ORDB devuelve falsos positivos a todas las consultas

Posted on 28 marzo, 2008 por Alvaro Marín Illera

El 31 de Diciembre del 2006, ORDB, una de las listas negras más conocidas hasta el momento y con buena reputación, cerraba para siempre. El cambio de técnicas usadas por los spammers para el envío de su email basura, hizo que los open relays ya casi no fueran utilizados, por lo que ORDB ya no tenía mucho que listar.

Desde hace unos días, ORDB, responde como positivo las consultas que se le hacen para cualquier IP, por ejemplo:

$ dig 4.64.194.82.relays.ordb.org +short
127.0.0.2

$ dig 152.175.55.65.relays.ordb.org +short
127.0.0.2

$ dig 240.246.14.72.relays.ordb.org +short
127.0.0.2

Los servidores de Hostalia, Hotmail y Google, serían calificados como «emisores de spam». Supongo que esta medida la habrán tomado para que los postmasters descuidados espabilen un poco :)

Un cliente nos comunicaba que estaba teniendo problemas para enviar correos a un servidor. El mensaje devuelto era relativo a ORDB, algo que nos extrañó bastante y que nos llevó al origen del problema.

Así, que ya sabéis, si no lo habíais hecho ya, quitad ORDB de todos vuestros chequeos antispam (incluido el SpamAssassin!) para evitaros problemas. Los que tengan appliances que sean una caja negra…lo tendrán más difícil :-/

Plesk, promesas incumplidas

Posted on 6 marzo, 2008 por Alvaro Marín Illera

Pues a pesar de lo que comentaba el otro día sobre la nueva versión de Plesk ( versión 8.3 ) y su soporte para el puerto 587 (esto sí que está implementado), el otro punto que comentaba era que «parece» que se había parcheado su Qmail para que declarase la variable de entorno SMTPAUTHUSER, que según su soporte iba a ser realizado para esta versión.

Estos días, tras hacer unas nuevas pruebas para crear un plugin para qmail, veo que no es así. Vuelta a escribir al soporte de Plesk y esta vez su respuesta es:

Qmail in Plesk in compiled with qmail-spp patch, but it still does not set
SMTPAUTHUSER and SMTPAUTHMETHOD variables according to http://qmail-spp.sourceforge.net/doc/
This feature is having the critical status and will be implemented in Plesk version 8.4.

Sí, ya sé que el qmail de Plesk está compilado con el parche para SPP…de eso no tengo dudas, de lo que realmente sí tengo dudas es de si en la versión 8.4 se implementará o seguirán dando largas :(

Cosas que se pueden hacer en el Exim de CPanel con una simple ACL en su exim.conf, en el qmail de Plesk, ni programándote un plugin para hacerlo…:-/

Caen los «captcha»s de Yahoo, MSN y Gmail

Posted on 27 febrero, 2008 por Alvaro Marín Illera

Responder

El mes pasado, nos enterábamos de que el captcha de Yahoo había sido «roto» según un grupo de investigación ruso que facilitaba incluso el software que lo «rompe». Desgraciadamente, no se puede ver el código fuente :( :

split@debian:/tmp/CaptchaServ$ ls -l
total 240372
-rw-r--r-- 1 split split   4627277 ago  6  2007 3005
-rw-r--r-- 1 split split 239860412 ago  3  2007 34997
-rw-r--r-- 1 split split      4008 ene 16 14:40 CaptchaServ.cpp
-rw-r--r-- 1 split split       911 dic 15 15:18 CaptchaServ.sln
-rw-r--r-- 1 split split      8704 ene 16 13:26 CaptchaServ.suo
-rw-r--r-- 1 split split      3616 ene 16 13:30 CaptchaServ.vcproj
-rw-r--r-- 1 split split      2270 ene 16 14:54 Capthca.jpg
-rw-r--r-- 1 split split   1232223 ago  6  2007 segmentation_yahoo.ctf
-rw-r--r-- 1 split split     36864 ago  6  2007 segmentation_yahoo.dll
-rw-r--r-- 1 split split     81920 ene 16 01:42 yahoo_m.dll
-rw-r--r-- 1 split split       294 ene 16 13:37 yahoo_m.h
-rw-r--r-- 1 split split      2240 ene 16 00:42 yahoo_m.lib

Roto el captcha de Yahoo, que comentaban que era el más fuerte o difícil de romper, hace poco caía también el de Windows Live y hace unos pocos días, se rompía también el de Gmail. Todo ello, por segunda vez, ya que durante Julio del 2007 se crearon más de 500.000 cuentas en estos servicios para el envío de spam.

El proceso se puede ver en el estudio hecho por WebSense para el caso de Hotmail y para el caso de Gmail en el que se muestran capturas de tráfico de red de bots que realizan la operación. En el caso de Gmail de hecho, el bot envía la información de la imagen a un host en concreto para que realice el «crackeo» de la imagen y devuelva el resultado al bot para que proceda a crear las cuentas.

La creación de este tipo de cuentas es bastante peligroso debido principalmente a que Yahoo, Hotmail y Gmail no son normalmente filtrados ni por listas negras ni por otros análisis antispam, así que ya se pueden poner las pilas :)

Europa ¿“el nuevo rey del spam»?

Posted on 16 febrero, 2008 por Alvaro Marín Illera

Responder

Salía el otro día un informe de Symantec sobre estadísticas de spam. Se ha dado bastante bombo a que Europa se había convertido en el nuevo «rey» del spam, sobrepasando por primera vez a los EE.UU., según dicho informe.

Viendo las más de dos millones de IPs que ya hay en nuestra lista negra, y haciendo una estadística, se ven los siguientes resultados:

1.- Russian Federation 9.61%
2.- United States 8.85%
3.- Turkey 7.42%
4.- Thailand 6.35%
5.- Germany 5.85%
6.- China 5.6%
7.- Brazil 3.81%
8.- India 2.8%
9.- United Kingdom 2.58%
10.- Spain 2.56%
11.- France 2.52%
12.- Korea, Republic of 2.24%
13.- Mexico 2.19%
14.- Italy 1.88%
15.- Peru 1.4%
16.- Argentina 1.27%
17.- Ukraine 1.16%
18.- Israel 1.11%
19.- Colombia 1.08%
20.- Japan 1.06%

efectivamente, entre Rusia, Alemania, UK, España, Francia e Italia, suman un 25%. Pero esto ya se veía hace meses, en las estadísticas de Noviembre del 2007, y de hecho, Rusia lleva ya bastante tiempo siendo uno de los mayores generadores de spam del mundo así que esta situación creo que se da desde hace mucho…claro que si lo dice Symantec en un informe con gráficas chulas, pues parece que se para el mundo :-)

Resaltar también sudamérica, que con Brasil, Argentina, Colombia y Perú tampoco se queda atrás…habrá que ver cómo evoluciona este ranking.

TrendMicro denuncia a Barracuda por infringir la patente US 5623600

Posted on 29 enero, 2008 por Alvaro Marín Illera

Responder

Se puede leer en varios sitios ( SlashDot o Linux.com ) que TrenMicro ha denunciado a Barracuda por infringir la patente US 5623600, que dice:

A system for detecting and eliminating viruses on a computer network includes a File Transfer Protocol (FTP) proxy server, for controlling the transfer of files and a Simple Mail Transfer Protocol (SMTP) proxy server for controlling the transfer of mail messages through the system

Barracuda, que usa ClamAV para la detección y el borrado de virus de los mensajes de correo que gestiona, se defiende haciendo referencia al «arte previo» existente. Otras empresas, como McAfee , Symantec o Panda Software también han tenido o tienen litigios con TrendMicro.

Además, esta denuncia se ha tomado como un ataque a todo el mundo del Software Libre en general, aunque desde TrendMicro dicen que no tienen nada contra otras compañías que usen ClamAV (solo faltaba…). No obstante, parece que ha habido contactos entre Barracuda, Richard Stallman y la FSF para comentar lo sucedido.

Ciertamente triste, tanto las patentes en el software como la actitud de TrendMicro :-(

Postfix 2.5.0 stable release available

Posted on 25 enero, 2008 por Alvaro Marín Illera

Wietse Venema anunciaba hoy a la madrugada la release de una nueva versión estable de Postfix, 2.5.0. Las mejoras principales son:

– TLS (SSL) support was streamlined further, and provides a new
security level based on certificate fingerprints instead of CA
signatures. See TLS_README for details.

– Milter support was updated from the Sendmail 8.13 feature set and
now includes most of the features that were introduced with
Sendmail 8.14. See MILTER_README for details.

– Stress-adaptive configuration was introduced. This allows the
Postfix SMTP server to temporarily adjust its rules under conditions
of overload, such as a malware attack or backscatter flood. See
STRESS_README for details.

– The queue manager scheduler was refined. It now provides per-transport
scheduling controls and allows for adjustment of the sensitivity
to mail delivery (non-)errors. See SCHEDULER_README.

– Security was improved by introducing a Postfix-owned data_directory
for storage of randomness, caches and other non-queue data. This
change avoids future security loopholes due to untrusted data
sitting in root-owned files or in root-owned directories. Writes
to legacy files in root-owned directories are automatically
redirected to files in the new data_directory.

Interesante sobre todo el tema de «stress» :-)
Para una descripción más detallada de los cambios: RELEASE_NOTES.

Hostalia: 25000 dominios con SPF

Posted on 9 enero, 2008 por Alvaro Marín Illera

Después de un mes de arduo trabajo, previa información a nuestros clientes, contestando las dudas y cuestiones de éstos, personalizando registros para gente que tiene el servicio de correo externalizado…etc, por fin se ha activado SPF para 25000 dominios alojados en Hostalia.

Esto servirá como medida de protección, en parte, contra la falsificación de envíos de correo electrónico por personas ajenas que se hacen pasar como remitentes de estos dominios. También para frenar los mensajes de rebote de servidores de correo que han recibido mensajes falsificados.

Esperemos también que esto dé un pequeño empujón para que más empresas y organizaciones se lancen a publicar sus registros SPF :-)

Plesk 8.3 – Submission port support

Posted on 26 diciembre, 2007 por Alvaro Marín Illera

Recién salida la versión 8.3 de Plesk. Odio Plesk en general y su Qmail en particular, pero la feature que han incorporado en esta versión les da un minipunto :-)
El 26 de Abril de este año, abría una incidencia en su centro de soporte sobre el puerto de Submission (RFC 2476), el puerto TCP:587 utilizado para el envío de correo autenticado en vez de usar el 25 de siempre.

Sigue leyendo →

RBN: Russian Business Network

Posted on 21 diciembre, 2007 por Alvaro Marín Illera

El otro día comentaba un artículo sobre las interioridades de una Botnet. Bien, si aquél artículo era interesante este (publicado el 20 de Noviembre) lo es el doble :-) A continuación hago un pequeño resumen.

Sigue leyendo →

Dentro de una botnet

Posted on 9 diciembre, 2007 por Alvaro Marín Illera

SecureWorks, una empresa dedicada a servicios de seguridad, nos ofrecía un artículo sobre una investigación realizada a una botnet que se dedicó del 27 al 30 de Octubre de este año a mandar spam sobre el político estadounidense Ron Paul.

Buscando patrones coincidentes en los mensajes recibidos (cabeceras concretas y sus valores), se sacaron algunas de las IPs de esta red de bots y con la colaboración de los ISPs que los alojaban involuntariamente, se consiguió saber que Trojan.Srizbi era el nombre del malware instalado en los ordenadores de los que provenía el spam. Éste había sido introducido en ellos por medio del kit de exploits mediante web llamado n404.

Posteriormente y según comenta el documento, con la ayuda de SpamHaus, se consiguió el software de control de esta red de bots, un programa escrito en Python llamado «Reactor Mailer» mediante el cuál, con una interfaz web, se pueden realizar todas las tareas típicas del spammer. Recargando dicho software, se pudo ver cómo había tareas guardadas relacionadas con el envío de los mensajes de Ron Paul, con una lista de 162,211,647 direcciones emails asociadas. Una persona apodada como «nenastnyj» fue quien realizó el envío a través de dicho programa y por medio de unos 3000 ordenadores infectados.

Para más información, recomiendo leer dicho artículo ya que ofrece un punto de vista hasta ahora desconocido de este tipo de «redes».

www.alvaromarin.com

Blog sobre spam, sistemas antispam y correo electrónico

Archivo del Autor: Alvaro Marín Illera

ORDB devuelve falsos positivos a todas las consultas

Plesk, promesas incumplidas

Caen los «captcha»s de Yahoo, MSN y Gmail

Europa ¿“el nuevo rey del spam»?

TrendMicro denuncia a Barracuda por infringir la patente US 5623600

Postfix 2.5.0 stable release available

Hostalia: 25000 dominios con SPF

Plesk 8.3 – Submission port support

RBN: Russian Business Network

Dentro de una botnet