martes, noviembre 17, 2009

El proyecto Apolo

Aunque os pueda parecer mentira, el nombre de este proyecto no lo puse yo. Siempre suelo ser el que pone los nombres a las cosas, el que se inventa los palabros raros y decide que algo se llame MetaShield Protector, FOCA o Asegúr@IT, pero en este caso, no tengo nada que ver.

El proyecto Apolo si que parte de una idea mia, una idea que se me ocurrió al terminar de escribir el artículo sobre las Correos falsos en Gmail, Yahoo! y Hotmail. Dicho artículo termina con un algoritmo que se debería comprobar para, en uno de estos tres motores de correo, eliminar las carencias que tienen a la hora de comprobar la autenticidad de los mensajes que llegan.

- Hotmail no da sorporte a DKIM, lo que no me parece bien, pero hay que reconocer que es quizá el menos extendido y que para el futuro, el camino que seguirá será el de Mutual TLS, más que DKIM.

- Yahoo! no da soporte a SPF, lo que es algo bastante malo cuando se trata de algo muy extendido hoy en día.

- Gmail da soporte a medias a DKIM, ya que no tiene establecida la política de DKIM y, aunque implementa y comprueba SPF, luego no utiliza el valor de la comprobación. Fail total, que permite que entren correos en Gmail que jamás deberían haber entrado [y 2].

Conociendo estas carencias, y añadiendo un filtro de comprobación MX para identificar correos legítimos en servidores sin SPF ni DKIM, construimos un algoritmo para identificar en estos correos aquellos que son falsos. Eso es Apolo.

El nombre se lo puso mi compañero Joshua Saenz [MVP de Exchange Server], tras presentarlo por primera vez al público en la charla de los Diez años de Informática64 que dio sobre MS Exchange Server 2010, Quest Message Stats y el propio Apolo.

A día de hoy tenemos el proyecto en Beta, pero ya tiene cierto soporte para Gmail. Se instala sobre Internet Explorer 8, por supuesto, como un BHO (Browser Helper Object) y, como somos buenos y queremos que os fiéis de él el día que lo publiquemos, va firmado digitalmente.


Figura 1: Apolo instalado como complemento

Después, funciona automáticamente cuando estás en la bandeja de entrada de tu correo. El componente realiza las comprobaciones descritas en el algoritmo que describimos en la última parte del artículo y pone varios iconos de colores.


Figura 2: Icono rojo, en este caso Hardfail de SPF

El correo de la Figura 2, lo he enviado suplantando mi propia dirección de Informática64. En Hotmail no entra, en Yahoo! entra porque no hay soporte para SPF y en Gmail, a pesar de que recibe una alerta de SPF Fail, por su cara bonita lo casca en el inbox. Apolo detecta que es un correo falso y le pone "la cara colorada" al Gmail.


Figura 3: Icono verte, SPF Pass

Este es un correito auténtico, enviado desde mi querido y amado Exchange Server, desde una de las IP del registro SPF, autenticado y correcto. Y Apolo le da la razón a Gmail poniendo un iconito verde.


Figura 4: Cuidadín

En este caso el correo es falso, pero está suplantando a un dominio que no tiene política DKIM ni política SPF, así que no hay herramientas para poder comprobarlo. No está en verde porque no viene de una de las IP del registro MX, así que tiene que quedarse con una alerta que informa de todo esto.

Al final, lo que está haciendo Apolo deberían hacerlo los propios interfaces de los clientes web, ¿no creéis?.

Hoy, junto a MetaShield Protector, van a ser presentados en sociedad en CEUS V y cuando esté más crecidito lo pondremos a disposición de todos aquellos que deseen ser monitorizados por Informática64 y su malévolo BHO.

Saludos Malignos!

9 comentarios:

Martin dijo...

A ver si lo podeis migrar al Firefox con la salida del JetPack uqe esta muy interesante

Christian Hernández dijo...

A ver si toman nota y por lo menos cuando lo solucionen, os nombran dando las gracias.

(aunque siento decir que no creo que eso suceda)

Bien hecho!

Anónimo dijo...

Mola, véndeselo a google/hotmail/yahoo :-)
Un saludo.

Chen dijo...

Muy chulo!

Bernardo Ciriza dijo...

Me parece un tema importante y en mi caso me pasa muchas veces pero en el correo de la empresa. Me llegan correos diciendo incluso que son desde mi propia dirección.
He buscadi un poco acerca de este tema por el blog y la verdad es que no he encontrado nada.
¿Cómo se puede solucionar esto en el Outlook? ¿y a nivel de axchange?
Gracias.

Maligno dijo...

@Bernardo, mañana hablo más de este tema, pero vamos, configura el registro SPF de tu empresa y activa el Sender ID en Exchange y listo.

Saludos!

Bernardo Ciriza dijo...

@maligno, muxas thenqius. Toy leyéndome el post de hoy y voy a ver si investigando un pokico por el Internet consigo enderezar el rumbo del mail.

ktgoth dijo...

bastante interesante!
a ver si mas adelante se migra a firefox el proyecto...
P.D: Ya quiero probar la version beta, avisas cuando todo culmine :P

Jordi Escolà dijo...

Me parece una idea estupenda, sólo una cuestión...

En la Figura 4

"No está en verde porque no viene de una de las IP del registro MX"

Es muy posible que los servidores de correo usen unas Ip's de entrada (MX) y otras IP's de salida.. por lo que no coinciden con los registros MX

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares