Save 37% off PRO during our Black Friday Sale! »

Lutte contre le spam

Lutte contre le spam

29846c7dbb3b9520618ab67e94a0cb97?s=128

Nicolas Bareil

March 28, 2006
Tweet

Transcript

  1. Les failles exploit´ ees par les spammeurs Du cˆ ot´

    e de l’administrateur Nicolas Bareil 28 mars 2006 Nicolas Bareil Les failles exploit´ ees par les spammeurs
  2. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs Bots Serveurs officiels Open* Plan 1 Envoi de mail 2 Message malicieux 3 R´ ecapitulatif : les classes de spammeurs Nicolas Bareil Les failles exploit´ ees par les spammeurs
  3. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs Bots Serveurs officiels Open* R´ eseau de bots Qu’est-ce qu’un bot ? Un bot est une machine infect´ ee et contrˆ ol´ ee par un pirate. L’union fait la force Un bot isol´ e est inutile, mais en poss´ eder plusieurs milliers offre : Attaques DoS, Robots spammeurs, Scans de r´ eseau, R´ ecolte de donn´ ees, Une bonne monnaie d’´ echange ; Nicolas Bareil Les failles exploit´ ees par les spammeurs
  4. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs Bots Serveurs officiels Open* Fonctionnement d’un bot Capacit´ e d’un bot : Quelques commandes internes, Possibilit´ e de se mettre ` a jour automatiquement, Controle du bot via IRC, ´ Ecrit from scratch ou d´ evelopp´ e ` a partir de framework existant ; Nicolas Bareil Les failles exploit´ ees par les spammeurs
  5. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs Bots Serveurs officiels Open* R´ ecolte d’informations Les donn´ ees r´ ecup´ er´ ees peuvent ˆ etre : Adresses mail Carnet d’adresses, Recherche dans le disque dur, Liste de fichiers pr´ esents sur le disque, Mots de passe, clefs priv´ ees, etc. Topologie r´ eseau ; Et les mails eux-mˆ eme afin de les renvoyer modifier. Nicolas Bareil Les failles exploit´ ees par les spammeurs
  6. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs Bots Serveurs officiels Open* Mais. . . Difficile d’´ ecrire un moteur SMTP afin d’envoyer du spam : Une RFC longue et pi´ egeuse, Des montagnes de d´ etails ; Mais rater 20% des envois est n´ egligeable. D´ etection possible de bots Toutes ces erreurs d’impl´ ementation pourront nous ˆ etre utiles ! Nicolas Bareil Les failles exploit´ ees par les spammeurs
  7. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs Bots Serveurs officiels Open* Mais. . . Difficile d’´ ecrire un moteur SMTP afin d’envoyer du spam : Une RFC longue et pi´ egeuse, Des montagnes de d´ etails ; Mais rater 20% des envois est n´ egligeable. D´ etection possible de bots Toutes ces erreurs d’impl´ ementation pourront nous ˆ etre utiles ! Nicolas Bareil Les failles exploit´ ees par les spammeurs
  8. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs Bots Serveurs officiels Open* Mais. . . Obsolescence rapide D´ etection par les anti-virus, Code d´ esuet ou bugg´ e, R´ einstallation de la machine par l’utilisateur ; Vol du botnet par un autre pirate ; Nicolas Bareil Les failles exploit´ ees par les spammeurs
  9. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs Bots Serveurs officiels Open* Utilisation de serveurs d´ edi´ es Location de serveurs d´ edi´ es au spamming : Officiellement des serveurs de mailing opt-in, Utilisant de vrais serveurs SMTP En th´ eorie Une solution tr` es efficace. Nicolas Bareil Les failles exploit´ ees par les spammeurs
  10. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs Bots Serveurs officiels Open* Utilisation de serveurs d´ edi´ es Location de serveurs d´ edi´ es au spamming : Officiellement des serveurs de mailing opt-in, Utilisant de vrais serveurs SMTP En th´ eorie Une solution tr` es efficace. Nicolas Bareil Les failles exploit´ ees par les spammeurs
  11. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs Bots Serveurs officiels Open* Architecture coˆ uteuse Solution ´ el´ egante, mais coˆ uteuse : Bande passante importante, Connectivit´ e pay´ ee au volume ; Puissance de calcul pour parall´ eliser au maximum, Paiement du mat´ eriel et de la salle d’h´ ebergement ; Nicolas Bareil Les failles exploit´ ees par les spammeurs
  12. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs Bots Serveurs officiels Open* Tr` es peu viable Dur´ ee de vie tr` es courte, ` A la premi` ere plainte au fournisseur de connectivit´ e ; Architecture centralis´ ee, peu flexible, Non anonyme, possibilit´ e de poursuites judiciaires ; Aussi rapide ` a tomber qu’` a ˆ etre mont´ e Une fois l’adresse du serveur blacklist´ ee, l’efficacit´ e devient nulle. Nicolas Bareil Les failles exploit´ ees par les spammeurs
  13. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs Bots Serveurs officiels Open* OpenCGI Utilisation de script mal programm´ e permettant l’envoi de mail en masse. Application vuln´ erable, Fonction (( Send this link )) sans bridage, Plateformes de test Ni prot´ eg´ e, Ni monitor´ e, Exemple : site de d´ emonstration de webmail ; Nicolas Bareil Les failles exploit´ ees par les spammeurs
  14. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs Bots Serveurs officiels Open* Open HTTP Proxy La requˆ ete CONNECT permet de se connecter ` a une machine et ` a un port pr´ ecis. Impl´ ement´ ee sur tous les proxys pour g´ erer le SSL, Non limitative : c’est un vrai tunnel ; Un proxy ouvert ? Les spammeurs l’utilisent alors pour faire du SMTP. Nicolas Bareil Les failles exploit´ ees par les spammeurs
  15. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs Bots Serveurs officiels Open* Exemple de spams au travers un proxy HTTP CONNECT vers un serveur SMTP CONNECT smtp.bigcorp.com :25\r\n \r\n EHLO my.hostname.com MAIL FROM :<> RCPT TO :<sales@poorcorp.com> DATA ... . Nicolas Bareil Les failles exploit´ ees par les spammeurs
  16. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs Bots Serveurs officiels Open* Exemple de spams au travers un proxy HTTP CONNECT vers un serveur SMTP CONNECT smtp.bigcorp.com :25\r\n \r\n EHLO my.hostname.com MAIL FROM :<> RCPT TO :<sales@poorcorp.com> DATA ... . Nicolas Bareil Les failles exploit´ ees par les spammeurs
  17. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs Bots Serveurs officiels Open* OpenProxy Encore d’autres m´ ethodes. . . M´ ethode HTTP POST, Proxy Socks ; Nicolas Bareil Les failles exploit´ ees par les spammeurs
  18. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs Bots Serveurs officiels Open* Serveur SMTP OpenRelay SMTP Openrelay Un serveur SMTP ouvert est un serveur qui transmet les mails de n’importe qui vers n’importe o` u, souvent ` a cause d’une erreur dans la configuration. C’est l’environnement le plus favorable pour un spammeur car : Stable, Discret, Efficace : comprends en int´ egralit´ e le protocole SMTP, D´ ecentralis´ e : la perte d’un noeud n’est pas critique ; Nicolas Bareil Les failles exploit´ ees par les spammeurs
  19. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs Bots Serveurs officiels Open* Cela peut arriver ` a tout le monde Certains groupes de pirates modifient la configuration de serveurs compromis afin de les transformer en relais ouvert. Nicolas Bareil Les failles exploit´ ees par les spammeurs
  20. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs HTML Javascript & ActiveX Exploitation de vuln´ erabilit´ es Plan 1 Envoi de mail 2 Message malicieux 3 R´ ecapitulatif : les classes de spammeurs Nicolas Bareil Les failles exploit´ ees par les spammeurs
  21. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs HTML Javascript & ActiveX Exploitation de vuln´ erabilit´ es Objectif des spammeurs R´ ecup´ erer des adresses ´ electroniques Une adresse (v´ erifi´ ee) valide se revend plus cher, Exploiter d’autres clients ; Nicolas Bareil Les failles exploit´ ees par les spammeurs
  22. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs HTML Javascript & ActiveX Exploitation de vuln´ erabilit´ es Solutions ? Deux solutions pour arriver ` a ses fins : Pousser l’utilisateur ` a faire une action, ´ Executer du code dans son dos ; HTM Hell Un mail au format HTML est un vecteur parfait : Liens, images, frames. . . ´ Execution de code Javascript possible, Complexe ` a interpr´ eter : vuln´ erabilit´ es nombreuses ; Nicolas Bareil Les failles exploit´ ees par les spammeurs
  23. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs HTML Javascript & ActiveX Exploitation de vuln´ erabilit´ es Solutions ? Deux solutions pour arriver ` a ses fins : Pousser l’utilisateur ` a faire une action, ´ Executer du code dans son dos ; HTM Hell Un mail au format HTML est un vecteur parfait : Liens, images, frames. . . ´ Execution de code Javascript possible, Complexe ` a interpr´ eter : vuln´ erabilit´ es nombreuses ; Nicolas Bareil Les failles exploit´ ees par les spammeurs
  24. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs HTML Javascript & ActiveX Exploitation de vuln´ erabilit´ es Image cach´ ee L’affichage d’image lors de la lecture d’un mail est pratique. . . pour le spammeur : T´ el´ echargement automatique, Pas forc´ ement visible (carr´ e transparent d’1x1 pixel), Permet d’obtenir beaucoup d’informations : Navigateur, Syst` eme d’exploitation, Langue ; Personnalisation de l’adresse de l’image Chaque URL est unique et sp´ ecifique ` a une adresse mail, s’il y a un hit, c’est que l’adresse est valide. Nicolas Bareil Les failles exploit´ ees par les spammeurs
  25. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs HTML Javascript & ActiveX Exploitation de vuln´ erabilit´ es Image cach´ ee L’affichage d’image lors de la lecture d’un mail est pratique. . . pour le spammeur : T´ el´ echargement automatique, Pas forc´ ement visible (carr´ e transparent d’1x1 pixel), Permet d’obtenir beaucoup d’informations : Navigateur, Syst` eme d’exploitation, Langue ; Personnalisation de l’adresse de l’image Chaque URL est unique et sp´ ecifique ` a une adresse mail, s’il y a un hit, c’est que l’adresse est valide. Nicolas Bareil Les failles exploit´ ees par les spammeurs
  26. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs HTML Javascript & ActiveX Exploitation de vuln´ erabilit´ es Mˆ eme chose pour les liens Les liens sont ´ egalement trompeurs : V´ eritable lien diff´ erent de celui affich´ e, Adresse personnalis´ ee, Technique d’obfuscation d’URL ; Sans compter les liens de d´ esabonnements qui ne servent qu’` a valider une adresse ´ electronique ! Nicolas Bareil Les failles exploit´ ees par les spammeurs
  27. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs HTML Javascript & ActiveX Exploitation de vuln´ erabilit´ es Javascript & ActiveX Toujours les mˆ emes ` a profiter des technologies : Exploitation de vuln´ erabilit´ e des machines virtuelles, Lecture ou ´ ecriture de cookies, Envoi de donn´ ees ; Nicolas Bareil Les failles exploit´ ees par les spammeurs
  28. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs HTML Javascript & ActiveX Exploitation de vuln´ erabilit´ es Un navigateur ≃ passoire 1 2 3 4 5 6 Jan 03 Jul 03 Jan 04 Jul 04 Jan 05 Jul 05 Jan 06 Jul 06 ´ Evolution dans le temps Vuln´ erabilit´ es d’Internet Explorer 6.0 par mois Nicolas Bareil Les failles exploit´ ees par les spammeurs
  29. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs HTML Javascript & ActiveX Exploitation de vuln´ erabilit´ es Le pire. . . Le pire, c’est que. . . Ce ne sont que des vuln´ erabilit´ es publiques ! Le cas Windows Meta File Par exemple, la vuln´ erabilit´ e (( WMF )) a ´ et´ e d´ ecouverte par hasard sur un site pornographique. Nicolas Bareil Les failles exploit´ ees par les spammeurs
  30. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs Bot Serveurs d´ edi´ es OpenCGI et OpenProxy Plan 1 Envoi de mail 2 Message malicieux 3 R´ ecapitulatif : les classes de spammeurs Nicolas Bareil Les failles exploit´ ees par les spammeurs
  31. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs Bot Serveurs d´ edi´ es OpenCGI et OpenProxy Les bots Caract´ eristiques des bots Impl´ ementation minimaliste du protocole SMTP, Cherchent ` a envoyer le plus de mail le plus vite possible, Aucune gestion d’erreur Aucun ´ etat (pas de m´ emoire), Les bots viennent d’adresses r´ esidentielles ; Nicolas Bareil Les failles exploit´ ees par les spammeurs
  32. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs Bot Serveurs d´ edi´ es OpenCGI et OpenProxy Serveurs d´ edi´ es et ouverts Les serveurs d´ edi´ es Comportement normal, Adresse fixe, ´ Eph´ em` ere ; Serveur ouvert Adresse r´ esidentielle ; Nicolas Bareil Les failles exploit´ ees par les spammeurs
  33. Envoi de mail Message malicieux R´ ecapitulatif : les classes

    de spammeurs Bot Serveurs d´ edi´ es OpenCGI et OpenProxy OpenCGI et OpenProxy OpenProxy : Tr` es mauvais client SMTP ; OpenCGI : Pourrait ˆ etre d´ etect´ e si identd existait encore ; Ajout d’en-tˆ etes par l’h´ ebergeur : Exemple de spam X-AntiAbuse: Primary Hostname - x.y.net X-AntiAbuse: Originator/Caller UID/GID - [99 500] X-AntiAbuse: Sender Address Domain - x.y.net X-Source-Args: /usr/apache/bin/httpd -DSSL X-Source-Dir: t.org:/public_html/contents/OldFIles Nicolas Bareil Les failles exploit´ ees par les spammeurs
  34. Bonne application des standards Session SMTP conforme Message, le plus

    important Rappel sur le protocole SMTP Le temps, c’est de l’argent Greylisting Plan 4 Bonne application des standards 5 Session SMTP conforme 6 Message, le plus important Nicolas Bareil Les failles exploit´ ees par les spammeurs
  35. Bonne application des standards Session SMTP conforme Message, le plus

    important Rappel sur le protocole SMTP Le temps, c’est de l’argent Greylisting Session SMTP 220 mx.serveur.org ESMTP HELO client.pays.fr 250 serveur.serveur.org Hello client.pays.fr [192.168.88.10] MAIL FROM:<alice@paysdesmerveilles.org> 250 OK RCPT TO:<bob@serveur.org> 250 Accepted Suite. . . Nicolas Bareil Les failles exploit´ ees par les spammeurs
  36. Bonne application des standards Session SMTP conforme Message, le plus

    important Rappel sur le protocole SMTP Le temps, c’est de l’argent Greylisting Session SMTP, suite et fin DATA 354 Enter message, ending with "." on a line by itself From: alice@paysdesmerveilles.org To: bob@serveur.org Subject: vaisselle I’m not a spam! . 250 OK id=1CIASN-0000X0-IH QUIT 221 mx.server.org closing connection Nicolas Bareil Les failles exploit´ ees par les spammeurs
  37. Bonne application des standards Session SMTP conforme Message, le plus

    important Rappel sur le protocole SMTP Le temps, c’est de l’argent Greylisting Quelques r` egles impos´ ees par la RFC Obligations de l’administrateur : L’adresse postmaster doit accepter tous les mails, On ne peut rejeter un client qu’apr` es l’´ etape RCPT TO, Si possible, ne JAMAIS envoyer de bounce ; Nicolas Bareil Les failles exploit´ ees par les spammeurs
  38. Bonne application des standards Session SMTP conforme Message, le plus

    important Rappel sur le protocole SMTP Le temps, c’est de l’argent Greylisting L’int´ erˆ et de bloquer d` es la session SMTP Ce qu’en pense les standards La RFC 2505 part du principe qu’un message est accept´ e ou bloqu´ e lors de la session SMTP ou par le mail user agent. Ainsi Pas de copie locale du message, Nous ne prenons aucune responsabilit´ e, Nous ne bouncerons pas ! Nicolas Bareil Les failles exploit´ ees par les spammeurs
  39. Bonne application des standards Session SMTP conforme Message, le plus

    important Rappel sur le protocole SMTP Le temps, c’est de l’argent Greylisting Exemple de spamming par bounce ezmlm est ´ ecrit de fa¸ con ` a bouncer tout message qu’il ne comprendrait pas avec le message original dans son int´ egralit´ e. Profitait de la r´ eputation du serveur (adresse IP whitelist´ ee), Utilisait pleinement les ressources du serveur ; =⇒ N´ ecessite de patcher le code ! Nicolas Bareil Les failles exploit´ ees par les spammeurs
  40. Bonne application des standards Session SMTP conforme Message, le plus

    important Rappel sur le protocole SMTP Le temps, c’est de l’argent Greylisting Ajout de temps mort Les mailers mal programm´ es envoient les mails en rafale, sans se soucier du protocole. Or, Un client SMTP doit attendre l’HELO/EHLO du serveur, dans la limite de cinq minutes. Introduction d’un d´ elai avant le HELO =⇒ Rejet des clients envoyant des donn´ ees avant nous Nicolas Bareil Les failles exploit´ ees par les spammeurs
  41. Bonne application des standards Session SMTP conforme Message, le plus

    important Rappel sur le protocole SMTP Le temps, c’est de l’argent Greylisting Ajout de temps mort Les mailers mal programm´ es envoient les mails en rafale, sans se soucier du protocole. Or, Un client SMTP doit attendre l’HELO/EHLO du serveur, dans la limite de cinq minutes. Introduction d’un d´ elai avant le HELO =⇒ Rejet des clients envoyant des donn´ ees avant nous Nicolas Bareil Les failles exploit´ ees par les spammeurs
  42. Bonne application des standards Session SMTP conforme Message, le plus

    important Rappel sur le protocole SMTP Le temps, c’est de l’argent Greylisting Bon usage des d´ elais Avantages Tr` es efficace contre les bots ou virus, Op´ eration presque gratuite pour le syst` eme, Aucun effet de bord ` A condition d’avoir un d´ elai raisonnable, Tenir compte des callouts ; Meilleure fa¸ con de l’utiliser Mettre des d´ elais en fonction du client : Adresses r´ esidentielles, Classe de continents spammeurs ; Nicolas Bareil Les failles exploit´ ees par les spammeurs
  43. Bonne application des standards Session SMTP conforme Message, le plus

    important Rappel sur le protocole SMTP Le temps, c’est de l’argent Greylisting Bon usage des d´ elais Avantages Tr` es efficace contre les bots ou virus, Op´ eration presque gratuite pour le syst` eme, Aucun effet de bord ` A condition d’avoir un d´ elai raisonnable, Tenir compte des callouts ; Meilleure fa¸ con de l’utiliser Mettre des d´ elais en fonction du client : Adresses r´ esidentielles, Classe de continents spammeurs ; Nicolas Bareil Les failles exploit´ ees par les spammeurs
  44. Bonne application des standards Session SMTP conforme Message, le plus

    important Rappel sur le protocole SMTP Le temps, c’est de l’argent Greylisting Greylisting Il y a plusieurs codes d’erreur SMTP : Permanentes, ne jamais r´ eessayer ! Temporaires, r´ eessayer plus tard ; Les robots sont fain´ eants Les robots ne regardent pas les codes d’erreur et passent tout de suite ` a l’adresse suivante, ne r´ eessayant jamais. Nicolas Bareil Les failles exploit´ ees par les spammeurs
  45. Bonne application des standards Session SMTP conforme Message, le plus

    important Rappel sur le protocole SMTP Le temps, c’est de l’argent Greylisting Fonctionnement du Greylisting Le Greylisting maintient une table de sessions : ç Lorsqu’un serveur inconnu se pr´ esente, on refuse temporairement son mail et on d´ emarre le timer, é Tant que le timer n’est pas termin´ e, on refuse le message, è Maintenant, on peut l’accepter ; Nicolas Bareil Les failles exploit´ ees par les spammeurs
  46. Bonne application des standards Session SMTP conforme Message, le plus

    important Rappel sur le protocole SMTP Le temps, c’est de l’argent Greylisting Fonctionnement du Greylisting Le Greylisting maintient une table de sessions : ç Lorsqu’un serveur inconnu se pr´ esente, on refuse temporairement son mail et on d´ emarre le timer, é Tant que le timer n’est pas termin´ e, on refuse le message, è Maintenant, on peut l’accepter ; Nicolas Bareil Les failles exploit´ ees par les spammeurs
  47. Bonne application des standards Session SMTP conforme Message, le plus

    important Rappel sur le protocole SMTP Le temps, c’est de l’argent Greylisting Fonctionnement du Greylisting Le Greylisting maintient une table de sessions : ç Lorsqu’un serveur inconnu se pr´ esente, on refuse temporairement son mail et on d´ emarre le timer, é Tant que le timer n’est pas termin´ e, on refuse le message, è Maintenant, on peut l’accepter ; Nicolas Bareil Les failles exploit´ ees par les spammeurs
  48. Bonne application des standards Session SMTP conforme Message, le plus

    important Rappel sur le protocole SMTP Le temps, c’est de l’argent Greylisting Efficacit´ e ` A l’heure actuelle M´ ethode efficace : ´ Economique, Facile ` a mettre en œuvre ; Mais. . . Entraine des latences importantes =⇒ les commerciaux n’aiment pas attendre, Les spammeurs vont s’adapter, Repose sur le respect des standards : tous les MTA ne sont pas ´ egaux face aux politiques de retries ; Nicolas Bareil Les failles exploit´ ees par les spammeurs
  49. Bonne application des standards Session SMTP conforme Message, le plus

    important Helo, world ! Usurpation d’identit´ e V´ erifier les adresses Liste noire/blanche Plan 4 Bonne application des standards 5 Session SMTP conforme 6 Message, le plus important Nicolas Bareil Les failles exploit´ ees par les spammeurs
  50. Bonne application des standards Session SMTP conforme Message, le plus

    important Helo, world ! Usurpation d’identit´ e V´ erifier les adresses Liste noire/blanche Prologue de la session Commande HELO/EHLO Envoy´ ee par le client, elle sert ` a pr´ esenter son nom pleinement qualifi´ e. Exemple d’un EHLO valide 220 mx.serveur.org ESMTP EHLO moi.client.fr 250-mx.serveur.org Hello moi.client.fr Nicolas Bareil Les failles exploit´ ees par les spammeurs
  51. Bonne application des standards Session SMTP conforme Message, le plus

    important Helo, world ! Usurpation d’identit´ e V´ erifier les adresses Liste noire/blanche Usurpation du nom pr´ esent´ e Comportement ´ etrange des moteurs SMTP des virus ou vers : ils ne savent pas donner un nom correct. =⇒ Utilisation du nom du serveur (pour contourner des filtres ?) Exemples HELO mx.serveur.org HELO 234.32.12.3 HELO [234.32.12.3] HELO one.of.the.reverse.dns Nicolas Bareil Les failles exploit´ ees par les spammeurs
  52. Bonne application des standards Session SMTP conforme Message, le plus

    important Helo, world ! Usurpation d’identit´ e V´ erifier les adresses Liste noire/blanche Usurpation du nom pr´ esent´ e Comportement ´ etrange des moteurs SMTP des virus ou vers : ils ne savent pas donner un nom correct. =⇒ Utilisation du nom du serveur (pour contourner des filtres ?) Exemples HELO mx.serveur.org HELO 234.32.12.3 HELO [234.32.12.3] HELO one.of.the.reverse.dns Nicolas Bareil Les failles exploit´ ees par les spammeurs
  53. Bonne application des standards Session SMTP conforme Message, le plus

    important Helo, world ! Usurpation d’identit´ e V´ erifier les adresses Liste noire/blanche Usurpation du nom pr´ esent´ e Comportement ´ etrange des moteurs SMTP des virus ou vers : ils ne savent pas donner un nom correct. =⇒ Utilisation du nom du serveur (pour contourner des filtres ?) Exemples HELO mx.serveur.org HELO 234.32.12.3 HELO [234.32.12.3] HELO one.of.the.reverse.dns Nicolas Bareil Les failles exploit´ ees par les spammeurs
  54. Bonne application des standards Session SMTP conforme Message, le plus

    important Helo, world ! Usurpation d’identit´ e V´ erifier les adresses Liste noire/blanche Usurpation du nom pr´ esent´ e Comportement ´ etrange des moteurs SMTP des virus ou vers : ils ne savent pas donner un nom correct. =⇒ Utilisation du nom du serveur (pour contourner des filtres ?) Exemples HELO mx.serveur.org HELO 234.32.12.3 HELO [234.32.12.3] HELO one.of.the.reverse.dns Nicolas Bareil Les failles exploit´ ees par les spammeurs
  55. Bonne application des standards Session SMTP conforme Message, le plus

    important Helo, world ! Usurpation d’identit´ e V´ erifier les adresses Liste noire/blanche Reverse DNS 82.23.2.12 mx.domaine.fr PTR 82.23.2.12 ? A mx.domaine.fr ? Fig.: V´ erification du reverse DNS Nicolas Bareil Les failles exploit´ ees par les spammeurs
  56. Bonne application des standards Session SMTP conforme Message, le plus

    important Helo, world ! Usurpation d’identit´ e V´ erifier les adresses Liste noire/blanche Syntaxe incorrecte Le nom donn´ e doit ˆ etre un FQDN donc : Comporter au moins un point, ˆ Etre un des reverse dns de l’adresse IP Exemples HELO localhost HELO 234.32.12.3 HELO labo-pc4231 Nicolas Bareil Les failles exploit´ ees par les spammeurs
  57. Bonne application des standards Session SMTP conforme Message, le plus

    important Helo, world ! Usurpation d’identit´ e V´ erifier les adresses Liste noire/blanche Syntaxe incorrecte Le nom donn´ e doit ˆ etre un FQDN donc : Comporter au moins un point, ˆ Etre un des reverse dns de l’adresse IP Exemples HELO localhost HELO 234.32.12.3 HELO labo-pc4231 Nicolas Bareil Les failles exploit´ ees par les spammeurs
  58. Bonne application des standards Session SMTP conforme Message, le plus

    important Helo, world ! Usurpation d’identit´ e V´ erifier les adresses Liste noire/blanche Syntaxe incorrecte Le nom donn´ e doit ˆ etre un FQDN donc : Comporter au moins un point, ˆ Etre un des reverse dns de l’adresse IP Exemples HELO localhost HELO 234.32.12.3 HELO labo-pc4231 Nicolas Bareil Les failles exploit´ ees par les spammeurs
  59. Bonne application des standards Session SMTP conforme Message, le plus

    important Helo, world ! Usurpation d’identit´ e V´ erifier les adresses Liste noire/blanche Usurpation d’identit´ e Nicolas Bareil Les failles exploit´ ees par les spammeurs
  60. Bonne application des standards Session SMTP conforme Message, le plus

    important Helo, world ! Usurpation d’identit´ e V´ erifier les adresses Liste noire/blanche Empˆ echer l’usurpation d’identit´ e Plusieurs techniques existent : Sender Policy Framework (SPF), SenderID, SPF vu par Microsoft, DomainKeys, pouss´ e par Yahoo ! ; Nicolas Bareil Les failles exploit´ ees par les spammeurs
  61. Bonne application des standards Session SMTP conforme Message, le plus

    important Helo, world ! Usurpation d’identit´ e V´ erifier les adresses Liste noire/blanche Sender Policy Framework & SenderID R´ ecup´ eration de l’´ emetteur Pour SPF : enveloppe, Pour SenderID : adresse dans le message ; V´ erification ` A partir du domaine de l’´ emetteur, on v´ erifie qu’on est contact´ e par un serveur autoris´ e : Une liste de tous les serveurs autoris´ es est cr´ e´ ee, Stock´ ee dans une entr´ ee TXT du DNS ; Nicolas Bareil Les failles exploit´ ees par les spammeurs
  62. Bonne application des standards Session SMTP conforme Message, le plus

    important Helo, world ! Usurpation d’identit´ e V´ erifier les adresses Liste noire/blanche DomainKeys Utilisation de la cryptographie asym´ etrique : Publication de la clef publique des serveurs SMTP, Dans un champ TXT de la zone DNS ; Signature de chaque message sortant du serveur Ajout d’un en-tˆ ete dans le message ; ` A la r´ eception d’un message, on v´ erifie la signature. Nicolas Bareil Les failles exploit´ ees par les spammeurs
  63. Bonne application des standards Session SMTP conforme Message, le plus

    important Helo, world ! Usurpation d’identit´ e V´ erifier les adresses Liste noire/blanche Solutions limit´ ees Mesures insuffisantes Empˆ eche l’usurpation, Les spammeurs ont vite adopt´ e SPF, Peu applicable en g´ en´ eral Il faut forcer les utilisateurs ` a utiliser son serveur ! Conclusion Ces technologies r´ eduiront juste les dommages collat´ eraux. Nicolas Bareil Les failles exploit´ ees par les spammeurs
  64. Bonne application des standards Session SMTP conforme Message, le plus

    important Helo, world ! Usurpation d’identit´ e V´ erifier les adresses Liste noire/blanche Solutions limit´ ees Mesures insuffisantes Empˆ eche l’usurpation, Les spammeurs ont vite adopt´ e SPF, Peu applicable en g´ en´ eral Il faut forcer les utilisateurs ` a utiliser son serveur ! Conclusion Ces technologies r´ eduiront juste les dommages collat´ eraux. Nicolas Bareil Les failles exploit´ ees par les spammeurs
  65. Bonne application des standards Session SMTP conforme Message, le plus

    important Helo, world ! Usurpation d’identit´ e V´ erifier les adresses Liste noire/blanche V´ erification des deux parties Adresses valides ? En pratique, il est impossible de v´ erifier qu’une adresse est valide. =⇒ VRFY ou ´ equivalent sont d´ esactiv´ es Avec un peu de ruse. . . si ! Lors de la r´ eception d’un mail, on va simuler la livraison d’un mail pour l’adresse de l’exp´ editeur. while (1) ; Mais c’est une boucle infinie ! ? ! Nicolas Bareil Les failles exploit´ ees par les spammeurs
  66. Bonne application des standards Session SMTP conforme Message, le plus

    important Helo, world ! Usurpation d’identit´ e V´ erifier les adresses Liste noire/blanche V´ erification des deux parties Adresses valides ? En pratique, il est impossible de v´ erifier qu’une adresse est valide. =⇒ VRFY ou ´ equivalent sont d´ esactiv´ es Avec un peu de ruse. . . si ! Lors de la r´ eception d’un mail, on va simuler la livraison d’un mail pour l’adresse de l’exp´ editeur. while (1) ; Mais c’est une boucle infinie ! ? ! Nicolas Bareil Les failles exploit´ ees par les spammeurs
  67. Bonne application des standards Session SMTP conforme Message, le plus

    important Helo, world ! Usurpation d’identit´ e V´ erifier les adresses Liste noire/blanche Un callout en action 220 mx.serveur.fr ESMTP EHLO moi.chezmoi.fr 250-mx.serveur.fr Hello moi.chezmoi.fr 250 ... MAIL FROM:<> adresse forc´ ement valide ! 250 OK RCPT TO:<la@serveur.fr> 250 Accepted RCPT TO:<pasla@serveur.fr> 550 unknown user QUIT 221 mx.serveur.fr closing connection Nicolas Bareil Les failles exploit´ ees par les spammeurs
  68. Bonne application des standards Session SMTP conforme Message, le plus

    important Helo, world ! Usurpation d’identit´ e V´ erifier les adresses Liste noire/blanche DNSBL, RBL, etc. DNS Blacklist ? Stockage d’adresses IP dans un serveur DNS. IP ayant d´ ej` a spamm´ e, IP d’une liste blanche, IP dans une plage d’adresses r´ esidentielles ; All´ echant ? ´ Economique : une question/r´ eponse DNS ` A coupler avec un serveur de cache local, ˆ Etre sˆ ur de ne pas tomber en timeout, Nicolas Bareil Les failles exploit´ ees par les spammeurs
  69. Bonne application des standards Session SMTP conforme Message, le plus

    important Helo, world ! Usurpation d’identit´ e V´ erifier les adresses Liste noire/blanche Mais comment choisir les listes ? ´ Ethique Il faut imp´ erativement connaˆ ıtre : R` egles d’entr´ ee de la liste, R` egles de sortie, Suivre son ´ evolution Lorsqu’une liste s’arrˆ ete, elle blackliste le monde entier afin que personne ne l’utilise. . . En th´ eorie ! Nicolas Bareil Les failles exploit´ ees par les spammeurs
  70. Bonne application des standards Session SMTP conforme Message, le plus

    important Helo, world ! Usurpation d’identit´ e V´ erifier les adresses Liste noire/blanche Mais comment choisir les listes ? ´ Ethique Il faut imp´ erativement connaˆ ıtre : R` egles d’entr´ ee de la liste, R` egles de sortie, Suivre son ´ evolution Lorsqu’une liste s’arrˆ ete, elle blackliste le monde entier afin que personne ne l’utilise. . . En th´ eorie ! Nicolas Bareil Les failles exploit´ ees par les spammeurs
  71. Bonne application des standards Session SMTP conforme Message, le plus

    important V´ erification syntaxique Filtrage par mots clefs Filtre Bayesien Plan 4 Bonne application des standards 5 Session SMTP conforme 6 Message, le plus important Nicolas Bareil Les failles exploit´ ees par les spammeurs
  72. Bonne application des standards Session SMTP conforme Message, le plus

    important V´ erification syntaxique Filtrage par mots clefs Filtre Bayesien V´ erification syntaxique Comme pour le SMTP, peu de respect des standards Header manquant, =⇒ MessageID est un cas int´ eressant Mauvais encodage, Syntaxe incorrecte ; Nicolas Bareil Les failles exploit´ ees par les spammeurs
  73. Bonne application des standards Session SMTP conforme Message, le plus

    important V´ erification syntaxique Filtrage par mots clefs Filtre Bayesien Filtrage par mots clefs Mots clefs Langage des spammeurs : =⇒ viagra, sexe, drogue, argent, casino, etc. Calcul d’un score ` a partir de ces mots clefs (bonus/malus) Spamassassin Bien plus qu’une simple liste de mots : Analyse d’URL, Transformation d’alphabet, V´ erification de syntaxe des mails, Tests r´ eseaux, =⇒ Usine ` a gaz ; Nicolas Bareil Les failles exploit´ ees par les spammeurs
  74. Bonne application des standards Session SMTP conforme Message, le plus

    important V´ erification syntaxique Filtrage par mots clefs Filtre Bayesien Limites du filtrage Les spammeurs s’adaptent vite pour ´ eviter les r` egles : ´ Ecriture avec un alphabet diff´ erent (viagra −→ v14gr4), Modification des en-tˆ etes des mails, Veille des r` egles publiques On estime qu’une r` egle Spamassassin post´ ee perd 80% de son efficacit´ e apr` es sa publication. Nicolas Bareil Les failles exploit´ ees par les spammeurs
  75. Bonne application des standards Session SMTP conforme Message, le plus

    important V´ erification syntaxique Filtrage par mots clefs Filtre Bayesien Bayes & la classification automatique Apprentissage En fournissant un nombre cons´ equent de messages d´ ej` a tri´ es (spam ou non), on va pouvoir attribuer une probabilit´ e de spam ` a un mot. ` A la r´ eception d’un message, on somme les probabilit´ es de chaque mots pr´ esent pour d´ eterminer si cela est un spam. Contre attaque des spammeurs Pour affaiblir les probabilit´ es, les spammeurs envoient des messages avec des mots al´ eatoires ` a la fin de leurs messages. Nicolas Bareil Les failles exploit´ ees par les spammeurs
  76. Bonne application des standards Session SMTP conforme Message, le plus

    important V´ erification syntaxique Filtrage par mots clefs Filtre Bayesien Bayes & la classification automatique Apprentissage En fournissant un nombre cons´ equent de messages d´ ej` a tri´ es (spam ou non), on va pouvoir attribuer une probabilit´ e de spam ` a un mot. ` A la r´ eception d’un message, on somme les probabilit´ es de chaque mots pr´ esent pour d´ eterminer si cela est un spam. Contre attaque des spammeurs Pour affaiblir les probabilit´ es, les spammeurs envoient des messages avec des mots al´ eatoires ` a la fin de leurs messages. Nicolas Bareil Les failles exploit´ ees par les spammeurs
  77. Bonne application des standards Session SMTP conforme Message, le plus

    important V´ erification syntaxique Filtrage par mots clefs Filtre Bayesien Meilleure solution ? Sˆ urement la solution la plus efficace ! =⇒ Int´ egr´ ee partout : Thunderbird, Outlook, Evolution. . . Mais : N´ ecessite un long apprentissage pour ˆ etre efficace, Entretien constant, Individuel, Gourmand en espace disque et acc` es I/O ; Nicolas Bareil Les failles exploit´ ees par les spammeurs
  78. Bonne application des standards Session SMTP conforme Message, le plus

    important V´ erification syntaxique Filtrage par mots clefs Filtre Bayesien Hashage des messages Hashage Une fonction de hashage prend une suite d’octets de taille variable et la transforme en un condens´ e d’une taille fix´ ee. =⇒ Modifier un bit du message modifie totalement le hash =⇒ On suppose la tr` es faible probalit´ e d’une collision Publication des condens´ es de spam ` A la r´ eception de chaque message, on calcul son condens´ e et on regarde sur un serveur si ce hash est connu pour ˆ etre du spam. Nicolas Bareil Les failles exploit´ ees par les spammeurs
  79. Bonne application des standards Session SMTP conforme Message, le plus

    important V´ erification syntaxique Filtrage par mots clefs Filtre Bayesien Parade contre ces hashes Adaptation rapide Personnalisation des messages : Ajout du nom de la personne, Modification des dates ; Suite de caract` eres al´ eatoires ` a la fin du message ; Cons´ equence Ces services n’ont plus d’efficacit´ e ! Nicolas Bareil Les failles exploit´ ees par les spammeurs
  80. Conclusions Fournisseurs d’acc` es Serveur d’entreprises Particuliers Plan 7 Conclusions

    Nicolas Bareil Les failles exploit´ ees par les spammeurs
  81. Conclusions Fournisseurs d’acc` es Serveur d’entreprises Particuliers Que peuvent faire

    les ISP ? Probl´ ematiques Difficult´ es techniques : ACL tr` es coˆ uteuses et peu maintenables, Passage ` a l’´ echelle ; Publicit´ e, Liaison pay´ ee au volume Solutions ( ?) Proposer des relais SMTP stables =⇒ Afin de limiter l’installation de serveur SMTP Le filtrage du port 25 n’est pas une solution =⇒ Mettre de la QoS sur le port 25 en sortie ? Nicolas Bareil Les failles exploit´ ees par les spammeurs
  82. Conclusions Fournisseurs d’acc` es Serveur d’entreprises Particuliers Que peuvent faire

    les serveurs d’entreprise ? Si moyens suffisants : Clusters de serveurs utilisant Spamassassin, Impl´ ementer toutes les v´ erifications syntaxiques, Les communications inter-entreprises utilisent des vrais MTAs, Utilisation de liste noire et blanche ; Le greylisting est une option si les utilisateurs peuvent accepter un retard lors du premier ´ echange. Important Filtrez le port 25 en sortie ! Surveillez le nombre d’envois ; Nicolas Bareil Les failles exploit´ ees par les spammeurs
  83. Conclusions Fournisseurs d’acc` es Serveur d’entreprises Particuliers Que peuvent faire

    les serveurs d’entreprise ? Si moyens suffisants : Clusters de serveurs utilisant Spamassassin, Impl´ ementer toutes les v´ erifications syntaxiques, Les communications inter-entreprises utilisent des vrais MTAs, Utilisation de liste noire et blanche ; Le greylisting est une option si les utilisateurs peuvent accepter un retard lors du premier ´ echange. Important Filtrez le port 25 en sortie ! Surveillez le nombre d’envois ; Nicolas Bareil Les failles exploit´ ees par les spammeurs
  84. Conclusions Fournisseurs d’acc` es Serveur d’entreprises Particuliers Que peuvent faire

    les particuliers ? Deux solutions efficaces ` a 99,99% : Spamassassin, Filtre Bayesien ; En plus d’un firewall et un anti-virus ` a jour. Nicolas Bareil Les failles exploit´ ees par les spammeurs
  85. Conclusions Fournisseurs d’acc` es Serveur d’entreprises Particuliers En entr´ ee

    et en sortie Personne n’est ` a l’abri Vous devez contrˆ oler tout ce que vous recevez et ce que vous ´ emettez ! Soyez exigent Contrˆ ole syntaxique, Surveillance statistiques, Utilisation de Spamassassin ; Imposez des quotas ! Nicolas Bareil Les failles exploit´ ees par les spammeurs
  86. Conclusions Fournisseurs d’acc` es Serveur d’entreprises Particuliers Questions ? Questions

    ou remarques ? nbareil@mouarf.org http://mouarf.org/ Nicolas Bareil Les failles exploit´ ees par les spammeurs