Il cigno e la talpa

Nonostante il titolo zoofilo, sempre di spam si parla.

L’aumento sostanzioso nella quantità di spam rilevato nel corso degli ultimi giorni, quale che ne fosse la ragione, pare essere stato una sorta di “canto del cigno” di una botnet che forse sapeva di avere i giorni contati.

Schiaccia la talpa!

Partiamo dai fatti: come visibile qui accanto, nella serata di ieri la quantità di spam ha subìto una drastica riduzione, portandosi a valori (meno del 70% del traffico complessivo) che non si vedevano oramai da parecchio tempo.

Questa osservazione, apparentemente, non è un fenomeno locale, ma è stata riscontrata in maniera sostanzialmente contemporanea da praticamente tutti gli osservatori. La causa più probabile apparirebbe essere la chiusura di McColo Corp., hosting provider con sede nella California del Nord (curiosamente, come Atrivo), additata come una delle reti con la maggiore concentrazione di attività di controllo di botnet, e dalla cui rete, secondo le stime degli addetti ai lavori, veniva orchestrato l’invio di quasi 3/4 dello spam che giornalmente vediamo passare.

Nel perenne gioco di “schiaccia la talpa” tra i buoni e i cattivi, McColo è stata disconnessa, e con ciò le botnet ivi controllate parrebbero essersi fermate.

Per poco. Godiamoci la quiete, perchè tanto è certo che in capo a poche ore le attività riprenderanno altrove, come sempre è accaduto finora…

Read Full Post »

Semel in anno…

Spesso capita di ritrovare, nell’analisi dei flussi di spam, delle discontinuità nette rispetto ai “comportamenti usuali”, soprattutto per quanto concerne l’attività delle botnet. Le ragioni sono -o possono essere- molteplici. Ad esempio, un qualche spammer può iniziare a condurre dei test particolarmente massicci, oppure una determinata gang inizia ad utilizzare pesantemente una botnet “nuova fiammante”.

In questi ultimi giorni, per quanto è possibile vedere, è accaduto qualcosa del genere.

Aumento spam

A metà mattina di giovedì 6 novembre, il traffico generato da spam è praticamente raddoppiato rispetto a quanto si rilevava nei giorni precedenti, come visibile nel grafico qui accanto.

Una veloce analisi dei log porta ad avvistare, come anomalia rispetto al traffico normale, una gran quantità di “relay not allowed”. Di norma, queste entry nei log sono presenti in numero piuttosto ridotto, e sono riconducibili a spammer che effettuino probe dei nostri relay per verificarne la sfruttabilità come relay aperti.

Una analisi più accurata porta a notare che tali tentativi di relay, oltre ad essere anomali nella quantità, hanno anche delle peculiarità nella qualità: la maggior parte sono invii diretti a domini che, se pur non ospitati (nè ora nè in passato) dai nostri sistemi, sono comunque “geograficamente vicini“.

Difficile sapere la ragione di un simile comportamento (almeno senza essere nella testa dello spammer), ma una mia ipotesi è che alcuni degli invii o dei bot sbaglino nell’identificare i mailserver cui consegnare lo spam, a seguito forse di una fase di testing di nuovo codice o di nuovi sistemi/infrastrutture da parte della botnet.

Spettro dei rigetti

La finestra temporale in cui questo comportamento si è riscontrato si è poi chiusa a metà mattinata di oggi, martedì 11 novembre. Oltre che nella quantità, il fenomeno trascorso è piuttosto evidente “a colpo d’occhio” esaminando lo spettro di distribuzione con cui il ruleset ha trattato questo spam: in particolare, l’aumento molto sostanzioso nei blocchi causati da PBL è un indice del fatto che gran parte di questi tentativi di delivery proviene da sistemi che ancora non sono stati identificati da liste con questo scopo, come CBL (e, di conseguenza, XBL).

Read Full Post »

Anche le botnet piangono

Un articolo con una minima valenza tecnica, con lo scopo di “mostrare” comportamenti inaspettati che si riscontrano nell’analisi e nel monitoraggio del flusso di spam nella posta elettronica.
Non è quel genere di osservazioni che possa essere di qualche aiuto nella strutturazione di un ruleset, ma può esserlo per chi necessiti di valutare il dimensionamento della propria infrastruttura di posta, compatibilmente con le tecnologie di filtraggio che sceglie di adoperare.

Uno degli “effetti collaterali” di gestire un servizio di filtraggio email “di frontiera” (ovvero che effettua il filtraggio per poi consegnare le mail “pulite” a mailserver che il gestore del dominio mantiene altrove) è il fatto che periodicamente accade di acquisire clienti che scelgono questa soluzione in virtù del fatto che i propri mailserver sono allo stremo.

Questo accade particolamente qualora il mailserver in questione sia stato realizzato con misure antispam del tipo “tagging-only“. Apparentemente, vi è nel comportamento delle botnet una sorta di attrazione compulsiva per mailserver che accettino bovinamente qualsiasi cosa si sottoponga loro, con il risultato che questi tendono, in breve tempo, ad essere sommersi dallo spam, con i conseguenti problemi di carico, storage, I/O, banda, ecc.

Dell’andamento di questa prima fase “crescente” non ho dati, poichè non gestisco sistemi che utilizzino questo tipo di approccio (come ben sa chi conosce come la penso al riguardo). Quando però i nostri sistemi vengono chiamati in causa, siamo nella condizione di osservare il fenomeno opposto; ovvero: se, in una situazione di questo genere, si inizia ad implementare una robusta politica di rigetto dello spam, la quantità di spam ricevuto decresce.

Spam Decreasing

Il grafico qui accanto rappresenta l’andamento del numero di mail di spam ricevute dal dominio di un nostro cliente, giunto da noi nella condizione suddetta. Dopo la prima giornata di applicazione dei nostri ruleset, il conto delle mail di spam ricevute si attestava a quota 400.000 circa, per poi iniziare a decrescere, nel corso delle settimane successive, in maniera pressochè lineare.

Quale sia la ragione di questo comportamento è difficile dirlo “da fuori”, ma è evidente che in qualche misura le diverse botnet tendono ad abbandonare (o a rendere meno intensivo, quantomeno) l’invio di spam quando vedono che il sistema destinazione tende a non accettarlo.

Si noti anche che il grafico riporterebbe anche la traccia relativa alle mail accettate per lo specifico dominio, ma che tale traccia, per via della scala del grafico, non si sposta dall’asse X: il dominio, infatti, riceve un traffico lecito piuttosto risibile, nell’ordine delle poche decine di mail al giorno (di media, circa 30). Significa che, prima di iniziare “la purga” applicata dal filtraggio in rejezione, il dominio vantava un rapporto segnale/rumore inferiore allo 0.01%.

Read Full Post »