[MASOCH-L] Porta bloqueada 25
Durval Menezes
durval at tmp.com.br
Sat Nov 10 12:50:16 BRST 2012
Alo Danton,
On Fri, Nov 09, 2012 at 06:53:40PM -0200, Danton Nunes wrote:
> On Fri, 9 Nov 2012, Durval Menezes wrote:
> > No caso, nao e' dificil prever o que acontecera' quando a proibicao
> > de saida na porta 25 comecar a ter um impacto grande o suficiente para
> > ser notada pelos "fabricantes" de spambots: eles naturalmente passarao
> > a furtar as credenciais de acesso SMTP do usuario da maquina e usa-las
> > para continuar enviando os SPAMs...
>
> de fato já o estão fazendo. uma boa parte das conexões pop e imap é
> 'password harvesting'.
Harvesting (que eu prefiro chamar de "brute forcing") via POP e IMAP
(e ate' mesmo via SMTP AUTH e tambem diretamente no FORM de login das
interfaces de webmail mais populares) e' algo que eu ja' tenho visto a
alguns anos, bem como tentativas de phishing do tipo "reconfirme a sua
senha de webmail". Mas o yield dessas tecnicas (em termos de credenciais
efetivamente furtadas pelo atacante) e' bem baixo.
O que eu me refiro (e que ainda nao vi acontecer, pelo menos nao de
forma conclusiva) e' o furto das credenciais de email *diretamente*
da maquina do usuario, por exemplo usando um keylogger instalado via
malware. Nota-se que a "tecnologia" para isso ja' existe ha' muito
tempo, sendo normalmente usada para furtar credenciais mais valiosas
(home banking, etc). Nao acho que a malandragem va' demorar muito
para adapta-las e passar a furtar tambem senhas de email.
> eu tenho usado o fail2ban para negar acesso a quem
> erra a senha ou nome por mais de x vezes.
E' o que manda a boa tecnica, entretanto eu acredito que este tipo
de "brute forcing" va' se tornar cada vez menos frequente no futuro
(entre outras coisas por conta do fail2ban e similares -- vide
"corrida armamentista").
> O lado bom é que é
> mais fácil de detectar e cancelar ou mudar a senha abusada.
O verdadeiro problema (na minha opiniao) e' que falta "vontade politica"
dos provedores para tomar qualquer tipo de atitude para "sanitizar"
usuarios contaminados: apesar de serem relativamente faceis de detectar
(e' so' medir a quantidade de conexoes saintes para porta 25 por unidade
de tempo de cada usuario conectado no agregador), nunca vi nenhum provedor
tomar qualquer tipo de atitude a respeito, nem mesmo desviar o usuario
para um portal cativo e la' informa-lo de que a sua maquina esta' invadida
e oferecer links para descontaminacao, o que e' bastante facil com a maioria
dos agregadores que andam por ai ja' ha' varios anos.
E' claro que controlar este tipo de coisa em um servidor SMTP autenticado
e' ainda mais facil. Mas, se a falta de vontade dos provedores de tomar
qualquer atitude for a mesma, temo que todo este trabalho para banir
a porta 25 como MSA va' resultar somente na mudanca de tecnica de envio
por parte dos spammers, e nao em qualquer reducao significativa do volume
de SPAM que temos de tratar.
Um Grande Abraco,
--
Durval Menezes (durval AT tmp DOT com DOT br, http://www.tmp.com.br/)
> -- Danton
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list