Feeds:
Posts
Comments

Posts Tagged ‘SURBL’

[MonoURL] Do URL shortener services generate “safe” URLs?

Posted in Spam & dintorni, tagged , on 11 May 2011| Leave a Comment »

http://securityskeptic.typepad.com/the-security-skeptic/2011/05/do-url-shortener-services-generate-safe-urls.html

Read Full Post »

Spamhaus amplia l’offerta: arriva DBL

Posted in Spam & dintorni, tagged , , , on 21 February 2010| 3 Comments »

Spamhaus sta per rilasciare una nuova DNSBL.Logo DBL

Questa volta l’attenzione si rivolge non più al listing di IP (come nel caso di SBL, XBL e PBL), ma al listing di domini, indirizzandosi ad una tipologia di utilizzo sovrapponibile alle oramai consolidate SURBL e URIBL. In altre parole, è pensata per il lookup dei domini linkati nelle email.

DBL verrà rilasciata ufficialmente il 1° marzo; poichè le specifiche di implementazione richiedono alcune variazioni al codice di lookup di SpamAssassin, gli utenti di quest’ultimo sono invitati ad attendere l’uscita delle release 3.3.1 di tale framework di filtraggio, che dovrebbe avvenire all’incirca negli stessi giorni e includere già il supporto a DBL.

In virtù della “amicizia” con Spamhaus , in realtà, nel momento in cui scrivo DBL sta già venendo utilizzata in produzione dai nostri sistemi da alcune settimane, ed è stata usata in testing (ovvero limitandoci a monitorarne il comportamento senza usarla in blocco) per alcuni mesi prima di ciò, utilizzandola in modo assolutamente analogo a SURBL per tramite di milter-link.

I risultati sono pregevoli,  se si considera la policy “Zero False Positive” che DBL si prefigge (finora confermata a pieno titolo dai dati), anche se in termini di hits al momento SURBL le è superiore (dalle mie rilevazioni, tutt’altro che scientifiche, al momento) di un fattore compreso tra 3X e 5X.

Read Full Post »

Carta Cinese

Posted in Spam & dintorni, tagged , , , , on 18 December 2009| Leave a Comment »

Qualche giorno fa, CNNIC (ovvero il registro che regola e gestisce il ccTLD .CN) ha deciso, apparentemente, che la quantità di rumenta presente nel proprio TLD era decisamente divenuta eccessiva, e ha deciso di porre rimedio.

Il modus è abbastanza banale: inizierà a richiedere che ogni registrazione di dominio sia accompagnata da “pezze” cartacee, che attestino l’identità di chi sta registrando il dominio, in assenza delle quali il dominio verrà cessato.

Che sul medio termine ciò si dimostri un valido deterrente è ancora tutto da dimostrare: la data-limite per poter produrre la documentazione cartacea è infatti 5 giorni dopo la data di registrazione, e per gran parte degli schemi di abuso più aggressivi che si basano sull’utilizzo massiccio di domini usa-e-getta (come fast-flux) 5 giorni sono abbondantemente sufficienti.

Nel breve termine, tuttavia, è in corso una fuga di massa da parte dei soliti ignoti, in direzione di altre risorse.

In particolare, molto sembra spostarsi in direzione di LiveJournal e il già abbondantemente abusato spaces.live.com di Microsoft.

Quest’ultimo sta infatti vedendo un incremento notevole dei domini di terzo livello utilizzati per ospitare spam, pur partendo da una base di abusi di tutto rispetto (i dati relativi alla giornata odierna sono aggiornati al momento in cui scrivo, e la giornata è tutt’altro che finita):

  • 20091214:    2129
  • 20091215:    2287
  • 20091216:    2837
  • 20091217:    3327
  • 20091218:    3734

Per quanto riguarda LiveJournal, la situazione è migliore nei numeri ma assai peggiore nel trend:

  • 20091214:    94
  • 20091215:    98
  • 20091216:    98
  • 20091217:    452
  • 20091218:    733

Quel che, personalmente, più mi infastidisce è il fatto che da parte di Microsoft sarebbe uno sforzo probabilmente risibile -rispetto alle attività che giornalmente svolgono- porre in atto meccanismi che siano in grado di contrastare questo stato di cose già all’atto della creazione degli account abusati.

Apparentemente, tuttavia, non vi è alcun interesse a farlo, considerando che oramai l’attuale stato di cose procede da oltre 12 mesi.

Parallelamente, noto anche un sostanziale incremento dei domini “leciti” crackati ed usati per appoggiarvi redirect verso siti di spammer.

Incremento, questo, plausibilmente dovuto al “successo” di Zeus, che, al pari dei suoi predecessori, provvede a rubare le credenziali di accesso memorizzate sui PC che infetta, fornendole solertemente alla gang che lo controlla, che poi le utilizzerà per eseguire accessi FTP non autorizzati con cui uploadare i contenuti di suo interesse sui siti delle vittime.

Read Full Post »

milter-link going commercial

Posted in Spam & dintorni, tagged , , , on 1 September 2009| Leave a Comment »

Milter-link, per chi non lo sapesse, è un milter sviluppato da Anthony Howe originariamente per sendmail ma che funziona senza problemi anche con postfix.

Permette di analizzare il body di un messaggio mentre lo si riceve, provvede ad estrarre le URL da esso linkate e eseguire il lookup di queste su DNSBL pensate per questo scopo (quali SURBL e URIBL), per poi eventualmente rigettare il messaggio qualora questo sia listato.

Ha anche una serie di possibilità aggiuntive, come il lookup degli A-record dell’URL su DNSBL di tipo “classico” (quelle che listano IP, per capirci) come SBL, o il lookup dei record A dei record NS del dominio in URL, ecc. il cui utilizzo richiede però un buon grado di comprensione di cosa si sta facendo e di come è opportuno farlo: sono funzionalità utilissime se mantenete le vostre DNSBL da usare in questo ruolo, ma in mani incaute sono potenzialmente disastrose.

Da pochi mesi, si è aggiunta una funzionalità richiesta da me medesimo per esigenze sperimentali, che consiste nella possibilità di estrarre da un messaggio anche gli eventuali indirizzi email presenti in header (From, Reply-To, Sender) e body (ad esempio link di tipo “mailto”) ed effettuare il lookup delle stesse (in realtà del loro hash MD5 in formato esadecimale) su apposite DNSBL mantenute allo scopo (non cercatene di pubbliche in giro, tanto per ora non ne trovate).

L’approccio si sta rivelando piuttosto efficace nel controllo di tipologie di spam di difficile trattamento con i “metodi classici” come i 419.

In virtù della quantità di features introdotte e della oramai piuttosto testata maturità ed efficacia del prodotto, Anthony ha oggi annunciato il passaggio di questo milter ad una licenza di tipo commerciale: 85€ per una “site license” (che in altre parole significa che pagate una licenza ma se poi avete 5 MTA in casa usate la stessa licenza per tutti).

Vista l’utilità dell’oggetto e il costo irrisorio, mi sento vivamente di sponsorizzarne l’adozione da parte di chi volesse aggiungere funzionalità di URL-scanning ai propri mailserver senza imbarcarsi nella sequela di bestemmie che può dare il tuning di SpamAssassin, soprattutto per quanto concerne le prestazioni in sistemi con flussi “corposi”.

Read Full Post »

Tiananmen, i muri e i Falsi Positivi

Posted in Informatica e reti, Spam & dintorni, tagged , on 3 June 2009| 3 Comments »

The Great (fire?)Wall

The Great (fire?)Wall

Oggi ci si è accorti che alcuni utenti di SURBL avevano nella cache dei propri resolver risoluzioni positive per domini quali youtube.com, flickr.com e altri. Per i meno tecnici, questo implica che, per i sistemi di costoro SURBL stava blacklistando tali domini come collegati ad azioni di spam. Cosa che, evidentemente, non era.

Inizialmente, si è pensato ad operazioni di cache-poisoning in corso, ma qualche indagine ulteriore ha portato in realtà a scoprire qualcosa d’altro. E, da alcuni punti di vista, ben peggiore.

Apparentemente, le risposte “sballate” erano state prelevate tutte dagli stessi mirror di SURBL, denominati f.surbl.org, k.surbl.org e l.surbl.org, rispettivamente con IP 202.106.182.243, 123.125.50.246 e 202.106.182.244.

La costante è che tutti e tre sono su connettività cinese, nello specifico sulla rete di ChinaUnicom (AS4808).

Quel che accade, apparentemente, è che le query DNS dirette a -per esempio- flickr.com.multi.surbl.org subiscono hijacking al pari di quelle dirette a flickr.com, ad opera del Great Firewall Cinese. In virtù di ciò, a tali query rispondono i “sistemi governativi” cinesi, fornendo dati fasulli:

twitter.com.multi.surbl.org has address 209.145.54.50
twitter.com.multi.surbl.org has address 216.234.179.13
twitter.com.multi.surbl.org has address 64.33.88.161

Poichè -per il funzionamento del meccanismo alla base delle DNSBL- una risposta positiva ad una interrogazione significa “listato” (mentre quelle negative significano il contrario), ciò ha l’effetto di far risultare blacklistati da SURBL i domini di Youtbe, Twitter, Flickr, etc a chi interroghi i succitati mirror.

Ciò accade solamente ora apparentemente come conseguenza del recente inasprimento dei filtraggi verso tali domini voluto dal Governo Cinese in prossimità della ricorrenza dei 20 anni dagli eventi di Piazza Tiananmen. Filtri che, oltre a bloccare i domini in questione, agiscono ora anche su risoluzioni DNS che contengano riferimenti agli stessi, al fine di inibire -o almeno di rendere più ardua- la possibilità di bypassare la censura.

Di conseguenza, SURBL ha al momento rimosso dalle proprie zone DNS i mirror geograficamente attestati in Cina, poichè non può più garantire alcuna affidabilità alle risposte da essi fornite.

Plausibilmente così resteranno le cose fino a quando anche la gestione dello spazio IP Cinese non cambierà radicalmente.

Alla luce, tuttavia, delle operazioni di censura in atto oramai da anni anche qui in Italia, non c’è da escludere che sia invece il resto del mondo (almeno per quanto concerne la nostra parte) ad adeguarsi al modus operandi cinese…

Read Full Post »

Older Posts »

%d bloggers like this: