Adam Vitale, que así se llama el afortunado joven de 27 años de Brooklyn, se dedicó a hacer spam de un producto de seguridad informática. Parece que él, junto a un tal Todd Moeller, procedieron al envío de estos mensajes a través de proxies anónimos (seguramente PCs infectados), falsificando además las cabeceras necesarias.

Tendrá que pasar 65 segundos en la cárcel por cada uno de los mensajes que envió.

1′2 millones de mensajes son bastantes, pero parece un “cabeza de turco” para hacer demostrar que se está haciendo algo contra los spammers.

=======================

Dear abuse team,

–
Postmaster - Hostalia/DNS-Servicios
postmaster@hostalia.com
http://postmaster.hostalia.com

=======================

Gracias a Net::Abuse::Utils, el script para sacar el contacto y hacer el envío es bastante sencillo.

Servicios parecidos pueden ser por ejemplo el que proporciona AOL, con su servicio de FBL o Microsoft con su Junk E-Mail Reporting Program, aunque ciertamente, más avanzados ;-)

Tras mi llegada del MAAWG en el que hubo una charla de IronPort sobre este tema, seguí en contacto con ellos con el fin de facilitarles unas estadísticas sobre las conexiones realizadas por dicho bot a nuestros servidores. A continuación, los resultados del día 23 de Junio (24 horas) tras el análisis de las conexiones y fingerprints de las máquinas que se conectaban a nuestros sistemas:


Windows 2000 : 47.44%
Srizbi Ethernet : 15.98%
Linux 2.6.8 : 15.81%
UNKNOWN : 11.77%
Windows XP : 3.96%
Windows XP/2000 : 2.51%
Linux 2.5 : 0.93%
Linux 2.4/2.6 : 0.76%
Windows 98 : 0.34%
Srizbi ADSL? : 0.25%
Linux 2.4 : 0.07%
Windows SP3 : 0.03%
Solaris 10 : 0.03%
Solaris 8 : 0.02%
Solaris 9 : 0.02%
Linux 2.0.3x : 0.02%
Windows 95 : 0.01%
Windows 95b : 0.01%
FreeBSD 4.4 : 0.01%
Linux 2.2 : 0.01%
Windows NT : 0.01%
Novell NetWare : 0.00%
NetBSD 1.6 : 0.00%
NMAP syn : 0.00%
NetCache Data : 0.00%
Novell Netware : 0.00%
PocketPC 2002 : 0.00%
CacheFlow CacheOS : 0.00%
Linux 2.5/2.6 : 0.00%
Mysterious NAT : 0.00%
NetBSD 1.6X : 0.00%
AIX 4.3.2 : 0.00%
Tru64 v5.1a : 0.00%
NetBSD 1.3 : 0.00%
Windows 2003 : 0.00%
Tru64 4.0 : 0.00%
NetBSD 1.6Z : 0.00%
Eagle Secure : 0.00%
SymbianOS 7 : 0.00%
Solaris 7 : 0.00%
Inktomi crawler : 0.00%
OpenVMS 7.2 : 0.00%
Novell IntranetWare : 0.00%
Windows ME : 0.00%
SymbianOS 6048 : 0.00%
Windows 3.11 : 0.00%
FreeMiNT 1 : 0.00%
RISC OS : 0.00%
QNX demodisk : 0.00%
Nokia IPSO : 0.00%
Tru64 5.0 : 0.00%
Sony Playstation : 0.00%
Windows CE : 0.00%
ULTRIX 4.5 : 0.00%
NetCache 5.2 : 0.00%
Novell BorderManager: 0.00%
DOS Arachne : 0.00%


Como se ve, Srizbi (entre sus dos versiones) suma más del 16% de las conexiones que se realizan a nuestros servidores. A destacar también el primer puesto de Windows2000, entre otros SSOO de lo más extraños, ya que no es precisamente porque haya muchos servidores de correo sobre esta plataforma…ya me entendéis ;-)

A partir de las IPs de Srizbi he sacado otra estadística ordenada por países; el “honroso” top 10 es:


--,N/A : 27,22%
US,UnitedStates : 10,90%
RU,RussianFederation : 7,9%
TR,Turkey : 7,06%
TH,Thailand : 3,36%
CN,China : 3,24%
PL,Poland : 3,08%
AU,Australia : 2,98%
BR,Brazil : 2,88%
ES,Spain : 2,08%


Más o menos, los de siempre…

El congreso como tal dio mucho de sí y se hablaron de cosas muy interesantes. Estaban presentes todos los “grandes” del mundo de Internet y del correo electrónico, tales como Microsoft, AOL, AT&T, ComCast, Yahoo, SpamHaus, IronPort, Cisco, Symantec…etc y la agenda del evento estuvo repleta de charlas y conferencias. A continuación un mini-resumen de alguna de ellas.

- Coloquium para ISPs, en los que se habló principalmente de las botnets y posibles medidas para mitigarlas, desde la educación al usuario final, la presión a organismos y gobiernos para que tomen cartas en el asunto…etc

- Charla de Métricas y tendencias, en la que se habló de hacia donde tiende el spam en general; redes de bots que utiliza webs para el envío de mensajes (MailReactor), uso de la web 2.0 para el posteo de spam…etc. Además, se resaltó la alta desactualización en el software de los ordenadores de los usuarios ya que debido a ello, las infecciones se realizan a través de navegadores y sus plugins (ActiveX, Flash, QuickTime…etc).

- Charla de ReactorMailer en la que IronPort nos mostró en ejecución el software web utilizado para la emisión de spam desde redes de botnets. Muy cuidado y completo, con todo tipo de opciones.

- Charla sobre reputación de IPs en la que desde AOL y ReturnPath, comentaron algunos de los aspectos teóricos y prácticos referentes a esta “técnica” para intentar reducir las conexiones de spammers. El futuro de las RBLs, parece que avanza en este sentido.

- Charla sobre DNSBLs en la que se comentaron los diferentes puntos de los drafts existentes al respecto:

http://www.ietf.org/internet-drafts/draft-irtf-asrg-dnsbl-05.txt
http://www.ietf.org/internet-drafts/draft-irtf-asrg-bcp-blacklists-03.txt

y cómo lo importante no es la política que sigue una lista determinada (que puede ser más o menos severa) sino que dicha política esté publicada y accesible para que quien la quiera usar sepa a qué atenerse.

- Charla sobre servicios de soporte de entrega de email en la que Microsoft, AOL y KPN expusieron sus diferentes portales y recursos (portal del postmaster de AOL, portal de MSN…etc) dirigidos a facilitar al usuario e ISPs la entrega de correo electrónico a sus servidores.

- Charla sobre gestión de conexiones SMTP en la que gente de AOL y MailChannels, comentaron las diferentes técnicas para poder gestionar las conexiones SMTP entrantes y poder, por ejemplo, separarlas según políticas a aplicar.

Estas fueron las charlas más importantes del MAAWG. El resto se queda en privado ;-)

CloudMark es una empresa creada por Vipul Ved Prakash, creador a su vez de Razor, un programa de detección de spam en base a checksums de mensajes muy utilizado, sobre todo desde SpamAssassin. Uno de los servicios de pago de Cloudmark, es similar a dicho programa pero con muchas más funcionalidades y con la ventaja de que la base de datos de checksums de mensajes son bajados al servidor. La verdad, tras las pruebas realizadas, da muy buen resultado en detección de spam.

En cuanto al MAAWG, ciertamente, pinta muy bien; la agenda es privada pero puedo adelantar que existen diversas conferencias de gente de Sendmail, AOL, Comcast, SpamHaus, Ironport o Symantec. Las botnets y la reputación de IPs parecen que van a ser importantes puntos a tratar. A la vuelta podré contar más al respecto y todo lo que ha dado de sí.

Tschüss! ;-)

Por ahora parece que en el informe no hay demasiados detalles a la espera de una respuesta por parte de Google, pero según acaban de comentar en Bugtraq un integrante del equipo de INSERT:

Hi,

We are not talking about backscattering. Our attack uses Google’s MX servers like open SMTP relays.
Messages are delivered as sent, and not as a delivery failure notification.

We are still expecting to hear from Google, but we will be releasing more details about the issue
together with the PoC exploit shortly.

Sería interesante que Google desmintiese esta noticia si es falsa o si es verdad, anuncie la resolución de dicha vulnerabilidad.

La primera de ellas es Srizbi, de la que ya hablé en este blog hace unos meses. Según dicho estudio, Srizbi (perteneciente a la RBN), dispone de unas 315.000 máquinas bajo su control; toda una plataforma para el envío de spam que generaría unos 60 billones de mensajes de spam al día. A destacar también que casi todas usan un sistema de control con cifrado, ya sea HTTP o mediante algún otro protocolo.

Ciertamente, las botnets son las mayores emisoras de spam a día de hoy. Para poder mitigar su impacto, sería interesante que los ISPs de conectividad, como está haciendo Telefónica desde hace tiempo, empiecen a cortar el tráfico SMTP de salida desde sus redes dinámicas y residenciales. Otros ISPs están pensando en aplicar medidas similares dado el excelente resultado que esta medida está dando. Esperemos que sea así pronto :)

¿A qué se dedican las empresas de escrow? Pues en esta web lo explican perfectamente; consiste en un servicio de intermediarios en compras de productos por Internet, en la que es la empresa quien hace realmente el pago al vendedor una vez que tú hayas recibido el producto, para evitar cualquier engaño. El proceso es el siguiente:

Paso 1: Condiciones y datos requeridos

Para utilizar Escrow! hace falta registrarse. Ningún problema. El registro es fácil y gratuito!
Si ya está registrado, introduzca su e-mail y su password y entre en la página de sus transacciones.
Para comprar o vender un objeto, haga click en “Nueva Transacción” y cumplimente los campos requeridos.
Para ver el estado de una transacción en curso o para introducir nuevos datos en una transacción en particular, pulse el número de identificación que aparece en la lista de sus transacciones.
Espués de que tanto Comprador como Vendedor se hayan puesto de acuerdo acerca de los términos de la transacción, se pedirá al Comprador el pago a Escrow!

Paso 2: el Comprador paga a Escrow!

El Comprador puede pagar a Escrow! con tarjeta de crédito, giro postal, cheque de importe fijo o transferencia bancaria. El dinero recibido por Escrow! se transfiere a una cuenta sin intereses.

Para saber el coste del servicio click aquí y le sugerimos leer las Faq financieras

Paso 3: el Vendedor envía la mercancía

Una vez que Escrow! haya recibido el pago, pedirá al Vendedor la expedición de la mercancía al Comprador. Por razones de seguridad, nunca no se enviará por e-mail información alguna acerca de la dirección de envío. Toda información deberá ser obtenida entrando en la página de la transacción.

Paso 4: el Comprador aprueba la compra

Después de haber recibido la mercancía, el Comprador dispone del Período de Inspección para evaluar su compra*. Entonces, si ésta es de su agrado, autoriza la transacción a Escrow!

Paso 5: el Vendedor recibe el pago

Escrow! paga al Vendedor. Le recordamos al Cliente que los gastos por el envío y aceptación del dinero son a cargo del destinatario, para mayor información sobre los mismos pueden consultar la página de las preguntas financieras FAQ o mandar un correo electrónico al Servicio Cliente.

Es buena idea…el problema es cuando caes en la trampa de una empresa de escrow falsa.

Básicamente, el Foro ABUSES es un espacio para técnicos de Operadores (telcos o ISPs) que gestionan o están interesados en solucionar incidentes de seguridad y abusos en Internet. En estas reuniones del Foro ABUSES se pretende mejorar la confianza entre ISPs españoles a través de reuniones participativas que generen conclusiones y acciones. En pasadas reuniones por ejemplo, se acordó el impulso de SPF desde todos los ISPs; dicho acuerdo se vio reflejado cuando Hostalia implantó SPF en más de 25000 dominios hace unos meses. Se realizó una nota de prensa que tuvo repercusión en diversos medios.

La agenda de la reunión, es la siguiente:

Dia 22 (martes)

10.00-10.30 Bienvenida
10.30-14.00h Sesión1 (mañana): Presentaciones y debate sobre:

GSMA Launches Mobile Alliance Against Child Sexual Abuse: Telefónica España
Improving E-mail Deliverability into MSN Hotmail and Windows Live Mail. Microsoft España
Cert Caixa
Telefonica Empresas

16.00-18.00h Sesión2 (tarde): Intercambio de experiencias entre miembros del Foro

TusProfesionales
Hostalia
CCN-cert
esCERTupc
INTECO-cert
y mas…

Día 23 (miércoles)

10.00-11.30h Sesión3 (mañana): Asuntos internos Foro ABUSES

ListaBlanca: Overview Interface de gestión
Spamtraps
Politica postmaster
Resultados encuesta
Otros

12.00-13.00h Sesión 4 (mañana): Clasificación e intercambio de incidentes

Clasificación y protocolo de intercambio de incidentes entre miembros del Foro ABUSES

13.00-13.30h Sesión final: Conclusiones y próxima reunión

Interesante :-) Contaré los puntos que se puedan hacer públicos de esta sexta reunión.

En todos estos casos, cuya naturaleza es clara, la política a seguir es:

1.- Contactar con el cliente
2.- Suspensión del sitio web
3.- Guardado de evidencias y eliminación de todo rastro
4.- Aplicar las medidas necesarias para que no se repita
5.- Habilitar de nuevo el alojamiento

Este tipo de quejas son, como decía, sobre situaciones de las que el cliente no tiene conocimiento y no es culpable directo de lo sucedido.

El problema reside en otro tipo de quejas o avisos que no son tan claros y que requieren una actuación más directa contra el cliente. Por ejemplo, una queja de un sitio web que pueda ser ofensivo contra una o varias personas, o que diga que contiene material con copyright y que está siendo usado sin permiso…etc. Ante este tipo de casos, lo que se hace es solicitar al emisor de la queja que ponga una denuncia en la comisaría de policía más cercana :) Solo se podrá actuar contra un cliente nuestro con una orden judicial de por medio, como ya nos ha sucedido alguna vez.

Todo esto viene a raíz de que hay mucha gente que piensa que por enviar a abuse una queja, ya automáticamente debemos de actuar. Esto no es así, y como decía, para realizar ciertas acciones contra un cliente con el cuál tenemos un contrato, hace falta una orden judicial.

Creo además que es la forma correcta de hacer las cosas, no hace falta recordar el polémico artículo 17bis que iba a permitir a las sociedades de gestión de derechos de autor cerrar páginas web sin orden judicial alguna y que finalmente, fue rechazado.