Como identifican los spammers sus blancos
http://www.vsantivirus.com/ws-13-10-06.htm
Por Wilson Salazar
fasalar@videosoft.net.uy
* Traducción de la investigación realizada por Brent Huston presidente y
CEO de MicroSolved Inc y que apareció publicada en ITworld.com el
17/08/2006.
Pregunte a cualquier usuario de Internet lo que más odia sobre estar en
línea, y usted oirá generalmente un grito sobre el spam. El spam es
considerado por muchos el látigo de Internet. Es ciertamente un problema
costoso, en tiempo y en dinero gastado por las organizaciones para
erradicarlo.
Personalmente, pasé algún tiempo durante las últimas semanas mirando el
spam y aprendiendo acerca de cómo se crea y cómo se separa. Encontré que
era un proceso muy interesante e ingenioso el que utilizan los supuestos
spammers para identificar blancos.
El spam se difunde principalmente de cuatro maneras:
La primera, es que los spammers obtengan temporalmente cuentas legales y
verdaderas. Esto no es muy común, porque la mayoría de los proveedores de
Internet rápidamente dan de baja estas cuentas. Hay algunos ISPs que
ignoran esto, pero fueron puestos en listas negras.
El segundo método usado para distribuir spam, es a través de equipos
servidores comprometidos, normalmente estaciones de trabajo o computadoras
domésticas con conexiones de alta velocidad como DSL o cable módem.
Esos sistemas son infectados y generalmente entran a formar parte de
grandes redes grandes de sistemas zombi (las botnets o redes robots). Los
propietarios de estas botnets, entonces las usan para enviar spam o para
alquilarlas a los spammers que las utilizan para enviar su correo no
deseado.
En mi investigación, el coste para enviar spam a través de estas redes era
muy barato, por lo general unos pocos dólares por cada diez mil
direcciones.
La tercer manera que el spam es difundido, es mediante la utilización de
formularios Web. Ésta es una vieja estrategia, pero continua siendo
factible.
Los spammers escanean Internet en busca de formularios Web vulnerables,
entonces los utilizan para enviar su spam. Esto ya no es tan utilizado como
antes, ya que las organizaciones han aprendido este truco y han endurecido
las protecciones de sus formularios.
Probé esto poniendo en línea un formulario vulnerable. Tomó cerca de 96
horas para que fuera encontrado y una vez que lo identificaron, los
spammers comenzaron a intentar abusar de él en el plazo de una hora.
Las tentativas continuaron hasta que lo quité. Esto sugiere que la
comunidad del spammer mantiene una base de datos o una lista de formularios
vulnerables. Parecen tener un nivel de coordinación y de comunicación.
El último y más común de los métodos que usan los spammers, es por vía de
servidores Open Relay (NOTA VSA: son aquellos servidores que permiten el
envío de correo sin autenticación del remitente ni de su dominio).
Utilizando HoneyPoint Security Server, una herramienta de administración
para honeypot que mi compañía lanzó recientemente (NOTA VSA: los "honeypot"
o "tarros de miel", son señuelos para cibercriminales), subí varios
sistemas falsos de correo y los expuse a Internet.
Varias cosas me sorprendieron. Primero, me sorprendió que tomó menos de una
hora para que el servidor de correo fuera identificado por spammers. Las
exploraciones continuas para los sistemas abiertos de correo están en curso
en la mayoría de los bloques de IP.
Los spammers son muy persistentes. Son también muy listos. Saben que la
gente utiliza sistemas falsos de correo para seguirlos, así que han
implementado la ejecución de chequeos sutiles en sus herramientas de
exploración para capturar los servidores falsos de correo.
Hacen esto usando comandos menos comunes de las RFC (NOTA VSA: RFC,
"Request For Comments", es el conjunto de notas técnicas y organizativas
donde se describen los estándares o recomendaciones de Internet), y
utilizando comandos en orden incorrecto para probar cómo responde el
sistema.
Al poner un honeypot de correo completamente incompatible con RFC en
ejecución, donde se podía identificar rápidamente el servidor como malo,
terminaron su actividad. Sin embargo, una vez desplegado un HoneyPoint
Security Server que cumplía con las normas RFC, rápidamente intentaron
adaptarlo para su uso.
De este proceso aprendí que hacían mucho más análisis del servidor que lo
que esperaba, antes de volcar su spam a la red. También aprendí que hacen
un acercamiento de múltiples pasos. Exploran el servidor para un
acatamiento apropiado a las normas RFC, y entonces envían un mensaje de
prueba a una dirección disponible.
Solamente después que éstas acciones son completadas, ellos adoptan la
herramienta para descargar su correo no solicitado. Son mucho más
cautelosos que lo que esperaba que fueran.
Espero que esto lo ayude a entender un poco más acerca del spam y cómo se
envía. Prevenir para que no se origine en sus sistemas, requiere la
evaluación de los parámetros que puedan comprometerlos, las botnets, y los
formularios y correos mal configurados.
Dado la coordinación y precaución que los spammers ahora utilizan para
realizar sus acciones, es muy poco probable que el problema pueda ser
solucionado en el corto tiempo.
Fuente:
How spammers identify their targets
http://security.itworld.com/4774/nl...index.html
(c) Video Soft -
http://www.videosoft.net.uy
(c) VSAntivirus -
http://www.vsantivirus.com
Copyright 1996-2006 Video Soft BBS
http://antitella.blogspot.com/ Jose Manuel Tella Llop
http://antitella.blogspot.com/ Jose Manuel Tella Llop
http://antitella.blogspot.com/ Jose Manuel Tella Llop
Leer las respuestas