Feeds:
Posts
Comments

Posts Tagged ‘Spamhaus’

Oggi è entrata definitivamente in funzione DBL.

Con l’occasione, voglio precisare una osservazione riguardo a quanto affermavo pochi giorni fa sull’uso di DBL con software (quale milter-link) non predisposto per le query della tipologia che Spamhaus si aspetta.

Per evitare che l’utenza attivasse dall’istante zero le query su DBL anche per gli IP oltre che per i domini (cosa che Spamhaus non si attende per policy), sono stati attivati in testa a DBL dei record di  catchall per le query numeriche, che rispondono con record A 127.0.1.255 e TXT associato pari a “No IP queries, see http://www.spamhaus.org/faq/answers.lasso?section=Spamhaus%20DBL#279“.

Significa che, se viene utilizzata in tale modalità, DBL lista qualsiasi URL numerica contenuta nel messaggio.

Per quanto mi riguarda ho bypassato il problema rimuovendo le entry di catchall dalla copia locale prelevata da Spamhaus, come misura temporanea in attesa che Anthony rilasci una nuova versione di milter-link che eviti il problema alla radice.

Nel frattempo, nulla vieta di usarla nelle sue altre declinazioni possibili, quali il lookup delle HELO string, della zona inversa e dell’envelope sender, badando però di limitare il reject alle sole risoluzioni che tornino un record A pari a 127.0.1.2:

reject_rhsbl_helo dbl.spamhaus.org=127.0.1.2

reject_rhsbl_client dbl.spamhaus.org=127.0.1.2

reject_rhsbl_sender dbl.spamhaus.org=127.0.1.2

Aggiornamento 02/03/2010: oggi Anthony ha rilasciato la versione 1.3 di milter-link e la versione 1.73.14 di libsnert, che includono il necessario supporto a DBL.

Read Full Post »

Spamhaus sta per rilasciare una nuova DNSBL.Logo DBL

Questa volta l’attenzione si rivolge non più al listing di IP (come nel caso di SBL, XBL e PBL), ma al listing di domini, indirizzandosi ad una tipologia di utilizzo sovrapponibile alle oramai consolidate SURBL e URIBL. In altre parole, è pensata per il lookup dei domini linkati nelle email.

DBL verrà rilasciata ufficialmente il 1° marzo; poichè le specifiche di implementazione richiedono alcune variazioni al codice di lookup di SpamAssassin, gli utenti di quest’ultimo sono invitati ad attendere l’uscita delle release 3.3.1 di tale framework di filtraggio, che dovrebbe avvenire all’incirca negli stessi giorni e includere già il supporto a DBL.

In virtù della “amicizia” con Spamhaus , in realtà, nel momento in cui scrivo DBL sta già venendo utilizzata in produzione dai nostri sistemi da alcune settimane, ed è stata usata in testing (ovvero limitandoci a monitorarne il comportamento senza usarla in blocco) per alcuni mesi prima di ciò, utilizzandola in modo assolutamente analogo a SURBL per tramite di milter-link.

I risultati sono pregevoli,  se si considera la policy “Zero False Positive” che DBL si prefigge (finora confermata a pieno titolo dai dati), anche se in termini di hits al momento SURBL le è superiore (dalle mie rilevazioni, tutt’altro che scientifiche, al momento) di un fattore compreso tra 3X e 5X.

Read Full Post »

Pharming

Oggi ho scritto un documentino stringato per il nostro HelpDesk interno, al fine di facilitare la risoluzione di “casi curiosi” quando forniscono assistenza a clienti con problemi di qualche tipo.

Dato che non mi costa nulla (son notoriamente pigro), ho pensato di mettere qui parte del testo, nella speranza possa essere utile a qualcuno.

Si noti che, comunque, non è nulla di particolarmente nuovo…

  • Premessa numero 1: pharming

Il “pharming” è la pratica, da parte di malware, di “avvelenare” la risoluzione DNS dell’utente per dirigirlo in posti diversi da dove si aspetterebbe di andare. Ad esempio, se il malware scrive nel file hosts del client un indirizzo di suo gusto associato al sito di una banca, l’utente va sul sito scelto dall’attaccante anzichè su quello della banca. Questo permette scenari di phishing in cui l’utente non si accorge di nulla (o quasi), dato che crede di vedere il sito “vero“.
C’è una variante infida: anzichè avvelenare la risoluzione DNS locale, il malware si può limitare ad impostare il sistema operativo affinchè utilizzi un DNS di risoluzione sotto il controllo dell’attacante. In questo modo l’attaccante stesso può “smanacciare” le risoluzioni DNS in maniera centralizzata, operando sul suo DNS anzichè sulla macchina dell’utente.

E’ una lista di reti note per essere in pieno e diretto controllo di criminali informatici noti. Tipicamente, è su reti di questo tipo che risiedono i server DNS di cui al punto precedente.
DROP è pensata per essere utilizzata in nullrouting: vengono in tal modo inibite le comunicazioni tra la rete che applica DROP e le reti da essa listate. Se il nullrouting viene quindi eseguito dall’ISP, esso ha effetto su tutti i clienti dell’ISP stesso.

Quel che accade sommando le due cose è che se un utente “pharmato” ha un ISP che pratica tale nullrouting, il suo client non riesce a raggiungere il DNS usato per la risoluzione (ovvero quello dell’attaccante). Questo lo mette al riparo dall’essere oggetto delle truffe connesse al pharming (e da svariate altre spiacevoli cose) ma gli impedisce anche di navigare o di fare qualsiasi altra cosa richieda una risoluzione DNS.

Se quindi doveste incocciare in un PC con problemi che ha un DNS di risoluzione “fantasioso”, verificate se esso non sia in una rete DROPpata: se c’è, sapete cosa raccontare all’utente, che sarà (se è furbo) anche contento di aver avuto problemi di navigazione. Si noti tuttavia che è plausibile che vi sia o vi sia stato un evento di infezione che ha consentito la riscrittura del DNS di risoluzione e pertanto è assai opportuno un ciclo approfondito di “pulizia”…

Read Full Post »

Spazi vivi

Microsoft Live SpamI lettori affezionati di Security Fix, l’ottimo angolo dedicato al mondo della sicurezza informatica del Washington Post, certamente non si saranno persi questo articolo, che in realtà si limita a rendere noto al pubblico della rubrica quel che di fatto già si vede da tempo nelle traps: i servizi di Microsoft sono attualmente una delle risorse più pregiate a disposizione degli spammer, e Microsoft pare non essere granchè interessata ad occuparsene.

In breve, il discorso, è questo: i portali di Microsoft (spaces.live.com in primis) stanno venendo utilizzati oramai da svariati mesi da parte di bot che effettuano registrazione ottenendone spazio web utilizzabile; spazio sul quale viene poi depositato il contenuto desiderato dallo spammer.

Lo spam può quindi partire con contenuti sufficientemente minimali da non “far scattare” le usuali metriche di filtraggio sui contenuti, contenendo invece semplici link che puntino allo spazio web suddetto.

Se non ci sono gli estermi per poter filtrare la singola mail sulla base della sua semplice provenienza (ovvero: se la mail non ci sta ragiungendo in direct-to-MX), significa che ci sono pochi “appigli” sulla base dei quali poter basare un filtraggio, salvo il link stesso.

Come i più avvezzi sapranno, ci sono progetti che si occupano espressamente di mantenere DNSBL contenenti domini avvistati come target di link all’interno di spam. Tra questi, il più noto ed affidabile è certamente SURBL.

Il problema (o “il vantaggio”, per lo spammer) è il fatto che SURBL, per policy, non lista domini che non siano sotto il diretto ed univoco controllo da parte dello spammer, e che -soprattutto- limita il listing al secondo livello. Ovvero, nel caso in questione, SURBL pubblica informazioni relative al fatto che “live.com” sia o meno un dominio in uso a spammer, ma nulla dice relativamente agli eventuali (ed abbondanti) sotto-domini dello stesso. (Ci sono in realtà svariate ragioni per questa scelta di SURBL, ma troppo lunghe da esaminare qui…)

Poichè evidentemente “live.com” non è risorsa di spammer, non viene listato, e con ciò anche l’informazione più significativa presente nello spam ricevuto diviene tutto sommato inutile, a meno che non iniziate a popolare (visti i numeri in gioco, meglio se in automatico), una vostra lista dei sotto-domini utilizzati per il giochino, da utilizzare poi come parte del vostro rulset.

Qui, ad esempio, trovate quelli da me rilevati nel corso degli ultimi 30 giorni precedenti a questo post (circa), con al fianco data e ora in cui essi sono stati listati. Prima che vi prendiate la briga di contarli, sono 6270.

La cosa più interessante (e grave), tuttavia, non è il numero in sè, quanto il fatto che, se provate a visitarli (attenzione: declino qualsiasi responsabilità qualora vi siano malware downloader dentro, non li ho certo verificati uno per uno, quindi fate a vostro rischio e pericolo) vedrete che la stragrande maggioranza di essi è ancora attiva, con i propri contenuti bellamente disponibili: casinò, pilloline, un po’ di porno tanto per gradire, ecc.

Se considerate che tutto ciò avviene in casa dell’azienda che annunciava come avrebbe eliminato lo spam dalla faccia della terra entro il 2006, ci sarebbe da ridere, se non ci fosse da piangere…

Read Full Post »

A pesca

A pesca

Alcune settimane fa parecchi appartenenti alla “comunità antispam” hanno avuto modo di gioire a seguito della chiusura totale dei peering che fornivano connettività ad Atrivo/Intercage, base di svariate delle attività criminali più pervasive in rete, secondo la tracciatura di tali attività effettuata da Spamhaus.

A breve distanza da questo evento avviene, da parte di ICANN, la terminazione del ruolo di registrar per Estdomains. Estdomains è (o, oramai, è stato, si spera) registrar legato a filo doppio con Atrivo/Intercage e con le attività criminali che sulla rete di Atrivo avevano base, e riguardanti frodi, phishing, riciclaggio di denaro, distribuzione di malware ecc.

Apparentemente la sparizione di un registrar connivente ha aperto un buco nella rapida disponibilità di risorse dei criminali della rete: niente nuovi domini significa maggiore difficoltà di proseguire nella conduzione di strutture fast-flux. Cosicchè assistiamo, in queste ore, a due fenomeni correlati a ciò: da un lato, lo spostamento di svariate reti fast-flux che usualmente utilizzavano gTLD (registrati, appunto, per tramite di Estdomains) in direzione del ccTLD cinese (notoriamente molto “di manica larga” e quindi facilmente abusabile e abusato); dall’altro, l’inizio di fenomeni di phishing mirati ad appropriarsi delle altrui credenziali di accesso a registrar.

D’altra parte, se non puoi ottenere la registrazione di nuovi domini “con la tua faccia”, non vi è nulla di più immediato di farlo con la faccia di qualcun altro. Soprattutto se di mestiere fai altrettanto con i conti in banca.

Per ora, gli avvistamenti più masicci riguardano phishing in direzione di account Enom

http://www.enom.com.sys52.net
http://www.enom.com.sys82.net
http://www.enom.com.com94.net
http://www.enom.com.sys52.net
http://www.enom.com.com72.biz

…ma già qualche avvistamento si è avuto anche per altri registrar:

http://www.networksolutions.com.com21.asia

Quindi una nota ai naviganti: oltre alle false-mail dalla vostra banca, badate bene anche alle false mail dal vostro registrar…

Read Full Post »

« Newer Posts - Older Posts »

%d bloggers like this: