Carta Cinese

Qualche giorno fa, CNNIC (ovvero il registro che regola e gestisce il ccTLD .CN) ha deciso, apparentemente, che la quantità di rumenta presente nel proprio TLD era decisamente divenuta eccessiva, e ha deciso di porre rimedio.

Il modus è abbastanza banale: inizierà a richiedere che ogni registrazione di dominio sia accompagnata da “pezze” cartacee, che attestino l’identità di chi sta registrando il dominio, in assenza delle quali il dominio verrà cessato.

Che sul medio termine ciò si dimostri un valido deterrente è ancora tutto da dimostrare: la data-limite per poter produrre la documentazione cartacea è infatti 5 giorni dopo la data di registrazione, e per gran parte degli schemi di abuso più aggressivi che si basano sull’utilizzo massiccio di domini usa-e-getta (come fast-flux) 5 giorni sono abbondantemente sufficienti.

Nel breve termine, tuttavia, è in corso una fuga di massa da parte dei soliti ignoti, in direzione di altre risorse.

In particolare, molto sembra spostarsi in direzione di LiveJournal e il già abbondantemente abusato spaces.live.com di Microsoft.

Quest’ultimo sta infatti vedendo un incremento notevole dei domini di terzo livello utilizzati per ospitare spam, pur partendo da una base di abusi di tutto rispetto (i dati relativi alla giornata odierna sono aggiornati al momento in cui scrivo, e la giornata è tutt’altro che finita):

• 20091214:    2129
• 20091215:    2287
• 20091216:    2837
• 20091217:    3327
• 20091218:    3734

Per quanto riguarda LiveJournal, la situazione è migliore nei numeri ma assai peggiore nel trend:

• 20091214:    94
• 20091215:    98
• 20091216:    98
• 20091217:    452
• 20091218:    733

Quel che, personalmente, più mi infastidisce è il fatto che da parte di Microsoft sarebbe uno sforzo probabilmente risibile -rispetto alle attività che giornalmente svolgono- porre in atto meccanismi che siano in grado di contrastare questo stato di cose già all’atto della creazione degli account abusati.

Apparentemente, tuttavia, non vi è alcun interesse a farlo, considerando che oramai l’attuale stato di cose procede da oltre 12 mesi.

Parallelamente, noto anche un sostanziale incremento dei domini “leciti” crackati ed usati per appoggiarvi redirect verso siti di spammer.

Incremento, questo, plausibilmente dovuto al “successo” di Zeus, che, al pari dei suoi predecessori, provvede a rubare le credenziali di accesso memorizzate sui PC che infetta, fornendole solertemente alla gang che lo controlla, che poi le utilizzerà per eseguire accessi FTP non autorizzati con cui uploadare i contenuti di suo interesse sui siti delle vittime.

Read Full Post »

Notevole, davvero…

Solo un link.

A voi i commenti.

Read Full Post »

Spazi vivi

I lettori affezionati di Security Fix, l’ottimo angolo dedicato al mondo della sicurezza informatica del Washington Post, certamente non si saranno persi questo articolo, che in realtà si limita a rendere noto al pubblico della rubrica quel che di fatto già si vede da tempo nelle traps: i servizi di Microsoft sono attualmente una delle risorse più pregiate a disposizione degli spammer, e Microsoft pare non essere granchè interessata ad occuparsene.

In breve, il discorso, è questo: i portali di Microsoft (spaces.live.com in primis) stanno venendo utilizzati oramai da svariati mesi da parte di bot che effettuano registrazione ottenendone spazio web utilizzabile; spazio sul quale viene poi depositato il contenuto desiderato dallo spammer.

Lo spam può quindi partire con contenuti sufficientemente minimali da non “far scattare” le usuali metriche di filtraggio sui contenuti, contenendo invece semplici link che puntino allo spazio web suddetto.

Se non ci sono gli estermi per poter filtrare la singola mail sulla base della sua semplice provenienza (ovvero: se la mail non ci sta ragiungendo in direct-to-MX), significa che ci sono pochi “appigli” sulla base dei quali poter basare un filtraggio, salvo il link stesso.

Come i più avvezzi sapranno, ci sono progetti che si occupano espressamente di mantenere DNSBL contenenti domini avvistati come target di link all’interno di spam. Tra questi, il più noto ed affidabile è certamente SURBL.

Il problema (o “il vantaggio”, per lo spammer) è il fatto che SURBL, per policy, non lista domini che non siano sotto il diretto ed univoco controllo da parte dello spammer, e che -soprattutto- limita il listing al secondo livello. Ovvero, nel caso in questione, SURBL pubblica informazioni relative al fatto che “live.com” sia o meno un dominio in uso a spammer, ma nulla dice relativamente agli eventuali (ed abbondanti) sotto-domini dello stesso. (Ci sono in realtà svariate ragioni per questa scelta di SURBL, ma troppo lunghe da esaminare qui…)

Poichè evidentemente “live.com” non è risorsa di spammer, non viene listato, e con ciò anche l’informazione più significativa presente nello spam ricevuto diviene tutto sommato inutile, a meno che non iniziate a popolare (visti i numeri in gioco, meglio se in automatico), una vostra lista dei sotto-domini utilizzati per il giochino, da utilizzare poi come parte del vostro rulset.

Qui, ad esempio, trovate quelli da me rilevati nel corso degli ultimi 30 giorni precedenti a questo post (circa), con al fianco data e ora in cui essi sono stati listati. Prima che vi prendiate la briga di contarli, sono 6270.

La cosa più interessante (e grave), tuttavia, non è il numero in sè, quanto il fatto che, se provate a visitarli (attenzione: declino qualsiasi responsabilità qualora vi siano malware downloader dentro, non li ho certo verificati uno per uno, quindi fate a vostro rischio e pericolo) vedrete che la stragrande maggioranza di essi è ancora attiva, con i propri contenuti bellamente disponibili: casinò, pilloline, un po’ di porno tanto per gradire, ecc.

Se considerate che tutto ciò avviene in casa dell’azienda che annunciava come avrebbe eliminato lo spam dalla faccia della terra entro il 2006, ci sarebbe da ridere, se non ci fosse da piangere…

Read Full Post »