venerdì 16 dicembre 2016

La Storia Di Spamhaus e I Problemi Con E360, Nic.At e Cyberbunker

Spamhaus (The Spamhaus Project) nasce a Londra nel 1998 grazie a Steve Linford.
Si tratta della principale organizzazione nella lotta mondiale contro lo Spam (provider antispam), le sue liste DNSBL sono usate dalla maggior parte degli ISP mondiali e bloccano ogni giorno milioni di email al secondo.
Se il vostro mail server dovesse finire in queste blacklist, non sarete più in grado di inviare mail a quasi il 100% degli indirizzi mondiali.
 I metodi che utilizza Spamhaus per collezionare informazioni sono molti ma uno dei più potenti sono le spamtraps, ovvero indirizzi email dismessi da molto tempo o inesistenti che però ricevono email non richieste.
Recentemente Spamhaus ha spiegato il pericolo dell’inviare messaggi transazionali a liste di utenti che non vengono sottoposte costantemente a pulizia.
Un indirizzo email può diventare in qualsiasi momento una spamtraps ma prima di questo “mutamento” c’è un periodo di congelamento che dura da un minimo di 6 mesi ad un massimo di due anni.
Durante questo periodo tutte le email verso quell’indirizzo o quell’intero dominio vengono respinte (si otterrà un errore di timeout).
Altre tecniche utilizzate da Spamhaus sono l’utilizzo di domini simili a domini famosi o la registrazione di domini scaduti, sui quali vengono poi attivati degli indirizzi email.
E’ molto importante sapere che non tutte le spamtraps accettano email e che il loro comportamento può variare anche nel corso del tempo o a seconda della server/IP che le invia.
In ogni caso spamhaus registra i tentativi di invio anche se l’email viene respinta e se questi continuano nel tempo l’IP del server viene inserito in blacklist (e lì siete nei guai, come si sarà capito).
Spamhaus precisa infine che l’invio di una email, o comunque poche email per un periodo di tempo limitato, a delle spamtraps non fa scattare i meccanismi che inseriscono l’indirizzo in blacklist.
Solo l’invio prolungato nel tempo porta ad un inserimento in blacklist di un IP.
Dal canto loro, i server delle società finiti in questa poco nobile lista, rispondono generalmente con attacchi DDoS, cercando di creare problemi alla società londinese anti-spam.


LA CAUSA LEGALE CON E360
Nel 2006 e360, società americana, si ritenne danneggiata dall'inserimento dei propri dati nello Register Of Known Spam Operations (ROKSO), il database gestito da Spamhaus che raccoglie quelli che definisce "spammatori professionisti", riconosciuti tali da almeno tre diversi provider.
Come si sarà capito, chi viene inserito in ROKSO di fatto perde la possibilità di raggiungere in modo efficiente i propri clienti via email, in quanto i dati provenienti da ROKSO sono integrati nei sistemi antispam di molti provider e usati per contribuire a diminuire lo spam in arrivo nelle mailbox degli utenti.
Qui potrete accedere alla ROKSO List (Spamhaus Project)
Per questo e360, ritenendo del tutto legittimo il proprio impiego dell'email, aveva chiesto ad un tribunale dell'Illinois di condannare Spamhaus al pagamento di 15 milioni di dollari di danni, 11,715 milioni per interferenza nelle proprie operazioni commerciali e a 40mila dollari di spese legali.
Spamhaus da parte sua, ritenendo illegittimo il procedimento, in quanto Spamhaus ha sede nel Regno Unito e non nell'Illinois, non si è proprio presentata al processo, spingendo così il giudice a riconoscere a e360 gli 11,715 milioni di dollari.


LE DIATRIBE CON NIC.AT
Nel giugno 2007 Spamhaus chiese al provider austriaco nic.at, di sospendere un certo numero di
domini, sostenendo che erano stati registrati in forma anonima per perpetrare phishing bancari.
Nic.at respinse la richiesta sostenendo che avrebbero infranto il diritto di "democrazia" austriaco, anche se effettivamente quei domini erano stati registrati sotto falso nome.
Il phishing selvaggio continuò, quindi Spamhaus decise di mettere il server di posta di nic.at nella loro lista nera di spam, infine tutti i domini di phishing in questione vennero eliminati.


BLOCCO DI IP DI GOOGLE DOCS
Nell'agosto 2010 Spamhaus aggiunse, alcuni indirizzi IP usati da Google Docs, alla sua lista di spam, etichettando Google Docs come una grande fonte di spamming incontrollata.
Google risolse rapidamente il problema e Spamhaus lo rimosso dall'elenco.
Anche se inizialmente (erroneamente) venne riportato che erano stati bloccati anche i server di Gmail.


L'ATTACCO DDOS DA RECORD DI CYBERBUNKER
Cyberbunker è un hosting provider che ospita qualsiasi tipo di servizio (tranne CP e terrorismo), esso era situata in un bosco dentro un ex bunker della NATO (bunker nato durante la Guerra Fredda, preso dalla società ma poi abbandonato nel 2013, anche se c'è chi dice che venne abbandonato 10 anni prima essendo ormai pieno di rifiuti).
Nel 2002 scoppiò un incendio nel luogo in cui operavano.
Dopo che venne spento l'incendio, venne scoperto che, oltre ad esservi servizi di hosting, vi era anche un laboratorio di MDMA (di cui 3 persone arrestate).
Ma gli attriti con Spamhaus nascono nel 2011, quando la società pensò bene di mettere in blacklist gli IP di Cyberbunker.
Come si sa, Cyberbunker vive di spam (ospitavano anche i server di Pirate Bay), per questo si è vista dimezzare i suoi introiti e ha quindi deciso di passare al contro-attacco perpetrando un colossale attacco DDoS che ha raggiunto un peak di 300 Gb/s (la media di questo tipo di attacchi è circa 6 volte inferiore).
Così si pensò (in realtà non fu mai dimostrato chi ci fu dietro a quest'attacco record, poi superato qualche anno dopo da un attacco DDoS da 400 Gb/s).
Quelli di Cloudflare dichiararono che l’attacco subito da Spamhaus era un DDoS di tipo Layer 3.

"E’ il più grande attacco denial of service pubblicamente annunciato nella storia di Internet" 

La vulnerabilità usata per effettuare questo attacco DDOS fu il DNS reflection.
Nel caso specifico di Spamhaus, è stata inviata una richiesta al ripe.net per avere i DNS aperti. Successivamente sono stati spoofati gli IP di Cloudflare dati a Spamhaus e messi come sorgenti delle richieste DNS.
I DNS aperti hanno risposto con il loro DNS zone file generando complessivamente un attacco da 75 Gbps di traffico medio.
La richiesta fatta era stata di soli 36 bytes.
La risposta generata verso l'IP è stata amplificata di 100 volte diventando di 3.000 bytes
Per cercare di confondere ulteriormente le cose, hanno creato un rumore di fondo per confondere il vettore principale di attacco.
Lo hanno fatto utilizzando dei pacchetti Ack spoofati come per il DNS reflection questa volta però il volume generato è rimasto lo stesso perché la banda dei pacchetti è simmetrica alla banda di di chi li ha generati.

Nessun commento:

Posta un commento