Vincent Canfield, amministratore del rivenditore di posta elettronica e hosting cock.li, ha scoperto che la sua intera rete IP è stata automaticamente aggiunta all'elenco DNSBL di UCEPROTECT per la scansione delle porte da macchine virtuali vicine. La sottorete di Vincent è stata inclusa nell'elenco del livello 3, in cui il blocco viene effettuato da numeri di sistema autonomi e copre intere sottoreti dalle quali vengono attivati ripetutamente e per indirizzi diversi i rilevatori di spam. Di conseguenza, il provider M247 ha disabilitato la pubblicità di una delle sue reti in BGP, sospendendo di fatto il servizio.
Il problema è che i falsi server UCEPROTECT, che fingono di essere relè aperti e registrano i tentativi di inviare posta tramite se stessi, includono automaticamente gli indirizzi nell'elenco dei blocchi in base a qualsiasi attività di rete, senza verificare l'instaurazione di una connessione di rete. Un metodo di blocklist simile viene utilizzato anche dal progetto Spamhaus.
Per entrare nella lista di blocco è sufficiente inviare un pacchetto TCP SYN, che può essere sfruttato dagli aggressori. In particolare, poiché non è necessaria la conferma bidirezionale di una connessione TCP, è possibile utilizzare lo spoofing per inviare un pacchetto indicante un indirizzo IP falso e avviare l'inserimento nella block list di qualsiasi host. Quando si simula l'attività da più indirizzi, è possibile intensificare il blocco al Livello 2 e al Livello 3, che eseguono il blocco per sottorete e numeri di sistema autonomi.
L'elenco di livello 3 è stato originariamente creato per combattere i fornitori che incoraggiano attività dannose dei clienti e non rispondono ai reclami (ad esempio, siti di hosting creati appositamente per ospitare contenuti illegali o servire spammer). Alcuni giorni fa UCEPROTECT ha cambiato le regole per entrare nelle liste di livello 2 e livello 3, il che ha portato ad un filtraggio più aggressivo e ad un aumento delle dimensioni delle liste. Ad esempio, il numero di voci nell’elenco del Livello 3 è cresciuto da 28 a 843 sistemi autonomi.
Per contrastare UCEPROTECT è stata avanzata l'idea di utilizzare indirizzi falsificati durante la scansione indicando IP della gamma degli sponsor UCEPROTECT. Di conseguenza, UCEPROTECT ha inserito nei suoi database gli indirizzi dei suoi sponsor e di molte altre persone innocenti, creando problemi con la consegna delle e-mail. Nella lista di blocco è stata inclusa anche la rete CDN Sucuri.
Fonte: opennet.ru