Portada
mis comunidades
otras secciones
![CloudFlare: 94% del tráfico de Tor que vemos es "malicioso per se" [ENG]](https://cdn.mnmstatic.net/cache/27/84/media_thumb_2x-link-2589869.jpeg?1459377966)
#7:
#6 Si no te lo discuto. Yo creo en el concepto de Tor pero solo recibimos spam, ataques, y nada más. Mierda, mierda y mucha mierda.
Y hemos sufrido varios exploits 0-day de servidor y un cliente con un cryptolocker.
En nuestra balanza acabó pesando más los riesgos que los beneficios.
Si te dedicas a la seguridad y tienes un server online lo ves muy claro.
Para una sola conexión que pueda ser legítima, tenemos cientos fraudulentas o directamente agresivas.
Hay momento en que el syslog empieza a tirar mensajes por que no da literalmente a basto.
A nosotros no nos merece la pena.
Es triste, pero es así.
Es como abrir un bar.
Si al final la gran mayoría de los clientes son broncas que no pagan y te roban, acabas cerrando el bar o poniendo un tipo en la puerta.
Y te insisto. Conceptualmente no me gusta. Pero no dejan otra opción si quieres dar un servicio medio decente. Y eso teniendo encuenta que somos unos don-nadie que no aportamos interés para un ataque dirigido. Si fueramos medio conocidos ni te cuento.
Y hemos sufrido varios exploits 0-day de servidor y un cliente con un cryptolocker.
En nuestra balanza acabó pesando más los riesgos que los beneficios.
Si te dedicas a la seguridad y tienes un server online lo ves muy claro.
Para una sola conexión que pueda ser legítima, tenemos cientos fraudulentas o directamente agresivas.
Hay momento en que el syslog empieza a tirar mensajes por que no da literalmente a basto.
A nosotros no nos merece la pena.
Es triste, pero es así.
Es como abrir un bar.
Si al final la gran mayoría de los clientes son broncas que no pagan y te roban, acabas cerrando el bar o poniendo un tipo en la puerta.
Y te insisto. Conceptualmente no me gusta. Pero no dejan otra opción si quieres dar un servicio medio decente. Y eso teniendo encuenta que somos unos don-nadie que no aportamos interés para un ataque dirigido. Si fueramos medio conocidos ni te cuento.
#2:
Administramos un par de servidores modestos.
Hace un mes decidimos subir el nivel de seguridad mediante bloqueos de IPs basados en listas de reputación.
Estábamos hartos, muy hartos de spam, escaneo, fuerza bruta e intentos de compras online con tarjetas robadas a todas horas.
En un mes hemos registrado 43.000 bloqueos maliciosos.
Nuestros clientes están encantados. Hemos reducido el Spam notablemente, el uso de tarjetas robadas ha cesado prácticamente y los carga de los servidores ha bajado.
Uno de los criterios a valorar fue incluir los listados de los de nodos Tor de salida.
De momento se queda.
Hace un mes decidimos subir el nivel de seguridad mediante bloqueos de IPs basados en listas de reputación.
Estábamos hartos, muy hartos de spam, escaneo, fuerza bruta e intentos de compras online con tarjetas robadas a todas horas.
En un mes hemos registrado 43.000 bloqueos maliciosos.
Nuestros clientes están encantados. Hemos reducido el Spam notablemente, el uso de tarjetas robadas ha cesado prácticamente y los carga de los servidores ha bajado.
Uno de los criterios a valorar fue incluir los listados de los de nodos Tor de salida.
De momento se queda.
#5:
#4 no dejan otra opción.
Dnsbl + Spamassasin + mod-security más mil cosas y te puedo pasar cientos de lineas de log que no se si dan más rabia que pena.
Usamos listas de reputación dinámicas, no bloqueos a pelo. Si una IP aparece marcada como spammer, o secuestrada (si, se secuestran rangosde ips completos de empresas que los tenian asignados y quebraron y no han expirado las concesiones) va a la lista de bloqueo.
Los bloqueos son revisados periódicamente y al menos una vez al día.
No bloqueados ni por países ni por operadores pero a veces te obligan. Si no puedes dejar una puerta abierta por que te roban todos los días acabas poniendo un cerrojo.
No somos los culpables de esta situación.
Somos las víctimas.
Dnsbl + Spamassasin + mod-security más mil cosas y te puedo pasar cientos de lineas de log que no se si dan más rabia que pena.
Usamos listas de reputación dinámicas, no bloqueos a pelo. Si una IP aparece marcada como spammer, o secuestrada (si, se secuestran rangosde ips completos de empresas que los tenian asignados y quebraron y no han expirado las concesiones) va a la lista de bloqueo.
Los bloqueos son revisados periódicamente y al menos una vez al día.
No bloqueados ni por países ni por operadores pero a veces te obligan. Si no puedes dejar una puerta abierta por que te roban todos los días acabas poniendo un cerrojo.
No somos los culpables de esta situación.
Somos las víctimas.
#22:
#17 Si, tenemos informes que han ido a la BIT de Policia, de compras por importes de más de mil euros con tarjetas robadas en Canada/EEUU y Sudamerica.
Todas las compras que hemos detectado vienen a traves de salidas de VPN de HideMyAss fundamentalmente (y de Alicante para más señas).
Y los pedidos se entregan en un bar de Alcalá de Guadaira.
Estamos por ir a tomar un café allí.
Es un problemón si tu perfil de cliente es de nivel alto porque no puedes distinguir a primera vista si la tarjeta es robada porque hay clientes que compran aceite por valor de miles de euros.
Como el TPV virtual está en modo no seguro1 (ojo con esta definición, que no es lo que parece) el resultado es que procesas la compra porque la pasta la recibes, envias el pedido, te lo recogen y al cabo de varios meses recibes una notificación del banco, del departamento de fraude y quebrantos, que te retrotráen el importe de la compra porque se trata de una compra fraudulenta.
Y el cliente se queda sin producto, porque lo ha entregado, y sin dinero porque el banco carga la responsabilidad de la verificación de la tarjeta en el vendedor, cuando no te insinuan que estas conchabado con el delincuente.
¡Lo cojonudo es que el vendedor nunca ve nada de la tarjeta, ni la tarjeta física, ni los números!
A eso añadele que tu aceite de gran calidad, exclusivo, se acaba vendiendo en mercadillos como aceite barato.
1Modo no seguro: No te envía un código al móvil cuando haces la compra.
1Modo seguro: Te envía un código al móvil cuando haces la compra. El problema es que no todas las tarjetas lo soportan, cada vez menos, y pierdes ventas por no poder cobrar al cliente. Ya ocurre con menos frecuencia pero ocurre, sobre todo con perfiles de compradores poco tecnológicos, que los hay (personas mayores, por ejemplo)
Todas las compras que hemos detectado vienen a traves de salidas de VPN de HideMyAss fundamentalmente (y de Alicante para más señas).
Y los pedidos se entregan en un bar de Alcalá de Guadaira.
Estamos por ir a tomar un café allí.
Es un problemón si tu perfil de cliente es de nivel alto porque no puedes distinguir a primera vista si la tarjeta es robada porque hay clientes que compran aceite por valor de miles de euros.
Como el TPV virtual está en modo no seguro1 (ojo con esta definición, que no es lo que parece) el resultado es que procesas la compra porque la pasta la recibes, envias el pedido, te lo recogen y al cabo de varios meses recibes una notificación del banco, del departamento de fraude y quebrantos, que te retrotráen el importe de la compra porque se trata de una compra fraudulenta.
Y el cliente se queda sin producto, porque lo ha entregado, y sin dinero porque el banco carga la responsabilidad de la verificación de la tarjeta en el vendedor, cuando no te insinuan que estas conchabado con el delincuente.
¡Lo cojonudo es que el vendedor nunca ve nada de la tarjeta, ni la tarjeta física, ni los números!
A eso añadele que tu aceite de gran calidad, exclusivo, se acaba vendiendo en mercadillos como aceite barato.
1Modo no seguro: No te envía un código al móvil cuando haces la compra.
1Modo seguro: Te envía un código al móvil cuando haces la compra. El problema es que no todas las tarjetas lo soportan, cada vez menos, y pierdes ventas por no poder cobrar al cliente. Ya ocurre con menos frecuencia pero ocurre, sobre todo con perfiles de compradores poco tecnológicos, que los hay (personas mayores, por ejemplo)
#38:
#4 Creo que usas adblock, ¿no? https://www.meneame.net/search?q=adblock&w=comments&h=&o=&u=sorrillo
Es injusto que por culpa de las páginas que abusan de la publicidad poniendo anuncios molestos e intrusivos tengas que bloquear a webs que ponen un banner en un lateral, sin tapar el contenido ni apenas molestar. Pero la mayoría de la gente hace uso abusivo de la publicidad, así que la bloqueas toda y que paguen justos por pecadores.
Pues lo que #2 con las conexiones TOR es lo mismo. ¿Qué hay usos legítimos? Pues si, pero si la mayoría provoca molestia, pues les bloqueas a todos.
Es injusto que por culpa de las páginas que abusan de la publicidad poniendo anuncios molestos e intrusivos tengas que bloquear a webs que ponen un banner en un lateral, sin tapar el contenido ni apenas molestar. Pero la mayoría de la gente hace uso abusivo de la publicidad, así que la bloqueas toda y que paguen justos por pecadores.
Pues lo que #2 con las conexiones TOR es lo mismo. ¿Qué hay usos legítimos? Pues si, pero si la mayoría provoca molestia, pues les bloqueas a todos.
#29:
#28 Nosotros hemos sufrido varios blacklisting y es una putada.
Pero gorda.
Pero en todos ellos el motivo ha sido siempre el mismo. Una cuenta de correo con una contraseña debil, un usuario que pilla un troyano que accede a la configuración de correo, o un exploit 0-day (y alguno 180-day ) en un CMS.
Siempre que lo hemos sufrido ha tenido una justificación.
Y dices bien.
Cada server tiene dos IPs, la de producción y la de reserva de blacklist a la que cambiar si caemos en alguna DNSBL. Cuando adquieres una IP no te la dicen de antemano para que la puedas verificar.
A día de hoy llevamos 11 meses sin estar en listas negras, pero hace poco nos comimos el 0-day de Joomla. Fue bestial el barrido que hicieron. Dejaron miles de agujeros durmientes.
A día de hoy hay miles de Joomlas "guardados" para ser explotados mas adelante
Fuimos rápidos y pudimos tapar el boquete y aun así nos cayeron tres dominios que estuvieron a un tris de ir a lista negra.
Desde ese momento decidimos ponernos bordes con el tema de las IPs.
No hay una solución ni buena ni de equilibrio.
Como se te cuelen date por jodido tu y tus clientes.
Son las reglas del juego en internet.
Pero gorda.
Pero en todos ellos el motivo ha sido siempre el mismo. Una cuenta de correo con una contraseña debil, un usuario que pilla un troyano que accede a la configuración de correo, o un exploit 0-day (y alguno 180-day
) en un CMS.Siempre que lo hemos sufrido ha tenido una justificación.
Y dices bien.
Cada server tiene dos IPs, la de producción y la de reserva de blacklist a la que cambiar si caemos en alguna DNSBL. Cuando adquieres una IP no te la dicen de antemano para que la puedas verificar.
A día de hoy llevamos 11 meses sin estar en listas negras, pero hace poco nos comimos el 0-day de Joomla. Fue bestial el barrido que hicieron. Dejaron miles de agujeros durmientes.
A día de hoy hay miles de Joomlas "guardados" para ser explotados mas adelante
Fuimos rápidos y pudimos tapar el boquete y aun así nos cayeron tres dominios que estuvieron a un tris de ir a lista negra.
Desde ese momento decidimos ponernos bordes con el tema de las IPs.
No hay una solución ni buena ni de equilibrio.
Como se te cuelen date por jodido tu y tus clientes.
Son las reglas del juego en internet.
#27:
#24 Te respondo para aclarar algo más a todo el mundo.
Nosotros nos apoyamos, para bloquear una conexión, en listas de reputación IP que han demostrado ser una amenaza real.
Entre otras nos apoyamos en información de honeypots facilitados por, al menos, los siguientes:
http://cinsscore.com/
http://blocklist.de
http://rules.emergingthreats.net (https://www.proofpoint.com/us/threat-intelligence-overview)
https://www.spamhaus.org (estos además para DNSBL del SpamAssasin)
Las ip's de estas listas son dinámicas, hoy estas, mañana no. Hay al menos una actualización diaria en los servidores.
Si estás ahí es porque se ha detectado actividad maliciosa demostrada.
No hacemos bloqueos tipo "Todo lo que me venga de Orange" sino solo lo que me confirmen que hay actividad maliciosa. Si pasas ese primer filtro te aceptamos la conexión al MTA/Web.
La siguiente decisión, y hablo de SPAM, es si la IP está en listas de Spammers puros y duros (https://www.spamhaus.org , http://www.spamcop.net y http://www.barracuda.com fundamentalmente). Esta es en tiempo real.
Si pasas ese filtro, el siguiente paso de SpamAssasin analiza con sus reglas locales y análisis de contenido.
Aquí además se filtran las URLs que aparezcan en el correo (Pyzor y Razor). Cada detalle malicioso suma puntos. Unos más otros menos.
Si el correo alcanza una puntuación de 5 se marca como SPAM y se entrega.
Si pasas todo lo anterior, se entrega como limpio.
Y aún así llega basura.
Por cierto, Hotmail hace lo mismo que GoDaddy. Te acepta el correo pero lo borra silenciosamente sin avisar al usuario final.
Nosotros nos apoyamos, para bloquear una conexión, en listas de reputación IP que han demostrado ser una amenaza real.
Entre otras nos apoyamos en información de honeypots facilitados por, al menos, los siguientes:
http://cinsscore.com/
http://blocklist.de
http://rules.emergingthreats.net (https://www.proofpoint.com/us/threat-intelligence-overview)
https://www.spamhaus.org (estos además para DNSBL del SpamAssasin)
Las ip's de estas listas son dinámicas, hoy estas, mañana no. Hay al menos una actualización diaria en los servidores.
Si estás ahí es porque se ha detectado actividad maliciosa demostrada.
No hacemos bloqueos tipo "Todo lo que me venga de Orange" sino solo lo que me confirmen que hay actividad maliciosa. Si pasas ese primer filtro te aceptamos la conexión al MTA/Web.
La siguiente decisión, y hablo de SPAM, es si la IP está en listas de Spammers puros y duros (https://www.spamhaus.org , http://www.spamcop.net y http://www.barracuda.com fundamentalmente). Esta es en tiempo real.
Si pasas ese filtro, el siguiente paso de SpamAssasin analiza con sus reglas locales y análisis de contenido.
Aquí además se filtran las URLs que aparezcan en el correo (Pyzor y Razor). Cada detalle malicioso suma puntos. Unos más otros menos.
Si el correo alcanza una puntuación de 5 se marca como SPAM y se entrega.
Si pasas todo lo anterior, se entrega como limpio.
Y aún así llega basura.
Por cierto, Hotmail hace lo mismo que GoDaddy. Te acepta el correo pero lo borra silenciosamente sin avisar al usuario final.
#9:
#3 Te doy datos del servidor pequeño de hoy mismo.
Correos tratados como legítimos: 654
Correos identificados como SPAM por SpamAssasin: 27 (estos están incluidos en los anteriores)
Correos directamente rechazados por DNSBL: 489 (son independientes de los anteriores)
Conexiones bloquedas al SMTP: 91 (son independientes tambien de los anteriores)
Conexiones totales bloqueadas: 2445 (son independientes de los anteriores)
Haz números.
El ratio legítimo/spam es casi al 50% despues de quitarnos los de las listas de IP. Y aún así se cuela SPAM.
El servidor no sabe qué o quién hay detrás de cada conexión.
No está mal para ser unos mindundis....
Correos tratados como legítimos: 654
Correos identificados como SPAM por SpamAssasin: 27 (estos están incluidos en los anteriores)
Correos directamente rechazados por DNSBL: 489 (son independientes de los anteriores)
Conexiones bloquedas al SMTP: 91 (son independientes tambien de los anteriores)
Conexiones totales bloqueadas: 2445 (son independientes de los anteriores)
Haz números.
El ratio legítimo/spam es casi al 50% despues de quitarnos los de las listas de IP. Y aún así se cuela SPAM.
El servidor no sabe qué o quién hay detrás de cada conexión.
No está mal para ser unos mindundis....
#12:
#11 No compensa en mi experiencia y por el perfil de mis clientes.
No pretendo impresionarte, solo aportar cifras reales, datos, para los que no han tocado servidores y para refutar mi experiencia.
No se trata de valorar humano/máquina.
El problema es que la tecnología de filtrado está en bragas y va tres años por detrás de los delincuentes. No son todo lo eficientes que nos gustaría. No puedes ser pasivo si administras un MTA porque acaba lleno de basura y el servicio que acabas prestando a los humanos que te pagan es pésimo.
Y tienes que acabar tomando medidas que, en mi experiencia, está funcionando para bloquear la máquina y dejar pasar al humano.
No pretendo impresionarte, solo aportar cifras reales, datos, para los que no han tocado servidores y para refutar mi experiencia.
No se trata de valorar humano/máquina.
El problema es que la tecnología de filtrado está en bragas y va tres años por detrás de los delincuentes. No son todo lo eficientes que nos gustaría. No puedes ser pasivo si administras un MTA porque acaba lleno de basura y el servicio que acabas prestando a los humanos que te pagan es pésimo.
Y tienes que acabar tomando medidas que, en mi experiencia, está funcionando para bloquear la máquina y dejar pasar al humano.
#15:
#14 No se si es un tema de enfoque o quizás no te he entendido bien.
Los dueños de las webs no se van a preocupar de poner filtros.
No sabrían ni de qué les estas hablando. Son todo Pymes y microPymes que ni siquiera tienen departamento de IT propio. No esperamos que ellos lo hagan por que en muchos casos la informática la tienen externalizada con nosotros.
De hecho la gran mayoría no sabe qué es Tor.
Nosotros administramos los servidores donde se alojan sus dominios y creemos que es nuestra responsabilidad mantener los mínimos de seguridad de nuestros clientes.
Por su perfil no se espera que nadie venga por Tor, aunque el concepto de usuario legítimo de Tor es bastante amplio y difuso como para poder determinar con certeza que cliente debería esperar un usuario vía Tor y cual no...
Hasta hora no nos habíamos planteado opciones por el perfil tanto nuestro como de nuestros clientes. Somos todos muy pequeños. Pero lo vamos a valorar.
Los dueños de las webs no se van a preocupar de poner filtros.
No sabrían ni de qué les estas hablando. Son todo Pymes y microPymes que ni siquiera tienen departamento de IT propio. No esperamos que ellos lo hagan por que en muchos casos la informática la tienen externalizada con nosotros.
De hecho la gran mayoría no sabe qué es Tor.
Nosotros administramos los servidores donde se alojan sus dominios y creemos que es nuestra responsabilidad mantener los mínimos de seguridad de nuestros clientes.
Por su perfil no se espera que nadie venga por Tor, aunque el concepto de usuario legítimo de Tor es bastante amplio y difuso como para poder determinar con certeza que cliente debería esperar un usuario vía Tor y cual no...
Hasta hora no nos habíamos planteado opciones por el perfil tanto nuestro como de nuestros clientes. Somos todos muy pequeños. Pero lo vamos a valorar.
Comentarios
#6 Si no te lo discuto. Yo creo en el concepto de Tor pero solo recibimos spam, ataques, y nada más. Mierda, mierda y mucha mierda.
Y hemos sufrido varios exploits 0-day de servidor y un cliente con un cryptolocker.
En nuestra balanza acabó pesando más los riesgos que los beneficios.
Si te dedicas a la seguridad y tienes un server online lo ves muy claro.
Para una sola conexión que pueda ser legítima, tenemos cientos fraudulentas o directamente agresivas.
Hay momento en que el syslog empieza a tirar mensajes por que no da literalmente a basto.
A nosotros no nos merece la pena.
Es triste, pero es así.
Es como abrir un bar.
Si al final la gran mayoría de los clientes son broncas que no pagan y te roban, acabas cerrando el bar o poniendo un tipo en la puerta.
Y te insisto. Conceptualmente no me gusta. Pero no dejan otra opción si quieres dar un servicio medio decente. Y eso teniendo encuenta que somos unos don-nadie que no aportamos interés para un ataque dirigido. Si fueramos medio conocidos ni te cuento.
#7 Por curiosidad, ¿de VPNs habeis recibido algo?
#17 Si, tenemos informes que han ido a la BIT de Policia, de compras por importes de más de mil euros con tarjetas robadas en Canada/EEUU y Sudamerica.
Todas las compras que hemos detectado vienen a traves de salidas de VPN de HideMyAss fundamentalmente (y de Alicante para más señas).
Y los pedidos se entregan en un bar de Alcalá de Guadaira.
Estamos por ir a tomar un café allí.
Es un problemón si tu perfil de cliente es de nivel alto porque no puedes distinguir a primera vista si la tarjeta es robada porque hay clientes que compran aceite por valor de miles de euros.
Como el TPV virtual está en modo no seguro1 (ojo con esta definición, que no es lo que parece) el resultado es que procesas la compra porque la pasta la recibes, envias el pedido, te lo recogen y al cabo de varios meses recibes una notificación del banco, del departamento de fraude y quebrantos, que te retrotráen el importe de la compra porque se trata de una compra fraudulenta.
Y el cliente se queda sin producto, porque lo ha entregado, y sin dinero porque el banco carga la responsabilidad de la verificación de la tarjeta en el vendedor, cuando no te insinuan que estas conchabado con el delincuente.
¡Lo cojonudo es que el vendedor nunca ve nada de la tarjeta, ni la tarjeta física, ni los números!
A eso añadele que tu aceite de gran calidad, exclusivo, se acaba vendiendo en mercadillos como aceite barato.
1Modo no seguro: No te envía un código al móvil cuando haces la compra.
1Modo seguro: Te envía un código al móvil cuando haces la compra. El problema es que no todas las tarjetas lo soportan, cada vez menos, y pierdes ventas por no poder cobrar al cliente. Ya ocurre con menos frecuencia pero ocurre, sobre todo con perfiles de compradores poco tecnológicos, que los hay (personas mayores, por ejemplo)
#17 Addenda de #22
Cuando decimos "Todas las compras" nos referimos a los que nos han pedido informe para poner denuncia y por lo tanto hemos hecho análisis forense de toda la transacción.
Nos llegan de más sitios aparte de los de HideMyAss.
#22 Aquí basta con estudiar si la pérdida de los potenciales clientes que no podrían usar el modo seguro compensa las pérdidas de robos fraudulentos con el modo no seguro.
Debes poner ambos en una balanza y quedarte con el que más beneficio de. Aunque claro, aquí entran en juego otros factores como crear reputación y confianza en el cliente. A la larga creo que con el Modo seguro se sale ganando.
#61 Ese lleva también eones instalado. Fue de las primeras medidas. Antes de que incluso Plesk la implementara. Fui uno de los que propusieron a Plesk que lo montaran dentro del pack.
#22 Ahora ya está compensando pasar a modo seguro. En ese caso el perfil de cliente era personas mayores sin smartphones y con baja educación tecnológica. De hecho facilitaban la tarjeta de crédito por teléfono alegremente. Los estudios afirman que se pierde del orden de un 12% de ventas. Tambien hemos entrenado al personal para que aprenda a identificar patrones sospechosos de compra (cliente nuevo, pedido alto, algún error en el teléfono o teléfono inventado, etc.)
#63 Correcto. Solamente la carga de iptables con las 15.000 filas de IPs/rangos tarda casi quince minutos. Tenemos que optimizar mucho el script pero tenemos la ventaja de ser pequeños para clientes pequeños. Con poco nos apañamos y los servidores van suficientemente equipado de recursos con una configuración estándar.
#71 Hotmail es uno de los que se consideran forwarders y alteran la cabecera. Ta apoyo en lo de la asociación.
#76 Para meter muchas IPs a capón en el firewall es mejor usar ipset. En iptables sólo tendrías una regla por cada grupo de IPs, y luego con ipset vas metiendo cada IP en el saco que le corresponda.
#22 El entramado que hay montado con todo eso es bestial, venta de tarjetas y cuentas de medios de pago obtenidas fraudulentamente, para que luego, los compradores de esos números de tarjeta, monten su propia red de compra y posterior venta de esos productos, riesgo bajo, mínima inversión máxima rentabilidad. Un desastre.
#22 Pregunta: ¿y si en vez de bloquear Tor a pelo, solo aceptaseis pagos en modo seguro si la conexión viene desde Tor/VPN?
Dudo que haya muchas personas capaces de usar Tor o una VPN, y que sin embargo tengan problemas para pagar en modo seguro... o incluso por Bitcoin si se lo pides.
#85 El TPV virtual solo puede estar contratado con el banco en modo seguro (el banco asume la responsabilidad del fraude y para ello identifica al titular de la tarjeta por el SMS) o en modo no seguro (la asume la tienda que debería pedir el DNI en el momento de la compra).
No puedes elegir "para esta transacción seguro-para esta no seguro" e incluso alternar en función de la IP supondría tener que reprogramar tiendas online estandar (Prestashop, etc) y el cliente no va a pagar por ese cambio.
Por eso es una decisión compleja, porque si lo pones en modo seguro pierdes a bastantes de los abueletes.
Esta claro que ellos no van a usar Tor, ni una VPN. De hecho muchos ni siquiera usan la tienda online
Seguramente a corto plazo forcemos el cambio a modo seguro. Cada vez quedan menos abueletes.
Pero aún así, con eso te quitas el problema del fraude en tarjeta.
Los ataques a la web son otro frente importante que defender y esto es ajeno a la tienda y a sus clientes.
Administramos un par de servidores modestos.
Hace un mes decidimos subir el nivel de seguridad mediante bloqueos de IPs basados en listas de reputación.
Estábamos hartos, muy hartos de spam, escaneo, fuerza bruta e intentos de compras online con tarjetas robadas a todas horas.
En un mes hemos registrado 43.000 bloqueos maliciosos.
Nuestros clientes están encantados. Hemos reducido el Spam notablemente, el uso de tarjetas robadas ha cesado prácticamente y los carga de los servidores ha bajado.
Uno de los criterios a valorar fue incluir los listados de los de nodos Tor de salida.
De momento se queda.
#2 Es muy triste leer este tipo de comentarios, es una forma de abordar el problema erróneamente.
Este tipo de prácticas son las que dejaron bloqueados en su momento a todos los clientes de Telefónica, tuvieran servidor de correo propio o no.
Las técnicas antispam deben abordarse con criterios que apliquen a los correos electrónicos, no a operadores ni a tecnologías y mucho menos a rangos de ips.
#4 no dejan otra opción.
Dnsbl + Spamassasin + mod-security más mil cosas y te puedo pasar cientos de lineas de log que no se si dan más rabia que pena.
Usamos listas de reputación dinámicas, no bloqueos a pelo. Si una IP aparece marcada como spammer, o secuestrada (si, se secuestran rangosde ips completos de empresas que los tenian asignados y quebraron y no han expirado las concesiones) va a la lista de bloqueo.
Los bloqueos son revisados periódicamente y al menos una vez al día.
No bloqueados ni por países ni por operadores pero a veces te obligan. Si no puedes dejar una puerta abierta por que te roban todos los días acabas poniendo un cerrojo.
No somos los culpables de esta situación.
Somos las víctimas.
#5 Pero precisamente has citado un caso donde sabes que la IP no ha sido secuestrada y no es una IP maliciosa, es un nodo de salida de Tor. Es equiparable a decir que si te llega spam por el operador de Telefónica lo pones en una lista negra, aunque sepas que entre los clientes de Telefónica hay servidores de correo legítimos.
Estás obligando a todos los clientes de Telefónica a cambiar de operador para poder enviar correos electrónicos, o en tu caso estás limitando a todos los usuarios de Tor a renunciar al uso de esta tecnología para poder enviar correos electrónicos.
El enfoque es erróneo, las consecuencias son perjudiciales para todos, la solución no pasa por vetar tecnologías enteras.
Las víctimas de esos actos son todos los ciudadanos que necesitan o deseen usar la red Tor por los motivos que sean, que pueden ser muy legítimos.
#6 cuál es tu alternativa?
#19 En este mismo hilo se describen herramientas y técnicas que se basan en aplicar filtros a operadores enteros o a tecnologías enteras, se trata de abordar cada correo electrónico malicioso individualmente en vez de aplicar filtros genéricos a países enteros, operadores enteros, o tecnologías enteras.
#31 ya, pero cual es tu alternativa específica y viable?
#72 Sí, claro, mi propuesta específica y viable al bloqueo de redes enteras de operadores como Telefónica o tecnologías enteras como la red Tor es no aplicar bloqueos a redes enteras o tecnologías enteras.
En este mismo meneo podrás encontrar comentarios que describen los distintos enfoques que se aplican sin hacer uso de ese tipo de bloqueos indiscriminados a operadores y a tecnologías.
#6 Hombre, por supuesto que bloquear las IPs de telefónica supone que me ahorro 500 mails de spam al día lo voy a hacer aunque eso suponga que el despistadillo que quiere mandar emails desde el pool genérico IPs ya no pueda hacerlo...que proteste él a telefónica de que no hagan algo para evitar que se mande mierda desde su red.
#20 ¿Despistadillo?
Lo que estás defendiendo son los servicios VIP, que el usuario deba pagar extra para usar un servicio que hasta entonces había estado al alcance de todos, de limitar el acceso a Internet entre los usuarios receptores y los usuarios emisores, haciendo pagar más a éstos últimos por ello (no solo económicamente).
#30 Sí, despistadillo, porque no sabe como está el mundo.
Y por cierto, no hay por qué pagar más. Si es su propio correo puede mandarlo usarlo el SMTP gratuito de por ejemplo Google. Nadie va a rechazar a lo bestia un email que llega de una IP de google, aunque sí se clasificará como spam si corresponde.
Ahora, pretender conectar vía SMTP a pelo desde una IP dinámica de casa para mandar correo desde un dominio que no tiene vinculación técnica alguna con esa IP... pues sí, eso se ha terminado.
#33 Como te indicaba, estás obligando al usuario a pagar por usar un servicio que debería estar accesible a todos, a pagar no necesariamente económicamente. Por ejemplo regalando sus datos privados a una empresa privada cuyo negocio es operar con ellos, tal como nos propones.
#35 La alternativa es que en lugar de que ese usuario haga algo es que todos los demás hagamos mucho. Allá el usuario que quiere seguir mandando emails desde pepito@random.com provinientes de la IP 172-3-45-12-pool.telefonica.net.
Si random.com es su dominio que lo configure bien. Si es una cuenta de su ISP que use el SMTP de su ISP que estará bien configurado.
Si no quiere hacer ninguna de las dos cosas pues allá él si sus correos no llegan nunca.
Y si tiene que pagar algo pues que lo pague, igual que paga la conexión a internet.
#36 Si son correos valídos, en algunos sistemas te dejan filtrar hasta por cuenta, por lo que puedes filtrar la ip y permitir esa cuenta sin que el usuario pague por nada más, aunque al final eso se acaba convirtiendo en un coladero(experiencia propia de recibir llamada de cliente cabreado de que no llegaban ciertos correos y al día siguiente misma llamada cabreada de que se había despertado con el correo inundadito de spam).
#33 ¿smtp gratuito?, permíteme reirme. No hay opción gratuita decente (sin que te meta cabeceras "reply-to", que no son válidas si tienes más de un usuario) para envío smtp, por lo que tienes razón, mandar correo sin una conexión empresarial, de esas que dejan meter la resolución inversa de dns de la ip fija que pagas a precio de oro, ya no es posible, por lo que la "neutralidad de la red" poco a poco se diluye, no se si por culpa del spam, o por las medidas que se aplican para combatirlo.
#66 "ip fija que pagas a precio de oro"
...también llamado 2.99€/mes, servidor dedicado incluido: https://www.scaleway.com/pricing/
#6 Si hablamos de correo electrónico, nadie minimamente serio corre un servidor de correo en una IP dinámica. Si lo haces, es muy probable que vaya todo a spam en muchos otros servidores (Hotmail/Outlook para empezar).
Ojo. Que esto no es algo que haga un cliente de a pie. Proveer servicios en Internet requiere algo de competencia y recursos técnicos. Eso normalmente incluye tener servidores en un centro de datos con IP fija y no una Raspberry Pi debajo de la cama.
#70 Yo soy de los de la "rasberry pi" debajo de la cama, más bien es una placa mini-atx sin ventiladores y un mini SAI en el salón, y no hay manera de conseguir una IP fija, con resolución DNS inversa en una línea doméstica, tienes que ir al mercado y precios del mundo empresarial. Todo esto me obliga a contratar un servicio "smtp" de terceros, a precio de oro, y limitaciones absurdas en el número de correos diarios, por lo que no puedo tener una mísera lista de correo en el mismo.
La neutralidad de la red en el mundo del correo, no sé si con la ayuda o la excusa del spam, no existe.
#73 Hombre, un servidor con IP fija y tráfico ilimitado lo tienes por 5 € al mes, tampoco es precio de oro...
#75 Lo de los servidores por con tráfico ilimitado e ip fija por 5€, ..., lo voy a tener que mirar (¿alguna sugerencia?), para ver si es cierto lo que ofrecen, pero me gustaría tener el control de los servidores que toco, y por 5€, ...
#83 http://www.kimsufi.com/es/servidores.xml
#73 ¿Precio de oro? Servidor dedicado con IP fija y línea de 100Mbps simétrica = 10€ al mes.
La neutralidad en la Red no tiene nada que ver con esto.
El problema de las IP dinámicas viene por la escasez de direcciones IP en IPv4. Es un recurso escaso, no hay para todos y por eso es caro en las líneas para consumidor final.
#6 Los dos teneis razón, pero cuando estas administrando una plataforma hay que sopesar pros y contras, y lo que dice Stash es cierto.
El riesgo de perder 4 correos lícitos compensa ante todos los contras que son muchos, de soportar una carga bestial de tráfico ílicito, que tienes que tratar y procesar, y encima no vas a poder eliminarlo, dando como consecuencia que para no perder esos 4 lícitos, vas a tener que tragar con 8 malos, soportando las quejas de muchos otros clientes, sumadas al de la gran carga que supone ese tratamiento de filtrado.
Al final, no compensa.
Es cierto, injusto, pero cierto.
#5 Yo también opte por bloqueo IP una temporada(ahora del filtro no nos ocupamos nosotros), claro que se pueden implementar mil y una cosas, pero cada modulo, cada servicio extra para filtrar de forma dinámica, etc, etc.. consumen recursos y si los servidores no van "sobrados" no puedes optar por demasiadas cosas por que estos mismos sistemas te lo pueden echar abajo.
Con respecto a los bloqueos son una putada pero a veces no queda mas remedio, nosotros tuvimos en alojamiento un server con administración externa que al final tuvimos que "meterle mano" por que lo habían convertido en un sistema zombie, todo y cada uno de los servicios que ofrecía estaba con algo malicioso, el servidor web concientos de enlace phishing, el correo con todas las cuentas "pirateadas" incluso se habían creado propias para enviar spam y al tenerlo incluido dentro de nuestro rango de IP, estuvimos casi una semana con todos lo servicios bloqueados.
Con el correo hace años que filtramos por IP e incluso con servicios intermedios, si en un día se pierden 2 correos "validos" es por que al menos se han filtrado 2000 de spam.
#15 Mi respuesta era para #4, perdón.
#16 Nada que perdonar. Seguramente a alguno le habremos aclarado como está el patio ahí fuera.
#4 Es de sentido común.
Cualquier negocio aplica las medidas de seguridad en base al entorno y la coyuntura de su entorno.
Si pongo una pastelería en un centro comercial, necesito menos seguridad que si la pongo en medio de Lavapiés.
No se puede culpar a un administrador de implementar medidas que benefician a los que trabajan en su red. Ser un sysadmin es ser un eterno incomprendido.
#21 Si pongo una pastelería en un centro comercial, necesito menos seguridad que si la pongo en medio de Lavapiés.
No voy a entrar en símiles ya que se desmontan muy fácilmente, por ejemplo en este caso podríamos hablar de Derechos Humanos.
Nadie está discutiendo que se pongan medidas de seguridad, si no el hecho que esas "medidas de seguridad" se basen en bloquear el acceso a tecnologías enteras.
#34 Obvio, Los terminales de mi curro solo tienen acceso a la intranet de mi empresa, y tienen el 99,99999% del trafico de internet restringido, hacienda, el banco y poco más. Cuanta más seguridad, menos usabilidad, desde el principio de los tiempos de la seguridad informática.
Pero si lo importante es la seguridad, hay que joderse y poner el cepo.
#4 Creo que usas adblock, ¿no? https://www.meneame.net/search?q=adblock&w=comments&h=&o=&u=sorrillo
Es injusto que por culpa de las páginas que abusan de la publicidad poniendo anuncios molestos e intrusivos tengas que bloquear a webs que ponen un banner en un lateral, sin tapar el contenido ni apenas molestar. Pero la mayoría de la gente hace uso abusivo de la publicidad, así que la bloqueas toda y que paguen justos por pecadores.
Pues lo que #2 con las conexiones TOR es lo mismo. ¿Qué hay usos legítimos? Pues si, pero si la mayoría provoca molestia, pues les bloqueas a todos.
#38 Hay una diferencia abismal entre lo que haga el usuario final de un producto o servicio y lo que haga un proveedor de servicios. Si Jazztel o Movistar pusieran un AdBlock obligatorio para todos sus clientes estarían limitando el servicio de forma indiscriminada a todos los anunciantes, creadores de sitios webs y usuarios finales.
Si yo en mi cuenta de correo pongo un filtro de usuario que indique que solo acepto correos de mis familiares directos y el resto se van directos a la basura eso es cosa mía, estoy en mi derecho de tomar esa decisión, si esa decisión la toma el administrador del servidor de correo está haciendo una barbaridad inaceptable.
No, no es lo mismo lo que haga un usuario final que lo que haga un proveedor de servicios. Y bloquear a todo el operador de Telefónica o bloquear a toda la red Tor es una injerencia injustificable.
#40 Estoy bastante de acuerdo, aunque creo que hay una gran diferencia entre borrar silenciosamente los mensajes como hace Hotmail y bloquear un rango de direcciones y que el mensaje sea devuelto al remitente. Lo primero sería como si el cartero decide de forma indiscriminada tirar a la basura todas las cartas de un remitente. Lo segundo pues puede haber razones técnicas justificables o no, pero estarías de alguna manera informado y en algunos casos tendrías opción a no usar el servicio y hacer llegar el mensaje de otra manera.
#41 Lo de informar o no informar son debates paralelos y con cierto trasfondo técnico que es necesario para analizar caso por caso.
Si bloqueas a todo el operador Telefónica, bloqueas a toda Somalia o a toda la red Tor claro que está bien que el remitente reciba un error indicando que ese rango de ips ha sido bloqueado e incluso el motivo, pero el bloqueo sigue siendo un enfoque erróneo al problema.
Para ciertos filtros de correo no es viable técnicamente avisar al remitente del bloqueo, por ejemplo si necesitas aplicar un análisis heurístico del contenido o descomprimir un zip que lleve el correo para analizar su contenido, en ese supuesto tiene poco sentido mantener la conexión abierta con el servidor que ha enviado el correo e informarle del problema en la misma conexión. Y si la conexión ya está cerrada la única forma para comunicarse con el remitente es enviarle un nuevo correo a ese remitente informándole del error, por desgracia el remitente puede ser falso, y es habitual que lo sea en correos maliciosos, por lo que la respuesta le llegaría a una víctima que nada sabe de ese correo original y nuestro servidor de correo estaría siendo entonces el que estaría llevando a cabo el ataque y podría ser incluído en listas negras.
Otro escenario que puede darse donde avisar del error de recepción puede ser problemático es cuando existe una separación entre el servidor de correo entrante y el servidor de antispam, en cuyo caso cuando éste recibe el correo ya sería tarde para hablar con el servidor que lo ha enviado.
De nuevo, el debate sobre los criterios de exclusión (extensiones en adjuntos, bloqueo de ips, etc.) es paralelo al debate sobre cuándo y cómo informar al emisor del correo.
#42 Lo decía porque Hotmail y alguno más me parece que borran los mensajes simplemente por la IP de origen y para borrarlo de esa manera no falta que pase por análisis heurísticos, se rechaza sin recibirlo y ya está (y de esta manera el mensaje se le devuelve al spamer, en ningún caso al dueño real de la dirección).
on
/mode
Aunque quizá Hotmail quiere recibirlo sí o sí para ver el contenido.
#40 A estas alturas pretender que sea el usuario final el que tome todas las decisiones sobre el filtrado del correo no se ajusta a la realidad. Ahora mismo tengo en mi gmail más de 4.000 mails clasificados como spam (mi cuenta original de correo que tiene literalmente más de 20 años está redirigida a gmail y llega una cantidad de mierda salvaje).
Para mí es imposible mirar ese correo uno a uno. gmail lo hace por mí, y por supuesto uno de los criterios es de donde viene el correo. Los "falsos positivos" discutibles se clasifican en estos grupos:
- Correo que es spam *para mí*, por ejemplo los de la fnac. ¿por qué son spam? Porque no me puedo dar de baja sin entrar en su puta web, de la que no recuerdo la contraseña. En lugar de un link de unsubscribe pretenden que busque como darme de baja en su web. Pues bueno, me parece fantástico que haya gente que esté deseosa de recibir las ofertas de la semana de la fnac, yo no, y para mí es spam. Esto gmail lo entiende muy bien y va directo a spam.
- Correo que no es spam pero que no cumple los requisitos técnicos de envío y no es culpa del remitente. Esto me pasa sobre todo con correo redirigido de mi primera cuenta a gmail, que deja de cumplir DKIM u otros por la redirección. Ejemplo kickstarter.
- Correo que no es spam pero que está mal configurado en origen. Como gmail me dice por qué está en la bandeja de spam, si me interesa aviso al remitente y si no que le den por saco.
En fin, para mí este trabajo de clasificación es necesario que lo haga alguien que no sea yo, y a la vez que yo pueda revisar ese trabajo y corregir o tunear.
Lo que hacen algunos proveedores de email de rechazar el correo directamente me parece inaceptable. Es más, te diría que incluso rebotar el correo a estas alturas no es una solución válida, porque muchos correos importantes no vienen de personas que vayan a revisar el rechazo.
En cambio, clasificar como spam utilizando todos los criterios disponibles, incluyendo por supuesto si viene de TOR o de una IP dinámica (lo que significa en el 99.99% de los casos un windows infectado y no un usuario avanzado).
#45 Tus propuestas me parecen correctas, que el origen del correo sea un factor para que termine en la carpeta de Spam es un enfoque adecuado. Dando al usuario final la posibilidad de indicar al sistema que por ejemplo los correos de un remitente no son Spam, hayan entrado éstos por Gmail o vengan de la red Tor.
Mi crítica ha sido en todo momento al bloqueo a rangos de direcciones Ip o a tecnologías enteras, no he criticado en ningún momento que esa información no se use para ayudar a catalogar un correo como legítimo o spam, dando la última palabra al usuario final.
#46 Ya, pero una cosa es lo que puede hacer Google y otra lo que puede hacer el administrador de un pequeño servidor.
Google no tiene ningún problema en recibir miles de millones de emails al día y analizar todos uno a uno.
En cambio si tienes un servidor pequeño que gestiona unas pocas cuentas es imposible hacer el trabajo de administración, y directamente puede que el propio servidor no tenga capacidad para hacer el filtrado por mucha voluntad que el administrador tenga.
¿qué haces en este caso? Pues filtras toda el bloque y listo. A fin de cuentas no te pierdes nada...
Vamos, que todo depende del punto de vista. Yo en mis servidores "caseros" donde tengo las webs de mis amigos filtro a saco. Para cosas serias, utilizo servicios serios
Ah, y uso CloudFlare en las webs que no pueden tener downtime. Ya sé lo que es ser víctima de un DDoS y aunque si tienes tu servidor decentemente bien configurado no van a hackeartelo (salvo que vayan a específicamente a por él y sean buenos, entonces date por follado) desde luego sí te pueden dejar sin servicio todo el tiempo que quieran... y eso en el caso mejor, que lo mismo el data center te da una patada por ser problemático.
#47 La capacidad de cálculo necesaria para aplicar filtros sin ser despreciable no está tampoco fuera del alcance de cualquier empresa que decida tener un servidor de correo propio.
Un equipo de hace 10 años puede hacer esa tarea sin despeinarse apenas.
#48 No si estás recibiendo varios miles de emails o de peticiones web por segundo como pasa durante un DDoS.
#49 Los ataques DDoS son otro frente distinto al que estábamos comentando.
#50 Son parte del problema. La razón por la que muchos clientes de CloudFlare contratan su servicio.
También la razón por la que muchísimos usuarios de Google Apps prefieren delegar en google la gestión de su correo a pesar de tener material y personal para hacerlo ellos mismos.
#51 Precisamente una de las características mejorables de la red Tor es su lentitud, dudo mucho que se pueda llevar a cabo un ataque DDoS exitoso mediante nodos de salida de la red Tor.
#52 Claro que se puede, sólo necesitas miles de ordenadores secuestrados. La conexión es lenta para cada uno, pero entre todos saturan cualquier servidor normalito.
Lo sé porque lo he vivido.
Mira, todavía guardo este email que recibí durante un DDoS:
***********
Hi,
I am the individual ddosing your website, if you wish for this to stop and not get worse or become a regular thing, please send $250 in Bitcoin to the following address [dirección de bitcoin]
once i have confirmed the requested amount has been delivered, i will permanently stop the ddos. You have my word on this [...]
***********
Los logs echaban chispas con conexiones de Tor.
#53 Sus razones tendrían pero me parece una forma muy ineficiente de llevar a cabo un ataque DDoS. Puedo entender que el atacante se conecte a la red Tor para dar instrucciones de ataque a la red de equipos secuestrados, de forma que dificulte o impida el rastreo, pero no veo ningún motivo para reducir la capacidad de ataque de los equipos secuestrados haciéndolos pasar por la red Tor para ejecutar el ataque, pudiéndolo hacer directamente y con mayor efectividad y sin riesgo para el atacante.
Sería interesante conocer estadísticas que permitan avalar que realmente se esté utilizando la red Tor para hacer ataques DDoS de forma significativa. Sea como fuere las técnicas a aplicar, de nuevo, deben tener como objetivo evitar el ataque pero permitiendo los accesos legítimos. Siguiendo el ejemplo de Telefónica el hecho que vieras en tus logs muchas IPs del operador de Telefónica en el ataque DDoS seguiría siendo inaceptable poner un bloqueo completo a ese operador de forma permanente, ya que impedirías a sus usuarios legítimos acceder a tu sitio y servicios. Lo mismo con la red Tor.
#53 ¿No hay balanceos de carga delante de los servidores? Y para eso están los cortafuegos bloqueando conexiones excesivas, creo que PF en los BSD tenía un ajuste por rangos de trama/s.
Si pasaba de X injustificadamente en un tiempo discreto, adiós o capada bestial.
#56 Tú con eso haces que el tráfico no llegue al servidor, pero a algún sitio llega... si se satura el canuto "general" aunque el servidor en sí esté tocándose los huevos porque el tráfico se filtra antes sigues con el mismo problema.
#58 Cierto, no pensé en la saturación de la línea
#38 Eso es por que los servicios adblock están en pañales, ya se que llevan bastante tiempo pero es en el funcionamiento al que me refiero, la gente ha cargado las webs de publicidad por que internet es el salvaje oeste hasta que no se empieza a regular, y los primeros intentos suelen ser tan radicales como adblock.
Lo que hay que hacer es un estándar publicitario que no sea invasivo, respetar las reglas, que google,bing y demás buscadores puntúen de forma mas negativa este tipo de publicidad(no se admita ni en SEM). Y que al contrarío incentive la publicidad "correcta" y adblock(u otros sistemas) antes de bloquear dicha publicidad lo indique.
Estamos como al principio del posicionamiento cuando la gente metía en noscript o en enlaces del mismos color criterios de búsqueda a casco porro y los buscadores se lo tragaban, lo que hay que regular es la publicidad y establecer un mecanismo de buenas formas a nivel internacional.
#4 No es tan fácil. El email se queda corto para evitar fraude de tarjetas de crédito. Si te basas sólo en el email, es muy difícil filtrar estos ataques sin muchísimos falsos positivos.
Un balance adecuado son los sistemas de reputación que dan un scoring automático del cliente basado en email, IP, dirección de entrega, etc, y retiene las compras antes de servirlas para puntuaciones muy bajas. Ahí el vendedor puede decidir si pedir alguna verificación adicional o arriesgarse y servir el pedido.
Puedes tener a un 1% de los clientes algo molestos, pero te quitas el grueso de fraude y no bloqueas a nadie.
El problema es que un sistema así requiere pagar un servicio adicional por parte del comerciante o un desarrollo que normalmente no se puede permitir.
#2 Hombre, lo que no puedes esperar es que el dueño de una web se moleste en poner miles de filtros individuales para impedir el acceso a los pocos usuarios de Tor que van a querer visitarle para algo legítimo.
Más bien es un problema que tendrá que resolver Tor.
Por cierto #1 yo uso cloudflare. Por $20 me puedo centrar en el contenido y el servicio que ofrece mi web y no pensar mucho en DDoS y otros ataques.
#14 No se si es un tema de enfoque o quizás no te he entendido bien.
Los dueños de las webs no se van a preocupar de poner filtros.
No sabrían ni de qué les estas hablando. Son todo Pymes y microPymes que ni siquiera tienen departamento de IT propio. No esperamos que ellos lo hagan por que en muchos casos la informática la tienen externalizada con nosotros.
De hecho la gran mayoría no sabe qué es Tor.
Nosotros administramos los servidores donde se alojan sus dominios y creemos que es nuestra responsabilidad mantener los mínimos de seguridad de nuestros clientes.
Por su perfil no se espera que nadie venga por Tor, aunque el concepto de usuario legítimo de Tor es bastante amplio y difuso como para poder determinar con certeza que cliente debería esperar un usuario vía Tor y cual no...
Hasta hora no nos habíamos planteado opciones por el perfil tanto nuestro como de nuestros clientes. Somos todos muy pequeños. Pero lo vamos a valorar.
#14 Servicios como clouddlare deben trabajar para filtrar los accesos maliciosos de los legítimos, sea cual sea el origen de esa conexión. Mi comentario no iba dirigido a cloudflare ni al meneo si no que contestaba a otro comentarista que se refería a bloquear tecnologías enteras.
#14 pues la respuesta de tor es bastabte contundente https://blog.torproject.org/blog/trouble-cloudflare
#94 ¿y qué haces que no la mandas como noticia? Seguramente sea portada... ponte las pilas
#95 DONE TorProject contesta a CloudFlare [ENG]
TorProject contesta a CloudFlare [ENG]
blog.torproject.org#96 Meneado, ¡a por ello!
#2 Es lo que está sucediendo con las VPN.
La privacidad no la matará la NSA ni pollas, la matarán los putos spamers y demáses "obligando" a los sitios a bloquear VPNs, Tor, etc...
#2 Habeis probado con fail2ban?
#24 Te respondo para aclarar algo más a todo el mundo.
Nosotros nos apoyamos, para bloquear una conexión, en listas de reputación IP que han demostrado ser una amenaza real.
Entre otras nos apoyamos en información de honeypots facilitados por, al menos, los siguientes:
http://cinsscore.com/
http://blocklist.de
http://rules.emergingthreats.net (https://www.proofpoint.com/us/threat-intelligence-overview)
https://www.spamhaus.org (estos además para DNSBL del SpamAssasin)
Las ip's de estas listas son dinámicas, hoy estas, mañana no. Hay al menos una actualización diaria en los servidores.
Si estás ahí es porque se ha detectado actividad maliciosa demostrada.
No hacemos bloqueos tipo "Todo lo que me venga de Orange" sino solo lo que me confirmen que hay actividad maliciosa. Si pasas ese primer filtro te aceptamos la conexión al MTA/Web.
La siguiente decisión, y hablo de SPAM, es si la IP está en listas de Spammers puros y duros (https://www.spamhaus.org , http://www.spamcop.net y http://www.barracuda.com fundamentalmente). Esta es en tiempo real.
Si pasas ese filtro, el siguiente paso de SpamAssasin analiza con sus reglas locales y análisis de contenido.
Aquí además se filtran las URLs que aparezcan en el correo (Pyzor y Razor). Cada detalle malicioso suma puntos. Unos más otros menos.
Si el correo alcanza una puntuación de 5 se marca como SPAM y se entrega.
Si pasas todo lo anterior, se entrega como limpio.
Y aún así llega basura.
Por cierto, Hotmail hace lo mismo que GoDaddy. Te acepta el correo pero lo borra silenciosamente sin avisar al usuario final.
#27 El problema es que esas IPs, sobre todo las que pertenecen a centros de datos como OVH o leaseweb hoy son de un cliente y mañana son de otro.
A mí me ha pasado alquilar un servidor y que me den una IP que está en 15 listas negras porque el anterior usuario ha abusado de ella todo lo que ha querido y luego la ha abandonado.
Y sí, puedo pedir que borren la IP de la lista, y lo hacen, el problema es que son montones de listas, de alguna puede que no lo hagan rápido, y mientras tanto algunos correos no se pueden mandar. No es que lleguen al spam del usuario final, es que no se pueden entregar en absoluto.
A mí ese corte de comunicación me parece absolutamente excesivo, y si fuera el destinario final y me dijesen que es imposible que tal o cual dominio me manda un correo a pesar de que yo estoy diciendo que lo quiero, mandaría a tomar por culo esa cuenta sin contemplaciones.
#28 Nosotros hemos sufrido varios blacklisting y es una putada.
) en un CMS.
Pero gorda.
Pero en todos ellos el motivo ha sido siempre el mismo. Una cuenta de correo con una contraseña debil, un usuario que pilla un troyano que accede a la configuración de correo, o un exploit 0-day (y alguno 180-day
Siempre que lo hemos sufrido ha tenido una justificación.
Y dices bien.
Cada server tiene dos IPs, la de producción y la de reserva de blacklist a la que cambiar si caemos en alguna DNSBL. Cuando adquieres una IP no te la dicen de antemano para que la puedas verificar.
A día de hoy llevamos 11 meses sin estar en listas negras, pero hace poco nos comimos el 0-day de Joomla. Fue bestial el barrido que hicieron. Dejaron miles de agujeros durmientes.
A día de hoy hay miles de Joomlas "guardados" para ser explotados mas adelante
Fuimos rápidos y pudimos tapar el boquete y aun así nos cayeron tres dominios que estuvieron a un tris de ir a lista negra.
Desde ese momento decidimos ponernos bordes con el tema de las IPs.
No hay una solución ni buena ni de equilibrio.
Como se te cuelen date por jodido tu y tus clientes.
Son las reglas del juego en internet.
#29 ¿Para el correo no había una especie de certificado+protocolo para no caer en listas de bloqueo?
#55 No.
Lo más "rígido" actualmente es DMARC o lo que es lo mismo SPF + DKIM + "Que deben hacer los demas"
SPF: En tu DNS estableces qué servidores y/o IPs están autorizados a enviar correo del dominio fulano. Cualquier otro servidor que intente enviar correo en nombre de ese dominio debe considerarse fraudulento.
El de Meneame es v=spf1 ip4:79.125.22.108 include:amazonses.com include:_spf.google.com ~all
Personalmente preferimos terminar con -all (~ indica que es posible que envies con otro servidor que no esta en la lista; - indica que o es desde estos o el correo no es mio)
DKIM: Es firma PKI (clave privada en el server y pública en DNS).El servidor firma con la clave privada todos los correos salientes. Cualquier destinatario puede comprobar si el mensaje viene firmado por el servidor mediante la clave pública que se da a conocer mediante un puntero DNS también
Es algo como esto: v=DKIM1; k=rsa; p=MIGfMA0GC[resto del chiorizo]/wIDAQAB
DMARC: A los destinatarios les dices que tienen que hacer con el correo que no cumpla alguno de los dos requisitos anteriores y a que cuenta deben informarte de lo que hacen.
Eso autentifica tu correo frente a terceros y evita que nadie envia nada en tu nombre.
Ahora bien.
Te revientan un CMS con un 0-day y mediante PHPMail empiezan a enviar correo con un remitente de tu dominio. El servidor va a firmar todo, no distingue si es legítimo o no, y salvo que el SpamAssasin vea algo raro, vas a empezar a enviar mierda firmada desde tu dominio. En el momento que toques tres honeypots vas a la lista.
Por eso otra medida es limitar el número de correos por usuario/hora y dominio/hora.
En el momento que te revientan van a rebasar el límite y te das cuenta en seguida.
#57 DKIM + DMARC
Eeeeso, que no recordaba bien :).
Gracias.
#57 con dkim además he visto correos legítimos mal firmados por exceder de 72 caracteres una cabecera que se partía y otros con juegos de caracteres mal especificados que al pasar por un tercer servidor cambiaba el juego de caracteres del mensaje.
Con líneas de mas de 900 caracteres también puede haber problemas de líneas partidas, y el Prestahop, por ejemplo, puede generar emails con todo el mensaje en una línea.
Poner con DMARC que cualquier correo mal firmado sea rechazado puede hacer que pierdas correos legítimos por algún caso extremo o bug en los sistemas de correo.
Al final, cada cliente tiene unas necesidades diferentes y estando en medio no puedes poner sistemas ultra estrictos ni demasiado laxos y estás todo el dia bailando en la cuerda floja.
Incluso en su dia tuve que quitar la reescritura SRS de cabeceras, que permiten el reenvío de correos aun usando SPF, porque habia servidores que tachaban de spam simplemente porque el "envelope" no correspondía con el from.
Ser administrador de correo es un puto infierno. Habría web montar una asociación en plan A.A.
#71 DKIM es una patraña
una considerable y mayoritaria cantidad de SPAM que recibo, viene de proveedores con su DKIM puesto pulcramente, pero son basura, pura y dura, que solo demuestra que su basura ha salido de sus servidores.
#57 Todos estos intentos se traducen en nada, porque mientras no se utilice masivamente, habrá un montón de correo lícito que no se aceptará porque el servidor destino no ha hecho sus deberes.
conclusión: El cliente se queja de que no llegan los correos, y tienes que abrir y permitirlo todo.
#100 Yo creo que si se traducen en algo, y llevas razón en parte.
A ver.
Yo garantizo que mis usuarios y sus dominios tiene el correo autentificado y nadie puede suplantarles e incluso un análisis forense de un email puede acreditar la veracidad e integridad del mismo.
Si alguien intenta enviar un correo diciendo que es fulano@stash.com muchos servidores ( y sobre todo los grandes y los honeypots) rechazarán el correo.
El problema es a la inversa.
Te das cuenta, y es donde te doy toda la razón, que grandes empresas ni si quiera publican punteros SPF por lo que no puedes aplicar una política estricta para SPF y/o DKIM.
En nuestro caso los servidores solo rechazan un correo en caso de que el analisis de SPF resuelva a FAIL, pero como muchos ni siquiera tienen SPF en orden no te queda más que aceptar el correo.
Resultado: No bloqueas todo pero si bloqueas una parte del SPAM, lo que junto con todo lo anterior hace que se reduzca el SPAM que entregas a tus usuarios y no suelen bloquearte. Es una ayuda más que tambien cuenta.
Pero si, ya he tenido algun encontronazo con algun directivo que cuando rechazas un correo de un tercero te exige que aceptes todo.
Y lo hacemos.
Al tercer día de tener el buzón hasta arriba de mierda te vuelven a llamar para que eches el cerrojo.
#29 ¿Cómo se saca un dominio de la lista negra? ¿Donde está la lista negra?
#89 Te respondo al reves.
¿Donde está la lista negra?
Hay muchas.
Generalmente son empresas dedicadas a la seguridad que disponen de equipos en internet simulando ser servidores normales y dejando que se les ataque. Con esto se aprende que estrategias de ataque hay, de donde vienen, etc.
Las fundamentales son
Spamhaus https://www.spamhaus.org/sbl/
Spamcop https://www.spamcop.net/
Barracuda http://www.barracudacentral.org/rbl
pero hay cientos.
El tema es que si apareces en alguno de estos tres acabas no pudiendo enviar correo a nadie que use estas listas para comprobar si eres un spammer o no.
Sin embargo lo que se bloquea habitualmente no es el dominio (google.com, meneame.net) sino las IP desde la que te llega la conexión (8.8.8.8 etc)
Hay herramientas muy útiles para verificar si una IP está en una lista negra.
La que usamos a veces es esta http://mxtoolbox.com/blacklists.aspx
Metes la IP y te dice quien le tiene bloqueado y por qué.
Por ejemplo, una de las listadas: http://mxtoolbox.com/SuperTool.aspx?action=blacklist%3a98.218.179.67&run=toolpage
En la configuración del servidor de correo le dices que, antes de aceptar un correo, mire en estas listas si la IP del servidor remitente esta en esas listas. Si lo esta chapas la conexión si más miramientos. Si no lo está lo pasas al analizador de SPAM.
¿Como se saca un dominio?
Habitualmente no puedes o no es fácil.
Si estas en la lista es porque envias spam o ataques. Eso es muy indicativo de que el servidor ha sido reventado y lo tienes lleno de spamers que se han colado y lo están usando. Lo primero es detectar la intrusión, ver que han hecho, corregirlo y despues ponerte en contacto con quien te haya listado para informarle.
No esperes que lo hagan. Muchas veces es esperar a que expire el plazo de bloqueo (a veces horas, otras días). Mientras tanto esa IP está condenada.
Hay algunos como HOTMAIL que nos han tenido bloqueada una IP meses. Sonmuy intransigentes con sus bloqueos.
Tambien hay servicios que te ayudan mucho. Teníamos un servicio mal configurado que generaba un falso positivo. Nos pusimos en contacto con Spamhaus y nos indicaron, tras acreditarnos adecuadamente, donde estaba el problema que hacía que saltara el bloqueo.
Por eso siempre tenemos dos IP por cada server, la sucia y la limpia. La sucia es la que usa el server y la limpia no se usa para nada. Si la sucia cae en una lista, corregimos la intrusión o el problema y cambiamos a la IP limpia.
#90 Muchísimas gracias. Muy interesante.
#104 Exacto.
Yo he sufrido un server "explotado" (#29)Y firmas todos y cada uno de los correos que evías, con sus virus, sus viagras, etc. Y desde tus direcciones.
#105 Los se perfectamente (ver #99) pero al ser un VPS con OpenVZ/Paralles no te deja usarla por temas de kernel del host y del contenedor. Tampoco podemos sincronizar por NTP, tenemos que fiarnos de la hora del host.
#27 Hola. Stash. Tus aportaciones me parecen muy interesantes. Has detallado mucho el filtrado de SPAM, pero poco el de WEB ¿Respecto a filtrado de conexiones WEB. ¿Que sistemas y que listas utilizáis?
#98 La primera barrera es común a todos los servicios del servidor. Nos apoyamos en en lo dicho ya en #27.
Esas listas alimentan IPTables con lo que si una IP está en cualquiera de esas listas, la cargamos en IPTables. Cualquier conexión desde esas IPs las rechazamos, sean del tipo que sean, Web, SMTP, POP, etc. No hacemos prisioneros. Esto lo implementamos mediante scripts personalizados y Crontab.
A IPTables, en otras cadenas, también van aquellas IPs que cometen más de cinco intentos fallidos de login gracias a Fail2Ban. Aquí leemos los logs de diversos servicios y entre ellos los de los CMS que dejen logs y los de Apache/NGInx.
Eso suele detener decentemente los ataques por fuerza bruta.
En Apache tenemos habilitado MOD_Security (https://www.modsecurity.org/) y usamos unas reglas básicas que detectan, a partir de la petición, si se está intentando una inyección SQL, un XSS, etc. En la configuración puedes indicar que reglas de control quieres cargar. Las hay gratuitas y de pago (https://www.modsecurity.org/rules.html)
Esta parte se puede hacer de forma sencilla desde Plesk (v12 o superior), imagino que desde CPanel e ISPCOnfig se podrá hacer igual. No usamos eso paneles de control.
A eso le añadimos algún plugin de seguridad. En el caso de Joomla usamos AdminExile. Este hace que el acceso a la parte administrativa sea diferente y dependa de algo más que de una simple URL(dominio.com/administrator). Además lleva su propio sistema de blacklisting por intentos repetidos.
Lo cierto que en Web quizás no somos demasiado pulcros y tengamos algún que otro punto ciego. Pero desde que cargamos las IPS en IPTAbles nos ha reducido casi por completo la carga por Fail2Ban.
Eso si, la cadena más larga de IPTables tiene 15240 líneas. Cada una de ellas es o una IP o una subred entera.
No es la configuración más optima, posiblemente ni la recomendada, para hosts con mucho tráfico por la sobrecarga y lentitud de recorrido de IPTables.
Aquí lo suyo, por eficiencia y rendimiento sería utilizar IPSET (http://ipset.netfilter.org/features.html) que es mucho más eficiente en las búsquedas pero tenemos el problema de que al ser un VPS no podemos implementarlo ya que depende del kernel y casca. Nos pasa lo mismo con el NTP.
Si tuviéramos un host físico estaba implementado desde el primer día.
Vamos a empezar a valorar servicios como Cloudflare y otros CDN similares por seguridad y por velocidad.
#11 No compensa en mi experiencia y por el perfil de mis clientes.
No pretendo impresionarte, solo aportar cifras reales, datos, para los que no han tocado servidores y para refutar mi experiencia.
No se trata de valorar humano/máquina.
El problema es que la tecnología de filtrado está en bragas y va tres años por detrás de los delincuentes. No son todo lo eficientes que nos gustaría. No puedes ser pasivo si administras un MTA porque acaba lleno de basura y el servicio que acabas prestando a los humanos que te pagan es pésimo.
Y tienes que acabar tomando medidas que, en mi experiencia, está funcionando para bloquear la máquina y dejar pasar al humano.
Hay mucha mierda circulando por ahí fuera.
En mi servidor tengo bloqueadas todas las IP del planeta, excepto Canadá, EEUU y los países, supuestamente, civilizados de Europa.
Y pese a ello, alguna mierda se cuela...
#10 ¿En serio?
#10 Eres el dueño de Glype.com o Blockscript?
#11 yo pienso como arriba. Un dia te llama un cliente que el filtro antispam le ha metido a la carpeta de spam un correo de un cliente super importante y que es inadmisible. Le quitas el filtro explicándole la situación y al dia siguiente se quejan de que le llega mucho spam.
Al final acabas bloqueando por Ip, usando listas negras y bloqueando países enteros si hace falta.
En una empresa pequeña el tiempo que se va microtuneando los sistemas de seguridad para luchar contra los putos spamers es trabajo no productivo y que te arruina el trabajo productivo.
Al final pones la balanza y te sale bloquear Tor (aunque nosotros solo bloqueamos Tor a nivel web) y con listas negras.
Obviamente un ISP generalista haria otras cosas, pero como a los comentarios que contestas, según el perfil de nuestros clientes es lo que demandan. Ninguno de sus clientes les va a enviar un correo ni va a ver sus páginas web desde Tor
Es una pena que Tor se esté utilizando para realizar (o intentar realizar) todo tipo de delitos. Yo mismo he navegado con la tecnología y no hay más que límites. Tanto en el ancho de banda como en los bloqueos. Mismamente no puedo escribir comentarios en Menéame usando Tor.
Espero que la calidad de la tecnología aumente y los actos delictivos sean sólo una mínima cifra.
#8 Hace tiempo que no uso Tor en mnm, pero por no poder votar
#44 A eso me refiero. Lo utilizaría en todas partes si no fuera por los bloqueos...
A mi me parece que esto de hablar mal de Tor no esta bien. Hay muchos interesados en eliminar Tor. Y no se debe buscar el mal en Tor sino en el uso malo que las personas hacen de el. Para mi la solucion es poner filtros. Es como el ejemplo que puso alguien mas arriba. No vas a eliminar todos los bares porque en los bares haya broncas. Lo que puedes hacer es poner un tipo en la puerta y eliminar a las personas que hacen broncas de los bares.
Es que me huelo que esto es el tipico problema-> reaccion-> solucion al que nos tienen acostumbrados los medios de los gobiernos. Tu quieres conseguir legitimacion para eliminar Tor, Bitcoin o invadir un pais, pues creas un problema donde estos temas sean los culpables luego la gente reaccionara para pedirte una solucion y claro tu solucion es cortar por lo sano y es lo que pretendias desde el principio. Yo pienso que la tecnologia al igual que un cuchillo se puede usar para bien o para mal y no por eso habria que bloquear o controlar la tecnologia sino eliminar los riesgos del mal uso de ella en el objetivo.
#68 Estoy totalmente de acuerdo en tu planteamiento, pero... ¿y si no puedes pagar el sueldo del tipo de la puerta?
Google acepta todo y discrimina según su criterio, que encima es muy complejo y personalizado, con lo cual, pocos se pueden quejar, pero... tienes tu la infraestructura de google para poder manejar eso?
hombre, si te llegan de 4 clientes, evidentemente si, pero si manejas muchos datos, olvidate.
Y en su momento había cifras similares de spam en el correo electrónico, pero era y sigue siendo una herramienta muy útil y valiosa por mucho que haya quienes la aprovechen para ese tipo de actividad.
El uso legítimo suele ser hecho por humanos interactuando con el ordenador, mientras que el abuso se suele hacer programando a los ordenadores para que hagan la tarea sucia, por ello las estadísticas pueden ser engañosas.
1 https://www.theatlas.com/i/atlas_NJipnKmq.png
#3 Te doy datos del servidor pequeño de hoy mismo.
Correos tratados como legítimos: 654
Correos identificados como SPAM por SpamAssasin: 27 (estos están incluidos en los anteriores)
Correos directamente rechazados por DNSBL: 489 (son independientes de los anteriores)
Conexiones bloquedas al SMTP: 91 (son independientes tambien de los anteriores)
Conexiones totales bloqueadas: 2445 (son independientes de los anteriores)
Haz números.
El ratio legítimo/spam es casi al 50% despues de quitarnos los de las listas de IP. Y aún así se cuela SPAM.
El servidor no sabe qué o quién hay detrás de cada conexión.
No está mal para ser unos mindundis....
#9 No me vas a impresionar con cifras, he gestionado servidores de correo y servidores antispam. Ni que las cifras fueran del orden del 95% o del 99,9% los correos legítimos siguen compensando el servicio de correo, siguen compensando aplicar técnicas y tecnología para filtrar lo que sí aporta valor de lo que de forma automatizada es perjudicial.
Como he indicado en otro comentario un correo legítimo, uno que realmente aporta valor, ha sido escrito por una persona (no cuento las listas de correo automatizadas, que normalmente son más spam que otra cosa), mientras que un correo malicioso ha sido escrito y enviado por un ordenador pudiendo enviar cientos o miles por segundo. Las estadísticas van en contra de los seres humanos por definición, pero lo que aporta valor compensa con creces las molestias que puedan generar los correos maliciosos automatizados.
#9 Yo en mis tiempos de admin de correo me aseguraba que todo eso llegara al spam... tampoco rechazar la conexión del todo porque con eso no les das a tu cliente ninguna posibilidad de revisar correo rechazado, y puedes estar impidiendo alguna transacción importante.
Un ejemplo de hacerlo mal (pero mal de cojones) es lo que hace Godaddy: Inspecciona el cuerpo del mensaje y si tiene alguna URL que no le gusta, borra el email sin más. Es decir, es imposible decirle a un cliente de Godaddy "Echa un vistazo a esta página [que está en un dominio bloqueado por Godaddy]". Nunca llegará ese correo.
No se hasta que punto esta noticia es válida.
El 90% del correo es SPAM, y por eso nadie duda que el correo es una herramienta absolutamente válida.
13# 18# pues sí, y desde que hice el bloqueo masivo de IP, he perdido entre 10% a 12% de visitas, pero no recibo enlaces de sitio porno, ni farmacéuticos, ni de juegos, ni estafas, y de toda esa falfulya. Ya ademas, los intentos de ataque tipo inyección SQL y similares que había días en que llegaban a ser incluso más de 800, practicamente han desaparecido.
La humanidad es maliciosa per se. Yo prohibiría el coito e internet entero por si acaso. Lo de tor, ya tal.
Lo que no dicen es: "66% de nuestros clientes son maliciosos." Tiendas de tarjetas de crédito, foros de como clonar tarjetas, etc etc.
#1 Será que TOR es un mundo utópico. Como en el mundo real, irse hacia los extremos en la ecuación libertad/seguridad solo beneficia a los malos.
#78 El día en que un mail de spam valga lo mismo que la libertad de una persona, tal vez me plantee criticar TOR.
TOR es una tecnología por definición "para malos", para gente a la que un gobierno u otro le gustaría encerrar y perder la llave. La pregunta es, ¿queremos permitirles hacerlo, a cambio de solo nuestra comodidad a corto plazo?
Lo que hay que preguntarse es: ¿vale la pena aguantar unos pocos millones de mensajes de spam, trolls y demás mierdas, a cambio de facilitar la labor de quienes intentan desestabilizar gobiernos opresivos y enemigos de la libertad que influyen en la vida de miles de millones de personas?
#82 ¿Vale la pena aceptar pérdida de privacidad a cambio de facilitar la labor de quienes intentan desestabilizar organizaciones terroristas enemigas de la libertad que influyen en la vida de miles de millones de personas?
Creo que es parte del mismo debate, y dudo que la respuesta esté en los extremos.
Aparte de eso... si solo fuera spam y trolls... una forma algo inocente de verlo.