Vous êtes sur la page 1sur 49

Manejo de SPAM

Expositor: Javier Romero


I Webcast 2002
Sesión 4
Octubre 2002

1
Agenda
• Introducción.
• Definición y estadísticas.
• Origen e historia.
• Políticas que combaten el SPAM.
• Decodificación, rastreo, reporte SPAM.
• Soluciones recomendadas.
• Nuevos casos.

2
Introducción
• Spam is a very cheap, efficient and easy
way to reach millions of people.
– Escrito en el Washingtonpost.com
• "It's strictly a numbers game," said Ian
Oxman, vice president of Rapp Digital, an
online marketing firm. "CD-ROMs with 50
million e-mail addresses go for $79.99, and
for $99 you can get software to send e-mail
at fractions of a penny from your
basement.“
3
– Ian Oxman, vice de presidente una cía. de
¿Qué es SPAM?
• Mensaje de correo
electrónico no
solicitado por el
receptor, usualmente
distribuido a una lista
de direcciones y cuyo
contenido
generalmente es
publicidad de
productos o servicios.
• Ver también:
http://www.uceb.org/spam.html 4
Tipos de SPAM
• UCE (Unsolicited Commercial Email)
– Junk email, su contenido es propaganda sobre
algún producto o servicio.
• UBE (Unsolicited Bulk Email)
– Masivo. Se envía a miles o millones de cuentas
de correo. Contenido de propósitos políticos,
religiosos, de hostigamiento, etc.
• MMF (Make Money Fast)
– Mayormente cartas cadena o sistemas
piramidales.
• Usurpación de Identidades
– Recibido aparentemente de una persona u
organización.
5
Ejemplos
Ejemplos de spam:
• Lose 10-12 pounds in
two days!
• Sexy teen sluts!
• Why not turbo-boost
your sex life?
• Need help with money
problems?
• Save 75 percent on
your term life
insurance!
6
Estadísticas
• Jupiter Media Metrix,
estima que para el año
2,006 cada usuario
recibirá 1,479 correos
anualmente.
• OFF-TOPIC: Mi cuenta
de correo FREE recibe
25 a 35 mail Spam por
día.

7
Estadísticas y más datos
• La Unión Europea informó en enero 2,002 que el spam cuesta
US$ 11 mil millones ($11 billion / american lexicography) al
nivel mundial, sólo en cuestión de tráfico de portadores.
portadores
• FTC ha coleccionado 8.5 millones piezas de spam.
• CD con 50 millones de cuentas = US$79.99.
US$79.99
• Set. 2002 spam fue el 8% del tráfico < Jul. 2002 spam fue el
35% del tráfico de correo.
• 20 estados en USA han legislado acerca de SPAM.

http://www.washingtonpost.com/ac2/wp-dyn?pagename=article&node=&contentId=A1344-2002Feb12
http://www.washingtonpost.com/wp-dyn/articles/A24736-2002Sep1.html
8
Más datos
• Encuesta de GVU acerca de “SPAM no deseado”
– http://www.cc.gatech.edu/gvu/user
– 1.5% like receiving mass email
– Email 598 registered Users
• Resultados de acciones:
– Borra: 61.01%
– Otros: 4.60%
– Lee: 10.97%
– Responde: 18.47%
– Retalia: 4.68% (cobrar venganza)

9
Origen
• Llamadas telefónicas
para ofrecer productos.
• Visitas a domicilio de
vendedores.
• Y sobre todo, técnicas
de marketing usando el
Internet (OPT-IN / OPT-
OUT)

10
Legislaciones
• Leyes en: • Casos reales:
– Estadus Unidos
• 2 leyes federales
– CompuServe v. Cyber
• 26 leyes estatales Promotions (S.D. Ohio
– Unión Europea 1997)
• 16 países – Ferguson v. Friendfinders
– Más: www.spamlaws.com (Cal. App. 2002)
• CAUCE: – State v. Heckel (Wash.
– The Coalition Against 2001)
Unsolicited Commercial
Email is an ad hoc, all – Destination Ventures,
volunteer organization, Ltd. v. FCC (9th Cir.
created by Netizens to 1995)
advocate for a legislative
solution to the problem of – Missouri ex rel. Nixon v.
UCE (a/k/a "spam"). American Blast Fax, Inc.
(E.D. Mo. 2002) 11
DNS-based blacklist o “Listas
Negras” basadas en DNS
• Algunas listas:
– http://www.mail-abuse.org/
– http://www.ordb.org/ (antes ORBS)
– http://relays.osirusoft.com/
– http://www.spamhaus.org/sbl/
– http://www.spews.org/
– Etc...

• Daños colaterales
– Bloquea fuentes (dir. IP) no culpables.

12
La posición del spammer
Spammer: ¡Oh! ¿Y ahora quién podrá
defenderme?
¿cómo continúo mi SPAM sin que me
filtren?
Weakness: ¡Yo!
El Chapulin Colorado
(relay abiertos)
¡No contaban con mi astucia!
(RFC 821 SMTP)
13
Message Transfer Agent
(MTA)
Cola de
Usuario en el
agente “mail” a
Terminal MTA
(sender) usuario ser
enviado
Conexión TCP
Usuario en el “mailboxes
Terminal agente
” de MTA
(receiver) usuario
usuarios

Ej. Mercury, Qmail, etc. Ej. Microsoft SMTP

Ej. Exchange, Sendmail

14
Campus universitario
Oficina
Central

Civil Mecánica

Electrónica Industrial

15
Mail-hub

Mail Hub
(MTA)
ma
il il
ma

Agente usuario Agente usuario


(cola) Agente usuario Agente usuario (cola)
(cola) (cola)

m
ai
l
usuario usuario usuario usuario
usuario usuario usuario usuario

16
Mail-hub modo de trabajo
mail
Mail Hub Mail Hub
(MTA) (MTA)

il mail
ma

Agente usuario Relayin Mailbox


(cola)
g
host
usuario usuario

17
Epa! Hallé un OPEN-
RELAY HOST Abuso de MTA
campus
spa Agente usuario
m spa
m usuario
spa (cola)
m
3ra.parte.com
Spammer.com (MTA) usuario
spam
Destino
Del
SPAM m
a
sp
m

Destino
a
sp

Del
SPAM Blacklist
Ey! Filtra a:
3ra.parte.com
Usa DNSBL Spammer.com
18
Asegurando el MTA
1. Si “RCPT To:” es un usuario del dominio.
2. Si “SMTP_Caller o IP.Src” está autorizado.
a. Filtro por IP
• Muy pobre implementación.
b. Filtro por FQDN (Fully Qualified Domain Name)
• Puede colgar el DNS por exceso de consultas ante un
DoS.
3. La combinación de (1) y (2)

19
Asegurando el MTA
1. POP before SMTP.
2. Submission port.
3. SMTP Auth.
• Ejemplos:
– http://relays.osirusoft.com/mtafix/
– http://mail-abuse.org/tsi/ar-fix.html

20
TCP: 80, 1080, 3128,
8080 Proxies! Genial!
HTTP Connect
campus
HTTP Connect (Web) spa
m
Proxy.com

Spammer.com
MTA.com
spam
Destino
Del
SPAM

spam
Destino
m
Del spa
SPAM Blacklist
Ey! Filtra a:
proxy.com
Usa DNSBL mta.com
21
Asegurando el proxy abierto
• Deshabilitar el encapsulamiento HTTP.
• Deshabilitar la función de proxy para
usuarios desde Internet o limitarla a los
usuarios internos.
• Deshabilitar puertos innecesarios hacia
Internet o limitarlos a direcciones IP
específicas (p.e.: TCP: 1080, 8080, 3128,
etc)
• http://spamcop.net/fom-serve/cache/269.html
22
Asegurando el proxy abierto
• Ejemplos:
• Cisco Cache Engine
– no http proxy incoming
• Squid
– http_access deny !Safe_ports
– http_access deny CONNECT !SSL_ports
– http_access deny all

23
Ataque Rumplestiltskin
• ¿Ocultarse de spammers
por medio de direcciones
complicadas?
• Imposible, esa técnica no
dura mucho. Has oído
hablar de “Rumplestiltskin
Attack”.

http://www-2.cs.cmu.edu/~spok/grimmtmp/044.txt
24
Advininando cuentas
• Ella dijo, es tu nombre ....?
Apr 9 00:13:36 server sendmail[19112]: caspar: ... User unknown
Apr 9 00:13:36 server sendmail[19112]: melchoir: ... User unknown
Apr 9 00:13:36 server sendmail[19112]: shortribs: ... User unknown
Apr 9 00:13:36 server sendmail[19112]: sheepshanks: ... User
unknown
Apr 9 00:13:37 server sendmail[19112]: laceleg: ... User unknown
Apr 9 00:13:37 server sendmail[19112]: conrad: ... User unknown
Apr 9 00:13:37 server sendmail[19112]: harry: ... User unknown
Apr 9 00:13:37 server sendmail[19122]: rumpelstiltskin: ...
• El diablo te lo dijo...
ACCEPTED

25
Exploración de cuentas
• Proteger el servidor de
correo de consultas de
cuentas vía SMTP VRFY
o EXPN no debe.
– Apaga la opción.
– Fíltre el uso, o
– Configure su firewall
para bloquear esos
comandos.

26
Conciencizar al personal
• Comunique al usuario de los spammers.
• Instruya al usuario a cómo disuadirse de
spammers.
• Confeccione una política anti-spam o de uso
aceptable.
– Ejemplo: visite AUP de TELMEX en:
http://www.telmex.com.pe/tesirt/politica.htm

27
Política anti-spam
• Dice:
– El uso del correo corporativo es única y
exclusivamente para fines laborales,
cualquier otro fin está desaprobado.
– La mensajería puede ser eventualmente
monitoreada para prevenir el tráfico de
mensajes prohibidos por esta política.
• Ejemplo, técnico:
– Websense, etc.
– Key-words: Sex, free, win, casino, games,
28
etc...
abuse@isp.net en la lucha
• Los proveedores son ejes en la lucha.
• Y los clientes de los proveedores.

Thank you for your report to the XYZ Internet


Investigations and Security Services Team.
...
abuse@XYZ.net
Thank you!

29
Herramientas benéficas
• Para verificar si mi IP está en alguna lista:
– http://combat.uxn.com/
• Para verificar si tengo un servidor en Open-relay.
– http://samspade.org/ssw/download.html
• Para verificar Proxy está bien configurado:
– http://www.fr2.cyberabuse.org/?page=proxyscanner
• Más en:
– http://www.cnn.com/TECH/computing/9809/22/spamcontrol.idg

– http://spam.gunters.org/tools.html

30
Rastreo (track-down)
• Las cabeceras COMPLETAS del correo
contienen la ruta entera que tomó el SPAM.
• Estas pueden servir para enviar quejas
acerca de spammers o harassers
(hostigadores)
• Nota: Los software convencionales no
muestran “full headers” de mensajes dentro
de la misma compañía.

31
Composición de un mensaje
• Envelope
– Usado por MTA para envío.
MAIL From: <jperez@perez.com>
RCPT To:<javier.romero@attla.com>
• Headers
– Usado por los “agentes usuarios”
Received, Message-Id, From, Date, Reply-To, X-
Phone, X-Mailer, To, Subject
• Body
– Contenido del mensaje.

32
Herramientas: SamSpade
• Sampade
• Dave Krieps de AT&T http://www.wurd.com
WorldNet, nos enseña
cómo configurar
SamSpade para
rastrear un Spam. http://samspade.org

33
Configurando SamSpade
1. Descargue de:
http://samspade.org/ssw/download.html

2. Installe.
3. Configure lo básico.

34
Configurando SamSpade

200.14.241.36

javierfernando@hotmail.com

apsirt.attla.com.pe

35
Configurando SamSpade

36
Cabecera ejemplo
Received: from mc6-f34.law1.hotmail.com ([65.54.252.170]) by
mc6-s18.law1.hotmail.com with Microsoft
SMTPSVC(5.0.2195.4905); Mon, 21 Oct 2002 07:27:19 -0700
Received: from e-shimadzu.co.kr ([210.205.238.2]) by mc6-
f34.law1.hotmail.com with Microsoft SMTPSVC(5.0.2195.4905); Mon,
21 Oct 2002 07:27:10 -0700
Received: from xmxpita.excite.com (ddsl-66-161-238-30.fuse.net
[66.161.238.30]) by e-shimadzu.co.kr (8.11.0/8.11.0) with ESMTP
id g9LEKPS20936; Mon, 21 Oct 2002 23:20:28 +0900 Message-ID:
<000059a2249f$000051f6$000045db@xmxpita.excite.com>

To: <Undisclosed.Recipients@e-shimadzu.co.kr>
From: "Technical Support" <akadabra@excite.com>
Subject: u.n.i.v.e.r.s.i.t.y d.e.g.r.e.e. for YOU! Date: Mon, 21 Oct 2002
10:26:18 –1600
MIME-Version: 1.0 Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Reply-To: akadabra@excite.com
Return-Path: akadabra@excite.com
X-OriginalArrivalTime: 21 Oct 2002 14:27:10.0548 (UTC)
FILETIME=[F10CD140:01C2790D] 37
Decodificación
Received: from mc6-
f34.law1.hotmail.com ([65.54.252.170])
by mc6-s18.law1.hotmail.com with
Microsoft SMTPSVC(5.0.2195.4905); Mon,
21 Oct 2002 07:27:19 -0700

This received header was added by your mailserver


mc6-s18.law1.hotmail.com received this from
someone claiming to be mc6-f34.law1.hotmail.com
This host doesn't exist, so all headers below this one
are probably forged
38
Decodificación
Received: from e-shimadzu.co.kr
([210.205.238.2]) by mc6-
f34.law1.hotmail.com with Microsoft
SMTPSVC(5.0.2195.4905); Mon, 21 Oct
2002 07:27:10 -0700

mc6-f34.law1.hotmail.com received this from


someone claiming to be e-shimadzu.co.kr but really
from 210.205.238.2(No rDNS)
All headers below may be forged
39
Decodificación
Received: from xmxpita.excite.com (ddsl-66-
161-238-30.fuse.net [66.161.238.30]) by e-
shimadzu.co.kr (8.11.0/8.11.0) with ESMTP id
g9LEKPS20936; Mon, 21 Oct 2002 23:20:28
+0900 Message-ID:
<000059a2249f$000051f6$000045db@xmxpita.exci
te.com>

e-shimadzu.co.kr received this from someone claiming


to be xmxpita.excite.com but really from
66.161.238.30(CSISERVER)
All headers below may be forged
40
(1) Rastreo

Continúa
41
(2) Rastreo (3) Reporte/Queja
Resultado

d o
lta
s u
Re

42
Otros: ¿cabecera vacía?
• RFC2505 dice:
– The "MAIL From: <>"
address is used in error
messages from the mail
system itself, e.g. when <>
a legitimate mail relay is
used and forwards an
error message back to
the user. Refusing to
receive such mail means
that users may not be
notified of errors in their
outgoing mail, e.g. "User
unknown", which will no
doubt wreak more havoc
to the mail community 43
than Spam does.
Software de SPAMMER
• Ejemplo de software para aprender cuentas
en sitios web.

44
Soluciones recomendadas
• Permitir recepción sólo de algunas cuentas.
¿100% Efectivo?
– No, porque puede usarse spoofing.
– Quizás, si servidor de correos usa reverse-
lookup.
• Emplear software en cliente de correo (basado en
computación distribuida):
– http://www.cloudmark.com/spamfighter/
– http://www.mailshell.com/mail/client/fd.html
• Emplear software en servidor de correo (basado
en key-words) 45
Spam con ingeniería social

46
Messenger or NetBIOS Spam
• Es un nuevo vector de SPAM.
• DirectAdvertiser.com puede enviar avisos no
virtualmente inrastreables y completamente
anónimos a cada nodo.
• http://www.wired.com/news/technology/0,1282,55795,0

47
Messenger Spam vs.
Firewalls
• Messenger Spam no
perdona firewalls, usa el
puerto TCP 135 o RPC,
normalmente configurado
como permitido en redes
que usan MS-Exchange o
algún servicio con RPC
desde fuera.

RP
C

Spammer.com 48
Gracias
Preguntas: tesirt@telmex.com.pe
Muchas Gracias.

49