Se puede leer en The Register que un spammer ha sido condenado a 30 meses de cárcel y a pagar $180.000 a AOL debido al envío de 1’2 millones de mensajes basura a sus clientes.
Las «imprudencias» se pagan, cada vez más
1
Archivo de la etiqueta: Spam
Estadísticas de Srizbi
Ya hablaba en anteriores posts sobre Srizbi la botnet más grande existente y que mas spam genera.
Tras mi llegada del MAAWG en el que hubo una charla de IronPort sobre este tema, seguí en contacto con ellos con el fin de facilitarles unas estadísticas sobre las conexiones realizadas por dicho bot a nuestros servidores. A continuación, los resultados del día 23 de Junio (24 horas) tras el análisis de las conexiones y fingerprints de las máquinas que se conectaban a nuestros sistemas:
Messaging Anti-Abuse Working Group
Gracias a Vicente Martínez Gil y a CloudMark, la semana que viene (10-12 de Junio) asistiré al MAAWG («Messaging Anti-Abuse Working Group») un congreso del estilo del Foro Abuses pero a nivel internacional que se celebra en Heidelberg, Alemania. A dicho congreso asiste la elite mundial del correo electrónico para hablar y tratar de temas de abuso de dicho servicio, spam y todo lo que gira alrededor de esto; no hay más que ver el listado de miembros.
CloudMark es una empresa creada por Vipul Ved Prakash, creador a su vez de Razor, un programa de detección de spam en base a checksums de mensajes muy utilizado, sobre todo desde SpamAssassin. Uno de los servicios de pago de Cloudmark, es similar a dicho programa pero con muchas más funcionalidades y con la ventaja de que la base de datos de checksums de mensajes son bajados al servidor. La verdad, tras las pruebas realizadas, da muy buen resultado en detección de spam.
En cuanto al MAAWG, ciertamente, pinta muy bien; la agenda es privada pero puedo adelantar que existen diversas conferencias de gente de Sendmail, AOL, Comcast, SpamHaus, Ironport o Symantec. Las botnets y la reputación de IPs parecen que van a ser importantes puntos a tratar. A la vuelta podré contar más al respecto y todo lo que ha dado de sí.
Tschüss! ;-)
¿Google Open Relay?
Parece que hay rumores de que los servidores de correo de Google tienen una vulnerabilidad que podría permitir el envío de mensajes masivos desde éstos.
Por ahora parece que en el informe no hay demasiados detalles a la espera de una respuesta por parte de Google, pero según acaban de comentar en Bugtraq un integrante del equipo de INSERT:
Hi,
We are not talking about backscattering. Our attack uses Google’s MX servers like open SMTP relays.
Messages are delivered as sent, and not as a delivery failure notification.
We are still expecting to hear from Google, but we will be releasing more details about the issue
together with the PoC exploit shortly.
Sería interesante que Google desmintiese esta noticia si es falsa o si es verdad, anuncie la resolución de dicha vulnerabilidad.
Top Spam Botnets
Me encuentro con un interesante artículo de SecureWorks que hace referencia al «Top» de botnets más grandes y que más spam generan.
La primera de ellas es Srizbi, de la que ya hablé en este blog hace unos meses. Según dicho estudio, Srizbi (perteneciente a la RBN), dispone de unas 315.000 máquinas bajo su control; toda una plataforma para el envío de spam que generaría unos 60 billones de mensajes de spam al día. A destacar también que casi todas usan un sistema de control con cifrado, ya sea HTTP o mediante algún otro protocolo.
Ciertamente, las botnets son las mayores emisoras de spam a día de hoy. Para poder mitigar su impacto, sería interesante que los ISPs de conectividad, como está haciendo Telefónica desde hace tiempo, empiecen a cortar el tráfico SMTP de salida desde sus redes dinámicas y residenciales. Otros ISPs están pensando en aplicar medidas similares dado el excelente resultado que esta medida está dando. Esperemos que sea así pronto :)
Caen los «captcha»s de Yahoo, MSN y Gmail
El mes pasado, nos enterábamos de que el captcha de Yahoo había sido «roto» según un grupo de investigación ruso que facilitaba incluso el software que lo «rompe». Desgraciadamente, no se puede ver el código fuente :( :
split@debian:/tmp/CaptchaServ$ ls -l total 240372 -rw-r--r-- 1 split split 4627277 ago 6 2007 3005 -rw-r--r-- 1 split split 239860412 ago 3 2007 34997 -rw-r--r-- 1 split split 4008 ene 16 14:40 CaptchaServ.cpp -rw-r--r-- 1 split split 911 dic 15 15:18 CaptchaServ.sln -rw-r--r-- 1 split split 8704 ene 16 13:26 CaptchaServ.suo -rw-r--r-- 1 split split 3616 ene 16 13:30 CaptchaServ.vcproj -rw-r--r-- 1 split split 2270 ene 16 14:54 Capthca.jpg -rw-r--r-- 1 split split 1232223 ago 6 2007 segmentation_yahoo.ctf -rw-r--r-- 1 split split 36864 ago 6 2007 segmentation_yahoo.dll -rw-r--r-- 1 split split 81920 ene 16 01:42 yahoo_m.dll -rw-r--r-- 1 split split 294 ene 16 13:37 yahoo_m.h -rw-r--r-- 1 split split 2240 ene 16 00:42 yahoo_m.lib
Roto el captcha de Yahoo, que comentaban que era el más fuerte o difícil de romper, hace poco caía también el de Windows Live y hace unos pocos días, se rompía también el de Gmail. Todo ello, por segunda vez, ya que durante Julio del 2007 se crearon más de 500.000 cuentas en estos servicios para el envío de spam.
El proceso se puede ver en el estudio hecho por WebSense para el caso de Hotmail y para el caso de Gmail en el que se muestran capturas de tráfico de red de bots que realizan la operación. En el caso de Gmail de hecho, el bot envía la información de la imagen a un host en concreto para que realice el «crackeo» de la imagen y devuelva el resultado al bot para que proceda a crear las cuentas.
La creación de este tipo de cuentas es bastante peligroso debido principalmente a que Yahoo, Hotmail y Gmail no son normalmente filtrados ni por listas negras ni por otros análisis antispam, así que ya se pueden poner las pilas :)
Dentro de una botnet
SecureWorks, una empresa dedicada a servicios de seguridad, nos ofrecía un artículo sobre una investigación realizada a una botnet que se dedicó del 27 al 30 de Octubre de este año a mandar spam sobre el político estadounidense Ron Paul.
Buscando patrones coincidentes en los mensajes recibidos (cabeceras concretas y sus valores), se sacaron algunas de las IPs de esta red de bots y con la colaboración de los ISPs que los alojaban involuntariamente, se consiguió saber que Trojan.Srizbi era el nombre del malware instalado en los ordenadores de los que provenía el spam. Éste había sido introducido en ellos por medio del kit de exploits mediante web llamado n404.
Posteriormente y según comenta el documento, con la ayuda de SpamHaus, se consiguió el software de control de esta red de bots, un programa escrito en Python llamado «Reactor Mailer» mediante el cuál, con una interfaz web, se pueden realizar todas las tareas típicas del spammer. Recargando dicho software, se pudo ver cómo había tareas guardadas relacionadas con el envío de los mensajes de Ron Paul, con una lista de 162,211,647 direcciones emails asociadas. Una persona apodada como «nenastnyj» fue quien realizó el envío a través de dicho programa y por medio de unos 3000 ordenadores infectados.
Para más información, recomiendo leer dicho artículo ya que ofrece un punto de vista hasta ahora desconocido de este tipo de «redes».
Estadísticas de spammers por países
Con las cerca de 1 millón de IPs que tenemos en nuestra lista negra privada (las cuales están ahí porque nos han enviado spam previamente), he hecho una estadística usando la base de datos de GeoIP y el «top 20» es:
1.- Russian Federation 11.4%
2.- United States 10.1%
3.- China 8.15%
4.- Thailand 6.49%
5.- Turkey 5.38%
6.- Germany 5.27%
7.- Brazil 3.83%
8.- Korea, Republic of 3.01%
9.- France 3%
10.- Mexico 2.83%
11.- United Kingdom 2.36%
12.- India 2.36%
13.- Spain 2.03%
14.- Japan 1.87%
15.- Ukraine 1.61%
16.- Peru 1.45%
17.- Israel 1.42%
18.- Taiwan 1.4%
19.- Argentina 1.34%
20.- Italy 1.28%
Correo Basura (SPAM) ¿es legal? – Euskadi Digital
Para estrenar el blog, pongo el enlace a un programa de radio en el que participé hace un mes. Se trata del programa Debatic de Euskadi Digital.