Download - Telmex Spam
1
Manejo de SPAMManejo de SPAM
Expositor: Javier RomeroI Webcast 2002Sesión 4Octubre 2002
2
AgendaAgenda
• Introducción.• Definición y estadísticas.• Origen e historia.• Políticas que combaten el SPAM.• Decodificación, rastreo, reporte SPAM.• Soluciones recomendadas.• Nuevos casos.
3
IntroducciónIntroducción
• Spam is a very cheap, efficient and easy way to reach millions of people. – Escrito en el Washingtonpost.com
• "It's strictly a numbers game," said Ian Oxman, vice president of Rapp Digital, an online marketing firm. "CD-ROMs with 50 million e-mail addresses go for $79.99, and for $99 you can get software to send e-mail at fractions of a penny from your basement.“– Ian Oxman, vice de presidente una cía. de marketing en
línea.
4
¿Qué es SPAM?¿Qué es SPAM?
• Mensaje de correo electrónico no solicitado por el receptor, usualmente distribuido a una lista de direcciones y cuyo contenido generalmente es publicidad de productos o servicios.
• Ver también: http://www.uceb.org/spam.html
5
Tipos de SPAMTipos de SPAM
• UCE (Unsolicited Commercial Email)– Junk email, su contenido es propaganda sobre
algún producto o servicio.
• UBE (Unsolicited Bulk Email)– Masivo. Se envía a miles o millones de cuentas de
correo. Contenido de propósitos políticos, religiosos, de hostigamiento, etc.
• MMF (Make Money Fast)– Mayormente cartas cadena o sistemas
piramidales.
• Usurpación de Identidades– Recibido aparentemente de una persona u
organización.
6
EjemplosEjemplos
Ejemplos de spam:• Lose 10-12 pounds in
two days!• Sexy teen sluts!• Why not turbo-boost
your sex life?• Need help with money
problems?• Save 75 percent on your
term life insurance!
7
EstadísticasEstadísticas
• Jupiter Media Metrix, estima que para el año 2,006 cada usuario recibirá 1,479 correos anualmente.
• OFF-TOPIC: Mi cuenta de correo FREE recibe 25 a 35 mail Spam por día.
8
Estadísticas y más datosEstadísticas y más datos
• La Unión Europea informó en enero 2,002 que el spam cuesta US$ 11 mil millonesUS$ 11 mil millones ($11 billion / american lexicography) al nivel mundial, sólo en cuestión de tráfico de tráfico de portadoresportadores.
• FTC ha coleccionado 8.5 millones piezas de spam.• CD con 50 millones de cuentas = US$79.99US$79.99.• Set. 2002 spam fue el 8% del tráfico < Jul. 2002 spam fue el
35% del tráfico de correo.• 20 estados en USA han legislado acerca de SPAM.
http://www.washingtonpost.com/ac2/wp-dyn?pagename=article&node=&contentId=A1344-2002Feb12http://www.washingtonpost.com/wp-dyn/articles/A24736-2002Sep1.html
9
Más datosMás datos
• Encuesta de GVU acerca de “SPAM no deseado”– http://www.cc.gatech.edu/gvu/user – 1.5% like receiving mass email – Email 598 registered Users
• Resultados de acciones:– Borra: 61.01%– Otros: 4.60%– Lee: 10.97%– Responde: 18.47%– Retalia: 4.68% (cobrar venganza)
10
OrigenOrigen
• Llamadas telefónicas para ofrecer productos.
• Visitas a domicilio de vendedores.
• Y sobre todo, técnicas de marketing usando el Internet (OPT-IN / OPT-OUT)
11
LegislacionesLegislaciones
• Leyes en:– Estadus Unidos
• 2 leyes federales• 26 leyes estatales
– Unión Europea• 16 países
– Más: www.spamlaws.com• CAUCE:
– The Coalition Against Unsolicited Commercial Email is an ad hoc, all volunteer organization, created by Netizens to advocate for a legislative solution to the problem of UCE (a/k/a "spam").
• Casos reales:– CompuServe v. Cyber
Promotions (S.D. Ohio 1997)
– Ferguson v. Friendfinders (Cal. App. 2002)
– State v. Heckel (Wash. 2001)
– Destination Ventures, Ltd. v. FCC (9th Cir. 1995)
– Missouri ex rel. Nixon v. American Blast Fax, Inc. (E.D. Mo. 2002)
12
DNS-based blacklist o DNS-based blacklist o “Listas Negras” basadas en “Listas Negras” basadas en
DNSDNS• Algunas listas:
– http://www.mail-abuse.org/– http://www.ordb.org/ (antes ORBS)– http://relays.osirusoft.com/ – http://www.spamhaus.org/sbl/– http://www.spews.org/– Etc...
• Daños colaterales– Bloquea fuentes (dir. IP) no culpables.
13
La posición del spammerLa posición del spammer
Spammer:Spammer: ¡Oh! ¿Y ahora quién podrá defenderme?¿cómo continúo mi SPAM sin que me filtren?
Weakness:Weakness: ¡Yo!El Chapulin Colorado (relay abiertos)¡No contaban con mi astucia!(RFC 821 SMTP)
14
Message Transfer Agent Message Transfer Agent (MTA)(MTA)
Usuario en elUsuario en elTerminalTerminal(sender)(sender)
Usuario en elUsuario en elTerminalTerminal(receiver)(receiver)
agente usuario
agente usuario
Cola de “mail” a
ser enviado
“mailboxes” de
usuarios
MTA
MTA
Conexión TCP
Ej. Mercury, Qmail, etc. Ej. Microsoft SMTP
Ej. Exchange, Sendmail
15
Campus universitarioCampus universitarioOficina Central
Electrónica Industrial
MecánicaCivil
16
Mail-hubMail-hub
Mail Hub(MTA)
Agente usuario(cola)
usuario usuario
Agente usuario(cola)
usuario usuario
Agente usuario(cola)
usuario usuario
Agente usuario(cola)
usuario usuario
17
Mail-hub modo de trabajoMail-hub modo de trabajo
Mail Hub(MTA)
Agente usuario(cola)
usuario usuario
mailMail Hub(MTA)
MailboxRelayin
ghost
18
Abuso de MTAAbuso de MTA
3ra.parte.com(MTA)
spam
spam
Spammer.com
Agente usuario(cola)
usuario
usuario
DestinoDel
SPAM
DestinoDel
SPAM
Usa DNSBL
Epa! Hallé un OPEN-RELAY HOST
spam
spam
Blacklist
spam
spam
campus
Ey! Filtra a:3ra.parte.comSpammer.com
19
Asegurando el MTAAsegurando el MTA
1. Si “RCPT To:” es un usuario del dominio.2. Si “SMTP_Caller o IP.Src” está autorizado.
a. Filtro por IP• Muy pobre implementación.
b. Filtro por FQDN (Fully Qualified Domain Name)• Puede colgar el DNS por exceso de consultas ante un
DoS.
3. La combinación de (1) y (2)
20
Asegurando el MTAAsegurando el MTA
4. POP before SMTP.5. Submission port.6. SMTP Auth.• Ejemplos:
– http://relays.osirusoft.com/mtafix/ – http://mail-abuse.org/tsi/ar-fix.html
21
HTTP ConnectHTTP Connect
(Web)Proxy.com
spam
Spammer.com
DestinoDel
SPAM
DestinoDel
SPAM
Usa DNSBL
TCP: 80, 1080, 3128, 8080 Proxies! Genial!
spam
Blacklist
spam
spam
campus
MTA.com
Ey! Filtra a:proxy.commta.com
HTTP Connect
22
Asegurando el proxy abiertoAsegurando el proxy abierto
• Deshabilitar el encapsulamiento HTTP.• Deshabilitar la función de proxy para usuarios
desde Internet o limitarla a los usuarios internos.
• Deshabilitar puertos innecesarios hacia Internet o limitarlos a direcciones IP específicas (p.e.: TCP: 1080, 8080, 3128, etc)
• http://spamcop.net/fom-serve/cache/269.html
23
Asegurando el proxy abiertoAsegurando el proxy abierto
• Ejemplos:• Cisco Cache Engine
– no http proxy incoming
• Squid– http_access deny !Safe_ports – http_access deny CONNECT !SSL_ports – http_access deny all
24
Ataque Ataque RumplestiltskiRumplestiltskinn
• ¿Ocultarse de spammers por medio de direcciones complicadas?
• Imposible, esa técnica no dura mucho. Has oído hablar de “Rumplestiltskin Attack”.
http://www-2.cs.cmu.edu/~spok/grimmtmp/044.txt
25
Advininando cuentasAdvininando cuentas
• El diablo te lo dijo...
Apr 9 00:13:36 server sendmail[19112]: caspar: ... User unknown
Apr 9 00:13:36 server sendmail[19112]: melchoir: ... User unknown
Apr 9 00:13:36 server sendmail[19112]: shortribs: ... User unknown
Apr 9 00:13:36 server sendmail[19112]: sheepshanks: ... User unknown
Apr 9 00:13:37 server sendmail[19112]: laceleg: ... User unknownApr 9 00:13:37 server sendmail[19112]: conrad: ... User unknown
Apr 9 00:13:37 server sendmail[19112]: harry: ... User unknown
Apr 9 00:13:37 server sendmail[19122]: rumpelstiltskin: ... ACCEPTED
• Ella dijo, es tu nombre ....?
26
Exploración de cuentasExploración de cuentas
• Proteger el servidor de correo de consultas de cuentas vía SMTP VRFY o EXPN no debe.– Apaga la opción.– Fíltre el uso, o– Configure su firewall
para bloquear esos comandos.
27
Conciencizar al personalConciencizar al personal
• Comunique al usuario de los spammers.• Instruya al usuario a cómo disuadirse de
spammers.• Confeccione una política anti-spam o de uso
aceptable.– Ejemplo: visite AUP de TELMEX en:
http://www.telmex.com.pe/tesirt/politica.htm
28
Política anti-spamPolítica anti-spam
• Dice:– El uso del correo corporativo es única y
exclusivamente para fines laborales, cualquier otro fin está desaprobado.
– La mensajería puede ser eventualmente monitoreada para prevenir el tráfico de mensajes prohibidos por esta política.
• Ejemplo, técnico:– Websense, etc.– Key-words: Sex, free, win, casino, games, etc...
29
[email protected] en la [email protected] en la lucha
• Los proveedores son ejes en la lucha.• Y los clientes de los proveedores.
Thank you for your report to the XYZ Internet Investigations and Security Services Team.
...
Thank you!
30
Herramientas benéficasHerramientas benéficas
• Para verificar si mi IP está en alguna lista:– http://combat.uxn.com/
• Para verificar si tengo un servidor en Open-relay.– http://samspade.org/ssw/download.html
• Para verificar Proxy está bien configurado:– http://www.fr2.cyberabuse.org/?page=proxyscanner
• Más en:– http://www.cnn.com/TECH/computing/9809/22/
spamcontrol.idg/ – http://spam.gunters.org/tools.html
31
Rastreo (track-down)Rastreo (track-down)
• Las cabeceras COMPLETAS del correo contienen la ruta entera que tomó el SPAM.
• Estas pueden servir para enviar quejas acerca de spammers o harassers (hostigadores)
• Nota: Los software convencionales no muestran “full headers” de mensajes dentro de la misma compañía.
32
Composición de un mensajeComposición de un mensaje
• Envelope– Usado por MTA para envío.
MAIL From: <[email protected]>RCPT To:<[email protected]>
• Headers– Usado por los “agentes usuarios”
Received, Message-Id, From, Date, Reply-To, X-Phone, X-Mailer, To, Subject
• Body– Contenido del mensaje.
33
Herramientas: SamSpadeHerramientas: SamSpade
• Sampade• Dave Krieps de AT&T
WorldNet, nos enseña cómo configurar SamSpade para rastrear un Spam.
http://www.wurd.com
http://samspade.org
34
Configurando SamSpadeConfigurando SamSpade
1. Descargue de: http://samspade.org/ssw/download.html
2. Installe.3. Configure lo básico.
35
Configurando SamSpadeConfigurando SamSpade
200.14.241.36200.14.241.36
[email protected]@hotmail.com
apsirt.attla.com.peapsirt.attla.com.pe
36
Configurando SamSpadeConfigurando SamSpade
37
Cabecera ejemploCabecera ejemplo
Received: from e-shimadzu.co.kr ([210.205.238.2]) by mc6-f34.law1.hotmail.com with Microsoft SMTPSVC(5.0.2195.4905); Mon, 21 Oct 2002 07:27:10 -0700
Received: from mc6-f34.law1.hotmail.com ([65.54.252.170]) by mc6-s18.law1.hotmail.com with Microsoft SMTPSVC(5.0.2195.4905); Mon, 21 Oct 2002 07:27:19 -0700
MIME-Version: 1.0 Content-Type: text/html; charset="iso-8859-1"
Received: from xmxpita.excite.com (ddsl-66-161-238-30.fuse.net [66.161.238.30]) by e-shimadzu.co.kr (8.11.0/8.11.0) with ESMTP id g9LEKPS20936; Mon, 21 Oct 2002 23:20:28 +0900 Message-ID: <[email protected]>
Subject: u.n.i.v.e.r.s.i.t.y d.e.g.r.e.e. for YOU! Date: Mon, 21 Oct 2002 10:26:18 –1600
From: "Technical Support" <[email protected]> To: <[email protected]>
Reply-To: [email protected]: [email protected]: 21 Oct 2002 14:27:10.0548 (UTC) FILETIME=[F10CD140:01C2790D]
Content-Transfer-Encoding: quoted-printable
38
DecodificaciónDecodificaciónReceived: from mc6-f34.law1.hotmail.com ([65.54.252.170]) by mc6-s18.law1.hotmail.com with Microsoft SMTPSVC(5.0.2195.4905); Mon, 21 Oct 2002 07:27:19 -0700
This received header was added by your mailserver
mc6-s18.law1.hotmail.com received this from someone claiming to be mc6-f34.law1.hotmail.com
This host doesn't exist, so all headers below this one are probably forged
39
DecodificaciónDecodificaciónReceived: from e-shimadzu.co.kr ([210.205.238.2]) by mc6-f34.law1.hotmail.com with Microsoft SMTPSVC(5.0.2195.4905); Mon, 21 Oct 2002 07:27:10 -0700
mc6-f34.law1.hotmail.com received this from someone claiming to be e-shimadzu.co.kr but really from 210.205.238.2(No rDNS)
All headers below may be forged
40
DecodificaciónDecodificaciónReceived: from xmxpita.excite.com (ddsl-66-161-238-30.fuse.net [66.161.238.30]) by e-shimadzu.co.kr (8.11.0/8.11.0) with ESMTP id g9LEKPS20936; Mon, 21 Oct 2002 23:20:28 +0900 Message-ID: <[email protected]>
e-shimadzu.co.kr received this from someone claiming to be xmxpita.excite.com but really from 66.161.238.30(CSISERVER)
All headers below may be forged
41
(1) Rastreo(1) Rastreo
Continúa
42
(2) Rastreo (3) (2) Rastreo (3) Reporte/QuejaReporte/Queja
Resultado
Resulta
do
43
<>
Otros: ¿cabecera vacía?Otros: ¿cabecera vacía?
• RFC2505 dice:– The "MAIL From: <>"
address is used in error messages from the mail system itself, e.g. when a legitimate mail relay is used and forwards an error message back to the user. Refusing to receive such mail means that users may not be notified of errors in their outgoing mail, e.g. "User unknown", which will no doubt wreak more havoc to the mail community than Spam does.
44
Software de SPAMMERSoftware de SPAMMER
• Ejemplo de software para aprender cuentas en sitios web.
45
Soluciones recomendadasSoluciones recomendadas
• Permitir recepción sólo de algunas cuentas. ¿100% Efectivo? – No, porque puede usarse spoofing.– Quizás, si servidor de correos usa reverse-lookup.
• Emplear software en cliente de correo (basado en computación distribuida):– http://www.cloudmark.com/spamfighter/– http://www.mailshell.com/mail/client/fd.html
• Emplear software en servidor de correo (basado en key-words)– http://www.surfcontrol.com/products/email/default.aspx
46
Spam con ingeniería socialSpam con ingeniería social
47
MessengerMessenger or NetBIOS or NetBIOS SSpampam
• Es un nuevo vector de SPAM.• DirectAdvertiser.com puede enviar avisos no
virtualmente inrastreables y completamente anónimos a cada nodo.
• http://www.wired.com/news/technology/0,1282,55795,00.html
48
MessengerMessenger S Spampam vs. vs. FirewallsFirewalls
• Messenger Spam no perdona firewalls, usa el puerto TCP 135 o RPC, normalmente configurado como permitido en redes que usan MS-Exchange o algún servicio con RPC desde fuera.
RPC
Spammer.com