Česká zemědělská univerzita v Praze Provozně ekonomická fakulta Doktorská vědecká konference 7. února 2011 T T THINK TOGETHER Spam Spam Alexandr Vasilenko, Eva Černá 266
Abstrakt Současné metody boje proti spamu jsou zaměřeny na jeho filtraci a likvidaci na straně uživatele (jednotlivce či firmy). Toto řešení reaguje na projevy spamu, snaží se eliminovat co největší procento zpráv, které uživatel považuje za nevyžádané. Procento úspěšnosti je potom závislé na počtu zpráv, které do schránky dorazily a na počtu zpráv identifikovaných jako spam. Čím více takových zpráv je, tím vyšší je účinnost filtru, jelikož je schopen se učit dle uživatelem označených nevyžádaných zpráv. Tyto metody však nepůsobí přímo proti spamu, ale pouze na něj reagují. Příspěvek je zaměřen na možnosti aktivního boje proti nevyžádané poště, tedy působení proti původcům nevyžádaných emailů. Všechny popisované metody se zakládají na restriktivních opatřeních, která ztěžují odeslání emailu. V případě běžného množství není obstrukce nijak veliká, nicméně v případě posílání tisíců zpráv je již efekt znatelný. Klíčová slova spam, obrana, opatření, protiopatření Abstract Spam is very aggressive and it is compromizing every aspect of electronic communication. No only presence of spam in mailboxes, but also cooperation with malwar, scam and phishing is vey dangerous. Key Words spam, defense, countermeasures, countercountermeasures Úvod Přístup k řešení spamové problematiky je dnes orientován na příjemce elektronické pošty. Zakládá se na využití různých filtrovacích technik. Těmi, které jsou nejvíce využívané jsou: filtrace dle původce zprávy blacklisting greylisting filtrace dle obsahu bayesovské učící se filtry flitry založené na pravidlech Všechny tyto a další odvozené metody jsou v podstatě obranné umožňují uživateli, aby měl nad množstvím zpráv jistou kontrolu. Na základě pravidel naučí spam filter rozpoznávat s určitým procentem chyb spam a ušetří tak čas, který by musel věnovat na manuální kontrolu emailových zpráv. Metodika Autor se opírá o vlastní výzkum, který se skládá z analýzy došlých emailových zpráv do tří elektronických schránek každá je využívána v jiném režimu. Sledované období je za rok 2010. Na celkovém objemu zpráv je analyzována účinnost antispamového řešení a přijaty závěry k jeho funkčnosti a účinnosti. Je stanovena následující hypotéza H1: Spamové filtry jsou dostatečnou obranou proti nevyžádané poště. Druhá část článku obsahuje analýzu dalších metod v závislosti na výsledku filtrování. Analyzovány byly nejvíce zmiňované Dostupné z: http://www.thinktogether.cz/
metody, jak ztížit rozesílání elektronické pošty pro ty, kteří na volnosti a bezplatnosti parazitují. Je stanovena hypotéza H2: Aktivní metody boje proti spamu mají své slabé stránky, pro které nejsou katuálně použitelné. V diskuzi jsou zjištěné poznatky podrobeny kritickému rozboru na základě kterého je určen další směr výzkumu. Současný stav výzkumu Rozdělení metod boje proti spamu V rámci rozdělení technik bránících emailové schránky vůči nevyžádaným emailům autor rozdělil techniky na dvě skupiny: pasivní ty, které spam pouze blokují či třídí na straně uživatele (schránka, server). Pasivní z toho důvodu, že pouze reagují a nekladou překážky spamerům. aktivní ty techniky, které se snaží omezit rozesílání emailových zpráv tak, že prostřednictvím určitých restrikcí znesnadňují rozsáhlé rozesílání emailových zpráv. Stav schránek k 31.12.2010 K tomuto datu byly analyzovány následující schránky s níže uvedenými výsledky: gauron@centrum.cz (G) aktivně využívaná schránka se zaměřením na zvýšení účinnosti demaskujících opatření alexandr@vasilenko.cz (A) schránka využívaná pro osobní potřeby, která respektuje zásady maskovacích technik pro práci se schránkou info@vasilenko.eu (I) schránka provozovaná v souladu s deklaracemi spamtrap systémových opatření Výsledek ročního testování. Schránka G Schránka A Schránka I Doba existence 10 let 5 let 4 roky Příchozí zprávy 3265 2913 428 Zprávy 354 488 0 Skutečný spam 2490 2212 428 Vyžádaný spam 421 213 0 False positive 96 102 24 False negative 280 211 0 Interpretace Schránka G, která je využívaná pouze pro registrace a výběhově jako původní emailová adresa je počet spamů nejvyšší. Lze říci, že zjišťování emailových schránek prostřednictvím procházení diskuzí a hledání emailových adres v registračních či profilových údajích je jednou z častých a oblíbených metod spamerů. Schránka A, je používaná pro osobní korespondenci je z hlediska počtu spamu o cca 10% lépe. Není na první pohled jasné, kde se spameři dostali k této adrese. Odpověď je však jednoduchá z počítačů jiných uživatelů, se kterými je autor v kontaktu a dále z řetězových dopisů stačí jeden počítač infikovaný, který analyzuje emailové zprávy a adresa je zařazena do odesílání i při dodržování bezpečnostních zásad. Schránka I,která je aplikována na webové stránce s návštěvností cca 1000 uživatelů za měsíc je na tom nejlépe. Tato adresa je však udržována v režimu spamtrap není pro obyčejného uživatel viditelná, ale robot na sbírání emailových adres z webů ji přečte. ISBN: 978-80-213-2169-4 268
Spameři jsou schopni zachytit emailovou adresu mnoha způsoby. Zde se jako nejjednodušší jeví procházet diskusní fóra a tam hledat emailové adresy. Majitelé některých diskuzí nemusí mít své weby dostatečně zabezpečené. Získané adresy jsou pak cenným obchodním artiklem. Skoro stejně výkonným řešení je vytvořit malware, který na infikovaném počítači sbírá adresy a snaží se je rozšířit dále. Zde je nevýhodou nelegálnost tohoto řešení. Výsledek Pasivní přístup ztrácí účinnost vzhledem k vysokému počtu zpráv a nedokonalosti spam filtrů cca 1% zpráv je identifikována špatně. Uživatel je nucen ke kontrole spam koše, byť značně zběžné, neboť - u cca 10% zpráv dochází k mylné identifikaci emailové zprávy jako spam. Filtr sice většinu spamu rozpozná, avšak vzhledem k reálnému riziku zahození relevatní emailové zprávy je nutno spamový koš stále kontrolovat, byť s menší spotřebou času. Druhým faktorem, který je nepříjemný je ten, že cca 22% spamu má jako adresu odesílatele uvedenou adresu schránky do které přišla filtrování je velmi ztíženo, zejména v případě, že je schránka používána jako externí disk neb si uživatel sám sobě posílá zprávy se soubory, které potřebuje takto mít stále k dispozici. Je tedy zapotřebí použít aktivní přístup k omezení spamerů a jejich aktivit. Jaké jsou však možnosti? Zhodnocení pasivních metod Pasivní metody jsou schopny odchytit velké množství spamu, ale nezbaví nás 100% nutnosti kontrolovat výsledky jejich činnosti. Lze tedy říci, že pasivní přístup ulehčuje práci se schránkou, zkrátí uživateli nutný čas pro kontrolu, avšak není schopen 100% zajistit správnost třídění emailů. Lze tedy říci, že hypotéza H1 neplatí. Metody aktivního působení Jakákoliv opatření jsou však pouhou reakcí na činnost spammerů, systémy, filtry a uživatelé se snaží ze záplavy falešných a podvržených zpráv vyhodnotit ty špatné a do emailové schránky pustit pouze ty dobré. Je však také několik možností, jak se bránit aktivně tedy jak zabránit nebo alespoň velmi výrazně omezit působení spammerů. Zpoplatnění zpráv Cenové opatření je prvním a nejčastěji zmiňovaným krokem. Analogie se nabízí sama klasická pošta. Rozdíl je v tom, že příjem ze zpoplatněných zpráv je minimální, jedná se o symbolickou částku, která by byla stržena za každou odeslanou zprávu. Známkou by byl v tomto případě certifikát připojený ke zprávě, který by garantoval, že odesílatel zaplatil danou částku, která by měla činit zlomek ceny skutečné poštovní známky. Pokud budeme předpokládat, že cena za elektronickou známku bude 0,001 USD, zjistíme po přepočtu, že v ČR bychom za jeden email zaplatili cca 0,016Kč, což není pro jednotlivce likvidační cena, pro firmy však může již znamenat výrazné výdaje v průběhu kalendářního roku. Ještě větší problém to je ale pro spammera, jestliže se dříve vyplatil 1 z 100 000 emailů, teď by to muselo být výrazně více, nebo vedených 100 000 zpráv by znamenalo zaplatit 100USD. Pokud profit z prodaného zboží byl 20USD, už by bylo nutné oslovit 5 lidí, aby zaplatili pouze náklady na odeslání zpráv. Dostupné z: http://www.thinktogether.cz/
Je jasné, že tento model nebudí příliš pozitivních reakcí, neboť jeho ekonomická náročnost pro velké subjekty je značná. Autentifikace emailové adresy Základem je jednoznačná identifikace odesílatele, tedy stav, kdy příjemce je schopen zjistit, že osoba, která daný email poslala je skutečná a že tedy nepředstavuje riziko nevyžádané pošty. Toto dnes není možné již z toho důvodu, že SMTP protokol, který je pro odesílání zpráv používán je 30 let starý a nesplňuje požadavky na bezpečnost. Pokud si vytvořím vlastní smtp server, je snadné odesílat emaily s falešnou hlavičkou a vyhnout se tak případnému postihu. Ověřování uživatele může proběhnout na základě IP adresy, což je velmi nepraktické, málokdo dnes má veřejnou IP adresu, a navíc může využívat počítač ve škole, v práci, v kavárně, kolegův a IP adresa by se měnila. Toto by šlo využití pro firmy, které mají vlastní IP adresy svých serverů a alespoň firemní pošta či emaily od různých organizací by mohly být čisté. Toto řešení by pomohlo také u poskytovatelů freemailových služeb. Byly by nuceni provádět důkladné kontroly svých uživatelů nabízí se model ověření pomocí kódu zaslaného doporučeným dopisem aktivace konta či jeho povýšení na certifikovanou adresu by sice zabralo čas, ale poskytlo by jednoznačnou identifikaci fyzické osoby spojené s emailem. Tento princip využívá například www.aukro.cz pro udělení označení ověřený nakupující. Black list by potom sloužil k blokování nebo snížení ratingu tam, kde by docházelo k pravidelnému odeslání spousty zpráv. Jiným přístupem je odříznutí portu 25 (smtp) a nahrazení jinou službou, která již autentizaci vyžaduje. Elektronický podpis je dalším řešením, každá podepsaná zpráva je dostatečně ověřitelná vůči PKI, je tedy málo pravděpodobné, že by ji bylo možné klasifikovat jako spam. Samozřejmě, že by bylo i nadále možné zprávy posílat jako doposud, nicméně tyto by byly postihovány zvýšeným spam skóre. Problém by pak představovalo předávání zpráv a jejich další zpracování. Falešné hlášení o nedoručení Bez ekonomických dopadů a nucení uživatelů k registracím je možno využít chybových hlášení či časových limitů. Typickým použitím je potom hlášení o nedoručení zprávy a vygenerování opětovné žádosti o zaslání. Omezilo by to emaily s falešnou hlavičkou server příjemce vyzve domnělý odesílatelský server s žádostí o znovuzaslání a ten nemůže vyhovět takovou zprávu neodeslal, příjemcův server by po určitém časovém limitu zprávu zahodil. Negativním dopadem je potom vyšší náročnost na komunikaci a prodloužení doby doručení zprávy. Výpočetní model Zde je omezení na straně odesílatelského serveru, který před odesláním zprávy musí vykonat daný výpočet jednoduchou operaci, kterou mu zadá autorizovaný server. Efekt tohoto opatření je jasný mnoho zpráv vyžaduje vyřešení velkého množství úloh a povede ke zpomalení odesílání zpráv. Stejně tak bude snazší dohledat uživatele, který produkuje mnoho žádostí o výpočet a detekovat tak potencionálního spammera. Lze si představit, že by tento model byl podporou pro současnou platformu distribuovaných výpočtů odesílatel či provozovatel emailového serveru by si mohl vybrat. Model by mohl být stejný, jako v případě platformy BOINC vyvinuté na univerzitě v Berkeley pro zpracování velkého množství dat ISBN: 978-80-213-2169-4 270
prostřednictvím dobrovolnických počítačů. Zpracovávané jednotky by musely být mnohem menší, avšak díky velkému množství zpráv by to byla velká pomoc. Protiopatření ze strany spammerů Botnet Síť počítačů roztroušených po světě, které jsou ovládány jednotlivci. Tyto počítače jsou infikované malwarem, který je dává k dipozici majiteli botnetu. Botnet je primárně využíván k výdělkům, tedy je pronajímán, nejčastěji právě k rozesílání spamu. Vzhledem k velkému množství počítačů disponuje botnet vysokou výpočetní kapacitou, kterou může sdílet s libovolným emailovým serverem výpočetní model by tak nebyl k potřebě. Nabourání certifikačních serverů Vyřazením například DDoS útokem by pozbyly systémy založené na jakémkoliv certifikačním programu smysl přestaly by fungovat a hodnocení zpráv by bylo vyřazené. Prolomení autentizace či systému známek Jakýkoliv obranný krok v čase slábne, je analyzován a během kratší či delší doby prolomen v současnosti neexistuje nic, co by odolalo soustředěnému tlaku. Příkladem může být systém pro kontrolu obsahu přehrávaném pomocí HDMI šifrování slibovalo velkou odolnost, avšak zhruba po roce je prolomeno a k nepotřebě. Obdobné akce by zcela jistě nastaly i v případě jakéhokoliv opatření. Zhodnocení aktivních metod Již dlouho se nad podobnými modely uvažuje: v roce 2006 AOL mělo snahu zpoplatnit odesílání pomocí elektronických známek, další aktivity byly v roce 2009 a 2010 i u nás. Výše uvedené aktivity narazily na obrovský odpor internetové komunity. V současnosti není žádná z aktivních technik ani ve stádiu testování, což dává velký prostor pro další inovace a hledání kompromisního řešení. Hypotéza H2 je tedy platná. Diskuze a závěr Paradoxně tak lze říci, že neexistuje zatím jednoznačný postup, jak se vyrovnat se záplavou spamu a zmírnit tak tlak na firmy a uživatele. Největší slabinou je právě anonymita, bezplatnost a možnost obcházení zastaralých protokolů. V současné době se na rozesílání spamů podílejí zejména botnety, které produkují každý den stovky milionů nevyžádaných emailů. Jejich společným jmenovatelem je potom koncový uživatel, který svým laxním postojem k zabezpečení umožňuje případné zneužití svého počítače. Dostupné z: http://www.thinktogether.cz/
Literatura Goodman D.(2010): Spam Wars: Our Last Best Chance to Defeat Spammers, Scammers & Hackers. Select Books, Singapur; ISBN-13: 978-1590790632. Spammer-X, Posluns J.,Sjouwerman S.(2004): Inside the SPAM Cartel: By Spammer-X Syngress, Burlington; ISBN-13: 978-1932266863. Schryen G. (2010): Anti-Spam Measures: Analysis and Design. Springer, New York; ISBN-13: 978-3642090875. ISBN: 978-80-213-2169-4 272