RE: [Seguridad] Nuevo código de conducta anti-spam en Australia

[Jorge F. Messano]

Ricardo,

Como estas? Un gusto encontrarte aca.

El problema del codigo australiano es el mismo que se encuentra en la gran
mayoria de las regulaciones creadas en otros paises: Esta basado en
criterios que no son aplicables hoy en dia.

Me explico. 
(Nota: Creo que voy a extenderme bastante, asi que pido disculpas si los
aburro... aun asi, creo que es necesario para expresar la situacion actual).

Ese codigo, como tantos otros, da por cierta la asociacion entre ISP y
Spammer.
Esa "asociación" existió sin duda hasta fines de los '90, momento en el que
comienza decrecer hasta practicamente desaparecer hacia fines de 2003. 

Desaparece por varias razones:
1. Usuarios: Hostilidad manifiesta hacia los anunciantes y los service
providers (SP) a quienes hacen culpable del método.
2. Service Providers: Aplicacion de politicas de filtrado sobre otros SP.
Creciente negativa a aceptar Spammers como clientes.
3. Anunciantes: Reaccion ante la hostilidad de los consumidores.
4. Spammers: Reaccion ante la presion del resto de la "cadena de valor". 

A su vez, esta cadena de razones actuó secuencialmente, produciendo el
"efecto domino" sobre el segmento siguiente.
Los "Usuarios" fueron la primer pieza en caer, volcando luego a los "SPs" e
inmediatamente despues a los "Anunciantes", y estos dos actuaron luego sobre
los "Spammers" forzandolos a adaptar su negocio.

En realidad, el segmento que llamabamos "Spammer" es el que mas cambios
sufrió... el que mas debió adaptarse, y el que aun sigue en movimiento.
En terminos generales, aquellos Spammers se segmentaron aun mas,
especializandose en tres grandes grupos: los proveedores de "bandwidth spam
friendly", los proveedores de bases de datos para mailing, y los que envian
los mails. 

Del ultimo grupo (los que envian los mails) surgen luego los actuales
"e-mail marketers", mucho mas profesionalizados y adecuados a las
circunstancias, es decir adaptados para operar en un marco aceptable y
licito. Estos e-mail marketers son los que hoy procesan, por ejemplo, los
envios de newsletters, de resumenes de cuenta bancarios, o de simples
campañas publicitarias, operando en todos los casos sobre bases de datos de
usuarios que han solicitado recibir esa informacion.

El segundo grupo, los "proveedores de bases de datos", tambien se
profesionalizo en gran parte... Obviamente como en todos los rubros quedo un
residual de delincuentes que venden desde padrones electorales hasta guias
telefonicas.

El primer grupo, los proveedores de "bandwidth spam friendly", sufrio una
transformacion distinta catalizada por dos factores.
Primero, el negocio en si mismo (conseguir ancho de banda) se fue
complicando a medida que los SPs les negaban la provision, por lo que
tuvieron que "ingeniarselas" para conseguir ese bandwidth en otro lado.
Segundo, a diferencia de los otros dos subgrupos, el grueso de este negocio
estaba repartido en no mas de 15 o 20 "proveedores" caracterizados por su
especial falta de escrupulos. 
Esa "necesidad" y la "falta de escrupulos" fueron los catalizadores que
facilitaron la incorporacion de tecnicas de "hacking" orientadas a conseguir
ese ancho de banda, y la capacidad de envio de mails, por otros lados.

De esa combinacion de viejos Spammers y Hackers surge el actual grupo de
Spammers... Y como es de esperar, recursos producidos por métodos ilicitos
facilitan la produccion de otros ilicitos... Por ejemplo, el "phishing", y
el robo de identidad.


Vuelvo al inicio del tema, y saco un primer corolario.
Hoy entonces, a la luz de estos hechos, la asociacion entre ISP y Spammers
es algo que en terminos generales ya no existe, básicamente porque no es
rentable ni conveniente para el ISP y porque los Spammers cuentan hoy con
otro tipo de herramientas mucho mas efectivas y baratas para el envío de
Spam (nuestras PCs conectadas a internet, por ejemplo).


Inclusive, hasta la propia definición de Spam ha ido mutando a lo largo del
tiempo.
Por ejemplo, el codigo del que estamos hablando dice que ""Spam" includes
one or more unsolicited commercial electronic messages [...]"

Esta definición, que es muy similar a las que se manejan en otros ambitos,
era y sigue siendo bastante difusa y discutida… ¿Que es comercial? ¿Por qué
solo los comerciales? ¿Que define "no solicitado"? ¿No sera mejor hablar de
"pertinente" en vez de "solicitado"? Aun asi, ¿como juega el derecho
particular de decidir que se quiere o no se quiere leer?

El error aquí fue trabajar en base a la definición de Spam, olvidándose del
Spammer… 
Dicho de otra forma, nos preocupamos en definir que era una "bala asesina",
en lugar de definir "asesinato"... No se presto atencion a las motivaciones
del Spammer, a su “modus operandi”, y que hacer para impedirle actuar.


Otro corolario.
Hoy, a la luz de los hechos, seria mas exacto definir como Spam “todo aquel
mensaje de correo electrónico que no tiene una dirección remitente válida”.

Esta definicion no habla del tipo de contenido, no importa si es comercial o
no. No se habla de masivo, o cantidades. Tampoco opera sobre la exigencia de
solicitud previa, o no. 
Se habla de modalidad. 
Se ataca al criminal que actúa de una forma dada, independientemente de cuan
grave haya sido su crimen.

Ahora bien, ¿porque esta última definición? ¿de donde sale?
En terminos generales, del 100% de los mensajes que declararíamos como Spam,
solo un 84.5% es realmente Spam... el 15.5% restante corresponde a listas a
las que alguna vez nos suscribimos y ya no queremos pertenecer, o publicidad
que de una forma u otra hemos aceptado recibir (a veces engañados... pero
que aun asi procesan los "unsuscribe").

Trabajemos ahora sobre ese 84.5% "cierto" de Spam.
* El 97% de esos mensajes (un 81.9% del total) proviene de direcciones IP
que no coinciden con la declarada para el dominio en el cual en teoría se
origina el mensaje.

A su vez, ese 97% se descompone como sigue:
* Un 93% de esas IPs corresponde a bloques asignados en forma dinámica,
típicamente utilizados para acceso a Internet. A su vez, ese 93% se
descompone en un 87% de IPs asignadas a redes broadband (ADSL/Cable módem),
un 9% a redes de acceso dial up, y el resto a redes de acceso no
identificadas.
* Un 6% corresponde a bloques IPs asignados en forma fija, con NAT a
direcciones IP del segmento privado (típicamente corporativas). 
* El 1% restante corresponde a IPs asignadas a otros dispositivos (léase
servers de todo tipo).
(Datos globales a Diciembre/2005, producidos por 6 de los ISPs más
importantes del mundo).

Explicación
El GRUESO del Spam proviene de “zombies”, computadoras infectadas con virus
o malwares dedicados (entre otras cosas) al envío de Spam. En pocas
palabras, computadores tomados por asalto para el envío de mail (entre otras
cosas, y recalco esto).
Solo un 3% del Spam proviene de direcciones IP que coinciden con el dominio
declarado en el mail.

La pregunta aquí sería ¿que sentido tiene enviar mensajes desde orígenes no
comprobables? ¿a quien le interesaria hacerlo asi?
La respuesta sale del hecho que prácticamente el 100% de ese GRUESO de
mensajes contiene información falsa, maliciosa o fraudulenta, apuntada al
objetivo final de hacerse, por parte del Spammer, de información personal o
confidencial redituable.
Dicho de otra forma, en este caso el Spam es el medio por el cual se inician
acciones de fraude.

Una de las acciones de fraude mas típica es justamente el “phishing”… 
Muchos de nosotros hemos recibido los mails de “Ebay.com”, o del “Citi”
invitándonos a confirmar nuestros datos personales en sitios web “clonados”
de los originales. Los no avisados que caen en estas trampas y entregan sus
datos se convierten instantanea y literalmente en victimas de un fraude.

Un caso más sofisticado es el de los mails ofreciendo artículos atractivos o
de moda, de rápida salida… llámese Viagra, software copiado, DVDs, MP3s…
siempre pagaderos con medios electrónicos.
La victima no avisada compra e inclusive recibe el producto… (última moda,
cobran al momento de la entrega) y luego encuentra que su tarjeta de crédito
fue utilizada meses mas tarde para efectuar otras transacciones no
trazables, exactamente igual que si le hubiesen robado la tarjeta en la
calle.

Este es el sentido de enviar un mensaje desde un punto no comprobable: el
fraude.


En definitiva, la raíz del problema sobre la que debe actuarse, pasa por dos
puntos claves: 
* El envío de Spam es un negocio redituable para los Spammers, logrado a
partir del engaño, el daño, y el usufructo ilícito de recursos de terceros.
* Los mensajes de correo electrónico no contienen hoy día suficiente
información confiable para que el receptor del mismo pueda decidir sobre una
base consistente si un determinado mensaje es legítimo o falso.

El primer punto es claramente materia legislativa. 
Los legisladores deben actuar a partir de esa premisa, definiendo el “delito
informático” o “cybercrimen” y legislando en consecuencia, sin tocar los
derechos de los individuos... es decir legislando acerca de que puedo y no
puedo recibir por correo electrónico, o en que cantidad puedo hacerlo, por
ejemplo.

El segundo punto es materia totalmente técnica, y se soluciona modificando
los protocolos de correo electrónico, que mal que nos pese no habían sido
diseñados para esto. 
SMTP fue diseñado hace unos 40 años atras, para conectar unas 1000 personas
que se conocían entre si directa o indirectamente… Hoy conecta a millones de
personas, que se conocen poco.

Valga la siguiente analogia.
En un pueblo de 1000 personas, la seguridad es practicamente nula... todos
se conocen entre si, las puertas de las casas estan abiertas, los autos
quedan con las llaves puestas... 
En una ciudad de miles de millones de personas ocurre todo lo contrario. La
seguridad es un "issue" importante.

La IETF (Internet Engineering Task Force) estuvo trabajando en el
"re-styling" del SMTP, con malos resultados... pero sigo siendo optimista.
Mientras tanto, existen politicas que los SPs podemos implementar para
impedir la propagacion de Spam desde nuestras propias redes, faciles de
implementar, y que han demostrado tener exito en otros casos.

Prometo explicarlas, pero en otro mail... este ya fue suficientemente
largo!.
Espero no haberte (haberlos) aburrido.

Saludos
  Jorge Messano
  Sr. Technology Manager
  Telmark S.A. 

-----Original Message-----
From: seguridad-bounces en lacnic.net [mailto:seguridad-bounces en lacnic.net] On
Behalf Of Ricardo Presta
Sent: Wednesday, March 29, 2006 9:14 AM
To: seguridad en lacnic.net
Subject: Re: [Seguridad] Nuevo código de conducta anti-spam en Australia

Javier : Gracias por la info, sabés quién establece el código y las multas?
O que sucede con los isp o sistemas de correos globales si no lo cumplen.?

La pregunta es porque no me queda claro si es una ley, un decreto una
resolución o un código gral. entre isp´s agrupados en algun foro o cámara
y como es ese modelo de multas quienes están alcanzados, quien las paga
con que fuerza se puede pretender cobrarlas a que se lo conisera spam o
que son limitaciones razonables etc.


Ricardo