Mailbombing

invio di enormi volumi di email a un indirizzo di posta elettronica

Il mailbombing consiste nell’invio di enormi volumi di email ad un indirizzo di posta elettronica, con l’obiettivo di mandare in overflow la casella postale dell’indirizzo email o di superare il server in cui l’indirizzo email è ospitato per effettuare un attacco denial-of-service. A differenza dell’email spam, che invece si rivolge a più indirizzi email, il mailbombing si concentra su un unico account[1][2].

Metodi di attacco

modifica

Esistono tre metodi per realizzare un mailbombing: mass mailing, list linking e zip bombing[3].

Mass mailing

modifica

Il mass mailing consiste nell’invio di numerose email duplicate allo stesso indirizzo di posta elettronica. Questo metodo è il più semplice da progettare, per questo motivo possono essere facilmente rilevati dai filtri anti-spam.

Questo attacco può essere utilizzato per realizzare un DDoS (Distributed Denial of Service), utilizzando una botnet, ovvero attraverso una rete composta da dispositivi, detti “zombie”, infettati da malware controllati da chi effettua l’attacco.[4] In questo caso, l’attacco non viene effettuato da un singolo dispositivo ma da tutti i dispositivi della botnet. Questo tipo di attacco risulta più difficile da difendere, rispetto a un semplice mass mailing, a causa dei molteplici indirizzi email.

List linking

modifica

Il list linking, noto come “email cluster bomb”, consiste nel sottoscrivere un indirizzo di posta elettronica a più servizi di sottoscrizione.[5] L’attacco può essere eseguito automaticamente attraverso degli script: si tratta di un attacco semplice da realizzare, quasi impossibile rintracciare l’autore e potenzialmente molto distruttivo. La vittima soggetta a questo tipo di attacco, dovrà annullare la sottoscrizione a questi servizi manualmente. La maggior parte dei siti di sottoscrizione, per prevenire questo tipo di attacco, invia una email di conferma all’indirizzo di posta utilizzato per la sottoscrizione di un servizio. Tuttavia, anche l’email di conferma possono essere facilmente utilizzate per l’attacco, poiché un milione di email che chiedono di confermare la sottoscrizione all’abbonamento sono più che sufficienti per abbattere il server.

È possibile utilizzare una difesa migliore senza abbandonare i moduli di sottoscrizione.[6] Una volta compilati i moduli da parte dell’utente, viene mostrata una nuova pagina all’utente con un link mailto al sito Web. Dopo aver cliccato sul link mailto, viene inviata una email automatica al gestore della pagina Web che potrà verificare da dove è stata inviata l’email. Mentre l’indirizzo email del mittente potrebbe essere soggetta a spoofing, il suo indirizzo IP SMTP non può esserlo. Quindi è possibile verificare che l’indirizzo email, presente nella richiesta di modulo, corrisponda al server SMTP originario nel messaggio di convalida. In questo caso, un utente legittimo invierebbe quindi un messaggio per convalidare la richiesta senza ricevere alcuna email dal sito Web[7].

Zip bombing

modifica

Il zip bombing è un metodo alternativo per effettuare un mailbombing.[8] Dopo che la maggior parte della posta elettronica incominciò ad essere controllata utilizzando software anti-virus e filtrando alcuni tipi di file potenzialmente dannosi (come .EXE, .RAR, .ZIP), è stato configurato il software di posta elettronica per disimballare archivi e controllarne il contenuto.

Un attacco di questo tipo, può essere effettuato componendo un enorme file di testo nel quale viene ripetuto un carattere per milioni di volte, per esempio ‘a’. Questo file viene compresso, in un formato relativamente piccolo, e nel momento della sua apertura può comportare ad un elevato utilizzo dello spazio sul disco rigido e in memoria RAM, che potrebbe comportare un DoS. Un file .zip o .tar.gz può contenere una copia di se stesso , provocando infiniti loop se il server controlla i file di archivio nidificati[9].

Difesa contro il mailbombing

modifica

La difesa contro questo tipo di attacco può essere fatta in modo preventivo:

  • Honeypots: sono strumenti software o hardware utilizzati come “trappola”, vengono utilizzati per studiare o distrarre l’attaccante. Possono essere utilizzati come strumenti di difesa nei confronti del mass mailing e del list linking[10].
  • Sandbox: è uno strumento utilizzato per fare “esplodere” le bombe. Gli allegati di un'email vengono aperti ed eseguiti prima di raggiungere la casella email, nel caso si attivasse qualche virus verrebbe immediatamente bloccato ed eliminato[11].

Nel caso in cui si è soggetti ad un mailbombing, non sarà possibile utilizzare il client di posta elettronica per cancellare le mail, ma bisognerà agire direttamente sul server.[12] Esistono due metodi:

  • Si apre una sessione telnet alla porta 110 (telenet :110) e si cancellano a mano le email direttamente sul server. Nel caso di un mailbombing, l’operazione potrebbe risultare costosa in termini di tempo siccome i comandi vanno dati uno alla volta.
  • Si utilizza un programma che automatizzi le operazioni di telnet, strumento molto utile perché permette di risparmiare tempo e di non scaricare i messaggi sul proprio computer.

Comandi Telnet

modifica

Telnet è un programma client utilizzabile sia con sistemi operativi Unix che Windows. Viene illustrato in seguito quali istruzioni del protocollo POP3 occorre utilizzare in una mailbox intasata da email[13].

Per avviare una sessione telnet: Menu Avvio / Esegui e digitare "cmd"

(legenda: S = Messaggi del Server; i commenti dopo //)

telnet nome.del.pop 110
     S:  +OK POP3 server ready
     USER name
     S:  +OK POP3 server ready
     PASS string
     +OK name is a valid mailbox
     STAT
     S: +OK 2 320 ------> dimensione della mailbox
            |
            |
            |
            +----> numero di messaggi nella mailbox
     LIST
     S: 1 120
     S: 2 200
     [..] elenco di tutti i messaggi
     LIST msg    // questo comando  mostra solo il messaggio indicato
                 // con la sua dimensione
     LIST 2
     S: +OK 2 200
     DELE msg  // ti marca _quel_ messaggio come deleted, lo cancella 
               // effettivamente solo all'uscita
     DELE 1
     S: +OK message 1 deleted
     RSET     // se ci si ripensa con RSET i messaggi vengono 
              // de-taggati dallo stato di delete
     QUIT
     S: +OK dewey POP3 server signing off (maildrop empty)
     // i messaggi sono stati cancellati.

Sendmail

modifica
  Lo stesso argomento in dettaglio: Sendmail.

Sendmail[14] è un mail server, per ambienti Unix e open source, distribuito sia come software libero sia come software proprietario. Questo server di posta è molto utilizzato sul fronte della sicurezza.

Per bloccare tutte le email provenienti da un indirizzo di posta, bisogna aggiungere l'indirizzo email del mittente o il nome del sistema al file di access che si trova nella directory /etc/mail. Ogni riga del file access è composta da un indirizzo email, hostname, dominio o indirizzo IP e da una parola chiave che specifica l'operazione da utilizzare. Le parole chiave possono essere:

  • OK: accetta le email dal mittente.
  • RELAY: accetta le email destinate ad un determinato dominio.
  • REJECT: permette di rispedire al mittente tutte le email con un messaggio di errore.
  • DISCARD: permette di scartare le email senza alcun messaggio.
  • ERROR: permette di personalizzare il messaggio di errore.

Un esempio del file access può essere[15]:

# by default we allow relaying from localhost
localhost.localdomain RELAY
localhost RELAY
127.0.0.1 RELAY

# accept mail
unife.it OK
192.168.211 OK

# reject mail
cyberspammer.com REJECT
192.168.212 REJECT
IPv6:2002:c0a8:51d2::23f4 REJECT

# discard mail
pippo@domain_name DISCARD

# reject with error
pluto@domain_name ERROR:4.2.2:450 mailbox full

Aspetti giuridici

modifica

In rete, si sta diffondendo l'idea che questo tipo di attacco sia uno strumento legittimo per segnalare, denunciare e contestare qualsiasi tipo di idee o fenomeni. In realtà, anche se usato sotto forma di protesta, il mailbombing potrebbe violare alcune norme disciplinate dall'ordinamento Giuridico Italiano[16], in particolare due fattispecie previste dal codice penale:

  • art. 635 bis:[17] Danneggiamento di sistemi informatici e telematici.
  • art. 617 quater:[18] Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche.
  1. ^ (EN) Silverbug, 10 Types Of Cyber Crimes... And Another 10 You’ve Never Heard Of, su silverbug.it. URL consultato il 2 marzo 2021 (archiviato dall'url originale il 26 gennaio 2021).
  2. ^ (EN) The Return of Email Flooding, su Dark Reading. URL consultato il 2 marzo 2021.
  3. ^ (EN) Nash Haynes, Cyber Crime, Scientific e-Resources, 7 novembre 2018, ISBN 978-1-83947-303-6.
  4. ^ (EN) Markus Jakobsson e Filippo Menczer, Web Forms and Untraceable DDoS Attacks, a cura di Scott C.-H. Huang, David MacCallum e Ding-Zhu Du, Springer US, 1º gennaio 2010, pp. 77–95, DOI:10.1007/978-0-387-73821-5_4, ISBN 978-0-387-73820-8, arXiv:cs/0305042.
  5. ^ Markus Jakobsson e Filippo Menczer, Untraceable Email Cluster Bombs, in ;login:, vol. 28, n. 6, USENIX, dicembre 2003. URL consultato il 23 agosto 2016.
  6. ^ Email Cluster Bomb Research, su carl.cs.indiana.edu. URL consultato il 29 novembre 2017.
  7. ^ Dima Bekerman: How Registration Bots Concealed the Hacking of My Amazon Account, Application Security, Industry Perspective, December 1st 2016, In: Imperva.com/blog
  8. ^ (EN) DoS risk from Zip of death attacks on AV software?. URL consultato il 29 novembre 2017.
  9. ^ research!rsc: Zip Files All The Way Down, su research.swtch.com.
  10. ^ Honeypots: A Security Manager's Guide to Honeypots, su web.archive.org, 1º dicembre 2017. URL consultato il 2 marzo 2021 (archiviato dall'url originale il 1º dicembre 2017).
  11. ^ (EN) What is sandbox (software testing and security)? - Definition from WhatIs.com, su SearchSecurity. URL consultato il 2 marzo 2021.
  12. ^ Difendersi dal mailbombing [Guide Security » E-mail], su pc-facile.com. URL consultato il 30 novembre 2017.
  13. ^ (EN) J. Postel, J. K. Reynolds, Telnet Protocol Specification, su tools.ietf.org. URL consultato il 2 marzo 2021.
  14. ^ Federico, G. & Manganiello, F., Corso di programmazione in C. Parte I: Strutture di controllo e Funzioni. (PDF), in Hacker Journal, n. 200, p. 24.
  15. ^ (EN) sendmail access.db by example | LinuxWebLog.com, su linuxweblog.com. URL consultato il 30 novembre 2017.
  16. ^ Legalità 2.0 | Mailbombing, su legalitaduepuntozero.com. URL consultato il 1º dicembre 2017 (archiviato dall'url originale il 1º dicembre 2017).
  17. ^ Art. 635 bis codice penale - Danneggiamento di sistemi informatici e telematici, su Brocardi.it. URL consultato il 1º dicembre 2017.
  18. ^ Art. 617 quater codice penale - Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche, su Brocardi.it. URL consultato il 1º dicembre 2017.

Voci correlate

modifica
  Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di sicurezza informatica