• Résumé : Spam - à l'attaque.
  

• Mots-clés : spam, spam viral, IRC, messageries instantanées, e-mail, email, courrier électronique, courrier électronique non-sollicité, courriers électroniques non-sollicités, courriel, pourriel, spamming, mail, mail bombing, junk e-mail, junk email, junk mail, scam, script kiddy, script-kiddie, script-kiddies, spammer, spammers, spammeur, spammeurs, decipher, obfuscated, deobfuscated
  

Spam - à l'attaque

Spam - à l'attaque
Pierre Pinard^© (01..03.2004 - révision 1)



Il y a des projets anti-spam ou nous, les spammés, passerions d'une position défensive à une position méchamment agressive.

La majotité des spam sont commerciaux (viagra, molécules pharmaceutiques... ou porno).

Dans tous les cas, l'annonceur est donc obligé de se dévoiler. Je dis bien l'annonceur - on laisse tomber le spammeur qui n'est qu'un intermédiaire (les 2 peuvent se confondre parfois mais ça ne change rien à ce qui suit). Il y a donc une url valide dans le spam.

L'idée est de dire : l'outil anti-spam, côté client (internaute) identifie le spam et passe à l'attaque. L'outil anti-spam fait immédiatement des accès au site indiqué dans le spam, créant ainsi un DDoS (Déni de service distribué) contre le site "bénéficiaire du spam. Plus le spam est important, plus le DDoS est important. La méthode consiste à lire une ou des pages du site ciblé jusqu'à concurence, par exemple, de 10 millions de caractères demandés. Il n'y a pas à se soucier des web-bug et autres outils de tracking puisque la demande n'est pas interprétée par un navigateur Web, les contrôles ActiveX ou les BHOs ne peuvent pas être génant. Le flux demandé et simplement compté (nombre de caractères) puis perdu et on recommence, sur plusieurs jours s'il le faut.

On peut classer ce genre de réplique dans l'une des méthodes visant à inverser le transfert de charge. Si le "bénéficiaire" veut absorber l'attaque en DDoS il est obligé d'acquérir des équipements importants dont le coût est probablement sans commune mesure avec le bénéfice qu'il pourait espérer tirer d'une opération de Spam.

On peut classer également ce genre de réplique dans les mesures de rétortion par action technique.



+ Psychologiquement, l'ancien attaqué, sur la défensive depuis des années, renverse la vapeur.

+ Etouffement économique des spammeurs et de leurs commanditaires

+ Etouffement économique des marchés parallèles

+ En sus de l'attaque en DDoS, les DNS pourraient immédiatement diriger vers un dummy le nom de domaine. Ceci permet à l'attaque en DDoS d'exploser le domaine, le temps que le blocage au niveau des dns se propage (environ 24 à 48 heures). Au delà, l'attaque en DDoS est d'elle même éteinte puisqu'elle ne peut plus atteindre le site mais, simultanément, plus personne ne peut atteindre le site, au niveau planétaire.

- La loi du talion est-elle légale ?

- Attaque en DDoS facile à mettre en oeuvre mais le blocage au niveau des DNS demande une coopération internationale, confiance et coordination (ou encadrement contraignant par une autorité à déterminer).

- Attention aux effets de bords (faux positifs qui pouraient asphyxier une machine innocente)

- Attention à une astuce du spammeur qui pourrait indiquer un grand nombre de bénéficiaires, rendant techniquement impossible le DDoS de cette nature car se serait l'ensemble de l'Internet mondial qui serait impacté sous le flot des attaques trop nombreuses.

- Inapliquable aux connexions basses vitesses (mais elles sont en voie d'extinction) - seuls les utilisateurs en connexions permanentes (Adsl...) peuvent le faire.

- Attention à l'encombrement des réseaux

De toutes manières on ne peut pas rester en position défensive avec des machines de plus en plus puissantes pour faire tourner de plus en plus de filtres.

Rédigé en écoutant