Miércoles, 23 de febrero de 2005

Spam como arma política de represión

Un grupo desconocido está alquilando spammers para desprestigiar o sacar de la red a una asociación disidente pro derechos humanos ante las proximas elecciones del 27/02/2005 en la república ex-soviética de Kirgistán.

Esa es la conclusión a la que nos lleva tirar del hilo de un supuesto mensaje spam sobre porno infantil.

Hace algunos meses mi spamassassin interceptó el mensaje que recogía en mi bitácora de BP ¿Quieres comprar explosivos? Lo ultimo en bromas por e-mail. Mi presunción de que se trataba de una broma parece que iba algo desencaminada, dadas las circunstancias posteriores.

El caso es que recibí un email de características similares, esta vez relacionado con pornografía infantil.
Suelo investigar las URL de los spam más llamativo, a veces puedes conseguir que sitios ilegales salgan de la red
por el simple procedimiento de usar whois para determinar el registrador y el proveedor de alojamiento:
Si el país de registro o alojamiento tiene los mecanismos legales (y el registrador o alojador lo recogen en su cláusula de uso aceptable) se puede mediante whois saber la dirección a la cual mandar las quejas.

En este caso me llamó enseguida la atención de que el sitio referido en el asunto fuera un sitio .us, registrado en los USA, eso dado a lo inusualmente agresivo (y francamente desagradable) del mensaje hizo que mirara también la otra URL recogida en las cabeceras del spamassassin.


Content analysis details: (14.4 points, 5.0 required)

pts rule name description
---- ---------------------- --------------------------------------------------
0.0 NO_REAL_NAME From: does not include a real name
0.3 RM_hm_EmtyMsgid Message ID is empty, or just spaces - probable spamsign
1.2 RCVD_NUMERIC_HELO Received: contains an IP address used for HELO
0.6 SARE_CHILDPRN1 BODY: contains reference to child porn
-1.1 BAYES_40 BODY: Bayesian spam probability is 20 to 40%
[score: 0.3478]
0.1 RAZOR2_CF_RANGE_51_100 BODY: Razor2 gives confidence level above 50%
[cf: 100]
1.5 RAZOR2_CHECK Listed in Razor2 (http://razor.sf.net/)
3.1 RCVD_IN_XBL RBL: Received via a relay in Spamhaus XBL
[220.119.174.138 listed in sbl-xbl.spamhaus.org]
0.4 URIBL_AB_SURBL Contains an URL listed in the AB SURBL blocklist
[URIs: gazeta.kg]
4.3 URIBL_SC_SURBL Contains an URL listed in the SC SURBL blocklist
[URIs: gazeta.kg]
3.9 FORGED_MUA_OUTLOOK Forged mail pretending to be from MS Outlook


Antes de mandar el mensaje a /dev/null decidí comprobar si se trataba de un intento de phishing así que abrí una consola y me conecté vía telnet para ver qué intentaban hacer. Quedé sorprendido al mirar el código y darme cuenta de que se trataba de un blog (gazeta.kg) de una asociación de derechos humanos disiente con el actual régimen de la república ex-soviética de Kirguistán. Un movimiento similar al de la revolución naranja de Ucrania y que protestan en su blog contar la posible manipulación de los resultados de las próximas elecciones del 27 de Febrero.

Este es el mensaje en inglés que contienen ambos blogs:
International League for Human Rights. Kyrgyzstan: League Calls for Free and Fair Parliamentary Elections.

Podéis traducir las páginas al inglés desde Babelfish, con lo cual se puede seguir el curso de los acontecimientos.

Si se lee el resto del mensaje, además de lo vomitivo de su contenido, llaman la atención las direcciones de email, algunas falsas y otras pertenecientes al
registrador.

Resulta obvia la conclusión de que o que se perseguía con este correo basura era que alguien picase y mandase una queja a los registradores metiendo así al blog en problemas o incluso sacándolo de la red por lo menos hasta las elecciones. Otro efecto fue incluir los dominios kyrgys.us y gazeta.kg en las bases de datos razor como SpamCop que hacen que spamassassin las filtre automáticamente, con lo cual podrían evitar que correo legítimo proveniente de esos dominios llegaran a su destino.

Aparte, claro del daño moral a los blogs y los movimientos relacionados con ellos.
Supongo que este caso no será un caso aislado, y mucho me temo que el primer mensaje a que me refería era un intento de extorsión o tal vez una prueba de concepto.

Estoy casi seguro de que el spam ha sido enviado usando las botnets de alquiler que las mafias ahora han extendido por todo el globo vía gusanos como el Blaster, con lo cual estamos ante un nuevo tipo de criminalidad mafiosa en la red que puede ser usada incluso para ejercer de censura de facto. En este caso tenemos censura política, pero estoy seguro de que también se puede usar este método para extorsionar a sitios comerciales.

El concepto de seguridad en internet está ya cambiando drásticamente, para implicar ahora no sólo el fastidio de los usuarios o las pérdidas económicas debidas a la merma de ancho de banda, sino también a la seguridad ciudadana común y la libertad de expresión política.

Sé que no está bien y que las cosas no son tan simples, pero no me resisto: "Bill Gates, gracias por todo" :P

Para los que tengan estómago fuerte, aquí el texto completo (cabeceras y añadidos de spamassassin)

Por: Enric Martínez | General | Comentarios (0) | Referencias (0)