[Seguridad] Nuevo código de conducta anti-spam en Australia

[Webmaster Comtron]

Jorge:

En lo absoluto se puede calificar de aburrido tu mail.
Lo que si me parece que en algunos casos, o das por ciertas cosas que 
requieren mas análisis, o tenés información que nosotros, pobres 
mortales, no conocemos.

Escribís:

"* Un 93% de esas IPs corresponde a bloques asignados en forma dinámica,
típicamente utilizados para acceso a Internet. A su vez, ese 93% se
descompone en un 87% de IPs asignadas a redes broadband (ADSL/Cable módem),
un 9% a redes de acceso dial up, y el resto a redes de acceso no
identificadas."


y también :

"El GRUESO del Spam proviene de “zombies”, computadoras infectadas con virus
o malwares dedicados (entre otras cosas) al envío de Spam. En pocas
palabras, computadores tomados por asalto para el envío de mail (entre otras
cosas, y recalco esto)."


A ver, ¿a que llamamos GRUESO? ¿Al 90 %, al 80%, al 35%?

Hoy es tan sencillo en nuestro pais contratar un adsl que hasta podría 
aventurar que les sale mas barato que enviar virus y esperar que cuelen. 
Pero no tengo la información exacta como para afirmarlo.

En cuanto a las legislaciones, bien comenta la gente de NIC.br sobre el 
riesgo de tener leyes que finalmente terminen legitimando el spam. Sobre 
todo, porque, como también lo mencionás vos, los spammers deben 
adaptarse activamente a los cambios del negocio para sobrevivir.
Además, en un ambiente donde se mueve mucho dinero, ¿cual va a ser la 
pena, una multa? Solo termina encareciendo el precio final en unos 
centavos cada mil mensajes.

Esta es una opinión personal. Pueden hacer todas las legislaciones que 
quieran, el spammer siempre va a encontrar la forma de utilizarla para 
su propio beneficio o violarlas sin miramientos. Mientras tanto, sigue 
inundando al mundo con sus mensajes. Si queremos empezar a solucionar el 
problema, vamos a tener que tomar medidas en evitar la generación por 
medios técnicos.
Tanto las leyes como los desarrollos de nuevos protocolos y sus 
implementaciones tienen tiempos que no son los adecuados para hacer 
frente al problema.

Ya sabemos muy bien que cuando se nos balancea la mesa, la primer 
solución es moverla y buscar un lugar donde no "baile". Si no nos da 
resultado, le ponemos un papel doblado bajo la pata mas corta.
Pero mientras decidimos si arreglamos la mesa, compramos otra o alisamos 
el piso, lo que necesitamos es que no se nos vuelque el vaso.

Saludos

Javier






Jorge F. Messano escribió:

>Ricardo,
>
>Como estas? Un gusto encontrarte aca.
>
>El problema del codigo australiano es el mismo que se encuentra en la gran
>mayoria de las regulaciones creadas en otros paises: Esta basado en
>criterios que no son aplicables hoy en dia.
>
>Me explico. 
>(Nota: Creo que voy a extenderme bastante, asi que pido disculpas si los
>aburro... aun asi, creo que es necesario para expresar la situacion actual).
>
>Ese codigo, como tantos otros, da por cierta la asociacion entre ISP y
>Spammer.
>Esa "asociación" existió sin duda hasta fines de los '90, momento en el que
>comienza decrecer hasta practicamente desaparecer hacia fines de 2003. 
>
>Desaparece por varias razones:
>1. Usuarios: Hostilidad manifiesta hacia los anunciantes y los service
>providers (SP) a quienes hacen culpable del método.
>2. Service Providers: Aplicacion de politicas de filtrado sobre otros SP.
>Creciente negativa a aceptar Spammers como clientes.
>3. Anunciantes: Reaccion ante la hostilidad de los consumidores.
>4. Spammers: Reaccion ante la presion del resto de la "cadena de valor". 
>
>A su vez, esta cadena de razones actuó secuencialmente, produciendo el
>"efecto domino" sobre el segmento siguiente.
>Los "Usuarios" fueron la primer pieza en caer, volcando luego a los "SPs" e
>inmediatamente despues a los "Anunciantes", y estos dos actuaron luego sobre
>los "Spammers" forzandolos a adaptar su negocio.
>
>En realidad, el segmento que llamabamos "Spammer" es el que mas cambios
>sufrió... el que mas debió adaptarse, y el que aun sigue en movimiento.
>En terminos generales, aquellos Spammers se segmentaron aun mas,
>especializandose en tres grandes grupos: los proveedores de "bandwidth spam
>friendly", los proveedores de bases de datos para mailing, y los que envian
>los mails. 
>
>Del ultimo grupo (los que envian los mails) surgen luego los actuales
>"e-mail marketers", mucho mas profesionalizados y adecuados a las
>circunstancias, es decir adaptados para operar en un marco aceptable y
>licito. Estos e-mail marketers son los que hoy procesan, por ejemplo, los
>envios de newsletters, de resumenes de cuenta bancarios, o de simples
>campañas publicitarias, operando en todos los casos sobre bases de datos de
>usuarios que han solicitado recibir esa informacion.
>
>El segundo grupo, los "proveedores de bases de datos", tambien se
>profesionalizo en gran parte... Obviamente como en todos los rubros quedo un
>residual de delincuentes que venden desde padrones electorales hasta guias
>telefonicas.
>
>El primer grupo, los proveedores de "bandwidth spam friendly", sufrio una
>transformacion distinta catalizada por dos factores.
>Primero, el negocio en si mismo (conseguir ancho de banda) se fue
>complicando a medida que los SPs les negaban la provision, por lo que
>tuvieron que "ingeniarselas" para conseguir ese bandwidth en otro lado.
>Segundo, a diferencia de los otros dos subgrupos, el grueso de este negocio
>estaba repartido en no mas de 15 o 20 "proveedores" caracterizados por su
>especial falta de escrupulos. 
>Esa "necesidad" y la "falta de escrupulos" fueron los catalizadores que
>facilitaron la incorporacion de tecnicas de "hacking" orientadas a conseguir
>ese ancho de banda, y la capacidad de envio de mails, por otros lados.
>
>De esa combinacion de viejos Spammers y Hackers surge el actual grupo de
>Spammers... Y como es de esperar, recursos producidos por métodos ilicitos
>facilitan la produccion de otros ilicitos... Por ejemplo, el "phishing", y
>el robo de identidad.
>
>
>Vuelvo al inicio del tema, y saco un primer corolario.
>Hoy entonces, a la luz de estos hechos, la asociacion entre ISP y Spammers
>es algo que en terminos generales ya no existe, básicamente porque no es
>rentable ni conveniente para el ISP y porque los Spammers cuentan hoy con
>otro tipo de herramientas mucho mas efectivas y baratas para el envío de
>Spam (nuestras PCs conectadas a internet, por ejemplo).
>
>
>Inclusive, hasta la propia definición de Spam ha ido mutando a lo largo del
>tiempo.
>Por ejemplo, el codigo del que estamos hablando dice que ""Spam" includes
>one or more unsolicited commercial electronic messages [...]"
>
>Esta definición, que es muy similar a las que se manejan en otros ambitos,
>era y sigue siendo bastante difusa y discutida… ¿Que es comercial? ¿Por qué
>solo los comerciales? ¿Que define "no solicitado"? ¿No sera mejor hablar de
>"pertinente" en vez de "solicitado"? Aun asi, ¿como juega el derecho
>particular de decidir que se quiere o no se quiere leer?
>
>El error aquí fue trabajar en base a la definición de Spam, olvidándose del
>Spammer… 
>Dicho de otra forma, nos preocupamos en definir que era una "bala asesina",
>en lugar de definir "asesinato"... No se presto atencion a las motivaciones
>del Spammer, a su “modus operandi”, y que hacer para impedirle actuar.
>
>
>Otro corolario.
>Hoy, a la luz de los hechos, seria mas exacto definir como Spam “todo aquel
>mensaje de correo electrónico que no tiene una dirección remitente válida”.
>
>Esta definicion no habla del tipo de contenido, no importa si es comercial o
>no. No se habla de masivo, o cantidades. Tampoco opera sobre la exigencia de
>solicitud previa, o no. 
>Se habla de modalidad. 
>Se ataca al criminal que actúa de una forma dada, independientemente de cuan
>grave haya sido su crimen.
>
>Ahora bien, ¿porque esta última definición? ¿de donde sale?
>En terminos generales, del 100% de los mensajes que declararíamos como Spam,
>solo un 84.5% es realmente Spam... el 15.5% restante corresponde a listas a
>las que alguna vez nos suscribimos y ya no queremos pertenecer, o publicidad
>que de una forma u otra hemos aceptado recibir (a veces engañados... pero
>que aun asi procesan los "unsuscribe").
>
>Trabajemos ahora sobre ese 84.5% "cierto" de Spam.
>* El 97% de esos mensajes (un 81.9% del total) proviene de direcciones IP
>que no coinciden con la declarada para el dominio en el cual en teoría se
>origina el mensaje.
>
>A su vez, ese 97% se descompone como sigue:
>* Un 93% de esas IPs corresponde a bloques asignados en forma dinámica,
>típicamente utilizados para acceso a Internet. A su vez, ese 93% se
>descompone en un 87% de IPs asignadas a redes broadband (ADSL/Cable módem),
>un 9% a redes de acceso dial up, y el resto a redes de acceso no
>identificadas.
>* Un 6% corresponde a bloques IPs asignados en forma fija, con NAT a
>direcciones IP del segmento privado (típicamente corporativas). 
>* El 1% restante corresponde a IPs asignadas a otros dispositivos (léase
>servers de todo tipo).
>(Datos globales a Diciembre/2005, producidos por 6 de los ISPs más
>importantes del mundo).
>
>Explicación
>El GRUESO del Spam proviene de “zombies”, computadoras infectadas con virus
>o malwares dedicados (entre otras cosas) al envío de Spam. En pocas
>palabras, computadores tomados por asalto para el envío de mail (entre otras
>cosas, y recalco esto).
>Solo un 3% del Spam proviene de direcciones IP que coinciden con el dominio
>declarado en el mail.
>
>La pregunta aquí sería ¿que sentido tiene enviar mensajes desde orígenes no
>comprobables? ¿a quien le interesaria hacerlo asi?
>La respuesta sale del hecho que prácticamente el 100% de ese GRUESO de
>mensajes contiene información falsa, maliciosa o fraudulenta, apuntada al
>objetivo final de hacerse, por parte del Spammer, de información personal o
>confidencial redituable.
>Dicho de otra forma, en este caso el Spam es el medio por el cual se inician
>acciones de fraude.
>
>Una de las acciones de fraude mas típica es justamente el “phishing”… 
>Muchos de nosotros hemos recibido los mails de “Ebay.com”, o del “Citi”
>invitándonos a confirmar nuestros datos personales en sitios web “clonados”
>de los originales. Los no avisados que caen en estas trampas y entregan sus
>datos se convierten instantanea y literalmente en victimas de un fraude.
>
>Un caso más sofisticado es el de los mails ofreciendo artículos atractivos o
>de moda, de rápida salida… llámese Viagra, software copiado, DVDs, MP3s…
>siempre pagaderos con medios electrónicos.
>La victima no avisada compra e inclusive recibe el producto… (última moda,
>cobran al momento de la entrega) y luego encuentra que su tarjeta de crédito
>fue utilizada meses mas tarde para efectuar otras transacciones no
>trazables, exactamente igual que si le hubiesen robado la tarjeta en la
>calle.
>
>Este es el sentido de enviar un mensaje desde un punto no comprobable: el
>fraude.
>
>
>En definitiva, la raíz del problema sobre la que debe actuarse, pasa por dos
>puntos claves: 
>* El envío de Spam es un negocio redituable para los Spammers, logrado a
>partir del engaño, el daño, y el usufructo ilícito de recursos de terceros.
>* Los mensajes de correo electrónico no contienen hoy día suficiente
>información confiable para que el receptor del mismo pueda decidir sobre una
>base consistente si un determinado mensaje es legítimo o falso.
>
>El primer punto es claramente materia legislativa. 
>Los legisladores deben actuar a partir de esa premisa, definiendo el “delito
>informático” o “cybercrimen” y legislando en consecuencia, sin tocar los
>derechos de los individuos... es decir legislando acerca de que puedo y no
>puedo recibir por correo electrónico, o en que cantidad puedo hacerlo, por
>ejemplo.
>
>El segundo punto es materia totalmente técnica, y se soluciona modificando
>los protocolos de correo electrónico, que mal que nos pese no habían sido
>diseñados para esto. 
>SMTP fue diseñado hace unos 40 años atras, para conectar unas 1000 personas
>que se conocían entre si directa o indirectamente… Hoy conecta a millones de
>personas, que se conocen poco.
>
>Valga la siguiente analogia.
>En un pueblo de 1000 personas, la seguridad es practicamente nula... todos
>se conocen entre si, las puertas de las casas estan abiertas, los autos
>quedan con las llaves puestas... 
>En una ciudad de miles de millones de personas ocurre todo lo contrario. La
>seguridad es un "issue" importante.
>
>La IETF (Internet Engineering Task Force) estuvo trabajando en el
>"re-styling" del SMTP, con malos resultados... pero sigo siendo optimista.
>Mientras tanto, existen politicas que los SPs podemos implementar para
>impedir la propagacion de Spam desde nuestras propias redes, faciles de
>implementar, y que han demostrado tener exito en otros casos.
>
>Prometo explicarlas, pero en otro mail... este ya fue suficientemente
>largo!.
>Espero no haberte (haberlos) aburrido.
>
>Saludos
>  Jorge Messano
>  Sr. Technology Manager
>  Telmark S.A. 
>  
>