ITBN 2007

Immáron harmadjára vehettem részt ITBN napon, amely aktuális IT-biztonsági kérdésekről szól.

Kezdődött az izraeliek beszámolójával, akik az elektronikus kormányzásról osztották meg a tapasztalataikat. Egy biztos: a PKI bevezetésében (jóval) előttünk járnak. A férfi kissé gyúrhatott volna az angolra, míg a nő teljesen flottul és tisztán beszélte.

Ezután a McAfee képviselője a botnetekről, ill. a probléma kezeléséről beszélt, ami hihetetlenül egyszerű (elméletben): elejét kell venni, hogy a hálózatunk megfertőződjön.

Majd a HP-től az alkalmazásbiztonság volt a téma. Nem igazán tudtam mit kezdeni az előadó önvallomásával, miszerint ellátogatott egy web oldalra, ahol egy automatikusan letöltődő program megfertőzte a gépét. Érted: egy security professional windows *.* + IE7-el felfegyverkezve járja a világhálót… De lehet, hogy csak én vagyok más.

Keleti Arthur az ICON-tól egy élvezetes Rodolfo 5 perccel kezdett, és biztos elvégzett egy alapfokú fakír crash course-t, mert furcsákat művelt egy kötéllel. Egyébként az adatszivárgásról beszélt.

A Symantec vezető rendszermérnöke Fekete vagy fehér? címmel adott elő, és ha valaki szereti az antivírus termékeit, annak jó hír, hogy egy antivírus áráért egy komplett biztonsági csomagot adnak.

Szünet.

Átmentem a 2. szekcióba, ahol tartalom- és spamszűrés volt a téma. Az 1. előadás az IronPorté volt, és bevallom már az elején, hogy egy konkurens termék egyik fejlesztőjének (lesújtó) véleménye miatt eléggé (negatív) előítélettel hallgattam végig. Az IronPort-ban az ún. ASYNCOS ketyeg, ami egy spéci OS, spéci fájlrendszerrel. A dobozuk 200 levelet kezel másodpercenként, ami az előadó szerint 10x több, mint amit mások tudnak, és 10,000 paralel TCP kapcsolatot, ez meg 50x több. Manapság az ún. reputációs hálózat a legújabb buzz word, az IronPort Senderbase network néven implementál egyet, amelyben 100,000 hálózat, 20 millió IP-cím, és a világ email forgalmának 25%-a van benne.

Ezután következett a filter:max előadása [A bejegyzés végén korrekció található!], és Nemes Dániel meglepő állítással nyitott: ma már mindenkinek (értsd: a jelenlévő konkurens gyártóknak a teremben*) 99.99999….9999%-os** – azaz kilencven-sok – spamfelismeréssel rendelkező termékeik vannak, de ez nem (igazán) lényeg, mert sokkal fontosabb a fals pozitívok aránya, azaz, hogy a csili-vili sok pénzért megvett doboz vajon hány 500 millió HUF-os megrendelést küld a /dev/oblivion-ba? Teljesen jól mondta azonban, hogy az egy dolog, hogy védekezünk az email-ben érkező fenyegetések ellen, de egy átfogó védelemre van szükség, ami pl. a weben át érkező malware ellen is véd. Azontúl, hogy a Surfcontrol telepíthető a munkaállomásokon vagy futhat célhardveren is, lehetőség van menedzselt szolgáltatás (kihelyezett ASP) igénybevételére is. A moderátor kérdésére (mert a közönség nem akart kérdezni) pedig megtudtuk, hogy azért nem olcsó a termékük, pedig a 7 legnagyobb hazai bankból 4 az ő terméküket használja.

A Websense előadása nem maradt meg bennem, ez az előadás – nekem – kicsit szürke volt a többi között, de legyen ez az én problémám.

Végül a Barracuda képviselője szólalt fel, és megtudtuk, hogy náluk nincs licence díj (ami egy kellemes feature). Megemlítette, hogy nehézséget okoz az, hogy mindenki számára más és más a spam definíciója. Szóba került az, hogy a spam mennyi problémát okoz, valamint az, hogy nem lehet jó egyidejűleg egy x termék fals pozitív ill. fals negatív aránya (gondolj erre úgy, mint egy x * y = 1 alakú szorzatra). Én ebben ugyan kissé kételkedem, de világos, hogy minél élesebb a borotva, annál inkább hajlamos belekapni a jó levelekbe is.

Az előadók megerősítették bennem azt, hogy levelet nem szabad eldobni, még akkor sem, ha az nyilvánvaló spam. A clapf pedig éppen így működik, semmit nem dob el (csak a vírusos leveleket). Azt is megtudtam, hogy a németeknél a leveleket 6 évig archiválni kell. Ha egy adott helyen a spamek aránya az összlevelezés 90%-a, akkor – ha nem dobjuk el a spamet – a tárolás költsége 9x nagyobb lesz. Azonban nem kell ennek feltétlenül így lennie: mi lenne, ha a spameket eleve egy karanténba tennénk, amit a felhasználó maga kezelhet. Legyen ennek a mérete vagy élettartama (vagy ha jobban tetszik TTL-je) 2 hét, ez azt jelenti, hogy mégha archiváljuk is a spameket, azok semmiképpen nem növelik meg a levelek számára szükséges diszk kapacitást 900%-kal. Vállalati környezetben mindenképpen érdemes megfontolni egy ilyen megoldást, mert ez megszünteti a fals pozitív miatti levélvesztés okozta félelmet.

Szünet, ill. ebéd. A kaja akár jó is lehetett volna, ha eltalálják az ízlésemet (de nem találták el). Ez egyéni szoc. probléma, nem az ő hibájuk.

Nem maradtam végig ott, mert leginkább a spam- és tartalomszűrés érdekelt az idei programból, úgyhogy némi 21-ezés után angolosan távoztam. Csak egy leosztásra voltam partiban, mert kaptam először egy hetest, majd egy ötöst. Ez kissé karesz lesz a 21-hez, úgyhogy lapot kértem, és kaptam egy Queen-t (7+5+10=22), fuccs! De rendes volt a díler, mert adott egy nyalókát a vigaszágként.

A regisztráció ügyetlensége miatt a szervezésre 3 pontot adtam. Kétszer is regisztráltam magam a
web oldalukon, mindkétszer ok üzenetet adott vissza az űrlap. Azonban semmi nyugtázó email (vagy valami hasonló mechanizmus), és még jó, hogy felhívtam őket, mert nem kerültem be a rendszerbe.

Az eddigi években legalább egy tollat, meg egy kis jegyzettömböt is adtak a csomagban, idén ez elmaradt, ezért úgy kellett a McAfee standnál kuncsizni. De kaptam egy halom prospektust, ami ha másra nem is, de arra jó lesz, hogy azok alapján egy profi datasheet-et készíthessek a clapf-nak. Ja, és az értékelőlapot elég lájtosan töltöttem ki, nem akartam, hogy megtudják a munkahelyem security vonatkozású dolgait. Jövőre pedig – ha megérjük – mint magánszemély fogok jelentkezni. Mindent összevetve: szép volt, jó volt, köszönöm, ennyi.

*: és nekem :-))
**: ez már majdnem úgy hangzott, mint a háromszáz …. harmincezer (liter zoxigén)

Szerkesztés:

Nemes Dániellel váltottam 1-2 levelet, és kiderült, hogy nem pontosan adtam vissza az elhangzott szavait, mert ő egészen pontosan azt mondta, hogy “az összes gyártó azt _mondja_, hogy 99,99999%-ot tud, ami általában hazugság. a tapasztalataink szerint a kereskedelmi termékek közül stabilan 97-98% felett (belátható FP ráta mellett) 4-5 termék teljesít, amibõl 3 kapható nálunk.”

Ami pedig azt az átfogó védelmet illeti, az “a lényeg, hogy egy csak e-mail szûrõben is fel kell tudni használni a webszûrés tapasztalatait és fordítva.”

Parazita spam – avagy már megint összeesküvéselmélet!

A 2006. évi CEAS papírok között láttam egy rémisztőt. Nem maga a papír (igen, jól látod, szóközzel kezdődik a pdf neve) volt rémisztő, hanem a parazita spam lehetősége.

Az nem meglepő, hogy léteznek zombi hálózatok, amelyekkel a spammerek temérdek levelet küldenek ki. De az már valószínűleg az, hogy a zombi gépek ezen túl még egy új fajta spamre is felhasználhatók. Ha egyszer egy malware átvette az irányítást a gép felett, akkor az bármit megtehet, pl. a kimenő levélforgalmat nem csak monitorozhatja, de akár módosíthatja is.

A freemail szolgáltatóknál bevett szokás, hogy a levelek végére egy rövid reklámot illesztenek. Ugyanezt a zombi gépet irányító malware is meg tudja ttenni. Így amikor Bob levelet küld Alice-nek, akkor az egyébként legitim levélben egy spam melléklet is lesz. Ha a spammer ügyes, akkor a címzett levelezője először a spamet fogja megjeleníteni, nem kis galibát okozva ezzel.

Ha ezt még (elvileg) könnyű is lenne kezelni – a mellékletek külön elemzésével, és a spam tartalom kivágásával – de a helyzet még ennél is rosszabb: a spammer ugyanis azt is megteheti a zombin, hogy nem külön mellékletbe helyezi el a spamet, hanem a levél szövegébe közvetlenül. Arról nem is beszélve, hogy ugyan meddig tart a barátomnak küldött levélben a nyaralás képeinek web oldal címét lecserélni egy online gyógyszertár oldalával, ahol már csak kattintanunk kell, hogy szállítsák a nagy tétel Xanax-ot? Ebben az esetben lehetetlen visszaállítani az eredeti tartalmat, és ez a helyzet a jelenlegi anti-spam megoldásokkal praktikusan kezelhetetlen.

Mi hát a megoldás? A zombi hálózatokat kell felszámolni. Ma ugyan még senki sem látott ilyen spamet, de ha a statisztikai szűrők széles körben elterjednek (és így a spamet praktikusan semlegesítik), és a spam ROI-ja alább zuhan, lehet, hogy a spammerek a parazita spam felé fognak fordulni.

Micro spam – megoldva

A hónapban meglehetős bánatot okozott az, hogy 3 micro/pico spam is becsúszott. 3 spam nem a világ, de már szinte alkotói válságba kerülök, amíg meg nem oldom a problémát. Az alábbi példán az is szembeötlik, hogy aligha lehet ezt a levelet hagyományos értelemben vett spamnek tekinteni: sehol egy URL, sehol egy termék neve, de még egy ár sincs.

Date: Wed, 19 Sep 2007 03:10:06 +0100
From: Dalton Ferrell <khcarlene@juniormail.com>
To: sj@xxxx.hu
Subject: .)!-[[!  - [ [ !*]*: +.]    -++ !]

S:tooo.ccc k F]D:E.G
Last 0.04
Ta*rg  et 0.12

Jellegzetes azonban a tárgy sora: tele van olyan karakterekkel, amelyekből értelmes token aligha származik. Amikor először találkoztam ezzel a típusú spammel, a spam valószínűsége határozottan a jó levelek értéke felett volt (azaz a szűrő biztos volt abban, hogy ez nem jó levél), de alatta maradt a spam limitnek, azaz a szűrő csak a vállát vonogatta, hogy a levél se nem ham, se nem spam.

Ezért első ötletként kipróbáltam azt, hogy ha a szűrő bizonytalan, akkor kérdezzen meg egy feketelistát, hátha szerepel rajta a feladó. Ha igen, akkor hozzáad egy RBL* tokent, ami növeli a spam valószínűséget. Ez szépen megfogott jó pár ‘unsure’ levelet. A fentebb látható azonban nem szerepelt (még) feketelistán, ezért bevetettem még egy trükköt: ha a levélben nem szerepel értékelhető token a Subject sorban, akkor beilleszt a mátrixba egy NO_SUBJECT* nevű extra tokent, ami szintén növeli a spam valószínűséget. Ezzel pedig már ezt a levelet is megfogtam. Ha pedig egyszer megfogtam, el nem eresztem: a spamszűrő ugyanis megtanulja azokat az leveleket, amelyekben új adat van. Így a probléma reményeim szerint megoldva.

Ez a kis mocskos micro spam okozta bosszankodás azonban hozzájárult ahhoz, hogy a clapf egy következő szintre lépjen: a reputációs megoldások körébe.

Hát te se vagy normális?

Danny Carlton – a http://whyfirefoxisblocked.com/ site tulajdonosa – blokkolja a Firefox böngészőt használókat, mondván azok meglopják őt.

Amit az egy korábbi írásban is szerepelt, a Firefox böngészőhöz letölthető az Adblock Plus nevű nagyon hasznos kis program. Ennek segítségével a felhasználó a saját gépén blokkolni tud tetszőleges hirdetéseket.

Namost ez nem tetszik Carlton-nak, mert szerinte a Firefox felhasználók megsértik a web oldal tulajdonosok és fejlesztők jogait. Leírja, hogy egy csomó web oldal van, amely minőségi tartalmat biztosít, cserébe viszont el kell viselnünk a reklámjaikat. Ha pedig valaki csak a tartalmat olvassa el, de a reklámot nem, akkor az egyszerűen tolvaj. Ezért ez a csomó web oldal tulajdonos olyan szkripteket telepít, amelyek megakadályozzák, hogy olyanok is megnézzék az oldalaikat, akik reklám blokkoló szoftvert használnak, hiszen ez joga a web oldalak gazdáinak.

Carlton abban látja a valódi problémát, hogy az Ad Block Plus fejlesztői nem adtak olyan lehetőséget a web oldalak gazdáinak, hogy azok letilthassák a plug-in használatát. Ezért úgy látja, hogy az egyetlen járható út az összes Firefox böngésző kitiltása az oldalukról.

Nem igazán világos a további érvelés. Szerinte a Firefox felhasználók olyan kevesen vannak, és olyan keveset költenek az Interneten, hogy a blokkolásuk miatti veszteség elhanyagolható, miközben az álaluk okozott erőforrás lopásnak óriási gazdasági előnye van. És mindezt ez az elhanyagolható csoport teszi…

Az oldalon a kommentek között van egy érdekes megjegyzés: amikor a felhasználó letölti a reklámokat is tartalmazó jogvédett web oldalt, akkor valójában a felhasználó egy másolatot készít az oldalról. (Ez valóban így is van, mert a legtöbb böngésző a helyi gyorsítótárban helyezi el a letöltött állományokat). Ha azonban a gonosz Firefox felhasználó kiszűri a zavaró reklámokat, akkor ő valójában egy nem engedélyezett, ún. származtatott módosítást hoz létre a gépén, ami pont olyan, mintha nem néznénk meg a TV-ben a reklámokat.

Hááát, hogy mondjam magának? Velem az a helyzet, hogy az én oldalamon is van reklám (bal oldalon látod a Google reklámsávját, ha csak ki nem szűrted az Adblock Plus-szal). Szeretném azt hinni, hogy én is minőségi* tartalmat adok neked olvasni. Nekem is egy csomó csekket kell minden hónapban befizetnem. De engem aztán nem érdekel, hogy mit szűrsz ki az oldalamról. Miért?

  • Mert én is utálom a reklámokat.
  • Mert mindenkinek elidegeníthetetlen joga, hogy eldönthesse, mi kerüljön a képernyőjére.
  • Mert kidobnám azt a böngésző plug-in-t, amit egy távoli gép a kedve szerint manipulálhat.
  • Mert abból egy huncut forintja sem lesz, ha valaki csak megnéz egy reklámot. A legtöbb helyen rá is kell kattintani**, ill. bizonyos konstrukciók csak akkor fizetnek a web oldal gazdájának, ha a tőle érkező látogató vásárol.
  • Mert ha kizárólag reklámok bevételeiből akarja magát fenntartani, akkor az az üzleti modell suxxx.

További olvasnivaló:

Adblock Plus and (a little) more
Who blocks the (ad) blockers?
A webes hirdetések blokkolásának erkölcstana

*: Ok, legyen amatőr, de lelkes
**: Légyszi-légyszi, könyörgöm, kattints rá 2-3 google hirdetésre a bal oldalt! Na jó, csak vicceltem***
***: De ha tényleg rá akarsz kattanni, én biztos nem piszkálok bele a böngésződbe, hogy megakadályozzam

Nincs többé PDF spam

Az ITWeb The rise and fall of PDF spam címmel címmel közölt egy írást, amely szerint a PDF spam amilyen hirtelen jött, olyan hirtelen el is tűnt. A Sophos készítette grafikonon jól látható, hogy az augusztus 7-e körüli csúcs hamar lecsengett.

pdf spam arány

A NetXactics szerint ennek az az oka, hogy a spammerek nem tudták átverni a népet ezzel a trükkel. Ha pedig nincs belőle pénz, akkor nem sokáig erőltetik a módszert. Ellenkező esetben nem váltak volna meg tőle.

A Sophos szakértői szerint a PDF spamnek számos hátránya van, ami szintén hozzájárulhatott a bukásához. Noha az Acrobat Reader mindent megtesz, hogy időben betöltődjön, ha a levél PDF mellékletet tartalmaz, a felhasználók hamar rájöttek, hogy kár a felesleges minden kéretlen PDF dokumentumot megnyitni.

Az én postaládámban a melléklet spamek között jó, ha 4-5 PDF spam volt, a többi JPEG és GIF képet tartalmazott.