El mundo de antivirus

jueves, 9 de febrero de 2017

En la edición «¡Le avisamos!» ya hemos hablado de que los dueños de los sitios web y los creadores de listados de recursos no recomendados pueden tener varias opiniones sobre la nocividad del contenido. Para entender por qué pasa eso, vamos a ver en qué casos un recurso forma parte del listado de los no recomendados.

Supongamos que un sitio web envía spam. Descartamos la opinión de que sus dueños lo hacen a propósito (aunque los spammers afirman que sus acciones son legales, la mayoría de los usuarios no están de acuerdo), y supongamos que no es su culpa. Las causas del envío de spam son las siguientes:

1. Hackeo del sitio web, cambio de la lógica de su funcionamiento o implementaciónón de scripts especiales. Es la opción más evidente: es muy lógico bloquear el recurso hackeado hasta el mismo sea restaurado. Pero los dueños del recurso también pueden restaurarlo tranquilamente y afirmar que no ha pasado nada.

2. Hackeo del correo si no hay comprobación de contraseñas creadas por los usuarios del recurso, o errores de configuración predeterminada del sistema de seguridad. Es un caso complicado. Hay que bloquear solo los correos hackeados, pero en caso de añadir a la lista negra millones de direcciones a la semana (todos recordamos el número de filtraciones de las bases de datos de correo), la misma será enorme en poco tiempo. Por lo tanto, es lógico bloquear recursos con permisos de direcciones de confianza en caso de hackeos múltiples, porque los analistas que comprueban el recurso no pueden saber qué dirección ha sido hackeada y qué no.
3. Filtración de contraseñas de acceso a correos. La situación de bloqueo es similar a la anterior– es lógico bloquear un recurso y permitir las direcciones de confianza.
4. Falta de experiencia o errores desarrollo del sitio web, por causa de lo cual es posible enviar los mensajes a través de formularios de contacto que no tienen «captcha» para confirmar que es una persona y no un robot. La situación es similar a la anterior, pero es más fácil demostrar que hay problema en el sitio web – se ve bien.
5. Posibilidad de registro masivo, durante el cual se envían los mensajes al usuario supuestamente registrado. Es posible por causa de errores al crear un recurso.
6. Envío de notificaciones usando errores de lógica de funcionamiento del recurso. Por ejemplo, los malintencionados usan las notificaciones del servidor de correo al remitente, cuando el correo del destinatario no está disponible o no existe. Estos mensajes se llaman Non-Delivery Report (NDR), Delivery Status Notification (DSN), Non-Delivery Notification (NDN), bounce message. El spam se envía al falsificar la dirección del remitente.

El Antispam Dr.Web filtra automáticamente el así llamado spam técnico, así mismo, los mensajes bounce. Más información: http://products.drweb-av.es/antispam.

7. Reenvío de mensajes recibidos. Lo que más llama la atención de los spammers es OpenRelay. Antes esta posibilidad se aplicaba ampliamente de forma legal, pero como resultado de la actividad de spammers ya casi no es usa. Ahora el reenvío de mensajes recibidos sin autorización es un error del administrador del recurso. Listado negro.

Esta lista es bastante amplia, y aún no hemos mencionado las situaciones más sofisticadas como ataques con hackeo de servidores a través de los cuales pasan los mensajes de correo, y la suplantación de los mismos.

Como vemos, las causas de envío de spam son varias: desde las vulnerabilidades en el código del sitio web hasta los errores de configuración del mismo. Y los malintencionados pueden aprovecharse de la mayoría de los errores.