View
2.233
Download
0
Category
Tags:
Preview:
DESCRIPTION
TEORÍA DEL SPAM PARA EL CURSO VIRTUAL DE SEGURIDAD INFORMÁTICA
Citation preview
SPAM
¿Preocuparse u ocuparse?Oscar Eduardo Ospina
Menú
Preguntas y más preguntasEl Problema EconómicoAspectos Legales Algunos Consejos Técnicas de SpamEl Futuro
Agenda
Preguntas y más preguntasEl Problema EconómicoAspectos Legales Algunos Consejos Técnicas de SpamEl Futuro
Preguntas y más preguntas
¿Qué es?¿Es algo malo?
¿Por qué lo hacen?
¿Qué es el Spam?
Correo enviado no solicitado
UCE: Unsolicited Commercial email
Extensión del spam por correo postal y el “Fax Spam”
Es un gran negocio Muy baja inversión Crecimiento exponencial
¿Por qué es malo el Spam?
Quien recibe el spam, paga más que el que lo envía
Se apropian de servidores de mail ajenos (open relay)
Es basura (por el tipo de información que ofrecen)
Es un engaño (direcciones falsas) Es ilegal en varios lugares Problema serio para ISPs (Hotmail, AOL, adinet)
¿Qué nos quieren vender? Pornografía Drogas / Medicamentos Métodos para alterar partes
del cuerpo Esquemas “hágase rico” Urgentes y Confidenciales
(Hoax Nigeriano) Casinos Online Tarjetas de Crédito, Hipotécas,
Préstamos Software Pirata Comercialización de productos
en general
1 de cada 2 compañías afirman que el 25% o más de sus correos electrónicos son Spam
¿Como consiguen las direcciones?
Extractores automáticos de mails (de websites, newsgroups, foros)
Directory HarvestingListas de Opt-in / Opt-out Spyware para robar address listsCompra / Venta de direcciones “vivas”
Un par de ejemplos…
Phishing: El cuento del tío
Utilizan direcciones falsas y websites fraudulentos
Parecen ser mails legítimos, normalmente vinculados a instituciones financieras
El objetivo es que el usuario ingrese información confidencial (tarjetas de crédito, números de cuenta, passwords, etc)
Se calcula que el 5% de los destinatarios es efectivamente engañado
Phishing: Algunas cifras
Fuente: http://www.antiphishing.org
Menú
Preguntas y más preguntasEl Problema EconómicoAspectos Legales Algunos Consejos Técnicas de SpamEl Futuro
El problema económico
¿El spam es sólo una molestia o es también un problema
económico?
Negocio Redondo
Se estima una inversión de U$S 50 a U$S 1.000 por millón de recipientes
U$S 0,00005 a U$S 0,001 por mail enviado. El verdadero costo es de quien lo recibe… Se calcula que más de la mitad de los correos
en Internet son spam. Según Postini Inc, representan actualmente más del 83%
La expectativa es de 100 respuestas en un millón
El Ancho de Banda
A diferencia del spam por correo postal o por fax, el destinatario PAGA por el spam
AOL estima que la tercera parte de sus 30.000.000 de mails diarios son spam
Los costos de los ISPs de incrementar sus anchos de banda o de adquisición de software de filtrado, son trasladados a sus clientes
A nivel de organizaciones privadas, se estima que el 10% del ancho de banda es consumido por el spam
1 de 4 administradores pierden más de 1 hora al día combatiendo el Spam
¿Cuál es el costo del Spam?
En USA se estima un costo de U$S 1.934 por empleado por año (Jun 04) en comparación a los U$S 874 (Jul 03)
Un promedio de 29 spams por día (Jun 04) comparado con los 13 spams diarios (Jul 03)
Fuente: Nucleus Research
75% de las organizaciones estiman el costo del spam en un dólar por mensaje
Considerando: consumo de ancho de banda, carga del servidor de mail y del procesamiento, productividad del usuario (tiempo perdido en responder, leer,borrar, tiempo de recursos de IT)
Un acercamiento en latinoamérica
Empresa ACME con 50 usuarios de mailFranja 1: 35 funcionarios, salario promedio
$700000Franja 2: 10 funcionarios, salario promedio
$1800000Franja 3: 5 funcionarios, salario promedio
$4500000
Un acercamiento en Latinoamérica
Tiempo diario dedicado al spam: 12,5 minutos Promedio de 25 spams/día Tiempo calculado en base a:
Alerta de llegada de nuevo mail Ir al cliente de mail Leer el subject Eventual lectura del mail Eliminarlo Eventual llamada a Help Desk Volver a la tarea
Un acercamiento en LatinoaméricaSalario Promedio (F1) $U 8.250
Costo Hora $U 46,88
Costo diario $U 9,38
Costo Mensual $U 206,25
Costo total Mensual $U 7.218,25
Costo total Anual $U 86.625
Salario Promedio (F2) $U 22.500
Costo Hora $U 127,84
Costo diario $U 25,57
Costo Mensual $U 562,50
Costo total Mensual $U 5.625
Costo total Anual $U 67.500
Salario Promedio (F3) $U 52.500
Costo Hora $U 298,30
Costo diario $U 59,66
Costo Mensual $U 1.312,50
Costo total Mensual $U 6.562,50
Costo total Anual $U 78.750
Costo Anual $U U$S
Franja 1 86.625 2.887
Franja 2 67.500 2.250
Franja 3 78.750 2.625
Total 232.875 7.762
Estadística basada en pesos uruguayos
Menú
Preguntas y más preguntasEl Problema EconómicoAspectos Legales Algunos Consejos Técnicas de SpamEl Futuro
Aspectos Legales
¿Qué se está haciendo?
¿Qué es el “Decreto S.1618”?
¿Qué es el “Decreto S.1618”? Fue un intento de legislar sobre correo basura en USA en 1998
NO ES UNA LEY. No prosperó en la Cámara de Diputados de USA
Extracto del Sec 301 (a)(2)(c)
SEC. 301. REQUIREMENTS RELATING TO TRANSMISSIONS OF UNSOLICITED COMMERCIAL ELECTRONIC MAIL.(a) INFORMATION TO BE INCLUDED IN TRANSMISSIONS-……(2) COVERED INFORMATION- The following information shall appear at the beginning of the body of an unsolicited commercial electronic mail message under paragraph (1):…….(C) A statement that further transmissions of unsolicited commercial electronic mail to the recipient by the person who initiates transmission of the message may be stopped at no cost to the recipient by sending a reply to the originating electronic mail address with the word `remove' in the subject line
CAN-SPAM Act 2003
Ley aprobada en Diciembre de 2003 para regular el uso del spam en USA
Se prevén penas de hasta 5 años de prisión y multas millonarias para los spammers
Prohibición de direcciones falsasMensajes etiquetados para su fácil filtradoListas de opt-out verdaderasCabe aclarar que en Latinoamérica y en
particular en Colombia, no hay legislación al respecto
CAN-SPAM Act 2003
27 de Mayo 2004 Howard Carmack (foto)
condenado a 7 años de prisión en USA por spammer
Envió 825 millones de mails usando direcciones falsas o robadas
Demandado además en 16.5 millones de dólares por Earthlink (ISP)
El gran problema es…
Legislar en un país es posibleLegislar en el mundo noEn el supuesto caso que todos los países
legislaran sobre el spam, compatibilizar las leyes es virtualmente imposible
La solución al spam no parece estar dentro del marco legal.
Menú
Preguntas y más preguntasEl Problema EconómicoAspectos Legales Algunos Consejos Técnicas de SpamEl Futuro
Algunos Consejos
¿Qué hacer ante este problema?
Que hacer ante un spam
Nunca comprar nada desde un spamSi no conocemos al sender de un spam,
borrémosloNunca responder a ningún spam o a links
dentro del spamNo REMOVERSE de ningún spam!!!Cuidado con la función preview. Tratar de
deshabilitar el download automático de mails html
Reglas generales para el envío de mail
Utilizar BCC para enviar mail a muchas personas( en español CCO copia confidencial oculta)
Si vamos a reenviar un mail, eliminemos todos los rastros de los mails anteriores
Procuremos no reenviar hoax virus, ante la duda consultar con IT
Evitar las cadenas, por más “loable” que parezca el motivo
Como combatir al spam
Utilizar software de filtrado de spamUtilizar servicios de listas negras Mantener nuestros antivirus al díaEvitar dar nuestra dirección de mail en
websites, newsgroups o forosTener una dirección de correo
“secundaria”
Políticas de Buen Uso
Creación de Políticas de Buen Uso de correos electrónicos.
Debe instruirse al personal que hacer en caso de recibir spam
Debe educarse al personal en el uso de la política. No alcanza solo con escribirla.
Una política bien utilizada minimizará los riesgos y los costos en el uso del mail.
Agenda
Preguntas y más preguntasEl Problema EconómicoAspectos Legales Algunos Consejos Técnicas de SpamEl Futuro
Tecnicas de Spam
¿Qué están haciendo hoy los spammers?
Spam “Antiguo”
Mensaje de texto simpleContenía las palabras limpias. Ej: free,
viagra, porn, copy dvdsMuchos eran enviados desde direcciones
realesFácilmente predecibles y detectables.
Spam “Antiguo”
Spam HTML
Mails más atrayentes estéticamenteInutilizan el análisis lexicográficoSe aprovechan del autopreview del mail
para saber si una dirección está viva.Actualmente representan más del 85% del
spam
Spam HTML
<BODY><DIV><FONT color ="FFFFFF">face=Arial size=2><SPAN class=906094222-11062004><a href="http://Tolbert.ertsqwas.com/?d=felo&a=g1"><img src="http://ewBil9.ebusinessell.com./p/7HNTpH"></a> Función Autopreview
“Disfraz” de palabras
Consiste en agregar caracteres, números y elementos en general que alteren palabras
V.I.A.G.R.A.V1AGRAVI-A-GRAVIIIIIIAGRAV I A G R A
“Disfraz” de palabras
HTML Comments
Utilizan comentarios del lenguaje html para engañar a los filtros
Ejemplo: h<S=A7R>ealth<S=A7R>care Vi<b></b>agra F<XYZ>r<XXYA>ee Milli<!– xe64 ->onaire
El mail se despliega sin esos comentarios
Oscurecimiento de URLs
Las URLs pueden escribirse de varias formas
Utilizando caracteres hexadecimales, octales, binarios
El parser de html las recodifica y las despliega correctamente en el cliente
Evitan la detección de URLs por los filtros.
Oscurecimiento de URLs
<a href="http://rd.yahoo.com/spddnqmgwa/bltisg/lqwhv/nuvhaxt/psee/?http://%63%3900%33ho%73ti%6E%67%2E%63%6F%6D/cable/"><img src="http://rd.yahoo.com/spddnqmgwa/bltisg/lqwhv/nuvhaxt/nzlyq/?http://%63%3900%33ho%73ti%6E%67%2E%63%6F%6D/fiter.jpg" border="0"></A>
El Agujero Negro
En lugar de usar espacios se utiliza la entidad  
Ejemplo:V<font size=0> </font>i<font size=0> </font>a<font size=0> </font>g<font size=0> </font>r<font size=0> </font>a
Se despliega como V i a g r a, pero no es detectado por un analizador de texto.
Un juego de números
Viagra: Viagra
Combinandolo con lo anterior:V<font size=0> </font>i<font size=0> </font>a<font size=0> </font>g<font size=0> </font>r<font size=0> </font>a
Los filtros basados en análisis de texto no detectan esto
Viagra: 6 bytesEscrita así: 163 bytes
Manejo de Tablas
V i a g r aS a m p l e sF R E E
<table border=0 cellpadding=0 cellspacing=0><tr valign top><td><font face=Courier>V<br>S<br>F</font></td><td><font face=Courier>i<br>a<br>R</font></td><td><font face=Courier>a<br>m<br>E</font></td><td><font face=Courier>g<br>p<br>E</font></td><td><font face=Courier>r<br>l</font></td><td><font face=Courier>a<br>e</font></td><td><font face=Courier> <br>s</font></td></tr></table>
Viagra
Samples
FREE
El “non-delivery report”
Crean NDRs falsos, con un spam como attachment
Todo es falso, hasta el NDRHay técnicas para forzar NDRs
verdaderos con mensajes de spam incluido en un attachment
Envenenamiento de Filtros
Se construye el mail de spam con una parte de spam y una parte “inocente”
Esto confunde a los filtros conocidos como Bayesianos
Estos filtros evalúan pesos de palabras dentro de un contexto y asignan la probabilidad de spam o not-spam
Cuanto mayor es la cantidad de palabras inocentes, mayor la probabilidad de not-spam
CSS Spam
CSS: Cascading Style SheetsUltima tecnología de los spammersCombinan el envenenamiento de filtros
bayesianos con técnicas de ocultamiento de html basadas en CSS
Requieren filtros muy avanzados y fundamentalmente, actualizados.
Tinta Invisible
Tinta Invisible
Tinta Invisible Comentarios html para engañar analizadores detexto.
Tinta invisible
Camuflaje
Camuflaje
Camuflaje
Solo con lupa
Solo con lupaMicrodot
Phishing
Phishing
Agenda
Preguntas y más preguntasEl Problema EconómicoAspectos Legales Algunos Consejos Técnicas de SpamEl Futuro
El Futuro
¿Qué debemos esperar?
Tendencias
La evolución tecnológica del spam es permanente.
El crecimiento es exponencial. Legislar es difícil. Es un problema mundial. Mayor toma de conciencia de las empresas. Adquisición de software de filtrado con
actualización permanente. Revisiones del protocolo smtp. Iniciativas de Microsoft (Caller ID), Yahoo
(Domain Keys), SPF (Sender Permitted From:)
SPF (Sender Permitted From:)
Aparenta ser un próximo estándarSe basa en evitar el spoof de direccionesCombina cambios de smtp y dnsEl servidor destinatario chequea al emisor
antes de recibir el mailProblema a resolver: registración de
dominios para spam. Ejemplo: (fake@myspamdomain.biz)
Yahoo DomainKeys Protege el from: utilizando esquemas de clave
pública y privada.
Set-up: generación de par de claves (A)
Signing: generación de firma digital (B)
Preparing: se extrae la firma del campo from: firmado y la clave pública del DNS (C)
Verifying: Se hace la comparación
Delivering: Si son iguales se entrega,en caso contrario se aplican las políticasdefinidas (delete, quarantine, etc) (D)
Microsoft Caller ID
Esquema basado en DNSDefine un registro que identifique a los
servidores que envían mail.El objetivo es combatir el spoofingNo intenta verificar la dirección completa
sino solamente el dominio (@abc.com)Propone usar el registro TXT con XML
embebido almacenando políticas.
Análisis de las 3 propuestas
Debe encontrarse un estándar y no tres Los tres proponen mecanismos similares Se basan en la autenticación del sender Los tres son abiertos Los tres utilizan DNS como repositorio. Los tres implicarán cambios en TODOS los
servidores smtp del mundo. No va a ser nada sencillo implementar
cualquiera de ellos…
Conclusiones
Problema que seguirá incrementándose.Podría llegar a inutilizar el correo
electrónico como herramienta de comunicación
Las empresas deberán tomar medidas correctivas (software de filtro)
No va a ser nada sencillo implementar soluciones definitivas
Ingeniero Electrónico UD
FIN
Recommended