MailbombingIl mailbombing consiste nell’invio di enormi volumi di email ad un indirizzo di posta elettronica, con l’obiettivo di mandare in overflow la casella postale dell’indirizzo email o di superare il server in cui l’indirizzo email è ospitato per effettuare un attacco denial-of-service. A differenza dell’email spam, che invece si rivolge a più indirizzi email, il mailbombing si concentra su un unico account[1][2]. Metodi di attaccoEsistono tre metodi per realizzare un mailbombing: mass mailing, list linking e zip bombing[3]. Mass mailingIl mass mailing consiste nell’invio di numerose email duplicate allo stesso indirizzo di posta elettronica. Questo metodo è il più semplice da progettare, per questo motivo possono essere facilmente rilevati dai filtri anti-spam. Questo attacco può essere utilizzato per realizzare un DDoS (Distributed Denial of Service), utilizzando una botnet, ovvero attraverso una rete composta da dispositivi, detti “zombie”, infettati da malware controllati da chi effettua l’attacco.[4] In questo caso, l’attacco non viene effettuato da un singolo dispositivo ma da tutti i dispositivi della botnet. Questo tipo di attacco risulta più difficile da difendere, rispetto a un semplice mass mailing, a causa dei molteplici indirizzi email. List linkingIl list linking, noto come “email cluster bomb”, consiste nel sottoscrivere un indirizzo di posta elettronica a più servizi di sottoscrizione.[5] L’attacco può essere eseguito automaticamente attraverso degli script: si tratta di un attacco semplice da realizzare, quasi impossibile rintracciare l’autore e potenzialmente molto distruttivo. La vittima soggetta a questo tipo di attacco, dovrà annullare la sottoscrizione a questi servizi manualmente. La maggior parte dei siti di sottoscrizione, per prevenire questo tipo di attacco, invia una email di conferma all’indirizzo di posta utilizzato per la sottoscrizione di un servizio. Tuttavia, anche l’email di conferma possono essere facilmente utilizzate per l’attacco, poiché un milione di email che chiedono di confermare la sottoscrizione all’abbonamento sono più che sufficienti per abbattere il server. È possibile utilizzare una difesa migliore senza abbandonare i moduli di sottoscrizione.[6] Una volta compilati i moduli da parte dell’utente, viene mostrata una nuova pagina all’utente con un link mailto al sito Web. Dopo aver cliccato sul link mailto, viene inviata una email automatica al gestore della pagina Web che potrà verificare da dove è stata inviata l’email. Mentre l’indirizzo email del mittente potrebbe essere soggetta a spoofing, il suo indirizzo IP SMTP non può esserlo. Quindi è possibile verificare che l’indirizzo email, presente nella richiesta di modulo, corrisponda al server SMTP originario nel messaggio di convalida. In questo caso, un utente legittimo invierebbe quindi un messaggio per convalidare la richiesta senza ricevere alcuna email dal sito Web[7]. Zip bombingIl zip bombing è un metodo alternativo per effettuare un mailbombing.[8] Dopo che la maggior parte della posta elettronica incominciò ad essere controllata utilizzando software anti-virus e filtrando alcuni tipi di file potenzialmente dannosi (come .EXE, .RAR, .ZIP), è stato configurato il software di posta elettronica per disimballare archivi e controllarne il contenuto. Un attacco di questo tipo, può essere effettuato componendo un enorme file di testo nel quale viene ripetuto un carattere per milioni di volte, per esempio ‘a’. Questo file viene compresso, in un formato relativamente piccolo, e nel momento della sua apertura può comportare ad un elevato utilizzo dello spazio sul disco rigido e in memoria RAM, che potrebbe comportare un DoS. Un file .zip o .tar.gz può contenere una copia di se stesso , provocando infiniti loop se il server controlla i file di archivio nidificati[9]. Difesa contro il mailbombingLa difesa contro questo tipo di attacco può essere fatta in modo preventivo:
Nel caso in cui si è soggetti ad un mailbombing, non sarà possibile utilizzare il client di posta elettronica per cancellare le mail, ma bisognerà agire direttamente sul server.[12] Esistono due metodi:
Comandi TelnetTelnet è un programma client utilizzabile sia con sistemi operativi Unix che Windows. Viene illustrato in seguito quali istruzioni del protocollo POP3 occorre utilizzare in una mailbox intasata da email[13]. Per avviare una sessione telnet: Menu Avvio / Esegui e digitare "cmd" (legenda: S = Messaggi del Server; i commenti dopo //) telnet nome.del.pop 110 S: +OK POP3 server ready USER name S: +OK POP3 server ready PASS string +OK name is a valid mailbox STAT S: +OK 2 320 ------> dimensione della mailbox | | | +----> numero di messaggi nella mailbox LIST S: 1 120 S: 2 200 [..] elenco di tutti i messaggi LIST msg // questo comando mostra solo il messaggio indicato // con la sua dimensione LIST 2 S: +OK 2 200 DELE msg // ti marca _quel_ messaggio come deleted, lo cancella // effettivamente solo all'uscita DELE 1 S: +OK message 1 deleted RSET // se ci si ripensa con RSET i messaggi vengono // de-taggati dallo stato di delete QUIT S: +OK dewey POP3 server signing off (maildrop empty) // i messaggi sono stati cancellati. SendmailSendmail[14] è un mail server, per ambienti Unix e open source, distribuito sia come software libero sia come software proprietario. Questo server di posta è molto utilizzato sul fronte della sicurezza. Per bloccare tutte le email provenienti da un indirizzo di posta, bisogna aggiungere l'indirizzo email del mittente o il nome del sistema al file di access che si trova nella directory /etc/mail. Ogni riga del file access è composta da un indirizzo email, hostname, dominio o indirizzo IP e da una parola chiave che specifica l'operazione da utilizzare. Le parole chiave possono essere:
Un esempio del file access può essere[15]: # by default we allow relaying from localhost localhost.localdomain RELAY localhost RELAY 127.0.0.1 RELAY # accept mail unife.it OK 192.168.211 OK # reject mail cyberspammer.com REJECT 192.168.212 REJECT IPv6:2002:c0a8:51d2::23f4 REJECT # discard mail pippo@domain_name DISCARD # reject with error pluto@domain_name ERROR:4.2.2:450 mailbox full Aspetti giuridiciIn rete, si sta diffondendo l'idea che questo tipo di attacco sia uno strumento legittimo per segnalare, denunciare e contestare qualsiasi tipo di idee o fenomeni. In realtà, anche se usato sotto forma di protesta, il mailbombing potrebbe violare alcune norme disciplinate dall'ordinamento Giuridico Italiano[16], in particolare due fattispecie previste dal codice penale:
Note
Voci correlate |