ESTADO DEL ARTE ANTISPAM

INF 3250 SEGURIDAD COMPUTACIONAL

Grupo: Julio Bazn Marcelo Barrios Profesor Jens Hardings

AGENDA
Definiciones Bsicas Objetivos del Spammer Mercado del Anti-Spam Public Blacklist Efectos en las Empresas Chilenas Casos Prcticos Barracuda y Spamsentinel

DEFINICIONES BSICAS

Wikipedia: Se llama spam, correo basura o sms basura a los mensajes no solicitados, habitualmente de tipo publicitario, enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor. La accin de enviar dichos mensajes se denomina spamming Opus One; A los mensajes que no se les puede atribuir una relacin comercial o personal entre el emisor y el receptor, que adems son de naturaleza masiva, lo que hace irrelevante la relacin.

Diferenciar mensajes desconocidos que son el resultado de informacin de antivirus y mensajes con texto corrupto que no se puede determinar que son o fueron. Condiciones para un Spam Masivo y No solicitado El generador del correo no se identifica ni permite bloquear futuros correos La categora No Spam se define como los mensajes que pueden o no haber sido solicitados, sin embargo tienen una clara relacin comercial o personal entre el receptor y el emisor, incluso pueden ser no solicitados y no deseados. Son considerados No Spam todos aquellos mails con suscripcin legtima. Los mensajes de desconocidos no son tratados como Spam.
3

Hormel's Spiced Ham

Dato Freak El primer Spam El 3 de mayo 1978, Gary Thuerek, un comercializador de la Digital Equipment Corporation (DEC), envi un correo electrnico a 393 usuarios de la red Aparnet, dentro de la EEUU que era una red de computadoras del gobierno de los EU que finalmente se convirti el internet. Thuerk quera promover un producto en algunas casas en la zona de Los ngeles que sera publicidad los ltimos modelos DEC computadoras. En este caso no se trato de esconder la identidad.

AGENDA
Definiciones Bsicas Objetivos del Spammer Mercado del Anti-Spam Public Blacklist Efectos en las Empresas Chilenas Casos Prcticos Barracuda y Spamsentinel

OBJETIVO DEL SPAMMER

Ganar plata $$$ Encontrar nuevas rutas para entrar en nuestros Inbox Si logran entrar, llamar la atencin lo suficiente como para que el usuario lo abra y lea y accione algo antes de borrarlo. Algunos spammers pueden transmitir virus, adwares o spyware. Phishing: solicita informacin sensible, estafas Domain Spoofing: engao de marca Ataques de negacin de servicio Esconder su IP Evitar Filtros (ensuciando los mensajes)

Ingeniera Social, promesas

Cosechar correos vlidos Buscar servidores mal configurados y sin antivirus
6

TCNICAS O SISTEMAS DE DETECCIN DE SPAM

1. Filtros Bayesianos 2. Filtro Heursticos 3. Blacklist local o DNS 4. Word Blocking 5. Checksum databases 6. Managed outoursed solutions 7. Hardware appliances 8. Server Software 9. Desktop Software

AGENDA
Definiciones Bsicas Objetivos del Spammer Mercado del Anti-Spam Public Blacklist Efectos en las Empresas Chilenas Casos Prcticos Barracuda y Spamsentinel

MERCADO DEL ANTI-SPM

CIERTA FRAGMENTACIN Y MUCHA INFORMACIN
ESTANDARIZACIN

SIN

10

11

Foco en el Futuro

ANTISPAM

Matriz Cuadrantes de Grupos Estratgicos de Gardner

Feb 2007 - Opus One

12

Foco en el Presente

AGENDA
Definiciones Bsicas Objetivos del Spammer Mercado del Anti-Spam Public Blacklist Efectos en las Empresas Chilenas Casos Prcticos Barracuda y Spamsentinel

13

PUBLIC BLACK LIST

Listas negras pblicas de servidores que han enviado spam masivos (DNS), Los mismos proveedores de anti-spam que poseen las suyas, permiten que otros interesados usen sus listas, de modo de formar un frente comn Base de datos con crecimiento diario Sobrecarga Union of most IP zones (grupos de IP bloqueadas)

Control abusivo de las listas (bloqueo de servidores) - perdidas

Proceso de des-inscripcin de listas chantaje? Se acta despus de detectado una fuente de spam y luego si es que se pregunta

El nmero de organizaciones asciende a ms de 100 (.net y .org)

Tambin se alimentan de los usuarios Su calidad la determina la cantidad de falsos positivos Spamhouse project PROTEGER LAS REDES DE INTERNET TODO EL MUNDO Utilizacin por parte de los spammers de los proxy servers, varan constantemente sus DNS 14 Uso de PCs ajenos para enviar Spam

MTODO DE ANLISIS DE UN ANTI-SPAM

Preguntar a los usuarios, tantos como sea posible. Calcular cuantos mensajes de Spam intercept y cuantos bloque, utilizar el siguiente clculo:

SpamBloqueados % Mensajes Retenidos= x100 SpamBloqueados SpamPermitidos

Entonces, si tienes 180 mensajes spam bloqueados y permitidos 20, 180 / (180 + 20) x 100 = 90% tienes un 90% de efectividad

Clculo de Falsos Positivos: calcula la tasa de falsos positivos

MensajesMalBloqueados % Falsos Positivos x100 TotalMensajesBloqueados

15

CONCLUSIONES GENERALES ANTI-SPAM

Ninguna aplicacin anti-spam es capaz de detener el 100% del Spam Ninguna aplicacin anti-spam es capaz de diferenciar el 100% del correo correcto del spam se acercan a cero falsos positivo

Un antispam puede tratar de diferenciarse entregando otros servicios como ordenar los correos en distintas carpetas, utilizando prioridades predefinidas o simplemente archivando correos en forma segura.
Que debe hacer exactamente un anti-spam para ser exitoso:

Crear y mantener listas blancas y negras, que ayudan a disminuir los falsos negativo o positivos, eliminando rpidamente los spam y sus riesgos asociados. Posibilidad de utilizar listas negras de otras fuentes. Detener y eliminar el Sporn es el spam tipo pornogrfico, de contenido adulto Mail de venta de medicamentos. ofertas de negocios falsos, solicitud de informacin. Ayudar al usuario a optimizar su tiempo clasificando sus correos en carpetas financieras, personales, de juegos, noticias, etc. Usuario no cree reglas de spam Ayudar al usuario reenviando o respondiendo mails

Fcil de utilizar y personalizar. Compatibilidad con la mayor cantidad de correos posible. Estados Spam; eliminado, cuarentena, permitido con marca y sin marca Tiempos de respuesta ante nuevas amenazas
16

17

EVOLUCIN DEL SPAM

18

AGENDA
Definiciones Bsicas Objetivos del Spammer Mercado del Anti-Spam Public Blacklist Efectos en las Empresas Chilenas Casos Prcticos Barracuda y Spamsentinel

19

EFECTOS EN LAS EMPRESAS CHILENAS

Costo total: US$ 36,1 millones anuales

Tiempo invertido por los trabajadores Inversin de las empresas en proteccin

Tip o d e E m p r e sa
Micr o P equ e a Media n a Gr a n de Tot a l

P r om e d io de u su a r ios p or e m p r e sa
1 2,7 28 112,5

N m e r o de e m p r e sa s
24.529 4.397 3.028 2.548

N m e r o de u su a r ios
24.529 11.872 84.784 286.650

H or a sh om br e
286.172 138.506 989.147 3.344.250
20

4.758.074
Cmara de comercio Santiago Chile

ASPECTOS LEGALES CHILENOS

Ley del consumidor Obligaciones de indicar de quien enva

la materia de que se trata en el encabezado (asunto o subject). identificar quin enva el correo (remitente) indicar una direccin vlida a la que se pueda solicitar la suspensin de los envos.

Sanciones hasta 50 UTM En Estados Unidos:

La Legislacin Norteamericana contempla el Spam US S.877 (CAN-SPAM 2004). To regulate interstate commerce by imposing limitations and penalties on the transmission of unsolicited commercial electronic mail via the Internet.
21

AGENDA
Definiciones Bsicas Objetivos del Spammer Mercado del Anti-Spam Public Blacklist Efectos en las Empresas Chilenas Casos Prcticos Barracuda y Spamsentinel

22

CASOS PRCTICOS

Isapre Fundacin Banco del Estado

Barracuda Spam & Virus Firewall seis aos de vida Spamer y antivirus creado por la empresa Barracuda Networks, Inc. Soluciones empresariales de firewall contra el correo no deseado Compuesto por hardware y software, 12 capas de defensa Proteccin de websites

Coca Cola Embonor S.A.

Mayflower Software seis aos de vida Spamsentinel for Domino Servers, asociados con un sponsor Lotusphere 2009 Compuesto por: Servicio de Hosting Domino Server Cliente Notes (software), 5 capas de defensa

23

ESTADSTICAS DE LOS SITIOS A PRESENTAR

MYSOFT - SPAMSENTINEL

BARRACUDA

24

CASO PRCTICO BARRACUDA

Empresa: Isapre Fundacin Banco Estado Solucin Harware - Software Costo (no se licencia por usuario)

U$ 4.177 primer ao U$ 1.289 a partir del segundo ao

Soporte hasta 1000 cuentas de correo Falsos positivos menores al 0.01% Bloqueo de Spam 99,7% Compatible con todos los servicios de mensajera (Microsoft Exchange, Lotus Notes, etc.) Incorpora interfaz personal por cada usuario para la administracin de reglas personalizadas y manejo de tems en cuarentena (Falsos Positivos) Manejo de Listas Blancas y Listas Negras internas y Externas Anlisis de Fingerprint (Anlisis de SPAM en Imgenes incrustadas al correo) Anlisis Heurstico y Bayesiano Notificaciones y Alarmas Respaldo y Recuperacin de la configuracin Completo LOG de mensajes, configurable y con herramientas para bsqueda de patrones.
25

ESTADSTICAS
Spam bloqueado en dos aos Total Bloqueado 4.869.- 84,8% Total Recibido 5.739.-

26

PANTALLA DE ADMINISTRACIN
LOG DE MENSAJES

27

PANTALLA ADMINISTRACIN

28

ADMINISTRACIN DEL USUARIO

29

NOTIFICACIN DE CUARENTENA

30

ADMINISTRACIN DEL USUARIO

31

CASO PRCTICO SPAMSENTINEL FOR DOMINO SERVER

Empresa: Coca Cola Embonor

Costo: U$ 50 por usuario anual precio lista y precio Renovacin para 650 usuarios US$6.750.- US$10,5 c/u No existe esfuerzo del usuario por crear reglas, escribir palabras especiales No existe cuarentena, crea una carpeta en el cliente para enviar los Spam dudosos (Junk Mail) Cerca de cero falso positivo, utiliza dos filtros que si no concuerdan, el mail no es rechazado Utiliza una base de datos de 10 millones de usuarios en 160 pases para alimentarse, actualizaciones instantneas, permite la utilizacin de listas negras externas. Efectividad de un 99,44% de bloqueo de spam Utiliza el servidor Domino para bloquear los spam y adems el cliente Notes. Bloquea virus en los mails (3 tipos de antivirus)

Chequeo en sus servidores, solo enva el mail correcto Inbound. SpamNets database of known spam
No hay reportes diarios y no hay administracin
32

REPORTE DE SPAMSENTINEL AL ADMINISTRADOR

33

ADMINISTRACIN DEL USUARIO

34

ESTADSTICAS

2009 January February March April May June July August September Total

Documentos Procesados 915,711 755,285 664,590 683,441 679,155 621,593 631,367 694,811 332,483 5,978,436

Total Bloqueado 787,599 647,811 526,891 551,194 556,806 498,981 500,332 541,805 249,597 4,861,016

86.0% 85.8% 79.3% 80.6% 82.0% 80.3% 79.2% 78.0% 75.1% 81.3%

35

CONCLUSIONES FINALES

El utilizar un firewall dedicado ayuda mucho en la rapidez del anlisis de correo El hecho de no adquirir hardware adicional disminuye los costos La posibilidad de archivar el correo fuera del servidor propio disminuye el riesgo de sobrecarga Utilizar servicios inbound tambin ayuda a disminuir la sobrecarga de los servidores. El mantener su propia lista negra y compartirla con otros mejora el performance de los anlisis. Los falsos positivos Spamsentinel 0,2% y Barracuda 0,01% Para obtener mejores resultados es necesario tener a un administrador dedicado, lo que a veces en terminos de costo/beneficio no se justifica
36

Gracias por su atencin.

37