jose_n_redes-20030618.log

@Juanjo ahora hablará José Nazario @Juanjo doctorado en bioquimica y un activo investigador en temas de seguridad informatica en ArborNetworks @Juanjo Nos dio una muy interesante charla sobre "Estrategias para la deteccion de gusanos" y hoy el tema de la charla es el spam @Juanjo las nas para esta charla estan en http://monkey.org/~jose/wiki/wiki.php?page=SpamAnalysis @Juanjo gracias a todos por estar aqui y al D. nazario por preparar esta conferencia @Juanjo hoy habalremos sobre el analisis sobre el spam que he desarollado durante el ultimo año @Juanjo este proyecto empezó en un principio como un medio para intentar desarrollar mejores metodos de filtrado @Juanjo en principio pensaba en algo similar a lo que son los cortafuegos @Juanjo explicare esto mas detalladamente @Juanjo en un momento @Juanjo pero en realidad este analisis ha venido a ser una manera para investigar algunas "verdades" sobre el spam que oimos a menudo @Juanjo un netsplit @MJesus si :( @Juanjo esto incluye la idea de que los dominios de primer nivel son la fuente del spam @Juanjo y de la efectividad que puedes conseguir usando metodos de filtrado estaticos @Juanjo como dijo Fernand0, mis notas y graficos estan en mi wiki: @Juanjo http://monkey.org/~jose/wiki/wiki.php?page=SpamAnalysis @Juanjo por lo tanto, el origen de la mayoria de todo este trabajo es my propia coleccion personal de bandejas de entrada de email @Juanjo mi direccion de correo electronico es publica en internet dado que escribo en multitud de listas de correo @Juanjo tambien esta en mi sitio web @Juanjo por ello me llega mucho spam, que he cuidado y guardado @Juanjo entonces mirando los archivos de spam en internet hice una especie de clasificacion @Juanjo mis numeros han sido muchos mas precisos si los comparamos con ese gran archivo publico @Juanjo la mayor parte de esta clasificacion la hice a mano, pero he tenido que empezar a usar "ifile" para ayudarme a clasificar el spam @Juanjo sin embargo compruebo todos los resultados a mano @Juanjo joder con los splits @Juanjo asi no hay manera @MJesus si, es solo 1 server @Juanjo lo primero en lo que estuve fijandome fue en las cabeceras del spam @Juanjo recordad que mi principal objetivo era intentar construir un cortafuegos smtp el cual mirase la ruta del spam @Juanjo que habia llegado @Juanjo las cabeceras de los mensajes contienen la lista de servidores de correo a traves de los cuales el mensaje en sí ha ido saltando hasta llegar a ti @Juanjo mientras que los spammers pueden alterar dichas listas, tenemos que confiar en ellas porque el mencionado cortafuegos de correo tambien lo haría @Juanjo bueno, entonces usé un pequeño script que escribi en tcl para analizarlas, y decidí observar los resultados usando un grafico @Juanjo en este primer grafico utilicé el programa "neato" (del paquete graphviz) para plasmar los caminos que siguieron los mensajes para llegar a mí @Juanjo http://www.monkey.org/~jose/images/monkey-spam-sm.jpg @Juanjo tengo versiones de ese grafico en tamaños mayores @Juanjo lo que encontré me sorprendió @Juanjo lo que me esperaba ver eran unos cuantos nucleos de actividad, los cuales serian grandes repetidores abiertos @Juanjo en lugar de eso, lo que podeis ver es que hay unos cuantos servidores en comun para el mail que me llega a mi @Juanjo lo que sugiere que no hay ningun gran servidor que esté siendo compartido por spammers para llegar a mi @Juanjo tambien podeis observar que hay muchisimos saltos antes de que el mail me llegue a mi @Juanjo de riel: riel: jose_n: bueno, spammers a menudo usan proxies pulbicos para enviar spam @Juanjo recordar que estaba intentando desarollar un filtro de smtp @Juanjo como si fuera un filtro de paquetes, que decidiria en funcion de las cabeceras de los mensajes @Juanjo (nota al margen, recientemente me llegó un mensaje de un spammer que contenia su lista de proxies publicos que usaba para enviar correo basura) @Juanjo de <ivoid> tambien, los procies aprecen y desaparecen constantemente, lo que expicaria el eleveado numero de servidores @Juanjo puede ser, pero esa conclusion no esta contemplada en el trabajo sobre el que estoy hablando @Juanjo entonces, lo que yo busco en este analisi es que esos puntos comunes sobre el spam no estan contemplados en los datos que he recopilado @Juanjo de riel: una pregunta, obtuvo tu estudio alguna regla util para filtrar spam basnadote en la cabecera de los mensajes? @Juanjo la respuesta no es nada elocuente, la regla mas cercana a la que pude llegar es que los mails de spam tenian minimo un salto mas @Juanjo incluso hice algunos bonitos graficos sobre esto @Juanjo http://monkey.org/~jose/crimelabs-spam.jpg for example @Juanjo esto es un dibujo hiperbolico en una superficie 3d, no un posicionamiento GPS de spammers, pero hace que el grafico sea mas facil de interpretar @Juanjo puedes bajarte el visor en: http://graphics.stanford.edu/~munzner/h3/ * Juanjo:#redes tiene q atender una reunión. @Maite alguien puede traducir del ingles?? @Maite por favor... @root a de nuevo, esto es backapeado por 75000 mails de archivos spam @root alguien tiene buena conexion la mia es muy mala @root no puedo traducir todo textualmente rapido @root mi conexion de cae @root is there anyone able? @Maite no hay nadie root @Maite pero nos remediamos con lo que haces, se entiende @root bueno @root las vegas pregunta en que programas como spam assassin se basa para juzgar , si un mail es un spam o no @root riel puntauliza que no se pueden examinar cada uno de los mensajes en el nivel de ISP . la carga es muy grande @root Estuve tratando de stabelecer la necesidad de usar listas confiables para block a los basedos sobre @root se necesita un largo, codigo externo @root bueno riel estoy trabajando el ello @root mas detalles seran seguidos @root dejame saber que encuentras @root estaremos el viernes a la tarde @root excelente @root se cae cada rato la señal @root no puedo continuar de corrrido Generated by irclog2html.pl 2.1 by Jeff Waugh - find it at freshmeat.net!

`@Juanjo`	`ahora hablará José Nazario`
`@Juanjo`	`doctorado en bioquimica y un activo investigador en temas de seguridad informatica en ArborNetworks`
`@Juanjo`	`Nos dio una muy interesante charla sobre "Estrategias para la deteccion de gusanos" y hoy el tema de la charla es el spam`
`@Juanjo`	`las nas para esta charla estan en http://monkey.org/~jose/wiki/wiki.php?page=SpamAnalysis`
`@Juanjo`	`gracias a todos por estar aqui y al D. nazario por preparar esta conferencia`
`@Juanjo`	`hoy habalremos sobre el analisis sobre el spam que he desarollado durante el ultimo año`
`@Juanjo`	`este proyecto empezó en un principio como un medio para intentar desarrollar mejores metodos de filtrado`
`@Juanjo`	`en principio pensaba en algo similar a lo que son los cortafuegos`
`@Juanjo`	`explicare esto mas detalladamente`
`@Juanjo`	`en un momento`
`@Juanjo`	`pero en realidad este analisis ha venido a ser una manera para investigar algunas "verdades" sobre el spam que oimos a menudo`
`@Juanjo`	`un netsplit`
`@MJesus`	`si :(`
`@Juanjo`	`esto incluye la idea de que los dominios de primer nivel son la fuente del spam`
`@Juanjo`	`y de la efectividad que puedes conseguir usando metodos de filtrado estaticos`
`@Juanjo`	`como dijo Fernand0, mis notas y graficos estan en mi wiki:`
`@Juanjo`	`http://monkey.org/~jose/wiki/wiki.php?page=SpamAnalysis`
`@Juanjo`	`por lo tanto, el origen de la mayoria de todo este trabajo es my propia coleccion personal de bandejas de entrada de email`
`@Juanjo`	`mi direccion de correo electronico es publica en internet dado que escribo en multitud de listas de correo`
`@Juanjo`	`tambien esta en mi sitio web`
`@Juanjo`	`por ello me llega mucho spam, que he cuidado y guardado`
`@Juanjo`	`entonces mirando los archivos de spam en internet hice una especie de clasificacion`
`@Juanjo`	`mis numeros han sido muchos mas precisos si los comparamos con ese gran archivo publico`
`@Juanjo`	`la mayor parte de esta clasificacion la hice a mano, pero he tenido que empezar a usar "ifile" para ayudarme a clasificar el spam`
`@Juanjo`	`sin embargo compruebo todos los resultados a mano`
`@Juanjo`	`joder con los splits`
`@Juanjo`	`asi no hay manera`
`@MJesus`	`si, es solo 1 server`
`@Juanjo`	`lo primero en lo que estuve fijandome fue en las cabeceras del spam`
`@Juanjo`	`recordad que mi principal objetivo era intentar construir un cortafuegos smtp el cual mirase la ruta del spam`
`@Juanjo`	`que habia llegado`
`@Juanjo`	`las cabeceras de los mensajes contienen la lista de servidores de correo a traves de los cuales el mensaje en sí ha ido saltando hasta llegar a ti`
`@Juanjo`	`mientras que los spammers pueden alterar dichas listas, tenemos que confiar en ellas porque el mencionado cortafuegos de correo tambien lo haría`
`@Juanjo`	`bueno, entonces usé un pequeño script que escribi en tcl para analizarlas, y decidí observar los resultados usando un grafico`
`@Juanjo`	`en este primer grafico utilicé el programa "neato" (del paquete graphviz) para plasmar los caminos que siguieron los mensajes para llegar a mí`
`@Juanjo`	`http://www.monkey.org/~jose/images/monkey-spam-sm.jpg`
`@Juanjo`	`tengo versiones de ese grafico en tamaños mayores`
`@Juanjo`	`lo que encontré me sorprendió`
`@Juanjo`	`lo que me esperaba ver eran unos cuantos nucleos de actividad, los cuales serian grandes repetidores abiertos`
`@Juanjo`	`en lugar de eso, lo que podeis ver es que hay unos cuantos servidores en comun para el mail que me llega a mi`
`@Juanjo`	`lo que sugiere que no hay ningun gran servidor que esté siendo compartido por spammers para llegar a mi`
`@Juanjo`	`tambien podeis observar que hay muchisimos saltos antes de que el mail me llegue a mi`
`@Juanjo`	`de riel: riel: jose_n: bueno, spammers a menudo usan proxies pulbicos para enviar spam`
`@Juanjo`	`recordar que estaba intentando desarollar un filtro de smtp`
`@Juanjo`	`como si fuera un filtro de paquetes, que decidiria en funcion de las cabeceras de los mensajes`
`@Juanjo`	`(nota al margen, recientemente me llegó un mensaje de un spammer que contenia su lista de proxies publicos que usaba para enviar correo basura)`
`@Juanjo`	`de <ivoid> tambien, los procies aprecen y desaparecen constantemente, lo que expicaria el eleveado numero de servidores`
`@Juanjo`	`puede ser, pero esa conclusion no esta contemplada en el trabajo sobre el que estoy hablando`
`@Juanjo`	`entonces, lo que yo busco en este analisi es que esos puntos comunes sobre el spam no estan contemplados en los datos que he recopilado`
`@Juanjo`	`de riel: una pregunta, obtuvo tu estudio alguna regla util para filtrar spam basnadote en la cabecera de los mensajes?`
`@Juanjo`	`la respuesta no es nada elocuente, la regla mas cercana a la que pude llegar es que los mails de spam tenian minimo un salto mas`
`@Juanjo`	`incluso hice algunos bonitos graficos sobre esto`
`@Juanjo`	`http://monkey.org/~jose/crimelabs-spam.jpg for example`
`@Juanjo`	`esto es un dibujo hiperbolico en una superficie 3d, no un posicionamiento GPS de spammers, pero hace que el grafico sea mas facil de interpretar`
`@Juanjo`	`puedes bajarte el visor en: http://graphics.stanford.edu/~munzner/h3/`
`* Juanjo:#redes tiene q atender una reunión.`
`@Maite`	`alguien puede traducir del ingles??`
`@Maite`	`por favor...`
`@root`	`a de nuevo, esto es backapeado por 75000 mails de archivos spam`
`@root`	`alguien tiene buena conexion la mia es muy mala`
`@root`	`no puedo traducir todo textualmente rapido`
`@root`	`mi conexion de cae`
`@root`	`is there anyone able?`
`@Maite`	`no hay nadie root`
`@Maite`	`pero nos remediamos con lo que haces, se entiende`
`@root`	`bueno`
`@root`	`las vegas pregunta en que programas como spam assassin se basa para juzgar , si un mail es un spam o no`
`@root`	`riel puntauliza que no se pueden examinar cada uno de los mensajes en el nivel de ISP . la carga es muy grande`
`@root`	`Estuve tratando de stabelecer la necesidad de usar listas confiables para block a los basedos sobre`
`@root`	`se necesita un largo, codigo externo`
`@root`	`bueno riel estoy trabajando el ello`
`@root`	`mas detalles seran seguidos`
`@root`	`dejame saber que encuentras`
`@root`	`estaremos el viernes a la tarde`
`@root`	`excelente`
`@root`	`se cae cada rato la señal`
`@root`	`no puedo continuar de corrrido`