SPAM studium przypadku

Transkrypt

1 SPAM studium przypadku Przemysław Jaroszewski CERT Polska

2 SPAM studium przypadku Wstęp techniczny Opis incydentu Działania operacyjne CERT Polska Efekty Wnioski i przemyślenia

3 Simple Mail Transfer Protocol HELO victim.pl 250 mail.domena.pl Hello spammer.pl [ ], pleased to meet you MAIL FROM: Sender ok RCPT TO: Recipient ok DATA 354 Enter mail, end with "." on a line by itself From: spammer@domena.pl To: victim@world.com Subject: Great business opportunity...

4 Simple Mail Transfer Protocol Return-Path: < Received: from victim.pl ( spammer.pl [ ]) by mail.domena.pl with SMTP id g92a1bv27349 for victim@world.com; Wed, 2 Oct :01: (CEST) (envelope-from spammer@domena.pl) Date: Wed, 2 Oct :01: (CEST) Message-Id: < g92A1Bv27349@mail.domena.pl> From: spammer@domena.pl To: victim@world.com Subject: Great business opportunity...

5 Open proxy spammer.com [ ] Received: from...(spammer.com [ ]) open-proxy gw.domain.np [ ] world.com

6 Open proxy spammer.com [ ] Received: from... (gw.domain.np[ ] open-proxy gw.domain.np [ ] world.com

7 Nondelivery report (NDR) spammer.com HELO domena.pl From: To: victim.pl Unknown recipient: open-proxy world.com

8 Efekt uboczny spammer.com victim.pl

9 Incydent skala zjawiska Użyto ponad 1000 serwerów proxy Dystrybucja geograficzna: ustalono 77 krajów Materiały udostępnione przez poszkodowanego: Kopie nondelivery reports w strukturze katalogowej odpowiadającej źródłowym adresom IP i Problem: Sprawne odnalezienie kontaktów technicznych/abuse dla dużej liczby adresów Śledzenie odpowiedzi od poszczególnych administratorów Konieczność szybkiego wypracowania odpowiednich narzędzi

10 Geograficzny zasięg incydentu

11 Działania operacyjne List do administratorów / abuse informacja o CERT Polska ogólny opis incydentu zwrócenie uwagi na problem w konfiguracji serwera prośba o przejrzenie logów i przekazanie informacji, w szczególności dotyczących Polski załączona kopia NDR

12 Działania operacyjne Reakcja na list podziękowanie za zwrócenie uwagi odmowa wyjaśnień odmowa dochodzenia (to tylko spam!) You people at Polish CERT have time to followup on just any spam received, then I envy you. We don't. We followup on real security cases (compromised system).(...)

13 Efekty działań Podstawowy cel osiągnięty: ustał napływ raportów o odrzuconych listach Łącznie kilkaset serwerów open-proxy zostało zablokowane, wyłączone lub przekonfigurowane Rozwój kontaktów z zespołami na całym świecie Rozwój narzędzia do odszukiwania właściwych kontaktów

14 Wnioski i przemyślenia Spam staje się poważnym problemem to nie tylko pojedyncze listy w skrzynkach, ale przemysł na dużą skalę Stosowane metody filtrowanie po adresach lub IP są skuteczne w bardzo ograniczonym zakresie Świadomość administratorów wciąż jest niska w inny sposób reagują zespoły CSIRT/Abuse Źle skonfigurowane i/lub zabezpieczone serwery po podłączeniu do Internetu stają się potężnym narzędziem dla atakującego bierzmy odpowiedzialność za to, co robimy!

15 SPAM studium przypadku Dziękuję za uwagę. Pytania? Uwagi?