Síntesis 2005
Estado del spam en el 2005 y perspectivas
La batalla contra el spam es la lucha contra la propagación de virus y aumento de zombies que son utilizados para distribuir spam, phishing y virus, todo un círculo vicioso que nunca hubiera existido si el protocolo SMTP (1982) hubiera definido mecanismos para evitar la falsificación del emisor de los mensajes
En Enero de 2004 Bill Gates afirmó en el Foro Económico Mundial, que el spam sería eliminado en 2 años, es decir, en el 2006, predicción que claramente no se ha cumplido. Por el contrario podríamos destacar este año como el de la consolidación y crecimiento del spam económicamente fraudulento, el llamado phishing que este año ha afectado a varias entidades financieras españolas distribuyéndose millones de mensajes. La posibilidad de llevar a cabo fraudes con suculentos beneficios económicos ha despertado el interés de spammers y hackers para participar en un negocio controlado por las cibermafias internacionales. La distribución de virus para controlar PCs, el alquiler de granjas de PC zombies para distribuir spam, troyanos o phishing están siendo un verdadero mercado “negro” y suculento negocio que está provocando un crecimiento desmesurado del spam y por supuesto un aumento de la inseguridad en el Red.
También destacaría en este 2005 la irrupción en el mercado del sistema de GMAIL, el servicio de correo electrónico de Google. ¿Por qué? porque ha roto moldes en la forma de ofrecer Servicio de correo: abierto y respetuoso con los estándares. Además el número de clientes que lo usan en este primer año ha sido lo suficientemente elevado como para tener un hueco en el mercado de los grandes (AOL,hotmail,yahoo etc) y ser tenido en cuenta en la toma de decisiones estratégicas acerca de nuevos estándares en el correo electrónico como se comentará a continuación.
Pero lo mas destacado de este año 2005 han sido los movimientos en el IETF para definir las líneas estratégicas de los estándares de autenticación del emisor en el correo electrónico. Por poner en antecedentes durante los últimos 2 años han surgido decenas de propuestas imaginativas que perseguían el gran problema del correo electrónico “autenticar al emisor de correo electrónico y evitar la suplantación de identidad” sin estropear otras ventajas o servicio: listas de distribución, reenvíos. De estas decenas de interesantes propuestas presentadas al IETF, dos han sido las que se han posicionado y han sido aceptadas como RFCs experimentales son: SPF/Sender-Id (Sender Policy Framework) avalada por Microsoft y DKIM (Domain Keys Identified Internet Mail) por Cisco y Yahoo. Siendo el posicionamiento y aceptación de cada una de las propuestas un juego de alianzas entre empresas tecnológicas del sector, cada una de las cuales intentando que los grandes operadores de correo (AOL,YAHOO,Hotmail,Gmail) apoyen cada uno de sus iniciativas. Ambas son diferentes aunque con los mismos objetivos, SPF/SenderID define un modelo simple para validar el origen mientras que DKIM utiliza la criptografía que además se utiliza para garantizar la integridad de los mensajes. Básicamente DKIM propugna que el servidor de correo firme todos los mensajes salientes. Probablemente ambas acaben como estándar RFC y que cada uno implemente una, otra o ambas incluso es posible que en un futuro aparezca otros candidatos. Pero todos esperamos el estándar para su implantación y que solucione parte de los problemas del correo electrónico.
Hay colectivos como las entidades financieras que la implantación de cualquiera de estos mecanismos de validación del dominio emisor reduciría muchos de sus problemas con el phishing.
Estadísticas
Hay un aspecto estadísticamente indiscutible: el aumento exponencial de tráfico basura (spam), es motivado exclusivamente por malware (troyanos, spyware) instalados en PCs con conexión residencial (ADSL, cable). Estos virus incluyen capacidades de motor SMTP lo que les permite actuar como un servidor de correo autónomo y controlar todo el proceso de envío y distribución de correo sin necesidad de pasar por el operador del usuario. Según las estadísticas del la red de sensores del Centro de Alerta Antivirus en el último año el 85% de los correos analizados corresponden a virus con estas capacidades especialmente variantes del Netsky, Sober, Zafir y Bagle. Estos virus comprometen miles de máquinas (zombies) que son gestionadas como una red (botnet) para diferentes actividades maliciosas: phishing, spam comercial, difundir virus etc. Las máquinas infectadas pertenecen en su gran mayoría a redes de acceso residencial (cable, ADSL etc.). Spamhaus.org tiene una lista de 4 millones de máquinas infectadas, unas 60-100 mil máquinas por semana. Para propagarse los virus analizan el disco del ordenador comprometido buscando direcciones de correo en libreta, ficheros etc. Una vez con direcciones de correo de destino ya puede llevar a cabo la distribución de miles de mensajes. En el proceso de envío, el virus falsifica la dirección del emisor, ésta es una de las tácticas más habituales de los virus y su solución uno de los frentes más activos en la lucha contra el spam. Una solución alternativa que cada vez tiene mas peso es la definición de un marco de autorregulación a nivel nacional acerca del intercambio de correo entre operadores nacionales haciendo hincapié en que los operadores de ADSL controlen el tráfico de correo de estas conexiones residenciales. No debemos olvidar que estás redes de botnes igual que sirven para hacer spam valen para ataques de tipo DoS contra quien consideren oportuno, bastaría con buscar y pagar a la cibermafia y hacer un encargo.
El virus con más amplia difusión por correo ha sido el Sober.AG, que apareció en Noviembre de 2005 y cuyo éxito ha sido debido al uso del direcciones del FBI o CIA (@fbi.gov y @cia.gov) como emisores del mensaje y acusando a los receptores de haber visitado páginas ilegales y solicitando rellenar el cuestionario que adjuntaba.
Actualmente la batalla contra el spam es la lucha contra la propagación de virus y aumento de zombies que son utilizados para distribuir spam, phishing y virus, todo un círculo vicioso que nunca hubiera existido si el protocolo SMTP (1982) hubiera definido mecanismos para evitar la falsificación del emisor de los mensajes. Todos los esfuerzos anti-spam se concentran en identificar al emisor, mientras no exista ese estándar que garantice dicha identidad se seguirán utilizando filtros y políticas de conexión unilaterales lo que está provocando un preocupante aumento de falsos positivos. Las direcciones IP dinámicas de los ADSL residenciales son la gran preocupación de las operadoras que por oscuros motivos no pueden o no desean controlar este tráfico de correo saliente que en un 99% de caso es malware, que está provocando enorme inseguridad en la red y obligando a los destinatarios a bloquear este tráfico.
Los dos grandes objetivos del spammer son búsqueda de direcciones de correo electrónico y disponibilidad de servidores de distribución. Esto último es lo que se está haciendo con las redes de zombies como se comenta mas arriba. Pero la búsqueda de direcciones de correo válidas es otro objetivo que está creando enormes problemas a los servidores de correo. Hasta ahora la forma mas simple es la localización de direcciones en las páginas Web, aunque sigue siendo una técnica habitual los spammers buscan aumentar el volumen de nuevas direcciones.
Uno de los incidentes más graves provocados por el spam durante el último año han sido los ataques de DHA (Directory Harvest Attacks) sobre los servidores de correo. Son ataques son enormes flujos de spam para localizar nuevas direcciones de correo. Para ello envían decenas de miles de mensajes sobre determinado dominio destinado a direcciones de usuario alfabéticamente ordenadas. Aprovechándose de la educación de los sistemas de correo y por un proceso de eliminación los mensajes que son devueltos con un informe como “Usuario desconocido” son interpretados por los hackers, spammers o programadores de virus como que no existen y el resto son incorporados a la base de datos de direcciones correctas. Esto provoca una sobrecarga adicional en los servidores.
También se ha detectado como los hackers se acoplan al aumento de rudimentarios conocimientos en seguridad. Se ha insistido tanto a los usuarios que “no abran ciertos tipos de adjuntos maliciosos que reciben por correo de desconocidos” que los hackers han tenido que redoblar sus esfuerzos contrarrestar estos consejos ¿cómo? Con los ficheros de doble extensión. Son adjuntos con extensiones del tipo “filename.txt.exe” para engañar al usuario que piensa que es un fichero txt. También hay ficheros .COM (ejecutables de dos) al final de una palabra y que parecen ser direcciones de Web acabadas en .com
Previsiones para el 2006
Se esperan resultados, planes de trabajo y desarrollos de los nuevos estándares de correo electrónico: SPF y DKIM como una luz de esperanza del fin de este largo y oscuro túnel del spam. Se espera que algún organismo nacional o internacional fomente la autorregulación del sector para frenar la sangría e inseguridad que suponen los ADLS residenciales.
Por otro lado se espera nuevos tipos de spam de carácter más sociológico y enfocados a estafas y timos. Se espera los primeros tipos spam para la Voz IP (spit) cuyas posibilidades para el spam son enormes: llamadas automáticas para preguntar por determinados datos, donde un vez mas no hay control sobre el origen de la llamada, se empezará recomendar “solo recoja las llamadas de las personas de su confianza” con la diferencia que sino se cogen se colapsan los terminales y no se pueden recibir nuevas llamadas.
El spam y los ataques continuarán pero la experiencia y la enorme cantidad de herramientas que existen hará mas sencillo su control con los consabidos efectos de aumento de falsos positivos.
Enlaces de interés:
– SPF: A Sender Policy Framework to Prevent Email Forgery
– DKIM - Domain Keys Identified Mail
– IETF
– SPF