Ya hablaba en anteriores posts sobre Srizbi la botnet más grande existente y que mas spam genera.
Tras mi llegada del MAAWG en el que hubo una charla de IronPort sobre este tema, seguí en contacto con ellos con el fin de facilitarles unas estadísticas sobre las conexiones realizadas por dicho bot a nuestros servidores. A continuación, los resultados del día 23 de Junio (24 horas) tras el análisis de las conexiones y fingerprints de las máquinas que se conectaban a nuestros sistemas:
Parece que hay rumores de que los servidores de correo de Google tienen una vulnerabilidad que podría permitir el envío de mensajes masivos desde éstos.
Por ahora parece que en el informe no hay demasiados detalles a la espera de una respuesta por parte de Google, pero según acaban de comentar en Bugtraq un integrante del equipo de INSERT:
Hi,
We are not talking about backscattering. Our attack uses Google’s MX servers like open SMTP relays.
Messages are delivered as sent, and not as a delivery failure notification.
We are still expecting to hear from Google, but we will be releasing more details about the issue
together with the PoC exploit shortly.
Sería interesante que Google desmintiese esta noticia si es falsa o si es verdad, anuncie la resolución de dicha vulnerabilidad.
Me encuentro con un interesante artículo de SecureWorks que hace referencia al «Top» de botnets más grandes y que más spam generan.
La primera de ellas es Srizbi, de la que ya hablé en este blog hace unos meses. Según dicho estudio, Srizbi (perteneciente a la RBN), dispone de unas 315.000 máquinas bajo su control; toda una plataforma para el envío de spam que generaría unos 60 billones de mensajes de spam al día. A destacar también que casi todas usan un sistema de control con cifrado, ya sea HTTP o mediante algún otro protocolo.
Ciertamente, las botnets son las mayores emisoras de spam a día de hoy. Para poder mitigar su impacto, sería interesante que los ISPs de conectividad, como está haciendo Telefónica desde hace tiempo, empiecen a cortar el tráfico SMTP de salida desde sus redes dinámicas y residenciales. Otros ISPs están pensando en aplicar medidas similares dado el excelente resultado que esta medida está dando. Esperemos que sea así pronto :)
El mes pasado, nos enterábamos de que el captcha de Yahoo había sido «roto» según un grupo de investigación ruso que facilitaba incluso el software que lo «rompe». Desgraciadamente, no se puede ver el código fuente :( :
split@debian:/tmp/CaptchaServ$ ls -l total 240372 -rw-r--r-- 1 split split 4627277 ago 6 2007 3005 -rw-r--r-- 1 split split 239860412 ago 3 2007 34997 -rw-r--r-- 1 split split 4008 ene 16 14:40 CaptchaServ.cpp -rw-r--r-- 1 split split 911 dic 15 15:18 CaptchaServ.sln -rw-r--r-- 1 split split 8704 ene 16 13:26 CaptchaServ.suo -rw-r--r-- 1 split split 3616 ene 16 13:30 CaptchaServ.vcproj -rw-r--r-- 1 split split 2270 ene 16 14:54 Capthca.jpg -rw-r--r-- 1 split split 1232223 ago 6 2007 segmentation_yahoo.ctf -rw-r--r-- 1 split split 36864 ago 6 2007 segmentation_yahoo.dll -rw-r--r-- 1 split split 81920 ene 16 01:42 yahoo_m.dll -rw-r--r-- 1 split split 294 ene 16 13:37 yahoo_m.h -rw-r--r-- 1 split split 2240 ene 16 00:42 yahoo_m.lib
Roto el captcha de Yahoo, que comentaban que era el más fuerte o difícil de romper, hace poco caía también el de Windows Live y hace unos pocos días, se rompía también el de Gmail. Todo ello, por segunda vez, ya que durante Julio del 2007 se crearon más de 500.000 cuentas en estos servicios para el envío de spam.
El proceso se puede ver en el estudio hecho por WebSense para el caso de Hotmail y para el caso de Gmail en el que se muestran capturas de tráfico de red de bots que realizan la operación. En el caso de Gmail de hecho, el bot envía la información de la imagen a un host en concreto para que realice el «crackeo» de la imagen y devuelva el resultado al bot para que proceda a crear las cuentas.
La creación de este tipo de cuentas es bastante peligroso debido principalmente a que Yahoo, Hotmail y Gmail no son normalmente filtrados ni por listas negras ni por otros análisis antispam, así que ya se pueden poner las pilas :)
Salía el otro día un informe de Symantec sobre estadísticas de spam. Se ha dado bastante bombo a que Europa se había convertido en el nuevo «rey» del spam, sobrepasando por primera vez a los EE.UU., según dicho informe.
Viendo las más de dos millones de IPs que ya hay en nuestra lista negra, y haciendo una estadística, se ven los siguientes resultados:
1.- Russian Federation 9.61%
2.- United States 8.85%
3.- Turkey 7.42%
4.- Thailand 6.35%
5.- Germany 5.85%
6.- China 5.6%
7.- Brazil 3.81%
8.- India 2.8%
9.- United Kingdom 2.58%
10.- Spain 2.56%
11.- France 2.52%
12.- Korea, Republic of 2.24%
13.- Mexico 2.19%
14.- Italy 1.88%
15.- Peru 1.4%
16.- Argentina 1.27%
17.- Ukraine 1.16%
18.- Israel 1.11%
19.- Colombia 1.08%
20.- Japan 1.06%
efectivamente, entre Rusia, Alemania, UK, España, Francia e Italia, suman un 25%. Pero esto ya se veía hace meses, en las estadísticas de Noviembre del 2007, y de hecho, Rusia lleva ya bastante tiempo siendo uno de los mayores generadores de spam del mundo así que esta situación creo que se da desde hace mucho…claro que si lo dice Symantec en un informe con gráficas chulas, pues parece que se para el mundo :-)
Resaltar también sudamérica, que con Brasil, Argentina, Colombia y Perú tampoco se queda atrás…habrá que ver cómo evoluciona este ranking.
SecureWorks, una empresa dedicada a servicios de seguridad, nos ofrecía un artículo sobre una investigación realizada a una botnet que se dedicó del 27 al 30 de Octubre de este año a mandar spam sobre el político estadounidense Ron Paul.
Buscando patrones coincidentes en los mensajes recibidos (cabeceras concretas y sus valores), se sacaron algunas de las IPs de esta red de bots y con la colaboración de los ISPs que los alojaban involuntariamente, se consiguió saber que Trojan.Srizbi era el nombre del malware instalado en los ordenadores de los que provenía el spam. Éste había sido introducido en ellos por medio del kit de exploits mediante web llamado n404.
Posteriormente y según comenta el documento, con la ayuda de SpamHaus, se consiguió el software de control de esta red de bots, un programa escrito en Python llamado «Reactor Mailer» mediante el cuál, con una interfaz web, se pueden realizar todas las tareas típicas del spammer. Recargando dicho software, se pudo ver cómo había tareas guardadas relacionadas con el envío de los mensajes de Ron Paul, con una lista de 162,211,647 direcciones emails asociadas. Una persona apodada como «nenastnyj» fue quien realizó el envío a través de dicho programa y por medio de unos 3000 ordenadores infectados.
Para más información, recomiendo leer dicho artículo ya que ofrece un punto de vista hasta ahora desconocido de este tipo de «redes».
Eneko Knörr me comentaba que Enrique Dans hablaba en su blog sobre una presunta desmotivación de los spammers a la hora de enviar mensajes y un descenso en la recepción de spam por parte de Google. También comentaba que muchos ISPs no habían notado dicho descenso ni dicha desmotivación y ciertamente, así es.
La gráfica de Google en concreto, es la siguiente:
Hace tiempo que AOL, RIPE o RedIris, nos comentaban las buenas prácticas o recomendaciones de uso y tratamiento del correo electrónico desde su punto de vista (que no hay que negar que es más que correcto).
Creo que es algo que desde todos los ISPs habría que promover (y se está en ello…); saber cuáles son sus políticas de gestión de correo electrónico, qué tipo de chequeos deben de pasar los emails para que puedan ser entregados, formas de contacto ante cualquier incidencia…etc. Desde Hostalia, hemos hecho algo parecido para que quien tenga problemas entregándonos su correo, sepa a qué puede ser debido. El enlace en concreto es: abuse.hostalia.com.
Básicamente, las primeras comprobaciones se basan en los RFCs existentes sobre DNS y SMTP. En concreto el RFC 2181 y el RFC 2821, son RFCs que deben cumplirse «al dedillo» :-) Si todos los ISPs cumplieran al 100%, al menos, estos dos puntos tendríamos bastante ganado en la lucha contra el spam. De hecho, es bastante común encontrarse con entidades bastante importantes (no es cuestión de dar nombres :D ) con problemas bastante básicos de fallos en registros DNS, fallos en configuraciones de los servidores SMTP…etc; otra cosa es explicar al cliente que X compañía archiconocida por ser muy importante en Y sector (que normalmente no tiene nada que ver con las nuevas tecnologías), tiene mal configurados sus registros MX y por ello no les llega el correo…
Otro tipo de comprobaciones típicas que se hacen son las relativas a listas negras, filtros de contenidos, SPF, DKIM…etc, pero de eso hablaremos otro día ya que da para mucho…
Con las cerca de 1 millón de IPs que tenemos en nuestra lista negra privada (las cuales están ahí porque nos han enviado spam previamente), he hecho una estadística usando la base de datos de GeoIP y el «top 20» es:
1.- Russian Federation 11.4%
2.- United States 10.1%
3.- China 8.15%
4.- Thailand 6.49%
5.- Turkey 5.38%
6.- Germany 5.27%
7.- Brazil 3.83%
8.- Korea, Republic of 3.01%
9.- France 3%
10.- Mexico 2.83%
11.- United Kingdom 2.36%
12.- India 2.36%
13.- Spain 2.03%
14.- Japan 1.87%
15.- Ukraine 1.61%
16.- Peru 1.45%
17.- Israel 1.42%
18.- Taiwan 1.4%
19.- Argentina 1.34%
20.- Italy 1.28%
Para estrenar el blog, pongo el enlace a un programa de radio en el que participé hace un mes. Se trata del programa Debatic de Euskadi Digital.