EMDay20 mai 2014

Introduction

Application Signal Spam à date

• Application Signal Spam à date• Stats et chiffres d’activité

Procédure de signalement des abus sur noms de domaines (Benjamin)

• Solving Procing• Abuse reporting process• Analysing Reports

Intervenants : Benjamin Billon (Splio), Thomas Fontvielle (Secrétaire Général)

Application Signal Spam à date et projets en cours

Stats et chiffresCourbe mensuelle des signalements depuis janvier 2012

Stats et chiffresPerception du spam par les internautes français

Stats et chiffresLe baromètre Signal Spam T1 2014

Services et développementFonctionnement de l’application à date

Signalement par formulaire web

Signalement par plugins messagerie

Statistiques de plaintes FAI par IP

Spamtrap Orange

Rapports DMARC

Signalement de noms de domaines usurpés

Application Signal SpamEnrichissement / Qualification / Redistribution

FBL Routeurs

FBL FAI + Statistiques IP Plaintes

Rapport CNIL

Rapport TOP 10 plaintes webmail pour FAI

Flux botnet vers ACDC et Gendarmerie

Flux phishing vers ACDC

Flux phishing par mots clef Paypal

Flux ARF par paysCanada / Pays-Bas / Nouvelle-Zélande / Luxembourg /

SuisseEn étude pour US

En étude pour Japon

Flux URLLexsi

EBAY/PaypalReturnPath

Flux ARF sur N°AS & Mot clés pour le réseau Interpol

Services et développementFBL & Flux Signal Spam

Nombre de boucles de rétroaction : 31• Membres de Signal Spam : 21• Membres du SNCD : 10

Accès au flux Stats IP FAI (déclaration de conformité validée): 25

Top 30 CNIL et alertes sur les sociétés dont les campagnesgénèrent le plus de plaintes

TOP 30 des « domainfrom »

Exploitation des données issues de spamtraps

Nouveautés Signal SpamLogos et stickers

Nouveaux logos « mascottes » Signal Spam utilisables par toute la communauté des utilisateurs Signal Spam

Logo « FBL » pour mettre en valeur l’usage des boucles de rétroaction Signal Spam

Des logos distincts pour les différents membres de l’association

Procédure de signalements des noms de domaine ursurpés

Services et développementAutres chantiers techniques

Identification des sociétés émettrices pour le Top 30 CNIL (Splunk)

Identification par campagnes de spam (afin de pouvoir agir sur une campagne et non plus seulement un émetteur)

Advanced Cyber Defense Center Feeds & Support Center (alimentation de la Centralized Clearing House européenne et participation au projet d’établissement d’un « support center » national)

Procédure de signalements des abus sur noms de domaines

Constat :

Efficacité des protections basées sur la réputation, mais danger croissant pour lesmarques de voir leurs noms de domaines usurpés pour émettre des campagnes despam/phishing/scam.

Objectifs de la procédure :

Assurer la meilleure transmission possible de l’information auprès de l’ensemble de lacommunauté en capacité de remédier à l’attaque en cours. Mieux protéger l’internaute. Proposer des outils et des recommandations aux sociétés victimes.

Fonctionnement :

Procédure pour les membres de Signal Spam. Alerte soumise à un comité de validation. Information de confiance poussée vers les partenaires.

Procédure de signalements des abus sur noms de domainesGestion actuelle d’un abus sur nom de domaine

La protection des noms de domaines bute actuellement sur deux écueils:• Les noms de domaines

dérivés approximatifs• La non-implémentation

de DMARC

Procédure de signalements des abus sur noms de domainesProcessus de notification de l’incident

Un membre de Signal Spam peut déposer un rapport d’incident poussé sans délai vers les blacklists, les antispam, et les organismes de réputation

Procédure de signalements des abus sur noms de domainesAnalyse du signalement par un comité de validation

Procédure de signalements des abus sur noms de domainesProchaines étapes : passages à la phase opérationnelle

Travaux techniques• Relecture du cahier des charges techniques pour le projet• Conception des tables mysql• Création du formulaire de signalement sur le forum• Premières VM et BDD

Partenariats• Distribution du cahier des charges auprès des partenaires intéressés• SURBL, Spamhaus, Return Path, Vade Retro, Cloudmark• Confirmer le modèle csv + rsync avec VadeRetro• Tests sur échantillons de scam et phishing (quels URI/domaines en tirer?)• PoC

Établissement d’un comité de validation des signalements • Membres de Signal Spam exclusivement• Entre 5 et 10 personnes• Alertes par e-mail / SMS

Communication autour du projet• Schéma simplifié grand public• Communication relayée par les membres de Signal Spam• Présentations événements (EMDay, MAAWG)

Pour vos questions et demande de renseignements :

thomas.fontvielle@signalspam.net

Projet de migration de l’application

Web01

Acc01

Internet

App01 Splk01 Piv01Dev01

BdD01

VLAN Privé

ip1 ip2ip3

ip4

ip5

CMS Drupal

ApplicationsSignal Spam

Splunk/Analyse

EnvironnementPre-prod et Dev Machine de

rebond Admin

Bases de données

Admin

Adressage Internet IPV4 et IPV6

Site web www.signal-spam.fr

Flux entrants

Flux sortants

VMVMVMVMVM

VM

VM

Services et développementProjet de migration : Infra Gandi

L’application actuelle doit supporter des flux de plus en plus nombreux et volumineux. Il est impératif de repenser notre infrastructure.

janvier septembre

février mars avril mai juin juillet août

Étude faisabilité/choix techno

et budgétaire

GO

Consolidation choix

avec Gandi

Mise en place infra&

l’ensemble des applications

Expression besoin

mise en place site

Conception plan

de migrationMigration données et services

FaitEn cours

Services et développementPlanning de migration