SPAM. Conceitos e Contramedidas. Estudo de caso: Servidor de Correio Eletrônico com Filtros contra SPAM e malware. Tópicos em Sistemas de Computação

Transcrição

1 SPAM Conceitos e Contramedidas Estudo de caso: Servidor de Correio Eletrônico com Filtros contra SPAM e malware Prof. Dr. Adriano Mauro Cansian adriano@acmesecurity.org 1 Roteiro Introdução. O sistema proposto. A implementação. Políticas adotadas. Testes realizados. Resultados obtidos. 2 Prof. Dr. Adriano Mauro Cansian 1

2 Problema apresentado e sistema proposto para solução 3 Vírus Vírus, Worms e Trojans (1) Programas capazes de multiplicar-se mediante a infecção de outros softwares. Worms Não necessitam infectar outros arquivos para se multiplicar. Se espalham usando recursos da rede. Tem capacidade de se auto-reproduzir. O é um dos seus principais canais de distribuição. Trojans Não têm capacidade de se auto-reproduzir ou infectar outros programas. São comumente distribuídos em scams 4 Prof. Dr. Adriano Mauro Cansian 2

3 Vírus, Worms e Trojans (2) Atravessam os firewalls quando enviados na forma de . Causam prejuízos a empresas e pessoas. Há pouca conscientização entre os usuários. Anexos perigosos são abertos com frequência. Atualizações de segurança e antivírus não são atualizados adequadamente. Antivírus falham (muito, principalmente nas primeiras 72 horas pós aparecimento de uma nova infecção). 5 Spam (1) Spam: envio abusivo de correio eletrônico não solicitado em grande quantidade Mensagens comerciais não solicitadas Correntes. Hoaxes (boatos). Scam: é o spam para fins criminosos Enviados por estelionatários com o objetivo de obter números de cartão de crédito, senhas de banco e informações privilegiadas das vítimas Banco do Brasil, BBB, SERASA, 6 Prof. Dr. Adriano Mauro Cansian 3

4 Spam (2) Difícil de calcular os prejuízos Banda utilizada desnecessariamente. Tempo desperdiçado pelos usuários para excluir o lixo eletrônico e perda de produtividade. Usuários deixam de receber mensagens úteis quando sua caixa de entrada é entupida por spam. Só não há prejuízos para quem envia. 7 Zero Access Botnet World Botnet Zero-access Prof. Dr. Adriano Mauro Cansian 4

5 UNESP - São José do Rio Preto Zero Access Botnet USA Botnet Zero-access na Europa ( ) 10 Prof. Dr. Adriano Mauro Cansian 5

6 Proportion of spam in traffic October 2014 March Trojans Top 10 malicious programs sent by , first quarter of ( ) 12 Prof. Dr. Adriano Mauro Cansian 6

7 Geography of phishing attacks*, Q Alvos Prof. Dr. Adriano Mauro Cansian 7

8 Brazil-zil-zil!! 15 Spam (3) Estimativas dizem que mais de 90% dos s que trafegam na Internet são Spam. O aumento sofrido pelo spam ano a ano poderá inviabilizar o uso de correio eletrônico num futuro não muito distante Spim: spam por instant messenger A história do spam 16 Prof. Dr. Adriano Mauro Cansian 8

9 Estudo de caso 17 Case / Motivação: Usuários do campus descontentes recebendo vírus e spams. Máquinas infectadas propagando worms. Muitos servidores de dificultando políticas unificadas de segurança. Sem padronização de softwares. Resultando em dificuldade em fazer atualizações de segurança nos servidores. 18 Prof. Dr. Adriano Mauro Cansian 9

10 O sistema idealizado Servidor unificado de para o campus. Acesso a Webmail, POP, IMAP. Filtros de spam e vírus. Regras de filtragem personalizadas para cada usuário. Versões seguras dos protocolos de correio eletrônico. Criptografadas. 19 Os protocolos envolvidos SMTP: Simple Mail Transfer Protocol Definido nos RFCs 821 e 2821 RFC 1425: Extend SMTP RFC 2142 e caixas abuse (/dev/null) RFC 2505: recomendações anti-spam POP: Post Office Protocol Definido no RFC 1939 IMAP: Internet Mail Access Protocol IMAP 4 revisão 1: RFC 2060 RFCs 2061 e 2062 tratam de compatibilidade com versões anteriores. 20 Prof. Dr. Adriano Mauro Cansian 10

11 Pensando nos componentes do Correio Eletrônico MUA: Mail User Agent MTA: Mail Transfer Agent MDA: Mail Delivery Agent MAA: Mail Access Agent Adriano Cansian & Adriano 21 Ribeiro 21 Arquitetura idealizada MTA externo servidor 25 SMTP Filtros INBOX SPAM Disassembly / Decoder da mensagem Antivirus Antispam Outras verificações servidor 22 Prof. Dr. Adriano Mauro Cansian 11

12 Softwares propostos Sistemas e subsistemas utilizados 23 O Servidor SMTP Opção adotada: Postfix Seguro. Rápido. Flexível. Configurações enxutas. Implementa TLS. Utiliza o Procmail como MDA. 24 Prof. Dr. Adriano Mauro Cansian 12

13 Protocolos Seguros Utilizam SSL ou TLS para comunicação entre servidores ou entre clientes e servidores. SMTP + TLS + SASL. POPS. IMAPS. HPPTS (Webmail). 25 Softwares utilizados (2) Qpopper Simples implementação. Compatível com SSL. Wu-imapd-ssl Servidor IMAP voltado para a segurança Compatível com SSL. 26 Prof. Dr. Adriano Mauro Cansian 13

14 Antivírus Clamav 100% OpenSource. Identifica corretamente a maioria dos malwares. Verifica arquivos compactados. Atualizações automáticas da base de vírus utilizando o daemon Freshclam Anti-spam: Spamassassin (1) Open Source. Amplo espectro de testes: Filtro bayesiano, SPF, RBL, etc Baixo índice de falsos positivos e falsos negativos. 28 Prof. Dr. Adriano Mauro Cansian 14

15 Anti-spam: Spamassassin (2) Flexível. Procura padrões presentes em mensagens de spam. A cada padrão encontrado é atribuída uma pontuação à mensagem. Quando a pontuação atinge um limite (configurável), a mensagem é marcada como spam. Pontos contra: Grande consumo de memória. Não tão rápido. 29 Cabeçalhos do Spamassassin X-Virus-Scanned: by amavisd-new p10 at acmesecurity.org X-Spam-Status: Yes, hits=11.2 tagged_above= required=4.0 tests=bigevillist_2520, FORGED_RCVD_HELO, FRONTPAGE, HTML_FONT_BIG, HTML_MESSAGE, MIME_HTML_ONLY, MSGID_FROM_MTA_ID, R C V D _ F A K E _ H E L O _ D O T C O M,U R I B L _ O B _ S U R B L,U R I B L _ W S _ S U R B L, WLS_URI_OPT_497 X-Spam-Level: *********** X-Spam-Flag: YES 30 Prof. Dr. Adriano Mauro Cansian 15

16 Amavis Amavis A Mail Virus Scanner Desencapsula e descompacta os anexos para a procura de vírus. Altamente adaptável. Pode ser usado para distribuir a carga entre máquinas diferentes. Oferece bloqueio de anexos e muitas opções para desmontar e montar mensagens. 31 Arquitetura idealizada MTA externo servidor 25 SMTP Filtros INBOX SPAM Disassembly / Decoder da mensagem Antivirus Antispam Outras verificações servidor 32 Prof. Dr. Adriano Mauro Cansian 16

17 Arquitetura da solução MTA externo 25 servidor Postfix Procmail INBOX SPAM Amavis Clamav Spamassassin servidor 33 Webmail (1) Horde: Opensource. Framework que suporta diversos aplicativos relacionados a webmail. 34 Prof. Dr. Adriano Mauro Cansian 17

18 Webmail (2) Componentes do Framework: IMP: o Webmail propriamente dito. Utiliza IMAP para obter as mensagens. Turba: fornece um catálogo de endereços. Passwd: permite ao usuário trocar a senha através do programa pop-passd. Ingo: regras para o gerenciamento de mensagens. SAM: módulo que permite que o usuário personalize as regras de spam e listas de permissão. 35 IMP - Internet Messaging Program Caixas de Correio WU- IMAP 143 IMP Apache ssl Browser do Usuário 36 Prof. Dr. Adriano Mauro Cansian 18

19 IMP Interface web 37 SAM - SpamAssassin Module Pontuação personalizada para cada usuário. Opções para marcar e mover os spams. Listas de bloqueio e permissão. SAM Amavis Mysql 38 Prof. Dr. Adriano Mauro Cansian 19

20 Roundcube Alternativa ao Horde 39 Roundcube Alternativa ao Horde 40 Prof. Dr. Adriano Mauro Cansian 20

21 E mais softwares Apache: base para o Webmail PHP. SSL (HTTPS). Mysql: Banco de dados do Horde. Banco de dados do Amavis. Iptables: firewall 41 Políticas e regras aplicadas 42 Prof. Dr. Adriano Mauro Cansian 21

22 Políticas de uso do E-bilce Relay apenas para as redes do IBILCE. Acesso a POP e IMAP somente na rede interna do campus. (Opções equivocadas??) Acesso a Webmail externo. Complaince com Gerência da porta Políticas para verificação de mensagens (1) Mensagens com cabeçalhos ruins ou que não atendam o RFC 821 são bloqueadas A conexão TCP é encerrada no momento do envio. Remetente é informado sobre o erro pelo MTA de origem Não existem falsos positivos: Apenas software spammer apresenta esta característica. Mensagens com anexos suspeitos serão bloqueadas O sistema envia uma mensagem de aviso ao remetente. 44 Prof. Dr. Adriano Mauro Cansian 22

23 Políticas para verificação de mensagens (2) Mensagens com vírus serão bloqueadas. O sistema envia uma mensagem de erro ao remetente. Caso não se trate de um vírus que falsifique o remetente. Mensagens com padrões de spam são movidas para caixa especial Caixa de spam / junk. Usuários POP podem desabilitar esta regra. Nota: mensagens legítimas nunca são perdidas. Caso aconteça um erro no envio, o remetente é sempre informado. 45 Detecção de SPAM Diversas técnicas existentes. Testes locais (no próprio servidor). Testes remotos. Análise de cabeçalhos SPF. Reverso de DNS. Etc Prof. Dr. Adriano Mauro Cansian 23

24 Checagens feitas no MTA (1) Helo/Ehlo requerido. Rejeita remetentes inválidos (mail from). Rejeita remetentes com domínios inválidos. 47 Checagens feitas no MTA (2) Checagens nos cabeçalhos: Bloqueia alguns vírus mais conhecidos (Hi, Thanks,...). Não é necessário repassar a mensagem ao clamav. Bloqueia algumas redes que enviam spam. Tentativas de envio para usuários inválidos são bloqueadas. Evita o problema de ter um grande número de mensagens na fila. 48 Prof. Dr. Adriano Mauro Cansian 24

25 Checagens no Spamassassin (1) Regras de pontuação: expressões contidas no corpo e no cabeçalho são pontuadas. Palavras chaves frequentemente contidas em spams: Order now, Low prices, Unsubscribe, Viagra, Nigeria Uso do formato HTML. Links para outras páginas. Mensagens sem nenhum texto e apenas uma figura. Cabeçalhos suspeitos, Etc Muito efetivo. 49 Checagens no Spamassassin (2) AWL (Auto WhiteList) Faz uma média na pontuação das últimas N mensagens de um remetente ao classificar uma mensagem. Dessa forma a pontuação de mensagens de remetentes com bons antecedentes é diminuída e de spammers é aumentada. 50 Prof. Dr. Adriano Mauro Cansian 25

26 Checagens no Spamassassin (3) Listas de permissão e bloqueio Também conhecidas como blacklists e whitelists. Remetentes cadastrados na lista de permissão recebem pontuação zero. Remetentes cadastrados na lista de bloqueio recebem pontuação infinita. Ajudam a diminuir o número de falsos positivos e falsos negativos. 51 Outras checagens (1) SPF: Sender Policy Framework Cada domínio divulga seus servidores autorizados a fazer relay externo. O MTA verifica se o IP do remetente é um IP autorizado no domínio, via anúncio de DNS. Usado apenas para pontuação. 52 Prof. Dr. Adriano Mauro Cansian 26

27 Novas checagens (2) SPF continuação Não é específico para o combate ao spam e sim para evitar remetentes forjados. Contudo, dificulta muito a vida dos spammers. Ampla adoção de grandes instituições nacionais e internacionais. 53 Novas checagens (3) RBL para URLs e DNS : Role Black Lists para URLs Em spams comerciais é comum links para páginas de vendedores. Existe um lista mantida pela Spamhaus que contém as páginas mais referenciadas em spams. Mensagens referenciando estas páginas recebem um pontuação alta. Mais informações em 54 Prof. Dr. Adriano Mauro Cansian 27

28 Filtro Bayesiano Permite ao usuário indicar ao sistema quais mensagens são spams e quais não são (ham) Auto índice de acertos. AutoLearn. Facilmente implementado em servidores onde os usuários tem acesso e intimidade com o shell. Possíveis soluções: reporte de spam e ham, mudanças no horde para executar algum script de shell a partir do php Observação: não foi implementado no servidor E-bilce devido a falta de recursos de processamento na época. 55 Outras técnicas Greylistings: relativamente efetivo. (veja discussão em sala) Teste de DNS reverso (gera falsos positivos). Domains Keys (Yahoo) e Sender ID (Microsoft). DANE DNS-Based Authentication of Named Entities Protocol. DKIM - DomainKeys Identified Mail Existem mais 56 Prof. Dr. Adriano Mauro Cansian 28

29 Considerações sobre as checagens Habilitar todas as técnicas de checagem disponível causaria um grande overhead no servidor. Muitas técnicas podem ser implementadas no MTA ou no filtro de spam. É melhor usar o filtro para técnicas que causam falsos positivos. Não utilizar muitas checagens remotas. Limitar o tempo máximo que para uma mensagem ser filtrada (1s, 2s). O Spamassassin não é recomendado para servidores de grande porte (no máximo 3000 usuários). 57 Desempenho Resultados sobre o caso 58 Prof. Dr. Adriano Mauro Cansian 29

30 Testes realizados Desempenho Sem filtros: > 5000 mensagens por minuto sem atraso Com antivírus: até 2500 mensagens por minuto sem atraso Com antivírus e anti-spam: 1000 mensagens por minuto com um atraso máximo de entrega de 1 minuto. Utilização do software Postal para benchmark de servidores SMTP e o software Mailgraph para a geração dos gráficos A fase de testes Cerca de 20 usuários entre os usuários do polo e voluntários de outros departamentos Usuários com o índice de erros em torno 5% Houve casos em que a taxa de erro foi menor do que 1% 60 Prof. Dr. Adriano Mauro Cansian 30

31 Dados sobre a Detecção Dados da primeira quinzena de testes Volume médio de mensagens recebidas por dia: 2300 Mensagens entregues na caixa de entrada: 42% Mensagens entregues na pasta spam: 21% Mensagens com vírus: 5% Mensagens de spam rejeitadas: 32% Cerca de 10 tentativas de relay não autorizadas por dia e 250 mensagens para usuários inválidos Esses dados indicam que cerca de 42% das mensagens recebidas são legitimas enquando que 58% tratam-se de vírus e spam. 61 Conclusão Os filtros apresentaram um índice bom de acerto (100% para vírus e 95% para spam) no período de testes. O sistema é 100% OpenSource. Não há nenhum tipo de custo relativo a software 62 Prof. Dr. Adriano Mauro Cansian 31

32 ( homework ) DKIM - DomainKeys Identified Mail É um método para associar um nome de domínio a uma mensagem de , permitindo assim uma pessoa, função ou organização para reivindicar alguma responsabilidade por uma mensagem. A associação é constituída por meio de uma assinatura digital, que pode ser validada pelos destinatários. A responsabilidade é reivindicada por um signatário, independentemente dos autores ou reais destinatários da mensagem, adicionando um campo DKIM- Signature no cabeçalho da mensagem. O verificador recupera a chave pública do signatário usando o DNS e, em seguida, verifica se a assinatura corresponde ao conteúdo da mensagem real Prof. Dr. Adriano Mauro Cansian 32