Zła wiadomość dla spamerów – od grudnia Korea Południowa zablokuje ruch wychodzący do serwerów e-mail na porcie 25. Dwa lata temu na ten ruch zdecydowała się Telekomunikacja Polska S.A., w efekcie czego nasza sieć szybko zniknęła z list czołowych spamerów na świecie.

O co w tym wszystkim chodzi? Otóż port 25 używany jest do komunikacji między serwerami, przesyłającymi między sobą naszą elektroniczną korespondencję. W sytuacji, gdy tego samego portu – za pośrednictwem którego transmisja nie jest szyfrowana – używa również program pocztowy, cyber-przestępca, który przejmie kontrolę nad naszym komputerem, może „udawać” serwer i w efekcie czego bez ryzyka – a co gorsza bez naszej wiedzy – wysyłać setki tysięcy reklamowych maili. Kolejny krok to blokada grupy adresów IP do której należy spamujący komputer, co oznacza, że możliwość wysyłania maili tracą już przynajmniej setki internautów, a wiarygodność dostawcy usług internetowych drastycznie spada.

Przy zablokowaniu portu 25 (w przypadku TP zastąpiły go porty 465 i 587) źli ludzie nie mogą już łączyć się bezpośrednio z serwerami mailowymi. Koreańczykom taka akcja na pewno się przyda, biorąc pod uwagę, iż ich kraj według większości organizacji, prowadzących tzw. „czarne listy”, jest w ścisłej czołówce spamerów. Gdy 1 grudnia 2009 wprowadziliśmy blokowania portu 25 w sieci TP, następnego zanotowaliśmy olbrzymi spadek spamu w skali światowej! Potem oczywiście spamu znów zrobiło się więcej – da się na tym zarobić zbyt duże pieniądze, by przestępcy sobie odpuścili – ale TP, a w efekcie również Polska, na stałe wypadły z niechlubnej światowej czołówki. Czego i Koreańczykom życzę.

Miejsce na podium to nie zawsze powód do chluby. Przez długi czas Telekomunikacja Polska była w ścisłej światowej czołówce niechlubnej klasyfikacji dostawców internetu rozsyłających najwięcej spamu. Od niedawna jednak plasujemy się już w okolicach 20. miejsca. Jeśli jesteś użytkownikiem Neostrady, szansa na to, że wysyłasz spam lub Twój komputer pracuje dla botnetu jest mniejsza, niż w innych sieciach.

Kluczowym momentem w wojnie TP ze złośliwym oprogramowaniem (tzw. malware) okazało się być zablokowanie dla użytkowników Neostrady ruchu wychodzącego do serwerów pocztowych na porcie 25. To wciąż bardzo popularna droga komunikacji między serwerami pocztowymi, bardzo często nie wymagająca uwierzytelnienia, ergo – zostawiająca szeroko otwarte wrota dla spamu. Gdy dodać do tego fakt, iż już od dłuższego czasu dla wszystkich usług TP arbitralnie blokujemy możliwość połączenia ze zidentyfikowanymi adresami kontrolującymi botnety, oraz porty NetBios (choć zbędne w komunikacji z internetem, domyślnie są otwarte, z czego skwapliwie korzysta malware), sieciowi przestępcy chcąc wykorzystać w niecnych celach naszych użytkowników, muszą się znacznie bardziej natrudzić.
– Od czasu wprowadzenia tych zabezpieczeń wyraźnie zmalała liczba infekcji robakami sieciowymi, choćby legendarnym Confickerem (na świecie jest nim zarażonych kilkanaście milionów komputerów! – przyp. aut.). Spamerzy jednak ciągle walczą i o ile pierwszego dnia po wprowadzeniu przez nas blokady portu 25 liczba spamu na świecie spadła o 99,9 proc., potem niestety wróciła do normy – wyjaśnia Artur Barankiewicz, kierownik Działu Obsługi Incydentów Bezpieczeństwa TP. – Gdy jednak w grę wchodzą duże pieniądze, rynek szybko się dostosowuje. Spam, który nie wychodzi już z TP, jest wysyłany z innych krajów. Spamerzy oczywiście pracują nad obchodzeniem zabezpieczeń, a i my nie liczymy, że odpuszczą, więc oczywiście pracujemy nad kolejnymi – dodaje Barankiewicz.
Powody do obaw mogą mieć nie tylko spamerzy, ale i te ich ofiary, którzy dostaną od nas informację o tym, że ich komputery rozsyłają spam. Jeśli nie usłuchają rad naszego zespołu CERT  jak mogą zabezpieczyć swoje systemy i dopuszczą się recydywy – nie będą mogli korzystać z usług TP. I może na razie poprzestańmy na informacjach bardziej ogólnych, bo nie śpią zarówno wróg, jak i konkurencja.
Na koniec pytanie – czy wśród Czytelników tego bloga jest ktoś, kto nigdy nie dostał spamu? Przy dziesiątkach miliardów niechcianych wiadomości, wysyłanych w sieci codziennie (sic!) spotkanie takiego internauty wydaje się być tak samo prawdopodobne jak spotkanie yeti…

Fot. sxc.hu

Dziś będę kontunuował temat bezpieczeństwa. Mam na myśli pocztowe systemy antyspamowe działające w sieci Orange. Zasada jest wyjątkowo prosta. Jeśli użytkownik końcowy Internetu mobilnego w Orange wysyła świadomie bądź nieświadomie spam lub wiadomości zawierające wirusy korzystając z protokołu SMTP, to nasz system (dokładniej klaster 9 urządzeń) skanujący wszystkie wiadomości „w locie” w trybie transparentnym, wyłowi taką korespondencję.

Wiadomości zostają od razu zakwalifikowane jako niebezpieczne lub spam i proces wysyłania zostaje wstrzymany. a użytkownik jest powiadamiany odpowiednim komunikatem – Your email has been rejected. Takie rozwiązanie przynosi korzyści wszystkim zainteresowanym. Użytkownik dostaje informację o wysyłaniu przez niego spamu, o czym może nawet nie mieć pojęcia (komputery Zombie) i nie zużywa limitu transferu. Dla Orange korzyść jest ewidentna, bo dzięki temu nasze adresy IP nie trafiają na „spamer blacklists”.

Metody identyfikacji niechcianych wiadomości są różne:

• Analiza załączników: Sprawdzenie pod kątem wirusów. Baza antywirusowa aktualizowana jest na bieżąco.
• Porównywanie sygnatury wiadomości. Z każdej wiadomości robiony jest ekstrakt i porównywany z ogólnoświatową bazą informacji o spamie.
• Sprawdzenie odnośników do stron www, czy w treści maila występują odnośniki do stron z list Spammer URL blacklist
• Analiza nagłówka maila, czy domena nadawcy e-maila istnieje.
• Sprawdzenie, czy nadawca nie wysyła więcej niż 100 e-maili na minutę (typowe dla zainfekowanych komputerów).
• Sprawdzenie, czy komputer nadawcy używa poprawnej składni protokołu SMTP
• Analiza heurystyczna tzn. analiza matematyczna wykorzystująca probabilistykę do klasyfikacji wiadomości.
• Analiza „zakazanych słów” w e- mailu tj. czy w wiadomości występują podejrzane wyrazy takie jak viagra, cialis itd.
• Analiza obrazków załączonych do wiadomości. Na każdym obrazku rozpoznawany jest tekst, a następnie analizowany jedną z powyższych metod.

Najlepsze efekty przynosi zastosowanie rozwiązań typu UTM (Unified Thread Management). System analizuje w naszej sieci ponad 1 mln wiadomości e-mail w ciągu każdej doby. Ze statystyk jakie można na tej podstawie sporządzić wynika, że tylko co 7 e-mail jest ok, natomiast 85 proc. rejestrowanego ruchu to spam. Kraje, które są adresatami przechwytywanego spamu to najczęściej: USA, Wielka Brytania, Niemcy i Rosja. Dla szczególnie zainteresowanych mogę dodać, że system umożliwia zidentyfikowanie abonenta Orange generującego spam po adresie IP oraz numerze telefonu MSISDN (posiada go każda karta SIM konieczna do nawiazania mobilnej transmisji do Internetu). Dzięki korelacjom pomiędzy różnymi naszymi systemami mamy możliwość zidentyfikowania takiego abonenta