Indietro

ⓘ Mailbombing




Mailbombing
                                     

ⓘ Mailbombing

Il mailbombing consiste nell’invio di enormi volumi di email ad un indirizzo di posta elettronica, con l’obiettivo di mandare in overflow la casella postale dell’indirizzo email o di superare il server in cui l’indirizzo email è ospitato per effettuare un attacco denial-of-service. A differenza dell’email spam, che invece si rivolge a più indirizzi email, il mailbombing si concentra su un unico account.

                                     

1.1. Metodi di attacco Mass mailing

Il mass mailing consiste nell’invio di numerose email duplicate allo stesso indirizzo di posta elettronica. Questo metodo è il più semplice da progettare, per questo motivo possono essere facilmente rilevati dai filtri anti-spam.

Questo attacco può essere utilizzato per realizzare un DDoS Distributed Denial of Service, utilizzando una botnet, ovvero attraverso una rete composta da dispositivi, detti" zombie”, infettati da malware controllati da chi effettua l’attacco. In questo caso, l’attacco non viene effettuato da un singolo dispositivo ma da tutti i dispositivi della botnet. Questo tipo di attacco risulta più difficile da difendere, rispetto a un semplice mass mailing, a causa dei molteplici indirizzi email.

                                     

1.2. Metodi di attacco List linking

Il list linking, noto come" email cluster bomb”, consiste nel sottoscrivere un indirizzo di posta elettronica a più servizi di sottoscrizione. L’attacco può essere eseguito automaticamente attraverso degli script: si tratta di un attacco semplice da realizzare, quasi impossibile rintracciare l’autore e potenzialmente molto distruttivo. La vittima soggetta a questo tipo di attacco, dovrà annullare la sottoscrizione a questi servizi manualmente. La maggior parte dei siti di sottoscrizione, per prevenire questo tipo di attacco, invia una email di conferma all’indirizzo di posta utilizzato per la sottoscrizione di un servizio. Tuttavia, anche l’email di conferma possono essere facilmente utilizzate per l’attacco, poiché un milione di email che chiedono di confermare la sottoscrizione all’abbonamento sono più che sufficienti per abbattere il server.

È possibile utilizzare una difesa migliore senza abbandonare i moduli di sottoscrizione. Una volta compilati i moduli da parte dell’utente, viene mostrata una nuova pagina all’utente con un link mailto al sito Web. Dopo aver cliccato sul link mailto, viene inviata una email automatica al gestore della pagina Web che potrà verificare da dove è stata inviata l’email. Mentre l’indirizzo email del mittente potrebbe essere soggetta a spoofing, il suo indirizzo IP SMTP non può esserlo. Quindi è possibile verificare che l’indirizzo email, presente nella richiesta di modulo, corrisponda al server SMTP originario nel messaggio di convalida. In questo caso, un utente legittimo invierebbe quindi un messaggio per convalidare la richiesta senza ricevere alcuna email dal sito Web.

                                     

1.3. Metodi di attacco Zip bombing

Il zip bombing è un metodo alternativo per effettuare un mailbombing. Dopo che la maggior parte della posta elettronica incominciò ad essere controllata utilizzando software anti-virus e filtrando alcuni tipi di file potenzialmente dannosi come.EXE.RAR.ZIP, è stato configurato il software di posta elettronica per disimballare archivi e controllarne il contenuto.

Un attacco di questo tipo, può essere effettuato componendo un enorme file di testo nel quale viene ripetuto un carattere per milioni di volte, per esempio a’. Questo file viene compresso, in un formato relativamente piccolo, e nel momento della sua apertura può comportare ad un elevato utilizzo dello spazio sul disco rigido e in memoria RAM, che potrebbe comportare un DoS. Un file.zip o.tar.gz può contenere una copia di se stesso, provocando ricorsioni infinite se il server controlla i file di archivio nidificati.

                                     

2. Difesa contro il mailbombing

La difesa contro questo tipo di attacco può essere fatta in modo preventivo:

  • Honeypots: sono strumenti software o hardware utilizzati come" trappola”, vengono utilizzati per studiare o distrarre l’attaccante. Possono essere utilizzati come strumenti di difesa nei confronti del mass mailing e del list linking.
  • Sandbox: è uno strumento utilizzato per fare" esplodere” le bombe. Gli allegati di unemail vengono aperti ed eseguiti prima di raggiungere la casella email, nel caso si attivasse qualche virus verrebbe immediatamente bloccato ed eliminato.

Nel caso in cui si è soggetti ad un mailbombing, non sarà possibile utilizzare il client di posta elettronica per cancellare le mail, ma bisognerà agire direttamente sul server.Esistono due metodi:

  • Si apre una sessione telnet alla porta 110 telenet:110 e si cancellano a mano le email direttamente sul server. Nel caso di un mailbombing, l’operazione potrebbe risultare costosa in termini di tempo siccome i comandi vanno dati uno alla volta.
  • Si utilizza un programma che automatizzi le operazioni di telnet, strumento molto utile perché permette di risparmiare tempo e di non scaricare i messaggi sul proprio computer.


                                     

2.1. Difesa contro il mailbombing Comandi Telnet

Telnet è un programma client utilizzabile sia con sistemi operativi Unix che Windows. Viene illustrato in seguito le istruzione del protocollo POP3 da utilizzare una mailbox intasata da email.

Per avviare una sessione telnet: Menu Avvio / Esegui e digitare "cmd"

legenda: S = Messaggi del Server; i commenti dopo //

telnet nome.del.pop 110 S: +OK POP3 server ready USER name S: +OK POP3 server ready PASS string +OK name is a valid mailbox STAT S: +OK 2 320 ------> dimensione della mailbox | | | +----> numero di messaggi nella mailbox LIST S: 1 120 S: 2 200 elenco di tutti i messaggi LIST msg // questo comando mostra solo il messaggio indicato // con la sua dimensione LIST 2 S: +OK 2 200 DELE msg // ti marca _quel_ messaggio come deleted, lo cancella // effettivamente solo alluscita DELE 1 S: +OK message 1 deleted RSET // se ci si ripensa con RSET i messaggi vengono // de-taggati dallo stato di delete QUIT S: +OK dewey POP3 server signing off maildrop empty // i messaggi sono stati cancellati.
                                     

2.2. Difesa contro il mailbombing Sendmail

Sendmail è un mail server, per ambienti Unix e open source, distribuito sia come software libero sia come software proprietario. Questo server di posta è molto utilizzato sul fronte della sicurezza.

Per bloccare tutte le email provenienti da un indirizzo di posta, bisogna aggiungere lindirizzo email del mittente o il nome del sistema al file di access che si trova nella directory /etc/mail. Ogni riga del file access è composta da un indirizzo email, hostname, dominio o indirizzo IP e da una parola chiave che specifica loperazione da utilizzare. Le parole chiave possono essere:

  • OK: accetta le email dal mittente.
  • RELAY: accetta le email destinate ad un determinato dominio.
  • DISCARD: permette di scartare le email senza alcun messaggio.
  • ERROR: permette di personalizzare il messaggio di errore.
  • REJECT: permette di rispedire al mittente tutte le email con un messaggio di errore.

Un esempio del file access può essere:

# by default we allow relaying from localhost localhost.localdomain RELAY localhost RELAY 127.0.0.1 RELAY # accept mail unife.it OK 192.168.211 OK # reject mail cyberspammer.com REJECT 192.168.212 REJECT IPv6:2002:c0a8:51d2 23f4 REJECT # discard mail pippo domain_name DISCARD # reject with error pluto domain_name ERROR:4.2.2:450 mailbox full


                                     

3. Aspetti giuridici

In rete, si sta diffondendo lidea che questo tipo di attacco sia uno strumento legittimo per segnalare, denunciare e contestare qualsiasi tipo di idee o fenomeni. In realtà, anche se usato sotto forma di protesta, il mailbombing potrebbe violare alcune norme disciplinate dallordinamento Giuridico Italiano, in particolare due fattispecie previste dal codice penale:

  • art. 635 bis: Danneggiamento di sistemi informatici e telematici.
  • art. 617 quater: Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche.