Ir para o conteúdo

Núcleo de Informação e Coordenação do Ponto BR

English

Você está em: CERT.br > Publicações > Resultados Preliminares do Projeto SpamPots 1.2

• Sobre o CERT.br
• CSIRTs
• Estatísticas
• Cursos
• Projetos
• Publicações
• Palestras
• Links
• FAQ
• Mapa do site
• Contato
• Twitter
• RSS

Busca
Selecione o site Buscar em CGI.br Buscar em NIC.br Buscar em Registro.br Buscar em CERT.br Buscar em CETIC.br Buscar em CEPTRO.br Buscar em W3C.br

|
Acessibilidade do site

Resultados Preliminares do Projeto SpamPots: Uso de Honeypots de Baixa Interatividade na Obtenção de Métricas sobre o Abuso de Redes de Banda Larga para o Envio de Spam

Autor: CERT.br
Versão: 1.2 -- 27/09/2007

Sumário

• 1. Descrição do Projeto
  • 1.1. Arquitetura
• 2. Resultados Preliminares
  • 2.1. Country Codes mais freqüentes
  • 2.2. ASNs mais freqüentes
  • 2.3. Portas TCP abusadas
  • 2.4. Sistemas operacionais de origem mais freqüentes
• 3. Trabalhos Futuros
• 4. Coordenação do Projeto
• 5. Histórico de Revisões

1. Descrição do Projeto

As estatísticas de spam do CERT.br fornecem uma visão do problema do spam em redes brasileiras, através da análise das reclamações recebidas. Estas reclamações se dividem em reclamações de envio de spam, de páginas que fazem propaganda de produtos oferecidos em spam, de abusos de relays e proxies abertos.

Nos últimos anos as reclamações de spams enviados via o abuso de máquinas brasileiras com proxies abertos ou proxies instalados por códigos maliciosos, têm sido de 30% a 40% do total de reclamações. Porém, praticamente nenhum dado existe sobre a natureza, a origem ou destino desse tipo de spam. Sendo extremamente importante a obtenção de métricas que permitam entender melhor o perfil do abuso de proxies no Brasil, de modo a facilitar a proposição de formas de prevenção mais efetivas.

O objetivo do projeto é obter, através de honeypots de baixa interatividade, dados relativos ao abuso de máquinas conectadas via redes de banda larga para envio de spam. Este projeto tem seu foco nas redes ADSL e Cabo nas versões doméstica e empresarial que possuam IP roteável.

1.1. Arquitetura

Honeypots de baixa interatividade são computadores configurados de modo a apenas emular determinados sistemas operacionais e serviços. Quando um atacante interage com um destes honeypots, ele não está interagindo diretamente com o sistema, mas sim com um programa que emula suas características, como sistema operacional e versões de aplicativos.

Neste projeto, um spammer que tentar abusar de um destes honeypots para o envio de spam, estará interagindo com programas projetados para fazê-lo acreditar que está conseguindo enviar seus e-mails. Deste modo, nenhum spam foi realmente enviado aos destinatários, mas apenas coletado para análise por um servidor central.

Estes honeypots foram instalados em 5 operadoras diferentes de cabo e DSL, em conexões residenciais e comerciais.

A figura abaixo ilustra a arquitetura deste sistema:

2. Resultados Preliminares

Uma análise inicial dos dados coletados, referentes a 466 dias, é apresentada nesta seção. Os totais gerais relativos aos dados observados estão na Tabela 1.

Tabela 1: Estatísticas Gerais.

Período em que foram coletados os dados 10/06/2006 a 18/09/2007 Dias de dados coletados 466 Total de e-mails coletados 524.585.779 Total de destinatários 4.805.521.964 Média de destinatários por spam 9,16 IPs únicos que enviaram spam 216.888 ASNs únicos que enviaram spam 3.006 Country Codes (CCs) de origem 165

A distribuição do volume de mensagens recebidas ao longo do período é apresentada na figura abaixo:

As subseções a seguir contêm as tabelas e gráficos referentes às diversas categorias de estatísticas produzidas a partir dos dados coletados.

2.1. Country Codes mais freqüentes

Tabela 2.1: Country Codes mais freqüentes.

# Country Code (CC) E-mails % 01 TW 385.189.756 73,43 02 CN 82.884.642 15,80 03 US 29.764.293 5,67 04 CA 6.684.667 1,27 05 JP 5.381.192 1,03 06 HK 4.383.999 0,84 07 KR 4.093.365 0,78 08 UA 1.806.210 0,34 09 DE 934.417 0,18 10 BR 863.657 0,16

2.2. ASNs mais freqüentes

Tabela 2.2: ASNs mais freqüentes.

# ASN Nome do AS E-mails % 01 9924 TFN-TW Taiwan Fixed Network, Telco and Network Service Provider (TW) 170.998.167 32,60 02 3462 HINET Data Communication Business Group (TW) 131.381.486 25,04 03 17623 CNCGROUP-SZ CNCGROUP IP network of ShenZhen region MAN network (CN) 65.214.192 12,43 04 4780 SEEDNET Digital United Inc. (TW) 54.430.806 10,38 05 9919 NCIC-TW New Century InfoComm Tech Co., Ltd. (TW) 9.186.802 1,75 06 4837 CHINA169-BACKBONE CNCGROUP China169 Backbone (CN) 9.025.142 1,72 07 33322 NDCHOST - Network Data Center Host, Inc. (US) 8.359.583 1,59 08 4134 CHINANET-BACKBONE (CN) 7.287.251 1,39 09 18429 EXTRALAN-TW Extra-Lan Technologies Co., LTD (TW) 6.746.124 1,29 10 7271 LOOKAS - Look Communications Inc. (CA) 5.599.442 1,07

2.3. Portas TCP abusadas

Tabela 2.3: Portas TCP abusadas

# Porta TCP Protocolo Serviço Usual % 01 1080 SOCKS socks 37,31 02 8080 HTTP alternate http 34,79 03 80 HTTP http 10,92 04 3128 HTTP Squid 6,17 05 8000 HTTP alternate http 2,76 06 6588 HTTP AnalogX 2,29 07 25 SMTP smtp 1,46 08 4480 HTTP Proxy+ 1.38 09 3127 SOCKS MyDoom Backdoor 1,00 10 3382 HTTP Sobig.f Backdoor 0,96 11 81 HTTP alternate http 0,96

2.4. Sistemas operacionais de origem mais freqüentes

Tabela 2.4: Sistemas operacionais de origem mais freqüentes.

Sistema Operacional E-mails % Windows 329.568.661 62,82 Unknown 191.963.101 36,59 Unix 2.802.853 0,53 Outros 251.164 0,05

3. Trabalhos Futuros

Após esta fase inicial do projeto as atividades terão continuidade, com seu enfoque em:

• Análise mais detalhada do problema, através de técnicas de Mineração de Dados com o intuito de:
  • determinar a ocorrência de padrões envolvendo idiomas, pontos de origem e conteúdo das mensagens;
  • gerar algoritmos para melhor caracterização de spams envolvendo esquemas de fraude (phishings/scams);
  • gerar algoritmos que possam auxiliar o processo de filtragem de spams.
• Gerar relatórios públicos com recomendações de melhores práticas para provedores de serviços de banda larga, com o intuito de:
  • reduzir o abuso de redes brasileiras para o envio de spam;
  • reduzir o número de spams com origem em redes brasileiras.
• Cooperação internacional -- já estão em andamento discussões com Grupos de Tratamento de Incidentes de outros países para implantação de sensores que possam auxiliar a obtenção de uma visão mais global do problema.

4. Coordenação do Projeto

A coordenação do Projeto SpamPots está a cargo do Comitê Gestor da Internet no Brasil - CGI.br. A articulação e coordenação técnica do funcionamento dos honeypots, assim como a coleta dos dados e a produção dos resultados preliminares, foram realizadas pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil - CERT.br, mantido pelo NIC.br.

5. Histórico de Revisões

• Versão 1.0 Versão Inicial, Resultados com 325 dias de coleta; 11/07/2007
• Versão 1.1 Atualização dos resultados, com 417 dias de coleta; 16/08/2007
• Versão 1.2 Atualização dos resultados, com 466 dias de coleta; 27/09/2007

$Date: 2022/03/16 19:17:47 $