Архив новостей

ISP затягивают гайки

Не закрутить ли краник?

Сегодня ISP стоят перед необходимостью применения более сложной тактики в борьбе со спамом. Требования усилить контроль за исходящей почтой вызваны возрастающим числом зомби-машин, используемых для рассылки спама. Зомбированные машины позволяют рассылать спам с аккаунтов легитимных пользователей без их ведома. В этих случаях при фильтрации входящей почты может быть заблокирована и нормальная корреспонденция. Контроль исходящей почты позволяет «доставать» именно зомби.

Провайдеры вынуждены принимать соответствующие меры. По информации Associated Press, в настоящее время почтовые программы клиентов EarthLink перед отправкой корреспонденции должны ввести пароли. Ранее, как и большинство провайдеров, EarthLink подтверждал только легитимность аккаунта, с которого принимались письма. Однако с распространением зомби-машин этой меры стало явно недостаточно.

Поэтому Earthlink начала распространять новое ПО. Загрузка и настройка программы осуществлялась, когда клиенты обращались в службу поддержки по другим вопросам. Нововведение EarthLink проходит поэтапно, в течение года специальное ПО установлено уже у 80% клиентов компании.

По словам Стефана Курри (Stephen Currie), директора по связям с общественностью компании EarthLink, любое действие по рассылке десятков тысяч одинаковых писем из сетей EarthLink будет тут же обнаружено и пресечено.

Некоторые провайдеры для борьбы с исходящим спамом внедряют специальные лимиты на число передаваемых сообщений в интервал времени, либо ограничивают скорость работы почтовых серверов, таким образом, делая нереальной возможность отправки миллионов сообщений за несколько часов.

В одной из недавних работ, посвященных проблеме зомби, отмечается тот факт, что спамботы, как правило, пересылают письма, полученные извне. Автор призывает тех, кто будет бороться со спамом, обратить внимание на трафик, приходящий в спамбот. Можно отслеживать команды, засылаемые в сеть от спамерами. Хотя эти команды приходят на нестандартные порты, эти порты известны (они должны быть таковыми, иначе спамеры не смогли бы найти их).

Хотя любое новшество требует времени и денег, ISP движет не только забота о получателях. Провайдер, из сети которого распространяется много спама, рискует попасть в списки запрещенных и снискать недовольство клиентов.

Не случайно одной из самых жестких антиспамовых политик славится AOL. У крупнейшего провайдера США со спамерами свои счеты.

В 90-х AOL был самым известным источником спама в Интернете. В результате, в значительной степени пострадала репутация провайдера, AOL потерял существенную часть своих клиентов. По информации компании, только за 2004 год их число уменьшилось на 2 миллиона (всего число подписчиков America Online составляет около 23 миллионов).

Согласно принятым стандартам AOL, провайдер активно использует сервисы RBL, такие как MAPS. Блокируется спам, рассылаемый с открытых релеев, ботнетов, систем с небезопасными почтовыми скриптами и других источников спама.

Такие же сервисы используются и блокирования спама, приходящего непосредственно от резидентных клиентов ISP.

Однако AOL пошел много дальше. Если отправляющая система не имеет записей PTR (обратные DNS), почта с нее отвергается. Если сообщение содержит шестнадцатеричный URL (такой как http://%73%70%61%6d/), оно отвергается. Если AOL отвергает более 10% сообщений от провайдера, AOL может заблокировать вообще все сообщения этого провайдера. Есть и другие похожие правила.

Ларри Селтзер (Larry Seltzer), редактор Security Center eWeek.com, в одной из своих недавних статей (см. ниже), упоминает о том, что многие ISP жаловались ему на других провайдеров, которые совершенно не беспокоит тот факт, что их сети используются для рассылки миллиардов спамерских сообщений и почтовых червей. Жесткая политика AOL направлена на использование авторитета ISP с тем, чтобы заставить других провайдеров как следует отрегулировать их потовые системы. Если ISP не в состоянии блокировать исходящий спам, AOL может заблокировать самого провайдера.

Кое-кто поговаривает даже о новой стратегии в борьбе со спамом, хотя концепция блокирования спама перед отправкой не нова. В течение многих лет борцы со спамом призывали провайдеров конфигурировать почтовые серверы таким образом, чтобы спамеры не могли использовать их для рассылки спама.

Одно из требований к ISP — блокировать 25 порт.

Последний пункт вызывает серьезную полемику, хотя большинство разработчиков антиспамовых решений единодушны во мнении, что 25-й TCP порт должен быть закрыт для обычных интернет-пользователей.

Опять 25

Ларри Селтзер (Larry Seltzer), редактор Security Center eWeek.com, вернулся к проблеме 25-го порта в своей статье под говорящим названием «Shutting Down The Highway To Internet Hell» (отключение скоростного доступа в интернет-ад).

25-й порт — одна из основных составляющих интерфейса Интернета, через которую почтовые серверы, как правило, отправляют почту друг другу. Для пользователей является нормой пересылка почты через 25-й порт, но делается это через почтовый сервер провайдера, откуда почта пересылается на соответствующие адреса. Именно этот сервер определяется как сервер исходящей почты в конфигурации почты клиента.

Если же компьютер пользователя зомбирован, троянское ПО позволяет спамерам напрямую рассылать с него большие количества спамовых писем, минуя сервер ISP. Cпам может отправляться прямо на сервер домена-мишени.

У подавляющего большинства пользователей необходимости прямого доступа в Интернет нет, они прекрасно обходятся стандартной процедурой отправления почты через почтовые серверы ISP. Для таких пользователей закрытие 25-го порта остается незамеченным.

Хотя речь о закрытии 25-го порта для всех пользователей идет давно, многие компании-провайдеры до сих пор предоставляют абонентам возможность использовать свои компьютеры как почтовые серверы и не хотят терять таких клиентов, полностью блокировав 25-й порт. Особенно упорствуют в этом небольшие ISP.

Разумеется, существуют пользователи, которые на самом деле нуждаются в доступе к порту. Например, им может быть необходим почтовый сервер, отличный от сервера ISP, из соображений конфиденциальности.

Хотя некоторые и считают, что у ISP нет причин позволять клиентам обходить серверы провайдера, по мнению Селтзера, провайдеры вполне могли бы делать некоторые исключения для клиентов, желающих использовать 25-й порт. Особенно если эти клиенты готовы подчиняться определенным правилам безопасности и не намерены злоупотреблять своими привилегиями.

Один исследователь предположил, что намного легче для ISP блокировать всех скопом, чем контролировать — кто должен быть заблокирован, а кто нет. Но это, по мнению автора статьи, просто попытка оправдать леность.

Примером эффективности закрытия 25 порта может послужить история кабельного провайдера Comcast, предоставляющего широкополосный доступ в Интернет 5,7 млн. пользователей.

По данным Comcast, год назад из 800 млн. сообщений, которые ежедневно отправляли ее пользователи, около 700 млн. представляли собой спам, рассылаемый с зомбированных компьютеров, владельцы которых, как правило, даже не подозревали об этом. Comcast неоднократно обвиняли в том, что компания никак не реагировала на рассылки спама с компьютеров своих абонентов.

В конце концов, Comcast, признала, что является «главным спамером», и взялась за решение проблемы. Проведя мониторинг трафика, Comcast закрыла 25-й порт для части компьютеров, подозреваемых в рассылке спама. В кабельные модемы абонентов была загружена новая конфигурация, предотвращающая передачу данных через 25-й порт. Результат — уменьшение объема исходящего спама на 20%.

Такие крупные провайдеры, как America Online и Earthlink, требуют, чтобы вся почта пользователей проходила через их серверы. Около трети провайдеров уже блокировали 25-й порт, а еще треть собираются это сделать. Однако остались и такие, которые, по мнению Селтзера, просто не хотят тратить дополнительных усилий, оправдываясь тем, что их системы имеют избыточные производственные мощности, достаточные, чтобы выдержать нагрузку. В таких случаях у остальных ISP нет иного выбора, кроме как блокировать ISP, нарушающих нормальную работу, что AOL и делал много раз.

По утверждению Селтзера, хорошо известен тот факт, что ISP не предпримут никаких мер против «родных» спамеров, пока их клиентов не лишат возможности отправлять почту. В несколько вольном переводе пассаж автора мог бы звучать так: пока гром не грянет, ISP не начнет блокировать 25-й порт. В качестве громовержцев у Селтзера выступают такие RBL, как Spamhaus и MAPS.

Хотя автор статьи и признает, что у некоторых эти списки пользуются плохой репутацией, тем не менее, считает, что они могут сыграть свою положительную роль, и немалую. (Отметим, что сам Селтзер оказался в числе пострадавших: его адрес был заблокирован, попав в список запрещенных. Однако в этом случае вину за прискорбное событие Селтзер возлагает на своего провайдера, который не позаботился о том, чтобы пресечь рассылку спама из сети).

Не каждый маленький домен способен блокировать крупного ISP. Для маленьких компаний это оборачивается вредом и недовольством клиентов, а большой провайдер даже не заметит того, что его заблокировал «младший брат». Но когда большой ISP попадает в широко используемый список запрещенных, это не может остаться без его внимания. В любом случае, если вы заблокировали кого-то, вы должны быть готовы «отвечать за базар».

Есть и еще один существенный момент, который, судя по всему, останавливает некоторых ISP. Блокирование 25-го порта переносит бремя затрат на спам с конечных пользователей на ISP и возлагает ответственность на тех, чьи недочеты в администрировании ведут к неконтролируемому распространению спама.

Заставьте спамеров сменить курс

Тот факт, что в последнее время спамеры изменили тактику и начали рассылать спам с зомби через почтовые серверы ISP, ничуть не смущает Селтзера. Напротив, он считает, что это дополнительный аргумент в пользу закрытия 25-го порта. Закройте 25-й порт, заставьте зомби рассылать спам через серверы ISP, и вы получите возможность отслеживать зомбированные машины.

Напомним: поскольку многие ISP блокируют 25-й порт, спамеры были вынуждены искать способы обхода защиты, установленной провайдерами. В результате появилась, например, новая опция «proxy lock» спамерского ПО Send-Safe, которая позволяет спамерам осуществлять рассылки с зомби-машин через почтовые серверы их ISP.

Согласно результатам исследования MessageLabs, в октябре прошлого года с зомбированных машин, используемых как прокси-серверы, рассылалось 79% спама. В начале февраля 2005 года выяснилось, что доля спама, рассылаемого таким образом, снизилась до 59%. Однако при этом объем спама в почтовом трафике вырос с 72% в сентябре 2004 года до 83% в январе 2005.

Исходя из полученных результатов, специалисты MessageLabs сделали вывод, что спамеры активно применяют новую технологию рассылки.

Селтзер рассуждает следующим образом. Даже если зомби могут успешно рассылать спам через почтовые серверы ISP, это дает нам больше преимуществ, чем раньше. ISP могут определить, кто рассылает спам из их сети, просто просмотрев логи почтового сервера. Это также дает им возможность контролировать объемы рассылаемой почты в целом, что не скажется на обычных клиентах, но серьезно ограничит возможности спамеров в их рассылках.

Кроме того, у ISP появляется денежный интерес в решении проблемы и ответственность, поскольку в рассылку спама вовлечены их собственные серверы.

Коротко говоря, принуждение спамеров рассылать почту через почтовые серверы ISP облегчит искоренение зомби. Так что даже если спамеры сменят технологию, стоит закрыть 25-й порт, чтобы не дать им возможность использовать его.

Есть и еще аргументы против. Некоторые полагают, что зомби, лишенные возможности рассылать спам, будут вместо этого использоваться для более «плохих» дел, таких как DOS-атаки. Это не трудно представить, однако, по мнению Селтзера, эта угроза не такого большого масштаба, как спам.

Кроме того, спамеры могут начать рассылать спам внутри сети, т.е. другим клиентам этого же ISP в своей подсети. Разумеется, они смогут это делать — но только в том случае, если принимающий сервер находится в той же подсети, и это крайне нежелательно, особенно для клиентских сетей больших провайдеров.

Существует также мнение, что если ISP потребуют аутентификации пользователя (когда необходимо вводить имя пользователя и пароль как для сервера входящей почты POP3, так и для SMTP-сервера исходящей почты), то для спамерского троянского ПО отправлять почту будет не так уж и просто. Между тем, возражает автор статьи, поскольку существуют доступные программы, которые могут считывать сохраненные пароли с популярных почтовых клиентов, не трудно представить, что в будущем это будут делать зомби. Они также могут отслеживать последовательности аутентификации, осуществляя мониторинг 25-го порта.

В конечном счете, считает Селтзер, несмотря на все утверждения, что спамеры легко найдут альтернативу 25-му порту, ничего достойного пока не найдено. Первый порт в списке, как правило, TCP 587, но, как и большинство потенциальных альтернатив, это порт, требующий аутентификации, так что для спамеров он закрыт.

По мнению экспертов компании «Ашманов и Партнеры», несмотря на очевидные плюсы, закрытие 25-го порта на практике чревато осложнениями для определенных категорий пользователей. Речь, прежде всего, идет о нуждах клиентов, которым необходим прямой доступ в Интернет к своим удаленным почтовым серверам. Хотя Селтзер и выражает уверенность в том, что ISP не составит труда открыть 25-й порт для некоторых клиентов, на деле ситуация оборачивается серьезной процедурной проблемой.

Для того, чтобы закрытие 25-го порта было действительно эффективным, нужно четкое и понятное решение, каким именно образом пользователи могут взаимодействовать со своими почтовыми серверами напрямую. Более того, необходимо сделать это решение технологическим стандартом. В противном случае, закрыв 25-й порт и решив одну проблему (заметим при этом, что трояны действительно могут быстро научиться обходить закрытый порт), ISP создадут другую, которая также негативно скажется на отношении клиентов к собственному провайдеру.

Вместо заключения

В ноябре 2004 года на конференции североамериканских сетевых операторов (NANOG) представитель AOL Чарльз Стайлз (Charles Stiles) заявил, что почтовые серверы ISP, терпимо относящиеся к спаму, должны изменить свою тактику. В противном случае они попадут в списки запрещенных AOL.

Стайлз призвал провайдеров не только блокировать 25-й порт, но и использовать антиспамовые технологии для фильтрации как входящей, так и исходящей почты, вводить ограничения объемов исходящей корреспонденции и, что наиболее важно по мнению Стайлза, реализовать SMTP-аутентификацию всех своих пользователей.

Стайлз подчеркнул, что, хотя AOL поддерживает SPF и Sender ID, сами по себе эти технологии не остановят спам, приходящий с почтовых серверов других ISP, поскольку большинство троянских программ рассылают спам с адекватным адресом домена локального ISP в качестве обратного. Стайлз призвал всех провайдеров немедленно опубликовать записи SPF. А те из ISP, которые не поторопятся ввести достаточно агрессивные антиспамовые системы защиты, рискуют оказаться в списках запрещенных крупнейшего провайдера северной Америки.

Ольга Емельянова

по материалам eWeek.com и Associated Press

ISP затягивают гайки

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике