martes, 5 de abril de 2011

III Seminario de Seguridad Informática. Tecnología AntiSpam

by Germán Díaz - Microsoft
Spam
  • Spam es un término técnico internacional que representa un tipo de comunicación comercial.  
  • En España se legisla por la LSSI. 
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.  
  • Se modifica dicha ley el 4 de Noviembre de 2003 con modificaciones específicas para el Spam.
  •  Artículo 20. Información exigida sobre las comunicaciones comerciales, ofertas promocionales y concursos.  
  • 1. Las comunicaciones comerciales realizadas por vía electrónica deberán ser claramente identificables como tales y deberán indicar la persona física o jurídica en nombre de la cual se realizan. 
  • En el caso en el que tengan lugar a través de correo electrónico u otro medio de comunicación electrónica equivalente incluirán al comienzo del mensaje la palabra «publicidad».
  • Artículo 20. Información exigida sobre las comunicaciones comerciales, ofertas promocionales y concursos. [continuación] 
  • 2. En los supuestos de ofertas promocionales, como las que incluyan descuentos, premios y regalos, y de concursos o juegos promocionales, previa la correspondiente autorización, se deberá asegurar, además del cumplimiento de los requisitos establecidos en el apartado anterior y en las normas de ordenación del comercio, que queden claramente identificados como tales y que las condiciones de acceso y, en su caso, de participación se expresen de forma clara e inequívoca.
  •  Artículo 21. Prohibición de comunicaciones comerciales no solicitadas realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes.  
  • Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
  • Ampliación del articulo 21 el 4 de Noviembre de 2003.
  • 2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.
  • Ampliación del articulo 21 el 4 de Noviembre de 2003. [continuación]
  • En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.
  • Artículo 22. Derechos de los destinatarios de comunicaciones comerciales.
  • 1. Si el destinatario de servicios debiera facilitar su dirección de correo electrónico durante el proceso de contratación o de suscripción a algún servicio y el prestador pretendiera utilizarla posteriormente para el envío de comunicaciones comerciales, deberá poner en conocimiento de su cliente esa intención y solicitar su consentimiento para la recepción de dichas comunicaciones, antes de finalizar el procedimiento de contratación.
  • Artículo 22. Derechos de los destinatarios de comunicaciones comerciales. [continuación]
  • 2. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.
A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado.Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.
  • Artículo 38. Modificación Noviembre 2003. Son infracciones graves:  
  • b) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente, a destinatarios que no hayan autorizado su remisión o se hayan opuesto a ella o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando éste no hubiera solicitado o autorizado su remisión o se hubiera opuesto a ella.
  •  Artículo 38. Modificación Noviembre 2003. Son infracciones graves: [continuación]  
  • d) El envío de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente a los destinatarios que no hayan autorizado su remisión o se hayan opuesto a ella, cuando no constituya infracción grave.
  • Disposición final cuarta. Entrada en vigor.  
  • La presente ley entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado. BOE – 264. Martes 4 de Noviembre de 2003. 
  • Por tanto, Mando a todos los españoles, particulares y autoridades, que guarden y hagan guardar esta ley.
  • El costo que genera esta basura electrónica se calcula en unos 10.000.000.000 $ anuales en Europa y 25.000.000.000 $ en todo el mundo.  
  • El envío de correos electrónicos comerciales no solicitados, más conocidos como spam, cuesta de media a las empresas 300 euros por empleado al año, según un estudio de la compañía Sybari Software. 
  • Se calcula que 3 de cada 4 mensajes que circulan por Internet son Spam.
 Publicación de Servicios Exchange con ISA Server 2004
Juan Luís Rambla
Consultor de Sistemas y Seguridad

Servicios de Mensajería
  • La comunicación en las empresas debe ser: 
    • Rápida. Alta disponibilidad del servicio. 
    • Flexible. Múltiples clientes. Múltiples protocolos.
    • Segura. Protección contra DOS, integridad de contenido, privacidad, ataques víricos. 
  • Los servicios de mensajería son, en la actualidad, de los más críticos. 
  • MS ISA 2004 proporciona mecanismos eficaces que garantizan la seguridad y disponibilidad del servicio.
MS ISA Server 2004
  • Proporciona mecanismos para controlar el tráfico entre las diferentes redes. 
  • El tráfico es controlado mediante políticas de Firewall a nivel de: 
    • Red. 
    • Aplicacion.
  • El Filtrado a nivel de aplicación oferta funcionalidades muy flexibles mediante Add-ins

Integración con MS Exchange 2003

  • MS ISA Server 2004 proporciona dos metodologías para gestionar el tráfico de correo.
    • Aplicación. 
    • Reglas de acceso para permitir el tráfico de protocolos entre redes
    • Publicación de los Servicios de Exchange a través de ISA Server 2004 .
      • RPC, SMTP, POP3, IMAP4.
      • OWA, OMA, Active Sync.
Reglas de Acceso
  • Permiten la transferencia de información a través del Firewall.
  • Son opciones de seguridad “clasicas” en Firewalls a Nivel de Aplicación.
  • Vienen determinadas por:
    • Condición de la regla.
    • Protocolo.
    • Origen del mensaje.
    • Destino del mensaje.
    • Usuarios.
Reglas de Acceso para Mensajería
  • ISA Server 2004 predefine en las reglas de acceso los siguientes protocolos relacionados con los Servicios de Mensajería
    • SMTP
    • POP3
    • IMAP4
    • HTTP
    • RPC
Reglas de Acceso
Publicación de Servidores
  • Con la publicación de servidores se mantiene la integridad de los servicios no exponiéndolos a agentes externos. 
  • ISA Server 2004 se encarga de recoger las peticiones de los clientes y remitirlas a los servidores. 
  • Esta solución permite el análisis del mensaje y la reconstrucción del mismo una vez constatadas sus credenciales.


Integración con Exchange

  • ISA 2004 proporciona metodologías de publicación de los servicios de Exchange: 
    • Clientes de acceso WEB. 
    • Clientes de correo. 
    • Comunicaciones Servidor - Servidor 
Clientes de Acceso Web

  • Publicación de los servicios: 
    • Outlook Web Access (OWA) 
    • Outlook Mobile Access (OMA) 
    • Exchange Server Activesync.
  • En la publicación se decide:
    • Servicios a publicar
    • Bridging - Tunneling
    • Servidor WEB Mail.
    • Listener de Servicio. 

Bridging - Tunneling


  • El sistema aúna la funcionalidad del bridging de ISA Server 2004. 
  • Permite el establecimiento de conexiones seguras entre Cliente e ISA Server, e ISA y Exchange. 
  • También podrán establecerse conexiones seguras estándar – Tunneling. 

Listener de Servicio

  • Define que puerto y por que red, estará escuchando el servidor MS ISA Server 2004 para enviar las peticiones al Servidor MS Exchange 2003:
    • Nombre de máquina. 
    • IP de máquina. 
    • Puerto de servicio. 
    • Puerto de servicio Seguro.
Filtros y Políticas HTTP
  • La publicación de los servicios OWA se ven beneficiados de los filtros y las políticas HTTP. 
  • Estos van a garantizar la integridad de los datos, previniendo posibles ataques contra sitios WEB. 
  • Exixte un add-in que permite filtrar las comunicaciones HTTP y puede ser utilizado contra:
    • Ataques a servidores web clásicos (XSS, Sql Injection,...) 
    • Spam vía web.
Publicación de Servicios de Correo
  • MS ISA 2004 permite la publicación de servicios de correo. 
    • SMTP. 
    • POP3. 
    • IMAP4. 
    • RPC para Outlook. 
  • Pueden ser filtrados con Add-ins.
Acceso al Servidor
  • MS ISA Server 2004 garantiza el acceso al servidor desde las maquinas o redes seleccionadas. 
  • El sistema presenta una serie de filtros de aplicación (ADD-INS) que dotan de mayor consistencia a la publicación de servidores. 
  • Detección de intrusión POP3 (Buffer Overflow). 
  • Filtros RPC. 
  • Filtros SMTP.
Message Screener
  • MS ISA Server 2004 proporciona una serie de filtros de aplicaciones para el control de tráfico. 
  • El protocolo SMTP presenta un filtro que realiza el control de los comandos SMTP. 
  • MS ISA Server 2004 amplía la funcionalidad del filtro SMTP mediante el Message Screener.
Instalación
  • Message Screener se instala como un componente adicional de MS ISA 2004. 
  • Puede ser instalado sobre cualquier servidor que ejecute IIS 5.0 o 6.0 y tenga instalado el Servidor SMTP. 
  • No se recomienda su implementación sobre el servidor MS Exchange Server 2003, ya que podría interferir en los filtros propios. 


Implicaciones de Implantación
  • En función de los escenarios de implantación, habrá que tener en cuenta las siguientes medidas: 
    • Publicar DNS para reconocer los Servidores de correo Internos. 
    • Publicar o crear las reglas de acceso necesarias para los servidores SMTP. 
    • Establecer conexiones entre servidores SMTP.
Funcionalidades
  • Message Screener aporta mayores funcionalidades controlando: 
    • Palabras en cabecera o cuerpo del mensaje. 
      • Permite parar Virus difundidos por e-mail cuando aún no hay vacunas. 
    • Bloqueos de remitente y dominios. 
    • Correos con attachments.

Acciones de Filtrado
  • Cuando se aplica una regla de filtrado se pueden establecer 3 acciones diferentes: 
    • Eliminar el mensaje. 
    • Retener el mensaje para inspeccionarlo posteriormente. 
    • Enviar una notificación a una dirección de correo.
Logs
  • Message Screener crea un registro de información donde podemos comprobar las acciones que ha estado realizando el filtro. 
  • El log permite establecer la ruta de inserción de datos y los campos que van a ser registrados. 
  • Puede integrarse con monitorizadores de aplicaciones como MicroSoft Operations Manager (MOM).
Técnicas de detección de SPAM
Chema Alonso
MVP Windows Server Security
Técnicas de detección de SPAM
  • Filtrado de Contenido 
  • RBLs (Real Time Black Holes)
  • Análisis Heurístico 
  • Filtros Bayesianos 
  • Checksums 
  • Combinación de técnicas
 Filtrado de Contenido
  • Muy útil como herramienta de administración de contenido 
    • Evita que cierto tipo de palabras y tópicos sen enviados hacia o desde los usuarios 
  • Sin embargo, es ineficiente para controlar el SPAM 
    • Requiere una atención continua del Administrador (varias horas por día) 
    • Algunos simples trucos lo hacen vulnerable 
      • Ejemplos: $ave, V*i*a*gr*a, Chëὰρ 
        • Existen 105 variantes solo para la letra A! 
    • Genera muchos falsos positivos 
      • Imposible de utilizar en ciertas industrias
  • ¡¡¡Piensen si los administradores de correo serían capaces de mantener listas de palabras!!! 
  • Aquí tienen diferentes formas de deletrear la palabra Viagra …
 V I @ G R A , V--1.@--G.R.a, \./iagra, Viiagra, V?agr?, V--i--a--g--r-a, V!agra, V1agra, VI.A.G.R.A, vi@gra, vIagr.a, via-gra, Via.gra, Vriagra, Viag*ra, vi-agra, Vi-ag.ra, v-iagra, Viagr-a, V^I^A^G^G^A, V'i'a'g'r'a', V*I*A,G,R.A, VI.A.G.R.A..., Viag\ra!, Vj@GRA, V-i:ag:ra, V'i'a'g'r'a, V/i;a:g:r:a, V i a g r @, V+i\a\g\r\a, Viag[ra, V?agra, V;I;A*G-R-A, V-i-a-g-r-a, V*I*A*G*R*A , V-i-@-g-r-a, VI@AGRA, Vi@gr@, \/^i^ag-ra, VlAGRA, V\i\a.g.r.a, V1@GRA, v_r_i_a_g_r_a, V\i\a:g:r:a, V^i^a^g^r^a, V-i-@-g-r-@, Viag(ra.
RBLs (Real Time Black Holes)   
  • Las RBLs son listas de supuestos spammers y sus dominios/direcciones IP. 
    • Ejemplos: SpamCop, MAPS, SPEWS, Dorkslayers 
  • Generalmente es manejado por voluntarios, por lo cual no existe una auditoría, y a menudo bloquean mas de la cuenta 
    • Algunos ISPs son agregados, aún cuando envían correos legítimos 
    • No figurar en estas listas puede llevar desde días a meses 
  • Requiere la utilización de muchas listas blancas para no generar falsos positivos

Análisis Heurístico

  • Utiliza una técnica que busca miles de características y/o palabras para identificar SPAM y asignar una calificación 
    • El nivel de SPAM debe ser ajustado periódicamente
  • Es utilizado en muchos productos antispam 
  • Muy conocido por los spammers 
    • Sitios Web de spammers permiten verificar el spam contra motores heurísticos 
  • Incrementar el nivel de detección significa incrementar los falsos positivos
Filtros Bayesianos
  • Es un sistema de aprendizaje que se basa en análisis estadticos de vocabulario 
    • Listas de palabras “buenas” y “malas”
  • Necesita de la intervención del usuario para que sea efectiva 
  • Puede ser muy efectiva para usuarios individuales 
  • Es atacado deliberadamente por los spammers 
    • Texto generado aleatoriamente baja la calificación de spam, incrementando el número de palabras “buenas”  
    • Generalmente con palabras escondidas dentro de código HTML
Checksums
  • Crea un “fingerprint” de ejemplos de spam conocido 
  • La Base de Datos se actualiza periódicamente
  • Es reactivo 
    • Por definición, el “fingerprint” es creado luego de identificar el correo como spam 
  • Es posible evitarlo con una técnica llamada “hash busting” – agregando diferentes caracteres dentro del mensaje
Ejemplo de Hash busting
¡Los Spammers dan guerra!
  • Los Spammers están activamente involucrados en trabajar para evitar los filtros generados por las diferentes tecnologías 
  • Algunos Ejemplos…..
Definition of SPAM – spam is not the same for everybody. One user’s spam is another’s valid email. So there is a need to delegate decision making.
Privacy - Is the cure worse than the problem? -- Privacy is a key issue. Some spam solutions send entire emails outside of an organization. Others use quarantine solutions. This means that the admin must read the message content to decide if something is spam. This creates a potential for deliberate or inadvertent access to private information.
False positives/high detection: every solution will claim this. But with content-based solutions, the higher you turn the “sensitivity” to spam, the more false positives you get
Corporate / MIS control (Solicited – Private email): some mail that has the characteristics of spam is wanted, such as newsletters. MIS needs to be able to open the doors to these emails. You need a combination of IT and user control.

Individual control: Relieving the administrator – the administrator cannot be expected to spend all day writing rules.
Ever changing enemy: Staying on top of the challenge – spam attacks happen in real-time and must be reacted to in the same way.

Filtros AntiSpam en MS Exchange Server 2003


Problemática
  • Plataforma Relay de correo:
    • El ataque se produce cuando un usuario malicioso vulnera la seguridad de la plataforma para enviar correo masivo a través de nuestro servidor. 
  • Receptor de Correo Spam: 
    • Se reciben correos que cargan el rendimiento, reducen la productividad de los empleados y generan gastos directos(sistemas de backup, conexiones GPRS, ancho de banda, soporte...)
Problemática Técnica Relay
 


Soluciones Exchange Server 2003

  • Opciones de Seguridad para no admitir Relay y, por tanto, no ser plataforma de correo “Spam”. 
    • Bloqueo de Relay por defecto para todos los clientes no autenticados.
    • Bloqueo por dominios. 
    • Bloqueo por usuarios. 
    • Bloqueo por máquinas.
  • Opciones para detener el correo spam recibido:
    • Filtro de Remitente.
    • Filtro de Destinatario. Nuevo.
    • Filtro de Conexión en tiempo real. Nuevo.
    • Filtros de Junk e-mail. Nuevo.
    • Listas Autenticadas. Nuevo.
    • IMF. Nuevo.
  • Filtro de Remitente. (Filtro Estático)
    • Bloquea los mensajes que proceden de determinados usuarios.
  • Filtro de Destinatario (Filtro Estático)
    • Bloquea los mensajes que van dirigidos a determinados destinatarios.
  • Listas Autenticadas
    • Se discrimina solo a usuarios autenticados para enviar mensajes a listas de correo 
  • Filtros de Conexion
    • Exchange Server 2003 comprueba en tiempo real si un servidor que está enviando correo esta almacenado en una base de datos de servidores nocivos
  • Implantación de filtros de conexión
    • Implantamos en un servidor DNS una zona de consulta para almacenar los servidores bloqueados. Ej. [ bloqueados.midominio.com ]
    • Añadimos registros del tipo
    • Configuramos un filtro para que se consulte la zona anterior cada vez que se recibe una conexión de servidor

Filtro de Conexión

  • Filtros Junk e-mail en Cliente
    • Opciones de Outlook 2003
    • El cliente tiene la opción de configurar los correos nocivos
    • El Servidor y Sw de terceros catalogan los mensajes para entrar en la carpeta de Junk-email 


Intelligent Message Filter & Advance Spam Manager

Juan Pablo Senftleben
Presales Engineer




Dos Motores

  • Microsoft IMF 
    • Utiliza la tecnología SmartScreen™  
    • Conjunto detallado de reglas que son comparadas con el correo entrante 
  • Sybari ASM 
    • Integra el motor de detección de spam SpamCure™ 
    • Utiliza una cominación de “Bullet Signatures” y el motor STAR 

Tecnología SmartScreen

  • La tecnología SmartScreen permite que Intelligent Message Filter distinga entre los mensajes de correo legítimos y el correo comercial no solicitado u otro tipo de correo electrónico no deseado
  • Hace un seguimiento de más de 500.000 características de correo electrónico basadas en datos de cientos de miles de suscriptores del servicio MSN® Hotmail® que participaron voluntariamente en la clasificación de millones de mensajes de correo electrónico
  • Ayuda a filtrar el correo no deseado antes de que llegue a la bandeja de entrada del usuario
  • La base de datos utilizada para almacenar las características se actualiza con nueva información de patrones del origen de la muestra, lo que hace que el filtro sea más eficaz y actual
  • El filtro inteligente de mensajes utiliza esta base de datos para reconocer modelos de mensajes legítimos y no legítimos
  • Permite llevar a cabo una evaluación más precisa de la legitimidad de un mensaje de correo electrónico entrante

Nivel de Confianza del correo no deseado

  • IMF evalúa el contenido de los mensajes en busca de modelos reconocibles y les asigna una clasificación basada en la probabilidad de que el mensaje sea correo comercial no solicitado o correo no deseado
  • La clasificación se almacena en una base de datos con el mensaje como una propiedad llamada nivel de confianza de correo no deseado (SCL)
  • Los administradores configuran dos umbrales que determinan la forma en que IMF controla los mensajes de correo electrónico con diferentes niveles de SCL:
    • El Umbral de la pasarela de correo con una acción asociada que se lleva a cabo en mensajes que sobrepasan el umbral
    • Umbral de almacén de buzón



Filtrado de Exchange 2003 y Outlook 2003

  • Exchange 2003 proporciona un conjunto de métodos de bloqueo y filtrado que se utilizan también para reducir el correo comercial no solicitado y el correo no deseado 
    • Compatibilidad con proveedores de servicios de listas de bloqueo en tiempo real  
    • Listas globales de aceptación y rechazo  
    • Filtrado de remitentes  
    • Filtrado de destinatarios de entrada  
    • Mejora de la capacidad para restringir los envíos y la retransmisión mediante un servidor virtual SMTP (Simple Mail Transfer Protocol, Protocolo simple de transferencia de correo)
  • Cada uno de estos métodos de Exchange 2003 se utiliza durante la sesión SMTP
  • Intelligent Message Filter se aplica después de la sesión SMTP
  • Los mensajes de correo electrónico que pasan por el filtrado de destinatario, remitente o conexión se tratan individualmente y no se envían a través de Intelligent Message Filter
  • Al igual que Intelligent Message Filter, Outlook 2003 utiliza la tecnología Smartscreen, que tiene en cuenta varios factores, como la hora y el contenido del mensaje, para evaluar si un mensaje debe tratarse como correo electrónico no deseado

Advance Spam Manager Tecnología SpamCure



Bullet Signatures

  • La Base de Datos de los “Bullet signatures” es creada y revisada por un grupo de expertos 
  • Los “Bullet signatures” son una combinación de atributos únicos de un spammer en particular 
    • Un conjunto de datos extraídos de la cabecera, del campo asunto y del cuerpo del mensaje 
    • Funciona tanto para spam actual como futuro 
    • Creados para conseguir características únicas del mensaje que no puedan estar presentes en correos legítimos 
    • No puede ser falseado por técnicas como el “Hash Busting”. 

STAR Engine

  • El motor STAR trucos y técnicas específicas de los spammers 
    • Spammer Tricks Analysis and Response 
  • Utiliza los “Bullet Signatures” para buscar métodos específicos de spamming 
  • Se actualiza automáticamente cuando se lanza una nueva versión del motor 
  • Desde el comienzo está diseñado para soportar cualquier idioma, incluso los de doble byte.

Uno Más Uno es Mucho Más que Dos

  • Supongamos que recibimos 10.000 correos de SPAM  
  • Si el IMF analiza primero, el total de correos de SPAM se reduciría a un total de 1500 
  • Por lo tanto, SpamCure™ detectaría el 95% del restante, es decir de los 1500 
  • Lo que reduce a 75 los correos de SPAM que recibiríamos 

Combinando Tecnologías

  • El motor IMF analiza los correos en primer lugar 
  • Se aplica una clasificación SCL a cada correo 
  • Después pasa por ASM, que también analiza el mensaje 
  • ASM nunca reducirá la clasificación de IMF


Administración del Correo



Resumen

  • Dos sistemas de detección de spam para lograr una mayor efectividad 
  • Mínima intervención humana 
  • Fácil de instalar y configurar 
  • Integración entre cliente y servidor 
  • Ratio de detección del 99%, mucho mayor que la que pueda ofrecer cualquier tecnología pos sí misma

0 comentarios:

Publicar un comentario