Re: [ml] mailing lists

[Emanuele Balla (aka Skull)]

On 26/03/14 19:00, Claudio Telmon wrote:

 Stile fight club.

 Per le stesse ragioni che Cartwright citava nel suo post sul perché ha
 deciso di alzare bandiera bianca, più o meno.
 
 Hmm, mailing list verticali chiuse ce ne sono sempre state, e anche per
 buoni motivi, se ho capito a cosa ti riferisci. I primi ambiti che mi
 vengono in mente sono i CERT e gli antivirus. Non sono il tipo di ml o
 di tematiche a cui mi riferisco. Non credo neanche che il ragionamento
 si possa applicare a una lista che si chiama Full Disclosure... nel
 senso che se una ml fosse disclosure fra un gruppo di amici,
 professionisti o meno, è un'altra cosa, quanto meno come impostazione etica.

IMHO per un sacco di gente la connotazione etica è stata messa da parte
quando in questo ambito hanno iniziato ad entrare big vendors e big money...

Non è comunque questione di gruppi di amici, quanto di gruppi di lavoro.
Si tratti di malware, di botnet, di infrastruttura DNS, di spam
filtering, di ..., più o meno ogni argomento ha almeno un suo gruppo
chiuso, e quella stessa gente che prima teneva in vita i gruppi aperti
ora la trovi lì...


 Per contro, le ml dell'ietf, che sicuramente sono verticali e non
 hobbistiche, sono aperte e pubbliche, e riescono a tenere un rapporto
 segnale/rumore mediamente buono,ma anche perché sono veramente tanto
 verticali.

Vero, ma difficilmente veicolano contenuti che siano ritenuti delicati
quanto può essere un exploit che affligge potenzialmente decine di
migliaia di sistemi.

Nè attirano bimbiminkia smanianti alla prospettiva di farsi un nome
mettendo in pratica cose che era meglio tenere sulla carta, o troll in
cerca di far casino, o di evangelist di questa o quella azienda, o...


Il punto (che intendevo) è proprio quello: chi per determinati argomenti
ha un interesse diretto (professionale o personale, non fa differenza)
si è ritirato in walled garden con soglie d'accesso sufficientemente
alte da tenere fuori quella parte del mondo che (nella loro opinione)
creerebbe solamente problemi.

Mai detto che prima non ci fossero; ma ora sono di certo aumentate a
discapito delle ML aperte.


 Comunque io mi riferisco a ml dove si discuta tecnicamente come
 disegnare, realizzare e gestire sistemi informativi sicuri, cosa che
 dovrebbe interessare più o meno tutte le aziende, e quindi non ha senso
 che siano ml chiuse, a prescindere dalla definizione di professionale o
 hobbistico.

Chiarisco intanto che non ci vedo niente di male nell'essere hobbisti,
nè lo contrappongo all'essere professionisti: io hobbista lo son stato
per tanti anni e lo sono ancora in diverse liste e gruppi di lavoro che
non ricadono nelle mie dirette competenze professionali.
Ma mi interessano e quindi ci son dentro. Dove mi conoscono abbastanza
da farmi entrare, almeno.


Ciò detto, non sono nemmeno sicuro che liste di quel genere abbiano
ancora l'utilità che avevano un tempo: rispetto a 10-15 anni fa non si
può certo dire che scarseggi il materiale online al riguardo...

Anzi, la mole è talmente elevata che il problema è individuare la
soluzione migliore ai propri problemi.

Aggiungi l'aumentata mole di fruitori (con livelli di competenza
estremamente diversi tra loro) e il risultato (almeno quello che vedo io
su quei 4 gruppi che ancora frequento su usenet) è che il grosso delle
richieste ricade inevitabilmente nella categoria aiutatemi a debuggare
'sta cosa gratis o ditemi quale è la soluzione alle mie esigenze.

Se ci metti che almeno una parte dei frequentatori (tipicamente quella
più utile alla lista stessa, in termini di esperienza e competenza
portata) si ritrova a fare 'sto genere di consulenza per mestiere, per
10-12 ore al giorno, è inevitabile che l'interesse di questi cali e  che
di conseguenza il livello si abbassi, a volte portando ad una lunga agonia.


Il tutto ribadendo: opinioni mie...

http://www.sikurezza.org - Italian Security Mailing List

Re: [ml] Sender address rejected: unverified address?

[Emanuele Balla (aka Skull)]

On 14/01/14 13:34, Marco Ermini wrote:

 Junk Mail is war. RFCs do not apply. (cit)

 Wietse Venema :-)

Hai vinto una birra, ma non so quando mai saremo nello stesso posto e
pagarla.
Poteva essere un piccolo stimolo a restare dov'eri, ma tanto immagino
che da quelle parti le occasioni da birra non manchino comunque... :-)


 Ho letto prima un'opiione (Tullio Andreatta) circa l'inutilit? di SPF.
 Tendo in generale a essere d'accordo con quanto ? stato scritto in quel
 messaggio. Tuttavia non sono molto d'accordo circa l'inutilit? di SPF - se
 ovviamente accompagnato a DMARC, DKIM e tutto il resto.
 
 Vorrei sapere cosa ne pensate in generale sull'efficacia di queste
 tecniche. So che i grossi player ci puntano, ma in generale mi sembrano
 di una complessit? notevole - tant'? che dove lavoravo prima erano
 praticamente impossibile da implementare (organizzazione troppo grande e
 troppe persone da convincere, e quando la questione diventa cos?
 complessa...).

Sono tecnologie che hanno un loro ruolo ben preciso e di ampio utilizzo
liddove si tratti di piattaforme di mail marketing o di messaggistica
transazionale.

Ma da sole non forniscono alcuna metrica relativa alla reputazione del
mittente: tutto quello che ti possono dire è che il mittente non è
forgiato. Che poi sia spam o meno, nulla dicono. Nè è il loro ruolo.


Sono pertanto complementari a meccanismi di reputation: se i miei
meccanismi di reputazione mi dicono che paypal.com è 100% good, e la
mail soddisfa DKIM/DMARC posso permettermi di bypassare in toto gran
parte degli altri filtri - dato che so di potermi fidare del mittente -
riducendo il rischio di falsi positivi.  Ma  solo perché so chi è
paypal e che va trattata di conseguenza, non per DKIM in sè...


Per una azienda X anche grossa, dove la tipologia di mail in uscita è
varia (mail generate da automatismi vari, mail normali inviate dai
dipendenti, mail marketing fatto in maniera più o meno approssimativa
dal commerciale di turno), l'utilità è opinabile, a meno di non essere
disposti a segmentare le componenti del flusso postale che potrebbero
trarne un vantaggio[1].


C'è poi il problema che DKIM e DMARC hanno un ampio utilizzo lato
ricevente da parte di operatori con una competenza ben radicata nel
settore email (i grossi fornitori di sistemi/servizi di filtraggio e i
gorilla del settore freemail come Google, Hotmail, Yahoo, etc.) ma la
loro diffusione in ambito più ristretto (mailserver aziendali e
dintorni) è sempre rimasta piuttosto limitata.

In parte per complessità intrinseca, in parte perchè se non sai che
farci (leggasi: non hai o non capisci i meccanismi di reputation cui
agganciarli) te ne fai poco.



In soldoni, se

* sei grosso e conosciuto

* invii comunicazioni di carattere informativo/commerciale/transazionale

* i riceventi hanno interesse a trattare in modo privilegiato tali
comunicazioni (il che significa anche che sono 100% clean)

* hai uno o più domini che dedichi a questa sola finalità [1]

allora DKIM (e/o DMARC, soprattutto nel caso di invii transazionali)
sono circa un must, attualmente.


Per domini generici, aggiungono poco o nulla.




 Altra domanda: in generale osservo che molte organizzazioni cercano la
 magic box (o adesso la magic cloud) a cui delegare i problemi. Non ho
 visto fin'ora alcuna killer app contro lo spam e gli utenti di pi? o meno
 tutte queste magic box o magic cloud si lamentano per lo spam. La mia
 impressione ? che sia una battaglia pi? complessa di quello che il CTO
 medio possa comprendere, e che ciascuna azienda/situazione ha bisogno di
 una certa customizzazione - come diceva Emanuele Balla giustamente,
 *qualcuno* deve decidere cosa ti puoi permettere di perdere quando filtri
 le email, ed ? piuttosto difficile tradurre quello che il CTO *pensa* (e
 chiss? poi cosa ha capito) con un filtro Postfix/qmail...


Soprattutto c'è un problema di differenti visioni e visibilità: il fatto
che quello che è spam per A non è necessariamente spam per B; sicchè se
sia a che B si servono dello stesso oggetto/servizio, uno dei due
inevitabilmente ottiene il contrario di quello che desidera.

Per una infinità di ragioni che richiederebbero un thread a sè (e per il
quale non sono certo questa sia la lista adatta), ma è tuttavia un dato
di fatto.


Aggiungici che lo spam è una lotta tra parti, per cui se da un lato ci
sono gestori/creatori di filtri dall'altro c'è chi fa di tutto per
evadere gli stessi, il che rende l'approccio fire and forget del tutto
inapplicabile: qualcuno le cose le deve gestire e chi riceve deve
mettersi in testa che il filtro applicato (quale che sia la soluzione
scelta) non funziona per magia (FUSSP!) ma per la competenza di
qualcuno, che necessita anche di feedback, sia positivo che negativo.


Il succo, comunque, è che la magic box, non esiste e probabilmente non
può esistere.



E' un pippone, ma te la sei cercata :-P
E non è nemmeno finito...




[1] Il fatto è che in particolare per DKIM (e di conseguenza DMARC) la

Re: [ml] Sender address rejected: unverified address?

[Emanuele Balla (aka Skull)]

On 08/01/14 18:46, Tullio Andreatta ML wrote:

 Concordo su tutto il resto, ma alcune verifiche sull'helo sono previste
 dalla RFC5321. In particolare nel §4.1.1.1. si afferma che l'helo deve
 essere il nome fqdn del client smtp (se disponibile) ovvero un IP
 literal. Il controllo che tale fqdn sia risolvibile è quindi lecito,
 dato che in caso contrario si tratta di una errata configurazione del
 sender.
 
 Solo perche' RFC5321 dice dovrebbe essere (SHOULD) non significa che
 sia lecito rifiutare i messaggi se non e' risolvibile o se non corrisponde.


Ancorché concordi sul punto specifico, trovo anche che sia tu che Flavio
stiate cogliendo il punto solo di striscio (nella mia personale idea,
sia chiaro).


Junk Mail is war. RFCs do not apply. (cit)

Chi decide di pretendere un comportamento di un certo tipo da sistemi
mittenti non lo fa perchè le RFC *pretendono* quel comportamento, ma
perchè quello è il comportamento normalmente atteso (secondo chi
implementa il ruleset; che poi questo corrisponda alla norma dei
mittenti è poi da verificare) *e* ritiene di poter fare a meno delle
mail di chi non vi si attiene.

Se poi la quantità di FP generati da ciò sia eccessiva (nella mia
opinione -nel caso di cui parliamo- lo è per chiunque, ma è appunto una
opinione) e/o se tale misura sia utile a tenere fuori una quantità
significativa di spam (anche questo a mio parere contestabile nel casus
in questione, almeno in rapporto al rate di FP causati) sta a lui
stabilirlo.

Il fatto che il comportamento sia o meno definito da RFC è quindi quasi
incidentale...





C'è un bot, lì fuori, che invia spam usando sessioni SMTP in cui
utilizza come HELO dsldevice.lan (cutwail, credo), e lo fa da anni.
E piuttosto normale, quindi, per un ruleset lato ricevente, segare a
vista sessioni che si presentino con tale HELO.

If it looks like a duck, and quacks like a duck...


Non è che questo HELO sia meno RFC-compliant del tuo
smtp.network10-1-67.local, sia chiaro, ma se qualcuno decide di
impostare quella stringa come HELO del proprio mailserver poi
difficilmente può lamentarsi se le sue mail non vengono accettate di
default, nè può pretendere che lo siano in virtù del mero fatto che
quell'HELO non è vietato da RFC.

Perchè, appunto, non è quello il senso della restrizione applicata.




(E' mia opinione di vecchia data che nell'ambito della configurazione di
filtri SMTP ci sia un proliferare di prassi basate sul mio cugino mi ha
detto che più che all'effettiva efficacia in termini di rapporto FP/VP;
così come una mancanza di percezione del fatto che qualsiasi misura
applicata che non abbia un tasso di FP pari a *zero* richiede poi che le
eccezioni *vengano gestite*. Il che è la reale causa di gran parte dei
problemi cui ci si riferisce qui; ma è altro discorso...)




 Ad esempio, il mail server sul quale adesso sto lavorando ha come FQDN
 smtp.network10-1-67.local e IP literal 10.1.67.25 e - a seconda del
 fatto che la linea impegnata sia quella principale o quella di backup -
 puo' uscire con due indirizzi IP pubblici differenti, uno dei quali e'
 in comune con un'altra 40ina di mail server, i quali hanno nomi tutti
 diversi (e che, quando la linea primaria e' attiva, escono solitamente
 con IP pubblici tutti diversi). Che cosa devo scrivere come argomento di
 HELO?

Quello che vuoi, purchè stia su un dominio che controlli direttamente
(evita in particolare roba fantasiosa come
hostX-Y-static.Z-W.business.telecomitalia.it) e risolva... ^_^
Di certo, se usi .local come TLD, così non può essere...

Se vuoi far di più, associa un record SPF all'hostname usato come HELO
(e, ovviamente, al dominio mittente liddove possibile).

Il fatto che la risoluzione dell'HELO ritorni lo stesso IP usato per il
singolo invio è un di più gradito, ma non necessario: è pur vero che
ci sono taluni che lo pretendono, ma si tratta di nuovo di eccessi di
zelo (sempre IMHO) ancor più limitati per diffusione.


http://www.sikurezza.org - Italian Security Mailing List

Re: [ml] Spam particolare

[Emanuele Balla (aka Skull)]

On 10/17/13 9:41 PM, Andrea wrote:
 Ciao a tutti,
 so che c'è già stato un thread riguardo lo spam ma vorrei segnalare
 qualcosa di anomalo che succede in una azienda con server di posta
 interno, in pratica da qualche giorno arrivano centinaia di mail spam il
 cui mittente coincide con il destinatario (tranne per il return-path),
 dai log sul server è chiaro che si tratta di un attacco dal'esterno ma
 la cosa strana è che l'IP sorgente cambia sempre!
 
 Posso capire che ci siano uno o due server da cui partono questi tipi di
 msg spam, ma centinaia di IP pubblici e sempre diversi che utilizzano il
 medesimo tipo di attacco.. mi suona strano

Benvenuto nel magico mondo delle botnet.


http://www.sikurezza.org - Italian Security Mailing List

Re: [ml] Spamassassin e BL

[Emanuele Balla (aka Skull)]

On 9/23/13 3:41 PM, Mirko ML wrote:

 Il problema è che vi sono situazioni in cui greylisting causa delay ben
 superiori al tempo di requeue di un singolo tentativo.
 Vedi sopra per il timeout e per quanto riguarda il DSN di alcuni
 provider grossi e ben noti basterebbe che applicassero le Retry
 Strategies e la Sending Strategy della stessa RFC, cosa che
 semplicemente non fanno con la scusa di essere appunto grossi

Non mi risultano grossi che violino le RFC sulle modalità di
ritrasmissione, ad essere sinceri, ed infatti non è a questo che mi
riferisco sui problemi introdotti dal greylisting, bensì sull'assunto
soggiacente la logica stessa dell'approccio da questo implementato: che
la ritrasmissione di un messaggio debba originarsi dallo stesso IP da
cui ha avuto origine in precedente tentativo di delivery.

La qual cosa che non è in alcun modo deducibile da RFC (che, appunto,
definiscono SMTP e non greylisting), e che in caso di sender con SMTP
pool molto distribuiti può essere una assunzione assai lungi dall'essere
sensata.

Poi, come disse il buon Wietze, Spam is war, RFCs do not apply, ergo
ciò non è necessariamente un male di per sè. Ciò non toglie che
introdurre deliberatamente ritardi su una fetta importante del traffico,
ottenendo in cambio una efficienza molto limitata e facilmente
superabile con dozzine di altri approcci disponibili non ricade nella
mia definizione di misura efficace.

YMMV, a seconda delle dimensioni dei sistemi che gestisci.

http://www.sikurezza.org - Italian Security Mailing List

Re: [ml] Spamassassin e BL

[Emanuele Balla (aka Skull)]

On 9/21/13 7:48 PM, Mirko ML wrote:

 Non mi piace per nulla, la trovo un'aberrazione. E' veramente utile?

 Benvenuto nel club. Era utile, oggi lo è meno, in virtù del fatto che
 molte botnet sono in grado di aggirarlo.
 Se implementato in maniera intelligente e su piccola scala, comunque,
 aiuta ancora e non ha particolari effetti collaterali.

 personalmente ritengo che non sia eticamente scorretto visto che è
 definito da RFC 5321 ( http://tools.ietf.org/html/rfc5321)

Ni. Ad essere definita da RFC è la ritrasmissione, non il greylisting.
Eticamente scorretto è certamente esagerato, resta il fatto che è una
soluzione che non risolve (quindi, una non-soluzione, a voler ben
vedere) e che a fronte di una efficienza estrmamente limitata degrada la
qualità dell'intero media (per coloro i quali ne sono affetti, almeno).
Vista, non piaciuta ma utilizzata, rimossa quando il livello di
efficacia è sceso ben al di sotto del percepibile, a fronte di fastidi
persistenti (tipo 4 anni fa).

Come giustamente sottolinea Marco, è anche uno strumento oramai
pressochè inutile per chi sappia gestire un ruleset SMTP adeguato e ne
abbia il tempo.

Come sostenevo nel post cui rispondi, può essere ancora utile a
installazioni di piccole dimensioni, se ben implementato.


 E' più scorretto trovare qualcuno che questa cosa non la rispetti e dia
 un DSN al mittente dopo un singolo tentativo

Il problema è che vi sono situazioni in cui greylisting causa delay ben
superiori al tempo di requeue di un singolo tentativo.


http://www.sikurezza.org - Italian Security Mailing List

Re: [ml] Spamassassin e BL

[Emanuele Balla (aka Skull)]

On 9/19/13 12:10 PM, Davide Davini wrote:

 
 2) Grey list
 
 Non mi piace per nulla, la trovo un'aberrazione. E' veramente utile?

Benvenuto nel club. Era utile, oggi lo è meno, in virtù del fatto che
molte botnet sono in grado di aggirarlo.
Se implementato in maniera intelligente e su piccola scala, comunque,
aiuta ancora e non ha particolari effetti collaterali.


http://www.sikurezza.org - Italian Security Mailing List

Re: [ml] INOG

[Emanuele Balla (aka Skull)]

On 6/13/13 3:19 PM, Davide Davini wrote:
 Siccome ho letto per la prima volta di NANOG su questa lista mi permetto
 di fare questa domanda sciocca. Non esiste qualcosa di simile per
 l'Internet Italiana, vero?
 
ITNOG: http://lists.itnog.it/listinfo/itnog

Ma il traffico è desolantemente basso.


http://www.sikurezza.org - Italian Security Mailing List

Re: [ml] is a phising site ?

[Emanuele Balla (aka Skull)]

On 9/27/11 11:10 AM, s@mba wrote:
 Ciao a tutti,
 vorrei capire se questo sito sta effettivamente facendo phishing o no:
 http://www.glandorepartners.com/
 
 Recentemente ho ricevuto una mail diretta unicamente a me che mi
 invitava a mandare il cv se ero interessato ad una proposta di lavoro
 come sysadmin.
 
 Essendo diffidente per default ho controllato il sito ed ho trovato del
 codice Javascript offuscato che vi incollo qui:
 
 http://pastebin.com/raw.php?i=mfTUvmD7
 
 
 Il codice praticamente manda una mail (credo ad ogni accesso) a:
 acoll...@glandorehealthcare.com
 
 Controllando il sito http://www.glandorehealthcare.com vedo lo stesso
 identico layout con lo stesso codice javascript dentro.
 Le informazioni sul sito sono basilari e gli account linkedin che ci
 sono in rete sembrano dei fake.
 
 ora il mio dubbio è:
 1. Il sito sta facendo phishing?
 2. se sì, in che modo è possibile segnalarlo e a chi?

I due siti sono registrati dalla stessa entità/persona, tra dicembre
2009 e marzo 2010.
Entrambi un po' vecchi per essere domini rogue (anche se può certamente
capitare).

La prima delle due funzioni offuscate (acollins), deoffuscata produce:

a href=#x6d;#x61;#x69;#x6c;#000116;#000111;#x3a;
#x61;
#99;
#111;
#108;
#x6c;
#105;
#110;
#115;
#x40;
#x67;
#x6c;
#x61;
#x6e;
#100;
#x6f;
#114;
#101;
#x68;
#x65;
#97;
#x6c;
#116;
#104;
#x63;
#97;
#114;
#x65;
#x2e;
#x63;
#x6f;
#x6d;

 class=mailto
#x61;
#99;
#x6f;
#x6c;
#108;
#105;
#110;
#115;
#x40;
#x67;
#108;
#97;
#110;
#x64;
#111;
#x72;
#101;
#104;
#x65;
#97;
#x6c;
#x74;
#104;
#99;
#x61;
#x72;
#x65;
#x2e;
#x63;
#111;
#x6d;
/a

A te il compito di decodarlo in caratteri normali, ma in sostanza si
limita a generare un mailto verso l'indirizzo acollins@[...].

Ergo è un semplice offuscamento degli indirizzi email per prevenirne
l'harvesting...


-- 
Paranoia is a disease unto itself. And may I add: the person standing
next to you may not be who they appear to be, so take precaution.
-
http://bofhskull.wordpress.com/

http://www.sikurezza.org - Italian Security Mailing List

Re: [ml] Comodo hack e alcune riflessioni

[Emanuele Balla (aka Skull)]

On 3/29/11 12:57 PM, Stefano Zanero wrote:
 Cari amici,
 
 dopo aver visto l'imbarazzante evento dell'hacking a Comodo (qui un mio
 piccolo rant personale:
 http://raistlin.soup.io/post/119155650/Comodo-hack-my-opinion), secondo
 me dovremmo immediatamente trarre alcune riflessioni relative alla
 recente e sciagurata iniziativa legislativa del nuovo CAD.

Guarda, evito di buttarmi in considerazioni di carattere
legislativo/sociologico.

Mi limito ad una considerazione strettamente tecnico-economica: questa è
esattamente la ragione per la quale giocare al dumping/ribasso dei
servizi è -a volte- *male*.

Quando vedo CA ricevere il CSR, inviare mail di autorizzazione e
rilasciare il CRT in 3 minuti, francamente trovo sia da alzare le orecchie.

Io mi rendo perfettamente conto del fatto che al cliente che acquista un
certificato rode un po' il didietro a spendere 100/200€ -quando va bene-
per un certificato.
Ma ho l'illusione di pensare che dietro alla mera esecuzione di un
openssl ca vi sia anche un minimo di lavoro di una persona che si
prende cura di verificare (sia pur con un livello di dettaglio al più
approssimativo) che lui sia chi dice di essere, che giustifica sia la
spesa economica che -soprattutto- la necessità di attendere anche mezza
giornata che qualcuno abbia il tempo di dare un occhio alla pratica.

Ciò nonostante, questo non è ciò che richiede *il mercato*: un
certificato è un certificato (purchè la CA sia nella keychain,
chissenefrega, giustamente), meno mi costa e meglio è.


Inevitabile che questo comporti l'ingresso in una infinita spirale
discendente, in cui la firma di un certificato costa sempre meno e
garantisce sempre meno, per ragioni che nulla hanno a che vedere con la
sicurezza crittografica dei meccanismi sottesi.


Forse, sarebbe il caso di farci un ragionamento sopra, tutto sommato,
quantomeno per evitare che gli stessi problemi vadano a impattare
tecnologie nascenti e in quale maniera assimilabili (penso ad es. a
DNSSEC)...

-- 
Paranoia is a disease unto itself. And may I add: the person standing
next to you may not be who they appear to be, so take precaution.
-
http://bofhskull.wordpress.com/

http://www.sikurezza.org - Italian Security Mailing List