1
SPAM NATION by Brian Krebs Sourcebooks Inc. 306 Pages Paperback ISBN: 978-1492603238 The epidemic we call spam is the topic of Spam Nation by Brian Krebs. It is a bit unusual in the computer technical genre to focus so sharply on one issue, and specifically one that might be considered to be the scourge of our existence. We understandably want to keep our virtual fingertips away from the less palatable portion of the Internet lest we get them dirty. But knowledge of the people, personalities and ploys can make us more capable of predicting or recognizing the next criminal paradigm – or at least we hope. Spam Nation is most obviously a history of spam and the organized crime accompanying it, but equally important is the perseverance and courage exhibited by its writer. When the newspaper he worked for didn't have the backbone to weather a possible, albeit questionable, legal retaliation for his writings on the subject, Krebs started his own now famous blog: Krebs on Security (KrebsOnSecurity.com). Along the way he was swatted enough times to make it seem routine. (Swat teams were surreptitiously directed to his home to intentionally endanger his family and neighbors by the very cyber-criminals he wrote about.) Illegal drugs were also delivered to his door and the authorities notified, all unbeknownst to him. Eventually he even made what might have seemed a foolish decision to go directly to the source and he traveled to Moscow, the center of the trade that had become the gateway to online pharmacies. But after all, he is an investigative reporter and that is what they do. Two major trade spam partnerships, GlavMed and Rx-Promotion, would become the major players, becoming so significant they could advertise their services.
SPAM NATION par Brian Krebs Sourcebooks Inc. 306 pages Livre de poche ISBN : 978-1492603238
Le sujet de Spam Nation, par Brian Krebs, est l'épidémie de ce que nous appelons le spam. Dans les livres techniques/informatiques, c'est un peu inhabituel de se focaliser sur un seul problème et, plus particulièrement, sur un problème éventuellement jugé comme le fléau de notre existence. Nous voulons garder nos distances de la partie moins avouable du Net, afin de ne pas nous salir, et c'est compréhensible. Mais connaître les gens, les personnalités et les stratagèmes peut nous rendre plus aptes à prédire ou à reconnaître le prochain paradigme criminel, ou du moins, c'est ce que nous espérons.
Spam Nation est, bien évidemment, une histoire du spam et du grand banditisme qui l'accompagne, mais tout aussi importante est la persistance et le courage que démontre l'auteur. Quand le journal pour lequel il travaillait n'avait pas le cran d'affronter des représailles juridiques possibles, bien que contestables, contre ce qu'il écrivait à ce sujet, Krebs démarra son blog personnel, actuellement bien connu : Krebs on Security (KrebsOnSecurity.com). Au cours de ce processus, il fut la cible d'attaques physiques et morales, si nombreuses qu'elles semblaient routinières. (Des groupes d'intervention furent dirigés subrepticement à son domicile par des cybercriminels, le sujet de ses articles, pour qu'ils mettent en danger sa famille et ses voisins.) Des drogues illégales furent livrées chez lui et les autorités mises au courant, sans qu'il en sache quoi que ce soit. Finalement, il a même pris la décision - peut-être stupide - d'aller directement aux sources, à Moscou, le centre du commerce devenu la passerelle vers des pharmacies en ligne. Après tout, il est reporter d'investigation et c'est cela qu'ils font. Deux partenariats majeurs en spam-commerce, GlavMed et Rx-Promotion deviendraient des acteurs de premier plan, si importants qu'ils pouvaient faire de la publicité pour leurs services.
2
Although not the original type, it's the email version of SPAM that we all love to hate. It may seem like the deluge of spam has ended but that is more likely just a temporary lull. While spammers email is not yet flawless, it's getting more and more difficult for automated systems to recognize the bogus variety and distressingly difficult for mere flesh and blood readers. That is because, for cyber-badguys in the spam trade, like all cyber-crime, the only way to remain relevant is to get better faster than the good guys. They remain on the cutting edge, and thus everyone must remain vigilant. In phase two, their current status is like many start-up internet companies; they have a good idea but monetizing is the problem. The bottleneck in the Spam enterprise had become the payment system which, unfortunately for them, has recently been subject to much greater scrutiny, and they have not fared well. But you can be sure that, if there is a way to move money around, they will get their hands on it. And another good bet is that you will read about it in a future story in the Krebs on Security blog. The spamming industry may have started with disorganized individual efforts but eventually crystallized into an organized industry which necessarily had to address the quality issue. This had less to do with honor among thieves and more to do with business practices that allow growth and continuing profits. By now it seems that every email account on the planet has received hundreds of Viagra ads, mostly filtered out. For drugs that might have been of an embarrassing nature such as erectile dysfunction, it would make a limited business. But it blossomed such that online pharmaceuticals would cover all needs, although it would be curtailed in countries wanting to protect their citizens/industries via more vigilant policing. To remain viable the focus had to be on price, confidentiality, convenience and dependency. That required an organization.
Bien que ce ne soit pas le type d'origine, c'est la version mail du spam que nous adorons tous détester. On peut avoir l'impression que le déluge de spams est terminé, mais il est plus probable que ce ne soit qu'une accalmie. Alors que les mails des spammeurs ne sont pas encore parfaits, il devient de plus en plus difficile pour les système automatisés de détecter des faux et extrêmement difficile pour nous, pauvre mortels. C'est parce que, pour les cyber-méchants, comme pour tout cybercriminel, la seule façon de rester pertinents est de s'améliorer plus rapidement que les gentils. Ils restent à la pointe ; ainsi, nous devons rester vigilant. En phase deux, leur statut actuel est similaire à celui de pas mal de startups sur le Net. Ils ont une bonne idée, mais le problème est sa monétisation. Le goulot dans l'entreprise Spam est devenu le système de paiement, qui, malheureusement pour eux, depuis peu, est soumis à un examen beaucoup plus sérieux et leurs affaires diminuent. Mais, soyez-en sûr, s'il y a un moyen de déplacer des fonds, ils vont y mettre leurs mains. Et il y a fort à parier que vous en aurez des nouvelles dans un article sur le blog Kerbs on Security.
L'industrie du spam peut avoir démarré avec des efforts individuels et désorganisés, mais elle s'est finalement cristallisée en une industrie organisée qui devait obligatoirement aborder la question de la qualité. Pas à cause d'un honneur quelconque chez des voleurs, mais plutôt à cause de pratiques professionnelles qui engendrent la croissance et le maintien de bénéfices élevés. Aujourd'hui, il semblerait que tout compte mail au monde a reçu des centaines de publicités pour le Viagra, rejetées, pour la plupart. Pour ce qui concerne des médicaments d'une nature gênante, comme la dysfonction érectile, ce serait une proposition commerciale limitée. Mais elle s'est développée, de telle façon que des officines pharmaceutiques en ligne pourraient répondre à tous les besoins, bien qu'étant limitées dans des pays cherchant à protéger leurs citoyens/industries avec des contrôles vigilants. Pour rester viable, il fallait se concentrer sur le prix, la confidentialité, la commodité et la dépendance. Une organisation était nécessaire.
3
One example is “Steve,” having gotten gonorrhea from the woman, by then ex-girlfriend, who kindly let him know the drug she was prescribed. With no co-pay, and clearly less expensive on the Internet, the purchase was a no-brainer for Steve because he had also recently been let go from his job. His experience may have been typical; sales operations persist because of satisfied repeat customers. Purchasers of low volume, very expensive drugs may not always have had a positive experience. But there was never a guarantee, the delivered items may have been the legitimate drug, a pill with no active ingredients, or even a toxic substance, all of which might be sold in what looked like the real blister-pack. Legal authorities were always quick to point out the bad and lethal cases even though the phrase “buyer beware” is relevant for any purchase. Given most drugs are made in China and India, legitimate or counterfeit, it's hard to tell what is a real item. The above mentioned organizations would thus look upon such activities harshly if it reflected poorly on their operations, and take appropriate actions. This book has elements of a crime thriller, a how-to guide and a dissatisfied customer who tells all. You immediately know there is a Russian connection because he starts with a list of 15 significant players in the Spam cyber-world along with short descriptions of their activities. It doesn’t take much convincing to decide they are not individuals you want to meet, assuming they are alive and not in free, very secure government housing. Most of them didn't get the money and high end lifestyle by being nice guys, but you could have guessed that part. There are payoffs to government officials, double-crosses and organized crime style retaliations. While business enterprises (that bring money into the country but don't harm its citizens) are sometimes tolerated, eventually the country in question can’t deny any knowledge and must turn up the heat on the miscreants.
Il y a l'exemple de « Steve » qui a choppé la gonorrhée d'une femme, devenue ex-copine, qui lui a gentiment donné le nom du médicament qu'on lui avait prescrit. Sans mutuelle, et évidemment moins cher sur le Net, l'achat allait de soi pour Steve parce qu'il avait récemment été viré de son travail. Son expérience était sans doute typique ; les ventes continuent à cause de clients satisfaits et donc fidèles. Les acheteurs de médicaments très chers en petite quantité peuvent ne pas être aussi satisfaits. Mais il n'y a jamais eu de garantie, ce qui fut livré aurait pu être le véritable médicament, un comprimé sans composants actifs, ou même une substance toxique, le tout vendu dans ce qui ressemblait à la vraie plaquette alvéolée. Les autorités judiciaires n'hésitaient jamais à signaler les cas graves, parfois mortels, bien que la phrase « caveat emptor » est valable pour n'importe quel achat. Étant donné que la plupart des médicaments, légitimes ou contrefaits, sont fabriqués en Chine et en Inde, il est difficile de distinguer le vrai du faux. Les organisations mentionnées ci-dessus regarderaient de telles activités avec sévérité, si leurs opérations en pâtissaient, et prendraient des mesures appropriées.
Ce livre comporte des éléments d'un roman policier, un manuel et un client mécontent qui déballe son histoire. Vous savez tout de suite qu'il y a une filière russe, parce qu'il commence par une liste de 15 acteurs importants dans le cybermonde du spam, en donnant un court descriptif de leurs activités. Vous comprenez immédiatement que ce sont des individus que vous n'aimeriez pas rencontrer, à supposer qu'ils soient vivants et n'habitent pas dans des résidences gouvernementales gratuites et hautement sécurisées. La plupart n'ont pas obtenu l'argent et ce style de vie luxueux en étant des gentils, mais vous l'aviez deviné. Des responsables gouvernementaux reçoivent des pots-de-vin, il y a des trahisons et des représailles du style crime organisé. Alors que des entreprises commerciales (qui apportent de l'argent au pays sans nuire aux citoyens) sont parfois tolérées, à la longue, le pays ne peut plus prétendre tout ignorer et doit exercer des pressions sur les méchants.
4
Setting aside the business part, it's the technical wizardry that necessarily defines the mostly unseen programmers that keep the web sites running. Their redundancy and secure record-keeping gets put to the test. They have to be not just world class but able to circumvent the best efforts of countries trying to shut them down, and sometimes their competition. (Governments and corporations could learn a thing or two from these guys.) But, like many a murder mystery, their Achilles heel was and remains the money. Credit card processing networks like ChronoPay, with laundering schemes and various flavors of virtual money like BitCoin, were avenues taken, but too often for the bad guys, they would eventually become undependable. Spam Nation is a book about the rise and fall of one part of organized crime. There were real companies and brands like Pfizer and Vista affected. It took the concerted effort of many government offices/countries to bring it down. There is a lot to learn in this book for both sides, but it can't be over. History has shown that, legal or not, whenever there is a demand for products and services, a more sophisticated, stealthy venture can emerge and circumvent the current business controls. Spam Nation is a book about that process.
Indépendamment de la partie commerciale, c'est l'ingéniosité technique qui définit les programmeurs, invisibles, pour la plupart, qui maintiennent les sites Web. Leur redondance et la conservation des enregistrements sont mises à l'épreuve. Il faut qu'ils soient non seulement de niveau mondial, mais aussi capables de contourner les meilleurs efforts des pays qui essaient de les arrêter, ainsi que, parfois, la concurrence. (Les gouvernements et les corporations pourraient en apprendre beaucoup de ces mecs.) Mais, comme dans pas mal d'histoires de meurtre, le talon d'Achille était, et reste toujours, l'argent. Les réseaux de traitement de cartes de crédit, comme Chronopay, ainsi que des projets de blanchiment de fonds et diverses variétés d'argent virtuel, comme Bitcoin, furent essayés, mais trop souvent pour les méchants, ils sont finalement devenus trop aléatoires.
Spam Nation traite de la montée et de la chute d'une partie du crime organisé. De vraies sociétés et marques déposées, comme Pfizer et Vista, ont été touchées. Le terrasser nécessitait les efforts conjugués de beaucoup d'agences gouvernementales/de pays. Il y a beaucoup à apprendre, des deux côtés, dans ce livre, mais ce n'est pas fini. L'histoire démontre que, licite ou pas, chaque fois qu'il y a une demande pour des produits ou des services, une initiative plus sophistiquée et plus furtive pourra émerger et circonvenir les contrôles commerciaux actuels. Spam Nation est un livre qui examine et décrypte ce procédé.