Kiralık DDoS işletmeleri işleten çoğu kişi, gerçek kimliklerini ve konumlarını saklamaya çalışır. Web sitelerini ve kullanıcıları çevrimdışı duruma getirmek için tasarlanmış bu sözde “önyükleme” veya “stres oluşturucu” hizmetlerin sahipleri, uzun süredir siber suçlar yasasının yasal olarak belirsiz bir alanında faaliyet gösteriyor. Ancak yakın zamana kadar en büyük endişeleri federaller tarafından ele geçirilmekten veya kapatılmaktan kaçınmak değildi: Mutsuz müşterilerin veya kurbanların tacizini en aza indirmek ve rakip kiralık DDoS hizmetlerinden gelen aralıksız saldırılara karşı kendilerini izole etmekti.
Ve sonra gibi önyükleyici mağaza operatörleri var John Dobbs, Hawaii, Honolulu’da yaşayan 32 yaşında bir bilgisayar bilimleri yüksek lisans öğrencisi. Dobbs, geçen yılın sonlarına kadar en az on yıl boyunca açıkça faaliyet gösteriyordu. IP stresleri[.]iletişim, gerçek adını ve adresini kullanarak Hawaii eyaletine kaydettirdiği popüler ve güçlü bir kiralık saldırı hizmeti. Aynı şekilde, alan adı Dobbs’un adına ve memleketi Pennsylvania’da kayıtlıydı.
Dobbs, Github profilinden tarihsiz bir fotoğrafta. Resim: john-dobbs.github.io
Dobbs’un özgeçmişinde listelediği tek iş deneyimi, 2013’ten günümüze serbest geliştiriciydi. Dobbs’un özgeçmişi, önyükleyici hizmetinin adını vermiyor, ancak günlük yarım milyon sayfa görüntülemeye sahip web sitelerini sürdürmekle ve “performans, yüksek kullanılabilirlik ve güvenlik için sunucu dağıtımları tasarlamakla” övünüyor.
Aralık 2022’de ABD Adalet Bakanlığı, Dobbs’un IPStresser web sitesine el koydu ve onu bilgisayar izinsiz girişlerine yardım ve yataklık etmekle suçladı. Savcılar, hizmetinin iki milyondan fazla kayıtlı kullanıcıyı çektiğini ve lansmanından sorumlu olduğunu söylüyor. şaşırtıcı 30 milyon farklı DDoS saldırısı.
Hükümet, dört düzine booter alan adına el koydu ve Dobbs ile diğer beş ABD’liyi stres artırıcı hizmetler işlettikleri iddiasıyla suç duyurusunda bulundu. Bu, Adalet Bakanlığı’nın kiralık DDoS hizmetlerini ve bunların suçlanan operatörlerini hedef alan bu türden ikinci toplu yayından kaldırma eylemiydi. 2018’de federaller 15 stres kaynağı sitesine el koydu ve kaçakçılık hizmetleri işlettikleri için üç kişiye siber suç suçlaması koydu.
Dobbs’un önyükleyici hizmeti IPStresser, Haziran 2020’de. Resim:archive.org.
Birçok sanık stres yaratan site operatörü, federal suçlamalarla vurulduktan sonra yıllar içinde suçunu kabul etti. Ancak hükümetin temel iddiası – bir booter sitesi çalıştırmanın ABD bilgisayar suç yasalarını ihlal ettiği – Eylül 2021’e kadar mahkemelerde gerektiği gibi test edilmedi.
İşte o zaman bir jüri aleyhine bir suçlu kararı verdi. Matthew Gatrel, o zamanlar 32 yaşında olan St. FBI ajanlarına iki kaçakçılık hizmeti yürüttüğünü (ve bu süreçte pek çok suçlayıcı delili teslim ettiğini) kabul etmesine rağmen, Gatrel davasını mahkemeye taşımayı seçti ve tüm zaman boyunca mahkeme tarafından atanan avukatlar tarafından savundu.
Savcılar, Gatrel’in önyükleyici hizmetlerinin onları etkisiz hale getirdiğini söyledi[.]org ve ampnode[.]com — yaklaşık 2.000 ödeme yapan müşterinin, birçok hükümet, bankacılık, üniversite ve oyun web sitesi dahil olmak üzere 20.000’den fazla hedefe zayıflatıcı dijital saldırılar başlatmasına yardımcı oldu.
Gatrel, korunan bir bilgisayarı yetkisiz olarak bozmak için komplo kurmak, tel dolandırıcılığı yapmak için komplo kurmak ve korunan bir bilgisayarı izinsiz olarak bozmak da dahil olmak üzere, Bilgisayar Dolandırıcılığı ve Kötüye Kullanım Yasasını ihlal etmekten her üç suçlamadan da mahkum edildi. İki yıl hapis cezasına çarptırıldı.
Şimdi, görünüşe göre Dobbs da bir jüri ile şansını denemeyi planlıyor. 4 Ocak’ta Dobbs suçsuz olduğunu iddia etti. Ne Dobbs ne de mahkeme tarafından atanan avukatı, yorum taleplerine yanıt vermedi.
Ancak tesadüfen Dobbs, 2020’de KrebsOnSecurity ile bir e-posta alışverişinde onun düşüncelerine ilişkin bir bakış açısı sağladı. Kiralık DDoS siteleri ve federaller tarafından basılmaktan neden bu kadar korkmadığını gerçekten merak ettim.
Dobbs, 10 Mart’ta ilk ulaştığım kişiye, “Evet, listelediğiniz alanın sahibiyim, ancak söz konusu alan adını, benim adımı veya bu e-posta adresini önceden yazılı iznim olmadan içeren bir makale yayınlama yetkiniz yok,” diye yanıt verdi. 2020, Manoa’daki Hawaii Üniversitesi’nden e-posta adresini kullanarak.
Birkaç saat sonra Dobbs’tan bu kez ipstresser’daki resmi e-posta adresi aracılığıyla daha net talimatlar aldım.[.]com.
Dobbs, sanki bir avukattan dikte alıyormuş gibi, “Kesin netlik için tekrar belirteyim, ipstresser.com’u, adımı, GitHub profilimi ve/veya hawaii.edu e-posta adresimi içeren bir makale yayınlama yetkiniz yok,” diye yazdı. medyanın nasıl çalıştığını anlamıyor.
İşiyle ilgili ayrıntılar için baskı yapıldığında Dobbs, IPStresser müşterilerinin sayısının “ayrıcalıklı bilgi” olduğunu ve hizmetin reklamını bile yapmadığını söyledi. Dobbs, rakiplerinin birçoğunun o zamana kadar benzer kaçakçılık hizmetleri yürüttüğü için hapis cezasına çarptırıldığından endişe duyup duymadığı sorulduğunda, işi kurma şeklinin kendisini herhangi bir sorumluluktan koruduğunu ileri sürdü.
Dobbs, “Diğer stres testi hizmetleri operatörlerine karşı son zamanlarda kanun yaptırımı eylemlerinin farkındayım” dedi. “Bu diğer hizmetlerin eylemleri hakkında konuşamam, ancak hizmetimizin kötüye kullanılmasını önlemek için proaktif önlemler alıyoruz ve hizmetimizin kötüye kullanıldığı bildirilen herhangi bir durumla ilgili olarak kolluk kuvvetleriyle birlikte çalışıyoruz.”
Bu proaktif önlemler nelerdi? ile 2015 röportajında ZDNet FransaDobbs, müşterilerinin hepsinin siteyi yasa dışı amaçlarla kullanmayacaklarına dair bir dijital imza sunmaları gerektiğinden sorumluluktan muaf olduğunu iddia etti.
Dobbs, ZDNet’e “Kullanım koşullarımız, diğer şeylerin yanı sıra bizi belirli yasal sonuçlardan koruyan yasal bir belgedir” dedi. “Diğer sitelerin çoğu basit bir onay kutusuyla yetiniyor, ancak biz müşterilerimizin gerçek onayını ima etmek için dijital bir imza istiyoruz.”
Dobbs, KrebsOnSecurity’ye verdiği hizmetin fazla kar sağlamadığını, bunun yerine “meşru bir ihtiyacı karşılamak” için motive olduğunu söyledi.
“Hizmeti sunmamın nedeni, birisi kötü niyetli olarak söz konusu ağa saldırmadan ve kesintiye neden olmadan önce ağ güvenlik önlemlerini test etme yeteneği sağlamaktır” dedi. “Elbette, bazı insanlar yalnızca olumsuzlukları görüyor, ancak yıllardır birlikte çalıştığım ve hizmetimin bir nimet olduğunu söyleyen ve kötü niyetli bir saldırıdan kaynaklanan on binlerce dolarlık kesinti süresini önlemelerine yardımcı olan uzun bir şirket listesi var. ”
“IPstresser’da olduğu gibi, hizmetin kötü niyetli kullanımını önlemek için gerekli özenin gösterildiğini varsayarsak, böyle bir hizmet sağlamanın yasa dışı olduğuna inanmıyorum.[.]com,” diye devam etti Dobbs. “Yetkisiz testler yapmak için böyle bir hizmeti kullanan kişiler birçok ülkede yasa dışıdır, ancak yasal sorumluluk hizmet sağlayıcıya değil kullanıcıya aittir.”
Dobbs’un GitHub’daki profili, “yazılım mühendisliği etiği” üzerine ilginç bir makale de dahil olmak üzere, çalışmaları hakkında daha fazla fikir içeriyor. Dobbs, Ocak 2020 tarihli “Yazılım Mühendisliği Yolculuğum” incelemesinde, örgün eğitimindeki hiçbir şeyin onu işinin büyük bir kısmının çok sıkıcı ve tekrarlayıcı olacağı gerçeğine hazırlamadığından yakınıyor (bu, burada Kariyer Seçimi adlı 2020 tarihli bir yazıyla yakından ilgilidir) İpucu: Siber Suçlar Çoğunlukla Sıkıcıdır).
Dobbs, “Üniversite derslerinde daha fazla ele alınması gerektiğini düşündüğüm bir yazılım mühendisliği alanı bakımdır” diye yazdı. “Projeler üzerinde genellikle en fazla birkaç ay çalışılır ve öğrenciler iş yerine ulaşana kadar yazılım mühendisliğinin bakım yönünü deneyimlemezler. Kabul edelim, bir projenin devam eden bakımı sıkıcıdır; aylardır üzerinde çalıştığınız bir projeyi tamamlayıp dünyaya sunmanın verdiği mutluluk gibisi yok ama profesyonel kariyerimin yarısının bakımla ilgili olduğunu söyleyebilirim.”
Allison Nixon New York merkezli siber güvenlik firması Unit 221B’de baş araştırma görevlisidir. Nixon, kiralık DDoS endüstrisini yıllardır yakından takip eden küçük bir araştırmacı grubunun parçası ve Dobbs’un yaptığı şeyin yasal olduğu yönündeki iddiasının, hükümetin bunun boyutunu fark etmesi yıllar aldığı için mantıklı olduğunu söyledi. sorun.
Nixon, “Bu adamlar, hizmetlerinin yasal olduğunu çünkü uzun süre kendilerine bir şey olmadığını savunuyorlar” dedi. “Daha önce hiç kimse tutuklanmadıysa, bir şeyin yasa dışı olduğunu iddia etmek zor.”
Nixon, hükümetin kaçakçılık hizmetlerine ve buna bağlı olarak diğer siber suç türlerine karşı mücadelesinin, siber suç vakaları arasında geçiş yapması genellikle yıllar alan bir yasal sistem tarafından engellendiğini söylüyor.
Nixon, “Siber suçta, suç ile soruşturma ve tutuklama arasındaki döngü genellikle bir yıl veya daha fazla sürebilir ve bu gerçekten hızlı bir dava için” dedi. “Birisi bir mağazayı soyduysa, polisin birkaç dakika içinde yanıt vermesini beklerdik. Birisi bir bankanın web sitesini soyarsa, bir yıl içinde polisin faaliyet gösterdiğine dair bazı belirtiler olabilir.”
Nixon, 2022 ve 2018 önyükleyici kaldırma operasyonlarını “ileriye doğru büyük adımlar” olarak övdü, ancak “daha fazla ve daha hızlı olması gerektiğini” de sözlerine ekledi.
“Bu zaman gecikmesi, siber suçlara giden yeni yeteneklerin boru hattını kapatmanın bu kadar zor olmasının nedenlerinden biri” dedi. “Yaptıklarının yasal olduğunu düşünüyorlar çünkü hiçbir şey olmadı ve bu şeyleri kapatmak için gereken süre çok uzun. Ve bu gerçekten büyük bir sorun, birçok insanın yaptıkları şeyin gerçekten yasa dışı olmadığı temelinde suçlu haline geldiğini görüyoruz çünkü polisler hiçbir şey yapmıyor.”
Aralık 2020’de Dobbs, Hawaii eyaletine IP Stresser Inc.’i aktif şirketler listesinden çekmek için başvuruda bulundu. Ancak savcılara göre Dobbs, kiralık DDoS sitesini en az Kasım 2022’ye kadar işletmeye devam edecek.
2020 e-posta görüşmemizden iki ay sonra, Dobbs ikinci lisans derecesini alacaktı (bilgisayar bilimi alanında; özgeçmişinde, 2013 yılında Drexel Üniversitesi’nden inşaat mühendisliği lisans derecesi kazandığını söylüyor). Dobbs’a karşı federal suçlamalar, tam da Hawaii Üniversitesi’nde bilgisayar bilimleri alanında yüksek lisans yapmak üzere son dönemine girmeye hazırlanırken geldi.
Nixon, kiralık DDoS hizmetini işleten herkes için bir mesajı olduğunu söylüyor.
“Hedefin hedeflediğiniz altyapıya sahip olduğunu doğrulamadığınız sürece, kiralık bir DDoS hizmetini çalıştırmanın yasal bir yolu yoktur” dedi. “Siteye ekleyebileceğiniz ve onu bir şekilde yasal hale getirecek hiçbir Hizmet Şartları yok.”
Ve bu booter hizmetlerinin müşterilerine mesajı? Özellikle Amerika Birleşik Devletleri, Birleşik Krallık ve başka yerlerdeki müfettişlerin kaçakçılık hizmeti müşterilerinin peşine düşmeye başladıkları bu dönemde, üzerinde düşünülmesi gereken zorlayıcı bir soru.
Nixon, “Bir önyükleyici hizmeti, günlükleri paylaşmadığını iddia ettiğinde yalan söylüyordur, çünkü günlükler, önyükleyici hizmeti operatörü tutuklandığında yasal bir kozdur,” dedi Nixon. “Ve bunu yaptıklarında, otobüsün altına atacakları ilk insanlar sen olacaksın.”