La difficoltà maggiore dei ricercatori di sicurezza è determinare con assoluta sicurezza la vera origine di un attacco, ammette il Global Security Strategist di Fortinet Derek Manky. Gli attacchi possono essere instradati attraverso diversi pc compromessi in tutto il mondo e utilizzati come proxy. Individuare un solo server comand and controll (C&C) non è sicuramente un indicazione di provenienza dell'attacco.
La natura di Internet rende estremamente complicato risalire agli autori di un attacco. Un numero sufficiente di hop e un paio di VPN rendono un vero e proprio incubo il lavoro degli investigatori.
"In alcuni casi è abbastanza facile rintracciare un hop, ma questo non è mai abbastanza, perché in alcuni casi ci sono quattro o cinque hop e spesso il traffico dati viene crittografato con VPN", ha spiegato Manky. "Significa che si dovrebbe avere il permesso di accedere a tutti i provider di servizi connessi in ogni Paese, ognuno dei quali però può essere soggetto a diverse legislazioni e regimi diversi di applicazione della legge." Manky sostiene che i criminali concentrano i loro sforzi sulla Cina a causa del gran numero di PC potenzialmente vulnerabili e di lacune normative che consentono ai criminali di continuare a operare. Entrambi questi fattori, in una certa misura, sono possibili però anche nel resto del mondo.
"Ci sono un sacco di indirizzi IP in Cina e ci sono un sacco di sistemi infetti. Molte sono macchine XP non hanno nemmeno installato il Service Pack 1", ha detto Manky. "Restano volutamente infetti e poi vengono utilizzati da operatori dediti a questo “traffico illecito di indirizzi IP” come “beni immobili” che possono essere dati in locazione, a caro prezzo, ad hacker che risiedono al di fuori della Cina, come negli Stati Uniti, in America Latina, in Europa dell'Est ecc."
Di certo, Il governo cinese potrebbe fare di più dal lato della legislazione, ma forse i tempi non sono maturi oppure a qualcuno fa ancora comodo così.