|
Seguridad: Nemesys de Telefónica ¿qué es? Las listas negras, Spamhaus, cómo salir de ellas
Explicamos qué es el servicio Nemesys Abuse Team de Telefónica o Movistar. Este servicio se encarga de notificar a los usuarios que estén enviando spam masivamente (tanto si es deliberada como inconscientemente). Explicamos en qué consisten los equipos zombie y cómo evitar que el nuestro se convierta en uno de ellos. Explicamos qué son las listas negras (Spamhaus), qué repercusión tienen y cómo salir de ellas.
Algunas definiciones preliminaresISP (Internet Service Provider) ó PSI (Proveedor de Servicios de Internet)Un proveedor de servicios de Internet es una empresa que da servicio de conexión a Internet a sus clientes. Un ISP conecta a sus usuarios a Internet a través de diferentes tecnologías como DSL, Cablemódem, GSM, Dial-up, Wifi, etc. Muchos ISP también ofrecen servicios relacionados con Internet, como el correo electrónico, alojamiento web, registro de dominios, servidores de noticias, seguridad, etc.
Equipo Zombie ó BotUn Ordenador Zombie (Bot) es la denominación que se asigna a PCs que tras haber sido infectados por algún tipo de malware, pueden ser usados por una tercera persona para ejecutar actividades hostiles. Este uso se produce sin la autorización o el conocimiento del usuario del equipo. Esto sucede cuando un hacker o simplemente un virus diseñado a tal efecto, consigue acceder al equipo aprovechándose de ciertas vulnerabilidades o fallos de diseño del sistema operativo o de alguna otra aplicación que utilice la conexión a Internet. Una vez dentro del equipo abre una "puerta trasera", digamos que deja un proceso ejecutándose que permite enviar y recibir información desde Internet. De esta forma el hacker puede adquirir el control sobre el el equipo, sino completo, al menos para el uso indebido que le dará. En cuanto el hacker o virus (no tiene por qué ser una persona física) ha conseguido acceder al equipo y ejecutar su proceso, puede utilizarlo para lo que considere oportuno, por ejemplo, puede utilizar la conexión a Internet y los recursos del equipo para enviar correo basura (spam) a miles o millones de destinatarios. Todo esto sin que el usuario del equipo sea consciente, como mucho puede notar ralentizaciones de su conexión a Internet o del propio equipo en determinados momentos. Por supuesto, el hacker o virus, una vez dentro, puede tener otros fines como el ataque masivo a determinadas páginas web (DDoS), con fines delictivos como el de colapsar servidores. En resumen, un equipo infectado por un virus de este tipo o por un hacker quedará a espensas de lo que éste quiera realizar en él. El mayor inconveniente de este tipo de ataques y por lo que hay que evitarlos a toda costa es que el hacker o virus realizará todas las acciones delictivas que considere usando nuestro equipo, por lo que seremos "nosotros" quienes estemos cometiendo esas acciones delictivas de cara a una investigación policial. Por supuesto, en estos casos, tendríamos que demostrar que nuestro equipo era un zombie o bot y nosotros no éramos conscientes de estas acciones. BotnetBotnet es un término que hace referencia a un conjunto de equipos informáticos zombies o bots, que se ejecutan de manera autónoma y automática. El hacker que se hace con una botnet puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a través del IRC o incluso mediante el puerto HTTP. Ataques DoS (Denegación de servicio)Un ataque de denegación de servicio (DoS ó Denial of Service), es un ataque a equipos informáticos que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima. Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios, por eso se le llama "denegación", pues hace que el servidor no dé abasto a la cantidad de usuarios. Esta técnica es usada por los llamados crackers para dejar fuera de servicio a servidores objetivo. Una ampliación del ataque DoS es el llamado ataque distribuido de denegación de servicio, también llamado ataque DDoS (Distributed Denial of Service) el cual lleva a cabo generando un gran flujo de información desde varios puntos de conexión. La forma más común de realizar un DDoS a través de una botnet, siendo esta técnica el ciberataque más usual y eficaz.
Lista negra o Black listUna lista negra o black list es una lista donde se registran las direcciones IPs que generan spam de forma voluntaria o involuntaria. Hay que tener en cuenta que, normalmente, las listas negras son de libre acceso, es decir, cualquier usuario puede dar de alta una IP como enviadora de spam libres de tal forma que alguien de manera malintencionada puede añadir IPs que no están enviando spam e impedir que lleguen correos válidos.
Spamhaus ProjectSpamhaus Project es una organización internacional sin ánimo de lucro cuya misión es rastrear y analizar las operaciones de Internet relacionadas con el spam, para proporcionar en tiempo real una protección fiable anti-spam. Ayuda a las agencias de policía a identificar y perseguir a los emisores de spam (spammers) en todo el mundo, y ayuda a presionar a los gobiernos para la lucha contra el spam a efectos legislativos. Fundada en 1998, Spamhaus tiene su sede en Ginebra, Suiza y Londres, Reino Unido y está dirigido por un equipo de 28 investigadores y especialistas en medicina forense informática ubicados en 8 países. Spamhaus mantiene varios tipos de listas de bloqueo de spam en tiempo real (DNSBLs) encargadas de bloquear la gran parte del spam enviado en Internet. Estas listas incluyen: Spamhaus Block List (SBL), Exploits Block List (XBL), Policy Block List (PBL) y Domain Block List (DBL). Las listas de Spamhaus (DNSBLs) son utilizadas por la mayoría de los proveedores de correo electrónico de Internet, corporaciones, universidades, gobiernos y redes militares.
¿Qué es Nemesys Abuse Team? ¿Cuándo actúa? ¿Por qué? ¿Es bueno o malo?Nemesys Abuse Team es un servicio de Telefónica (Movistar) encargado de tratar las quejas recibidas por los usuarios o empresas sobre equipos de la red de Telefónica o Movistar (clientes de estos) que están enviando spam de forma masiva o realizando ataques DDoS. Dicho departamento técnico analiza las quejas e investigan el equipo o equipos de los que proceden. Si dichas quejas vienen de un equipo cliente de Telefónica o Movistar, este departamento se pondrá en contacto con el cliente en cuestión o bien por carta (correo ordinario) o bien por email. Como es de sobra sabido, los ISP, pueden guardar un log del tipo de tráfico enviado y recibido por cada usuario, si detectan cualquier anomalía, como un exceso de emails enviados a un número de destinatarios alto, podrían actuar también de esta forma. Nemesys Abuse Team, aunque parezca lo contrario, es un sevicio positivo que nos puede servir de mucha ayuda: si alguno de los equipos de nuestra empresa (o el nuestro de nuestra propia casa) o varios formando una botnet están infectados por el mismo virus o están siendo controlados por el mismo hacker ¿como lo sabemos? si se da el caso, muy habitual, de que no seamos conscientes, al menos, este servicio, nos puede informar del mal uso que nuestros equipos están realizando de la conexión a Internet. Una vez avisados deberemos verificar la seguridad de todos nuestros equipos para evitar esta intrusión. Así pues, Nemesys Abuse Team, no debe verse como algo negativo, sino todo lo contrario. El único inconveniente de este servicio es que si no conseguimos averiguar y subsanar la fuente del problema, nos cerrarán el puerto 25 de envío de email, por lo que nuestros clientes de correo electrónico no funcionarán. Pero esto sólo lo realizan tras haber enviado varios avisos y si ven que no ponemos de nuestra parte para solucionar el problema. En este artículo explicamos cómo funciona este departamento.
¿Puedo dar de alta quejas en Telefónica o Movistar de abusos en mi equipo o empresa?Sí, Telefónica o Movistar pone a disposición del usuario, cumpliendo con un requisito legal obligatorio, una web desde donde podemos informar de abusos producidos en nuestro equipo o empresa (recepción de spam desde una misma IP, ataques de denegación de sevicio DDoS, etc.). Los posibles abusos de los que podemos dar queja son:
El formulario que hay que rellenar para enviar la queja de abuso a Telefónica o Movistar:
¿Cómo funciona Nemesys Abuse Team? ¿Podemos contactar con ellos? ¿Y si nos cierran el puerto 25?Una vez que Nemesys Abuse Team recibe el aviso de un abuso (por el medio que sea), realiza una pequeña investigación de la IP origen del abuso, si es una IP de alguno de sus clientes, su primera actuación será enviar por email (si tiene tal dato) o por correo ordinario una carta como esta:
Además, si nos han localizado por correo electrónico, nos adjuntarán el email que a su vez les han enviado indicando el motivo de abuso, dato muy importante para nosotros, para averiguar el motivo del abuso. Un ejemplo de este mensaje podría ser:
Como se puede observar, el mensaje anterior puede ser útil, en este caso sabríamos que se trata de algún equipo de nuestra red que está enviando correos electrónicos basura de "Americam Viagra Online". El siguiente paso del proceso corre de nuestra cuenta, deberemos solucionar el problema, encontrar el equipo o equipos que están enviando spam (equipos bot o zombie), para ello deberemos seguir los pasos que aquí explicamos: Consejos para mejorar la seguridad de nuestro equipo e impedir que se convierta en un zombie o bot Si seguimos teniendo algún equipos bot o zombie en nuestra organización y no ponemos medidas para detectarlo, al cabo de un tiempo, Nemesys solicitará a Movistar ó Telefónica que cierren el puerto 25 (SMTP) de nuestra conexión. Por lo que si lo usamos para enviar email, no podremos hacerlo. Llegados a este extemo debemos encontrar el equipo que está enviando spam y solucionar el problema, una vez hecho esto podremos ponernos en contacto con Nemesys para indicarles que ya están resueltos los problemas de seguridad, solicitándoles que vuelvan a abrir el puerto 25. Si no lo hacen sólo nos quedará hablar con nuestro comercial o en su defecto con Telefónica o Movistar directamente. Siempre tendremos la oportunidad de contactar con el servicio Nemesys Abuse Team mediante email a nemesys@telefonica.es exponiendo el motivo de nuestra consulta, podremos solicitarles más datos sobre la queja recibida o indicarles que ya hemos resuelto el problema de seguridad.
Listas negras, Spamhaus, ¿cómo he entrado en una lista negra? ¿cómo salir de ellas? ¿cuales son las repercusiones de estar en una lista negra?Las listas negras, como ya hemos comentado, son bases de datos de IPs que, en teoría, son spammers (equipos enviadores de Spam), voluntaria o involuntariamente mediante botnet ó equipos informáticos zombies. Si tenemos uno o varios equipos informáticos con conexión a Internet y alguno de ellos o varios han resultado infectados por un virus, desarrollado con fines de convertir el equipo infectado en un bot o zombie, si no tenemos las medidas de seguridad apropiadas, dichos equipos se podrían convertir en spammer sin que seamos conscientes. El virus utilizará nuestra conexión a Intenet y nuestros equipos para enviar spam de forma masiva a miles o millones de destinatarios de correo electrónico en todo el mundo. Cuando esto ocurre, es muy probable que varios de estos usuarios que reciben spam accedan a uno de estos servicios de listas negras, como Spamhaus, y den de alta el abuso con la IP origen del spam (que será nuestra IP pública). De esta forma, nuestra IP quedará en dicha lista negra. Llegamos a este punto, cualquier empresa que utilice Spamhaus (u otros servicios de listas negras) para decidir si un email es spam o no, notificará como spam todos aquellos emails que enviemos desde nuestra casa o empresa. Esto, sin duda, es un gran problema, pues muchas empresas usan Spamhaus como uno de sus métodos de análisis de posible correo basura o spam. Por ejemplo, Microsoft usa Spamhaus para su correo electrónico gratuito Hotmail, así pues, cualquier email que enviemos a un destinatario de Hotmail, le aparecerá en la carpeta de correo basura o spam y, normalmente, no lo leerá.
¿Y si no tengo una IP pública fija o estática? ¿Si mi IP es dinámica?Obviamente, en el caso de que no tengamos contratada una IP pública fija o estática y nuestro ISP nos proporcione una IP pública dinámica (variable), si nuestro equipo se ha convertido en un bot o zombie y está siendo usado para envío de spam de forma masiva, un usuario podría dar de alta nuestra IP en las listas negras (como Spamhaus), pero cuando nuestra IP vuelva a cambiar, saldremos de dicha lista. Esto, lógicamente, no es un buen método para salir de las listas negras, ni siquiera se "sale" realmente, porque nuestro propio ISP podría detectar dicho abuso por nuestra parte (aunque sea inconsciente) y avisarnos a tal efecto. De ahí la importancia de Nemesys Abuse Team, un servicio que deberían tener todos los ISPs. Aunque nuestra IP pública varíe, nuestro equipo seguirá infectado, el software malicioso seguirá usándolo con los fines delictivos que considere oportunos, porque incluso hay malware o virus de este tipo capaces de actualizarse, por lo que su comportamiento puede variar de un día para otro. Podría, perfectamente, enviar datos privados de nuestro equipo a otra persona, utilizar nuestro equipo junto con otros para colapsar servidores a base de ataques DDoS y otras muchas actividades delictivas, por lo que siempre es recomendable y conveniente que nuestro equipo esté limpio.
¿Cómo puedo saber la IP pública origen de un email para notificarla a Spamhaus?Si sucede el caso contrario en el que recibimos decenas o centenares de correos basura y son, normalmente, de la misma IP pública origen, podremos notificar esta IP y añadirla a las listas negras. A continuación explicaremos cómo cómo obtener la IP pública de un email que nos llegue y sea spam y cómo darla de alta en las listas negras de Spamhaus. Obtener la IP pública del email de spam o correo basuraEl proceso puede variar según el cliente de correo electrónico que usemos. Para el caso de Office Outlook 2007 (válido para otras versiones), seleccionaremos el mensaje de correo electrónico del que queramos obtener la IP pública del emisor, pulsaremos con el botón derecho del ratón y seleccionaremos la opción "Opciones de mensajes": En "Encabezados de Internet", en el texto que aparece, hay que buscar "Received: by xxx.xxx.xxx.xxx...", esa será la IP pública del emisor del correo electrónico, será la IP que utilizaremos para notificar a Spamhaus de un abuso: En el caso del cliente de mail Mozilla Thunderbird, seleccionaremos el email, pulsaremos en "Más acciones", seleccionaremos "Ver código fuente": Aparecerá, como siempre, en "Received: by xxx.xxx.xxx.xxx..." En el caso de Microsoft Outlook Express, pulsaremos con el botón derecho del ratón sobre el mensaje y seleccionaremos "Propiedades": En la pestaña "Detalles" podremos ver los encabezados de Internet para el mensaje, donde aparecerá "Received: by xxx.xxx.xxx...": Notificar IP a Spamhaus como origel de spamUna vez obtenida la IP pública del emisor del correo electrónico basura (spam), teniendo la precaución con el proceso (pues si cogemos nuestra IP pública nos estaríamos dando de alta en las listas negras nosotros mismos), accederemos a la web de nuestro proveedor de servicios de Internet (ISP), será éste quien notifique a Spamhaus del abuso. Cada ISP suele tener en su web un formulario de alta para este tipo de abusos. ¿Está mi IP pública en una lista negra? ¿Cómo salir de la lista negra de Spamhaus?Para salir de la lista negra de Spamhaus, en primer lugar es recomendable solventar el problema por el cual estamos dados de alta, normalmente por varias notificaciones de abusos por parte de algún usuario del mundo, por lo que deberemos revisar la seguridad de todos nuestros equipos. En el siguiente enlace indicamos algunos de los pasos a seguir: Consejos para mejorar la seguridad de nuestro equipo e impedir que se convierta en un zombie o bot. Una vez resuelto el problema de seguridad y limpiado el equipo o equipos bot o zombie, accederemos a "Blocklist Removal Center" mediante la siguiente URL:
Introduciremos nuestra IP pública y pulsaremos en "Lookup": Si aparece esto:
Querrá decir que no estamos en ninguna lista negra de Spamhaus. En cambio, si aparece esto otro:
Indicará que la IP introducida está en alguna de las listas negras de Spamhaus, para eliminarla de dicha lista pulsaremos, en este caso, en PBLXXXXXX: En la parte inferior de la nueva ventana que aparece pulsaremos el botón "Remove an IP from PBL": El proceso anterior puede variar en función del tipo de lista negra donde esté dada de alta la IP pública. Marcaremos "I have read and I have understood this page" y pulsaremos el botón "Remove IP Address": Por supuesto, si no hemos solucionado el problema de seguridad y seguimos teniendo algún bot o zombie, nuestra IP volverá a aparecer en las listas negras. ¿Cuáles son las repercusiones de estar en una lista negra o black list como Spamhaus?Muchas empresas que prestan servicios de correo electrónico (como Hotmail de Microsoft) utilizan Spamhaus como herramienta para calificar un email como spam o como real. Si nuestra IP pública se encuenta en la lista negra, cuando enviemos un mail a algún destinatario de Hotmail, nuestro email será calificado como spam y pasará a la carpeta de "Correo no deseado". Por supuesto, además de Microsoft, son muchísimas las empresas que prestan servicios de correo electrónico que utilizan Spamhaus. Este hecho es un grave problema para una empresa, pues todos los mails que envíen sus empleados a clientes, proveedores y demás, quedarán en las carpetas de spam y no serán leídos. Por ello es recomendable comprobar que nuestra IP pública no está en alguna de estas listas, como hemos explicado aquí y por supuesto, es recomendable seguir estas instrucciones de seguridad.
Consejos para mejorar la seguridad de nuestro equipo e impedir que se convierta en un zombie o botOs indicamos aquí algunos consejos básicos para mejorar la seguridad de nuestro equipo o empresa. A continuación os mostramos algunos consejos útiles para impedir que nuestro equipo o equipos de nuestra red se conviertan en bot o zombie. Por supuesto, os damos algunas ideas básicas, no podemos entrar en detalle por la complejidad del tema que estamos tratando.
Además de lo anterior, si nuestro ISP nos notifica que se están realizando abusos desde alguno de nuestros equipos, deberemos verificar todos los pasos anteriores, en especial el 8 de análisis completos de todos los equipos, porque aunque tengan un antivirus, es probable que el virus no haya sido detectado por algún motivo, por lo que hay que realizar análisis con otros antivirus. Si tenemos varios equipos en nuestra organización y no sabemos cuál es el bot o zombie, tendremos varios métodos para intentar averiguarlo y subsanar el problema:
Artículos relacionados
CréditosArtículo realizado íntegramente por Alonsojpd miembro fundador del proyecto AjpdSoft. Anuncios
Enviado el Martes, 20 julio a las 01:09:23 por ajpdsoft
|
|