Szemtől szemben: beszélgetés a levélszemétről

A ComputerWorld utolsó nyári vitaműsorában a kéretlen levelekről volt szó (video is van). A részvevők között volt az antispam iparág nagyágyúi mellett az NHH képviselője, és elmondták, mit gondolnak a spam különböző aspektusairól. Alább egy rövid összefoglalót található, helyenként a saját megjegyzéseimmel. Rámutattak, hogy a spam elleni védekezés nem azonos a spamszűréssel – noha a köznyelv e két fogalmat egymás szinonimájaként használja. Az interjúalanyok egyet értettek abban, hogy a hagyományos feketelisták rossz megoldást jelentenek, és nem képesek a dinamikusan változó botneteket követni. Szóba került a MessageLabs megoldása, ami fokozatosan csökkenti a spammer számára elérhető sávszélességet. Egyikük megemlítette, hogy a piacon ma temérdek spamszűrő közül lehet választani, de ezek jó 90%-a silány minőségű. A már említett dinamikus adatbázis kezelése csak olyan méret felett lehetséges, hogy ez konszolidálni fogja az antispam piacot, mert ezt csak a legnagyobb szereplők lesznek képesek finanszírozni. Az is szóba került, hogy a legtöbb termék 95-99% pontosságot ígér, és nagy igazság az, hogy a felhasználók bevonása nélkül nem lehet e határ fölé menni. Az univerzális spam adatbázisból több egyszerűen nem csiholható ki. A megoldást én a testre szabott adatbázisban látom, ahol valós futásidőben összekapcsolja az antispam megoldás az alapértelmezett adatbázist az adott felhasználó személyre szabott adatbázisával. Ezzel pedig…

Continue Reading Szemtől szemben: beszélgetés a levélszemétről

spamdrop, avagy egy fejlesztő kalandjai

Tovább pofozgattam a spamszűrőmet. A clapf-ban kikapcsoltam az antispam modult, így most csak vírusellenőrzést végez. A spam ellen pedig a spamdrop nevű komponens véd, amely egy LDA (pl. maildrop) segítségével használható. Ennek az az előnye az SMTP szinten működő clapf ellenében, hogy sokkal egyszerűbb azt megoldani, hogy minden felhasználó a saját token adatbázisát használja, amely a uid=0 globális adatbázissal való on-the-fly összegyúrással áll elő. A maildrop konfigom (~/.mailfilter) így néz ki (leegyszerűsítve): xfilter "/usr/local/bin/spamdrop -c /home/sj/.clapf.conf -p" if(/csapda@email.cim/:h) { to "|/usr/local/bin/black.pl" } if(/^X-Clapf-spamicity: Yes/:h) { to "mail/junk" } to "Mailbox" Az 1. sor hatására a maildrop átzavarja a levelet a spamdrop programon, amely megnézi, hogy vajon spam-e a levél vagy sem, majd a levél fejlécébe írja a saját dolgait. A 2. blokk a csapda email címet definiálja, minden erre a címre érkező levél automatikusan a kukába kerül. A következő rész arra szolgál, hogy a spamként megjelölt levelek a junk folderbe kerüljenek. Ha pedig egy levél ezt az akadályt is vette, akkor a postafiókomban landolhat. Arra is lehetőség van, hogy ne kelljen minden egyes felhasználó esetén egy .mailfilter nevű fájlt írogatni, ebben az esetben a /etc/maildroprc használható az alábbi módon: if($LOGNAME =~ /^spam$/) { `/usr/local/bin/spam-fwd-train` exit } if($LOGNAME =~ /^ham$/) {…

Continue Reading spamdrop, avagy egy fejlesztő kalandjai

Excel spam

Már meg se lepődtem, amikor az SC Magazinban arról olvastam, hogy a spammerek Excel mellékletek segítségével próbálnak meg a spamszűrőkön átjutni. Amióta a bűnözők átnyergeltek a PDF mellékletekre, ez a lépés várható volt. A spam tartalma nem változott, csak a szokásos tőzsde spam. A clapf egy időben gocr-t futtatott a képes spameken, hogy kinyerje belőlük a szöveget, de aztán letettem a dologról. Túl erőforrás igényes volt a művelet (kb. 300 ms alatt futott le a gépemen), és az eredmény sem volt mindig értékelhető. A PDF spamnél – amikor megláttam, hogy ebben is csak kép van – már meg sem próbáltam kinyerni a melléklet tartalmát, és az Excel fájloknál sem fogok ezzel izzadni, hanem a melléklet tulajdonságai (és nem a tartalma alapján) hozzárendelek néhány spam tokent a levélhez. Ha pedig annak tartalma nem elég jó, akkor nagy valószínűséggel a kukában végzi a levél. Úgy hiszem, a statisztikai szűrők számára ez a/egy helyes megközelítés. Amir Lev, a CommTouch fő technológusa meg is jegyzi, hogy számít arra, hogy a közeljövőben találkozunk még Word, Powerpoint és más Microsoft mellékletekbe ágyazott spammel. Ezeknek az a ‘kellemes’ tulajdonságuk is megvan, hogy Unix alatt – ahol a vállalati spamszűrők (egy része) fut – hagyományosan kihívás a redmondi…

Continue Reading Excel spam

Kalózfokozatok

“Kalóz” warez blogjában olvastam az egyik kommentelőtől a kalózság fokozatairól. Távol legyen, hogy bárkit is törvényszegésre biztassak, de én jót nevettem az egyes fokozatokon. Íme: – basic pirate: mindent ingyen tölt le a netről, amit szlovákiából importált artisjust-matrica mentes optikai lemezekre éget. – advanced pirate: notebook-kal és külső HDD-vel járja a várost, ingyenes hotspotokon keresztül tölti le a dolgait. Különös ismertetője, hogy biciklisfutárnak próbálja magát álcázni és ha sarokba szorítják, vért spriccel a szeméből. – pirate duke: a notebook-ot is ingyen szerezte (psszt! nem lopta!) és villanymérnőki tanulmányainak hála Mózes módjára a falból fakaszt áramot. Abból a pénzből, amit a jogdíjas anyagokon megspórol, szervert helyez el egy datacenterben, ahol saját szervere tölt le a nap 24 órájában 1 Gbps sávszélességen. – senior pirate: felelőségteljes gondolkodásából fakadóan olyan mértékben tölt le a netről, hogy ha egyik pillanatról a másikra összeomlana az internet, a saját DVD-archívumából visszaállítaná.

Continue Reading Kalózfokozatok

Gyengék a spamszűrő szoftverek

A Computerworld honlapján olvastam egy cikket a fenti címmel. Ezek a felhasználók mindig csak elégedetlenkednek, semmi sem elég jó nekik, de főleg nem “az email-kliensekbe vagy a kereskedelmi antivírus-csomagokba beépített spamszűrők“. A fals pozitív hibákat (tévesen spamnek értékelt jó levél) fájlalják különösen a felhasználók. Ez olyannyira komoly probléma, hogy a megkérdezett cégek harmada a spamszűrőnek betudható veszteségekről számolt be. “Peter Brockmann, az elemző cég elnöke szerint eddig is problémát jelentett, hogy a kéretlen reklámokat egyre inkább képfájlokban küldték szét a spammelők, de most, a PDF-spamek terjedésével még rosszabb a helyzet. A kereskedelmi cégek ugyanis naponta sok pdf-fájlt küldenek és fogadnak, ezek közül nehéz lesz kiszűrni a jogosulatlanokat.” Az még hagyján, hogy a gyengén muzsikáló spamszűrők rontják az egész anti-spam iparág hitelét,de különösen azt fájlaltam a cikkben, hogy “Legrosszabbul a nyílt forráskódú megoldások teljesítettek, a SpamPal-t és a SpamAssassint-t például csak a válaszadók 16 százaléka tartja “teljesen” megfelelőnek.” Nem is csodálom, hogy a SpamAssassinnal kevesen elégedettek, jócskán eljárt már felette az idő. Úgy tűnik, Brockmannék (vagy a megkérdezett felhasználók) nem igazán merültek bele a nyílt forrású spamszűrők világába. Mert számtalan olyan open source szoftver létezik, amelyik statisztikai elven működik, ezért sokkal pontosabb, mint a SpamAssassin vagy más tanulásra nem képes megoldások,…

Continue Reading Gyengék a spamszűrő szoftverek

Egy láb nem elég

PETER COOK: EGY LÁB NEM ELÉG (Holló színház előadásában) Nagy Natália: Egy laza angol filmproducer irodájában vagyunk. A nagyhatalmú producer épp azzal van elfoglalva, hogy fogadja a filmszerepre jelentkezőket. Szereplők: Manager: Galla Miklós Mr. Spiggott: Kovalik Balázs Rendőr: Pethő Zsolt M.: Hát akkor lássuk ki a következő jelentkező? Hmm… Mr. Spiggott… Mr. Spiggott, jöjjön be legyen szíves! S.: Igen! (Mr. Spiggott bal lába helyén falábbal érkezik.) S.: (énekel, táncikál): I’m singing in the rain, just singing in the rain, what a glorius feeling, I’m happy again… M.: Talán, talán állapodjon meg, Mr. Spiggott! És kérem, foglaljon helyet! Tehát ön, Mr. Spiggott jelentkezik Tarzan szerepére. S.: Igen! M.: Mr. Spiggott, nem tudtam nem észrevenni szinte azonnal, hogy ön féllábú. S.: Észrevette? M.: Észrevettem, Mr. Spiggott. Ha valaki ilyen régen van a szakmában, mint én, ööö… szinte azonnal észreveszi az ilyesmit. Tehát, ha jól értem, akkor ön, Mr. Spiggott, a féllábú jelentkezik Tarzan szerepére, amit a hagyomány szerint általában kétlábú színművészekre szoktak kiosztani. S.: Bizony! M.: És ön pályázik erre a szerepre. S.: Igen! M.: Erre a szerepre, amelynek eljátszásánál minimum két láb az általános elvárás. S.: Így van! M.: Nos Mr. Spiggott, kell-e önnek részletesen ecsetelnem, hol szenved ön hiányt ahhoz,…

Continue Reading Egy láb nem elég

pdf spam

Az egyik olvasó kérdezte, hogy miért olyan nagy durranás az, hogy most sok helyről pdf-ben jön a kéretlen levél? Az SG.hu oldalán megjelent egy cikk Már PDF-ben is jöhet a spam címmel. Ebben a blogban igyekszek választ adni arra, hogy mire fel ez az újítás a spammerektől. A spammerek meglehetősen kreatív lények, ha a spam célba juttatásáról van szó. Kezdetben volt a sima szöveges spam. Ezzel azonban játszi könnyedséggel elbántak a statisztikai szűrők. Azután jött a képes (image) spam. A képek elemzése nem egyszerű feladat a spamszűrők számára. Azonban idővel ezt is megoldották. A spammereknek ismét újítaniuk kellett, ha ismét el akarják érni a korábbi kézbesítési arányt. Erre találták ki a PDF-be ágyazott spamet. De már eleve egy lépéssel tovább mentek, mert nem egyszerűen szöveget tettek PDF-be (amit egyszerűen ki lehetne nyerni a PDF mellékletből), hanem képet, amivel már korábban is meggyűlt a bajunk. Azt azonban nem gondolnám, hogy csak a(z ön)tanuló anti-spam programok lennének képesek elbánni ezzel a spammel. Amelyik spamszűrő képes elbánni a képes spammel, az (kis módosítással) ezzel is el tud. A clapf az image spammel úgy bánik el, hogy ha a levélben kép van, és a levél spam valószínűsége egy határ felett van (azaz a levél…

Continue Reading pdf spam

A BayImg lesz a spammerek legújabb célpontja?

A Spamnation blogján Home of the free címmel jelent meg egy írás, miszerint a Pirate Bay üzemeltetői új szogáltatást indítanak BayImg néven, és ingyenes, cenzúrázatlan image hosting szolgáltatást nyújtanak bármilyen legális kép számára. A Pirate Bay híres fogalom az Interneten, számos MP3-at, filmeket és más jellegű jogvédett alkotásokat tesz elérhetővé. Legalábbis a RIAA, MPAA meg a ki tudja milyen fantázinevű szervezetek nem szeretik őket. De hogy mi köze BayImg-nek a spamhez? Nagyon is sok. Az image spamek körében újabban az a divat, hogy a tulajdonképpeni kép nem közvetlenül a levélben szerepel, hanem csak egy hivatkozást tartalmaz a képet hosztoló web oldalra. Bizonyos esetekben a spammerek a spam üzenetet tartalmazó képeket ingyenes image-hosting szolgáltatást nyújtó gépeken helyezik el, máskor meg erre a célra is botnetet vesznek igénybe. A nagyobb szolgáltatók, mint pl. az imageshack.us ma már aktívan figyelik, hogy ki milyen képet tölt fel hozzájuk, és ha az spam-gyanús, akkor törlik. Azonban ha valaki képes PHP-ben megírni egy file feltöltő scriptet, akkor máris kialakította a saját ingyenes image hoszting szolgáltatását. A kisebb szolgáltatókat azonban valószínűleg nem érdekli a feltöltött tartalom, vagy nincs erejük annak áttekintésére, úgyhogy sok szerencsét, ha le akarod vetetni a spam képet, mégha találsz is kontakt címet az…

Continue Reading A BayImg lesz a spammerek legújabb célpontja?

A LEGJOBB spamszűrő

A Yellowcube blogjában olvastam MPP Desktop a legjobb spamszűrő címmel egy PC World tesztről, amelyben 17 különféle spamszűrőt vizsgáltak meg, és a konklúzió: óriási különbségek voltak. Tegnap (2007.06.14. 17:45:xx CEST) egy kommentben leírtam saját gondolataimat a tesztről és az eredményről. Válasz helyett meglepődve vettem tudomásul ma reggel (2007.06.15. 08:50:xx CEST), hogy eltűnt a hozzászólásom, sőt az egész cikk read-only üzemmódba váltott, amelyhez nem lehet megjegyzéseket fűzni. A PC World teszt és az eredmény azonban fontosabb annál, hogy egy kattintással el lehessen kenni, ezért igyekszem a saját blogomban felidézni, hogy mit küldtem el a Yellowcube blogjába. Ez annál is egyszerűbb lesz, mert a böngészőm Back gombja segített ebben. A PC World cikket (2007. júniusi szám, 66-69. oldal) egyébként Tószegi Szabolcs írta, feltételezem, a tesztet is ő végezte. A vizsgálatban számos nagy gyártó terméke is szerepelt. A teszt során 5000 spamet és 1500 jó levelet használtak fel, és ezekből 500-500 levéllel tanították azokat a szűrőket, amelyek erre lehetőséget adnak. Ezután a maradék 4500+1000 levelet kellett a szűrőknek kategorizálni. Tószegi leírja, hogy minden terméket az alapértelmezett beállításokkal használt – bizonyára gondolt az egyszeri felhasználókra is. Némely nagy gyártók termékei (pl. Norton 360, McAfee Internet Security, Kaspersky Internet Security), elég csúnyán szerepeltek a tesztben,…

Continue Reading A LEGJOBB spamszűrő

Újabb spam trükkök fenyegetik a kis- és középméretű vállalkozásokat

Alig lélegezhettünk fel egy kicsit, hogy a spam királyt lefogták, máris arra kell ébrednünk, hogy a spammerek mindent bevetnek, hogy leveleik eljussanak a felhasználókhoz. Az SC Magazine a Report: New spam tactics threaten SMEs cikkben arról számol be, hogy a MessageLabs szerint csúcsot észleltek a spam mennyiségében, amelyeket célzottan, egyedi domainekre küldtek. Több, mint 10,000 spam érkezett májusban egy domainre. A spammerek időről-időre taktikát váltanak, és legújabban nem csatolt képekben továbbítják a tulajdonképpeni spamet, hanem olyan hoszting web oldalakon helyezik el ezeket a képeket, amelyek nem igényelnek előzetes regisztrációt. A levélben pedig csak a képre történő hivatkozást helyezik el. Noha maga a trükk nem új, legfeljebb mostanság kezdték el a spammerek tömegesen alkalmazni. Éppen időben: mára megtanulták az antispam alkalmazások, hogyan bánjanak el az image spammel. Így a versenyfutás folytatódik tovább. Szakértők szerint egyébként ez ugyanaz a csoport, akik az Imageshack nevű ingyenes image hoszting oldalt támadták. Az elemzők azt is megjegyzik, hogy ez a probléma mindaddig létezni fog, amíg az Imageshack és társai be nem vezetik a kötelező regisztrációt. Nem lennék meglepődve, ha a jelenség elterjedése miatt a vállalati hálózatokon előbb-utóbb blokkolnák az ingyenes image hoszting oldalakat, ill. ezek meg fognak jelenni a SURBL adatbázisokban is. A levelezőprogramok pedig…

Continue Reading Újabb spam trükkök fenyegetik a kis- és középméretű vállalkozásokat