Los ISPs cuando recibimos un ataque, mensaje de spam…etc solemos avisar al propietario de la red en la que se encuentra la IP origen para que resuelvan el problema (esto se indica en el WHOIS de la IP). Hasta ahora, cada ISP tenía su forma de enviar estos mensajes (llamados Feedback Loops pero ahora, en vez de enviar el típico email diciendo “tu IP manda spam, revisa tu servidor en busca de scripts/virus”, se está intentando estandarizar el formato de estos avisos para poder hacer más fácil la creación de parsers y herramientas de lectura y procesado; vamos, facilitar la vida a la gente de seguridad/abuse.

La última versión del draft ha sido publicada el 17 de Abril y puede leerse en:

http://www.shaftek.org/publications/drafts/abuse-report/draft-shafranovich-feedback-report-07.txt

Desde hoy mismo, los avisos automáticos de nuestra lista negra, rbl.dns-servicios.com se harán en dicho formato.

Sin embargo, los mensajes ARF de Hostalia tendrán el asunto como el mensaje original (el mensaje de spam) como dice el borrador precedido del texto “Abuse Report for IP X.X.X.X:” para permitir buscar fácilmente por IP, ordenar mensajes…hasta que el ARF sea RFC y los destinatarios hayan actualizado sus filtros y parseadores para permitir ARF.

Actualmente, AOL ( en su portal se puede leer ) y Outblaze envían ya sus avisos en este formato y nosotros nos unimos a esta iniciativa pionera a la espera de que se estandarice.

Para más información: http://postmaster.hostalia.com/arf.es.html

Y para recursos sobre ARF: http://wordtothewise.com/resources/arf.html

Leyendo la lista de SpamAssassin, hacían referencia al siguiente artículo del WashingtonPost, que comenta cómo varios ISPs que daban conectividad a la empresa de hosting “McColo Corp.” han procedido a “cortarles” el servicio y por tanto, han hecho desaparecer a este ISP de Internet. Esta empresa se dedicaba al envío de spam desde sus servidores, alojamiento de pornografía infantil, fraude…etc; Security Fix se puso en contacto con los ISPs de ésta, comunicándoles a qué se dedicaban con informes creados por otras empresas de seguridad y parece que ha surgido efecto :-)

Posted at 07:06 PM ET, 11/11/2008
Major Source of Online Scams and Spams Knocked Offline

Otra buena noticia, junto a la de EstDomains que ya comentábamos el otro día :-)

http://rbl.dns-servicios.com/ids/evidence.txt

Es curioso, no obstante, el “desastre” con el que uno se encuentra al enviar mensajes de este tipo a los contactos que aparecen en el WHOIS de las IPs:

mail.local: /var/mail/f/fkchung: Disc quota exceeded

Command rejected (in reply to end of DATA command)

Los hay incluso mejores, que pasan directamente de lo que pueda haber o salir de sus redes:

We would point out that, within its activity as a provider of
electronic communication services, XXXX merely provides its
clients with access to the Internet, which entails the activity
of simply transporting information over the network.

No obstante, también se reciben comentarios de agradecimiento por la información facilitada. Por ello y por ayudar a la erradicación de estas fuentes de spam, seguiremos con esta política.

La agenda:

Día 2 de Octubre (jueves)

10.00-10.30 Bienvenida
10.30-11.30h Presentación INTECO
12.00-14.00h
Sobre la “Obligación por ley de almacenar los registros de actividad del servicio de correo electrónico.
…
16.00-18.00h Sesión2 (tarde): Intercambio de experiencias entre miembros del Foro
Sesión acerca de “Experiencias sobre la gestión (dinámica, herramientas, estadísticas etc) de incidentes abuse@ y seguridad en un ISP”

Día 3 de Octubre (viernes)

10.00-11.30h Sesión3 (mañana): Asuntos internos Foro ABUSES
Propuesta, evaluación y aprobación de documentos del Foro ABUSES:

Propuesta: “Recomendación de Listas Negras”
Propuesta: “Compartir rangos IP dinamicos”
Propuesta: “ListaBlanca de dominios”
Propuesta: “Intercambio de incidentes en Foro ABUSES”

13.00-13.30h Sesión 4: Conclusiones y próxima reunión
14.00h Comida despedida

Seguro que sacamos conclusiones interesantes :-)

El congreso como tal dio mucho de sí y se hablaron de cosas muy interesantes. Estaban presentes todos los “grandes” del mundo de Internet y del correo electrónico, tales como Microsoft, AOL, AT&T, ComCast, Yahoo, SpamHaus, IronPort, Cisco, Symantec…etc y la agenda del evento estuvo repleta de charlas y conferencias. A continuación un mini-resumen de alguna de ellas.

- Coloquium para ISPs, en los que se habló principalmente de las botnets y posibles medidas para mitigarlas, desde la educación al usuario final, la presión a organismos y gobiernos para que tomen cartas en el asunto…etc

- Charla de Métricas y tendencias, en la que se habló de hacia donde tiende el spam en general; redes de bots que utiliza webs para el envío de mensajes (MailReactor), uso de la web 2.0 para el posteo de spam…etc. Además, se resaltó la alta desactualización en el software de los ordenadores de los usuarios ya que debido a ello, las infecciones se realizan a través de navegadores y sus plugins (ActiveX, Flash, QuickTime…etc).

- Charla de ReactorMailer en la que IronPort nos mostró en ejecución el software web utilizado para la emisión de spam desde redes de botnets. Muy cuidado y completo, con todo tipo de opciones.

- Charla sobre reputación de IPs en la que desde AOL y ReturnPath, comentaron algunos de los aspectos teóricos y prácticos referentes a esta “técnica” para intentar reducir las conexiones de spammers. El futuro de las RBLs, parece que avanza en este sentido.

- Charla sobre DNSBLs en la que se comentaron los diferentes puntos de los drafts existentes al respecto:

http://www.ietf.org/internet-drafts/draft-irtf-asrg-dnsbl-05.txt
http://www.ietf.org/internet-drafts/draft-irtf-asrg-bcp-blacklists-03.txt

y cómo lo importante no es la política que sigue una lista determinada (que puede ser más o menos severa) sino que dicha política esté publicada y accesible para que quien la quiera usar sepa a qué atenerse.

- Charla sobre servicios de soporte de entrega de email en la que Microsoft, AOL y KPN expusieron sus diferentes portales y recursos (portal del postmaster de AOL, portal de MSN…etc) dirigidos a facilitar al usuario e ISPs la entrega de correo electrónico a sus servidores.

- Charla sobre gestión de conexiones SMTP en la que gente de AOL y MailChannels, comentaron las diferentes técnicas para poder gestionar las conexiones SMTP entrantes y poder, por ejemplo, separarlas según políticas a aplicar.

Estas fueron las charlas más importantes del MAAWG. El resto se queda en privado ;-)

CloudMark es una empresa creada por Vipul Ved Prakash, creador a su vez de Razor, un programa de detección de spam en base a checksums de mensajes muy utilizado, sobre todo desde SpamAssassin. Uno de los servicios de pago de Cloudmark, es similar a dicho programa pero con muchas más funcionalidades y con la ventaja de que la base de datos de checksums de mensajes son bajados al servidor. La verdad, tras las pruebas realizadas, da muy buen resultado en detección de spam.

En cuanto al MAAWG, ciertamente, pinta muy bien; la agenda es privada pero puedo adelantar que existen diversas conferencias de gente de Sendmail, AOL, Comcast, SpamHaus, Ironport o Symantec. Las botnets y la reputación de IPs parecen que van a ser importantes puntos a tratar. A la vuelta podré contar más al respecto y todo lo que ha dado de sí.

Tschüss! ;-)

¿A qué se dedican las empresas de escrow? Pues en esta web lo explican perfectamente; consiste en un servicio de intermediarios en compras de productos por Internet, en la que es la empresa quien hace realmente el pago al vendedor una vez que tú hayas recibido el producto, para evitar cualquier engaño. El proceso es el siguiente:

Paso 1: Condiciones y datos requeridos

Para utilizar Escrow! hace falta registrarse. Ningún problema. El registro es fácil y gratuito!
Si ya está registrado, introduzca su e-mail y su password y entre en la página de sus transacciones.
Para comprar o vender un objeto, haga click en “Nueva Transacción” y cumplimente los campos requeridos.
Para ver el estado de una transacción en curso o para introducir nuevos datos en una transacción en particular, pulse el número de identificación que aparece en la lista de sus transacciones.
Espués de que tanto Comprador como Vendedor se hayan puesto de acuerdo acerca de los términos de la transacción, se pedirá al Comprador el pago a Escrow!

Paso 2: el Comprador paga a Escrow!

El Comprador puede pagar a Escrow! con tarjeta de crédito, giro postal, cheque de importe fijo o transferencia bancaria. El dinero recibido por Escrow! se transfiere a una cuenta sin intereses.

Para saber el coste del servicio click aquí y le sugerimos leer las Faq financieras

Paso 3: el Vendedor envía la mercancía

Una vez que Escrow! haya recibido el pago, pedirá al Vendedor la expedición de la mercancía al Comprador. Por razones de seguridad, nunca no se enviará por e-mail información alguna acerca de la dirección de envío. Toda información deberá ser obtenida entrando en la página de la transacción.

Paso 4: el Comprador aprueba la compra

Después de haber recibido la mercancía, el Comprador dispone del Período de Inspección para evaluar su compra*. Entonces, si ésta es de su agrado, autoriza la transacción a Escrow!

Paso 5: el Vendedor recibe el pago

Escrow! paga al Vendedor. Le recordamos al Cliente que los gastos por el envío y aceptación del dinero son a cargo del destinatario, para mayor información sobre los mismos pueden consultar la página de las preguntas financieras FAQ o mandar un correo electrónico al Servicio Cliente.

Es buena idea…el problema es cuando caes en la trampa de una empresa de escrow falsa.

Básicamente, el Foro ABUSES es un espacio para técnicos de Operadores (telcos o ISPs) que gestionan o están interesados en solucionar incidentes de seguridad y abusos en Internet. En estas reuniones del Foro ABUSES se pretende mejorar la confianza entre ISPs españoles a través de reuniones participativas que generen conclusiones y acciones. En pasadas reuniones por ejemplo, se acordó el impulso de SPF desde todos los ISPs; dicho acuerdo se vio reflejado cuando Hostalia implantó SPF en más de 25000 dominios hace unos meses. Se realizó una nota de prensa que tuvo repercusión en diversos medios.

La agenda de la reunión, es la siguiente:

Dia 22 (martes)

10.00-10.30 Bienvenida
10.30-14.00h Sesión1 (mañana): Presentaciones y debate sobre:

GSMA Launches Mobile Alliance Against Child Sexual Abuse: Telefónica España
Improving E-mail Deliverability into MSN Hotmail and Windows Live Mail. Microsoft España
Cert Caixa
Telefonica Empresas

16.00-18.00h Sesión2 (tarde): Intercambio de experiencias entre miembros del Foro

TusProfesionales
Hostalia
CCN-cert
esCERTupc
INTECO-cert
y mas…

Día 23 (miércoles)

10.00-11.30h Sesión3 (mañana): Asuntos internos Foro ABUSES

ListaBlanca: Overview Interface de gestión
Spamtraps
Politica postmaster
Resultados encuesta
Otros

12.00-13.00h Sesión 4 (mañana): Clasificación e intercambio de incidentes

Clasificación y protocolo de intercambio de incidentes entre miembros del Foro ABUSES

13.00-13.30h Sesión final: Conclusiones y próxima reunión

Interesante :-) Contaré los puntos que se puedan hacer públicos de esta sexta reunión.

En todos estos casos, cuya naturaleza es clara, la política a seguir es:

1.- Contactar con el cliente
2.- Suspensión del sitio web
3.- Guardado de evidencias y eliminación de todo rastro
4.- Aplicar las medidas necesarias para que no se repita
5.- Habilitar de nuevo el alojamiento

Este tipo de quejas son, como decía, sobre situaciones de las que el cliente no tiene conocimiento y no es culpable directo de lo sucedido.

El problema reside en otro tipo de quejas o avisos que no son tan claros y que requieren una actuación más directa contra el cliente. Por ejemplo, una queja de un sitio web que pueda ser ofensivo contra una o varias personas, o que diga que contiene material con copyright y que está siendo usado sin permiso…etc. Ante este tipo de casos, lo que se hace es solicitar al emisor de la queja que ponga una denuncia en la comisaría de policía más cercana :) Solo se podrá actuar contra un cliente nuestro con una orden judicial de por medio, como ya nos ha sucedido alguna vez.

Todo esto viene a raíz de que hay mucha gente que piensa que por enviar a abuse una queja, ya automáticamente debemos de actuar. Esto no es así, y como decía, para realizar ciertas acciones contra un cliente con el cuál tenemos un contrato, hace falta una orden judicial.

Creo además que es la forma correcta de hacer las cosas, no hace falta recordar el polémico artículo 17bis que iba a permitir a las sociedades de gestión de derechos de autor cerrar páginas web sin orden judicial alguna y que finalmente, fue rechazado.