n esta sesión, Manuel Moreno, Especialista en Seguridad IT y Hacking Ético junto a Gonzalo Balladares R., MVP Exchange Server, te mostrarán en qué consiste y cómo han evolucionado los ataques de correo electrónico no deseado (SPAM) a través del tiempo, las diversas técnicas para su identificación y las herramientas que provee Exchange server, para hacer frente a la contínua amenaza del SPAM.

1. SPAMEntenderlo es Controlarlo Manuel Moreno IT Security Specialist Gonzalo Balladares MVP Exchange

2. Acerca de… Manuel Moreno Especialista de Seguridad IT, Auditor & Ethical Hacker con mas de 12 años de experiencia Gerente de GlobalSecure Fundador y Moderador www.insecure.cl Director de Comunicaciones ISSA Chile Certificado Ethical Hacker PPT, QualysQCS, Microsoft MCP, RedhatRHLP, Cisco CCNA

3. Acerca de… Gonzalo Balladares Gonzalo Balladares R. MVP Exchange Server MCITP | MCTS | MCSA Director del Grupo Latinoamericano de Usuarios de Exchange (www.msglue.org) Gerente Tecnologías de Activetrainer.cl (gonzalo.balladares@activetrainer.cl) gballadares@mvps.org @gballadares http://geeks.ms/blogs/gballadares

4. ¿Qué es un SPAM? Se llama SPAM, correo basura o mensaje basura a los mensajes no solicitados, no deseados o de remitente no conocido, habitualmente de tipo publicitario, enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor. Fuente: http://es.wikipedia.org/wiki/Spam

5. ¿Como llego a las listas de SPAM? Cadenas de correos Robot de búsqueda en sitios web Bases de datos en venta en el mercado negro Google Hacking Búsqueda en MetaDatos Open SourceIntelligence OSINT (http://en.wikipedia.org/wiki/Open_source_intelligence)

7. DEMO OSINT con MALTEGO

8. Técnicas de Detección de SPAM Filtrado de Contenido RBLs (Real Time Black Holes) Análisis Heurístico Filtros Bayesianos OCR (Reconocimiento de Texto) Sistema de Reputación Listas Blancas, Negras y Grises (Greylist) SPF (SenderPolicy Framework)

9. Filtrado de Contenido Útil para Evita que cierto tipo de palabras y tópicos sean enviados hacia o desde los usuarios Pero es ineficiente para controlar el SPAM Requiere una atención continua del Administrador Algunos simples trucos lo hacen vulnerable Ejemplo: $ave, V*i*a*gr*a, Chëὰρ Genera muchos falsos positivos Aquí Diferentes ejemplos de la palabra Viagra:

10. RBLs (Real Time Black Holes) Las RBLs son listas de supuestos spammerscon sus dominios/direcciones IP Ejemplos: SpamCop, Backscatterer.org, RRBL, SpamRBL Ventajas: Mantienen una lista actualizada de los spammers Fácil de implementar Desventajas: No figurar en estas listas puede llevar desde días a meses Algunos ISPs son agregados, aún cuando envían correos legítimos

11. Análisis Heurístico Utiliza una técnica que busca miles de características y/o palabras para identificar SPAM y asignar una calificación Ventajas: Ofrece un punto de balance para la detección del spam Puede Detectar nuevos tipos de Spam y es utilizado en muchos productos Antispam Desventajas: Incrementar el nivel de detección significa incrementar los falsos positivos El nivel de SPAM debe ser ajustado periódicamente

12. Filtros Bayesianos Es un sistema de aprendizaje que se basa en análisis estadístico del vocabulario Ventajas: Puede ser muy efectiva para usuarios individuales Crea un listado de palabras buenas y malas La base de datos se actualiza periódicamente Desventajas: Necesita de la intervención del usuario para que sea efectiva (debe recibir y enviar correo) Es atacado deliberadamente por los spammers

13. OCR Permite detectar textos en imágenes dentro de correos electrónicos. Ventajas: Detecta SPAM en Imágenes de correo Ideal para detectar correos que no tienen contenido y solo hacen referencia a una imagen <img=web.com/spam.jpg> Desventajas: Hace uso intensivo del CPU Dependiendo del volumen de correos puede agregar latencia y/o delay

14. ANTISPAM EN EXCHANGE

15. Antispam IncomingInternet E-Mail 1. Connection Filtering 2. Sender & Recipient Filtering Sender ID Lookup & Intelligent Message Filter Outlook Inbox Outlook Junk E-mail

16. Exchange 2003

17. Exchange 2007

18. Exchange 2010

19. DEMO

20. Sender ID / SPF Evita Suplantación Verificaciones SPF: Mail From FQDN dado en HELO/EHLO

21. Sender ID

22. DEMO

23. Caí en Lista Negra!! Hoo NOO!

24. DEMO

25. ¿Preguntas? MUCHAS GRACIAS! BLOG Gonzalo Balladares http://geeks.ms/blogs/gballadares BLOG Manuel Moreno http://www.insecure.cl

26. www.facebook.com/comunidadesMS www.facebook.com/estudiantesMS www.facebook.com/emprendedoresMS @ComunidadesMS LinkedIn: //linkd.in/comunidadesms Vimeo: www.vimeo.com/comunidadesms YouTube: www.youtube.com/comunidadesms Redes Sociales