Feeds:
Posts
Comments

Posts Tagged ‘SURBL’

http://securityskeptic.typepad.com/the-security-skeptic/2011/05/do-url-shortener-services-generate-safe-urls.html

Read Full Post »

Spamhaus sta per rilasciare una nuova DNSBL.Logo DBL

Questa volta l’attenzione si rivolge non più al listing di IP (come nel caso di SBL, XBL e PBL), ma al listing di domini, indirizzandosi ad una tipologia di utilizzo sovrapponibile alle oramai consolidate SURBL e URIBL. In altre parole, è pensata per il lookup dei domini linkati nelle email.

DBL verrà rilasciata ufficialmente il 1° marzo; poichè le specifiche di implementazione richiedono alcune variazioni al codice di lookup di SpamAssassin, gli utenti di quest’ultimo sono invitati ad attendere l’uscita delle release 3.3.1 di tale framework di filtraggio, che dovrebbe avvenire all’incirca negli stessi giorni e includere già il supporto a DBL.

In virtù della “amicizia” con Spamhaus , in realtà, nel momento in cui scrivo DBL sta già venendo utilizzata in produzione dai nostri sistemi da alcune settimane, ed è stata usata in testing (ovvero limitandoci a monitorarne il comportamento senza usarla in blocco) per alcuni mesi prima di ciò, utilizzandola in modo assolutamente analogo a SURBL per tramite di milter-link.

I risultati sono pregevoli,  se si considera la policy “Zero False Positive” che DBL si prefigge (finora confermata a pieno titolo dai dati), anche se in termini di hits al momento SURBL le è superiore (dalle mie rilevazioni, tutt’altro che scientifiche, al momento) di un fattore compreso tra 3X e 5X.

Read Full Post »

Qualche giorno fa, CNNIC (ovvero il registro che regola e gestisce il ccTLD .CN) ha deciso, apparentemente, che la quantità di rumenta presente nel proprio TLD era decisamente divenuta eccessiva, e ha deciso di porre rimedio.

Il modus è abbastanza banale: inizierà a richiedere che ogni registrazione di dominio sia accompagnata da “pezze” cartacee, che attestino l’identità di chi sta registrando il dominio, in assenza delle quali il dominio verrà cessato.

Che sul medio termine ciò si dimostri un valido deterrente è ancora tutto da dimostrare: la data-limite per poter produrre la documentazione cartacea è infatti 5 giorni dopo la data di registrazione, e per gran parte degli schemi di abuso più aggressivi che si basano sull’utilizzo massiccio di domini usa-e-getta (come fast-flux) 5 giorni sono abbondantemente sufficienti.

Nel breve termine, tuttavia, è in corso una fuga di massa da parte dei soliti ignoti, in direzione di altre risorse.

In particolare, molto sembra spostarsi in direzione di LiveJournal e il già abbondantemente abusato spaces.live.com di Microsoft.

Quest’ultimo sta infatti vedendo un incremento notevole dei domini di terzo livello utilizzati per ospitare spam, pur partendo da una base di abusi di tutto rispetto (i dati relativi alla giornata odierna sono aggiornati al momento in cui scrivo, e la giornata è tutt’altro che finita):

  • 20091214:    2129
  • 20091215:    2287
  • 20091216:    2837
  • 20091217:    3327
  • 20091218:    3734

Per quanto riguarda LiveJournal, la situazione è migliore nei numeri ma assai peggiore nel trend:

  • 20091214:    94
  • 20091215:    98
  • 20091216:    98
  • 20091217:    452
  • 20091218:    733

Quel che, personalmente, più mi infastidisce è il fatto che da parte di Microsoft sarebbe uno sforzo probabilmente risibile -rispetto alle attività che giornalmente svolgono- porre in atto meccanismi che siano in grado di contrastare questo stato di cose già all’atto della creazione degli account abusati.

Apparentemente, tuttavia, non vi è alcun interesse a farlo, considerando che oramai l’attuale stato di cose procede da oltre 12 mesi.

Parallelamente, noto anche un sostanziale incremento dei domini “leciti” crackati ed usati per appoggiarvi redirect verso siti di spammer.

Incremento, questo, plausibilmente dovuto al “successo” di Zeus, che, al pari dei suoi predecessori, provvede a rubare le credenziali di accesso memorizzate sui PC che infetta, fornendole solertemente alla gang che lo controlla, che poi le utilizzerà per eseguire accessi FTP non autorizzati con cui uploadare i contenuti di suo interesse sui siti delle vittime.

Read Full Post »

Milter-link, per chi non lo sapesse, è un milter sviluppato da Anthony Howe originariamente per sendmail ma che funziona senza problemi anche con postfix.

Permette di analizzare il body di un messaggio mentre lo si riceve, provvede ad estrarre le URL da esso linkate e eseguire il lookup di queste su DNSBL pensate per questo scopo (quali SURBL e URIBL), per poi eventualmente rigettare il messaggio qualora questo sia listato.

Ha anche una serie di possibilità aggiuntive, come il lookup degli A-record dell’URL su DNSBL di tipo “classico” (quelle che listano IP, per capirci) come SBL, o il lookup dei record A dei record NS del dominio in URL, ecc. il cui utilizzo richiede però un buon grado di comprensione di cosa si sta facendo e di come è opportuno farlo: sono funzionalità utilissime se mantenete le vostre DNSBL da usare in questo ruolo, ma in mani incaute sono potenzialmente disastrose.

Da pochi mesi, si è aggiunta una funzionalità richiesta da me medesimo per esigenze sperimentali, che consiste nella possibilità di estrarre da un messaggio anche gli eventuali indirizzi email presenti in header (From, Reply-To, Sender) e body (ad esempio link di tipo “mailto”) ed effettuare il lookup delle stesse (in realtà del loro hash MD5 in formato esadecimale) su apposite DNSBL mantenute allo scopo (non cercatene di pubbliche in giro, tanto per ora non ne trovate).

L’approccio si sta rivelando piuttosto efficace nel controllo di tipologie di spam di difficile trattamento con i “metodi classici” come i 419.

In virtù della quantità di features introdotte e della oramai piuttosto testata maturità ed efficacia del prodotto, Anthony ha oggi annunciato il passaggio di questo milter ad una licenza di tipo commerciale: 85€ per una “site license” (che in altre parole significa che pagate una licenza ma se poi avete 5 MTA in casa usate la stessa licenza per tutti).

Vista l’utilità dell’oggetto e il costo irrisorio, mi sento vivamente di sponsorizzarne l’adozione da parte di chi volesse aggiungere funzionalità di URL-scanning ai propri mailserver senza imbarcarsi nella sequela di bestemmie che può dare il tuning di SpamAssassin, soprattutto per quanto concerne le prestazioni in sistemi con flussi “corposi”.

Read Full Post »

The Great (fire?)Wall

The Great (fire?)Wall

Oggi ci si è accorti che alcuni utenti di SURBL avevano nella cache dei propri resolver risoluzioni positive per domini quali youtube.com, flickr.com e altri. Per i meno tecnici, questo implica che, per i sistemi di costoro SURBL stava blacklistando tali domini come collegati ad azioni di spam. Cosa che, evidentemente, non era.

Inizialmente, si è pensato ad operazioni di cache-poisoning in corso, ma qualche indagine ulteriore ha portato in realtà a scoprire qualcosa d’altro. E, da alcuni punti di vista, ben peggiore.

Apparentemente, le risposte “sballate” erano state prelevate tutte dagli stessi mirror di SURBL, denominati f.surbl.org, k.surbl.org e l.surbl.org, rispettivamente con IP 202.106.182.243, 123.125.50.246 e 202.106.182.244.

La costante è che tutti e tre sono su connettività cinese, nello specifico sulla rete di ChinaUnicom (AS4808).

Quel che accade, apparentemente, è che le query DNS dirette a -per esempio- flickr.com.multi.surbl.org subiscono hijacking al pari di quelle dirette a flickr.com, ad opera del Great Firewall Cinese. In virtù di ciò, a tali query rispondono i “sistemi governativi” cinesi, fornendo dati fasulli:

twitter.com.multi.surbl.org has address 209.145.54.50
twitter.com.multi.surbl.org has address 216.234.179.13
twitter.com.multi.surbl.org has address 64.33.88.161

Poichè -per il funzionamento del meccanismo alla base delle DNSBL- una risposta positiva ad una interrogazione significa “listato” (mentre quelle negative significano il contrario), ciò ha l’effetto di far risultare blacklistati da SURBL i domini di Youtbe, Twitter, Flickr, etc a chi interroghi i succitati mirror.

Ciò accade solamente ora apparentemente come conseguenza del recente inasprimento dei filtraggi verso tali domini voluto dal Governo Cinese in prossimità della ricorrenza dei 20 anni dagli eventi di Piazza Tiananmen. Filtri che, oltre a bloccare i domini in questione, agiscono ora anche su risoluzioni DNS che contengano riferimenti agli stessi, al fine di inibire -o almeno di rendere più ardua- la possibilità di bypassare la censura.

Di conseguenza, SURBL ha al momento rimosso dalle proprie zone DNS i mirror geograficamente attestati in Cina, poichè non può più garantire alcuna affidabilità alle risposte da essi fornite.

Plausibilmente così resteranno le cose fino a quando anche la gestione dello spazio IP Cinese non cambierà radicalmente.

Alla luce, tuttavia, delle operazioni di censura in atto oramai da anni anche qui in Italia, non c’è da escludere che sia invece il resto del mondo (almeno per quanto concerne la nostra parte) ad adeguarsi al modus operandi cinese…

Read Full Post »

Spazi vivi

Microsoft Live SpamI lettori affezionati di Security Fix, l’ottimo angolo dedicato al mondo della sicurezza informatica del Washington Post, certamente non si saranno persi questo articolo, che in realtà si limita a rendere noto al pubblico della rubrica quel che di fatto già si vede da tempo nelle traps: i servizi di Microsoft sono attualmente una delle risorse più pregiate a disposizione degli spammer, e Microsoft pare non essere granchè interessata ad occuparsene.

In breve, il discorso, è questo: i portali di Microsoft (spaces.live.com in primis) stanno venendo utilizzati oramai da svariati mesi da parte di bot che effettuano registrazione ottenendone spazio web utilizzabile; spazio sul quale viene poi depositato il contenuto desiderato dallo spammer.

Lo spam può quindi partire con contenuti sufficientemente minimali da non “far scattare” le usuali metriche di filtraggio sui contenuti, contenendo invece semplici link che puntino allo spazio web suddetto.

Se non ci sono gli estermi per poter filtrare la singola mail sulla base della sua semplice provenienza (ovvero: se la mail non ci sta ragiungendo in direct-to-MX), significa che ci sono pochi “appigli” sulla base dei quali poter basare un filtraggio, salvo il link stesso.

Come i più avvezzi sapranno, ci sono progetti che si occupano espressamente di mantenere DNSBL contenenti domini avvistati come target di link all’interno di spam. Tra questi, il più noto ed affidabile è certamente SURBL.

Il problema (o “il vantaggio”, per lo spammer) è il fatto che SURBL, per policy, non lista domini che non siano sotto il diretto ed univoco controllo da parte dello spammer, e che -soprattutto- limita il listing al secondo livello. Ovvero, nel caso in questione, SURBL pubblica informazioni relative al fatto che “live.com” sia o meno un dominio in uso a spammer, ma nulla dice relativamente agli eventuali (ed abbondanti) sotto-domini dello stesso. (Ci sono in realtà svariate ragioni per questa scelta di SURBL, ma troppo lunghe da esaminare qui…)

Poichè evidentemente “live.com” non è risorsa di spammer, non viene listato, e con ciò anche l’informazione più significativa presente nello spam ricevuto diviene tutto sommato inutile, a meno che non iniziate a popolare (visti i numeri in gioco, meglio se in automatico), una vostra lista dei sotto-domini utilizzati per il giochino, da utilizzare poi come parte del vostro rulset.

Qui, ad esempio, trovate quelli da me rilevati nel corso degli ultimi 30 giorni precedenti a questo post (circa), con al fianco data e ora in cui essi sono stati listati. Prima che vi prendiate la briga di contarli, sono 6270.

La cosa più interessante (e grave), tuttavia, non è il numero in sè, quanto il fatto che, se provate a visitarli (attenzione: declino qualsiasi responsabilità qualora vi siano malware downloader dentro, non li ho certo verificati uno per uno, quindi fate a vostro rischio e pericolo) vedrete che la stragrande maggioranza di essi è ancora attiva, con i propri contenuti bellamente disponibili: casinò, pilloline, un po’ di porno tanto per gradire, ecc.

Se considerate che tutto ciò avviene in casa dell’azienda che annunciava come avrebbe eliminato lo spam dalla faccia della terra entro il 2006, ci sarebbe da ridere, se non ci fosse da piangere…

Read Full Post »

%d bloggers like this: