'Eén Gmail-account kan spamwerk van klein botnet verzetten'
Middels een vooralsnog niet openbaar gemaakte exploit zijn twee beveiligingsonderzoekers erin geslaagd de smtp-servers van Gmail als open relays te misbruiken. Op die manier kon een grote hoeveelheid mail buiten spamfilters om verstuurd worden.
De twee onderzoekers van Insert, Pablo Ximenes en André dos Santos, schreven een proof of concept exploit om de forwarding-mogelijkheden van Gmail te misbruiken. De kwetsbaarheid kon gebruikt worden om een grote hoeveelheid spam via Gmails servers te versturen en daarbij spamfilters te omzeilen. Volgens Ximenes en Dos Santos kan één Gmail-account dankzij de exploit het werk van een klein botnet verzetten. De exacte details van de aanval gaven de onderzoekers niet prijs, aangezien zij Google in staat willen stellen het lek te dichten.
Met de exploit slaagden de beveiligingsonderzoekers erin een kwetsbaarheid in de mailforwarding van Gmail uit te buiten: tijdens het doorsturen van e-mail controleert Gmail de headers van mailtjes niet en laat vervalste gegevens intact. De poc-exploit maakt gebruik van deze fout en stelde de onderzoekers in staat mailtjes met vervalste gegevens te forwarden naar zoveel adressen als zij wilden. De gebruikelijke limiet van 500 e-mails die Google hanteert voor het versturen van grote hoeveelheden mail, werd daarbij gepasseerd: het programma stopte na het versturen van ruim vierduizend mailtjes.
Door van de smtp-servers van Google gebruik te maken, kregen de mailtjes die de onderzoekers verstuurden bovendien een vertrouwde status bij de mailservers van andere providers. Dat is te danken aan de grote hoeveelheid spam die circuleert: spamfilters worden niet op alle e-mails toegepast, maar op slechts een deel. Veel e-mail wordt op basis van het vertrouwensniveau van de provider beoordeeld: betrouwbare afzenders worden aan een whitelist toegevoegd, terwijl spambronnen geblacklist worden. De onderzoekers maakten gebruik van de whitelist-status van Gmail om hun spam bij testaccounts bij Yahoo en Hotmail af te leveren. Die vertrouwensrelatie tussen providers bleek zelfs zo ver te gaan, dat Ximenes en Dos Santos er met hun poc in slaagden spam van hun geblackliste ip-adressen naar Yahoo- en Hotmailadressen te sturen, die keurig in de respectievelijke inboxen aankwam. Wanneer de spam echter zonder de exploit te gebruiken verstuurd werd, kwam de e-mail niet aan.
De snelheid waarmee de spam-, of desgewenst phishing-berichten, verstuurd werden, bedroeg gemiddeld elf mailtjes per minuut. De Insert-medewerkers stellen echter dat het misbruiken van meerdere Gmail-accounts de capaciteit van een botnet zou benaderen. Google is op de hoogte van de kwetsbaarheid in hun forwarding-configuratie gesteld, maar op de relevante Google-blogs wordt nog geen melding van de kwetsbaarheid gemaakt.
Reacties (61)
of:Volgens Ximenes en Dos Santos kan één Gmail-account dankzij de exploit het werk van een klein botnet verzetten.
Eén account of meerdere?De Insert-medewerkers stellen echter dat het misbruiken van meerdere Gmail-accounts de capaciteit van een klein botnet zou benaderen..
Dus, één account is gelijk aan een klein botnet. Meerdere een maken een grote.De Insert-medewerkers stellen echter dat het misbruiken van meerdere Gmail-accounts de capaciteit van een botnet zou benaderen.
Lijkt me logisch als ééntje niet afdoende is, dat je er dan gaat opschalen. Een beetje tekstvulling van de autheur, lijkt mij.
Mmm.. wel een héél klein botnet dan..Dus, één account is gelijk aan een klein botnet. Meerdere een maken een grote.
No offence maar ik denk dat mijn PC'tje dat in zijn eentje ook wel red hoor. Ik denk dat een klein botnet (zeg 100 computers) makkelijk duizenden of zelfs tienduizenden mailtjes per minuut kan versturen.De snelheid waarmee de spam-, of desgewenst phising-berichten, verstuurd werden, bedroeg gemiddeld elf mailtjes per minuut.
Als iedereen dat nou deed..
.Overigens verwacht ik wel dat Google daadwerkelijk aan een oplossing werkt, aangezien zij zelf ook slachtoffer zouden worden als deze exploit uitgebuit gaat worden.
Een ander gevolg van deze proof-of-concept is natuurlijk dat de "whitelist" methode weer ter discussie komt te staan. Whitelists werden aangelegd om de benodigde CPU cylces voor spamdetectie te beperken, maar juist nu goedkope methodes als SPF en greylisting meer met succes worden toegepast, moet je je afvragen of een dergelijke methode nog wel grootschalig moet worden toegepast.
Daarna gaan de gebruikers klagen, te veel spam. Je moet iets, dus het filter wordt strakker en je probeert het beter te trainen. Helpt wel iets maar nog steeds komt veel spam binnen. Uiteindelijk ga je het spamfilter net wat te strak afstellen en vaste 'klanten' waar je veel mee mailt whitelisten, omdat je niet anders kunt. SPF helpt ook niet totdat mensen hun mailservers zich behoorlijk laten identificeren, want voor behoorlijke controle heb je een PTR record in DNS nodig, wat vrijwel nooit aanwezig is bij bedrijven zoals hierboven beschreven.
Diep triest al met al, maar ik vrees dat whitelisten en andere arbeidsintensieve methoden nog wel even blijven bestaan, tenzij een aantal grote spelers op de markt gezamenlijk en rigoreus mail van verkeerd geconfigureerde mailservers naar de prullenmand verwijzen. Misschien een leuk initiatief om te starten voor 2010?
Als je alleen wilt mailen met de mensen die je ken, dan werkt het prima. Als ik wil dat mijn klanten mij kunnen mailen (en ik weet niet al hun e-mailadressen) dan moet ik het dus wat ruimer nemen. Dit betekend automatisch spam.
Als mensen nou gewoon een keertje ophielden erin te trappen en niet steeds op de pennisvergrotingen ging klikken dan los het probleem zichzelf op. [/naiviteit]
Ik weet niet hoeveel kennis jij hebt van Exchange, maar als iedereen een .local adres heeft, dan kan niemand mail van buiten ontvangen hoor, dat gaat gewoon niet aankomen, want .local is geen tld.Ik heb whitelisten altijd al een heel slecht concept gevonden. Maar goed, allerlei bedrijven versturen mails vanaf verkeerd ingestelde servers, zoals server.bedrijf.local. Vaak heeft dan een of ander IT bedrijfje een Exchange server geplaatst en het Windows domein local genoemd. Gevolg is dat iedere controle op de mailserver van de afzender moet worden uitgeschakeld.
Daarna gaan de gebruikers klagen, te veel spam.
Als google het nalaat dit gat te dichten dan zal wss de poc ook wel vrijgegeven worden om extra druk te zetten.
Op deze manier zetten ze er druk achter om de bug asap te fixen.
meerdere de capaciteit van een 'normaal' botnet
Al met al leuk gevonden van die onderzoekers en goed dat het lek gedicht wordt, maar ze moeten nu niet gaan doen alsof dit de manier was geweest om het hele internet plat te spammen en ze ons allemaal gered hebben.
Het lek moet nog gedicht worden. Daarna zullen ze hoogstwaarschijnlijk direct de "proof of concept" online rossen. Het zou echter weldegelijk uitermate schadelijk zijn als de gmail servers wel exploitable zouden zijn. Ze hebben een bak bandbreedte en staan (nog) niet veel in RBLs. Dus is de kans dat de emails daadwerkelijk aankomen (en in de inbox van het slachtoffer) vrij groot.Al met al leuk gevonden van die onderzoekers en goed dat het lek gedicht wordt, maar ze moeten nu niet gaan doen alsof dit de manier was geweest om het hele internet plat te spammen en ze ons allemaal gered hebben.
De bal ligt nu bij Google, maar gezien de voorgaande XSS hacks en traagheid van oplossen toen, zal het ook hier wel even duren. Hulde aan deze heren!
lezenDe Insert-medewerkers stellen echter dat het misbruiken van meerdere Gmail-accounts de capaciteit van een botnet zou benaderen.
In Outlook krijg je dan bijvoorbeeld zo'n "pietje@123.com namens pietje@ gmail.com" structuur, als ik me niet vergis.
De truc is volgens mij dat ze iets hebben gevonden om dit juist te omzeilen, waardoor ze een mogelijkheid hebben tot geforceerde headers die Gmail niet herschrijft.
[Reactie gewijzigd door SWINX op donderdag 8 mei 2008 13:53]
De blokkade van 500 mailtjes zal (vermoedelijk) op de eerste hop zitten. Gewoon naar de tweede posten en melden dat je die eerste reeds gehad hebt en klaar ben je ...
maar ik zal 't wel te makkelijk voorstellen
Dit is een Proof-of-Concept, niet een daadwerkelijke spam run. Denk dat de beheerders van Google het ook wel door zou krijgen als spammers het lek daadwerkelijk misbruikten... jammere is dat dat dan te laat zou zijn.
De beta kaart werkt alleen voor de gebruikers. Als iemand pardoes al zijn mail op gmail kwijt is, kunnen ze dat gebruiken. Een willekeurige ISP heeft echter niets, maar dan ook niets met gmail te maken. Als ze veelvuldig aangevallen worden, zullen de gmail servers _echt_ wel in een RBL verdwijnen. Voor zover ik me kan herinneren heeft Google al eens in de SpamCop RBL gehangen...Gmail is natuurlijk Nog in Beta.. Maar goed ... anders kregen ze vies over hun voeten van veel providers.. nu kunne e even zeggen we zitten nog in een 2 jaar beta ..LOL.
[Reactie gewijzigd door tomhagen op donderdag 8 mei 2008 14:08]
PERM_FAILURE: SMTP Error (state 13): 554 5.7.1 Service unavailable; Sender address [xxxx@gmail.com] blocked using rhsbl.ahbl.org; gmail.com - trelane - Google GMail, relaying child pornography spam
Probleem is dat google weinig tot niks doet met abuse meldingen. Toen de beheerders van ahbl.org veel kinderporno spam via GMail kregen hebben ze contact opgenomen met de abuse desk en werden ze gewoon niet serieus genomen. Als gevolg daarvan is heel GMail in ahbl.org gekomen met bovenstaande melding.
Je lost dergelijke problemen op door het patroon te doorbreken.
Als je graag een provider wilt zijn die gratis mail aanbiedt aan veel gebruikers in ruil voor het tonen van advertenties om daar flink geld aan te verdienen, moet je ook maar zorgen dat je misbruik verhindert of afhandelt.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
