Vincent Canfield, amministratore del servizio email e rivenditore di hosting cock.li, ha scoperto che l'intera sua rete IP è stata automaticamente inserita nella lista DNSBL UCEPROTECT a causa della scansione delle porte proveniente da macchine virtuali vicine. La subnet di Vincent è finita nella lista di livello 3, in cui il blocco avviene per numero di sistemi autonomi e abbraccia intere sottoreti da cui si sono attivati più volte i rilevatori di spam per indirizzi diversi. Di conseguenza, il fornitore M247 ha disabilitato l'annuncio di una delle sue reti in BGP, sospendendo effettivamente il servizio.
Il problema è che i finti server UCEPROTECT, che si spacciano per relè aperti e registrano i tentativi di invio di posta attraverso di essi, aggiungono automaticamente gli indirizzi alla lista di blocco sulla base di qualsiasi attività di rete, senza controllare l'instaurazione della connessione di rete. Un metodo simile di inserimento nella lista di blocco è utilizzato anche dal progetto Spamhaus.
Per entrare nella lista di blocco, è sufficiente inviare un pacchetto TCP SYN, sfruttabile da malintenzionati. In particolare, poiché non è richiesta una conferma bidirezionale della connessione TCP, è possibile utilizzare lo spoofing per inviare un pacchetto con un indirizzo falso Indirizzi IP e iniziare a bloccare qualsiasi host. Simulando attività da più indirizzi, è possibile ottenere un'escalation della blocco ai livelli Level 2 e Level 3, che eseguono il blocco per sottoreti e numeri di sistemi autonomi.
La lista Level 3 è stata originariamente creata per combattere i fornitori che incoraggiano attività dannose dei clienti e non rispondono ai reclami (ad esempio, hosting creati apposta per ospitare contenuti illegali o per servire spammer). Alcuni giorni fa, UCEPROTECT ha modificato le regole di inclusione nelle liste Level 2 e Level 3, portando a un filtraggio più aggressivo e a un aumento delle dimensioni delle liste. Ad esempio, il numero di voci nella lista Level 3 è aumentato da 28 a 843 sistemi autonomi.
Per contrastare UCEPROTECT è stata proposta l'idea di utilizzare il spoofing degli indirizzi IP provenienti dall'intervallo dei sostenitori di UCEPROTECT durante la scansione. Di conseguenza, UCEPROTECT ha incluso negli suoi database gli indirizzi dei propri sostenitori e di molti altri innocenti, causando problemi nella consegna delle email. Anche la rete CDN della società Sucuri è stata inserita nella lista nera.
Fonte: opennet.ru
