ITBN 2007

Immáron harmadjára vehettem részt ITBN napon, amely aktuális IT-biztonsági kérdésekről szól. Kezdődött az izraeliek beszámolójával, akik az elektronikus kormányzásról osztották meg a tapasztalataikat. Egy biztos: a PKI bevezetésében (jóval) előttünk járnak. A férfi kissé gyúrhatott volna az angolra, míg a nő teljesen flottul és tisztán beszélte. Ezután a McAfee képviselője a botnetekről, ill. a probléma kezeléséről beszélt, ami hihetetlenül egyszerű (elméletben): elejét kell venni, hogy a hálózatunk megfertőződjön. Majd a HP-től az alkalmazásbiztonság volt a téma. Nem igazán tudtam mit kezdeni az előadó önvallomásával, miszerint ellátogatott egy web oldalra, ahol egy automatikusan letöltődő program megfertőzte a gépét. Érted: egy security professional windows *.* + IE7-el felfegyverkezve járja a világhálót… De lehet, hogy csak én vagyok más. Keleti Arthur az ICON-tól egy élvezetes Rodolfo 5 perccel kezdett, és biztos elvégzett egy alapfokú fakír crash course-t, mert furcsákat művelt egy kötéllel. Egyébként az adatszivárgásról beszélt. A Symantec vezető rendszermérnöke Fekete vagy fehér? címmel adott elő, és ha valaki szereti az antivírus termékeit, annak jó hír, hogy egy antivírus áráért egy komplett biztonsági csomagot adnak. Szünet. Átmentem a 2. szekcióba, ahol tartalom- és spamszűrés volt a téma. Az 1. előadás az IronPorté volt, és bevallom már az elején, hogy egy konkurens termék egyik…

Continue Reading ITBN 2007

Parazita spam – avagy már megint összeesküvéselmélet!

A 2006. évi CEAS papírok között láttam egy rémisztőt. Nem maga a papír (igen, jól látod, szóközzel kezdődik a pdf neve) volt rémisztő, hanem a parazita spam lehetősége. Az nem meglepő, hogy léteznek zombi hálózatok, amelyekkel a spammerek temérdek levelet küldenek ki. De az már valószínűleg az, hogy a zombi gépek ezen túl még egy új fajta spamre is felhasználhatók. Ha egyszer egy malware átvette az irányítást a gép felett, akkor az bármit megtehet, pl. a kimenő levélforgalmat nem csak monitorozhatja, de akár módosíthatja is. A freemail szolgáltatóknál bevett szokás, hogy a levelek végére egy rövid reklámot illesztenek. Ugyanezt a zombi gépet irányító malware is meg tudja ttenni. Így amikor Bob levelet küld Alice-nek, akkor az egyébként legitim levélben egy spam melléklet is lesz. Ha a spammer ügyes, akkor a címzett levelezője először a spamet fogja megjeleníteni, nem kis galibát okozva ezzel. Ha ezt még (elvileg) könnyű is lenne kezelni – a mellékletek külön elemzésével, és a spam tartalom kivágásával – de a helyzet még ennél is rosszabb: a spammer ugyanis azt is megteheti a zombin, hogy nem külön mellékletbe helyezi el a spamet, hanem a levél szövegébe közvetlenül. Arról nem is beszélve, hogy ugyan meddig tart a barátomnak küldött…

Continue Reading Parazita spam – avagy már megint összeesküvéselmélet!

Micro spam – megoldva

A hónapban meglehetős bánatot okozott az, hogy 3 micro/pico spam is becsúszott. 3 spam nem a világ, de már szinte alkotói válságba kerülök, amíg meg nem oldom a problémát. Az alábbi példán az is szembeötlik, hogy aligha lehet ezt a levelet hagyományos értelemben vett spamnek tekinteni: sehol egy URL, sehol egy termék neve, de még egy ár sincs. Date: Wed, 19 Sep 2007 03:10:06 +0100 From: Dalton Ferrell <khcarlene@juniormail.com> To: sj@xxxx.hu Subject: .)!-[[! - [ [ !*]*: +.] -++ !] S:tooo.ccc k F]D:E.G Last 0.04 Ta*rg et 0.12 Jellegzetes azonban a tárgy sora: tele van olyan karakterekkel, amelyekből értelmes token aligha származik. Amikor először találkoztam ezzel a típusú spammel, a spam valószínűsége határozottan a jó levelek értéke felett volt (azaz a szűrő biztos volt abban, hogy ez nem jó levél), de alatta maradt a spam limitnek, azaz a szűrő csak a vállát vonogatta, hogy a levél se nem ham, se nem spam. Ezért első ötletként kipróbáltam azt, hogy ha a szűrő bizonytalan, akkor kérdezzen meg egy feketelistát, hátha szerepel rajta a feladó. Ha igen, akkor hozzáad egy RBL* tokent, ami növeli a spam valószínűséget. Ez szépen megfogott jó pár ‘unsure’ levelet. A fentebb látható azonban nem szerepelt (még) feketelistán, ezért…

Continue Reading Micro spam – megoldva

Hát te se vagy normális?

Danny Carlton – a http://whyfirefoxisblocked.com/ site tulajdonosa – blokkolja a Firefox böngészőt használókat, mondván azok meglopják őt. Amit az egy korábbi írásban is szerepelt, a Firefox böngészőhöz letölthető az Adblock Plus nevű nagyon hasznos kis program. Ennek segítségével a felhasználó a saját gépén blokkolni tud tetszőleges hirdetéseket. Namost ez nem tetszik Carlton-nak, mert szerinte a Firefox felhasználók megsértik a web oldal tulajdonosok és fejlesztők jogait. Leírja, hogy egy csomó web oldal van, amely minőségi tartalmat biztosít, cserébe viszont el kell viselnünk a reklámjaikat. Ha pedig valaki csak a tartalmat olvassa el, de a reklámot nem, akkor az egyszerűen tolvaj. Ezért ez a csomó web oldal tulajdonos olyan szkripteket telepít, amelyek megakadályozzák, hogy olyanok is megnézzék az oldalaikat, akik reklám blokkoló szoftvert használnak, hiszen ez joga a web oldalak gazdáinak. Carlton abban látja a valódi problémát, hogy az Ad Block Plus fejlesztői nem adtak olyan lehetőséget a web oldalak gazdáinak, hogy azok letilthassák a plug-in használatát. Ezért úgy látja, hogy az egyetlen járható út az összes Firefox böngésző kitiltása az oldalukról. Nem igazán világos a további érvelés. Szerinte a Firefox felhasználók olyan kevesen vannak, és olyan keveset költenek az Interneten, hogy a blokkolásuk miatti veszteség elhanyagolható, miközben az álaluk okozott erőforrás…

Continue Reading Hát te se vagy normális?

Nincs többé PDF spam

Az ITWeb The rise and fall of PDF spam címmel címmel közölt egy írást, amely szerint a PDF spam amilyen hirtelen jött, olyan hirtelen el is tűnt. A Sophos készítette grafikonon jól látható, hogy az augusztus 7-e körüli csúcs hamar lecsengett. A NetXactics szerint ennek az az oka, hogy a spammerek nem tudták átverni a népet ezzel a trükkel. Ha pedig nincs belőle pénz, akkor nem sokáig erőltetik a módszert. Ellenkező esetben nem váltak volna meg tőle. A Sophos szakértői szerint a PDF spamnek számos hátránya van, ami szintén hozzájárulhatott a bukásához. Noha az Acrobat Reader mindent megtesz, hogy időben betöltődjön, ha a levél PDF mellékletet tartalmaz, a felhasználók hamar rájöttek, hogy kár a felesleges minden kéretlen PDF dokumentumot megnyitni. Az én postaládámban a melléklet spamek között jó, ha 4-5 PDF spam volt, a többi JPEG és GIF képet tartalmazott.

Continue Reading Nincs többé PDF spam