IP Squatting appliqué au SPAM – Partie 1/2

Les spammeurs sont des gens très créatifs. Progressant plus rapidement en réseau qu’en orthographe, certains ont industrialisé une pratique jusque-là connue des seuls bas-fonds de l’Internet : l’IP-Squatting.

1. L’attribution des adresses sur Internet

Internet permet le routage de paquets utilisant les protocoles IPv4 et IPv6 entre des adresses assignées à des réseaux, appelés « systèmes autonomes » (ou « AS ») identifiés par un Autonomous System Number (AS).

Les ressources devant être uniques pour que le réseau fonctionne, une organisation mondiale, l’Internet Assigned Numbers Authority (IANA), gère les assignations des numéros de réseau et des blocs d’adresses.

Avec la croissance du réseau, l’IETF a recommandé en 1992 que des entités continentales, les Regional Internet Registries (RIR) soient créées pour supplanter l’IANA. Elles sont aujourd’hui au nombre de cinq : AFRINIC, APNIC, ARIN, LACNIC et RIPE NCC. Les ressources jusque-là gérées par l’IANA sont déléguées aux RIR, et les assignations prédatant cette délégation sont maintenues avec un statut particulier, non contractuel. Toute nouvelle allocation désormais est gérée par un RIR et soumise à certaines règles et obligations. Pour la zone RIPE à laquelle est rattachée l’Europe, ces règles sont énumérées dans le document « RIPE-649 » [0]

Les relations entre un opérateur et un RIR peuvent prendre plusieurs formes, mais sont essentiellement contractuelles et requièrent le versement d’une cotisation annuelle ou de frais de gestion – fussent-ils d’un montant très faible. L’absence de paiement de ces frais ou cotisations a pour effet de révoquer les assignations d’identifiants numériques (ASN ou blocs d’adresses).

Les blocs et AS assignés avant la mise en place des RIR n’étant pas soumis au paiement de ces frais, la disparition de l’assignataire ne peut être constaté que par enquête et les ressources assignées sont susceptibles de rester dormantes faute d’initiative pour les récupérer.

Chaque réseau se voit assigner un numéro d’AS et un ou plusieurs blocs d’adresses. Les allocations sont consignées – plus ou moins rigoureusement – dans des registres (nommés IRR – Internet Routing Registry).

2. Le routage des blocs attribués

Le routage entre les réseaux constituant Internet se fait au moyen du protocole BGP (Border Gateway Protocol), qui permet à chaque réseau d’annoncer à ses pairs ses blocs d’adresses, et en retour de recevoir la liste des blocs que ces pairs savent joindre.

Chaque AS va établir des sessions BGP avec ses partenaires. Le protocole crée une relation de confiance implicite. Pour qu’un bloc d’adresse soit joignable, il doit être annoncé à tous les autres réseaux d’Internet. Ces annonces peuvent être directes (peering) ou indirectes (transit, par le biais d’un autre réseau).

Lorsqu’un réseau reçoit d’un de ses pairs une annonce pour un préfixe, il peut en contrôler la légitimité pour accepter ou ignorer cette annonce. Cela se fait au moyen de filtres configurés sur chaque routeur et pour chaque session BGP. Ces filtres peuvent être basés sur les informations contenues dans les IRR, nommément dans des objets de type « inetnum » et « inet6sum » désignant les blocs d’adresses, et des objets de type « route » et « route6 » consignant la légitimité d’une annonce telle que déclarée par le gestionnaire identifié de l’AS et des blocs d’adresses. La consultation des registres est toujours au moins possible par le protocole whois.

Un mécanisme plus récent, RPKI/ROA [1], permet au routeur d’interroger un serveur, qui va à son tour interroger les registres, pour déterminer si une annonce est légitime ou pas, sans avoir eu à configurer de filtres spécifiques préalablement. Ce mécanisme est encore très rarement utilisé, car peu de registres sont suffisamment bien tenus et peu d’opérateurs acceptent la surcharge de travail que requiert le déploiement de ce mécanisme.

De fait, les interconnexions reposent encore majoritairement sur la confiance entre les opérateurs, qui configurent soit une limite au nombre de préfixes qu’un AS peut annoncer, soit une liste stricte de préfixes autorisés à être annoncés sur cette session, soit parfois aucun filtre. Le meilleur exemple est l’incident de juin 2015 affectant Level3 [3] (le plus gros opérateur IP au monde) après qu’un de ses clients, Telecom Malaysia, lui ait annoncé qu’il savait joindre tout Internet, à cause d’une erreur de configuration.

3. Changement de priorité

Revenons-en au SPAM. La particularité de cette activité est qu’elle est très peu chère à pratiquer, car la part de travail coûteuse, le traitement et le stockage des messages, est à la charge du destinataire. C’est ce qui fait la rentabilité du SPAM depuis des décennies.

Une autre particularité du SPAM est qu’il requiert une implémentation (à peu près) correcte du protocole SMTP. Celui-ci fonctionnant sur le port TCP/25, une communication bidirectionnelle est donc indispensable.

La lutte contre le SPAM a utilisé plusieurs techniques au fil des années. Le filtrage par analyse du contenu (Spam Assassin) a vite montré ses limites (consommation de ressources CPU côté destinataire) face à la croissance du trafic, et le risque de faux-positifs a toujours été un facteur limitant dans la précision de son fonctionnement.

Le filtrage par contenu est donc plus souvent couplé d’autres méthodes. Le Grey Listing par exemple repose sur le fait qu’un spammeur ne tentera pas la retransmission du mail si celui si est temporairement rejeté. Il s’agit alors d’une règle de filtrage applicative. Mais la technique la moins coûteuse reste le filtrage par l’adresse IP de l’émetteur (souvent lié à l’utilisation de DNS-based Blackhole List – DNSBL – pour une mise à jour en temps réel).

Un spammeur va généralement utiliser une machine dédiée à son activité. L’adresse IP de cette machine n’est pas supposée servir à des envois de messages légitimes depuis que les campagnes de chasse aux open-relays ont fonctionné. C’est ainsi que les adresses IP « propres » (non listées dans une Blacklist) sont devenues la matière première du SPAM.

La chasse aux open-relays
Dans les premiers réseaux de messagerie (UUCPNET, BITNET, FidoNet…), chaque serveur de messagerie acceptait de recevoir, stocker et retransmettre des messages pour pallier aux limites imposées par les connectivités disponibles à l’époque. Au milieu des années 90, les spammeurs ont commencé à utiliser ces « Open-Relays » afin d’amplifier leur capacité d’envoi de messages aux frais de tiers, et de mélanger les messages illégitimes au flux de messages traités par des serveurs légitimes. Afin d’endiguer cette pratique, des recommandations officielles sont apparues à la fin des années 90 et le protocole SMTP a été enrichi de fonctionnalités permettant de limiter ces pratiques. Les distributions UNIX ont modifié les configurations par défaut des logiciels de transport de messages, et la proportion de serveurs de messagerie « Open-Relays » est passée de 90% à moins de 1% en moins d’une décennie [2]. La disparition des Open Relays a permis de faciliter la distinction des serveurs légitimes de ceux dédiés au SPAM, et a favorisé l’apparition des Blacklists recensant ces derniers pour permettre les filtrages de niveau 3.

4. Chercher la ressource

Pour « travailler », un spammeur a donc besoin d’une machine disposant d’une connectivité performante et surtout d’une adresse IP répondant aux caractéristiques suivantes :

  • libre (ou presque) ;
  • inconnue des listes de blocage ;
  • correctement routée sur l’ensemble d’Internet.

Le dernier point fait débat, car il n’est pas si indispensable que ça. Lorsque la majorité des adresses mail cibles est gérée par un nombre réduit d’hébergeurs, il suffit d’obtenir un routage vers ces quelques hébergeurs pour que les messages soient transmis. Les plus gros hébergeurs étant présents sur des points d’échanges avec des politiques d’interconnexion ouvertes, il est relativement aisé de cibler le point d’échange le plus laxiste possible en terme de filtrage pour que ces hébergeurs reçoivent et acceptent les blocs annoncés.

Voici quelques typologies d’adresses qui pourraient servir de matière première pour l’envoi de SPAM.

4.1 Les serveurs dédiés

Les spammeurs se sont tournés vers des hébergeurs afin de louer une machine connectée et son adresse. Une fois la campagne de messages envoyée, l’adresse était repérée comme ayant servi à l’envoi de SPAM et ajoutée dans des listes de blocage, la rendant impropre à l’envoi de mails légitimes par la suite, et ce pour une durée parfois longue.

Certaines listes indélicates ont pris l’habitude de bloquer tout l’hébergeur d’un coup, perturbant l’envoi de messages légitimes d’autres clients de cet hébergeur. Ce dernier n’avait alors parfois pas d’autre choix que de payer l’éditeur de la liste de blocage pour dé-lister ses réseaux, sans garantie qu’ils ne soient pas rapidement listés à nouveau par la faute d’un client indélicat.

Les hébergeurs sont ainsi devenus plus regardants quant aux activités de leur clientèle. Certains sont allés jusqu’à filtrer tout les flux de mails sortant de leur réseau pour annuler l’intérêt de leur offre aux yeux des spammeurs et éviter d’avoir à payer régulièrement les éditeurs de blacklist – et dédommager et/ou perdre les clients légitimes impactés.

D’autres hébergeurs sont par contre relativement tolérants, permissifs, voire enthousiastes – moyennant finances – à accueillir ce type d’activités. On les dit « Bulletproof ».

4.2 Les connexions résidentielles

Au début des années 2000, la méthode prévalant pour l’envoi massif de SPAM était l’utilisation de botnets de milliers ou millions de machines résidentielles infectées. Ces machines pouvaient tenter de joindre directement des serveurs SMTP destinataires de messages.

Les premières blacklists ont rapidement intégré les blocs d’adresses résidentielles comme des sources illégitimes de mails. Des fournisseurs d’accès ont commencé à bloquer le trafic à destination du port TCP/25 d’autres machines que le relais SMTP mis à disposition de son abonné. Ce relais implémente traditionnellement des mécanismes de filtrage par analyse de contenu.

De nouvelles utilisations des botnets ont favorisé leur développement et en font néanmoins un vecteur toujours d’actualité pour la diffusion du SPAM.

4.3 Des blocs assignés au spammeur

Se voyant refusés par les hébergeurs, certains spammeurs ont créé leurs propres réseaux en obtenant des assignations de blocs d’adresses. Qui ont naturellement été très rapidement blacklistés – ce qui déclenche parfois des DDoS spectaculaires en représailles, comme l’affaire Spamhaus en 2013. Un spammer avait alors lancé une attaque massive paralysant les services du principal éditeur de listes de blocage [4].

La raréfaction du nombre d’adresses IPv4 disponibles auprès des registres a créé un marché d’achat et location de blocs d’adresses. Malgré la moins-value qu’un spammeur crée pour un bloc lors de son utilisation, certains loueurs d’adresses acceptent des marchés à tarifs élevés pour mettre à disposition ces adresses de façon temporaire.

L’offre de blocs IPv4 disponibles diminuant et la demande étant à peu près constante, la rentabilité des campagnes de spam a poussé leurs auteurs à se tourner vers une autre source de matière première (adresses IP non blacklistées).

Jérôme NICOLLE (@chiwawa_42)
Ceriz – jerome@ceriz.fr

Arnaud FENIOUX (@afenioux)
France-IX – afenioux@franceix.net

La seconde partie de cet article sera publiée prochainement sur le blog, restez connectés 😉

Retrouvez cet article (et bien d’autres) dans MISC n°89, disponible sur la boutique et sur la plateforme de lecture en ligne Connect !

Laisser un commentaire