SPAM, Entenderlo es Controlarlo
26
Haga clic para modificar SPAM Entenderlo es Controlarlo Manuel Moreno IT Security Specialist Gonzalo Balladares MVP Exchange
-
Upload
gonzalo-balladares-rivera -
Category
Technology
-
view
2.277 -
download
0
description
n esta sesión, Manuel Moreno, Especialista en Seguridad IT y Hacking Ético junto a Gonzalo Balladares R., MVP Exchange Server, te mostrarán en qué consiste y cómo han evolucionado los ataques de correo electrónico no deseado (SPAM) a través del tiempo, las diversas técnicas para su identificación y las herramientas que provee Exchange server, para hacer frente a la contínua amenaza del SPAM.
Transcript of SPAM, Entenderlo es Controlarlo
Haga clic para modificarSPAMEntenderlo es Controlarlo
Manuel MorenoIT Security Specialist
Gonzalo BalladaresMVP Exchange
Haga clic para modificarAcerca de… Manuel Moreno• Especialista de Seguridad IT, Auditor & Ethical Hacker
con mas de 12 años de experiencia• Gerente de GlobalSecure• Fundador y Moderador www.insecure.cl • Director de Comunicaciones ISSA Chile• Certificado Ethical Hacker PPT, Qualys QCS, Microsoft MCP, Redhat RHLP, Cisco CCNA
Haga clic para modificarAcerca de… Gonzalo BalladaresGonzalo Balladares R.MVP Exchange ServerMCITP | MCTS | MCSA
Director del Grupo Latinoamericano de Usuarios de Exchange (www.msglue.org)Gerente Tecnologías de Activetrainer.cl([email protected])
[email protected]@gballadareshttp://geeks.ms/blogs/gballadares
Haga clic para modificar¿Qué es un SPAM?• Se llama SPAM, correo basura o mensaje basura a los
mensajes no solicitados, no deseados o de remitente no conocido, habitualmente de tipo publicitario, enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor.
Fuente: http://es.wikipedia.org/wiki/Spam
Haga clic para modificar¿Como llego a las listas de SPAM?• Cadenas de correos• Robot de búsqueda en sitios web• Bases de datos en venta en el mercado negro• Google Hacking• Búsqueda en MetaDatos• Open Source Intelligence OSINT
(http://en.wikipedia.org/wiki/Open_source_intelligence)
Haga clic para modificar
Haga clic para modificar
DEMO OSINT CON MALTEGO
Haga clic para modificarTécnicas de Detección de SPAM• Filtrado de Contenido• RBLs (Real Time Black Holes)• Análisis Heurístico• Filtros Bayesianos• OCR (Reconocimiento de Texto)• Sistema de Reputación• Listas Blancas, Negras y Grises (Greylist)• SPF (Sender Policy Framework)
Haga clic para modificarFiltrado de Contenido• Útil para Evita que cierto tipo de palabras y tópicos
sean enviados hacia o desde los usuarios• Pero es ineficiente para controlar el SPAM
– Requiere una atención continua del Administrador– Algunos simples trucos lo hacen vulnerable
• Ejemplo: $ave, V*i*a*gr*a, Chëὰρ
– Genera muchos falsos positivos
• Aquí Diferentes ejemplos de la palabra Viagra:
Haga clic para modificarRBLs (Real Time Black Holes)• Las RBLs son listas de supuestos spammers con sus
dominios/direcciones IP– Ejemplos: SpamCop, Backscatterer.org, RRBL, SpamRBL
Ventajas:– Mantienen una lista actualizada de los spammers– Fácil de implementar
Desventajas:– No figurar en estas listas puede llevar desde días a meses– Algunos ISPs son agregados, aún cuando envían correos
legítimos
Haga clic para modificarAnálisis Heurístico• Utiliza una técnica que busca miles de características
y/o palabras para identificar SPAM y asignar una calificación
Ventajas:– Ofrece un punto de balance para la detección del spam– Puede Detectar nuevos tipos de Spam y es utilizado en
muchos productos Antispam
Desventajas:– Incrementar el nivel de detección significa incrementar los
falsos positivos– El nivel de SPAM debe ser ajustado periódicamente
Haga clic para modificarFiltros Bayesianos• Es un sistema de aprendizaje que se basa en análisis
estadístico del vocabularioVentajas:
– Puede ser muy efectiva para usuarios individuales– Crea un listado de palabras buenas y malas– La base de datos se actualiza periódicamente
Desventajas:– Necesita de la intervención del usuario para que sea
efectiva (debe recibir y enviar correo)– Es atacado deliberadamente por los spammers
Haga clic para modificarOCR• Permite detectar textos en imágenes dentro de
correos electrónicos.• Ventajas:
– Detecta SPAM en Imágenes de correo– Ideal para detectar correos que no tienen contenido y solo
hacen referencia a una imagen <img=web.com/spam.jpg>
Desventajas:– Hace uso intensivo del CPU– Dependiendo del volumen de correos puede agregar
latencia y/o delay
Haga clic para modificar
ANTISPAM EN EXCHANGE
Haga clic para modificarAntispam
Outlook Inbox
OutlookJunk E-mail
1. Connection Filtering
2. Sender & Recipient Filtering
Sender ID Lookup & Intelligent Message
Filter
Incoming Internet E-Mail
Haga clic para modificar
`
9. User Safe/Blocked Sender Lists andStore Threshold
Internet
1. Connection FilteringAllow/Deny IP lists
Real time block lists
Internet Mail Gateway Server
2. Sender Filtering
3. Recipient Lookup
4. Recipient Filtering
5. Sender ID Lookup
6. Intelligent Message Filter
Routing HubServer
8. Virus Scanning
7. Attachment Stripping
For example:.dll, .exe, .cmd, .com,
.js, .wsf, and .vbs
Mailbox Server
13. Antivirus SoftwareReal-time scanning
Outlook 2003Client
12. Attachment and Web Beacon Blocking
Inbox Junk E-mail
11. Client-Side Spam Filtering
10. Outlook Client Version Control
Exchange 2003
Haga clic para modificar
`
15. User Safe/Blocked Sender
Lists andStore Threshold
Internet
1. Connection Filtering
Edge TransportServer
2. Sender Filtering
3. Recipient Lookup
4. Recipient Filtering
5. Sender ID Lookup
Hub TransportServer
14. Virus Scanning
Mailbox Server
19. Antivirus SoftwareReal-time scanning
Outlook 2007Client
18. Attachment and Web Beacon Blocking
Inbox Junk E-mail
17. Client-Side Spam Filtering
16. Outlook Client Version Control
6. Protocol Analysis
8. Rule Processing
9. Content Filtering
10. Attachment Filtering
11. Virus Scanning
7. Header Filtering
13. Message Journaling
12. Rules Processing
E-Mail Postmarks
Active Directory
Safe Recipients Lists, Safe Senders Lists, and
External Contacts
SafelistAggregation
Exchange ADAM
Hashed Recipient and Safe Senders Information
EdgeSync
Exchange 2007
Haga clic para modificarExchange 2010
Content FilteringOutlook Safe Sender List SCL Rating
Sender ID Filtering
Recipient Filtering
Sender Filtering
Filtrado de ConexiónIP Allow List IP Block List RBLs
Haga clic para modificar
DEMO
Haga clic para modificarSender ID / SPF• Evita Suplantación• Verificaciones
– SPF: • Mail From• FQDN dado en HELO/EHLO
Haga clic para modificarSender ID
Haga clic para modificar
DEMO
Haga clic para modificarCaí en Lista Negra!! Hoo NOO!
Haga clic para modificar
DEMO
Haga clic para modificar¿Preguntas?
MUCHAS GRACIAS!
BLOG Gonzalo Balladareshttp://geeks.ms/blogs/gballadares
BLOG Manuel Morenohttp://www.insecure.cl
www.facebook.com/comunidadesMS www.facebook.com/estudiantesMS www.facebook.com/emprendedoresMS
@ComunidadesMS
LinkedIn: //linkd.in/comunidadesms Vimeo: www.vimeo.com/comunidadesms YouTube: www.youtube.com/comunidadesms
Redes Sociales
