Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 61, views: 28.324 •

Middels een vooralsnog niet openbaar gemaakte exploit zijn twee beveiligingsonderzoekers erin geslaagd de smtp-servers van Gmail als open relays te misbruiken. Op die manier kon een grote hoeveelheid mail buiten spamfilters om verstuurd worden.

Gmail logoDe twee onderzoekers van Insert, Pablo Ximenes en André dos Santos, schreven een proof of concept exploit om de forwarding-mogelijkheden van Gmail te misbruiken. De kwetsbaarheid kon gebruikt worden om een grote hoeveelheid spam via Gmails servers te versturen en daarbij spamfilters te omzeilen. Volgens Ximenes en Dos Santos kan één Gmail-account dankzij de exploit het werk van een klein botnet verzetten. De exacte details van de aanval gaven de onderzoekers niet prijs, aangezien zij Google in staat willen stellen het lek te dichten.

Met de exploit slaagden de beveiligingsonderzoekers erin een kwetsbaarheid in de mailforwarding van Gmail uit te buiten: tijdens het doorsturen van e-mail controleert Gmail de headers van mailtjes niet en laat vervalste gegevens intact. De poc-exploit maakt gebruik van deze fout en stelde de onderzoekers in staat mailtjes met vervalste gegevens te forwarden naar zoveel adressen als zij wilden. De gebruikelijke limiet van 500 e-mails die Google hanteert voor het versturen van grote hoeveelheden mail, werd daarbij gepasseerd: het programma stopte na het versturen van ruim vierduizend mailtjes.

Door van de smtp-servers van Google gebruik te maken, kregen de mailtjes die de onderzoekers verstuurden bovendien een vertrouwde status bij de mailservers van andere providers. Dat is te danken aan de grote hoeveelheid spam die circuleert: spamfilters worden niet op alle e-mails toegepast, maar op slechts een deel. Veel e-mail wordt op basis van het vertrouwensniveau van de provider beoordeeld: betrouwbare afzenders worden aan een whitelist toegevoegd, terwijl spambronnen geblacklist worden. De onderzoekers maakten gebruik van de whitelist-status van Gmail om hun spam bij testaccounts bij Yahoo en Hotmail af te leveren. Die vertrouwensrelatie tussen providers bleek zelfs zo ver te gaan, dat Ximenes en Dos Santos er met hun poc in slaagden spam van hun geblackliste ip-adressen naar Yahoo- en Hotmailadressen te sturen, die keurig in de respectievelijke inboxen aankwam. Wanneer de spam echter zonder de exploit te gebruiken verstuurd werd, kwam de e-mail niet aan.

De snelheid waarmee de spam-, of desgewenst phishing-berichten, verstuurd werden, bedroeg gemiddeld elf mailtjes per minuut. De Insert-medewerkers stellen echter dat het misbruiken van meerdere Gmail-accounts de capaciteit van een botnet zou benaderen. Google is op de hoogte van de kwetsbaarheid in hun forwarding-configuratie gesteld, maar op de relevante Google-blogs wordt nog geen melding van de kwetsbaarheid gemaakt.

Courtesy Google

Reacties (61)

Wat zeggen ze nou:
Volgens Ximenes en Dos Santos kan één Gmail-account dankzij de exploit het werk van een klein botnet verzetten.
of:
De Insert-medewerkers stellen echter dat het misbruiken van meerdere Gmail-accounts de capaciteit van een klein botnet zou benaderen..
Eén account of meerdere?
Eén én méerdere.
ik denk dat de bedoelen 1 computer, meerdere gmail accounts
Ach ja, wat is "een klein botnet"? Ook zo vaag.
Een botnet dat in redelijk tempo alle emailtjes uit een lijst kan versturen zonder dat het groot genoeg is om een stevige DDOS aanval uit te voeren.
Dus niet één, maar meerdere Gmail accounts kunnen een klein botnet evenaren...
inderdaad. lijkt me dat je maar een lousy botnet hebt als je maar 1 mail per 5.5 seconde kunt sturen :P
De Insert-medewerkers stellen echter dat het misbruiken van meerdere Gmail-accounts de capaciteit van een botnet zou benaderen.
Dus, één account is gelijk aan een klein botnet. Meerdere een maken een grote.

Lijkt me logisch als ééntje niet afdoende is, dat je er dan gaat opschalen. Een beetje tekstvulling van de autheur, lijkt mij.
Dus, één account is gelijk aan een klein botnet. Meerdere een maken een grote.
Mmm.. wel een héél klein botnet dan..
De snelheid waarmee de spam-, of desgewenst phising-berichten, verstuurd werden, bedroeg gemiddeld elf mailtjes per minuut.
No offence maar ik denk dat mijn PC'tje dat in zijn eentje ook wel red hoor. Ik denk dat een klein botnet (zeg 100 computers) makkelijk duizenden of zelfs tienduizenden mailtjes per minuut kan versturen.
Is nog altijd wel 15709 mailtjes per dag hoor. Als je gewoon een server ergens hebt staan met meerdere gmail spam accounts kun je toch aardig wat versturen.
15709 mailtjes is niks. Grote spammers sturen honderden miljoenen mailtjes per run. En zo'n run duurt minder dan een dag. En kost maar 200 dollar voor de 'adverteerder'. Ik weet dat want als zo'n spammer een tijd geen klanten vindt gaat ie voor zichzelf 'adverteren' :O
Maar er komen % gezien wel meer mailtjes aan. Ach ja. Het boeit niet echt want het is toch zo weer opgelost.
Dat is te hopen, want nu het hek van de dam is, is het een kwestie van tijd voordat kwaadwillende hackers dit probleem ook gaan proberen te exploiteren. En dan heb je de poppen aan het dansen. Ik denk dat Google dit binnen enkele dagen opgelost moet hebben, want 10 tegen 1 dat er al verschillende hackers zijn die dit aan het uitproberen zijn.
Netjes dat ze het niet exploiten en gewoon doorsturen naar google.
Als iedereen dat nou deed.. :/
Dan zouden de spammers, zichzelf tegenwerken :+ .
Het gevolg ervan is wel dat Google nog geen reactie heeft gegeven en niemand buiten Google dus zeker weet of er ook iets met die informatie wordt gedaan.

Overigens verwacht ik wel dat Google daadwerkelijk aan een oplossing werkt, aangezien zij zelf ook slachtoffer zouden worden als deze exploit uitgebuit gaat worden.

Een ander gevolg van deze proof-of-concept is natuurlijk dat de "whitelist" methode weer ter discussie komt te staan. Whitelists werden aangelegd om de benodigde CPU cylces voor spamdetectie te beperken, maar juist nu goedkope methodes als SPF en greylisting meer met succes worden toegepast, moet je je afvragen of een dergelijke methode nog wel grootschalig moet worden toegepast.
Ik heb whitelisten altijd al een heel slecht concept gevonden. Maar goed, allerlei bedrijven versturen mails vanaf verkeerd ingestelde servers, zoals server.bedrijf.local. Vaak heeft dan een of ander IT bedrijfje een Exchange server geplaatst en het Windows domein local genoemd. Gevolg is dat iedere controle op de mailserver van de afzender moet worden uitgeschakeld.
Daarna gaan de gebruikers klagen, te veel spam. Je moet iets, dus het filter wordt strakker en je probeert het beter te trainen. Helpt wel iets maar nog steeds komt veel spam binnen. Uiteindelijk ga je het spamfilter net wat te strak afstellen en vaste 'klanten' waar je veel mee mailt whitelisten, omdat je niet anders kunt. SPF helpt ook niet totdat mensen hun mailservers zich behoorlijk laten identificeren, want voor behoorlijke controle heb je een PTR record in DNS nodig, wat vrijwel nooit aanwezig is bij bedrijven zoals hierboven beschreven.
Diep triest al met al, maar ik vrees dat whitelisten en andere arbeidsintensieve methoden nog wel even blijven bestaan, tenzij een aantal grote spelers op de markt gezamenlijk en rigoreus mail van verkeerd geconfigureerde mailservers naar de prullenmand verwijzen. Misschien een leuk initiatief om te starten voor 2010?
Hmm ben ik nu gek ???? Ik gebruik al sinds tijden mijn eigen list, die is erg simpel al mijn kontakten komen door en alles wat niet van mijn kontakten afkomt wordt automatisch van de server verwijderd. Als ik ergens b.v. een bedrijf een mailtje stuur voor laat maar zeggen informatie of een bestelling gaan de twee deze e-mail adressen in het kontaktboek en bij een reply van hun kant komt dat gewoon door en dan gaat nog steeds alle andere e-mail in de trash op de server. Dit werkt vlekkeloos sinds een jaar of 2.
Maar je weet niet of je spontaane mail kwijtraakt want die zie je niet.
Als je alleen wilt mailen met de mensen die je ken, dan werkt het prima. Als ik wil dat mijn klanten mij kunnen mailen (en ik weet niet al hun e-mailadressen) dan moet ik het dus wat ruimer nemen. Dit betekend automatisch spam.

Als mensen nou gewoon een keertje ophielden erin te trappen en niet steeds op de pennisvergrotingen ging klikken dan los het probleem zichzelf op. [/naiviteit]
Nou ik werk met bedrijven en die hebben hun eigen mailadres evenals hun medewerkers, maar dat zijn de bedrijven waar ik mee werk, als je in een andere brache zit zul je waarschijnlijk door meerdere bedrijven worden benaderd en heb je helemaal gelijk. Ik denk dat het ook erg bedrijf afhankelijk is dit soort dingen. :)
En jij/jullie hebben geen sales afdeling waar mensen spontaan naar kunnen mailen? Leuke binnenkomer als je een bedrijf mailt uit interesse en je mail wordt keihard gebounced...
Nee, want dit is één van de bedrijfjes die uit 3 man bestaat en specifiek voor iets en iemand werken. :)
Ik heb whitelisten altijd al een heel slecht concept gevonden. Maar goed, allerlei bedrijven versturen mails vanaf verkeerd ingestelde servers, zoals server.bedrijf.local. Vaak heeft dan een of ander IT bedrijfje een Exchange server geplaatst en het Windows domein local genoemd. Gevolg is dat iedere controle op de mailserver van de afzender moet worden uitgeschakeld.
Daarna gaan de gebruikers klagen, te veel spam.
Ik weet niet hoeveel kennis jij hebt van Exchange, maar als iedereen een .local adres heeft, dan kan niemand mail van buiten ontvangen hoor, dat gaat gewoon niet aankomen, want .local is geen tld.
Vele exploits worden vaak eerst naar de betreffende software leverancier gestuurd. Spijtig genoeg vertikt men het vaak om met een oplossing te komen. Daarom dat men achteraf alsnog met de publicatie komt.

Als google het nalaat dit gat te dichten dan zal wss de poc ook wel vrijgegeven worden om extra druk te zetten.
En daarnaast is het ook nog mooi voor op je CV. (of je wikipedia pagina)
Vaak is het wel zo dat ze na een maand of twee de informatie wel publiekelijk maken. zoals ook vaak word gedaan met windows exploits.

Op deze manier zetten ze er druk achter om de bug asap te fixen.
1 gmail account gelijk aan klein botnet
meerdere de capaciteit van een 'normaal' botnet
iedere 5.5 seconden een mailtje verzenden is een klein botnet? Wel een heel triest botnet dan zeg, je kunt toch makkelijk tientallen mails per seconde verzenden op de meeste ADSL/kabel verbindingen als er verder niets actief is. Wat heel eenvoudig is door je spam verkeer een lage QoS prioriteit mee te geven zodat de gebruiker van de PC er nooit last van heeft, of netwerkverkeer actief te monitoren natuurlijk. Laten we wel wezen, 11 mails per minuut is maar 15.840 mails per dag. Een beetje spam run loopt in de (tientallen?) miljoenen voor wat ik ervan begrijp. Lijkt me dat je daar met een klein botnet niet maanden over doet, anders levert het toch ook niets op?
Al met al leuk gevonden van die onderzoekers en goed dat het lek gedicht wordt, maar ze moeten nu niet gaan doen alsof dit de manier was geweest om het hele internet plat te spammen en ze ons allemaal gered hebben.
Bij een botnet ga je niet als een gek de bandbreedte vol plempen. Je bent een parasiet en zoals altijd bij parasieten, is de dood van de host funest voor de parasiet. Als je door iets minder te spammen detectie van je bot-applicatie kunt voorkomen, is dat uitermate gunstig voor 't botnet. Is 't niet de eigenaar van de geinfecteerde machine, dan is 't wel de netwerk admin die ineens een grote piek aan smtp verkeer ziet.
Al met al leuk gevonden van die onderzoekers en goed dat het lek gedicht wordt, maar ze moeten nu niet gaan doen alsof dit de manier was geweest om het hele internet plat te spammen en ze ons allemaal gered hebben.
Het lek moet nog gedicht worden. Daarna zullen ze hoogstwaarschijnlijk direct de "proof of concept" online rossen. Het zou echter weldegelijk uitermate schadelijk zijn als de gmail servers wel exploitable zouden zijn. Ze hebben een bak bandbreedte en staan (nog) niet veel in RBLs. Dus is de kans dat de emails daadwerkelijk aankomen (en in de inbox van het slachtoffer) vrij groot.

De bal ligt nu bij Google, maar gezien de voorgaande XSS hacks en traagheid van oplossen toen, zal het ook hier wel even duren. Hulde aan deze heren!
De Insert-medewerkers stellen echter dat het misbruiken van meerdere Gmail-accounts de capaciteit van een botnet zou benaderen.
lezen 8)7
Euh, klinkt alsof ze gewoon SMTP authenticatie aan hebben gezet in hun spambot.
Neen, want dan mag je maar 500 mailtjes per dag (?) versturen.
Volgens mij maak ik uit het bericht op dat Gmail de headers dan herschrijft naar jouw opgegeven emailadres, wanneer je wat anders probeert.
In Outlook krijg je dan bijvoorbeeld zo'n "pietje@123.com namens pietje@ gmail.com" structuur, als ik me niet vergis.

De truc is volgens mij dat ze iets hebben gevonden om dit juist te omzeilen, waardoor ze een mogelijkheid hebben tot geforceerde headers die Gmail niet herschrijft.

[Reactie gewijzigd door SWINX op 8 mei 2008 13:53]

Wat ik opmaak uit de tekst is dat ze de meegezonden headers juist niet controleren en/of aanpassen. Ik vermoed dat ze in de headers dus doen voorkomen alsof een google server (met alle keys/signatures en andere trucen) de mail reeds behandeld heeft. Voordat de mail van gmail bij een andere provider aankomt, moet het namelijk langs een aantal mail servers.

De blokkade van 500 mailtjes zal (vermoedelijk) op de eerste hop zitten. Gewoon naar de tweede posten en melden dat je die eerste reeds gehad hebt en klaar ben je ...

maar ik zal 't wel te makkelijk voorstellen ;)
Lijkt me beetje irrelevant.

Dit is een Proof-of-Concept, niet een daadwerkelijke spam run. Denk dat de beheerders van Google het ook wel door zou krijgen als spammers het lek daadwerkelijk misbruikten... jammere is dat dat dan te laat zou zijn.
Gmail is natuurlijk Nog in Beta.. Maar goed ... anders kregen ze vies over hun voeten van veel providers.. nu kunne e even zeggen we zitten nog in een 2 jaar beta ..LOL.
De beta kaart werkt alleen voor de gebruikers. Als iemand pardoes al zijn mail op gmail kwijt is, kunnen ze dat gebruiken. Een willekeurige ISP heeft echter niets, maar dan ook niets met gmail te maken. Als ze veelvuldig aangevallen worden, zullen de gmail servers _echt_ wel in een RBL verdwijnen. Voor zover ik me kan herinneren heeft Google al eens in de SpamCop RBL gehangen...

[Reactie gewijzigd door tomhagen op 8 mei 2008 14:08]

Is niet de eerste keer dat gmail in een RBL heeft gestaan:

PERM_FAILURE: SMTP Error (state 13): 554 5.7.1 Service unavailable; Sender address [xxxx@gmail.com] blocked using rhsbl.ahbl.org; gmail.com - trelane - Google GMail, relaying child pornography spam

Probleem is dat google weinig tot niks doet met abuse meldingen. Toen de beheerders van ahbl.org veel kinderporno spam via GMail kregen hebben ze contact opgenomen met de abuse desk en werden ze gewoon niet serieus genomen. Als gevolg daarvan is heel GMail in ahbl.org gekomen met bovenstaande melding.
Het heeft ook niet echt zin om elke melding serieus te nemen. Dan heeft een bedrijf als google 100 man in dienst nodig om al die abuse meldingen af te handelen.

Je lost dergelijke problemen op door het patroon te doorbreken.
Een ISP die geen reactie onderneemt op dit soort abuse meldingen, en waarbij je bij telefonisch contact naar 2 afdelingen geweigerd wordt om doorverbonden te worden met de abuse desk, mag van mij gewoon op een blacklist. Dit is dus wat de mensen van ahbl.org gedaan hebben destijds. Ondertussen gaan de spamruns met kinderporno gewoon door.
Als je graag een provider wilt zijn die gratis mail aanbiedt aan veel gebruikers in ruil voor het tonen van advertenties om daar flink geld aan te verdienen, moet je ook maar zorgen dat je misbruik verhindert of afhandelt.
Wat ik trachtte te zeggen is dat je niet elke abuse melding individueel wilt gaan oplossen. Daar heb je veel te veel werk aan. Het is beter om de patronen te herkennen en zodoende veel problemen in één keer op te lossen.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBGrand Theft Auto V

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013