La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

ANTISPAM Corso di Sistemi di elaborazione dellinformazione: Sicurezza Christian Murgia.

Presentazioni simili


Presentazione sul tema: "ANTISPAM Corso di Sistemi di elaborazione dellinformazione: Sicurezza Christian Murgia."— Transcript della presentazione:

1 ANTISPAM Corso di Sistemi di elaborazione dellinformazione: Sicurezza Christian Murgia

2 Indice Argomenti Definizione di SPAM e regolamentazione Definizione di SPAM e regolamentazione Come comportarsi quando si riceve SPAM Come comportarsi quando si riceve SPAM Lettura degli Header Lettura degli Header Problema: Relay aperti Problema: Relay aperti Comportamenti dei provider quando ricevono un reclamo Comportamenti dei provider quando ricevono un reclamo Blacklist Blacklist Piccoli suggerimenti per prevenire larrivo di SPAM Piccoli suggerimenti per prevenire larrivo di SPAM

3 Definizione di SPAM (1) Il significato della parola SPAM si può sintetizzare come linsieme dei messaggi che vengono diffusi avvalendosi delle funzionalità della rete, senza rispettare lo scopo per il quale tali funzionalità esistono. Molti frequentatori della rete vedono le possibilità di comunicazione che questa offre come una semplice risorsa da sfruttare a proprio massimo beneficio, indipendentemente da qualsiasi altra considerazione e senza curarsi in alcun modo del rispetto del prossimo. Loccasione per abusare della rete può quindi essere suggerita da qualsiasi esigenza, più o meno legittima, per la quale si cerchi visibilità di fronte al pubblico più vasto possibile.

4 Definizione di SPAM (2) Ricevere SPAM e come ricevere volantini con spese postali a carico del destinatario, senza la possibilita di respingerli. Ipotizzando 10 SPAM al mese, indicando il costo medio annuale per singolo utente in 4-5 dollari (in Italia la cifra è maggiore a causa dei maggiori costi telefonici), moltiplicando la cifra per i circa 75 milioni di utenti internet (stima del 1998), si otterrebbe un flusso di alcune centinaia di migliaia di dollari.

5 Uso legittimo della posta elettronica Per usare in modo legittimo la posta elettronica occorre che ogni messaggio sia consensuale. Perché ciò si verifichi, occorre che il destinatario abbia autorizzato la comunicazione, esplicitamente o implicitamente. Lo SPAM e un vero e proprio furto di servizi. Si commette furto di servizi quando si utilizzano per i propri scopi computer e risorse che sono in rete e vengono mantenuti per fare altre cose.

6 America On Line contro Cyberpromo Cyberpromo era una famigerata organizzazione la cui unica ragione di esistere era quella di mandare SPAM massicciamente a chiunque comparisse nei loro elenchi con la convinzione che ciò fosse loro diritto. America On Line, dopo aver ricevuto molte proteste da parte dei suoi utenti, blocco fisicamente tutto il traffico proveniente da Cyberpromo. Cyberpromo fece causa chiedendo al tribunale di proibire ad America On Line questo tipo di blocco, ma il tribunale diede ragione ad America On Line. La sentenza fu importante perchè rese chiaro il principio per il quale non esiste obbligo, in rete, di accettare o veicolare il traffico altrui.

7 Legislazione statunitense In America, dove risiedono la maggior parte degli spammer, si costituì la CAUCE con lo scopo di giungere alla messa fuori legge delle commerciali non richieste, alla CAUCE si sono successivamente affiancate altre iniziative (es. F.R.E.E.) finalizzate a perseguire, con differenti accenti e strategie, i medesimi risultati. Visitando il sito della CAUCE ci si accorge ben presto che non sempre le cose vanno bene. Ci sono molti disegni di legge che favoriscono la legalizzazione dello SPAM (istituzionalizzare la inacettabile soluzione dellopt-out) in quanto tali proposte sono sostenute o dagli stessi spammer o da chi ha grossi interessi economici nel mondo del marketing.

8 Le due soluzioni OPT-OUT: Legittimare linvio di SPAM finchè ciascun utente- vittima non chiede formalemente, a ciascun Spammer, di smettere. OPT-OUT: Legittimare linvio di SPAM finchè ciascun utente- vittima non chiede formalemente, a ciascun Spammer, di smettere. Questa soluzione a volte si presenta sotto altre forme come il cosidetto opt-out globale o global remove list. OPT-IN: Rendere illegale ogni tipo di messaggio, di tipo commerciale o no che lutente non ha richiesto. OPT-IN: Rendere illegale ogni tipo di messaggio, di tipo commerciale o no che lutente non ha richiesto. N.B.: Questo non lede nè la libertà di parola nè la libertà di commercio in quanto ognuno è proprietario della propria casella di posta elettronica e solitamente di altre risorse con le quali sfrutta i servizi della rete perciò ha il diritto di scegliere che posta ricevere

9 La legislazione Italiana 11 Gennaio 2001: Pronunciamento da parte della Autorita Garante per la protezione dei dati che ha dichiarato illegittimo, in mancanza di esplicito consenso prelevati da varie aree della rete, in quanto tali aree, pur da parte degli interessati, lutilizzo di indirizzi essendo liberamente accessibili da chiunque, non sono soggette ad alcun regime giuridico di piena conoscibilità da parte di chiunque. Esiste poi il decreto legislativo n. 185 del 22 Maggio 1999 che prevede alcune limitazioni a certi tipi di comunicazioni. Il decreto non da una definizione di SPAM e di posta indesiderata e sfiora tale argomento soltanto di striscio. Nonostante questo e nonostante il decreto si occupi della correttezza nel commercio e non della correttezza in rete, è importante in quanto si deduce che lItalia ha scelto la strada dellOPT-IN come soluzione allo SPAM.

10 Cosa non bisogna fare Non considerare SPAM corrispondenza seria Non considerare SPAM corrispondenza seria Non rispondere allo Spammer Non rispondere allo Spammer Non seguiere le istruzioni date nel messaggio (es. Reply REMOVE) Non seguiere le istruzioni date nel messaggio (es. Reply REMOVE) Non attuare forme di ritorsione Non attuare forme di ritorsione (es. MAILMBOMBING)

11 Cosa si puo fare Individuare chi è il provider dello Spammer Individuare chi è il provider dello Spammer Cercare informazioni sul provider: esatto indirizzo a cui rivolgersi Cercare informazioni sul provider: esatto indirizzo a cui rivolgersi (es. Decidere come scrivere l e inviarla Decidere come scrivere l e inviarla

12 Non bastano i filtri? I filtri sono una soluzione adottata da molti ma hanno dei limiti evidenti. Distinguiamo: Filtri sul client: Filtri sul client: Il vostro mail client deve comunque scaricare gli header di tutti i messaggi presenti nella casella e successivamente cancellare in automatico quelli indesiderati. Occorre comunque rimanere online mentre il programma opera e perciò anche i messaggi eliminati provocano un costo al provider che scaricherà sicuramente tale costo sugli abbonati. Filtri sul server: Filtri sul server: Il lavoro viene fatto per intero dal server man mano che i messaggi arrivano, senza che voi siate connessi alla rete. Quando vi connettete trovate i soli messaggi accettati, senza quindi perdere tempo con gli altri.

13 Limiti dei filtri settati dallutente Si agisce solo a posteriori. Prima si riceve lo SPAM, poi si determina il filtro adeguato per bloccarlo Si agisce solo a posteriori. Prima si riceve lo SPAM, poi si determina il filtro adeguato per bloccarlo Occorre dedicare tempo per tenere in continuazione aggiornati e raffinati i filtri Occorre dedicare tempo per tenere in continuazione aggiornati e raffinati i filtri Quando mettete un filtro limitate la vostra connettività e non quella dello Spammer Quando mettete un filtro limitate la vostra connettività e non quella dello Spammer Uninsieme di filtri individuali (validi per il singolo utente su singoli spammer) lascerebbe comunque la rete nella situazione di partenza. Uninsieme di filtri individuali (validi per il singolo utente su singoli spammer) lascerebbe comunque la rete nella situazione di partenza.

14 Identificare il Provider dello Spammer Per identificare il provider dello Spammer bisogna analizzare gli header delle e in particolare i received, generalmente gli header di un messaggio si presentano in una forma di questo genere: Received: from plutus (plutus.altrarete.it [ ]) by mbox-b.altrarete.it (8.8.3/8.7.5) with SMTP id WH for ; Wed, 15 Apr :27: (METDST) Received: from nomerete.it (mail.nomerete.it [ ]) by plutus.altrarete.it (8.8.5/8.8.5) with SMTP id GC for ; Wed, 15 Apr :27: (METDST) Received: from mariorossi (ppp26-milano.nomerete.it [ ]) by mail.nomerete.it (8.8.5/8.8.5) with SMTP id RU for ; Wed, 15 Apr :26: (METDST) From: (Mario Rossi) To: Date: Wed, 15 Apr :24: Message-ID: X-Mailer: Gorilla 3.2 (Win95; I) Subject: Richiesta informazioni sulle vs. iniziative

15 Received Aggiungendo gli header received il server che ha veicolato il messaggio dice in sostanza: questo messaggio lho trasportato io, che lo avevo ricevuto dal seguente indirizzo, perciò analizzandoli e possibile tener traccia del percorso seguito dal messaggio. Questa speciale attenzione alla tracciabilità degli eventi di rete è data dal fatto che in origine la rete nacque per scopi militari. Esempio: Received: from mariorossi (ppp26-milano.nomerete.it [ ]) by mail.nomerete.it (8.8.5/8.8.5) with SMTP id RU for ; Wed, 15 Apr :26: (METDST) Si deduce che questo messaggio e stato ricevuto su mail.nomerete.it, proveniente da qualcuno che si è presentato come mariorossi e che comunque aveva lindirizzo IP Tale indirizzo corrisponde alla risorsa di nome ppp26-milano.nomerete.it

16 Received Quando si analizzano i Received bisogna fare attenzione agli header inattendibili, in quanto molti vengono propagati cosi come li ha forniti il computer del mittente. Lo spammer comunque può falsificare solo alcuni header, sostanzialmente gli ultimi della catena mentre non può impedire che i computer successivi al suo nel trasportare il messaggio mettano i propri received.

17 Lindicazione della provenienza negli header Received: esiste sempre? Teoricamente un server potrebbe anche non dichiarare chi e stato a passargli il messaggio. Quando questo avviene, siamo in presenza o di un anonymous r er o di un server gestito da personale non competente. Esclusi quei pochi sistemi che operano deliberatamente in questo modo, la probabilità che organizzazioni serie abbiano un server mal configurato che faccia da r er anonimo e praticamente nulla, visti i rischi nei quali potrebbero incorrere. Esistono, però, versioni di Sendmail (in particolare 8.6) che mettono dei Received privi della dovuta informazione. E possibile che se su un server viene installata una versione più recente di Sendmail, tenendo i vecchi file di configurazione possano nascere grossi inconvenienti.

18 Esempio pratico Un ottimo esempio per capire il problema e questo: Received: from tyuyq by xx.xxxx.ac.za; (8.9.3/ /03Nov PM) id MAA22307; Sat, 12 Jun :47: (GTM+0200) Un Received come il precedente indica un sendmail (che dovrebbe teoricamente produrre dei Received corretti) che, però, usa ancora il file di configurazione (sendmail.cf) versione , creato nel Novembre del Come si vede viene riportata la stringa non significativa tyuyq che lo spammer ha inserito nel comando HELO. il fatto che, tramite lHELO, lo spammer abbia modo di inserire una stringa arbitraria allinterno del Received, rende possibili certi offuscamenti come ad esempio: Lo spammer passa tramite lHELO un indirizzo IP che non centra nulla Lo spammer passa tramite lHELO un indirizzo IP che non centra nulla Lo spammer approfitta dei buchi dei mail server utilizzati, inserendo una stringa talmente lunga da impedire la visualizzazione delle parti significative del Received Lo spammer approfitta dei buchi dei mail server utilizzati, inserendo una stringa talmente lunga da impedire la visualizzazione delle parti significative del Received

19 Unaltro problema i Relay aperti Oltre a cercare di camuffare gli header attraverso sistemi mal configurati gli spammer molto spesso usano la tecnica indicata come 3rd party relay, cioè utilizzano il server di un terzo soggetto (che solitamente non ha alcun legame ne con il mittente ne con il destinatario), come relayer, ossia come propagatore di un messaggio SMTP. Un relay aperto viene individuato dagli spammer attraverso degli appositi programmi che in automatico cercano sulla rete: e solo questione di tempo e un server in quella condizione diventa ben presto una sorta di buco nero da cui può arrivare di tutto. Ecco perché quando ci si accorge che uno dei propri server e abilitato a fare da relayer lo si deve disconnettere dalla rete, fino a quando non si risolve il problema di configurazione.

20 Esempio pratico (1) Received: from mail.mioisp.it by mbox.altronome-mioisp.it with ESMTP ( /16.2) id AA ; Fri, 13 Feb :16: Return-Path: Return-Path: Received: from drake.xxx.edu (drake.xxx.edu [ yyy.zzz]) by mail.mioisp.it (8.8.4/8.8.5) with ESMTP id UAA17558 for ; Fri, 13 Feb :42: (MET) From: Received: from xxx.edu (ppp-095.m2-9.tor.ican.net [ ]) by drake.xxx.edu (8.8.5/8.6.9) with SMTP id OAA13346; Fri, 13 Feb :25: (EST) Date: Fri, 13 Feb 98 14:30:26 EST To: Subject: Important Message Message-Id: <>

21 Esempio pratico (2) Il server su cui risiede la mia mailbox dichiara di aver ricevuto il messaggio da un altro server (sempre del mio provider) che, al momento, stava facendo da front-end per la posta in arrivo. Questo dichiara di averlo ricevuto da xxx.edu che è ovviamente una università americana. Come però è evidente lo SPAM è stato generato dalla risorsa ppp-095.m2.tor.ican.net. Visitando il sito della Ican Net si scopre che è un provider Canadese, dotato tra laltro di regolamento contro lo SPAM, quindi la nostra lettera di reclamo dovrà essere indirizzata alla Ican Net. Per quanto riguarda il relay aperto sarebbe importante mandare una anche al postmaster delluniversità avvertendolo del problema.

22 Comportamenti dei Provider Quando un provider riceve un reclamo, raramente non interviene al fine di non perdere un suo abbonato. I Provider seri solitamente definiscono delle norme esplicite di corretto comportamento (Terms and Conditions, Acceptable User Policy) e cercano di farle rispettare. Coloro che non fanno rispettare tali regole vengono solitamente chiamati spam-friendly. I Provider spam-friendly in breve tempo vengono sommersi da reclami e nel peggiore dei casi vengono inseriti nelle blacklist; il più delle volte finiscono per rivedere la loro strategia e decidono di adottare delle norme di corretttezza da imporre ai loro utenti. Un caso ecclatante è quello riguardante Sanford Wallace, presidente e fondatore della Cyberpromo, che per anni ha invaso la rete di SPAM con lo scopo di farlo diventare legittimo, ma in seguito a lunghe battaglie legali perse ha deciso di cambiare mestiere, aprendo un sito di musica fatta al computer.

23 Blacklist Le blacklist sono sostanzialmente elenchi di indirizzi IP (raramente di domini) selezionati secondo linee guida specifiche di ciascuna lista. Tali liste vengono mantenute attuali nel tempo e sono messe a disposizione di chiunque desideri consultarle. Le liste sono sostanzialmente costituite da zone DNS, e la modalità di consultazione è lesecuzione di una query DNS.

24 Quale blacklist scegliere? Quando si decide di usare una blacklist per filtrare le sarebbe bene controllare che siano soddisfatti questi due requisiti: sia noto il modo in cui vengono decisi gli inserimenti e le rimozioni dalla lista, deve trattarsi di modalità che lutilizzatore della lista abbia ben capito e che ritenga valide e appropriate per le proprie esigenze. sia noto il modo in cui vengono decisi gli inserimenti e le rimozioni dalla lista, deve trattarsi di modalità che lutilizzatore della lista abbia ben capito e che ritenga valide e appropriate per le proprie esigenze. sia possibile, per un qualsiasi indirizzo presente nella lista, ricavare una sorta di evidenza, una giustificazione e relativa documentazione del perchè vi è stato inserito. sia possibile, per un qualsiasi indirizzo presente nella lista, ricavare una sorta di evidenza, una giustificazione e relativa documentazione del perchè vi è stato inserito.

25 Conclusioni: prevenire lo SPAM Camuffate la vostra mail quando scrivete nei Newsgroup (es. Camuffate la vostra mail quando scrivete nei Newsgroup (es. Non tenere in evidenza il proprio indirizzo nelle chat Non tenere in evidenza il proprio indirizzo nelle chat Evitare di fornire lindirizzo compilando dei form sui siti web Evitare di fornire lindirizzo compilando dei form sui siti web Evitare di mettere la vostra nei client FTP Evitare di mettere la vostra nei client FTP Evitare di mettere la vostra nel setup del browser web Evitare di mettere la vostra nel setup del browser web


Scaricare ppt "ANTISPAM Corso di Sistemi di elaborazione dellinformazione: Sicurezza Christian Murgia."

Presentazioni simili


Annunci Google