[Seguridad] Nuevo código de conducta anti-spam en Australia

Ricardo Presta rpresta en rcc.coop
Jue Mar 30 10:27:09 BRT 2006 

Hola Jorge, el mundo es pequeño eh? por suerte siempre estamos on line...

Coincido con muchas de las expresiones tuyas aquí y sé que muchos datos
los conoces de muy buenas fuentes y son buenas para compartir en la
comunidad de lacnic.

Igualmente tengo algunas dudas en gral. y creo además que existen muchas
opticas desde donde ver el fenómeno del spam y no me refiero solo a las
legales vs las tecnicas etc

También las opticas cambian según se vean desde una organización como por
ejemplo una empresa o un banco y como se ve y se puede tratar el tema
cuando se la ve desde un isp y tampoco es lo mismo cuando se es un isp 
PyME que cuando se es un isp gigante o cunado se es una empresa proveedora
de mail de las llamadas mundiales.

De la misma forma no es lo mismo el que envia mail tratando de vender un
producto, o el que envia un pedido de auxilio, o el que da su punto de
vista sobre algo general del que envia mail tratando de engañar y estafar.

Y no siempre un mail no solicitado es ilícito por eso o sino que alguien
nos diga si es comparable el mail de un padre que envia la foto de su hijo
perdido para ver si lo encuentra que el mail de alguien que nos dice como
comprar viagra para robarnos el núemro de tarjeta?

Yo creo que no por casualidad  desde hace tantos años nos preocupa tanto y
nos trae tantos dolores de cabeza muchas veces y , hasta tiene su propio
capítulo en la CMSI...

El mail es un medio de comunicación y expresión, los isp somos quienes lo
encaminamos de un lugar a otro según su destino ( y es verdad que no según
su origen).

Por tanto sirve para multiples propósitos entre otras muchas para que
delincuentes hagan fraudes o lo intenten pero eso es solo uno de los
aspectos y está bien que en esta lista se discuta ese aspecto.

Pero cuando por discutir ese aspecto solamente se pierde la visión de que
es solo un aspecto y se pretender analizarlo solo desde allí se esta
perdiendo la visión gral. y es mucho el daño que se puede llegar a hacer o
mucho el daño que se puede realizar a terceros y mucho mas cuando se habla
de aplicar penas y filtrados tan facilmente.

Se que vos no pensas esto último pero me parece bueno que en esta
comunidad todos tengamos la visión global del spam no solo la porción que
hace a la seguridad.

La culpa del asesinato nunca es del cuchillo.

Saludos a todos , disculpen si en esta lista que es para especialistas de
seguridad metí mi opinión en un momento, pero es que a mi criterio el tema
se estaba trasladando a algo mas abarcativo, y quería dar mi punto de
vista, solo eso.

La seguimos y nos veremos espero en Guatemala.
Ricardo













Jorge F. Messano dijo:
> Ricardo,
>
> Como estas? Un gusto encontrarte aca.
>
> El problema del codigo australiano es el mismo que se encuentra en la gran
> mayoria de las regulaciones creadas en otros paises: Esta basado en
> criterios que no son aplicables hoy en dia.
>
> Me explico.
> (Nota: Creo que voy a extenderme bastante, asi que pido disculpas si los
> aburro... aun asi, creo que es necesario para expresar la situacion
> actual).
>
> Ese codigo, como tantos otros, da por cierta la asociacion entre ISP y
> Spammer.
> Esa "asociación" existió sin duda hasta fines de los '90, momento en el
> que
> comienza decrecer hasta practicamente desaparecer hacia fines de 2003.
>
> Desaparece por varias razones:
> 1. Usuarios: Hostilidad manifiesta hacia los anunciantes y los service
> providers (SP) a quienes hacen culpable del método.
> 2. Service Providers: Aplicacion de politicas de filtrado sobre otros SP.
> Creciente negativa a aceptar Spammers como clientes.
> 3. Anunciantes: Reaccion ante la hostilidad de los consumidores.
> 4. Spammers: Reaccion ante la presion del resto de la "cadena de valor".
>
> A su vez, esta cadena de razones actuó secuencialmente, produciendo el
> "efecto domino" sobre el segmento siguiente.
> Los "Usuarios" fueron la primer pieza en caer, volcando luego a los "SPs"
> e
> inmediatamente despues a los "Anunciantes", y estos dos actuaron luego
> sobre
> los "Spammers" forzandolos a adaptar su negocio.
>
> En realidad, el segmento que llamabamos "Spammer" es el que mas cambios
> sufrió... el que mas debió adaptarse, y el que aun sigue en movimiento.
> En terminos generales, aquellos Spammers se segmentaron aun mas,
> especializandose en tres grandes grupos: los proveedores de "bandwidth
> spam
> friendly", los proveedores de bases de datos para mailing, y los que
> envian
> los mails.
>
> Del ultimo grupo (los que envian los mails) surgen luego los actuales
> "e-mail marketers", mucho mas profesionalizados y adecuados a las
> circunstancias, es decir adaptados para operar en un marco aceptable y
> licito. Estos e-mail marketers son los que hoy procesan, por ejemplo, los
> envios de newsletters, de resumenes de cuenta bancarios, o de simples
> campañas publicitarias, operando en todos los casos sobre bases de datos
> de
> usuarios que han solicitado recibir esa informacion.
>
> El segundo grupo, los "proveedores de bases de datos", tambien se
> profesionalizo en gran parte... Obviamente como en todos los rubros quedo
> un
> residual de delincuentes que venden desde padrones electorales hasta guias
> telefonicas.
>
> El primer grupo, los proveedores de "bandwidth spam friendly", sufrio una
> transformacion distinta catalizada por dos factores.
> Primero, el negocio en si mismo (conseguir ancho de banda) se fue
> complicando a medida que los SPs les negaban la provision, por lo que
> tuvieron que "ingeniarselas" para conseguir ese bandwidth en otro lado.
> Segundo, a diferencia de los otros dos subgrupos, el grueso de este
> negocio
> estaba repartido en no mas de 15 o 20 "proveedores" caracterizados por su
> especial falta de escrupulos.
> Esa "necesidad" y la "falta de escrupulos" fueron los catalizadores que
> facilitaron la incorporacion de tecnicas de "hacking" orientadas a
> conseguir
> ese ancho de banda, y la capacidad de envio de mails, por otros lados.
>
> De esa combinacion de viejos Spammers y Hackers surge el actual grupo de
> Spammers... Y como es de esperar, recursos producidos por métodos ilicitos
> facilitan la produccion de otros ilicitos... Por ejemplo, el "phishing", y
> el robo de identidad.
>
>
> Vuelvo al inicio del tema, y saco un primer corolario.
> Hoy entonces, a la luz de estos hechos, la asociacion entre ISP y Spammers
> es algo que en terminos generales ya no existe, básicamente porque no es
> rentable ni conveniente para el ISP y porque los Spammers cuentan hoy con
> otro tipo de herramientas mucho mas efectivas y baratas para el envío de
> Spam (nuestras PCs conectadas a internet, por ejemplo).
>
>
> Inclusive, hasta la propia definición de Spam ha ido mutando a lo largo
> del
> tiempo.
> Por ejemplo, el codigo del que estamos hablando dice que ""Spam" includes
> one or more unsolicited commercial electronic messages [...]"
>
> Esta definición, que es muy similar a las que se manejan en otros ambitos,
> era y sigue siendo bastante difusa y discutida… ¿Que es comercial? ¿Por
> qué
> solo los comerciales? ¿Que define "no solicitado"? ¿No sera mejor hablar
> de
> "pertinente" en vez de "solicitado"? Aun asi, ¿como juega el derecho
> particular de decidir que se quiere o no se quiere leer?
>
> El error aquí fue trabajar en base a la definición de Spam, olvidándose
> del
> Spammer…
> Dicho de otra forma, nos preocupamos en definir que era una "bala
> asesina",
> en lugar de definir "asesinato"... No se presto atencion a las
> motivaciones
> del Spammer, a su “modus operandi”, y que hacer para impedirle actuar.
>
>
> Otro corolario.
> Hoy, a la luz de los hechos, seria mas exacto definir como Spam “todo
> aquel
> mensaje de correo electrónico que no tiene una dirección remitente
> válida”.
>
> Esta definicion no habla del tipo de contenido, no importa si es comercial
> o
> no. No se habla de masivo, o cantidades. Tampoco opera sobre la exigencia
> de
> solicitud previa, o no.
> Se habla de modalidad.
> Se ataca al criminal que actúa de una forma dada, independientemente de
> cuan
> grave haya sido su crimen.
>
> Ahora bien, ¿porque esta última definición? ¿de donde sale?
> En terminos generales, del 100% de los mensajes que declararíamos como
> Spam,
> solo un 84.5% es realmente Spam... el 15.5% restante corresponde a listas
> a
> las que alguna vez nos suscribimos y ya no queremos pertenecer, o
> publicidad
> que de una forma u otra hemos aceptado recibir (a veces engañados... pero
> que aun asi procesan los "unsuscribe").
>
> Trabajemos ahora sobre ese 84.5% "cierto" de Spam.
> * El 97% de esos mensajes (un 81.9% del total) proviene de direcciones IP
> que no coinciden con la declarada para el dominio en el cual en teoría se
> origina el mensaje.
>
> A su vez, ese 97% se descompone como sigue:
> * Un 93% de esas IPs corresponde a bloques asignados en forma dinámica,
> típicamente utilizados para acceso a Internet. A su vez, ese 93% se
> descompone en un 87% de IPs asignadas a redes broadband (ADSL/Cable
> módem),
> un 9% a redes de acceso dial up, y el resto a redes de acceso no
> identificadas.
> * Un 6% corresponde a bloques IPs asignados en forma fija, con NAT a
> direcciones IP del segmento privado (típicamente corporativas).
> * El 1% restante corresponde a IPs asignadas a otros dispositivos (léase
> servers de todo tipo).
> (Datos globales a Diciembre/2005, producidos por 6 de los ISPs más
> importantes del mundo).
>
> Explicación
> El GRUESO del Spam proviene de “zombies”, computadoras infectadas con
> virus
> o malwares dedicados (entre otras cosas) al envío de Spam. En pocas
> palabras, computadores tomados por asalto para el envío de mail (entre
> otras
> cosas, y recalco esto).
> Solo un 3% del Spam proviene de direcciones IP que coinciden con el
> dominio
> declarado en el mail.
>
> La pregunta aquí sería ¿que sentido tiene enviar mensajes desde orígenes
> no
> comprobables? ¿a quien le interesaria hacerlo asi?
> La respuesta sale del hecho que prácticamente el 100% de ese GRUESO de
> mensajes contiene información falsa, maliciosa o fraudulenta, apuntada al
> objetivo final de hacerse, por parte del Spammer, de información personal
> o
> confidencial redituable.
> Dicho de otra forma, en este caso el Spam es el medio por el cual se
> inician
> acciones de fraude.
>
> Una de las acciones de fraude mas típica es justamente el “phishing”…
> Muchos de nosotros hemos recibido los mails de “Ebay.com”, o del “Citi”
> invitándonos a confirmar nuestros datos personales en sitios web
> “clonados”
> de los originales. Los no avisados que caen en estas trampas y entregan
> sus
> datos se convierten instantanea y literalmente en victimas de un fraude.
>
> Un caso más sofisticado es el de los mails ofreciendo artículos atractivos
> o
> de moda, de rápida salida… llámese Viagra, software copiado, DVDs, MP3s…
> siempre pagaderos con medios electrónicos.
> La victima no avisada compra e inclusive recibe el producto… (última moda,
> cobran al momento de la entrega) y luego encuentra que su tarjeta de
> crédito
> fue utilizada meses mas tarde para efectuar otras transacciones no
> trazables, exactamente igual que si le hubiesen robado la tarjeta en la
> calle.
>
> Este es el sentido de enviar un mensaje desde un punto no comprobable: el
> fraude.
>
>
> En definitiva, la raíz del problema sobre la que debe actuarse, pasa por
> dos
> puntos claves:
> * El envío de Spam es un negocio redituable para los Spammers, logrado a
> partir del engaño, el daño, y el usufructo ilícito de recursos de
> terceros.
> * Los mensajes de correo electrónico no contienen hoy día suficiente
> información confiable para que el receptor del mismo pueda decidir sobre
> una
> base consistente si un determinado mensaje es legítimo o falso.
>
> El primer punto es claramente materia legislativa.
> Los legisladores deben actuar a partir de esa premisa, definiendo el
> “delito
> informático” o “cybercrimen” y legislando en consecuencia, sin tocar los
> derechos de los individuos... es decir legislando acerca de que puedo y no
> puedo recibir por correo electrónico, o en que cantidad puedo hacerlo, por
> ejemplo.
>
> El segundo punto es materia totalmente técnica, y se soluciona modificando
> los protocolos de correo electrónico, que mal que nos pese no habían sido
> diseñados para esto.
> SMTP fue diseñado hace unos 40 años atras, para conectar unas 1000
> personas
> que se conocían entre si directa o indirectamente… Hoy conecta a millones
> de
> personas, que se conocen poco.
>
> Valga la siguiente analogia.
> En un pueblo de 1000 personas, la seguridad es practicamente nula... todos
> se conocen entre si, las puertas de las casas estan abiertas, los autos
> quedan con las llaves puestas...
> En una ciudad de miles de millones de personas ocurre todo lo contrario.
> La
> seguridad es un "issue" importante.
>
> La IETF (Internet Engineering Task Force) estuvo trabajando en el
> "re-styling" del SMTP, con malos resultados... pero sigo siendo optimista.
> Mientras tanto, existen politicas que los SPs podemos implementar para
> impedir la propagacion de Spam desde nuestras propias redes, faciles de
> implementar, y que han demostrado tener exito en otros casos.
>
> Prometo explicarlas, pero en otro mail... este ya fue suficientemente
> largo!.
> Espero no haberte (haberlos) aburrido.
>
> Saludos
>   Jorge Messano
>   Sr. Technology Manager
>   Telmark S.A.
>
> -----Original Message-----
> From: seguridad-bounces en lacnic.net [mailto:seguridad-bounces en lacnic.net]
> On
> Behalf Of Ricardo Presta
> Sent: Wednesday, March 29, 2006 9:14 AM
> To: seguridad en lacnic.net
> Subject: Re: [Seguridad] Nuevo código de conducta anti-spam en Australia
>
> Javier : Gracias por la info, sabés quién establece el código y las
> multas?
> O que sucede con los isp o sistemas de correos globales si no lo cumplen.?
>
> La pregunta es porque no me queda claro si es una ley, un decreto una
> resolución o un código gral. entre isp´s agrupados en algun foro o cámara
> y como es ese modelo de multas quienes están alcanzados, quien las paga
> con que fuerza se puede pretender cobrarlas a que se lo conisera spam o
> que son limitaciones razonables etc.
>
>
> Ricardo
>
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> http://lacnic.net/mailman/listinfo/seguridad
>

Más información sobre la lista de distribución Seguridad