z omejeno odgovornostjo. V času objave intervjuja s Coxom (2011) je bil sedež Spamhausa v Ženevi. Vse informacije o podjetju pa so protislovne, nedosledne in skrivnostne.
Sven Olaf von Kamphuis (v nadaljevanju SOvK), eden od ustanoviteljev Cyberbunkerja, o Spamhausu govori na najbolj nelaskav način. Po njegovih besedah je gospod Cox brez dela že več kot 20 let, če ta oseba sploh obstaja. Projekt domnevno nadzorujeta izključno gospod Stephen John Linford in njegova žena Myra Peters. Poleg tega, kot predlaga SOvK, neprofitne organizacije na splošno ne potrebujejo prisotnosti na Sejšelih ali Mauritiusu. Soustanovitelj Cyberbunkerja tudi ne razume, zakaj se toliko novinarjev zaljublja v projekt – medijska industrija je v veliki meri odgovorna za težave, povezane s Spamhausom. Vse informacije, ki jih projekt posreduje tehnološkim publikacijam, so običajno objavljene brez kakršnega koli preverjanja, nadaljuje SOvK.
Spamhaus Project Twitter račun, skoraj 4000 sledilcev
Sodnik in krvnik v eni osebi brez kakršnih koli zakonskih pooblastil za to
Kar takoj pade v oči: ne glede na to, kako pomembna in razumna se zdi funkcija podjetja, projekt Spamhaus nima pravne podlage za svoje dejavnosti. Poleg tega njihove dejavnosti nikoli niso bile uradno dovoljene s strani države ali pristojnih organov: SOvK se osredotoča na dejstvo, da Spamhaus sploh ni član RIPE (Réseaux IP Européens je evropski regulator, ki se ukvarja z registracijo in distribucijo virov na Internet). Za zunanji svet pa se zdi, da je Spamhaus nekakšna »internetna policija«, medtem ko, poudarja Campuis, samo podjetje »potrebuje nekaj policijske pozornosti«. Pravi tudi, da je objava velikega dela podatkov na spletni strani Spamhaus nezakonita in krši pravice do varstva podatkov. Objava vseh informacij o pošiljateljih neželene pošte v projektu bi morala biti prepovedana. Težava je po mnenju SOvK objava osebnih podatkov v Registru znanih neželenih poslov (ROKSO). Te podatke je treba varovati tako kot druge osebne podatke, da ne omenjamo dejstva, da vsebine baz Spamhaus ni bilo vedno mogoče pridobiti zakonito.
Stališče Roskomndazorja o Spamhausu v RusijiMimogrede, o zakonitosti dejavnosti projekta. Od s pojasnili Roskomnadzorja glede Spamhausa izhaja, da so njihove dejavnosti v Ruski federaciji nezakonite:
Razen vpisa mesta v register na podlagi zakona o informiranju, sodne odločbe ali posebnosti pogodbe z naročnikom (uporabnikom) telematskih komunikacijskih storitev in drugih razlogov za omejitev dostopa do mesta (omrežja) ( tudi na zahtevo podjetja Spamhaus), Telekom operater nima.
Če telematski operater naročniku (uporabniku) telematskih komunikacijskih storitev nezakonito omeji dostop do spletnega mesta (omrežja), bodo dejanja operaterja vsebovala znake kršitve pogodbe z naročnikom.
Kako se je zgodilo: Cyberbunker proti »internetni policiji«
Leta 2013 se je konflikt med podtalnim spletnim gostovanjem Cyberbunker in Spamhaus stopnjeval. Spamhaus, ki je imel takrat sedež v Švici, je Cyberbunker zaradi vprašljivih aktivnosti strank uvrstil na svojo črno listo in to javno objavil. Po tem se je zgodil eden največjih napadov DDoS v zgodovini interneta: Spamhaus.org je bil bombardiran z digitalnimi smetmi s hitrostjo 75 Gbps. Napad naj bi zaradi obsega za kratek čas prekinil svetovni spletni promet. Aprila 2013 je domnevnega storilca SOvK, ki je takrat živel v Španiji, obiskala lokalna policija. Osebi, ki jo je tožilec identificiral kot g. K., so bili zaseženi računalniki, nosilci podatkov in mobilni telefoni.
Projekt Spamhaus je knjiga s sedmimi pečati
Ne glede na primer Cyberbunker smo skušali izvedeti, kaj pravzaprav je projekt Spamhaus, saj iz podatkov na lastni spletni strani ni razvidno. Povpraševanja, poslana na novinarski naslov, od konca januarja 2020 niso prejela nobenega odgovora. G. Campuis trdi, da je imel Spamhaus eno samo neprofitno družbo z omejeno odgovornostjo, ki je bila prej omenjena, vendar je bila v začetku leta 2020 odjavljena iz registra. Preostala podjetja niso imela dobrodelnih namenov. Upstream ponudnik in hrbtenični operater, SquareFlow, je tožil Spamhaus. SquareFlow ponuja podobne storitve kot Cogent, HE, GTT, LibertyGlobal in drugi z gostovanjem storitev VPN. Dva direktorja skupine SquareFlow Group sta 1. marca 2020 odgovorila na našo zahtevo:
Ne moremo si privoščiti samovoljnega odklopa odjemalca in zavrnitve vseh storitev zgolj na podlagi dejstva, da jih Spamhaus ocenjuje kot slabe. Pod nevtralnostjo omrežja ne moremo ugotoviti, ali je promet zlonameren ali ne, ne da bi opravili globoko analizo paketov, kar pa bo resno ogrozilo zasebnost naših strank in njihovih uporabnikov. Vodi nas zakonodaja in ne mnenje tretje osebe, ki želi celotnemu internetu narekovati, kdo sme delati v omrežju in kdo ne. Trenutno nimamo dokazov, sodnih odredb ali drugih razlogov za domnevo, da so naše stranke vpletene v škodljive dejavnosti.
Ker s Spamhausom nismo sodelovali, so večkrat poskušali škodovati ugledu našega podjetja, naših dobaviteljev in partnerjev. Mi ali naše stranke v nobenem primeru ne moremo biti odgovorni za sume.
Ustrahovati, opozarjati, na silo ločiti
Njihove poskuse vplivanja na celotne mreže lahko upravičeno štejemo za prisilo, kar je v vseh državah EU kaznivo dejanje. Bilo je več primerov, ko je Spamhaus celotna omrežja ponudnikov uvrstil na črno listo zaradi ene stranke in jih prisilil, da prenehajo servisirati nezaželene. Verjamemo, da sta zasebnost podatkov in anonimnost osnovni človekovi pravici. Zato ne bomo nikoli slepo sledili nerazumnim zahtevam Spamhausa ali katere koli druge stranke, ki poskuša narekovati pogoje. Zaradi njihovih dejanj smo začeli ukrepati proti njihovi poslovni praksi.
Podpiramo tudi naše partnerje v tožbah proti Spamhausu, saj nas Spamhaus še vedno poskuša prisiliti, da nekaterim strankam prekinemo stike z našimi partnerji in dobavitelji, nas razglašajo za kriminalce, ker ne izpolnjujemo njihovih zahtev, kar je očitno zloraba položaja. Špekuliramo, da je njihova selitev v Andoro povezana z njihovim kriminalnim vedenjem, ki je v nasprotju z britanskim pravnim sistemom.
S spoštovanjem.
Skupina SquareFlow - odnosi z javnostmi
V imenu upravnega odbora: Wim B., Florian B.
Selitev Spamhausa v Andoro
Projekt Spamhaus ima trenutno sedež v Andori, majhni državi v Pirenejih, ki je po Wikipediji znana predvsem po smučiščih, brezcarinskih trgovinah in statusu davčne oaze. Pomembno je omeniti, da Andora ni del EU; odnose med Andoro in Evropsko unijo urejajo le pogodbe.
Ni bilo lahko najti nobenih informacij o novi organizaciji, povezani s Spamhausom, vendar mi je na koncu uspelo najti informacije, ki sem jih potreboval pri EUIPO (Uradu Evropske unije za intelektualno lastnino). Podatki EUIPO navajajo, da je podjetje z imenom Spamhaus IP Holdings SLU trenutno lastnik blagovne znamke št. 005703401 z datumom registracije blagovne znamke 8. februar 2007. Vlogo za registracijo je vložil Boyes Turner LLP.
Podrobnosti o registraciji blagovne znamke Spamhaus
Stiki so skriti iz očitnih razlogov.
Opomba prevajalcaNajti kar koli o pravni strani Spamhausa je res težko. Poleg tega so informacije, ki so na voljo na površini, odkrito neresnične. Edina informacija o lokaciji podjetja, ki je na voljo na spletni strani Spamhausa, se nanaša na blagovno znamko - besedo “Spamhaus”, ki je registrirana v EU.
ROKSO kot kamen spotike
Očitno je bil cilj projekta Spamhaus najti distributerje neželene pošte. Kot že rečeno, se podatki o pošiljateljih neželene pošte hranijo v bazi ROKSO. Glede na to, da je ta baza javna, pa Spamhaus vse osumljence dobesedno postavi na tablo sramote. Ne samo, da v bazi najdete veliko osebnih podatkov, vsebuje tudi sporočila žrtev, ki so objavljena brez cenzure. In ker Spamhaus živi izven EU, posledic GDPR za podjetje ni.
ROKSO dobesedno beleži vse sumljive dejavnosti, pa naj gre za pravo neželeno pošto ali preprosto napako. Tako ne gre za nobeno domnevo nedolžnosti. Prav tako ni mogoče hitro vzpostaviti stika s podjetjem. Na njihovi spletni strani ni telefonske številke, e-pošte ali samo kontaktnega obrazca za podporo strankam. Nekaj fragmentarnih informacij je mogoče pridobiti s skrbnim preučevanjem pogostih vprašanj. Poskušal sem stopiti v stik neposredno s podjetjem: od konca januarja 2020 do objave članka [opomba: 6. april istega leta] ni bilo nobenega odgovora na eno samo zahtevo.
Kritika črne liste Spamhaus (SBL) storitve VPN nVPN
Ponudnik VPN nVpn kritizira projekt iz drugih razlogov. Črni seznam Spamhaus (SBL) je baza podatkov naslovov IP, ki se nenehno posodablja. Spamhaus močno priporoča, da ne sprejemate e-pošte z naslovov v bazi podatkov. Podjetje celo trdi, da je to bazo podatkov mogoče pridobiti v realnem času. Na spletnem mestu Spamhaus razdelek SBL navaja, da črni seznam "skrbnikom poštnih strežnikov omogoča prepoznavanje, označevanje ali blokiranje dohodnih povezav z naslovov IP, za katere Spamhaus ugotovi, da so povezani s pošiljanjem, gostovanjem ali ustvarjanjem nezaželene množične e-pošte." Prav tako piše, da podatkovno bazo SBL vzdržuje namenska ekipa preiskovalcev in forenzičnih znanstvenikov iz 10 držav, ki nenehno spremljajo težave, povezane z neželeno pošto. Kako natančno prepoznavanje, preverjanje ali celo brisanje zapisov interno deluje, pa ni pojasnjeno.
nVpn ima vedno težave z vnosi SBL, zaradi česar gostujoča podjetja grozijo s prekinitvijo pogodb. Na primer, januarja 2019 je predstavnik albanskega gostitelja podjetju povedal, da njihovi strežniki VPN ne delujejo zaradi »možnega zadetka SBL«.
In to ni edini primer. »Seveda se občasno zgodi kaj takega. Ali se strežnik začasno ustavi zaradi vpisov v SBL ali pa podjetja preprosto popolnoma odpovejo pogodbo. Na začetku (posebej vprašamo) trdijo, da s SBL ne bo težav, ko pa je Spamhaus celoten obseg svojih IP-jev na črni listi, se situacija spremeni. Tako smo na primer izgubili strežnik v Nišu v Srbiji. To je bilo le nekaj tednov nazaj. Na srečo nam je podjetje delno povrnilo najem strežnika, ki je bil plačan za več mesecev vnaprej. Spamhaus je res nevaren za storitve VPN, vendar moramo s tem preprosto živeti.
Predstavnik nVPN nadaljuje:
Ponujamo storitev VPN brez registracije in smo eni redkih, ki strankam ponujajo možnost odpiranja do osmih vrat (TCP in UDP). Neizogibno je, da bodo nekateri napadalci poskušali zlorabiti to funkcijo za nezakonite namene. Čeprav v naših pogojih storitve izrecno navajamo, da je takšna uporaba prepovedana, to ne pomeni, da se vsi uporabniki držijo pravil. Posledično so nekatere naše predpone končale v EDROP-u. Toda po našem mnenju vnos EDROP ni konec sveta, tudi če blokira nekaj spletnih mest ali storitev pretakanja ali dve.
Vendar to še vedno povzroča težave. Recimo, da smo nekje najeli strežnik in ustvarili lastno podomrežje /24 za oglaševanje pod ASN gostiteljskega podjetja ali pod svojim. Spamhaus kontaktira našega gostitelja in nas prosi, da prekinemo povezavo s stranko, torej z nami. Če ponudnik ne ugodi njihovim zahtevam, ker nam zaupa, začne Spamhaus dodajati čiste predpone gostitelja v SBL, kar povzroči, da vsi njegovi drugi odjemalci ne morejo pošiljati pošte. Potem podjetje nima druge izbire in nas zapre, da jim ne bi bilo treba utrpeti velikih finančnih izgub.
Primer pisma o zavrnitvi gostitelja:
Pozdravljeni,
Na žalost vas ne moremo več gostiti v našem omrežju, saj je Spamhaus uvrstil vse naše naslove IP na črno listo zaradi vašega gostovanja pri nas.
Vaš strežnik bo zaprt zadnji dan najema brez možnosti podaljšanja.
Čim prej shranite varnostno kopijo in se premaknite k drugemu ponudniku.S spoštovanjem,
Vikas S.
(direktor/ustanovitelj)
Skype: v **** vp *
Prekinitev storitev in zavrnitev nadaljnjega sodelovanja
nVpn trdi, da je izgubil veliko strežnikov zaradi nesodelujočih gostiteljev v zadnjih letih. Sčasoma je postalo težko najti podjetje, ki bi jih bilo pripravljeno sprejeti. nVpn je Tarnkappe.info posredoval odredbo o prekinitvi sodelovanja in zavrnitvi nadaljnjega zagotavljanja storitev z dne 11. julija 2019. Pismo švicarskega ponudnika gostovanja trdi, da bo projekt Spamhaus izvajal "kazensko uveljavljanje" - to je prisilil ponudnika, da zavrne gostovanje drugemu podjetju pod grožnjo sodnega postopka.
Predstavnik nVpn je komentiral:
Včasih Spamhaus brez obotavljanja kontaktira podjetja in zahteva, da ne usmerjajo več naših predpon. A s tem se ne sprijaznijo vsi. Eno od teh podjetij se je odločilo tožiti podjetje Spamhaus Ltd v Združenem kraljestvu, kjer je bil prej uradni sedež projekta. Takrat Spamhaus v imenu ni mogel uporabljati Ltd.
Zaradi postopka je moral Spamhaus preseliti svoj sedež iz Združenega kraljestva v Andoro.
Od takrat nVpn še vedno prejema obvestila od SBL, vendar je Spamhaus končno nehal groziti svojim ponudnikom gostovanja. Spamhaus se je tudi nehal odzivati na zahteve storitve VPN za izbris vnosov iz SBL, kar pomeni, da se številni stari vnosi ne brišejo več in ostanejo v bazi, tudi če niso več relevantni.
Ponudnik VPN omenja, da je Spamhaus v preteklosti pomagal zmanjšati globalno neželeno pošto, kar je bilo koristno. Toda sčasoma je projekt začel vleči odejo nase, objavljati osebne podatke tistih s seznama in manipulirati s podjetji za gostovanje.
Še vedno ni odgovorov na kritična vprašanja
V zvezi s projektom Spamhaus je še veliko vprašanj, na katera nihče noče odgovoriti. Na zahtevo, ki sem jo pred tremi tedni poslal ameriškemu raziskovalcu neželene pošte in novinarju Brianu Krebsu, nikoli nisem prejel odgovora. Morda so bila vprašanja preostra, a to ni povsem jasno. Zahtevki so bili poslani drugim podjetjem, vendar skoraj nihče ne pozna celotne zgodbe projekta Spamhaus.
O avtorju izvirnega članka
Lars "Ghandy" Sobiraj
Lars Sobiraj je svojo kariero začel leta 2000 kot pisec za različne računalniške revije. Je ustanovitelj Tarnkappe.info. Od leta 2014 Gandhi, kot se imenuje na odru, študentom na različnih univerzah in drugih izobraževalnih ustanovah govori o delovanju interneta.
Od prevajalca
Spamhaus dejavnosti že je bilo obravnavano na Habréju, in to izključno v negativnem smislu. V Rusiji se je Spamhaus vmešaval (in se vmešava) v delo zasebnih podjetij in velikih gostiteljskih podjetij. Leta 2010 je bila celotna Latvija na črnem seznamu: takrat je Spamhaus v odgovor na pritožbe enega največjih ponudnikov v državi odgovoril, da je Latvija ena najmanjših držav na svetu, kot da bi namigoval. Zadnje objave v zvezi s Spamhouseom so iz neznanega razloga datirane v letih 2012-2013, čeprav podjetje obstaja še danes, menim, da je treba to nepošteno pozabo prekiniti.
Vir: www.habr.com