[info] Spammers y bandidos

Nuevo Mensaje	Responder	Acerca de la Lista	Por Fecha	Por Seguimiento	Por Tema	Por Autor

From: J.Franco (iris@interec.com)
Date: Tue 26 Oct 2004 - 23:18:54 CEST

Mensaje siguiente: Joaquin Franco: "[info] Intervención 08.11.2004 22:00 Horas"
Mensaje anterior: J.Franco: "[info] IMPORTANTE INFORMACION ACERCA DEL REGISTRO DE DOMINIOS"

Usted recibe éste mensaje porque está suscrito administrativamente a la lista INFO. Dicha suscripción es debida a que usted usa nuestros servicios o solicitó información sobre los mismos.
INTEREC es miembro del grupo ANTI-SPAM EuroCauce, y no efectúa envios masivos de correos NO solicitados.
Puede ver al pie de éste mensaje instrucciones para suscribirse y borrarse de ésta lista.

Estimados Amigos y Clientes:

Todos sabemos ciertamente cómo Internet evoluciona y se producen
cambios en diferentes aspectos.

Recordaremos la implementación de reglas para denegar el RELAY
en los servidores de correo como algo ya histórico pasando hoy en
día servidores con RELAY abierto directamente a listas negras.

Lamentablemente esto no ha sido suficiente y venimos notando cada
vez mayor incidencias de consultas sobre el servicio de correo
electrónico, por lo que nos hemos dedicido a realizar algunas
aclaraciones a continuación.

Esperamos conseguir no hablar un lenguaje excesivamente técnico
y que este mensaje sea util y comprensible para la gran mayoría.

Exponemos a continuación las situaciones mas frecuentes en estos
últimos días y su explicación, ya que la mayoría de nosotros estamos
sufriendo esta plaga.

1. No he recibido un email remitido por nombre@dominio.xxx

Cuando exploramos en los logs, resulta que las conexiones que
entregaron el remite nombre@dominio.xxx fueron realizadas desde
la dirección IP 111.222.333.444 que corresponde a una línea ADSL.

¿ Es que no proporcionan TODOS los proveedores de conexión
unos servidores SMTP válidos para enviar el correo a sus clientes ?

Sin embargo muchos prefieren usar como SERVIDOR de correo
saliente su máquina conectada a una línea ADSL, y esto representa
un serío problema.

En primer lugar porque en la red miles de miles de ordenadores
domésticos son hackeados y atacados por virus ( la mayoría en estos
casos de tipo gusanos ) que los convierten en pequeñas "hormigas"
guerreras.

Todos ellos juntos, constituyen un gran ejercito y amenaza real.

En el lado contrario, los proveedores de Internet proporcionamos
a los clientes servidores SMTP que están cuidados al máximo para
evitar este tipo de ataques y la utilización de máquinas como
puentes para lanzar ataques.

En segundo lugar, como el relay está denegado en la practica
totalidad de Internet, se han difundido muchas aplicaciones que
un usuario puede hacer funcionar en su PC para enviar SPAM.
Esto lo hacen realizando una peticion de "quien es el servidor
SMTP de mi víctima ?" y conectando directamente con él.

Estos spammers, contratan varias lineas ADSL para realizar
dicho tipo de difusión.

Por los motivos expuestos NO ESTA PERMITIDA LA CONEXION
DIRECTA DESDE SERVIDORES ADSL A LOS SMTP,
resultando en un mensaje de error retornado de "Servidor SMTP
no válido" o bien NO CONTESTANDO a dicha petición de conexión
al servicio.

Por supuesto, esto no afecta a las direcciones IP que aunque sean
ADSL están identificadas como de clientes autorizados en los
servidores ( por eso veis que podeis usar para enviar correo los
SMTP proporcionados, porque se realiza una autentificación de vuestra
dirección IP )

2. No he recibido X email y me lo enviaron desde un servidor válido.

En la mayoria de los casos cuando analizamos los logs, incluso
a nivel de red ( networking, analisis de paquetes TCP ) no observamos
la conexión del servidor emisor.

En otros casos, una vez se pasa la primera regla y clasifica al servidor
que nos conecta como validado, si el cliente tiene habilitado los filtros
anti-spam en sus cuentas, se realiza un estudio detallado del correo.

Por nuestro lado, el estudio es muy diferente y creemos que mucho
mas efectivo que los que realizan aplicaciones como Spamassesin
o SpamSlam, que inexplicablemente publican casi sus algoritmos de
filtrado en los siguientes sitios:

http://www.onr.com/services/email/spamslam/spamslam_tests.html
http://slugstone.net/gslug/spamassassin_procmail_talk/spamassassin_procmail_files/tests.html

Nuestros filtros no son tan severos, pero si algo mas complejos en la
profundidad del analisis.

Y por supuesto, digamos que los algoritmos usados son un "top secret"
que nos gustaría publicar en internet para su buen uso, pero eso provocaría
darlos a conocer también a los desarrolladores de softwares para enviar
mails masivos.

En otros casos el email ha sido filtrado por el servicio anti-spam
y es recuperable usando los links enviados en el report Anti-Spam
diariamente.

3. No puedo recuperar un MSG que está retenido en el filtro

Este problema se suele dar por las siguientes razones:

a) El mensaje original no contenía un MSG ID válido, que es digamos
     un "carnet de identidad" del mensaje , algo parecido a una serie
     larga de letras y números, seguidos por una arroba y el nombre del
     servidor que hace la entrega o algún alias.
     En muchos casos el sistema es capaz de "generar" un MSG ID nuevo
     en destino, y lo hemos programado para usar esta cualidad.

b) La recuperación de mensajes se efectúa por determinados puertos
     de conexión específicos, mediante interface WEB pero a puertos
     diferentes de los standar, que pueden estar cortados en la parte
     del cliente por algún firewall.
     En este caso aconsjemos verificar dichos puertos y configurar de
     forma acorde el firewall.

c) Malformación del envio de request POST y o GET ( lo que se envia normalmente
     mediante un formulario ) cuando se usa un puerto extraño.
     Esto suele ocurrir con algunas ultimas actualizaciones de seguridad
     de Windows de esos que matan moscas a cañonazos, asi que talvez
     algún dia creen un parche que para proteger nuestros PC simplemente
     los apage por completo.

4. El filtro anti-spam me ha filtrado un mensaje aparentemente válido.

    Los algoritmos son complejos, iterativos y de gran profundidad,
    diremos que entre otras cosas en el apartado URI ( direcciones o links
    incluidos en los mensajes ) hace un analisis de dominios basura,
    tales como dsaglhasa.biz o lk324sdsd.biz

    Realiza además una comprobación sobre el registrador del dominio,
    y si es un registrador de esos situados en China para ocultar los datos
    reales del propietario, clasifica el mail como un spam.

    Tambien comprueba la fecha de creación de los dominios anunciados
    y su antiguedad, para que no usen dominios "volatiles" en cuanto
    les cortan el servicio sus proveedores.

    Y tambien chequea los tipicos "trucos" anti-antispam de los spammers
    como son incluir una llamada a un link con secuencias ASCII:
    Ejemplo : http://www%4E

Hace ya mas de dos años todos nos tuvimos que mentalizar que el relay
dejaba de funcionar, y que además si disponiamos del relay abierto nos
meterian en listas negras.

Ahora debemos concienciarnos que la gente no puede andar enviando
anonimamente conexiones a los servidores SMTP desde sus ADSL,
y además en la mayoria de los casos desde direcciones IP que están
en las listas negras !!!

Veamos un ejemplo real, enviado por un dominio que aparenta estar
todo ok, pero que NO podrá enviar emails:

El mensaje original era enviado desde fibes.es, asi que vamos a realizar
un analisis de ver desde que IP lo enviaban, y obtenemos que era la
direccion IP 62.175.209.110

El sistema mira de QUIEN es esa dirección y se encuentra con la
"sorpresa" que es una dirección ADSL de Auna:
110-209-175-62.libre.auna.net con lo cual ya le da un mensaje de
servidor SMPT no válido

Pero no conformandose con hacer la barbaridad de instalara su SMTP
en su ADSL, ademas el sistema analizará mas cosas.

¿ Está en las listas negras ? Voilá !!
Compruebenlo ustedes mismos sobre dicha ip en la web http://www.rbls.com
y verán que están en DOS listas negras.

Bueno, aún asi podriamos ser bondadosos y darlo por bueno, eh ?
Hagamos otra comprobación más, analizemos si dicho servidor en
dicha IP responde a puertos que pueden ser potencialmente atacables
y usados como "puente" tal y como describiamos antes.

Esta última prueba nos dice que esa máquina está instalada con todo
por defecto abierto, sin ninguna regla de seguridad mínima usando
una configuración doméstica de MS IIS sobre un Windows 2000
( ni siquiera W2000 Server Edition o algo mas serio )
La salida del scaneador de puertos es de lujo, sugiero que lo hagan,
cualquier hacker daria salto de alegria con un servidor asi.

Ahora juzgen ustedes si no hay ya argumentos de peso para cortar
su conexión clasificandola como "no válida" a los efectos de identificar
al emisor y la falta de mala voluntad ( informáticamente hablando, ya
que puede tratarse de virus ) a la hora de enviar el correo.

Por si ustedes, o sus técnicos desean hacer dichas pruebas, las herramientas
usadas son dig, nslookup, nmap para analizar la máquina que nos conecta
antes de aceptar sus correos.

Comprendemos que este problema con los correos electrónicos está
suponiendo un serio problema y pone en riesgo la misma validez del
correo como medio mas o menos seguro de comunicación.

El esfuerzo que se está haciendo por compaginar las necesidades de todos
en la utilizacion del servicio con la protección necesaria que llega a
requerir está siendo un trabajo tremendo , titánico, a veces contra reloj.

Y la mejor ayuda que podemos obtener es la de todas las sugerencias
posibles en cuanto como resolver de la manera mas satisfactoria posible
la situación.

Y AHORA LOS BANDIDOS ...

Hoy leemos en Yahoo una noticia, que es bastante preocupante además.

Tiene alguna relación con la protección de los correos electrónicos,
aunque no hemos apuntado todavía que nuestro sistema además limita
el número de envios por hora desde direcciones IP externas y desconocidas.

El siguiente ataque está basado en lo que denominamos tecnicamente
( perdonen el tecnicismo, pero seguro que les sirve para buscar mas información
por Google o Yahoo ) DDOS .

Estas siglas corresponden a Distributed Denial of Service, que traducido
es algo como Denegacion de Servicio Distribuido.

¿Que es una denegación de servicio ?

Todos los servidores, por grandes que sean no tienen capacidad suficiente
para soportar peticiones normales de servicios en modo desmesurado,
imaginemos por ejemplo que medio mundo entrara a la vez a realizar
una consulta al servidor mas potente, simplemente saturarian el servidor.

En la realidad, son suficientes unas pocas de llamadas a servicios de
manera intensiva desde pocos miles de direcciones IP para caer y dejar
fuera de servicio al equipo mas potente.

Pero ¿ quien tiene miles de ordenadores con diferentes IP?
Pues cualquiera los tiene , no necesita nada para tener a su disposición
miles y miles de máquinas, solo nos basta con scanear desde nuestra
ADSL todas las IP durante un par de dias en busca de servidores
"proxy" que estén abiertos.

Ellos harán de puente.

Es mas, los que detectemos, los usaremos además de puente para detectar
más, con lo cual el barrido se realiza en una progresión geométrica, y el
valor de tan sólo DOS DIAS para barrer millones y millones de direcciones
en busca de equipos vulnerables es muy próxima a la realidad.

A continuación el atacante solo tienen que instruir a esos pocos de miles
de ordenadores, solicitando servicios al servidor victima de forma mas
o menos intensiva.

El servidor víctima, no sabrá bien distinguir entre tantas direcciones IP
y peticiones validas cual es el de un usuario que visita su pagina de inicio
y cual es la de un programa que hace exactamente lo mismo.

Y esto es lo usado, en este caso por los bandidos.

Primero te envian un email, bien clarito "O me pagas 2,000 Euros o
mañana te caigo tu empresa durante mucho tiempo"

Soluciones técnicas hasta el momento no hay muchas para estos casos,
ya que los ataques pueden venir a cualquier servicio, y aunque limitemos
las peticiones por IP, servicio y máquina, continuarian produciendo el
efecto deseado por el atacante: la denegación de servicio o caida de los
mismos.

El articulo publicado al respecto en Yahoo ( eso si, original en inglés,
hará falta echar mano de algún traductor, pero hay muchos en la red )
no tiene desperdicio, con nombres propios de compañias que han sufrido
la estafa, que luchan contra ella y las actuaciones policiales y legales
que se están emprendiendo en todo el mundo contra los nuevos piratas.

Podeis acceder al artículo en cuestión en:
http://story.news.yahoo.com/news?tmpl=story&cid=2026&ncid=2026&e=4&u=/latimests/20041025/ts_latimes/deletingonlineextortion" ADD_DATE="1098792298" LAST_VISIT="1098790320" ICON="http://story.news.yahoo.com/favicon.ico"
LAST_CHARSET="ISO-8859-1">Yahoo! News - Deleting Online Extortion

Si desea ser borrado de ésta lista, por favor envíe un mensaje a:
listserver@ganimedes.interec.com
con el texto:
unsubscribe info
en el cuerpo del mensaje.
Recibirá una petición de confirmación de su baja en el buzón email indicado en su remite.

Mensaje siguiente: Joaquin Franco: "[info] Intervención 08.11.2004 22:00 Horas"
Mensaje anterior: J.Franco: "[info] IMPORTANTE INFORMACION ACERCA DEL REGISTRO DE DOMINIOS"

Nuevo Mensaje	Responder	Acerca de la Lista	Por Fecha	Por Seguimiento	Por Tema	Por Autor

alojamiento web por interec.com, proveedores de registro dominios y servicios de hosting desde 1996