'Eén Gmail-account kan spamwerk van klein botnet verzetten'

Middels een vooralsnog niet openbaar gemaakte exploit zijn twee beveiligingsonderzoekers erin geslaagd de smtp-servers van Gmail als open relays te misbruiken. Op die manier kon een grote hoeveelheid mail buiten spamfilters om verstuurd worden.

Gmail logo De twee onderzoekers van Insert, Pablo Ximenes en André dos Santos, schreven een proof of concept exploit om de forwarding-mogelijkheden van Gmail te misbruiken. De kwetsbaarheid kon gebruikt worden om een grote hoeveelheid spam via Gmails servers te versturen en daarbij spamfilters te omzeilen. Volgens Ximenes en Dos Santos kan één Gmail-account dankzij de exploit het werk van een klein botnet verzetten. De exacte details van de aanval gaven de onderzoekers niet prijs, aangezien zij Google in staat willen stellen het lek te dichten.

Met de exploit slaagden de beveiligingsonderzoekers erin een kwetsbaarheid in de mailforwarding van Gmail uit te buiten: tijdens het doorsturen van e-mail controleert Gmail de headers van mailtjes niet en laat vervalste gegevens intact. De poc-exploit maakt gebruik van deze fout en stelde de onderzoekers in staat mailtjes met vervalste gegevens te forwarden naar zoveel adressen als zij wilden. De gebruikelijke limiet van 500 e-mails die Google hanteert voor het versturen van grote hoeveelheden mail, werd daarbij gepasseerd: het programma stopte na het versturen van ruim vierduizend mailtjes.

Door van de smtp-servers van Google gebruik te maken, kregen de mailtjes die de onderzoekers verstuurden bovendien een vertrouwde status bij de mailservers van andere providers. Dat is te danken aan de grote hoeveelheid spam die circuleert: spamfilters worden niet op alle e-mails toegepast, maar op slechts een deel. Veel e-mail wordt op basis van het vertrouwensniveau van de provider beoordeeld: betrouwbare afzenders worden aan een whitelist toegevoegd, terwijl spambronnen geblacklist worden. De onderzoekers maakten gebruik van de whitelist-status van Gmail om hun spam bij testaccounts bij Yahoo en Hotmail af te leveren. Die vertrouwensrelatie tussen providers bleek zelfs zo ver te gaan, dat Ximenes en Dos Santos er met hun poc in slaagden spam van hun geblackliste ip-adressen naar Yahoo- en Hotmailadressen te sturen, die keurig in de respectievelijke inboxen aankwam. Wanneer de spam echter zonder de exploit te gebruiken verstuurd werd, kwam de e-mail niet aan.

De snelheid waarmee de spam-, of desgewenst phishing-berichten, verstuurd werden, bedroeg gemiddeld elf mailtjes per minuut. De Insert-medewerkers stellen echter dat het misbruiken van meerdere Gmail-accounts de capaciteit van een botnet zou benaderen. Google is op de hoogte van de kwetsbaarheid in hun forwarding-configuratie gesteld, maar op de relevante Google-blogs wordt nog geen melding van de kwetsbaarheid gemaakt.

IT-banen

Reacties (61)

EGroen 8 mei 2008 13:14

1 gmail account gelijk aan klein botnet
meerdere de capaciteit van een 'normaal' botnet

OruBLMsFrl @EGroen • 8 mei 2008 13:23

iedere 5.5 seconden een mailtje verzenden is een klein botnet? Wel een heel triest botnet dan zeg, je kunt toch makkelijk tientallen mails per seconde verzenden op de meeste ADSL/kabel verbindingen als er verder niets actief is. Wat heel eenvoudig is door je spam verkeer een lage QoS prioriteit mee te geven zodat de gebruiker van de PC er nooit last van heeft, of netwerkverkeer actief te monitoren natuurlijk. Laten we wel wezen, 11 mails per minuut is maar 15.840 mails per dag. Een beetje spam run loopt in de (tientallen?) miljoenen voor wat ik ervan begrijp. Lijkt me dat je daar met een klein botnet niet maanden over doet, anders levert het toch ook niets op?
Al met al leuk gevonden van die onderzoekers en goed dat het lek gedicht wordt, maar ze moeten nu niet gaan doen alsof dit de manier was geweest om het hele internet plat te spammen en ze ons allemaal gered hebben.

tomhagen @OruBLMsFrl • 8 mei 2008 13:48

Bij een botnet ga je niet als een gek de bandbreedte vol plempen. Je bent een parasiet en zoals altijd bij parasieten, is de dood van de host funest voor de parasiet. Als je door iets minder te spammen detectie van je bot-applicatie kunt voorkomen, is dat uitermate gunstig voor 't botnet. Is 't niet de eigenaar van de geinfecteerde machine, dan is 't wel de netwerk admin die ineens een grote piek aan smtp verkeer ziet.

Al met al leuk gevonden van die onderzoekers en goed dat het lek gedicht wordt, maar ze moeten nu niet gaan doen alsof dit de manier was geweest om het hele internet plat te spammen en ze ons allemaal gered hebben.

Het lek moet nog gedicht worden. Daarna zullen ze hoogstwaarschijnlijk direct de "proof of concept" online rossen. Het zou echter weldegelijk uitermate schadelijk zijn als de gmail servers wel exploitable zouden zijn. Ze hebben een bak bandbreedte en staan (nog) niet veel in RBLs. Dus is de kans dat de emails daadwerkelijk aankomen (en in de inbox van het slachtoffer) vrij groot.

De bal ligt nu bij Google, maar gezien de voorgaande XSS hacks en traagheid van oplossen toen, zal het ook hier wel even duren. Hulde aan deze heren!

Nekje64 @OruBLMsFrl • 9 mei 2008 13:44

De Insert-medewerkers stellen echter dat het misbruiken van meerdere Gmail-accounts de capaciteit van een botnet zou benaderen.

lezen

Woet 8 mei 2008 13:08

Netjes dat ze het niet exploiten en gewoon doorsturen naar google.
Als iedereen dat nou deed..

Oceria @Woet • 8 mei 2008 13:18

Het gevolg ervan is wel dat Google nog geen reactie heeft gegeven en niemand buiten Google dus zeker weet of er ook iets met die informatie wordt gedaan.

Overigens verwacht ik wel dat Google daadwerkelijk aan een oplossing werkt, aangezien zij zelf ook slachtoffer zouden worden als deze exploit uitgebuit gaat worden.

Een ander gevolg van deze proof-of-concept is natuurlijk dat de "whitelist" methode weer ter discussie komt te staan. Whitelists werden aangelegd om de benodigde CPU cylces voor spamdetectie te beperken, maar juist nu goedkope methodes als SPF en greylisting meer met succes worden toegepast, moet je je afvragen of een dergelijke methode nog wel grootschalig moet worden toegepast.

OruBLMsFrl @Oceria • 8 mei 2008 13:50

Ik heb whitelisten altijd al een heel slecht concept gevonden. Maar goed, allerlei bedrijven versturen mails vanaf verkeerd ingestelde servers, zoals server.bedrijf.local. Vaak heeft dan een of ander IT bedrijfje een Exchange server geplaatst en het Windows domein local genoemd. Gevolg is dat iedere controle op de mailserver van de afzender moet worden uitgeschakeld.
Daarna gaan de gebruikers klagen, te veel spam. Je moet iets, dus het filter wordt strakker en je probeert het beter te trainen. Helpt wel iets maar nog steeds komt veel spam binnen. Uiteindelijk ga je het spamfilter net wat te strak afstellen en vaste 'klanten' waar je veel mee mailt whitelisten, omdat je niet anders kunt. SPF helpt ook niet totdat mensen hun mailservers zich behoorlijk laten identificeren, want voor behoorlijke controle heb je een PTR record in DNS nodig, wat vrijwel nooit aanwezig is bij bedrijven zoals hierboven beschreven.
Diep triest al met al, maar ik vrees dat whitelisten en andere arbeidsintensieve methoden nog wel even blijven bestaan, tenzij een aantal grote spelers op de markt gezamenlijk en rigoreus mail van verkeerd geconfigureerde mailservers naar de prullenmand verwijzen. Misschien een leuk initiatief om te starten voor 2010?

Verwijderd @OruBLMsFrl • 8 mei 2008 15:03

Hmm ben ik nu gek ???? Ik gebruik al sinds tijden mijn eigen list, die is erg simpel al mijn kontakten komen door en alles wat niet van mijn kontakten afkomt wordt automatisch van de server verwijderd. Als ik ergens b.v. een bedrijf een mailtje stuur voor laat maar zeggen informatie of een bestelling gaan de twee deze e-mail adressen in het kontaktboek en bij een reply van hun kant komt dat gewoon door en dan gaat nog steeds alle andere e-mail in de trash op de server. Dit werkt vlekkeloos sinds een jaar of 2.

Verwijderd @Verwijderd • 8 mei 2008 15:13

Maar je weet niet of je spontaane mail kwijtraakt want die zie je niet.
Als je alleen wilt mailen met de mensen die je ken, dan werkt het prima. Als ik wil dat mijn klanten mij kunnen mailen (en ik weet niet al hun e-mailadressen) dan moet ik het dus wat ruimer nemen. Dit betekend automatisch spam.

Als mensen nou gewoon een keertje ophielden erin te trappen en niet steeds op de pennisvergrotingen ging klikken dan los het probleem zichzelf op. [/naiviteit]

Verwijderd @Verwijderd • 8 mei 2008 16:45

Nou ik werk met bedrijven en die hebben hun eigen mailadres evenals hun medewerkers, maar dat zijn de bedrijven waar ik mee werk, als je in een andere brache zit zul je waarschijnlijk door meerdere bedrijven worden benaderd en heb je helemaal gelijk. Ik denk dat het ook erg bedrijf afhankelijk is dit soort dingen.

tomhagen @Verwijderd • 8 mei 2008 16:46

En jij/jullie hebben geen sales afdeling waar mensen spontaan naar kunnen mailen? Leuke binnenkomer als je een bedrijf mailt uit interesse en je mail wordt keihard gebounced...

Verwijderd @tomhagen • 8 mei 2008 19:02

Nee, want dit is één van de bedrijfjes die uit 3 man bestaat en specifiek voor iets en iemand werken.

ASS-Ware @OruBLMsFrl • 9 mei 2008 20:54

Ik heb whitelisten altijd al een heel slecht concept gevonden. Maar goed, allerlei bedrijven versturen mails vanaf verkeerd ingestelde servers, zoals server.bedrijf.local. Vaak heeft dan een of ander IT bedrijfje een Exchange server geplaatst en het Windows domein local genoemd. Gevolg is dat iedere controle op de mailserver van de afzender moet worden uitgeschakeld.
Daarna gaan de gebruikers klagen, te veel spam.

Ik weet niet hoeveel kennis jij hebt van Exchange, maar als iedereen een .local adres heeft, dan kan niemand mail van buiten ontvangen hoor, dat gaat gewoon niet aankomen, want .local is geen tld.

Blokker_1999

Netwerk en systeembeheer

@Woet • 8 mei 2008 13:18

Vele exploits worden vaak eerst naar de betreffende software leverancier gestuurd. Spijtig genoeg vertikt men het vaak om met een oplossing te komen. Daarom dat men achteraf alsnog met de publicatie komt.

Als google het nalaat dit gat te dichten dan zal wss de poc ook wel vrijgegeven worden om extra druk te zetten.

IStealYourGun @Blokker_1999 • 8 mei 2008 13:54

En daarnaast is het ook nog mooi voor op je CV. (of je wikipedia pagina)

bbr @Woet • 8 mei 2008 13:45

Vaak is het wel zo dat ze na een maand of twee de informatie wel publiekelijk maken. zoals ook vaak word gedaan met windows exploits.

Op deze manier zetten ze er druk achter om de bug asap te fixen.

Verwijderd @Woet • 8 mei 2008 13:15

Dan zouden de spammers, zichzelf tegenwerken

tomhagen 8 mei 2008 13:55

Gmail is natuurlijk Nog in Beta.. Maar goed ... anders kregen ze vies over hun voeten van veel providers.. nu kunne e even zeggen we zitten nog in een 2 jaar beta ..LOL.

De beta kaart werkt alleen voor de gebruikers. Als iemand pardoes al zijn mail op gmail kwijt is, kunnen ze dat gebruiken. Een willekeurige ISP heeft echter niets, maar dan ook niets met gmail te maken. Als ze veelvuldig aangevallen worden, zullen de gmail servers _echt_ wel in een RBL verdwijnen. Voor zover ik me kan herinneren heeft Google al eens in de SpamCop RBL gehangen...

[Reactie gewijzigd door tomhagen op 22 juli 2024 18:48]

_JGC_ @tomhagen • 8 mei 2008 14:11

Is niet de eerste keer dat gmail in een RBL heeft gestaan:

PERM_FAILURE: SMTP Error (state 13): 554 5.7.1 Service unavailable; Sender address [xxxx@gmail.com] blocked using rhsbl.ahbl.org; gmail.com - trelane - Google GMail, relaying child pornography spam

Probleem is dat google weinig tot niks doet met abuse meldingen. Toen de beheerders van ahbl.org veel kinderporno spam via GMail kregen hebben ze contact opgenomen met de abuse desk en werden ze gewoon niet serieus genomen. Als gevolg daarvan is heel GMail in ahbl.org gekomen met bovenstaande melding.

timonb @_JGC_ • 8 mei 2008 14:42

Het heeft ook niet echt zin om elke melding serieus te nemen. Dan heeft een bedrijf als google 100 man in dienst nodig om al die abuse meldingen af te handelen.

Je lost dergelijke problemen op door het patroon te doorbreken.

_JGC_ @timonb • 8 mei 2008 14:55

Een ISP die geen reactie onderneemt op dit soort abuse meldingen, en waarbij je bij telefonisch contact naar 2 afdelingen geweigerd wordt om doorverbonden te worden met de abuse desk, mag van mij gewoon op een blacklist. Dit is dus wat de mensen van ahbl.org gedaan hebben destijds. Ondertussen gaan de spamruns met kinderporno gewoon door.
Als je graag een provider wilt zijn die gratis mail aanbiedt aan veel gebruikers in ruil voor het tonen van advertenties om daar flink geld aan te verdienen, moet je ook maar zorgen dat je misbruik verhindert of afhandelt.

timonb @_JGC_ • 8 mei 2008 16:22

Wat ik trachtte te zeggen is dat je niet elke abuse melding individueel wilt gaan oplossen. Daar heb je veel te veel werk aan. Het is beter om de patronen te herkennen en zodoende veel problemen in één keer op te lossen.

marcieking

8 mei 2008 13:06

Dus niet één, maar meerdere Gmail accounts kunnen een klein botnet evenaren...

dasiro @marcieking • 8 mei 2008 13:13

inderdaad. lijkt me dat je maar een lousy botnet hebt als je maar 1 mail per 5.5 seconde kunt sturen

Verwijderd @dasiro • 8 mei 2008 13:43

De Insert-medewerkers stellen echter dat het misbruiken van meerdere Gmail-accounts de capaciteit van een botnet zou benaderen.

Dus, één account is gelijk aan een klein botnet. Meerdere een maken een grote.

Lijkt me logisch als ééntje niet afdoende is, dat je er dan gaat opschalen. Een beetje tekstvulling van de autheur, lijkt mij.

OddesE @Verwijderd • 8 mei 2008 20:41

Dus, één account is gelijk aan een klein botnet. Meerdere een maken een grote.

Mmm.. wel een héél klein botnet dan..

De snelheid waarmee de spam-, of desgewenst phising-berichten, verstuurd werden, bedroeg gemiddeld elf mailtjes per minuut.

No offence maar ik denk dat mijn PC'tje dat in zijn eentje ook wel red hoor. Ik denk dat een klein botnet (zeg 100 computers) makkelijk duizenden of zelfs tienduizenden mailtjes per minuut kan versturen.

Martinspire @dasiro • 8 mei 2008 15:26

Is nog altijd wel 15709 mailtjes per dag hoor. Als je gewoon een server ergens hebt staan met meerdere gmail spam accounts kun je toch aardig wat versturen.

OddesE @Martinspire • 8 mei 2008 20:43

15709 mailtjes is niks. Grote spammers sturen honderden miljoenen mailtjes per run. En zo'n run duurt minder dan een dag. En kost maar 200 dollar voor de 'adverteerder'. Ik weet dat want als zo'n spammer een tijd geen klanten vindt gaat ie voor zichzelf 'adverteren'

darkfader @dasiro • 8 mei 2008 19:54

Maar er komen % gezien wel meer mailtjes aan. Ach ja. Het boeit niet echt want het is toch zo weer opgelost.

_Thanatos_ @darkfader • 9 mei 2008 11:58

Dat is te hopen, want nu het hek van de dam is, is het een kwestie van tijd voordat kwaadwillende hackers dit probleem ook gaan proberen te exploiteren. En dan heb je de poppen aan het dansen. Ik denk dat Google dit binnen enkele dagen opgelost moet hebben, want 10 tegen 1 dat er al verschillende hackers zijn die dit aan het uitproberen zijn.

CyBeR 8 mei 2008 13:21

Euh, klinkt alsof ze gewoon SMTP authenticatie aan hebben gezet in hun spambot.

tomhagen @CyBeR • 8 mei 2008 13:49

Neen, want dan mag je maar 500 mailtjes per dag (?) versturen.

SWINX @CyBeR • 8 mei 2008 13:52

Volgens mij maak ik uit het bericht op dat Gmail de headers dan herschrijft naar jouw opgegeven emailadres, wanneer je wat anders probeert.
In Outlook krijg je dan bijvoorbeeld zo'n "pietje@123.com namens pietje@ gmail.com" structuur, als ik me niet vergis.

De truc is volgens mij dat ze iets hebben gevonden om dit juist te omzeilen, waardoor ze een mogelijkheid hebben tot geforceerde headers die Gmail niet herschrijft.

[Reactie gewijzigd door SWINX op 22 juli 2024 18:48]

tomhagen @SWINX • 8 mei 2008 14:03

Wat ik opmaak uit de tekst is dat ze de meegezonden headers juist niet controleren en/of aanpassen. Ik vermoed dat ze in de headers dus doen voorkomen alsof een google server (met alle keys/signatures en andere trucen) de mail reeds behandeld heeft. Voordat de mail van gmail bij een andere provider aankomt, moet het namelijk langs een aantal mail servers.

De blokkade van 500 mailtjes zal (vermoedelijk) op de eerste hop zitten. Gewoon naar de tweede posten en melden dat je die eerste reeds gehad hebt en klaar ben je ...

maar ik zal 't wel te makkelijk voorstellen

Verwijderd 8 mei 2008 15:19

ik vraag me nog steeds af waar het geld vandaan komt voor de spammers: wie koopt er in vredesnaam $$$HeRBaLL viGr@ - mexco stock
of iets vergelijkbaars

TERW_DAN @Verwijderd • 8 mei 2008 15:38

Als er maar 1 persoon reageert van de miljoenen dan hebben ze al winst (afhankelijk van het product). Ik vraag me echt af wat mensen die dit soort dingen kopen denken en hoe die kunnen overleven in de echte wereld. Als je zo naief bent dan gaat dat toch vast een keer fout lijkt me

Maar goed, ik vraag het me al af wat voor mensen spam daadwerkelijk lezen, hier gaat het direct de prullenbak in als er nog iets doorkomt.

tomhagen @Verwijderd • 8 mei 2008 16:36

Er zijn altijd wel mensen die 't willen hebben. Een tijd of wat terug werd je figuurlijk doodgegooid met tennisballen en pennen. En he, dat is leuk, een replica rol3x!

Ik vraag me ook af wie er in vredesnaam altijd op die Adsense advertenties klikt waar je op een willekeurig blog mee om de oren wordt geslagen ... *ik* in ieder geval niet. Kennelijk genoeg andere mensen wel.

Zoals gezegd, als er maar 1 op de miljoen reageert is 't al de moeite waard. Een flyer deur aan deur bezorgen is een stuk duurder (en ik vraag me ook vaak af wie er in vredesnaam die stapels reclame folders die dagelijks in de bus liggen doorspit).

fommes 8 mei 2008 15:35

dat vraag ik me ook al jaren af, geen enkele persoon die (lijkt mij iig) denkt he ja dat is een goed idee viGr@! laat ik het maar bestellen ?!

Verwijderd 8 mei 2008 17:37

De snelheid waarmee de spam-, of desgewenst phising-berichten, verstuurd werden, bedroeg gemiddeld elf mailtjes per minuut.

Bij 50% van de webmail systemen (als het al niet meer is) , is het mogelijk om een script + catpcha kraker te maken die minsten een 2x zo hoge snelheid haalt en dan stelt het nog helemaal niets voor (heb ik zelf al eens voor een webbased game gemaakt om geheel automatisch te spelen ipv te mailen).
Met zulke lage snelheid is het nauwelijks nieuws te noemen en de titel is al helemaal niet passend. Ik bedoel de spam die wereldwijd wordt rondgestuurd gebeurt vast niet op deze snelheid

.
Het heeft allemaal meer iets weg van een klein lekje vinden in het systeem van een groot bedrijf en vervolgens dit nieuws hartstikke op te blazen. Maarja, sensatie drang zie je hier wel meer tegenwoordig.

Nunc_ 8 mei 2008 20:29

In combinatie met de gekraakte captcha's van gmail is het best een prima hack.
Weliswaar maat 5,5 mails per minuut per account, maar met een paar accounts is het al knallen.

ChiLLeR

9 mei 2008 15:34

Dit lek wordt nu al volop geexploit, onze spamfilter krijgt een gigantische hoeveelheid spam te verwerken afgelopen 2 dagen. Ze hebben gewoon de google mail headers omgebouwd en doen net of het een andere afzender is.

flux_w42 @ChiLLeR • 9 mei 2008 17:15

Heb ik ook gemerkt. Ik krijg nu zelfs spam van mijzelf

Vandaag alleen al 19 spam berichten ontvangen en allemaal keurig in de spam map, ook al komen sommige mails van zogezegd "betrouwbare"gmail accounts.

't is wel grappig om mail (lees: spam) van jezelf te ontvangen. Op de duur zou je nog denken dat je schizofreen bent

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (61)

Sorteer op:

Weergave: