Resultados Preliminares do Projeto SpamPots: Uso de Honeypots
de Baixa Interatividade na Obtenção de Métricas sobre o Abuso de Redes
de Banda Larga para o Envio de Spam
Autor: CERT.br
Versão: 1.1 -- 16/08/2007
Sumário
1. Descrição do Projeto
As estatísticas de spam do CERT.br
fornecem uma visão do problema do spam em redes brasileiras,
através da análise das reclamações recebidas. Estas reclamações se
dividem em reclamações de envio de spam, de páginas que fazem
propaganda de produtos oferecidos em spam, de abusos de
relays e proxies abertos.
Nos últimos anos as reclamações de spams enviados via o abuso
de máquinas brasileiras com proxies abertos ou proxies
instalados por códigos maliciosos, têm sido de 30% a 40% do total de
reclamações. Porém, praticamente nenhum dado existe sobre a natureza,
a origem ou destino desse tipo de spam. Sendo extremamente
importante a obtenção de métricas que permitam entender melhor o
perfil do abuso de proxies no Brasil, de modo a facilitar a
proposição de formas de prevenção mais efetivas.
O objetivo do projeto é obter, através de honeypots de baixa
interatividade, dados relativos ao abuso de máquinas conectadas via
redes de banda larga para envio de spam. Este projeto tem seu
foco nas redes ADSL e Cabo nas versões doméstica e empresarial que
possuam IP roteável.
1.1. Arquitetura
Honeypots de baixa interatividade são computadores configurados
de modo a apenas emular determinados sistemas operacionais e serviços.
Quando um atacante interage com um destes honeypots, ele não
está interagindo diretamente com o sistema, mas sim com um programa
que emula suas características, como sistema operacional e versões de
aplicativos.
Neste projeto, um spammer que tentar abusar de um destes
honeypots para o envio de spam, estará interagindo com
programas projetados para fazê-lo acreditar que está conseguindo
enviar seus e-mails. Deste modo, nenhum spam foi realmente
enviado aos destinatários, mas apenas coletado para análise por um
servidor central.
Estes honeypots foram instalados em 5 operadoras diferentes de
cabo e DSL, em conexões residenciais e comerciais.
A figura abaixo ilustra a arquitetura deste sistema:
2. Resultados Preliminares
Uma análise inicial dos dados coletados, referentes a 417 dias, é
apresentada nesta seção. Os totais gerais relativos aos dados
observados está na Tabela 1.
Tabela 1: Estatísticas Gerais.
Período em que foram coletados os dados |
10/06/2006 a 31/07/2007 |
Dias de dados coletados |
417 |
Total de e-mails coletados |
480.120.724 |
Total de destinatários |
4.307.010.941 |
Média de destinatários por spam |
8,97 |
IPs únicos que enviaram spam |
209.327 |
ASNs únicos que enviaram spam |
2.966 |
Country Codes (CCs) de origem |
164 |
|
A distribuição do volume de mensagens recebidas ao longo do período é
apresentada na figura abaixo:
As subseções a seguir contêm as tabelas e gráficos referentes às
diversas categorias de estatísticas produzidas a partir dos dados
coletados.
2.1. Country Codes mais freqüentes
Tabela 2.1: Country Codes mais freqüentes.
# |
Country Code (CC) |
E-mails |
% |
01 |
TW |
354.042.709 |
73,74 |
02 |
CN |
77.922.019 |
16,23 |
03 |
US |
26.384.260 |
5,50 |
04 |
CA |
6.680.596 |
1,39 |
05 |
KR |
3.712.431 |
0,77 |
06 |
JP |
3.491.197 |
0,73 |
07 |
HK |
3.085.048 |
0,64 |
08 |
DE |
932.330 |
0,19 |
09 |
BR |
771.130 |
0,16 |
10 |
UA |
617.714 |
0,13 |
|
2.2. ASNs mais freqüentes
Tabela 2.2: ASNs mais freqüentes.
# |
ASN |
Nome do AS |
E-mails |
% |
01 |
9924 |
TFN-TW Taiwan Fixed Network, Telco and Network Service
Provider (TW) |
162.141.534 |
33,77 |
02 |
3462 |
HINET Data Communication Business Group (TW) |
116.918.896 |
24,35 |
03 |
17623 |
CNCGROUP-SZ CNCGROUP IP network of ShenZhen region MAN
network (CN) |
62.253.238 |
12,97 |
04 |
4780 |
SEEDNET Digital United Inc. (TW) |
48.225.238 |
10,04 |
05 |
9919 |
NCIC-TW New Century InfoComm Tech Co., Ltd. (TW) |
9.185.745 |
1,91 |
06 |
4837 |
CHINA169-BACKBONE CNCGROUP China169 Backbone (CN) |
8.491.617 |
1,77 |
07 |
33322 |
NDCHOST - Network Data Center Host, Inc. (US) |
8.305.325 |
1,73 |
08 |
4134 |
CHINANET-BACKBONE (CN) |
6.208.383 |
1,29 |
09 |
7271 |
LOOKAS - Look Communications Inc. (CA) |
5.599.442 |
1,17 |
10 |
18429 |
EXTRALAN-TW Extra-Lan Technologies Co., LTD (TW) |
5.180.671 |
1,08 |
|
2.3. Portas TCP abusadas
Tabela 2.3: Portas TCP abusadas
# |
Porta TCP |
Protocolo |
Serviço Usual |
% |
01 |
8080 |
HTTP |
alternate http |
36,66 |
02 |
1080 |
SOCKS |
socks |
36,62 |
03 |
80 |
HTTP |
http |
11,24 |
04 |
3128 |
HTTP |
Squid |
6,14 |
05 |
8000 |
HTTP |
alternate http |
2,03 |
06 |
6588 |
HTTP |
AnalogX |
1,77 |
07 |
25 |
SMTP |
smtp |
1,54 |
08 |
3127 |
SOCKS |
MyDoom Backdoor |
1,09 |
09 |
81 |
HTTP |
alternate http |
1,02 |
10 |
4480 |
HTTP |
Proxy+ |
0,95 |
11 |
3382 |
HTTP |
Sobig.f Backdoor |
0,93 |
|
2.4. Sistemas operacionais de origem mais freqüentes
Tabela 2.4: Sistemas operacionais de origem mais
freqüentes.
Sistema Operacional |
E-mails |
% |
Windows |
310.084.662 |
64,58 |
Unknown |
168.224.476 |
35,04 |
Unix |
1.569.739 |
0,33 |
Outros |
241.847 |
0,05 |
|
3. Trabalhos Futuros
Após esta fase inicial do projeto as atividades terão continuidade,
com seu enfoque em:
- Análise mais detalhada do problema, através de técnicas de
Mineração de Dados com o intuito de:
- determinar a ocorrência de padrões envolvendo idiomas,
pontos de origem e conteúdo das mensagens;
- gerar algoritmos para melhor caracterização de
spams envolvendo esquemas de fraude
(phishings/scams);
- gerar algoritmos que possam auxiliar o processo de
filtragem de spams.
- Gerar relatórios públicos com recomendações de melhores
práticas para provedores de serviços de banda larga, com o
intuito de:
- reduzir o abuso de redes brasileiras para o envio de
spam;
- reduzir o número de spams com origem em redes
brasileiras.
- Cooperação internacional -- já estão em andamento discussões
com Grupos de Tratamento de Incidentes de outros países para
implantação de sensores que possam auxiliar a obtenção de uma
visão mais global do problema.
4. Coordenação do Projeto
A coordenação do Projeto SpamPots está a cargo do Comitê Gestor da
Internet no Brasil - CGI.br. A articulação e coordenação técnica do
funcionamento dos honeypots, assim como a coleta dos dados e a
produção dos resultados preliminares, foram realizadas pelo Centro de
Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil -
CERT.br, mantido pelo NIC.br.
5. Histórico de Revisões
$Date: 2010/01/19 14:15:21 $