|
Como identifican los spammers sus blancos
|
|
VSantivirus No 2268 Año 10, viernes 13 de octubre de 2006
Como identifican los spammers sus blancos
http://www.vsantivirus.com/ws-13-10-06.htm
Por Wilson Salazar
fasalar@videosoft.net.uy
* Traducción de la investigación realizada por Brent Huston presidente y CEO de MicroSolved Inc y que apareció publicada en ITworld.com el 17/08/2006.
Pregunte a cualquier usuario de Internet lo que más odia sobre estar en línea, y usted oirá generalmente un grito sobre el spam. El spam es considerado por muchos el látigo de Internet. Es ciertamente un problema costoso, en tiempo y en dinero gastado por las organizaciones para erradicarlo.
Personalmente, pasé algún tiempo durante las últimas semanas mirando el spam y aprendiendo acerca de cómo se crea y cómo se separa. Encontré que era un proceso muy interesante e ingenioso el que utilizan los supuestos spammers para identificar blancos.
El spam se difunde principalmente de cuatro maneras:
La primera, es que los spammers obtengan temporalmente cuentas legales y verdaderas. Esto no es muy común, porque la mayoría de los proveedores de Internet rápidamente dan de baja estas cuentas. Hay algunos ISPs que ignoran esto, pero fueron puestos en listas negras.
El segundo método usado para distribuir spam, es a través de equipos servidores comprometidos, normalmente estaciones de trabajo o computadoras domésticas con conexiones de alta velocidad como DSL o cable módem.
Esos sistemas son infectados y generalmente entran a formar parte de grandes redes grandes de sistemas zombi (las botnets o redes robots). Los propietarios de estas botnets, entonces las usan para enviar spam o para alquilarlas a los spammers que las utilizan para enviar su correo no deseado.
En mi investigación, el coste para enviar spam a través de estas redes era muy barato, por lo general unos pocos dólares por cada diez mil direcciones.
La tercer manera que el spam es difundido, es mediante la utilización de formularios Web. Ésta es una vieja estrategia, pero continua siendo factible.
Los spammers escanean Internet en busca de formularios Web vulnerables, entonces los utilizan para enviar su spam. Esto ya no es tan utilizado como antes, ya que las organizaciones han aprendido este truco y han endurecido las protecciones de sus formularios.
Probé esto poniendo en línea un formulario vulnerable. Tomó cerca de 96 horas para que fuera encontrado y una vez que lo identificaron, los spammers comenzaron a intentar abusar de él en el plazo de una hora.
Las tentativas continuaron hasta que lo quité. Esto sugiere que la comunidad del spammer mantiene una base de datos o una lista de formularios vulnerables. Parecen tener un nivel de coordinación y de comunicación.
El último y más común de los métodos que usan los spammers, es por vía de servidores Open Relay (NOTA VSA: son aquellos servidores que permiten el envío de correo sin autenticación del remitente ni de su dominio).
Utilizando HoneyPoint Security Server, una herramienta de administración para honeypot que mi compañía lanzó recientemente (NOTA VSA: los "honeypot" o "tarros de miel", son señuelos para cibercriminales), subí varios sistemas falsos de correo y los expuse a Internet.
Varias cosas me sorprendieron. Primero, me sorprendió que tomó menos de una hora para que el servidor de correo fuera identificado por spammers. Las exploraciones continuas para los sistemas abiertos de correo están en curso en la mayoría de los bloques de IP.
Los spammers son muy persistentes. Son también muy listos. Saben que la gente utiliza sistemas falsos de correo para seguirlos, así que han implementado la ejecución de chequeos sutiles en sus herramientas de exploración para capturar los servidores falsos de correo.
Hacen esto usando comandos menos comunes de las RFC (NOTA VSA: RFC, "Request For Comments", es el conjunto de notas técnicas y organizativas donde se describen los estándares o recomendaciones de Internet), y utilizando comandos en orden incorrecto para probar cómo responde el sistema.
Al poner un honeypot de correo completamente incompatible con RFC en ejecución, donde se podía identificar rápidamente el servidor como malo, terminaron su actividad. Sin embargo, una vez desplegado un HoneyPoint Security Server que cumplía con las normas RFC, rápidamente intentaron adaptarlo para su uso.
De este proceso aprendí que hacían mucho más análisis del servidor que lo que esperaba, antes de volcar su spam a la red. También aprendí que hacen un acercamiento de múltiples pasos. Exploran el servidor para un acatamiento apropiado a las normas RFC, y entonces envían un mensaje de prueba a una dirección disponible.
Solamente después que éstas acciones son completadas, ellos adoptan la herramienta para descargar su correo no solicitado. Son mucho más cautelosos que lo que esperaba que fueran.
Espero que esto lo ayude a entender un poco más acerca del spam y cómo se envía. Prevenir para que no se origine en sus sistemas, requiere la evaluación de los parámetros que puedan comprometerlos, las botnets, y los formularios y correos mal configurados.
Dado la coordinación y precaución que los spammers ahora utilizan para realizar sus acciones, es muy poco probable que el problema pueda ser solucionado en el corto tiempo.
Fuente:
How spammers identify their targets
http://security.itworld.com/4774/nls_security_spam060817/pfindex.html
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|