Notificaciones de RBL.DNS-SERVICIOS.COM

Desde hace unos días, cuando una IP se añade a la lista negra rbl.dns-servicios.com, que actualmente tiene ya 5 millones de IPs listadas, se procede a enviar un mensaje de aviso sobre el incidente al contacto del WHOIS de la IP en cuestión para que pueda comprobar el estado de la máquina con dicha dirección. La notificación es algo como:

=======================

Dear abuse team,

You are receiving this e-mail because this account (abuse@xxx) is the whois contact of X.X.X.X.

X.X.X.X has been added to our blacklist, RBL.DNS-SERVICIOS.COM, because we’ve received
spam messages from it. You can read more about this on:

http://rbl.dns-servicios.com/

Please, review the status of the server or workstation with this IP to avoid sending spam.

You don’t need to answer this e-mail, it’s an automatic notification system.
If you want to remove X.X.X.X from our blacklist, go to:

http://rbl.dns-servicios.com/

Regards,


Postmaster – Hostalia/DNS-Servicios
postmaster@hostalia.com
http://postmaster.hostalia.com

=======================

Gracias a Net::Abuse::Utils, el script para sacar el contacto y hacer el envío es bastante sencillo.

Servicios parecidos pueden ser por ejemplo el que proporciona AOL, con su servicio de FBL o Microsoft con su Junk E-Mail Reporting Program, aunque ciertamente, más avanzados ;-)

Estadísticas de Srizbi

Ya hablaba en anteriores posts sobre Srizbi la botnet más grande existente y que mas spam genera.

Tras mi llegada del MAAWG en el que hubo una charla de IronPort sobre este tema, seguí en contacto con ellos con el fin de facilitarles unas estadísticas sobre las conexiones realizadas por dicho bot a nuestros servidores. A continuación, los resultados del día 23 de Junio (24 horas) tras el análisis de las conexiones y fingerprints de las máquinas que se conectaban a nuestros sistemas:

Sigue leyendo

Resumen MAAWG

La semana pasada volví del MAAWG tras varios días en Heidelberg(Alemania).

El congreso como tal dio mucho de sí y se hablaron de cosas muy interesantes. Estaban presentes todos los «grandes» del mundo de Internet y del correo electrónico, tales como Microsoft, AOL, AT&T, ComCast, Yahoo, SpamHaus, IronPort, Cisco, Symantec…etc y la agenda del evento estuvo repleta de charlas y conferencias. A continuación un mini-resumen de alguna de ellas.

Sigue leyendo

Messaging Anti-Abuse Working Group

Gracias a Vicente Martínez Gil y a CloudMark, la semana que viene (10-12 de Junio) asistiré al MAAWG («Messaging Anti-Abuse Working Group») un congreso del estilo del Foro Abuses pero a nivel internacional que se celebra en Heidelberg, Alemania. A dicho congreso asiste la elite mundial del correo electrónico para hablar y tratar de temas de abuso de dicho servicio, spam y todo lo que gira alrededor de esto; no hay más que ver el listado de miembros.

CloudMark es una empresa creada por Vipul Ved Prakash, creador a su vez de Razor, un programa de detección de spam en base a checksums de mensajes muy utilizado, sobre todo desde SpamAssassin. Uno de los servicios de pago de Cloudmark, es similar a dicho programa pero con muchas más funcionalidades y con la ventaja de que la base de datos de checksums de mensajes son bajados al servidor. La verdad, tras las pruebas realizadas, da muy buen resultado en detección de spam.

En cuanto al MAAWG, ciertamente, pinta muy bien; la agenda es privada pero puedo adelantar que existen diversas conferencias de gente de Sendmail, AOL, Comcast, SpamHaus, Ironport o Symantec. Las botnets y la reputación de IPs parecen que van a ser importantes puntos a tratar. A la vuelta podré contar más al respecto y todo lo que ha dado de sí.

Tschüss! ;-)

¿Google Open Relay?

Parece que hay rumores de que los servidores de correo de Google tienen una vulnerabilidad que podría permitir el envío de mensajes masivos desde éstos.

Por ahora parece que en el informe no hay demasiados detalles a la espera de una respuesta por parte de Google, pero según acaban de comentar en Bugtraq un integrante del equipo de INSERT:


Hi,

We are not talking about backscattering. Our attack uses Google’s MX servers like open SMTP relays.
Messages are delivered as sent, and not as a delivery failure notification.

We are still expecting to hear from Google, but we will be releasing more details about the issue
together with the PoC exploit shortly.

Sería interesante que Google desmintiese esta noticia si es falsa o si es verdad, anuncie la resolución de dicha vulnerabilidad.

Top Spam Botnets

Me encuentro con un interesante artículo de SecureWorks que hace referencia al «Top» de botnets más grandes y que más spam generan.

La primera de ellas es Srizbi, de la que ya hablé en este blog hace unos meses. Según dicho estudio, Srizbi (perteneciente a la RBN), dispone de unas 315.000 máquinas bajo su control; toda una plataforma para el envío de spam que generaría unos 60 billones de mensajes de spam al día. A destacar también que casi todas usan un sistema de control con cifrado, ya sea HTTP o mediante algún otro protocolo.

Ciertamente, las botnets son las mayores emisoras de spam a día de hoy. Para poder mitigar su impacto, sería interesante que los ISPs de conectividad, como está haciendo Telefónica desde hace tiempo, empiecen a cortar el tráfico SMTP de salida desde sus redes dinámicas y residenciales. Otros ISPs están pensando en aplicar medidas similares dado el excelente resultado que esta medida está dando. Esperemos que sea así pronto :)

VI Reunión del Foro ABUSES

Los días 22 y 23 de Abril en la UPC de Barcelona, se celebrará la sexta reunión del Foro Abuses.

Básicamente, el Foro ABUSES es un espacio para técnicos de Operadores (telcos o ISPs) que gestionan o están interesados en solucionar incidentes de seguridad y abusos en Internet. En estas reuniones del Foro ABUSES se pretende mejorar la confianza entre ISPs españoles a través de reuniones participativas que generen conclusiones y acciones. En pasadas reuniones por ejemplo, se acordó el impulso de SPF desde todos los ISPs; dicho acuerdo se vio reflejado cuando Hostalia implantó SPF en más de 25000 dominios hace unos meses. Se realizó una nota de prensa que tuvo repercusión en diversos medios.

La agenda de la reunión, es la siguiente:

Dia 22 (martes)

10.00-10.30 Bienvenida
10.30-14.00h Sesión1 (mañana): Presentaciones y debate sobre:

GSMA Launches Mobile Alliance Against Child Sexual Abuse: Telefónica España
Improving E-mail Deliverability into MSN Hotmail and Windows Live Mail. Microsoft España
Cert Caixa
Telefonica Empresas

16.00-18.00h Sesión2 (tarde): Intercambio de experiencias entre miembros del Foro

TusProfesionales
Hostalia
CCN-cert
esCERTupc
INTECO-cert
y mas…

Día 23 (miércoles)

10.00-11.30h Sesión3 (mañana): Asuntos internos Foro ABUSES

ListaBlanca: Overview Interface de gestión
Spamtraps
Politica postmaster
Resultados encuesta
Otros

12.00-13.00h Sesión 4 (mañana): Clasificación e intercambio de incidentes

Clasificación y protocolo de intercambio de incidentes entre miembros del Foro ABUSES

13.00-13.30h Sesión final: Conclusiones y próxima reunión

Interesante :-) Contaré los puntos que se puedan hacer públicos de esta sexta reunión.

Solicitudes en abuse

Al buzón de correo de abuse de todo ISP, suelen llegar bastantes quejas sobre los alojamientos, servidores, dominios…etc de los que dicho ISP es responsable. La mayoría de avisos suelen ser por mensajes de spam enviados de una determinada IP, quejas sobre ataques UDP o contra páginas web que tengan como origen algún servidor al que le hayan colado algún tipo de malware o por webs fraudulentas de phishing, que están alojadas sin el consentimiento del propietario de un dominio. De hecho, últimamente están llamando por teléfono bastante, por ejemplo desde la RSA, para informar telefónicamente de la existencia de una web de phishing en un determinado servidor y solicitar la inmediata suspensión del sitio web, para agilizar los trámites.

En todos estos casos, cuya naturaleza es clara, la política a seguir es:

1.- Contactar con el cliente
2.- Suspensión del sitio web
3.- Guardado de evidencias y eliminación de todo rastro
4.- Aplicar las medidas necesarias para que no se repita
5.- Habilitar de nuevo el alojamiento

Este tipo de quejas son, como decía, sobre situaciones de las que el cliente no tiene conocimiento y no es culpable directo de lo sucedido.

El problema reside en otro tipo de quejas o avisos que no son tan claros y que requieren una actuación más directa contra el cliente. Por ejemplo, una queja de un sitio web que pueda ser ofensivo contra una o varias personas, o que diga que contiene material con copyright y que está siendo usado sin permiso…etc. Ante este tipo de casos, lo que se hace es solicitar al emisor de la queja que ponga una denuncia en la comisaría de policía más cercana :) Solo se podrá actuar contra un cliente nuestro con una orden judicial de por medio, como ya nos ha sucedido alguna vez.

Todo esto viene a raíz de que hay mucha gente que piensa que por enviar a abuse una queja, ya automáticamente debemos de actuar. Esto no es así, y como decía, para realizar ciertas acciones contra un cliente con el cuál tenemos un contrato, hace falta una orden judicial.

Creo además que es la forma correcta de hacer las cosas, no hace falta recordar el polémico artículo 17bis que iba a permitir a las sociedades de gestión de derechos de autor cerrar páginas web sin orden judicial alguna y que finalmente, fue rechazado.