Slecht onderhoud, slechte bewaking en een gebrek aan veiligheidsmaatregelen houden pubstro’s in stand. Op die manier werken bedrijven ongewild en ongeweten mee aan het in stand houden van de illegaliteit op het internet.
Robin Hood stal van de rijken en gaf aan de armen. Op het internet zijn duizenden Robin Hoods actief. Zij stelen opslagruimte en bandbreedte van de "rijken" (bedrijven), vullen die met illegale downloads en geven ze aan arme surfers, die – sukkelaars als ze zijn – geen geld hebben om dvd’s, muziek of software te kopen. Dit fenomeen heet in het wereldje "Pubstro".
De sheriff van Nottingham speelt in dit verhaal niet mee, omdat de slachtoffers meestal niet eens weten dat ze worden bestolen en dus ook een politie kunnen inschakelen.
Antivirus- en eenvoudige firewallsoftware vormen geen obstakel voor de moderne internet Robin Hoods. Ook het up to date houden van je Windows-configuratie met alle service packs en security updates biedt niet altijd bescherming. De Robin Hoods komen dan immers binnen via oudere achterdeurtjes of resten van virusinfecties. Ook overblijfselen van standaard IIS installaties met voorbeeldcode kunnen dienen om in een systeem binnen te raken.
Hefboom
Pubstro-makers hebben maar een heel kleine hefboom nodig om een Windows-server of -pc gebruiksklaar te maken. Slim is ook dat de infecties niet altijd van buitenaf gebeuren. Eén geïnfecteerde server kan immers via achterbakse handigheidjes worden gebruikt om van alle andere servers in een netwerk pubstro’s te maken. Dit gebeurt àchter de eventuele firewall en intrusion detection apparatuur, zodat het niet opvalt.
Een pubstro is in feite niet meer dan een ftp-server op een niet-standaard poort. Die ftp-server geeft toegang tot verborgen directory’s met warez en/of pornografisch materiaal. De adressen van pubstro’s worden uitgewisseld via irc-kanalen of via instant messaging.
Pubstro-makers proberen zoveel mogelijk hun aanwezigheid te verbergen, zodat de gekraakte server zo lang mogelijk dienst kan doen. Het is geen uitzondering dat je op een geïnfecteerde server sporen van tientallen pubstro’s terugvindt die soms meerdere jaren teruggaan!
Om zo weinig mogelijk op te vallen, is een pubstro meestal maar beperkte tijd actief, liefst dan nog tijdens de avonduren, het weekend of vakanties. Daarna wordt hij uitgeschakeld om dan na bijvoorbeeld een maand opnieuw een tijdje te worden geactiveerd.
De makers wissen sporen in de serverlogs, verbergen directory’s en/of geven ze moeilijk op te sporen namen, plaatsen overal op de server stukjes software waarmee ze later opnieuw kunnen binnendringen en draaien stukjes code om andere kwetsbare servers op te sporen binnen en buiten het gekraakte netwerk.
Anoniem
De hackers blijven meestal anoniem. Als je het spoor terugvolgt van een gehackte server dan kom je gewoonlijk uit bij een andere gehackte server. De Robin Hood van dienst kraakt immers meestal een account bij een ISP en gebruikt een open proxyserver om anoniem een kwetsbare server op te sporen. Op die server plaatst hij een achterdeurtje en installeert hij scripts om andere kwetsbare servers op te sporen. De hacker zelf is op die manier niet op te sporen, tenzij het een idioot betreft die niet helemaal snapt hoe een en ander in zijn werk gaat.
Hoeveel pubstro’s er bestaan, weet niemand, maar het moeten er, afgaande op de irc-kanalen met warez, véél zijn. Een server met een pubstro kost niet alleen veel geld aan verspilde bandbreedte en rekenkracht, maar kan juridisch ook nogal wat nare consequenties hebben. Bedrijven kunnen immers aansprakelijk worden gesteld voor de illegale spullen die via hun servers worden verspreid. Slecht onderhoud, slechte bewaking en een gebrek aan veiligheidsmaatregelen houden pubstro’s in stand. Op die manier werken bedrijven ongewild en ongeweten mee aan het in stand houden van de illegaliteit op het internet.
Zoek in google op "pubstro" voor meer informatie.
Interessante samenvatting van het fenomeen