Tavaly nem tudtam elmenni, de idén ismét voltam a két napossá bővült ITBN 2010 rendezvényen. Én azonban csak a 2. nap második felén tudtam részt venni, ahol a 16. teremben az antivírus szekciót hallgattam végig.

A SafeSoft az Avira nevű antivírus szoftverről mondott sok jót. Az előadó a végén arra biztatta a hallgatóságot, hogy kérjenek igazolást az AV-szoftverük gyártójától, hogy az nem tartalmaz backdoor-t. Rögtön hozzá is tette, hogy ezzel nem akar semmit sem sugallni (nyilván nem…), majd egy székely viccel fejezte be: Bácsit megkérdezik, hogy isznak-e a halak vizet? Hát nem tudom fiam, de lehetőségük az van rá. Bán Tibor azzal fejezte be, hogy mivel az antivírus szoftverek “rendszer” jogosultsággal futnak, ezért lehetőségük van rá…

Ezután Muktadir Khan beszélt a GFI megvásárolta VIPRE-tól, és megtudtuk, hogy a VIPRE über szofisztikált emulációt alkalmaz, amivel semlegesíteni tudják a vírusírók sok-sok leleményes trükkjét. Meg persze azt is, hogy a VIPRE a legszebb, legjobb, leg… a vírusírtók mezőnyében.

Majd Leitold Ferenc beszélt a vírusírtók teszteléséről, amiből azt szűrtem le, hogy egy adott gyártó egyetlen termékének sem egyszerű a tesztelése, ill. “don’t try thiz @home”, mert ez egy nagyon összetett dolog, amihez (többek között) rengeteg gép szükséges.

Végül minden tiszteletem azoké, akik túlélték a ‘SPAM? Már szinte el is felejtettem, mi az’ című előadásomat Ebben arról agitáltam a hallgatóságot, hogy a statisztikai spamszűrők nagyon jó hatásfokkal védik a postafiókjainkat. 2007-ben a freemail.hu 18 M levelet kapott és dolgozott fel naponta, amelyeknek csak a spamszűrésével 18 db dedikált HP DL 145(?) foglalkozott akkor. Találd ki, hogy ezt a levélmennyiséget hány desktop PC képes elvinni, ha clapf fut rajtuk?

Az előadásokat követő szekcióülésen kaptam 1-2 kérdést én is. Az egyik az volt, hogyan veszi észre a felhasználó, ha a spamszűrő hibázott? A fals negatív hibát egyszerűbb: az iinbox-odban spamet fogsz találni. A fals pozitív hiba esetén a levelet a junk mappádban esetleg a karanténban találod meg (ha keresed), vagy a levelezőpartnered rádcsörög, hogy miért nem válaszolsz a levelemre?! Igazából e tekintetben nincs különbség a spamszűrők között: mindegy, hogy statisztikai- vagy más módon működő szűrőről van szó, A fals pozitív hibák okozta gyötrelem enyhíthető úgy, ha a felhasználó pl. minden nap kap egy összesítő levelet a karanténjáról. Egy másik módszer kissé brute force jellegű: időnként át kell böngészni a junk foldert. De az is segíthet, ha a kritikus partnereket fehérlistára vesszük. Sajnos még a statisztikai spamszűrők sem tévedhetetlenek, de megfelelő tanítás után az FP hibák aránya minimális (1 ezrelék alatt).

Egy másik kérdés arra vonatkozott, hogy mi van, ha a spammerek az én spamszűrőmet letöltik, és addig módosítják a spamet, amíg az át nem csúszik rajta? A válasz az, hogy ezt egy kereskedelmi (statisztikai spamszűrő) termék esetén talán meg lehet tenni, ahol a gyártó központilag reszel egy token adatbázist. Azonban én csak a szoftvert adom, a token adatbázist neked kell elkészítened. Mivel ez minden installációnál más és más, ezért elhanyagolható annak az esélye, hogy egy spammer olyan spamet tudjon készíteni, ami mindegyik token adatbázison átcsúszik.

Egy másik fogós kérdés azt vetette fel, hogy mi van, ha a spammer trükkös levele átcsúszik (mert pl. előző éjjel még nem ismeri fel a szűrő spamadatbázis mintája), és minden dolgozó megkapja reggel, mire dolgozni jön (mint spam)? Elképzelhető egy ilyen forgatókönyv, de szerintem csak ritkán. Egy cégnél közös tokenadatbázist használva gyorsan felkúszik a pontosság 99% fölé, ill. csapda email címek segítségével a spammerek is segítenek (önszántukon kívül) a spam leveleik elleni ‘védőoltásban’.

Amikor a statisztikai szűrők pontosságáról beszéltem, akkor megemlítettem, hogy egy 2008-as előadásban egy hazai forgalmazó azt állította, hogy az egyes gyártók 99,99..9%-os pontosság ígérete szimpla hazugság. Egy másik forgalmazó azt írja, hogy a gyártók szeretik felfelé kerekíteni a számokat. Magam is próbáltam olyan terméket, amely hibaaránya 1 a millióhoz – papíron. A gyakorlatban pedig 1% fölötti FP-hibát produkált a leveleimmel. Szóval ennyi bevezető után úgy éreztem, nincs okom pironkodni a statisztikai szűrők 0.1%-os FP és 0.5%-os FN hibaaránya miatt. sőt, ezeket konzervatív becslésnek tartom. Egy jól betanított szűrő ennél jobbat is tud.

Idén is megrendezik az SFD-t Szegeden. Több szekcióban majdnem 50 előadás ill. workshop várja az érdeklődőket. Regisztráció.

Szeptemberben szinte minden napra jutott egy mocskos vállalkozás, amelyik úgy gondolta, hogy a nyári uborkaszezon után egy kis spam generálta forgalommal dobja fel az üzletet. Ezért egy kissé átalakítottam a blogot, és a magyar spammereknek dedikált blogokat egy külön site alá kerülnek. A site neve a magyar spammer lett, aminek az alcíme: ‘Így spammeltek ti’.

A magyar spammereket ezentúl nem csak blogban “vezetem”, hanem Twitteren is.

Manapság, a körbetartozások korában kivel is ne fordulna elő, hogy tartoznak neki? Kész szerencse, hogy van nekünk egy olyan spammerünk, aki a weboldalán csak “Egyedi Ügyviteli Megoldások” néven fut. A spam alapján azonban kiderül, hogy Nagy Tamás nevű illetőről van szó.

A kéretlen levelében amúgy egy könyvet reklámoz, amelyik az adósságbehajtásról szól, és a spamben nem kevesebbet ígér, mint pénzbehajtást, de azonnal, és 100% garanciával.

Az egyik látogatói élménybeszámoló úgy kezdődik, hogy “Egészen véletlenül akadtam erre az oldalra”. Gondolom, Nagy Tamás eldöntötte, hogy ezen változtatni kell, és spamben szórja meg az Internetet, így tornázva fel a könyve eladásait.

Hogy ne zsákbamacskát akarj venni, egy demo anyagot is le lehet tölteni, amiben három tanács szerepel:

1. Ne sodródj az árral, irányítsd te az eseményeket!
2. Ne hallgass az érzelmeidre, ne akarj azonnali elégtételt, mert lesz még rá lehetőséged bőven.
3. Ne gondold, hogy csak az adós a hibás, keresd a rendszered gyenge pontjait.

Valljuk be, ez azért nagyon komoly.

Az email címemet pedig egy direkt marketing cégen (directmail) keresztül szerezték meg, ill. nem is ők szerezték meg, hanem rábízták a spammelés technikai részét az előbb említett bandára.

A kéretlen levél amúgy így nézett ki:

From: Egyedi Ügyviteli Megoldások <office@tanacsos.hu>
To: elegbaja@van.igy.is
Subject: Pénzbehajtás Azonnal – 100% garanciával

4500 Ft helyett 4050 Ft
A feltüntetett árak Bruttó árak.
Postaköltség 0 Ft

A fenti címen jelent meg egy írás az ITBN honlapján.

A cikk az elején tudatosítja, hogy “a legtöbb kártékony email azért érkezik meg hozzánk, mert valamire szüksége van tőlünk. Valamire, ami a miénk. Ez lehet a bankszámlaszámunk, a személyes adataink, a számítógépünkön tárolt adatok vagy éppen maga a számítógépünk távoli irányíthatósága. Minden beérkező emailt ilyen szemmel kell kezelnünk.”

Azt is jó tudni, hogy az emaileket könnyű hamisítani (noha ez ellen védekezni is lehet, pl. SPF, DomainKeys, ill. digitális aláírás). A javaslat az, hogy “minden levél megnyitása előtt alaposan nézzük meg a feladót és a tárgyat.” Ez mindenképpen hasznos, de sokszor nem elég. Főleg, ha a támadó úgy jutott hozzá az email címünkhöz, hogy ellopta az egyik levelezőpatnerünk címlistáját. Ezért, ha megnézzük a levél feladóját és tárgyát, akkor nézzük meg a levél útját (Received: sorok), ami még biztosabban jelzi, ha a levél szokatlan helyről jött.

A következő jó tanács, hogy “gondolkodjunk el, hogy életszerű-e a szituáció.” Ha valaki csak ezt az egyet megfogadja, már nem fog pénzt utalni, hogy megkaphassa a sok millió Eurós spanyol lottó nyereményét.

Az adathalászok gyakran manipulálják a HTML mellékletben szereplő linkeket. Ez ellen azt szokták tanácsolni, hogy ne kattintsunk rá a linkre, hanem gépeljük be mi a címet a böngészőbe. Noha ez biztonságos, de ki az, aki egy hoszú, jól felparaméterezett weboldal címet kézzel bepötyög? Az sajnos nem elég, amit a cikk állít, hogy “az egérrel a szöveg fölé állunk és leolvassuk az aktuális levélolvasó alkalmazás (pl. Outlook) által kiírt VALÓDI kapcsolat címét.” Úgy hallottam, hogy még ezt is manipulálni lehet.

További árulkodó jel a levél nyelvezete, nyelvtani hibái. Jó, ha ezekre is figyelünk. Csak az a kár, hogy az “újmagyarul” beszélő emberek nem túl erősek ebben.

Megfontolandó az a tanács is, hogy az “otthoni gépeken friss vírusvédelmi szoftvert, adathalász és kártékony programok elleni szoftvert valamint személyi tűzfalat mindenképpen üzemeltessünk.”

Még sok jó tanács van a cikkben, amit érdemes elolvasni, de egy fájó módon hiányzik: használj egy jó tartalomszűrő alkalmazást a levelezőszerveren, ami véd a vírusok, spamek és adathalász levelek (nagy része) ellen.

Ennek az a praktikus oka, hogy hiába a sok jó tanács, ha a felhasználóknak (és a biztonsági szakembereknek is) maga a felhasználó a legnagyobb ellensége, mert figyelmetlen, óvatlan, és sokszor irracionálisan viselkedik. Ezért jobb az, ha mi védjük meg a felhasználót attól, hogy a veszélyes levelekkel találkozva valami nagy hülyeséget csináljon. Persze, ettől függetlenül jó, ha észnél van.