TrustedSource
TrustedSource is an Internet reputation system originally developed by CipherTrust and now owned by McAfee. It provides reputation scores for Internet identities, such as IP addresses, URLs, domains, and email/web content. Reputation data and content categories, as well as global email, web and other network traffic patterns observed by TrustedSource ecosystem, for any IP address, domain, or URL can be checked from the TrustedSource.org portal site[1]. TrustedSource works by analyzing in real-time traffic patterns from email, web and network data flows from McAfee’s global set of security appliances and hosted services, as well as those of partners like F5 Networks. Working off that data stream, it applies data mining and analysis techniques, such as Support Vector Machine, Random forest, and Term-Frequency Inverse-Document Frequency (TFIDF) classifiers[2] to determine the degree of maliciousness and security risk associated with each Internet identity, as well as perform content categorization.
The numeric scores that result from that analysis are then combined with local filtering policies of devices and services that utilize TrustedSource to make an accept/deny/traffic shape types of decisions on the network connections associated with those Internet identities.
Internet reputation systems like TrustedSource are useful to effectively block network-based attacks sent over email, web and other protocols. They benefit from the global sensor network reporting attack patterns in real-time and the intensive behavioral analysis is distributed across a world-wide network of systems instead of unnecessarily utilizing processing power of local security devices. Those systems have also been effective at tracking and monitoring botnets, such as the infamous Storm worm.[3]
Da Wikipedia.
Una recente vulerabilità scoperta in Gmail è capace di trasformare il servizio di posta elettronica di Google in un efficace e temibile “macchina dello Spam”. Secondo il gruppo di ricerca INSERT, Gmail può diventare nelle mani di un Spammer un mezzo per trasmettere migliaia di email attraverso il servizio SMTP di Google bypassando i suoi filtri. Oltre al danno vi è anche la beffa, da una parte è possibile aggirare i filtri anti-spam, dall’altra INSERT afferma che è anche possibile oltrepassare il limite massimo delle 500 email trasmesse in blocco.
Il difetto di Gmail che consente agli spammer di trasmettere un numero dei messaggi potenzialmente illimitato è un vero e serio problema, vi è però un altro fattore esterno che potrebbe esacerbare qualsiasi attacco potenziale. Come il volume di Spam è aumentato fino a rappresentare il 95 per cento di tutte le email - traffico email, molti fornitori hanno adottato delle whitelists e blacklists come prima linea di difesa contro questa “inondazione”. Un email da johdoe@awinnerisyou.com (o dal corrispondente range di Indirizzi IP) può essere ostruito automaticamente mentre un email da una fonte di fiducia e autenticata quale Gmail è permesso automaticamente l’ingresso nella propria Inbox. I fornitori del email usano regolarmente i filtri multilivelli, ci potrebbero essere casi in cui diversi indirizzi attendibili vengano dichiarati come Spam venendo rimossi automaticamente e quindi escludendoli da una legittima consegna al destinatario.
Le E-mail provenienti da Google hanno un alto Trust sia per Yahoo! che Hotmail. Il Team INSERT ha testato l’indicice di fiducia tra i principali tre email providers inviando messaggi Spam a Yahoo e Hotmail usando due fonti, nel primo test i messaggi erano da sistemi con indirizzi in blacklist sia da Yahoo! che Hotmail ma il secondo test è stato fatto con la Falla di Sicurezza appena scoperta dal Team INSERT.
La differenza è stata significativa. Le email trasmesse a Yahoo e Hotmail da un IP messo in blacklist non sono state necessariamente identificate immediatamente come Spam, le email contraffatte sono invece arrivate regolarmente nelle inbox come niente fosse. L’obiettivo non è condannare il “trusted-source filtering” ma dare risalto a come un difetto di sicurezza in un singolo prodotto o servizio può inceppare un ecosistema. Google chiuderà quasi immediatamente questa falla ma Yahoo e Hotmail potrebbero volere più tempo per leggere e “far tesoro” del classico proverbio Russo “doveryai, no proveryai (Trust, but Verify)”.
Da italiasw.com. (la notizia è del maggio 2008)
