Sophos araştırmacıları neden kötü?

Over the past few days, our support team has received multiple alerts regarding a report published by the research team at Sophos. (https://www.sophos.com/en-gb/blog/malicious-use-of-virtual-machine-infrastructure)

Bilmeyenler için Sophos, siber tehdit analizindeki uzmanlığıyla iddia edilen bir İngiliz güvenlik yazılımı ve donanım şirketidir. Ancak hakkımızdaki son yayınlarını okuduktan sonra bu „araştırma”nın kalitesinden ciddi şüphelerimiz var.

Rapor, rdp.monster'ı „MasterRDP”nin yan kuruluşu (veya sahibi) olmakla, suçluların kimlik avı kampanyaları için özel olarak biçilmiş hizmetler sunmakla ve „bulletproof” bir barındırma şirketi olarak faaliyet göstermekle suçluyor.

Makaleyi dikkatlice okuduk. Sonucumuz? İçindeki her şey yanlış, mesnetsiz ve karalayıcıdır. Bu „araştırmayı” madde madde çürütelim.

Mit: „MasterRDP = rdp.monster”

Sophos'taki „süper araştırmacılara” göre rdp.monster ya MasterRDP'ye aittir ya da tam tersi.

Bunu öğrendiğimizde biz de oldukça şaşırdık! Hiç tanışmadığımız hayalet ortaklarımız olduğunu keşfetmek bizi her zaman mutlu eder. Ama bir an ciddi olalım: rdp.monster, rdp.monster'a aittir.

Dünya genelinde yüzlerce satıcımız var. MasterRDP bunlardan biri değil. Hiçbir kurumsal bağ, paylaşılan altyapı veya ortaklık yok. Klasik bir kimlik karışıklığı veya tembel çağrışım vakası.

„Paylaşılan hostname” suçlaması

Makale, kötü amaçlı faaliyetler için kullanıldığı iddia edilen birkaç belirli Windows RDP hostname'ini listeleyerek bizimle ilişkilendiriyor.

Veritabanımızı kontrol ettik. Sophos'un saydığı hostname'lerin HİÇBİRİ rdp.monster'a ait değil. Basit bir WHOIS veya IP kontrolü meseleyi saniyeler içinde çözerdi.

ISPsystem halüsinasyonu

Sophos, rdp.monster'ın sanal makinelerini (VM) dağıtmak için ISPsystem yazılımı kullandığını iddia ediyor.

Yine yanlış. ISPsystem kullanmıyoruz. Hiçbir zaman kullanmadık.

Bu bilgiyi doğrulamak inanılmaz kolay: bir VPS satın al, panele bak. Belki 8,99 $'lık bir sunucu Sophos'un araştırma bütçesi için fazla pahalıydı?

Hayali tedarikçiler

Rapor, upstream sağlayıcılarımız olarak birkaç şirketi sıralıyor: First Server Limited, Stark Industries Solutions Ltd, Zomro, vb.

Adı geçen 5 sağlayıcıdan… hiçbiri rdp.monster'ın sağlayıcısı değil. Ne şu an, ne de tarihsel olarak. Araştırma yöntemleri sanki hosting şirketleri haritasına dart atmaktan ibaretmiş gibi.

Rusya, İran ve Kazakistan'da sunucular mı?

Bu en sevdiğimiz kısım. Anlaşılan rdp.monster Rusya, İran ve Kazakistan'da sunucu işletiyormuş.

Bu veri merkezlerinin adreslerini bilmeyi çok isterdik, gidip ziyaret edelim!

Bu raporu nasıl ciddiye alabilirsiniz? rdp.monster yalnızca Avrupa'da (Fransa, Almanya, Birleşik Krallık, Hollanda) ve ABD'de sunucu sunuyor. Bu bilgi ana sayfamızda herkese açık. Bir tıklama. Doğrulamak için yeterli olurdu.

Bir nebze gerçek (ve Sophos'un haklı olduğu yer)

Doğru olanı söylemek gerekirse, her şey yanlış değil. Sophos, rdp.monster'ın bazı black-hat veya gray-hat SEO toplulukları dahil pek çok internet forumunda bulunduğunu doğru tespit etmiş.

Evet, bu doğru. Hizmetlerimizi her yerde pazarlıyoruz. SEO ve SEA yapıyoruz. Biz bir şirketiz ve barındırma altyapısı satıyoruz. Ancak bir forumda reklam vermek bizi „suç barındırma şirketi” yapmaz.

rdp.monster bir „bulletproof” barındırma değildir. Hiç olmadı, asla da olmayacak.

Hizmet şartlarımız (ToS) son derece açıktır. Kimlik avı veya yasa dışı faaliyetlere sıfır tolerans. Başlıca abuse raporlama API'leriyle (SBL, CSS, AbuseIPDB) entegreyiz ve doğrulanan abuse raporlarında örnekleri anında askıya alıyoruz.

Sonuç

Biz gizlilik ve veriye saygıyı savunuyoruz, suçu değil. „Anonim VPS” (kullanıcı kimliğini koruyan) ile „bulletproof VPS” (suç faaliyetini koruyan) arasında devasa bir fark var. rdp.monster ilki için duruyor.

Sophos ekibinden bu yanıltıcı araştırmayla ilgili bir düzeltme bekliyoruz. Bu arada, sorularınız olursa — ya da `traceroute` kullanımına dair bir eğitime ihtiyaç duyarsanız — buradayız.

Sophos araştırma ekibine: alınmak yok ama… bunu düşürmüşsünüz.