[lacnog] debe LACNIC implicarse en la lucha contra el SPAM ?

Arturo Servin arturo.servin en gmail.com
Vie Oct 31 21:43:02 BRST 2014


Tanto LACNIC y LACNOG deben hacer lo que saben hacer muy bien, ser un lugar
para promover y debatir ideas, ser un foro para difundir este tipo de
problemas y buscar soluciones.

Pero más no creo. Si acaso, y un poco estirando sus funciones LACNIC podría
proveer algunas herramientas que ayuden a medir el SPAM.

No creo que LACNIC deba proveer un RBL. Al menos como esta constituido al
día de hoy.

Slds
as




2014-10-31 16:49 GMT-03:00 JORDI PALET MARTINEZ <jordi.palet en consulintel.es>
:

> Por resumir, estoy deacuerdo contigo en la importancia de la solucion
> tecnica, pero apoyada en la legalidad y en el soporte y respuesta no solo
> tecnica sino tambien legal. Se necesita la colaboracion de ambos ámbitos,
> y para ello tambien hay que formar y concienciar a las autoridades,
> precisamente para evitar fallos como los de la legislacion de Chile y
> ayudar a corregirlos.
>
> LACNIC puede ofrecer el servicio de RBL, apoyado en un automatismo de
> denuncia. Ese mecanimso de denuncia debe basarse en la definicion de SPAM
> de la comunidad, que hasta donde yo se, los tecnicos aceptamos
> generalmente como definicion de SPAM ³cualquier correo recibido sin
> consentimiento previo². Esta definicion coincide con la legislacion de
> muchos, por no decir muchisimos pasises en sus leyes de proteccion de
> datos personales. Da igual que ese correo este publicado, porque si
> colaboras en publico lo estara seguro, pero ello no permite que se te
> envie un correo sin autorizacion, y menos que sea reincidente, y mucho
> menos que no puedas evitarlo, etc., insisto, es lo que se llama proteccion
> de datos personales que implica tambien las normas de recopilacion y
> tratamiento de dichos datos, y se aplica igual a un correo electronico que
> a un numero de telefono, que a la direccion postal (y probablemente hay
> otros ejemplos).
>
> Si no estamos de acuerdo en que eso es SPAM, es un punto de partida a
> revisar, pero dudo que haya discrepancia en eso, pero igual me equivoco.
>
> En cambio si estamos de acuerdo, entonces, es facil clasificar
> ³tecnicamente², incluso de forma ³casi² automatizada lo que es SPAM y lo
> que no.
>
> Y dado que el RBL puede ofrecer ³multiples² listas, cada usuario que desea
> usar el RBL puede elegir ³que² nivel de ³criticidad² quiere aplicar. Yo
> elegiria como ³spammer² a cualquiera que envia SPAM, aunque solo se
> reporte un caso, porque mi experiencia es que casi nunca se denuncia.
>
> Si hacemos una encuesta, cuantos de la lista han recibido SPAM, un calculo
> aproximado de cuantos por dia, de media, y cuandos han denunciado ? Creo
> que eso seria suficientemente explicito, y eso que somos ³tenicos². Casi
> nadie denuncia, y por eso el SPAM crece. Por ello hay que facilitar al
> usuario la denuncia de forma facil y al administador de correo que pueda
> repudiar a quien ha enviado spam aunque solo haya sido denunciado por un
> usuario.
>
> Obviamente hay que permitir un procedimiento de ³salida² de la lista de
> repudio, y un sistema de puntuacion que cuando un spamemr logra salir una
> vez, si se ve que repite el spam, cada vez le sea mas dificil salir, creo
> que eso no hace falta explicarlo demasiado, pero eso permite que si un
> servidor compartido es utilizado para hacer spam una vez, y el ISP que lo
> gestiona o aloja lo resuelve, no quede marcado por vida, es mas el
> ³premio² a ese ISP depende de cuan veloz sea en resolver el problema. De
> hecho si responde en menos de ³x² horas, ni siquiera entra en la lista RBL.
>
> Insisto en que la legislacion que protege es la del país de destino del
> SPAM (no desde donde se lee el correo, sino donde esta la IP del servidor
> de correo destino). No hace falta repetir el ejemplo de un crimen
> organizado por un ciudadano de un país, ejemplo Ecuador, en España. El
> organizador del crimen, aunque no sea el autor material, es complice y
> puede ser perseguido según la ley de España.
>
> Afortunadamente, eso simplifica mucho el tratamiento del SPAM y es la
> única forma de proteger al consumidor de los países con legislaciones
> correctas, porque aun cuando Chile tenga una legislacion incorrecta, dado
> que el ³ataque² o ³Spam² o llamalo como quieras, se produce a un servidor
> ubicado en España quien me protege es la legislacion Española. Eso no
> quiere decir que tambien la legislacion Chilena podria tomar cartas en el
> asunto, e incluso agregar una nueva multa o pena al asunto, pero el
> consumidor esta protegico por la ley donde esta el servidor que libremente
> elige utilizar.
>
> Para que nadie tenga dudas en adelante, pongo nombres de países como meros
> ejemplos, es una forma de hablar y de simplificar los ejemplos, mas facil
> que decir ³x² ³y² ³z². Si se prefiere que ponga a ³España² como el emisor
> del spam, no tengo problema. Me baso en mi propia experiencia y en el
> ejemplo de la regulacion de Chile, que posiblemente en Europa tambien haya
> otras que puedan ser iguales o incluso peores o inexistentes.
>
> Saludos,
> Jordi
>
>
>
>
>
>
> -----Mensaje original-----
> De: Octavio Alvarez <alvarezp en alvarezp.ods.org>
> Responder a: <alvarezp en alvarezp.ods.org>
> Fecha: viernes, 31 de octubre de 2014, 18:43
> Para: Jordi Palet Martinez <jordi.palet en consulintel.es>, Latin America and
> Caribbean Region Network Operators Group <lacnog en lacnic.net>
> Asunto: Re: [lacnog] debe LACNIC implicarse en la lucha contra el SPAM ?
>
> >On 10/30/2014 02:24 AM, JORDI PALET MARTINEZ wrote:
> >>> No necesariamente. ¿Cómo sabemos si las agencias de mercadotecnia
> >>> están conscientes de esto, que para nosotros es obvio? Además, si
> >>> la ley del correspondiente país no exige explícitamente seguir la
> >>> práctica de la confirmación de e-mail, no hay nada que hacer
> >>> legalmente.
> >>
> >> El desconocimiento de la ley no exime de su cumplimiento, y creo que
> >> eso es igual para todos los países del mundo!
> >
> >Pero determinar quién cumple y quién no según las leyes de cada país
> >está fuera de las facultades (y más aún, de los alcances) de LACNIC,
> >RIPE, ARIN, etc.
> >
> >> Pero ademas te aseguro que estas empresas SABEN perfectamente que el
> >> SPAM es ilegal.
> >
> >Depende de si tu definición de Spam. No todos los tipos de Spam son
> >ilegales en todos lados.
> >
> >> Si tu envias SPAM a cuentas alojadas en España, DEBES conocer la ley
> >> Española, y si no la conoces, es tu problema, eres culpable por
> >> ello.
> >
> >Te diría que estoy de acuerdo, pero no conozco suficiente sobre leyes y
> >los abogados son buenísimos para encontrarle recobecos a las leyes. Por
> >eso no le corresponde a ningún RIR juzgar eso. Debe seguirse por vías
> >legales.
> >
> >A los RIRs les toca buscar soluciones técnicas; es decir, en lugar de
> >buscar cómo sancionar, a los RIRs les toca buscar *evitar* que suceda
> >por vías técnicas y/o hacerlo manejable y controlable.
> >
> >Actualmente, una vez que una cuenta de e-mail queda "comprometida", ya
> >valió. No hay forma de filtrar el spam. Eso es un enfoque "todo o nada"
> >y bastante deficiente.
> >
> >> Insisto, el país donde estan alojados los servidores que reciben el
> >> SPAM. Si en Brasil no hay penalizacion por el SPAM, pero si en
> >> España, y se envia SPAM desde Brasil a España, el delito se esta
> >> cometiendo tambien en España.
> >>
> >> Es posible que si Brasil tambien tiene reglamentacion, al respecto,
> >> tambien se este cometiendo delito en Brasil.
> >
> >Y volvemos a la definición de Spam de Brasil y en España, no a la
> >tuya... y que LACNIC no es una corte de justicia.
> >
> >> Recuerda el ejemplo del coche. Tu que conduces fuera de tu país eres
> >> quien debe de conocer eso. Cada país tiene derecho a sus propias
> >> leyes, y como he dicho en algun momento, afortunadamente, suelen ser
> >> bastante coincidentes, y mas en estos temas.
> >
> >"Bastante" no es suficiente para las PC; sólo hacen complejas las cosas.
> >
> >Además, es muy diferente cuando estás personalmente ubicado en otro país
> >que cuando estás en el propio.
> >
> >>> No, porque entonces esa RBL sería un "punto simple de falla" (SPoF)
> >>> en la lucha contra Spam. Si hay sólo una RBL, entonces los
> >>> "astutos" podrían simplemente darle un manejo especial a la RBL y
> >>> arrojar resultados falsos.
> >>
> >> Eso se puede remediar con los procedimientos, con copias de las RBL
> >> sincronizadas, etc., etc., y cada vez que se detectan fallos,
> >> logicamente se adapta el procedimiento.
> >
> >No me entendiste. Para generar un RBL hay que hacer pruebas. Si hay una
> >sola RBL, yo, como atacante, le daría un tratamiento diferente a las IP
> >que correspondan con esas RBL para engañar.
> >
> >Por más espejos y copias sincronizadas, todas tendrían información
> >incorrecta.
> >
> >Por eso debe ser distribuido, para reducir el impacto del tratamiento
> >especial.
> >
> >>> Por eso digo que debemos buscar otro tipo de soluciones; por
> >>> ejemplo, facilitar la automatización de las siguientes pruebas:
> >>>
> >>> 1. ¿Tiene correctos sus registros DNS, SPF y demás requisitos
> >>> técnicos? 2. ¿Admite la suscripción de direcciones
> >>> nombre+etiqueta en dominio.com? 3. ¿Funciona la liga de
> >>> "desuscripción"? 4. ¿La desuscripción se realiza sin toma de
> >>> represalia? (ok, te desuscribo de mi lista pero en represalia te
> >>> agrego a otra lista) 5. ¿Las lista de distribución fue compilada de
> >>> manera adecuada?
> >>
> >> El 1 y el 2 no bastan.
> >
> >No, pero ayudan a reducir el problema. El Spam es un problema complejo
> >que requiere varios frentes de ataque. Decir "no basta" es pensar en que
> >existe una solución "milagro" y que la 1 y 2 no lo son.
> >
> >> El procedimiento de desuscripcion, 3, debe permitir borrar dominios
> >> completos, incluso MX completos. Yo he comprobado como muchos
> >> spammers me envian email, para ver si ³aciertan² a estas
> >> direcciones: Jordi en consulintel.es Jordia en consulintel.es
> >> Jordib en consulintel.es Etc Š imaginaros si tengo que desuscribirme de
> >> cada posible combinacion.
> >
> >Eso va más allá del simple "correo no solicitado". Eso es también un
> >"ataque".
> >
> >¿Ves? Primero necesitamos definiciones y para eso es necesario estudiar
> >el fenómeno.
> >
> >> Y si no lo hago, venden esas bases de datos, y se multiplica el
> >> trafico que recibo (lo veo en los registros de mi servidor), porque
> >> ademas IGNORAN los emails devueltos !!! Es tan facil y tan barato
> >> enviar 1 millon o 10 millones de emails que por el momento les da
> >> igual !!!!
> >
> >Y peor si cuentan con una botnet, pero ya estamos hablando de otra cosa.
> >Una cosa es cuando una entidad conocida te envía un mensaje promocional
> >y otra es el ejemplo que acabas de proporcionar.
> >
> >> El punto 4 es muy habitual, lo hacen la mayoria de spammers, lo he
> >> comprobado.
> >
> >¿Y si yo soy una agencia que *sí* respeto eso? ¿Cómo me voy a
> >diferenciar de una de menor ética? Si no me da una ventaja competitiva
> >me veo obligado a "rebajarme" para evitar pérdida de negocio porque
> >otros lo venden más barato.
> >
> >Por eso debemos buscar favorecer a los que sí cumplen.
> >
> >> El punto 5, solo hay una forma adecuada: Consentimiento expreso y
> >> previo del propietario del correo ! Eso no admite discusión. No sirve
> >> ³sr. Le pedimos permiso para enviarle email, si no nos contesta
> >> negativamente, entenderemos que nos autoriza².
> >
> >Eso se según tú, pero ellos te podrían decir "en mi país es legal". Y
> >ya, adiós argumentos.
> >
> >> Obviamente, si yo tengo una red, normalmente, cuando ofrezco
> >> servicios, en el contrato estoy indicando que no se pueden hacer
> >> ataques, spam, etc., desde mi red. Al menos hasta donde yo he visto
> >> los contratos de muchos operadores. Estoy seguro que en LAC se hace
> >> igual.
> >
> >Sí, pero una cosa de "que parezca spam" y otra cosa "que sea spam". Y si
> >yo le cancelo el servicio a un cliente por algo que "parezca spam" pero
> >bajo sus leyes "no sea estrictamente spam", podría ser objeto de
> >cancelaciones de contrato y demandas.
> >
> >Insisto, busquemos una solución técnica para hacer controlable el
> >problema.
> >
> >Saludos.
> >
>
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20141031/67fd076d/attachment.html>


Más información sobre la lista de distribución LACNOG