SPAM studium przypadku Przemysław Jaroszewski CERT Polska http://www.cert.pl/
SPAM studium przypadku Wstęp techniczny Opis incydentu Działania operacyjne CERT Polska Efekty Wnioski i przemyślenia
Simple Mail Transfer Protocol HELO victim.pl 250 mail.domena.pl Hello spammer.pl [10.1.0.1], pleased to meet you MAIL FROM: 250 2.1.0 spammer@domena.pl... Sender ok RCPT TO: victim@world.com 250 2.1.5 victim@world.com... Recipient ok DATA spammer@domena.pl 354 Enter mail, end with "." on a line by itself From: spammer@domena.pl To: victim@world.com Subject: Great business opportunity...
Simple Mail Transfer Protocol Return-Path: < spammer@domena.pl>... Received: from victim.pl ( spammer.pl [10.1.0.1]) by mail.domena.pl with SMTP id g92a1bv27349 for victim@world.com; Wed, 2 Oct 2002 12:01:18 +0200 (CEST) (envelope-from spammer@domena.pl) Date: Wed, 2 Oct 2002 12:01:18 +0200 (CEST) Message-Id: <200210021001.g92A1Bv27349@mail.domena.pl> From: spammer@domena.pl To: victim@world.com Subject: Great business opportunity...
Open proxy spammer.com [10.1.0.1] Received: from...(spammer.com [10.1.0.1]) open-proxy gw.domain.np [10.5.2.73] world.com
Open proxy spammer.com [10.1.0.1] Received: from... (gw.domain.np[10.5.2.73] open-proxy gw.domain.np [10.5.2.73] world.com
Nondelivery report (NDR) spammer.com HELO domena.pl From: victim@victim.pl To: someone@world.com victim.pl Unknown recipient: someone@world.com open-proxy world.com
Efekt uboczny spammer.com victim.pl
Incydent skala zjawiska Użyto ponad 1000 serwerów proxy Dystrybucja geograficzna: ustalono 77 krajów Materiały udostępnione przez poszkodowanego: Kopie nondelivery reports w strukturze katalogowej odpowiadającej źródłowym adresom IP e-maili Problem: Sprawne odnalezienie kontaktów technicznych/abuse dla dużej liczby adresów Śledzenie odpowiedzi od poszczególnych administratorów Konieczność szybkiego wypracowania odpowiednich narzędzi
Geograficzny zasięg incydentu
Działania operacyjne List do administratorów / abuse informacja o CERT Polska ogólny opis incydentu zwrócenie uwagi na problem w konfiguracji serwera prośba o przejrzenie logów i przekazanie informacji, w szczególności dotyczących Polski załączona kopia NDR
Działania operacyjne Reakcja na list podziękowanie za zwrócenie uwagi odmowa wyjaśnień odmowa dochodzenia (to tylko spam!) You people at Polish CERT have time to followup on just any spam received, then I envy you. We don't. We followup on real security cases (compromised system).(...)
Efekty działań Podstawowy cel osiągnięty: ustał napływ raportów o odrzuconych listach Łącznie kilkaset serwerów open-proxy zostało zablokowane, wyłączone lub przekonfigurowane Rozwój kontaktów z zespołami na całym świecie Rozwój narzędzia do odszukiwania właściwych kontaktów
Wnioski i przemyślenia Spam staje się poważnym problemem to nie tylko pojedyncze listy w skrzynkach, ale przemysł na dużą skalę Stosowane metody filtrowanie po adresach e-mail lub IP są skuteczne w bardzo ograniczonym zakresie Świadomość administratorów wciąż jest niska w inny sposób reagują zespoły CSIRT/Abuse Źle skonfigurowane i/lub zabezpieczone serwery po podłączeniu do Internetu stają się potężnym narzędziem dla atakującego bierzmy odpowiedzialność za to, co robimy!
SPAM studium przypadku Dziękuję za uwagę. Pytania? Uwagi? http://www.cert.pl/