Controlado desde el
19/10/97 por NedStat
|
Nace el Spam postal automático (por Ignacio M. Sbampato)
|
|
VSantivirus No. 1015, Año 7, Viernes 18 de abril de 2003
Nace el Spam postal automático (por Ignacio M. Sbampato)
http://www.vsantivirus.com/sbam-spampostal.htm
Por Ignacio M. Sbampato(*)
webmaster@virusattack.com.ar
En Noviembre del año pasado, Alan Ralsky, un conocido spammer estadounidense, brindó una entrevista en la que, entre otras cosas, comentaba la adquisición de su nuevo hogar, valuado en 740,000 dólares. Realizada por Mike Wendland, la entrevista, luego fue publicada en Slashdot.org, el más famoso de los weblogs.
La casa de Ralsky, de 8,000 pies cuadrados, es además la oficina del spammer, donde tiene un par de decenas de equipos informáticos dedicados día y noche a recoger direcciones de correo electrónico y enviar cientos de miles de mensajes basura. Aunque perdió una demanda frente a Verizon, Ralsky no cesa en sus actividades y sigue haciéndose rico a costa del Spam.
La actitud de "no me importa a quien molesto, sino ganar dinero" no cayó bien a varios de los lectores habituales de Slashdot.org, quienes se pusieron manos a la obra, y en Diciembre del 2002, vieron los frutos: la casa de Alan Ralsky comenzó a recibir cientos de catálogos y material impreso promocional.
¿Cómo lograron esto? De una manera sencilla, debido a que Internet es un lugar lleno de formularios deseosos de ser completados para que empresas de todo el mundo envíen información sobre sus productos y servicios a nuestras casas. Entonces, un usuario de Slashdot.org obtuvo la dirección postal de Ralsky, y otros visitantes del weblog completaron varios cientos de aplicaciones online para que el spammer recibiera algo de su propia medicina, ayudando al nacimiento del Spam postal.
Ralsky, de 57 años de edad, ignorando la ironía de la situación, se quejó públicamente de lo sucedido, diciendo que estaba siendo acosado y que buscaría la forma de demandar legalmente a los autores de lo que algunos llamaron "justicia divina".
Pero, el Spam postal no terminó allí. Ayer, Bruce Schneier, autor de libros sobre seguridad informática como "Applied Cryptography", y fundador y CTO de la empresa Counterpane Internet Security, publicó en su boletín mensual Crypto-Gram que investigadores de AT&T y de la Universidad Johns Hopkins, liberaron un informe sobre cómo automatizar este nuevo tipo de ataque basado en Internet, pero con implicaciones en el "mundo físico".
De acuerdo a Crypto-Gram, si buscamos en Google por la cadena "request catalog name address city state zip", obtendremos como resultado cerca de 250,000 hipervínculos que nos llevarán a formularios donde podremos ingresar nuestros datos personales y recibir un catalogo por correo postal. El informe publicado por Avi Rubin, Simon Byers, y David Kormann, explica como, automáticamente, seguir estos hipervínculos, analizar su resultado, y completar los formularios con los datos postales de quien queramos: una especie de ataque de denegación de servicios en el mundo real.
Además de analizar cómo es posible realizar el Spam postal de manera efectiva, el informe tiene en cuenta de qué forma podemos defendernos de él. Lamentablemente, el destinatario es quien menos puede hacer en ese aspecto, más allá de evitar que su dirección postal se haga pública, algo prácticamente imposible.
Incluso, existen factores que facilitarán este tipo de ataques, como las APIs de los buscadores más importantes, que permitirán que cualquiera pueda crear una aplicación que utilice como motor de búsqueda a Google, por ejemplo, y haga lo que quiera con los resultados que éste le brinde en un formato fácilmente interpretable y no en medio de una página web.
Entonces, volviendo a las posibles, y poco numerosas, maneras de prevenir estos ataques, nos encontramos con las siguientes propuestas:
Ofuscación del código HTML, o sea, que quienes desarrollan los formularios no asignen nombres claros a sus campos (como Direccion o Codigo_Postal) sino algo que no pueda ser interpretado por un autómata, como una cadena aleatoria de caracteres alfanuméricos.
Implementación de Tests de Turing en los formularios, como los que nos encontramos al querer suscribirnos en servicios como Yahoo! Mail o Hotmail, donde para poder completar el trámite de alta de una nueva cuenta de correo electrónico debemos escribir en un campo del formulario lo que vemos en una imagen generada por una aplicación de manera que no pueda ser interpretada por un programa automático. Estos Tests son utilizados para poder distinguir entre una persona y un autómata y evitar así que un programa de computadora complete la operatoria y dé de alta todas las direcciones de correo electrónico que desee.
Chequear que la persona realmente completó el formulario, enviándole un mensaje de confirmación de correo electrónico, lo cual tiene una implicancia negativa, basada en la posibilidad de que si un programa ha llenado 1,000 formularios con los datos de una persona, ésta reciba 1,000 mensajes de confirmación en su casilla de correo electrónico, lo cual es, claramente, contraproducente. Incluso, si esta medida de prevención se aplicara, en lugar de ir tras el Spam postal, un atacante podría aprovechar el mismo sistema de llenado automático de formularios para bombardear con correo basura la casilla de otro usuario sin siquiera tener que enviar cada mensaje él mismo.
Al menos, en el marco legal estadounidense, este tipo de ataque podría ser fuertemente castigado si quien lo realiza es descubierto, dado que cada envío particular podría ser considerado como una violación al código penal estadounidense, y por lo tanto, acarrearle sentencias consecutivas. Si el atacante no es lo suficientemente inteligente, podría terminar en prisión por varios años, lo que seguramente hará que muchos que actualmente estaban considerando la idea de enviarle Spam postal a alguna persona, no lo hagan.
El hecho de que cada vez haya mayor información personal en Internet ayuda a que este tipo de ataques, basados en la red pero con consecuencias físicas, puedan ser utilizados en forma sencilla y para molestar a casi cualquier persona, no sólo vengarse de los spammers. Los medios para prevenir esto, aunque escasos, existen, pero su implementación no es algo simple como hemos visto antes.
¿Será el Spam postal un verdadero dolor de cabeza para los usuarios de Internet, y quienes ni siquiera posean una computadora, en los próximos años? ¿Aparecerán nuevos ataques de este tipo cuyas consecuencias sean realmente dañinas y no sólo molestas? Lo que el futuro nos depara, si la seguridad no se convierte en la prioridad número uno de quienes utilizan Internet y brindan servicios a través de ella, puede ser algo bastante caótico, por más paranoico que parezca.
Más información en:
The Freep
Spam king lives large off others’ email address
http://www.freep.com/money/tech/mwend22_20021122.htm
The Freep
Internet spammer can’t take what he dishes out
http://www.freep.com/money/tech/mwend6_20021206.htm
Crypto-Gram
Automated Denial-of-Service Attack Using the U.S. Post Office
http://www.counterpane.com/crypto-gram-0304.html#1
Kriptópolis
Ataques automatizados vía postal (traducción del artículo de Crypto-Gram)
http://www.kriptopolis.com/more.php?id=58_0_1_0_M
VSAntivirus.com
Cómo vengarse de los SPAMMERS en el mundo real
http://www.vsantivirus.com/16-04-03b.htm
AviRubin.com
Defending Against an Internet-based Attack on the Physical World
http://www.avirubin.com/scripted.attacks.pdf
(*)Ignacio M. Sbampato es el WebMaster y Responsable de Contenidos de
Virus Attack! y es Redactor de Noticias relacionadas con virus informáticos y seguridad de DiarioRed.com
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|