Buongiorno,
sabato scorso ho tenuto un seminario sullo sviluppo di software sicuro e
dal pubblico è arrivata una domanda relativa le possibili modalità di
mitigazione di questo tipo di attacchi.
Stavo già cominciando a sudare, quando, sempre dal pubblico, è arrivata
anche una bellissima risposta: la proposta è quella di "profilare" gli
utenti di posta, registrando le loro abitudini di utilizzo del servizio,
fra cui ip sorgenti (che ho notato che anche da connessioni mobili
cambiano molto di rado), orari di connessione, volume di traffico
effettuato, etc. Con questi dati in pancia, arricchire quindi il sistema
di posta con un'"intelligenza" in grado decidere se garantire o negare
il permesso di invio di posta elettronica.
Che ne pensate?
Ora come ora io non saprei da che parte girarmi, ne per quanto riguarda
gli strumenti da utilizzare, ne tantomeno per come integrarli per
arrivare all'obiettivo, ma se qualcuno avesse interesse
nell'approfondire la questione, magari per produrre qualcosa id open
come PoC per ambienti basati su due prodotti di uso comune (e.g.
postfix+dovecot), io sono a disposizione per prendere parte al progetto.
Una buona giornata,
Andrea Zwirner
On 20/06/2014 17:07, Alessio Cecchi wrote:
Ciao,
negli ultimi 15-20 giorni i nostri sistemi di monitoraggio/allarme ci
indicano che c'è stato un notevole incremento dell'invio di spam (o
almeno il tentativo di, per adesso infatti riusciamo a bloccarlo) da
parte di account email con password troppo semplici o "rubate" ad
opera di malware/virus (immagino) presenti cui PC degli utenti.
Addirittura abbiano notato l'accesso al servizio SMTP autenticato a
caselle email che non eseguivano login da molto tempo (e con password
non banali), segno che tali furti delle credenziali erano stati
compiuti molto tempo a dietro ma che solo ora sono entrati in azione.
L'accesso, con queste credenziali, ai server SMTP avviene quasi sempre
da IP di Asiatici/Est Europei ma in qualche caso ho notato anche
accessi da IP "nostrani".
In questi casi il nostro sistema blocca l'accesso al servizio
SMTP-Auth ma gli utenti (esclusivamente aziendali) non sembrano essere
preoccupati dal fatto che qualcuno abbia le credenziali per accedere
alla loro casella email (o magari nemmeno lo comprendono).
Avete notato anche voi fenomeni di questo genere?
L'impressione mia è che qualcuno raccolga queste password mediante
"virus", poi le venda a qualcuno che quando ne ha un buon numero o
riceve una "commessa" lancia l'invio di spam.
Qualcuno ha maggiori dettagli su cosa ci sia dietro queste "botnet"?
Secondo voi ha senso provare a mettere qualche DNSBL (tipo Spamhaus
DROP) per limitare le connessioni da questi IP, a protezione di un
SMTP autenticato?
Grazie
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
*Andrea Zwirner*
*email*: [email protected]
*mobile*: +39 366 1872016
Linkspirit Via Luigi Moretti 2 - 33100 Udine UD
*tel:* +39 0432 1845030 - *fax:* +39 0432 309903
*web:* www.linkspirit.it - *email:* [email protected]
Logo Please consider your environmental responsibility before printing
this email.
