spam

SPAM

¿Preocuparse u ocuparse?

Pablo CóppolaConsultor pcoppola@cyg.com.uy

Agenda

Preguntas y más preguntasEl Problema EconómicoAspectos Legales Algunos Consejos Técnicas de SpamEl Futuro

Agenda

Preguntas y más preguntasEl Problema EconómicoAspectos Legales Algunos Consejos Técnicas de SpamEl Futuro

Preguntas y más preguntas

¿Qué es?

¿Es algo malo?

¿Por qué lo hacen?

¿Qué es el Spam?

Correo enviado no solicitado

UCE: Unsolicited Commercial email

Extensión del spam por correo postal y el “Fax Spam”

Es un gran negocio Muy baja inversión Crecimiento exponencial

¿Por qué es malo el Spam?

Quien recibe el spam, paga más que el que lo envía

Se apropian de servidores de mail ajenos (open relay)

Es basura (por el tipo de información que ofrecen)

Es un engaño (direcciones falsas) Es ilegal en varios lugares Problema serio para ISPs (Hotmail, AOL, adinet)

¿Qué nos quieren vender?

Pornografía Drogas / Medicamentos Métodos para alterar partes

del cuerpo Esquemas “hágase rico” Urgentes y Confidenciales

(Hoax Nigeriano) Casinos Online Tarjetas de Crédito, Hipotécas,

Préstamos Software Pirata Comercialización de productos

en general

1 de cada 2 compañías afirman que el 25% o más de sus correos electrónicos son Spam

¿Como consiguen las direcciones?

Extractores automáticos de mails (de websites, newsgroups, foros)

Directory HarvestingListas de Opt-in / Opt-out Spyware para robar address listsCompra / Venta de direcciones “vivas”

Un par de ejemplos…

Phishing: El cuento del tío

Utilizan direcciones falsas y websites fraudulentos

Parecen ser mails legítimos, normalmente vinculados a instituciones financieras

El objetivo es que el usuario ingrese información confidencial (tarjetas de crédito, números de cuenta, passwords, etc)

Se calcula que el 5% de los destinatarios es efectivamente engañado

Phishing: Algunas cifras

Fuente: http://www.antiphishing.org

Agenda

Preguntas y más preguntasEl Problema EconómicoAspectos Legales Algunos Consejos Técnicas de SpamEl Futuro

El problema económico

¿El spam es sólo una molestia o es también un problema

económico?

Negocio Redondo

Se estima una inversión de U$S 50 a U$S 1.000 por millón de recipientes

U$S 0,00005 a U$S 0,001 por mail enviado. El verdadero costo es de quien lo recibe… Se calcula que más de la mitad de los correos

en Internet son spam. Según Postini Inc, representan actualmente más del 83%

La expectativa es de 100 respuestas en un millón

El Ancho de Banda

A diferencia del spam por correo postal o por fax, el destinatario PAGA por el spam

AOL estima que la tercera parte de sus 30.000.000 de mails diarios son spam

Los costos de los ISPs de incrementar sus anchos de banda o de adquisición de software de filtrado, son trasladados a sus clientes

A nivel de organizaciones privadas, se estima que el 10% del ancho de banda es consumido por el spam

1 de 4 administradores pierden más de 1 hora al día combatiendo el Spam

¿Cuál es el costo del Spam?

En USA se estima un costo de U$S 1.934 por empleado por año (Jun 04) en comparación a los U$S 874 (Jul 03)

Un promedio de 29 spams por día (Jun 04) comparado con los 13 spams diarios (Jul 03)

Fuente: Nucleus Research

75% de las organizaciones estiman el costo del spam en un dólar por mensaje

Considerando: consumo de ancho de banda, carga del servidor de mail y del procesamiento, productividad del usuario (tiempo perdido en responder, leer,borrar, tiempo de recursos de IT)

Un acercamiento en Uruguay

Empresa ACME con 50 usuarios de mailFranja 1: 35 funcionarios, salario promedio

$U 8.500Franja 2: 10 funcionarios, salario promedio

$U 22.500Franja 3: 5 funcionarios, salario promedio

$U 52.500

Un acercamiento en Uruguay

Tiempo diario dedicado al spam: 12,5 minutos Promedio de 25 spams/día Tiempo calculado en base a:

Alerta de llegada de nuevo mail Ir al cliente de mail Leer el subject Eventual lectura del mail Eliminarlo Eventual llamada a Help Desk Volver a la tarea

Un acercamiento en Uruguay

Salario Promedio (F1) $U 8.250

Costo Hora $U 46,88

Costo diario $U 9,38

Costo Mensual $U 206,25

Costo total Mensual $U 7.218,25

Costo total Anual $U 86.625

Salario Promedio (F2) $U 22.500

Costo Hora $U 127,84

Costo diario $U 25,57

Costo Mensual $U 562,50

Costo total Mensual $U 5.625

Costo total Anual $U 67.500

Salario Promedio (F3) $U 52.500

Costo Hora $U 298,30

Costo diario $U 59,66

Costo Mensual $U 1.312,50

Costo total Mensual $U 6.562,50

Costo total Anual $U 78.750

Costo Anual $U U$S

Franja 1 86.625 2.887

Franja 2 67.500 2.250

Franja 3 78.750 2.625

Total 232.875 7.762

Agenda

Preguntas y más preguntasEl Problema EconómicoAspectos Legales Algunos Consejos Técnicas de SpamEl Futuro

Aspectos Legales

¿Qué se está haciendo?

¿Qué es el “Decreto S.1618”?

¿Qué es el “Decreto S.1618”?

Fue un intento de legislar sobre correo basura en USA en 1998

NO ES UNA LEY. No prosperó en la Cámara de Diputados de USA

Extracto del Sec 301 (a)(2)(c)

SEC. 301. REQUIREMENTS RELATING TO TRANSMISSIONS OF UNSOLICITED COMMERCIAL ELECTRONIC MAIL.(a) INFORMATION TO BE INCLUDED IN TRANSMISSIONS-……(2) COVERED INFORMATION- The following information shall appear at the beginning of the body of an unsolicited commercial electronic mail message under paragraph (1):…….(C) A statement that further transmissions of unsolicited commercial electronic mail to the recipient by the person who initiates transmission of the message may be stopped at no cost to the recipient by sending a reply to the originating electronic mail address with the word `remove' in the subject line

CAN-SPAM Act 2003

Ley aprobada en Diciembre de 2003 para regular el uso del spam en USA

Se prevén penas de hasta 5 años de prisión y multas millonarias para los spammers

Prohibición de direcciones falsasMensajes etiquetados para su fácil filtradoListas de opt-out verdaderas

CAN-SPAM Act 2003

27 de Mayo 2004 Howard Carmack (foto)

condenado a 7 años de prisión en USA por spammer

Envió 825 millones de mails usando direcciones falsas o robadas

Demandado además en 16.5 millones de dólares por Earthlink (ISP)

El gran problema es…

Legislar en un país es posibleLegislar en el mundo noEn el supuesto caso que todos los países

legislaran sobre el spam, compatibilizar las leyes es virtualmente imposible

La solución al spam no parece estar dentro del marco legal.

Agenda

Preguntas y más preguntasEl Problema EconómicoAspectos Legales Algunos Consejos Técnicas de SpamEl Futuro

Algunos Consejos

¿Qué hacer ante este problema?

Que hacer ante un spam

Nunca comprar nada desde un spamSi no conocemos al sender de un spam,

borrémosloNunca responder a ningún spam o a links

dentro del spamNo REMOVERSE de ningún spam!!!Cuidado con la función preview. Tratar de

deshabilitar el download automático de mails html

Reglas generales para el envío de mail

Utilizar BCC para enviar mail a muchas personas

Si vamos a reenviar un mail, eliminemos todos los rastros de los mails anteriores

Procuremos no reenviar hoax virus, ante la duda consultar con IT

Evitar las cadenas, por más “loable” que parezca el motivo

Como combatir al spam

Utilizar software de filtrado de spamUtilizar servicios de listas negras Mantener nuestros antivirus al díaEvitar dar nuestra dirección de mail en

websites, newsgroups o forosTener una dirección de correo

“secundaria”

Políticas de Buen Uso

Creación de Políticas de Buen Uso de correos electrónicos.

Debe instruirse al personal que hacer en caso de recibir spam

Debe educarse al personal en el uso de la política. No alcanza solo con escribirla.

Una política bien utilizada minimizará los riesgos y los costos en el uso del mail.

Agenda

Preguntas y más preguntasEl Problema EconómicoAspectos Legales Algunos Consejos Técnicas de SpamEl Futuro

Tecnicas de Spam

¿Qué están haciendo hoy los spammers?

Spam “Antiguo”

Mensaje de texto simpleContenía las palabras limpias. Ej: free,

viagra, porn, copy dvdsMuchos eran enviados desde direcciones

realesFácilmente predecibles y detectables.

Spam “Antiguo”

Spam HTML

Mails más atrayentes estéticamenteInutilizan el análisis lexicográficoSe aprovechan del autopreview del mail

para saber si una dirección está viva.Actualmente representan más del 85% del

spam

Spam HTML

<BODY><DIV><FONT color ="FFFFFF">face=Arial size=2><SPAN class=906094222-11062004><a href="http://Tolbert.ertsqwas.com/?d=felo&a=g1"><img src="http://ewBil9.ebusinessell.com./p/7HNTpH"></a>

Función Autopreview

“Disfraz” de palabras

Consiste en agregar caracteres, números y elementos en general que alteren palabras

V.I.A.G.R.A.V1AGRAVI-A-GRAVIIIIIIAGRAV I A G R A

“Disfraz” de palabras

HTML Comments

Utilizan comentarios del lenguaje html para engañar a los filtros

Ejemplo: h<S=A7R>ealth<S=A7R>care Vi<b></b>agra F<XYZ>r<XXYA>ee Milli<!– xe64 ->onaire

El mail se despliega sin esos comentarios

Oscurecimiento de URLs

Las URLs pueden escribirse de varias formas

Utilizando caracteres hexadecimales, octales, binarios

El parser de html las recodifica y las despliega correctamente en el cliente

Evitan la detección de URLs por los filtros.

Oscurecimiento de URLs

<a href="http://rd.yahoo.com/spddnqmgwa/bltisg/lqwhv/nuvhaxt/psee/?http://%63%3900%33ho%73ti%6E%67%2E%63%6F%6D/cable/"><img src="http://rd.yahoo.com/spddnqmgwa/bltisg/lqwhv/nuvhaxt/nzlyq/?http://%63%3900%33ho%73ti%6E%67%2E%63%6F%6D/fiter.jpg" border="0"></A>

El Agujero Negro

En lugar de usar espacios se utiliza la entidad &nbsp

Ejemplo:V<font size=0>&nbsp;</font>i<font size=0>&nbsp;</font>a<font size=0>&nbsp;</font>g<font size=0>&nbsp;</font>r<font size=0>&nbsp;</font>a

Se despliega como V i a g r a, pero no es detectado por un analizador de texto.

Un juego de números

Viagra: &#86;&#105;&#97;&#103;&#114;&#97;

Combinandolo con lo anterior:&#86;<font size=0>&nbsp;</font>&#105;<font size=0>&nbsp;</font>&#97;<font size=0>&nbsp;</font>&#103;<font size=0>&nbsp;</font>&#114;<font size=0>&nbsp;</font>&#97;

Los filtros basados en análisis de texto no detectan esto

Viagra: 6 bytesEscrita así: 163 bytes

Manejo de Tablas

V i a g r aS a m p l e sF R E E

<table border=0 cellpadding=0 cellspacing=0><tr valign top><td><font face=Courier>V<br>S<br>F</font></td><td><font face=Courier>i<br>a<br>R</font></td><td><font face=Courier>a<br>m<br>E</font></td><td><font face=Courier>g<br>p<br>E</font></td><td><font face=Courier>r<br>l</font></td><td><font face=Courier>a<br>e</font></td><td><font face=Courier>&nbsp;<br>s</font></td></tr></table>

Viagra

Samples

FREE

El “non-delivery report”

Crean NDRs falsos, con un spam como attachment

Todo es falso, hasta el NDRHay técnicas para forzar NDRs

verdaderos con mensajes de spam incluido en un attachment

Envenenamiento de Filtros

Se construye el mail de spam con una parte de spam y una parte “inocente”

Esto confunde a los filtros conocidos como Bayesianos

Estos filtros evalúan pesos de palabras dentro de un contexto y asignan la probabilidad de spam o not-spam

Cuanto mayor es la cantidad de palabras inocentes, mayor la probabilidad de not-spam

CSS Spam

CSS: Cascading Style SheetsUltima tecnología de los spammersCombinan el envenenamiento de filtros

bayesianos con técnicas de ocultamiento de html basadas en CSS

Requieren filtros muy avanzados y fundamentalmente, actualizados.

Tinta Invisible

Tinta Invisible

Tinta Invisible Comentarios html para engañar analizadores detexto.

Tinta invisible

Camuflaje

Camuflaje

Camuflaje

Solo con lupa

Solo con lupaMicrodot

Phishing

Phishing

Agenda

Preguntas y más preguntasEl Problema EconómicoAspectos Legales Algunos Consejos Técnicas de SpamEl Futuro

El Futuro

¿Qué debemos esperar?

Tendencias

La evolución tecnológica del spam es permanente.

El crecimiento es exponencial. Legislar es difícil. Es un problema mundial. Mayor toma de conciencia de las empresas. Adquisición de software de filtrado con

actualización permanente. Revisiones del protocolo smtp. Iniciativas de Microsoft (Caller ID), Yahoo

(Domain Keys), SPF (Sender Permitted From:)

SPF (Sender Permitted From:)

Aparenta ser un próximo estándarSe basa en evitar el spoof de direccionesCombina cambios de smtp y dnsEl servidor destinatario chequea al emisor

antes de recibir el mailProblema a resolver: registración de

dominios para spam. Ejemplo: (fake@myspamdomain.biz)

Yahoo DomainKeys

Protege el from: utilizando esquemas de clave pública y privada.

Set-up: generación de par de claves (A)

Signing: generación de firma digital (B)

Preparing: se extrae la firma del campo from: firmado y la clave pública del DNS (C)

Verifying: Se hace la comparación

Delivering: Si son iguales se entrega,en caso contrario se aplican las políticasdefinidas (delete, quarantine, etc) (D)

Microsoft Caller ID

Esquema basado en DNSDefine un registro que identifique a los

servidores que envían mail.El objetivo es combatir el spoofingNo intenta verificar la dirección completa

sino solamente el dominio (@abc.com)Propone usar el registro TXT con XML

embebido almacenando políticas.

Análisis de las 3 propuestas

Debe encontrarse un estándar y no tres Los tres proponen mecanismos similares Se basan en la autenticación del sender Los tres son abiertos Los tres utilizan DNS como repositorio. Los tres implicarán cambios en TODOS los

servidores smtp del mundo. No va a ser nada sencillo implementar

cualquiera de ellos…

Conclusiones

Problema que seguirá incrementándose.Podría llegar a inutilizar el correo

electrónico como herramienta de comunicación

Las empresas deberán tomar medidas correctivas (software de filtro)

No va a ser nada sencillo implementar soluciones definitivas

Preguntas

¿?