Informazioni personali

La mia foto
Vistarino, Lombardy, Italy

Cerca nel blog

Translate

Visualizzazione post con etichetta email spam. Mostra tutti i post
Visualizzazione post con etichetta email spam. Mostra tutti i post

venerdì 2 dicembre 2022

The email files: se 40000 in blocklist vi sembran pochi

Vabbeh giusto un paio di giorni fa mi son trovato a discorrere di una richiesta di un SOC di mettere 40000 domini in una email-blocklist.

Ho cercato di spiegare che la cosa non ha senso, ma ho trovato una certa rigidità in merito.

Poi mi sono soffermato un attimo e mi son chiesto: io parlo di sicurezza, ma loro?

E mi son ricordato di quando cercavo di spiegare che mettere miliardi di regole su di un firewall dimostra solo di non aver capito come si configura un firewall per fare security 😂😁😎
Che faccio quindi? un update dell’articolo sotto per mettere alcuni punti in chiaro 🙂

The email Files: Blocklisting, la sottile arte di farsi del male da soli

https://thepuchiherald.com/the-email-files-blocklisting-la-sottile-arte-di-farsi-del-male-da-soli/

Blocklisting: un falso senso di sicurezza

Per qualche oscuro motivo una buona parte degli operatori di sicurezza informatica è convinta che gli attaccanti siano essenzialmente degli stupidi e che compiano azioni che riconoscerebbe anche un bambino.

Non riesco a spiegarmi in altro modo la propensione alle liste di blocco, sopratutto quando queste contengono decine di migliaia di entry.

Bloccare delle entry (tipicamente Indirizzi IP o domini) che sono già state individuate come malevoli è un po come chiudere le porte della stalla dopo che ne sono fuggiti gli animali.

Se pur vero che in minima parte certe entry, solitamente legate al perdurare di un attacco, possono essere attive, questo non è per sempre. Ma questo lo avevo spiegato in precedenza.

In compenso la gestione di liste gargantuesche comporta diversi problemi, sia prestazionali che di gestione vera e propria.

Che sia un email security gateway o un firewall tenere un approccio statico ai filtri raramente denota competenze specifiche nella sicurezza informatica.

Detto questo è sempre possibile che vi siano obblighi provenienti da sorgenti che non hanno nessun affinità con la materia, e quindi questo approccio diventa “necessario” alla sopravvivenza.

I motivi possono essere vari: “legali” o “politici” ma sicuramente non tecnici.

Ma proprio per questo difficilmente contestabili, mancando le basi minime di comprensione del fenomeno da parte di chi esegue la richiesta.

Quindi assumiamo che sia necessario, ancorché non sensato, dover implementare sui nostri sistemi statiche, stupide, chilometriche ed inutili liste di blocco. Dobbiamo in qualche maniera essere in grado di sopravvivere alla cosa.

Come sopravviverci?

Pur essendoci su internet diversi servizi di RBL mi soffermo qui sulla esigenza, prima espressa, di soddisfare una richiesta di implementare delle liste di blocco chilometriche all’interno del nostro servizio di sicurezza e non accedere a servizi pubblici di RBL.

Innanzi tutto è necessario ricordare che queste liste sono spesso un inutile accozzaglia di vecchie referenze che poco hanno a che fare col threat landscape corrente, occorre quindi NON affidarsi a queste ultime come unica sorgente di protezione.

In secondo luogo occorre prepararsi ad avere eventuali falsi positivi, nel malaugurato caso che domini legittimi utilizzati in attacchi finiscano in queste liste che probabilmente non sono sempre aggiornate.

In terzo luogo occorre che il security gateway che usiamo sia capace di processare queste liste anche in termini di consumo di risorse.

Il problema è presentato proprio dal fatto che spesso queste liste non sono legate a domini, IP o risorse web usate solo da criminali, ma anche da soggetti legittimi. In questo caso se le liste non sono aggiornate dinamicamente con una certa frequenza rischiamo di bloccare risorse lecitamente usate con le problematiche del caso.

La cosa è nota da anni, ed è il motivo alla base della diminuzione dell’uso delle RBL come strumento di filtro per meccanismo di analisi più efficienti (come ad esempio la reputazione dinamica delle risorse).

Le Real-time blackhole list (RBL) note anche come DNS Block List (DNSBL) sono generalmente liste pubbliche che raccolgono domini o IP che hanno una reputazione come emettitori di email illegittime (spam o peggio). Molti servizi su internet offrono questo tipo di liste ma, per mantenersi decentemente aggiornate, di solito non amano che un singolo utente richieda il blacklisting di un numero molto elevato di voci.

Bloccare un dominio tramite una risorsa pubblica potrebbe generare anche possibili conflitti legali, da qui la attenzione dei gestori di DNSBL alle entry e anche al delisting.

Ma cosa dobbiamo fare, quindi, se qualche illuminato della sicurezza ci chiede di caricare decine di migliaia di entry sui nostri sistemi?

La soluzione potrebbe essere legata alla creazione di una RBL interna.

Sebbene si possa implementare una RBL attraverso un normale DNS server per motivi di performance e di amministrazione è meglio orientarsi a software specifici.

RBL vs Filtri al gateway

La domanda potrebbe essere: perchè non implementare direttamente un filtro al gateway invece di usare risorse esterne?

Ci sono alcuni ottimi motivi per evitare l’approccio diretto al gateway di cui citerò solo 2 banali ed ovvi:

  • Performance
  • Amministrazione

Per quello che concerne le performance, difficilmente i security gateway moderni nascono per ospitare liste con diverse migliaia di voci. la ragione è che sono disegnati per fare sicurezza in maniera dinamica, e quindi servizi e risorse sono ottimizzati a quello scopo.

Dal punto di vista amministrativo, analogamente, a meno che non si disponga,come si diceva in precedenza, di un software specifico la gestione di queste liste è manuale e spesso complicata.

Utilizzare un software specifico per la gestione delle liste di blocco invece consente di aggirare i due problemi visti sopra demandando al security gateway la sola chiamata di controllo alla RBL.

Concludendo?

Pur rimanendo convinto che un approccio basato su interminabili block list sia fondamentalmente errato sotto qualsiasi punto di vista, se proprio non puoi fare a meno di implementare una stupidata di questo tipo cerca la via meno dolorosa:

  1. Implementa una RBL o DNSBL interna con cui può parlare il tuo Gateway
  2. Gestisci periodiche verifiche delle entry per evitare che vi possano essere problemi di falsi positivi e legali.

Vediamo se è l’ultima volta che scrivo di queste cose 😂😎🤣
#security #email

Posted by at Nessun commento:
Labels: , , , , , , ,

martedì 26 marzo 2013

FW SPAM: Inquiry

Is this spam or not? 🙂

—–Original Message—–
From: Ms. Helen Papi [mailto:info@e-securetrust.com]
Sent: Monday 4 March 2013 07:02
To: nomestes.ingando@gmail.com
Cc: puchi.ierano@gmail.com
Subject: Inquiry

Hello Antonio Ieranò

Greetings and sincere apologies if this letter is against your moral ethics. I know you will be surprise to read my email. I got your contact from online business directory which prompted me to contact you in confidence. Apart from being surprise, you may be skeptical to reply back to me because based on what is going on in the internet world which has made it very difficult for people to believe anything that comes through the internet but this is a different case as proof would show as we proceed.

My name is Ms. Helen Papi. I am proposing a very high profiled business transaction to you with returns very lucrative.  I need a partner from your country who I can work with on this investment project and I want to ask for your partnership to re-profile funds valued over $13 million Dollars for investment in your country.

If you feel you can have this handled, please let me know, so that I can send you a comprehensive details on the source of fund for this proposed investment so we can discuss how to move forward.

Sincerely,

Helen Papi

Related articles
Posted by at Nessun commento:
Labels: , , , , , , , , , ,

FW SPAM: HELLO DEAR

Slightly different from the other one, but again if it is a matter of trust how come the same message comes first to me then to me again but usually spam comes with the recipient undisclosed so this must be real 🙂

 

—–Original Message—–
From: win Tep [mailto:tepsereya@gmail.com]
Sent: Monday 18 March 2013 10:41
To: nomestes.ingando@gmail.com
Subject: HELLO DEAR

 

HELLO DEAR

 

Please permit me to make your acquaintance in so informal a manner. This is necessitated by my urgent need to reach you. This request may seem strange and unsolicited but I will crave your indulgence and pray that you view it seriously.

 

I want you to partner with me in getting back the money left behind in a fixed deposit account in our bank by a citizen of your country. If this will endanger your position and reputation, I would not have contacted you. This is safe and beneficial. I am presently the Branch manager of our bank,here is South East Asia, please do not expose this transaction for any reason, I will give you more information of myself, our bank and the transaction itself once you write again.

 

I wait to hear from you,

 

Regards,

TEP SEREYA

Related articles
Posted by at Nessun commento:
Labels: , , , , , , , , , , ,

FW SPAM: Dear friend

As usual I like to post some daily spam as reference, but of course you can always try to answer and, if you got all those million, would you please give me some? 🙂

—–Original Message—–
From: win Tep [mailto:tepsereya@gmail.com]
Sent: Tuesday 19 March 2013 02:48
To: nomestes.ingando@gmail.com
Subject: Dear friend

 

Dear friend

 

Please permit me to make your acquaintance in so informal a manner. This is necessitated by my urgent need to reach you. This request may seem strange and unsolicited but I will crave your indulgence and pray that you view it seriously.

 

I want you to partner with me in getting back the money left behind in a fixed deposit account in our bank by a citizen of your country. If this will endanger your position and reputation, I would not have contacted you. This is safe and beneficial. I am presently the Branch manager of our bank,here is South East Asia, please do not expose this transaction for any reason, I will give you more information of myself, our bank and the transaction itself once you write again.

 

I wait to hear from you,

 

Regards,

TEP SEREYA

Related articles
Posted by at Nessun commento:
Labels: , , , , , , , , , ,

FW SPAM: A BUSINESS PROPOSAL LETTER

Guys THIS is something I am really more comfortable, I mean this is something I know how to handle, ol’fashion email scam.

I recently experienced how it feel to be really scammed and it make you feel really dumb, believe me. J

 

 

From: mrwahid2 [mailto:mrwahid2@yeah.net]
Sent: Tuesday 26 March 2013 18:28
To: undisclosed-recipients:
Subject: A BUSINESS PROPOSAL LETTER

Dear Friend.

My name is Mr Traore Wahid. I got your contact email address from the internet Business directory and decided to contact you for this transaction that is based on trust. I need your urgent assistance in transferring the sum $19.300.000.00(Nineteen million three hundred thousand dollars) to your account. The transfer is risk free on both sides hence you are going to follow my instruction till the fund is transferred to your account.

Having gone through a methodical search, I decided to contact you hoping that you will find this proposal interesting. Please on your confirmation of this message and on indicating your interest, I will furnish you with more information as i get our reply.

If You Accept This Offer To Work With Me, And You Find This Proposal Suitable For You Do Furnish Me With The Following Information.

Your Full Name……………….
Your Country…………….
Your Private Telephone……………
Your Age and Sex………………..
Your Occupation……………

I Will Appreciate It Very Much, If This Proposal Is Acceptable By You, Do Not Make Undue Advantage Of The Trust I Have Bestowed On You, And I Assure You We Can Achieve It Successfully.You can reply me on my yahoo address.(traorewahid5).

Respectfully
Mr.Traore Wahid,
Bill and Exchange Manager

Related articles
Posted by at Nessun commento:
Labels: , , , , , , , , , , ,

mercoledì 27 febbraio 2013

FW SPAM: PLEASE DEAR TELL ME LITLE ABOUT YOU

From: Rebeca Kuol [mailto:rebeca94@yahoo.com]
Sent: Wednesday 27 February 2013 10:48
To: Antonio Ierano
Subject: PLEASE DEAR TELL ME LITLE ABOUT YOU

Dearest One,https://i0.wp.com/mail.yimg.com/nq/mc/1_0_0/mesg/tsmileys2/40.gif?resize=18%2C18https://i0.wp.com/mail.yimg.com/nq/mc/1_0_0/mesg/tsmileys2/40.gif?resize=18%2C18https://i0.wp.com/mail.yimg.com/nq/mc/1_0_0/mesg/tsmileys2/40.gif?resize=18%2C18
I am more than happy in your reply to my mail, how is your day today i hope all is well and fine with you including your health and job,Dearest,My name is Miss Rebeca Benjamin Kuol.I am 24 years, single and never been married, i am from Post Sudan, Sudan in Africa and presently residing in the missionary church here in Senegal where i ran as a refuge due to the political civil war in my country.My late father Dr.Manyuat Benjamin Kuol,he is the Deputy Speaker of Southern Assembly, also the CEO of (BENJAMIN TECHNICAL INDUSTRIAL COMPANY LTD), in Port Sudan in Sudan. During the war, the rebel loyal to one of the greedy business associate of my late father attacked our house one early morning and killed my mother and father in a cold blood.It is only me that is alive now and i managed to make my way to this country Senegal by the help of UN army where i am living now the missionary, headed by a Reverend Father, i used his office computer to send you this email and i only enter his office when he is less busy in his office.

I would like to know more about you, your likes dislikes and your hobbies and what you are doing presently,i like to meet understanding,loyal,sincere,truthfully,kindly and friendly and more to that,a man of vision and truth.I will t ell you more about myself in my next mail. Attached here is my picture, i will be hoping to hear from you again.I remain yours Rebeca.

Related articles
  • Please Dear Tell Me Litle About You (aitechupdate.wordpress.com)
Posted by at Nessun commento:
Labels: , , , , , , , , , , ,

martedì 26 febbraio 2013

FW SPAM: Western Union Transfer

So who thinks it’s safe to open the attachment?

—–Original Message—–
From: GOVINDARAJI RAJARAM [mailto:bestserviceproviderasia@gmail.com]
Sent: Monday 25 February 2013 12:56
To: undisclosed-recipients:
Subject: Western Union Transfer

Dear Sir,

As per request of our client to transfer to you,Please find attached the Western Union Transfer Slip for four thousand dollars made to you today for balance payment on behalf of our client.

Please confirm attach receipt to our client Dr.Rajesh Gupta who instructed this payment to you.

Regards,

GOVINDARAJI

Habib Exchange Company LLC

Add: Al Ghadeer Tower – Sheikh Zayed Road www.habibexchange.com <http://www.habibexchange.com/>

Related articles
Posted by at Nessun commento:
Labels: , , , , ,

lunedì 25 febbraio 2013

FW SPAM: Hello,

Mmm undisclosed recipients, means used bcc, so how many people this email has be sent too? 🙂

 

 

—–Original Message—–
From: Rebeca B [mailto:web00-9@att.net]
Sent: Monday 25 February 2013 23:20
To: undisclosed recipients:
Subject: Hello,

 

 

 

Hello,

 

It’s My Pleasure

Am miss Rebeca, interested in you, &

wish to have you as my friend,

for friend is all about Respect, Admiration and love passion, and sharing of ideas, i intend to send my picture for you, if you reply me.

thanks from Rebeca.

Related articles
  • FW SPAM: hello, i see your profile at (linkedin.com) (aitechupdate.wordpress.com)
  • FW SPAM: Important Notice!!! (aitechupdate.wordpress.com)
  • FW SPAM: How Are You! (aitechupdate.wordpress.com)
  • FW SPAM: Dear Esteem Colleague, (aitechupdate.wordpress.com)
Posted by at Nessun commento:
Labels: , , , ,

mercoledì 20 febbraio 2013

FW SPAM: Mrs Alice Clay.

Geez who want this? I’m having to many offer can’t take all those money J

From: Mrs Alice Clay [mailto:mrsaliceclay01@gmail.com]
Sent: Tuesday 19 February 2013 15:21
To: undisclosed recipients:
Subject: Mrs Alice Clay.

My name is Mrs Alice Clay; I have been suffering from ovarian cancer
Disease and the doctor say that i have just few days to leave. I am
From Germany, but based in Burkina Faso Africa, since ten years ago as
A business woman dealing with cocoa exportation, now that i am about
To end the race like this, without any family members and no child. I
Have $1.1 Million US DOLLARS in Bank of Africa (BOA) Burkina Faso which I
Instructed the bank to give African union leaders to help sick people
Around Africa. But my mind is not at rest because i am writing this
Letter now through the help of my nurse beside me here in my hospital
Room.I also have $1.5 Million US Dollars in another bank in Burkina Faso
Which i want you to claim from the bank and use help less privilege
People in your country, but you must assure me that you will take only40% of the total money and give the rest 60% to the orphanage home in
Your country for my heart to rest.

Upon the receipt of your email that you are willing and capable to
Execute my plan, i will instruct the bank management to make the
Immediate transfer into your account.

Sincerely,

Mrs
Alice Clay.

Related articles
  • Mrs Alice Clay. (aitechupdate.wordpress.com)
Posted by at Nessun commento:
Labels: , , , , , , , , , , ,
Iscriviti a: Post (Atom)