49
1 Manejo de SPAM Manejo de SPAM Expositor: Javier Romero I Webcast 2002 Sesión 4 Octubre 2002

Telmex Spam

Embed Size (px)

DESCRIPTION

SPAM

Citation preview

Page 1: Telmex Spam

1

Manejo de SPAMManejo de SPAM

Expositor: Javier RomeroI Webcast 2002Sesión 4Octubre 2002

Page 2: Telmex Spam

2

AgendaAgenda

• Introducción.• Definición y estadísticas.• Origen e historia.• Políticas que combaten el SPAM.• Decodificación, rastreo, reporte SPAM.• Soluciones recomendadas.• Nuevos casos.

Page 3: Telmex Spam

3

IntroducciónIntroducción

• Spam is a very cheap, efficient and easy way to reach millions of people. – Escrito en el Washingtonpost.com

• "It's strictly a numbers game," said Ian Oxman, vice president of Rapp Digital, an online marketing firm. "CD-ROMs with 50 million e-mail addresses go for $79.99, and for $99 you can get software to send e-mail at fractions of a penny from your basement.“– Ian Oxman, vice de presidente una cía. de marketing en

línea.

Page 4: Telmex Spam

4

¿Qué es SPAM?¿Qué es SPAM?

• Mensaje de correo electrónico no solicitado por el receptor, usualmente distribuido a una lista de direcciones y cuyo contenido generalmente es publicidad de productos o servicios.

• Ver también: http://www.uceb.org/spam.html

Page 5: Telmex Spam

5

Tipos de SPAMTipos de SPAM

• UCE (Unsolicited Commercial Email)– Junk email, su contenido es propaganda sobre

algún producto o servicio.

• UBE (Unsolicited Bulk Email)– Masivo. Se envía a miles o millones de cuentas de

correo. Contenido de propósitos políticos, religiosos, de hostigamiento, etc.

• MMF (Make Money Fast)– Mayormente cartas cadena o sistemas

piramidales.

• Usurpación de Identidades– Recibido aparentemente de una persona u

organización.

                         

Page 6: Telmex Spam

6

EjemplosEjemplos

Ejemplos de spam:• Lose 10-12 pounds in

two days!• Sexy teen sluts!• Why not turbo-boost

your sex life?• Need help with money

problems?• Save 75 percent on your

term life insurance!

Page 7: Telmex Spam

7

EstadísticasEstadísticas

• Jupiter Media Metrix, estima que para el año 2,006 cada usuario recibirá 1,479 correos anualmente.

• OFF-TOPIC: Mi cuenta de correo FREE recibe 25 a 35 mail Spam por día.

Page 8: Telmex Spam

8

Estadísticas y más datosEstadísticas y más datos

• La Unión Europea informó en enero 2,002 que el spam cuesta US$ 11 mil millonesUS$ 11 mil millones ($11 billion / american lexicography) al nivel mundial, sólo en cuestión de tráfico de tráfico de portadoresportadores.

• FTC ha coleccionado 8.5 millones piezas de spam.• CD con 50 millones de cuentas = US$79.99US$79.99.• Set. 2002 spam fue el 8% del tráfico < Jul. 2002 spam fue el

35% del tráfico de correo.• 20 estados en USA han legislado acerca de SPAM.

http://www.washingtonpost.com/ac2/wp-dyn?pagename=article&node=&contentId=A1344-2002Feb12http://www.washingtonpost.com/wp-dyn/articles/A24736-2002Sep1.html

Page 9: Telmex Spam

9

Más datosMás datos

• Encuesta de GVU acerca de “SPAM no deseado”– http://www.cc.gatech.edu/gvu/user – 1.5% like receiving mass email – Email 598 registered Users

• Resultados de acciones:– Borra: 61.01%– Otros: 4.60%– Lee: 10.97%– Responde: 18.47%– Retalia: 4.68% (cobrar venganza)

Page 10: Telmex Spam

10

OrigenOrigen

• Llamadas telefónicas para ofrecer productos.

• Visitas a domicilio de vendedores.

• Y sobre todo, técnicas de marketing usando el Internet (OPT-IN / OPT-OUT)

Page 11: Telmex Spam

11

LegislacionesLegislaciones

• Leyes en:– Estadus Unidos

• 2 leyes federales• 26 leyes estatales

– Unión Europea• 16 países

– Más: www.spamlaws.com• CAUCE:

– The Coalition Against Unsolicited Commercial Email is an ad hoc, all volunteer organization, created by Netizens to advocate for a legislative solution to the problem of UCE (a/k/a "spam").

• Casos reales:– CompuServe v. Cyber

Promotions (S.D. Ohio 1997)

– Ferguson v. Friendfinders (Cal. App. 2002)

– State v. Heckel (Wash. 2001)

– Destination Ventures, Ltd. v. FCC (9th Cir. 1995)

– Missouri ex rel. Nixon v. American Blast Fax, Inc. (E.D. Mo. 2002)

Page 12: Telmex Spam

12

DNS-based blacklist o DNS-based blacklist o “Listas Negras” basadas en “Listas Negras” basadas en

DNSDNS• Algunas listas:

– http://www.mail-abuse.org/– http://www.ordb.org/ (antes ORBS)– http://relays.osirusoft.com/ – http://www.spamhaus.org/sbl/– http://www.spews.org/– Etc...

• Daños colaterales– Bloquea fuentes (dir. IP) no culpables.

Page 13: Telmex Spam

13

La posición del spammerLa posición del spammer

Spammer:Spammer: ¡Oh! ¿Y ahora quién podrá defenderme?¿cómo continúo mi SPAM sin que me filtren?

Weakness:Weakness: ¡Yo!El Chapulin Colorado (relay abiertos)¡No contaban con mi astucia!(RFC 821 SMTP)

Page 14: Telmex Spam

14

Message Transfer Agent Message Transfer Agent (MTA)(MTA)

Usuario en elUsuario en elTerminalTerminal(sender)(sender)

Usuario en elUsuario en elTerminalTerminal(receiver)(receiver)

agente usuario

agente usuario

Cola de “mail” a

ser enviado

“mailboxes” de

usuarios

MTA

MTA

Conexión TCP

Ej. Mercury, Qmail, etc. Ej. Microsoft SMTP

Ej. Exchange, Sendmail

Page 15: Telmex Spam

15

Campus universitarioCampus universitarioOficina Central

Electrónica Industrial

MecánicaCivil

Page 16: Telmex Spam

16

Mail-hubMail-hub

Mail Hub(MTA)

Agente usuario(cola)

usuario usuario

Agente usuario(cola)

usuario usuario

Agente usuario(cola)

usuario usuario

Agente usuario(cola)

usuario usuario

mail

mail

mail

Page 17: Telmex Spam

17

Mail-hub modo de trabajoMail-hub modo de trabajo

Mail Hub(MTA)

Agente usuario(cola)

usuario usuario

mail

mailMail Hub(MTA)

MailboxRelayin

ghost

mail

Page 18: Telmex Spam

18

Abuso de MTAAbuso de MTA

3ra.parte.com(MTA)

spam

spam

Spammer.com

Agente usuario(cola)

usuario

usuario

DestinoDel

SPAM

DestinoDel

SPAM

Usa DNSBL

Epa! Hallé un OPEN-RELAY HOST

spam

spam

Blacklist

spam

spam

campus

Ey! Filtra a:3ra.parte.comSpammer.com

Page 19: Telmex Spam

19

Asegurando el MTAAsegurando el MTA

1. Si “RCPT To:” es un usuario del dominio.2. Si “SMTP_Caller o IP.Src” está autorizado.

a. Filtro por IP• Muy pobre implementación.

b. Filtro por FQDN (Fully Qualified Domain Name)• Puede colgar el DNS por exceso de consultas ante un

DoS.

3. La combinación de (1) y (2)

Page 20: Telmex Spam

20

Asegurando el MTAAsegurando el MTA

4. POP before SMTP.5. Submission port.6. SMTP Auth.• Ejemplos:

– http://relays.osirusoft.com/mtafix/ – http://mail-abuse.org/tsi/ar-fix.html

Page 21: Telmex Spam

21

HTTP ConnectHTTP Connect

(Web)Proxy.com

spam

Spammer.com

DestinoDel

SPAM

DestinoDel

SPAM

Usa DNSBL

TCP: 80, 1080, 3128, 8080 Proxies! Genial!

spam

Blacklist

spam

spam

campus

MTA.com

Ey! Filtra a:proxy.commta.com

HTTP Connect

Page 22: Telmex Spam

22

Asegurando el proxy abiertoAsegurando el proxy abierto

• Deshabilitar el encapsulamiento HTTP.• Deshabilitar la función de proxy para usuarios

desde Internet o limitarla a los usuarios internos.

• Deshabilitar puertos innecesarios hacia Internet o limitarlos a direcciones IP específicas (p.e.: TCP: 1080, 8080, 3128, etc)

• http://spamcop.net/fom-serve/cache/269.html

Page 23: Telmex Spam

23

Asegurando el proxy abiertoAsegurando el proxy abierto

• Ejemplos:• Cisco Cache Engine

– no http proxy incoming

• Squid– http_access deny !Safe_ports – http_access deny CONNECT !SSL_ports – http_access deny all

Page 24: Telmex Spam

24

Ataque Ataque RumplestiltskiRumplestiltskinn

• ¿Ocultarse de spammers por medio de direcciones complicadas?

• Imposible, esa técnica no dura mucho. Has oído hablar de “Rumplestiltskin Attack”.

http://www-2.cs.cmu.edu/~spok/grimmtmp/044.txt

Page 25: Telmex Spam

25

Advininando cuentasAdvininando cuentas

• El diablo te lo dijo...

Apr 9 00:13:36 server sendmail[19112]: caspar: ... User unknown

Apr 9 00:13:36 server sendmail[19112]: melchoir: ... User unknown

Apr 9 00:13:36 server sendmail[19112]: shortribs: ... User unknown

Apr 9 00:13:36 server sendmail[19112]: sheepshanks: ... User unknown

Apr 9 00:13:37 server sendmail[19112]: laceleg: ... User unknownApr 9 00:13:37 server sendmail[19112]: conrad: ... User unknown

Apr 9 00:13:37 server sendmail[19112]: harry: ... User unknown

Apr 9 00:13:37 server sendmail[19122]: rumpelstiltskin: ... ACCEPTED

• Ella dijo, es tu nombre ....?

Page 26: Telmex Spam

26

Exploración de cuentasExploración de cuentas

• Proteger el servidor de correo de consultas de cuentas vía SMTP VRFY o EXPN no debe.– Apaga la opción.– Fíltre el uso, o– Configure su firewall

para bloquear esos comandos.

Page 27: Telmex Spam

27

Conciencizar al personalConciencizar al personal

• Comunique al usuario de los spammers.• Instruya al usuario a cómo disuadirse de

spammers.• Confeccione una política anti-spam o de uso

aceptable.– Ejemplo: visite AUP de TELMEX en:

http://www.telmex.com.pe/tesirt/politica.htm

Page 28: Telmex Spam

28

Política anti-spamPolítica anti-spam

• Dice:– El uso del correo corporativo es única y

exclusivamente para fines laborales, cualquier otro fin está desaprobado.

– La mensajería puede ser eventualmente monitoreada para prevenir el tráfico de mensajes prohibidos por esta política.

• Ejemplo, técnico:– Websense, etc.– Key-words: Sex, free, win, casino, games, etc...

Page 29: Telmex Spam

29

[email protected] en la [email protected] en la lucha

• Los proveedores son ejes en la lucha.• Y los clientes de los proveedores.

Thank you for your report to the XYZ Internet Investigations and Security Services Team.

...

[email protected]

Thank you!

Page 30: Telmex Spam

30

Herramientas benéficasHerramientas benéficas

• Para verificar si mi IP está en alguna lista:– http://combat.uxn.com/

• Para verificar si tengo un servidor en Open-relay.– http://samspade.org/ssw/download.html

• Para verificar Proxy está bien configurado:– http://www.fr2.cyberabuse.org/?page=proxyscanner

• Más en:– http://www.cnn.com/TECH/computing/9809/22/

spamcontrol.idg/ – http://spam.gunters.org/tools.html

Page 31: Telmex Spam

31

Rastreo (track-down)Rastreo (track-down)

• Las cabeceras COMPLETAS del correo contienen la ruta entera que tomó el SPAM.

• Estas pueden servir para enviar quejas acerca de spammers o harassers (hostigadores)

• Nota: Los software convencionales no muestran “full headers” de mensajes dentro de la misma compañía.

Page 32: Telmex Spam

32

Composición de un mensajeComposición de un mensaje

• Envelope– Usado por MTA para envío.

MAIL From: <[email protected]>RCPT To:<[email protected]>

• Headers– Usado por los “agentes usuarios”

Received, Message-Id, From, Date, Reply-To, X-Phone, X-Mailer, To, Subject

• Body– Contenido del mensaje.

Page 33: Telmex Spam

33

Herramientas: SamSpadeHerramientas: SamSpade

• Sampade• Dave Krieps de AT&T

WorldNet, nos enseña cómo configurar SamSpade para rastrear un Spam.

http://www.wurd.com

http://samspade.org

Page 34: Telmex Spam

34

Configurando SamSpadeConfigurando SamSpade

1. Descargue de: http://samspade.org/ssw/download.html

2. Installe.3. Configure lo básico.

                                                        

Page 35: Telmex Spam

35

Configurando SamSpadeConfigurando SamSpade

                                                                                          

200.14.241.36200.14.241.36

[email protected]@hotmail.com

apsirt.attla.com.peapsirt.attla.com.pe

Page 36: Telmex Spam

36

Configurando SamSpadeConfigurando SamSpade

Page 37: Telmex Spam

37

Cabecera ejemploCabecera ejemplo

Received: from e-shimadzu.co.kr ([210.205.238.2]) by mc6-f34.law1.hotmail.com with Microsoft SMTPSVC(5.0.2195.4905); Mon, 21 Oct 2002 07:27:10 -0700

Received: from mc6-f34.law1.hotmail.com ([65.54.252.170]) by mc6-s18.law1.hotmail.com with Microsoft SMTPSVC(5.0.2195.4905); Mon, 21 Oct 2002 07:27:19 -0700

MIME-Version: 1.0 Content-Type: text/html; charset="iso-8859-1"

Received: from xmxpita.excite.com (ddsl-66-161-238-30.fuse.net [66.161.238.30]) by e-shimadzu.co.kr (8.11.0/8.11.0) with ESMTP id g9LEKPS20936; Mon, 21 Oct 2002 23:20:28 +0900 Message-ID: <[email protected]>

Subject: u.n.i.v.e.r.s.i.t.y d.e.g.r.e.e. for YOU! Date: Mon, 21 Oct 2002 10:26:18 –1600

From: "Technical Support" <[email protected]> To: <[email protected]>

Reply-To: [email protected]: [email protected]: 21 Oct 2002 14:27:10.0548 (UTC) FILETIME=[F10CD140:01C2790D]

Content-Transfer-Encoding: quoted-printable

Page 38: Telmex Spam

38

DecodificaciónDecodificaciónReceived: from mc6-f34.law1.hotmail.com ([65.54.252.170]) by mc6-s18.law1.hotmail.com with Microsoft SMTPSVC(5.0.2195.4905); Mon, 21 Oct 2002 07:27:19 -0700

This received header was added by your mailserver

mc6-s18.law1.hotmail.com received this from someone claiming to be mc6-f34.law1.hotmail.com

This host doesn't exist, so all headers below this one are probably forged

Page 39: Telmex Spam

39

DecodificaciónDecodificaciónReceived: from e-shimadzu.co.kr ([210.205.238.2]) by mc6-f34.law1.hotmail.com with Microsoft SMTPSVC(5.0.2195.4905); Mon, 21 Oct 2002 07:27:10 -0700

mc6-f34.law1.hotmail.com received this from someone claiming to be e-shimadzu.co.kr but really from 210.205.238.2(No rDNS)

All headers below may be forged

Page 40: Telmex Spam

40

DecodificaciónDecodificaciónReceived: from xmxpita.excite.com (ddsl-66-161-238-30.fuse.net [66.161.238.30]) by e-shimadzu.co.kr (8.11.0/8.11.0) with ESMTP id g9LEKPS20936; Mon, 21 Oct 2002 23:20:28 +0900 Message-ID: <[email protected]>

e-shimadzu.co.kr received this from someone claiming to be xmxpita.excite.com but really from 66.161.238.30(CSISERVER)

All headers below may be forged

Page 41: Telmex Spam

41

(1) Rastreo(1) Rastreo

Continúa

Page 42: Telmex Spam

42

(2) Rastreo (3) (2) Rastreo (3) Reporte/QuejaReporte/Queja

Resultado

Resulta

do

Page 43: Telmex Spam

43

<>

Otros: ¿cabecera vacía?Otros: ¿cabecera vacía?

• RFC2505 dice:– The "MAIL From: <>"

address is used in error messages from the mail system itself, e.g. when a legitimate mail relay is used and forwards an error message back to the user. Refusing to receive such mail means that users may not be notified of errors in their outgoing mail, e.g. "User unknown", which will no doubt wreak more havoc to the mail community than Spam does.

Page 44: Telmex Spam

44

Software de SPAMMERSoftware de SPAMMER

• Ejemplo de software para aprender cuentas en sitios web.

Page 45: Telmex Spam

45

Soluciones recomendadasSoluciones recomendadas

• Permitir recepción sólo de algunas cuentas. ¿100% Efectivo? – No, porque puede usarse spoofing.– Quizás, si servidor de correos usa reverse-lookup.

• Emplear software en cliente de correo (basado en computación distribuida):– http://www.cloudmark.com/spamfighter/– http://www.mailshell.com/mail/client/fd.html

• Emplear software en servidor de correo (basado en key-words)– http://www.surfcontrol.com/products/email/default.aspx

Page 46: Telmex Spam

46

Spam con ingeniería socialSpam con ingeniería social

Page 47: Telmex Spam

47

MessengerMessenger or NetBIOS or NetBIOS SSpampam

• Es un nuevo vector de SPAM.• DirectAdvertiser.com puede enviar avisos no

virtualmente inrastreables y completamente anónimos a cada nodo.

• http://www.wired.com/news/technology/0,1282,55795,00.html

Page 48: Telmex Spam

48

MessengerMessenger S Spampam vs. vs. FirewallsFirewalls

• Messenger Spam no perdona firewalls, usa el puerto TCP 135 o RPC, normalmente configurado como permitido en redes que usan MS-Exchange o algún servicio con RPC desde fuera.

RPC

Spammer.com

Page 49: Telmex Spam

49

GraciasGracias

Preguntas: [email protected] Muchas Gracias.