Game over – avagy hogyan vedd le az ISP-ket

Egy IP-cím kapcsán olvastam egy levelet, amelyben a www.uceprotect.net arról tájékoztatott, hogy egy bizonyos hálózat UCEPROTECT-Level 3 szintre került. Ha te is olyan értetlenül meredsz erre, mint én, akkor elmagyarázom, hogy ez mit jelent.

Röviden: GAME OVER. Kicsit bővebben: belefáradtak már abba, hogy a [spamet támogató] bűnösök [ISP-k] mindenféle kifogásokkal jönnek. De az Uceprotect nem egyszerűen egy újabb feketelista: ők tényleg jobban tudják – legalábbis ezt mondják. Ezen túl még azt is leírják, hogy a spam a szolgáltatók hibája, ami legalábbis (valamekkora) részben igaz, meg hogy jobb lesz, ha szolgáltatót váltasz, mert a jelenlegi nagyon spam barát, és az ilyeneket bojkottálni kell.

Az Uceproetct sok állításával egyet értek, és én sem szivesen fizetnék egy olyan ISP-nek, amelyik pártolja a spammereket. Jó ötlet pl. az is, hogy a felhasználókban tudatosítják, hogy nézzék meg, kinek fizetik a havidíjat. Egy apró probléma azért mégis van: mi van, ha az adott ISP mégsem spam-heaven? (Egészen véletlenül tudom, hogy a szóban forgó – de közelebbről meg nem nevezett – szolgáltató nem tolerálja a spamet.)

A másik dolog, ami kellemetlen szájízt okoz, hogy a módszerük eléggé seriffesre sikeredett, mert a kemény szövegen túl egy /16-ot* feketelistára tenni kissé merész pár spammer miatt. Aki pedig ezt használja, és vannak ilyenek, azok a világ néhány /16 hálózatától búcsút mondhatnak. Nem is csoda, ha az érintettek nyavalyognak a levelezőpartnereiknek,
akik majd tovább sírnak a szolgáltatójuknak, hogy csináljon végre valamit, mert nem tudnak levelezni.

Van persze megoldás: Egy “nagyon jutányos” 250 Euro összegért (Expressdelisting) nem kell megvárni az egy hetet, amíg a Level 1 listáról lekerülsz, megoldják hamar, és még egy jó tanácsot is adnak: ha nem oldod meg a problémát (=eliminálod a spamet a hálózatodból), akkor hamar újra Level 3-on találod magad.

Néhány megjegyzés kikívánkozik belőlem a dolog kapcsán, mert miről is van szó? Adott egy német vállalkozás Admins WebSecurity GbR, akiknek kellene egy kis pénz. Gondolom, ezzel nincsenek egyedül. Jön az ihlet: az ISP-k úgyis akkora gazdagok, miért ne vennénk ki a zsebükből egy kis pénzt, úgy 250 Euro-t? Ehhez bevetnek egy kis indirekt zsarolást a következő módon: legyen adott egy ISP, amelyiknek a hálózatán van 10 problémás ADSL felhasználó, mondjuk amolyan 5-fős Bt-k, amelyek spammel lendítenék fel a karácsonyi eladásokat. Persze ahogy kell, lebuknak, és felnyomják őket. Eddig ok, de figyelem, most jön a trükk. Tegyük az ISP érintett /16 IP-cím blokkját feketelistára. Küldjön most az említett szolgáltató egy másik [nem spammer] ügyfele levelet az x partnerének, aki az Uceprotect listáját használja. Hát nem beriaszt? Partner ezt észleli, és szól a feladónak, hogy micsoda ISP-re pazarolja a pénzét, mert azok támogatják a spamet. Az ügyfél pedig követeli, hogy a szolgáltatója, akinek ő rendben fizeti a havi díjat, csináljon valamit. A 7 napos opció persze nem járható, ezért marad az Expressdelisting 250 Euro-ért.

Csak a poén kedvéért megnéztem, és 319 ASN van ebben a pillanatban listázva az Admins Websecurity brigádnál, ami alsó hangon 21M HUF (319*250 Euro), ha mindenki fizet. 250 Euro nem is tűnik soknak, csak az a probléma, hogy minél nagyobb egy ISP, annál könnyebben akad a hálózatán pár piti kis lúzer spammer (és itt nyilván nem a pink contract-okról van szó), így sokszor 250 pénzre számíthat az Uceprotect per szolgáltató.

Meg is fordult a fejemben, hogy gyorsan összedobok egy formot, amin bárki riportolhat egy spammert, én meg az IP-címből kiderítem az ASN számot, a technikai konktaktot, a szolgáltató honlapját, onnan a vezérigazgató, meg a részvényesek otthoni telefonszámát, és leírom nekik egy [nem kéretlen, hanem] keresetlen levélben, hogy nem méltóak az ügyfeleik havi díjára, és különben is elérték a level 3 szintet, ami már a red alert, de potom 300 Euro-ért azonnal leveszem őket a listáról (amúgy meg 1 hét), különben pedig hallgathatják az ügyfeleik panaszáradatát.

De lehet, hogy jobb taktika, ha senki sem fizet az Uceprotect-nek, hanem inkább elmagyarázzák az ügyfeleiknek, hogy 2007 vége felé már van a spamre jobb megoldás is, mint a /16-os blokkok eszetlen feketelistázása, és aki akkora mafla nem ügyes, hogy ilyet használ, az magára vessen.

/16*: Egy 2^16 (=65536) darab IP-címet tartalmazó, összefüggő IP-címtartomány.

Maga a duma egyébként lentebb olvasható:


What means listed at UCEPROTECT-Level 3?
GAME OVER. We and our users have seen enough spam and heared all possible excusions why some lazy providers think to be not responsible for what their customers are doing.

We are not just another blacklist. We really know better. Spam is always a problem tolerated by the provider.

We have very bad news for you: It seems you have chosen the wrong provider.
Your IP x.x.x.x was NOT part of a spamrun, but your provider seems to believe that spam is what the internet was made for.
By tolerating your provider doesn’t care about spammers you are also supporting the global spam.
If all people would boycott spammerhaevens, spam-friendly providers wouldn’t even exist.

Please send a compliant to your provider and request him to fix this problem immediatly.
Think about this: You pay him for, that you can use the internet without problems.

If he ignores your complaint or claims he can’t do anything, you should consider to change your provider.
Don’t accept to be fooled. If your provider really wants to stop spam he would install preventive measures.

This 4 little steps would make the difference – and they can be done in less than one hour.

Can’t you make an exception for me?
We never make exceptions. Requests are futile. Only your provider can fix this problem.

How can my providers total ip-space be removed from UCEPROTECT-Level 3?
After your provider has fixed his problems, the UCEPROTECT-Level 3 listing will be removed automatically and free of charge as soon as the causal Level 1 listings will expire. Every IP listed at Level 1 expires 7 days after we have seen the last abusive action coming from it.
If your provider don’t want to wait for free expiration, he can optionally do Expressdelisting, which is charged a total of 250 EURO.
That is a huge discount compared to our charges for Level 2 or even Level 1 expressdelistings.
It is necessary that problems are fixed in first place, otherwise your providers complete IP-space might end up in Level 3 again within a short timeframe.

Passzív ellenállás

Nem, nem az 1867-es kiegyezést megelőző magyar taktikáról van szó, hanem arról, hogy a Kék fény riportere ezzel zárja a snittet: a szakemberek szerint a spamek ellen legegyszerűbben passzív ellenállással vehetjük fel a harcot, vagyis ha csak egyszerűen kitöröljük a kéretlen leveleket.

Történt ugyanis, hogy egy fiatal nőtől – nevezzük Ágnesnek – majdnem sikerült jó 300k HUF összeget kicsalni 1 millió angol font beígért nyereményével. Ágnes elkövette azt a hibát, válaszolt a csalást tartalmazó spamre, így még több lottó nyereményről szóló spamet kapott, elmondása szerint napi több, mint száz hasonló levél jön az email címére. A riporter kérdésére, hogy fog-e még a jövőben próbálkozni (ti. hátha mégiscsak nyert), azt mondta, hogy á, dehogy, automatikusan kitörli ezeket a leveleket. Sőt, még azon is gondolkodik, hogy email címet változtat.

Érdekes az is, hogy ugyan miért hitte el a nagy nyereményt? Egyszerű: mert el akarta hinni. Ágnes szerencsésnek tartja magát, mert többször nyert már kisebb összegeket. És valóban: szerencsére nem ment rá a gatyája – akarom mondani bugyogója a hiszékenységére és mohóságára.

A videoból – amely a YouTube hálózatról megtekinthető – azt is megtudtam, hogy februártól már van a rendőrségen egy ún. csúcstechnológia bűnözés elleni osztály is. Én már csak kettőt fűznék az esethez:

1. Az email cím cseréje nem véd meg a spamek ellen, csak idő kérdése, és a spammerek megtalálják az új címet is.
2. A spamek ellen máshogy is lehet védekezni, minthogy csak kitörölnénk ezeket a leveleket: a spamszűrők pont erre valók, hogy megtisztítsák a postafiókunkat.

Hogyan győzzük le a statisztikai szűrőket? Spojler jön!!!

A fenti kérdés bizonyára sok spammer szájából elhangzott már, és elmondhatom neked, hogy a nuke kivételével már szinte mindennel próbálkoztak az email címem ellen (szósaláta, CNN hírek, képes spam, stb), de a statisztikai szűrőm kitart (novemberben az eddigi 709 spamből 708-at felismert), és egyáltalán nem úgy néz ki, mint aki éppen feladni készül.

Szóval a bayes-i szűrők sok mindent tudnak, talán még
sakkozni is
. A spamblog.hu honlapján azonban úgy tűnik, hivatalból orrolnak a statisztikai spamszűrőkre. Szerintük ugyanis “a valóságban mindössze mintákat hasonlítanak össze szigorú matematikai alapokon. (Ráadásul a megfelelő marketinggel sokak számára teljesen hihetővé válik a tanuló, intelligens spamszűrő, viszont később komoly csalódás éri a téves biztonságérzetű felhasználót… nos, ez egy más lapra tartozik.)

Ha nagyon le akarjuk egyszerűsíteni a dolgot, igaza van a spamblog.hu-nak, a statisztikai szűrők valóban mintákat hasonlítanak össze egy kis matekkal megfűszerezve. De ha valaki egy kicsit jobban beleártotta magát az érintett algoritmusokba, egyáltalán: kapisgálja a koncepciót, akkor látja, hogy azért ennél egy kicsit többről van szó.

1. A mai, modern statisztikai szűrők valóban megtanulják, hogy milyenek a jó ill. a spam leveleink, ezért is hívják őket tanuló szűrőknek. Ezt a folyamatot úgy képzeld el, mint amikor egy 3 éves gyerek rámutat mindenre, és megkérdezi, hogy “mi ez?”, te pedig megmondod, hogy paradicsom, paprika, alma, dió, stb. Majd egy idő után, amikor már elég sok mindent megmutattál neki, te kérdezed meg őt egy ismeretlen növényre mutatva, hogy “mi ez?”, ő pedig az eddigi ismeretei alapján megmondja, hogy az zöldség vagy gyümölcs. Ha helyesen válaszolt, örülünk, ha nem, akkor korrigáljuk.

2. Ezek a programok tényleg intelligensek. Amikor a levelet elolvassák, nem csak egyszerűen mintákat (precízebben szólva szavakat, kifejezéseket, másképpen tokeneket), hanem koncepciókat (több egymás után következő kifejezés) is képesek azonosítani, ami már az AI szintjére emeli a statisztikai programokat (ld. a sakkozás során képes kiválasztani a lehetséges lépések közül egy (a leg)jobbat).
Csak egy példa, hogy miről beszélek. Tegyük fel, hogy van egy rendszeres levelezőpartnered, akitől sok levelet kapsz. A szűrő megtanulja, pl. hogyan szólít meg, mi az ő email címe, neve, mi az aláírása, szokásos szófordulatai, stb. Most jöjjön egy spammer, aki arra számít, hogy ha a haverod nevében küld neked spamet, az átcsúszik a szűrőn. De vajon tényleg átverheti? Esélye sincs. Mert ugyan szerepel benne a partnered neve és címe, a te neved és címed, de az előbb említett koncepciók közül egy se lesz benne. Ezért amikor megnézed a junk foldered, és látod, hogy a haver levele fennakadt a szűrőn (mert a spamre jellemző koncepciókat, pl. “great night”, “cheap oem”, stb. csont nélkül felismerte), csak nyisd meg, és látni fogod, hogy a szűrőnek volt igaza, és az egy spammertől jött. Én egyszer egy PayPal(-nek látszó) levéllel jártam így.

3. A “későbbi komoly csalódásról” és a “téves biztonságérzetről”

Vagy 2-3 éve fejlesztek egy statisztikai spamszűrőt (és használom is!). Szerintem ennyi idő alatt csalódhattam volna, ha az elv hibás lenne. De folyamatosan 99% feletti pontosságot élvezhetek (novemberben eddig a pillanatig 99.82%-on állok). Más projektek szintén hasonló (vagy jobb) eredményről számolnak be, pl. dspam készítőjének rekordja 99.987% (1 hiba 7000 levélből). Szerintem ennyi bőven elég a spamblog.hu FUD*-ját cáfolni, főleg úgy, hogy ezt az állításukat semmivel nem támasztották alá.

Szóval hogyan lehet legyőzni egy statisztikai, pl. bayes-i szűrőt? Egy módja azért van: ha nem használod, mert bedőlsz a “szakértők” FUD-jának. Gondolataimat elküldöm a yellowcube blogjába is, ami jelenleg spamblog.hu néven fut, kiváncsi vagyok, hogy megint kitörlik-e, mint különösen veszélyes szöveget a “legjobb spamszűrőre”.

*: FUD: Fear, Uncertainty, Doubt, azaz negatívumok és féligazságok terjesztésére alapozott kampány. Gyakran élnek vele a politikában és a marketingben.


“Azonnal tölts le egy statisztikai spamszűrőt, különben megtalállak téged is!”

Optimista spam

Az optimista klub, amelynek 10k tagja van, meg az iwiw-en is egy csomóan ott vannak, szóval ezek az optimista emberek küldtek egy spamet, hogy adjunk nekik építőanyagot egy optimista ház kialakításához.

A válaszban megírtam neki, hogy bánatos lettem, amiért elrontotta a havi spam statisztikámat – pedig ebben a hónapban eddig 601 spamet csont nélkül megfogtam, így a spam felismerési arányom 99.83% (=601/602) lett, továbbá hogy holnap panaszt teszek ellene az NHH-nál, ill. a levelével tanítottam a szűrőmet.

Maga a spam így néz ki. Csak egyet nem értek: ha amúgy is van 10k tagjuk, hogy-hogy nem tudják összedobni 1 ház árát? Nem elég optimisták benne?


From: “Rózsahegyi Márk” <info@mosolypontok.hu>
To: “xxxxxx” <xxxxx@xxxx.hu>
Subject: Mosoly-lak

Tisztelt Hölgyem / Uram!

Mosoly-lak kialakításához keresünk cégeket, akik számára szintén fontos, – és ezért a szükséges építõanyagok felajánlására is készek – hogy együtt létrehozzuk
Magyarország elsõ olyan házát, ahol … http://www.optimistaklub.hu/hir.php?idx=546 (részletek megtekintéséhez kérjük, kattintson a linkre!)

Köszönettel:

Rózsahegyi Márk
Egy optimista Magyarországért
www.optimistaklub.hu, mark@optimistaklub.hu

u.: Amennyiben zavartam levelemmel, melyet a xxxxxxx@xxxxxxx.hu cimre kapott, kérem jelezze. Köszönöm !

DHA ellen

A spammerek nem csak címlisták alapján küldik ki a szemetet, de megpróbálják kitalálni (vagy minden lehetséges variáció kipróbálásával vagy csak a gyakoribb vezeték- ill. keresztnevekkel), hogy az @xy.hu alatt milyen címek létezhetnek. Ha a kiszolgáló 5xx üzenetet ad vissza, akkor aza cím nem elérhető, ha pedig 2xx választ, akkor találtunk egy érvényes címet. Ezt a támadási módra hivatkoznak Directory Harvest Attack (kb. címtár támadás) néven. Egy SMTP session pl. így nézhet ki:

RCPT TO: <aa@xy.hu>
550 5.1.1 <aa@xy.hu>: Recipient address rejected: User unknown
RCPT TO: <ab@xy.hu>
550 5.1.1 <ab@xy.hu>: Recipient address rejected: User unknown
...
RCPT TO: <bela@xy.hu>
250 2.1.5 Ok

Jól látható, hogy minél egyszerűbb egy email cím @ előtti része – pl. sj@ – annál hamarabb megtalálják. A neten bóklászva rátaláltam egy felhasználóknak szóló jótanácsok gyűjteményére, ahol azt javasolták, hogy ne legyen ilyen a címed, mint bela@xy.hu, hanem biggyeszd mellé a születési évedet, szeretőid számát, stb, és legyél mostmár bela1970@xy.hu vagy bela0001@xy.hu.

Nem tudom, te hogy vagy ezzel, de én ilyen email címet még egy utolsó ki-kicsoda szájton se adnék meg, hogy ezzel égessem magam. Az meg főleg komolytalannak hat, ha egy ceo/cio/coo/c** (szóval cxx vagy c++) névjegyén ez áll: buga.jakab1968@jonagyceg.hu.

Sokkal jobb megoldásnak tartom azt, ha megszámoljuk, hogy az SMTP kliens hány érvénytelen címmel próbálkozott (vagy hogy a kipróbált címek hány százaléka érvénytelen), és ha az elér egy adott limitet, akkor lezárjuk az adott TCP kapcsolatot, opcionálisan 5 percre nem állunk szóba az illetővel.

Egy nagyon ari* védekezést láttam az ExchangeDefender honlapján:

Az ExchangeDefender véletlenszerűen elfogad pár olyan címet is, amely valójában nem létezik náluk (valójában a kukába irányítja ezeket a leveleket). Így a spammer azt hiszi, hogy az egy érvényes email cím, és fel fogja venni a címlistájára, amelyet majd később elad. Miután a domainünket végigspammelte, gyakorlatilag az összes email cím érvénytelen, ezért rá fog kényszerülni, hogy az egész domainünket törölje a listájáról.

De szép is lenne! Ez azonban nem így működik. A spammert ugyanis nem érdekli, hogy hány email cím működik a listáján és hány nem, hanem csak az, hogy minél nagyobb legyen, hogy minél több pénzt szedhessen ki a megbízója zsebéből. Ha valaki azon gondolkodik, hogy egy spammer segítségével lendíti fel az év végi eladásokat, akkor hadd világosítsam fel: a spammerek a saját megbízóikat is átverik.

*: értsd: eszedbe ne jusson! Az ilyen megoldásokra használják az angol szakirodalomban a snake-oil kifejezést. Nehogy bedőlj minden süket dumának, amivel csak egy anti-spam termék menedzsere akar etetni.