Hace tiempo que venimos hablando de ARF (Abuse Reporting Format) como sistema de reporte de abusos entre ISPs.
Incluso en alguna presentación pude hablar sobre ello:
Así que lo que antes era un Internet-draft, ahora ya es un RFC, el RFC 5965. Ahora solo falta lo más complicado…que todos los ISPs empecemos a adoptarlo :)
Hace pocos días, se ha hecho conocida una nueva feature de Gmail, la prioridad en su bandeja de entrada:
La idea como tal no es nueva pero ya sabemos que cuando Google hace algo, parece que lo hace a lo grande :)
Sin embargo, algo parecido ya lo habían puesto en marcha antes Yahoo y Microsoft.
Yahoo con su pestaña «What’s New» ya mostraba los mensajes de correo de los contactos de la libreta de los que hubiese correo y de las conexiones (a través de otros servicios «sociales») antes que cualquier otro; incluso un twitt de un contacto, podía salir antes en dicho tab que un e-mail . Además, las vistas del inbox del webmail de Yahoo ya permitían ver solamente los mensajes de tus contactos, de tus conexiones…etc.
Hotmail por su parte, también había cambiado su página de inicio, mostrando solamente mensajes e información de contactos y amigos. En el webmail, también se pueden usar las vistas «de contactos», «actualizaciones sociales»…etc, para ver lo que más interese. Además, si Hotmail detecta que estás borrando directamente los mensajes de alguna lista a la que te hayas suscrito, te ofrece un botón para desuscribirte fácilmente (para mí, esta es la mejor feature por encima de cualquier otra, por lo ya comentado hace tiempo). Además, desde hace poco, para decidir la acción a realizar con un mensaje, pesa más el resultado del análisis que se haya hecho sobre el usuario que la decisión global. Las métricas que se usan para hacer dicho análisis por usuario son: mensajes leídos y borrados, mensajes no leídos y borrados, mensajes respondidos…etc.
El servicio de Gmail seguramente sea el más completo (también es el último en salir), pero también hay que decir que ha sido el que mejor ha sabido venderse.
Como es habitual en Commtouch, han publicado el reporte sobre el Q2 del 2010. Se puede ver un vídeo o bien, bajarse el reporte en PDF, que incluye gráficas y detalles.
A modo de resumen, cabrían resaltar los siguientes topics:
– 179 billones de mensajes de spam/phishing diarios
– 82% del tráfico en este Q2 es spam, con un pico del 92% en Junio
– Dominios más usados en el FROM por spammers: gmail.com, hipenhot.nl, yahoo.com, 123greetings.com, hotmail.com…
– La mayoría de la «temática» del spam sigue siendo productos farmacéuticos (64%)
– 307.000 nuevos zombies activos diarios
– India, Brasil , Vietnam y Alemania son los países con más PCs zombies
Como siempre, buen trabajo estadístico por parte de Commtouch!
Una nueva edición del Foro Abuses, esta vez en el Edificio Distrito C de Telefónica. La agenda, completita e interesante, como siempre:
Día 20 de abril (martes)
# 10.00-10.30 Recepción y desayuno
* Bienvenida
* Actividades de Telefónica en la protección al menor
* Caso de estudio en fraude bancario. Marc Vilanova (CAIXA-cert)
* Retrospectiva de políticas actuales de Telefónica en el filtrado BGP de direcciones IP. Desde Blackhole hasta mitigación de DoS. Carlos Olea
* Seguridad en el futuro escenario de IPv6. Juan Pedro Cerezo (BT)
# 13.30-15.30 Almuerzo de trabajo ofrecido por Telefónica
# 16.00-18.00h. Intercambio de experiencias entre los miembros del Foro
* Políticas de actuación contra el malware en Telefónica
* Proceso de bloqueo del puerto 25 de salida en EUSKALTEL
* Experiencia de defensa contra Confiker usando listas de reputación. ABBANSYS
Día 21 de abril (miércoles)
Sesión cerrada y exclusiva para miembros del Foro ABUSES
# 10:00-10.30h Actividades de Telefonica en la protección al menor
# 10.30h-11.30h Presentación de nuevos Grupos de Trabajo
# 11:30-12:00h Desayuno.
# 12:00-13:00h Desarrollo de Grupos de Trabajo
# 13.00-13.30h
* Exposición conclusiones de grupos de trabajo
* Asuntos internos foro: Accesos al wiki, solicitudes de miembros, Eurodig
* Próxima reunión
Como hace tiempo hizo Telefónica y como podemos ver a través de su centro de seguridad Nemesys, Euskaltel ha pasado a bloquear el tráfico saliente hacia el puerto 25 para alguna de sus redes.
Como dicen en su web:
El objetivo es evitar que los equipos de nuestros clientes puedan ser utilizados sin su consentimiento para envío masivo de SPAM, PHISHING y otras amenazas emergentes a día de hoy en Internet
Parece, no obstante, que el bloqueo se produce solamente a sus redes de IPs dinámicas.
Si por ejemplo, un cliente de Euskaltel tuviese un servicio de correo contratado en una empresa de hosting como puede ser Hostalia, simplemente cambiando el puerto de salida del 25 al 587 (como reza el RFC 2476 – Message Submission) en su cliente de correo, podría seguir usando dicho servicio.
Telefónica ya consiguió en su día salir de los primeros puestos de redes emisoras de spam con esta medida y a pesar de las quejas iniciales, todos nos hemos visto beneficiados por esta medida.
No queda más que decir que bien por Euskaltel y que a ver si el resto de ISPs siguen las mismas políticas.
A continuación, dejo las transparencias usadas en el Master de Seguridad de la Información, en el que impartí el módulo de Seguridad en sistemas de correo electrónico.
Dicho módulo comenzó con estas transparencias introductorias en las que se da un repaso a todo lo que engloba el servicio de correo electrónico, como son los protocolos y RFCs, MTAs, el problema del spam, botnets, phishing, diversas técnicas antispam, filtrado por contenidos, pasarelas de correo…etc.
Espero que os resulte interesante ;-)
Me hago eco del anuncio por parte de Luca Gibelli, desarrollador de ClamAV, que comenta (ya es el segundo aviso) que a partir del 15 de Abril de 2010, la actualización de firmas del antivirus incluirá una que deshabilitará el demonio clamd para versiones anteriores a la 0.95 (más antiguas de 1 año). Estas versiones no permiten firmas más grandes de 980bytes por lo que es necesaria su actualización para empezar a usarlas.
El anuncio completo en la lista de ClamAV.
A más de uno le pillará el toro, seguro ;-)
Hoy día 27 de Enero del 2010, ha sido liberada la versión 3.3.0 de SpamAssassin. En breve empezará a estar presente en los paquetes de las distintas distribuciones Linux, aunque para los que usamos CPAN ya está disponible esta última versión.
En el Changelog se puede leer una amplia lista de cambios y nuevas features introducidas en esta nueva versión.
A modo de resumen, comento varias de ellas:
– Las reglas no se distribuyen ahora con SpamAssassin, sino de forma independiente, por lo que después de instalarlo habrá que hacer un sa-update para proceder a bajarlas.
– El plugin de AWL (AutoWhiteList) pasa a estar deshabilitado por defecto. Daba bastantes problemas así que me parece correcto.
– El plugin de DKIM, pasa a estar habilitado por defecto. Un pequeño empujón para el tema de DKIM ;-)
– Nuevos parámetros para soportar reputaciones del servicio DCC
– Nuevas opciones para debugging
– Los scores de las reglas han sido generados mediante un algoritmo genético y pulidos gracias a reportes de usuarios, beta testers.
– Añadidas las listas PSBL, CSS, ReturnPath…
– …
Para ver la lista completa de cambios, remito al Changelog que ya he comentado :-)
En la pasada EuroBSDCon 2009 celebrada en Septiembre, un congreso de los hackers de FreeBSD, hubo una charla cuyo título rezaba «FreeBSD kernel protection measures against SMTP DDoS attacks», por Martin Blapp.
El paper de aquella charla se puede encontrar en:
http://www.ukuug.org/events/eurobsdcon2009/papers/BSDCON09-SMTP-DDoS-Final.pdf
Como el propio título hace suponer, se trata de un módulo (llamado accf_smtp para el kernel de FreeBSD capaz de gestionar las conexiones SMTP entrantes al servidor y prevenir cierto tipo de ataques (comunes entre las botnes). Con dichas conexiones, puede realizar diversas funciones como hacer una pausa antes de entregar el banner del servicio SMTP, rechazar conexiones que no envíen primeramente el comando HELO/EHLO, establecer número máximo de caracteres en parámetros de comandos…etc.
Soy de la opinión de Wietse Venema que comentaba que esas funciones no son para hacerlas en el kernel sino en userland, como ya hacen numerosos servidores de correo electrónico, por lo que en realidad no supone nada nuevo.
Esta idea está basada en el ya existente accf_http, que gestiona las conexiones HTTP entrantes.
Habrá que esperar a ver qué opinan los que puedan probarlo en sus FreeBSDs.
El próximo 20 y 21 de Octubre se celebra la IX reunión del Foro Abuses, que para el que no sepa qué es (c&p):
El Foro ABUSES es un espacio para técnicos de Operadores (telcos o ISPs) que gestionan o están interesados en solucionar incidentes de seguridad y abusos en Internet. En estas reuniones del Foro ABUSES se pretende mejorar la confianza entre ISPs españoles a través de reuniones participativas que generen conclusiones y acciones.
Este año se celebra en A Coruña, organizada conjuntamente por Mundo-R y RedIRIS/Red.es
La agenda de la reunión es la siguiente:
Dia 20 de Octubre (martes)
* 10.00-10.30 Recepción y Bienvenida
* 10.30-13.30 Sesión 1
Mejores prácticas entre fiscales, ISPs y Fuerzas de seguridad del Estado
Debate y puesta en común. Se contará con la presencia de Luis M. Uriarte Valiente: (Fiscalía Provincial de Pontevedra, Miembro del Servicio de Criminalidad Informática (SCI) )
Presentación de la «Oficina de Seguridad del Internauta» INTECO-cert
* 16.00-18.00h. Sesión 2 (tarde):
Intercambio de experiencias entre miembros del Foro
o Experiencia de soluciones antispam: CloudMark , Commtouch etc
o R: «Sobre análisis de protocolos y búsqueda de IRCs de control de botnets»
o ARSYS: «Experiencias abuses»
o Dynahosting: «Nuevo miembro del Foro ABUSES»
Día 21 de Octubre (miércoles)
* 10.00-13.30h. Sesión cerrada y exclusiva a miembros del Foro ABUSES
Experiencias con implementación de herramientas para los requerimientos de la Ley de Retención de Datos. Solución implementada en EUSKALTEL.
Asuntos internos Foro ABUSES
* 13.00-13.30h Sesión final
Conclusiones y próxima reunión
Durante el foro, haré una presentación de nuestra experiencia con Cloudmark, un software antispam que llevamos tiempo probando con interesantes resultados.