Vincent Canfield, amministratore del rivenditore di posta elettronica e hosting cock.li, ha scoperto che la sua intera rete IP è stata automaticamente aggiunta all'elenco DNSBL di UCEPROTECT per la scansione delle porte da macchine virtuali vicine. La sottorete di Vincent è stata inclusa nell'elenco del livello 3, in cui il blocco viene effettuato da numeri di sistema autonomi e copre intere sottoreti dalle quali vengono attivati ripetutamente e per indirizzi diversi i rilevatori di spam. Di conseguenza, il provider M247 ha disabilitato la pubblicità di una delle sue reti in BGP, sospendendo di fatto il servizio.
Il problema è che quelli finti server UCEPROTECT, che si finge un relay aperto e rileva i tentativi di invio di email tramite esso, aggiunge automaticamente gli indirizzi alla lista di blocco in base a qualsiasi attività di rete, senza verificare la connessione di rete. Un metodo di blocco simile è utilizzato anche dal progetto Spamhaus.
Per essere inclusi nella lista dei blocchi, è sufficiente inviare un singolo pacchetto TCP SYN, che può essere sfruttato dagli aggressori. In particolare, poiché non è richiesta una conferma della connessione TCP bidirezionale, è possibile falsificare un pacchetto specificando un indirizzo falso. Indirizzi IP e avviare il blocco di qualsiasi host. Simulando l'attività da più indirizzi, il blocco può essere intensificato ai Livelli 2 e 3, che bloccano per subnet e numero di sistema autonomo.
L'elenco di livello 3 è stato originariamente creato per combattere i fornitori che incoraggiano attività dannose dei clienti e non rispondono ai reclami (ad esempio, siti di hosting creati appositamente per ospitare contenuti illegali o servire spammer). Alcuni giorni fa UCEPROTECT ha cambiato le regole per entrare nelle liste di livello 2 e livello 3, il che ha portato ad un filtraggio più aggressivo e ad un aumento delle dimensioni delle liste. Ad esempio, il numero di voci nell’elenco del Livello 3 è cresciuto da 28 a 843 sistemi autonomi.
Per contrastare UCEPROTECT è stata avanzata l'idea di utilizzare indirizzi falsificati durante la scansione indicando IP della gamma degli sponsor UCEPROTECT. Di conseguenza, UCEPROTECT ha inserito nei suoi database gli indirizzi dei suoi sponsor e di molte altre persone innocenti, creando problemi con la consegna delle e-mail. Nella lista di blocco è stata inclusa anche la rete CDN Sucuri.
Fonte: opennet.ru
