Parazita spam – avagy már megint összeesküvéselmélet!

A 2006. évi CEAS papírok között láttam egy rémisztőt. Nem maga a papír (igen, jól látod, szóközzel kezdődik a pdf neve) volt rémisztő, hanem a parazita spam lehetősége.

Az nem meglepő, hogy léteznek zombi hálózatok, amelyekkel a spammerek temérdek levelet küldenek ki. De az már valószínűleg az, hogy a zombi gépek ezen túl még egy új fajta spamre is felhasználhatók. Ha egyszer egy malware átvette az irányítást a gép felett, akkor az bármit megtehet, pl. a kimenő levélforgalmat nem csak monitorozhatja, de akár módosíthatja is.

A freemail szolgáltatóknál bevett szokás, hogy a levelek végére egy rövid reklámot illesztenek. Ugyanezt a zombi gépet irányító malware is meg tudja ttenni. Így amikor Bob levelet küld Alice-nek, akkor az egyébként legitim levélben egy spam melléklet is lesz. Ha a spammer ügyes, akkor a címzett levelezője először a spamet fogja megjeleníteni, nem kis galibát okozva ezzel.

Ha ezt még (elvileg) könnyű is lenne kezelni – a mellékletek külön elemzésével, és a spam tartalom kivágásával – de a helyzet még ennél is rosszabb: a spammer ugyanis azt is megteheti a zombin, hogy nem külön mellékletbe helyezi el a spamet, hanem a levél szövegébe közvetlenül. Arról nem is beszélve, hogy ugyan meddig tart a barátomnak küldött levélben a nyaralás képeinek web oldal címét lecserélni egy online gyógyszertár oldalával, ahol már csak kattintanunk kell, hogy szállítsák a nagy tétel Xanax-ot? Ebben az esetben lehetetlen visszaállítani az eredeti tartalmat, és ez a helyzet a jelenlegi anti-spam megoldásokkal praktikusan kezelhetetlen.

Mi hát a megoldás? A zombi hálózatokat kell felszámolni. Ma ugyan még senki sem látott ilyen spamet, de ha a statisztikai szűrők széles körben elterjednek (és így a spamet praktikusan semlegesítik), és a spam ROI-ja alább zuhan, lehet, hogy a spammerek a parazita spam felé fognak fordulni.

Micro spam – megoldva

A hónapban meglehetős bánatot okozott az, hogy 3 micro/pico spam is becsúszott. 3 spam nem a világ, de már szinte alkotói válságba kerülök, amíg meg nem oldom a problémát. Az alábbi példán az is szembeötlik, hogy aligha lehet ezt a levelet hagyományos értelemben vett spamnek tekinteni: sehol egy URL, sehol egy termék neve, de még egy ár sincs.

Date: Wed, 19 Sep 2007 03:10:06 +0100
From: Dalton Ferrell <khcarlene@juniormail.com>
To: sj@xxxx.hu
Subject: .)!-[[!  - [ [ !*]*: +.]    -++ !]

S:tooo.ccc k F]D:E.G
Last 0.04
Ta*rg  et 0.12

Jellegzetes azonban a tárgy sora: tele van olyan karakterekkel, amelyekből értelmes token aligha származik. Amikor először találkoztam ezzel a típusú spammel, a spam valószínűsége határozottan a jó levelek értéke felett volt (azaz a szűrő biztos volt abban, hogy ez nem jó levél), de alatta maradt a spam limitnek, azaz a szűrő csak a vállát vonogatta, hogy a levél se nem ham, se nem spam.

Ezért első ötletként kipróbáltam azt, hogy ha a szűrő bizonytalan, akkor kérdezzen meg egy feketelistát, hátha szerepel rajta a feladó. Ha igen, akkor hozzáad egy RBL* tokent, ami növeli a spam valószínűséget. Ez szépen megfogott jó pár ‘unsure’ levelet. A fentebb látható azonban nem szerepelt (még) feketelistán, ezért bevetettem még egy trükköt: ha a levélben nem szerepel értékelhető token a Subject sorban, akkor beilleszt a mátrixba egy NO_SUBJECT* nevű extra tokent, ami szintén növeli a spam valószínűséget. Ezzel pedig már ezt a levelet is megfogtam. Ha pedig egyszer megfogtam, el nem eresztem: a spamszűrő ugyanis megtanulja azokat az leveleket, amelyekben új adat van. Így a probléma reményeim szerint megoldva.

Ez a kis mocskos micro spam okozta bosszankodás azonban hozzájárult ahhoz, hogy a clapf egy következő szintre lépjen: a reputációs megoldások körébe.

Hát te se vagy normális?

Danny Carlton – a http://whyfirefoxisblocked.com/ site tulajdonosa – blokkolja a Firefox böngészőt használókat, mondván azok meglopják őt.

Amit az egy korábbi írásban is szerepelt, a Firefox böngészőhöz letölthető az Adblock Plus nevű nagyon hasznos kis program. Ennek segítségével a felhasználó a saját gépén blokkolni tud tetszőleges hirdetéseket.

Namost ez nem tetszik Carlton-nak, mert szerinte a Firefox felhasználók megsértik a web oldal tulajdonosok és fejlesztők jogait. Leírja, hogy egy csomó web oldal van, amely minőségi tartalmat biztosít, cserébe viszont el kell viselnünk a reklámjaikat. Ha pedig valaki csak a tartalmat olvassa el, de a reklámot nem, akkor az egyszerűen tolvaj. Ezért ez a csomó web oldal tulajdonos olyan szkripteket telepít, amelyek megakadályozzák, hogy olyanok is megnézzék az oldalaikat, akik reklám blokkoló szoftvert használnak, hiszen ez joga a web oldalak gazdáinak.

Carlton abban látja a valódi problémát, hogy az Ad Block Plus fejlesztői nem adtak olyan lehetőséget a web oldalak gazdáinak, hogy azok letilthassák a plug-in használatát. Ezért úgy látja, hogy az egyetlen járható út az összes Firefox böngésző kitiltása az oldalukról.

Nem igazán világos a további érvelés. Szerinte a Firefox felhasználók olyan kevesen vannak, és olyan keveset költenek az Interneten, hogy a blokkolásuk miatti veszteség elhanyagolható, miközben az álaluk okozott erőforrás lopásnak óriási gazdasági előnye van. És mindezt ez az elhanyagolható csoport teszi…

Az oldalon a kommentek között van egy érdekes megjegyzés: amikor a felhasználó letölti a reklámokat is tartalmazó jogvédett web oldalt, akkor valójában a felhasználó egy másolatot készít az oldalról. (Ez valóban így is van, mert a legtöbb böngésző a helyi gyorsítótárban helyezi el a letöltött állományokat). Ha azonban a gonosz Firefox felhasználó kiszűri a zavaró reklámokat, akkor ő valójában egy nem engedélyezett, ún. származtatott módosítást hoz létre a gépén, ami pont olyan, mintha nem néznénk meg a TV-ben a reklámokat.

Hááát, hogy mondjam magának? Velem az a helyzet, hogy az én oldalamon is van reklám (bal oldalon látod a Google reklámsávját, ha csak ki nem szűrted az Adblock Plus-szal). Szeretném azt hinni, hogy én is minőségi* tartalmat adok neked olvasni. Nekem is egy csomó csekket kell minden hónapban befizetnem. De engem aztán nem érdekel, hogy mit szűrsz ki az oldalamról. Miért?

  • Mert én is utálom a reklámokat.
  • Mert mindenkinek elidegeníthetetlen joga, hogy eldönthesse, mi kerüljön a képernyőjére.
  • Mert kidobnám azt a böngésző plug-in-t, amit egy távoli gép a kedve szerint manipulálhat.
  • Mert abból egy huncut forintja sem lesz, ha valaki csak megnéz egy reklámot. A legtöbb helyen rá is kell kattintani**, ill. bizonyos konstrukciók csak akkor fizetnek a web oldal gazdájának, ha a tőle érkező látogató vásárol.
  • Mert ha kizárólag reklámok bevételeiből akarja magát fenntartani, akkor az az üzleti modell suxxx.

További olvasnivaló:

Adblock Plus and (a little) more
Who blocks the (ad) blockers?
A webes hirdetések blokkolásának erkölcstana

*: Ok, legyen amatőr, de lelkes
**: Légyszi-légyszi, könyörgöm, kattints rá 2-3 google hirdetésre a bal oldalt! Na jó, csak vicceltem***
***: De ha tényleg rá akarsz kattanni, én biztos nem piszkálok bele a böngésződbe, hogy megakadályozzam

Nincs többé PDF spam

Az ITWeb The rise and fall of PDF spam címmel címmel közölt egy írást, amely szerint a PDF spam amilyen hirtelen jött, olyan hirtelen el is tűnt. A Sophos készítette grafikonon jól látható, hogy az augusztus 7-e körüli csúcs hamar lecsengett.

pdf spam arány

A NetXactics szerint ennek az az oka, hogy a spammerek nem tudták átverni a népet ezzel a trükkel. Ha pedig nincs belőle pénz, akkor nem sokáig erőltetik a módszert. Ellenkező esetben nem váltak volna meg tőle.

A Sophos szakértői szerint a PDF spamnek számos hátránya van, ami szintén hozzájárulhatott a bukásához. Noha az Acrobat Reader mindent megtesz, hogy időben betöltődjön, ha a levél PDF mellékletet tartalmaz, a felhasználók hamar rájöttek, hogy kár a felesleges minden kéretlen PDF dokumentumot megnyitni.

Az én postaládámban a melléklet spamek között jó, ha 4-5 PDF spam volt, a többi JPEG és GIF képet tartalmazott.

Beperlem a Google-t, a Yahoo-t és az Amazont

A The Register arról számolt be, hogy egy Polaris nevű cég beperelte az említett vállalatokat, mert azok megsértették az ő szabadalmát azzal, hogy automatikusan route-olják az e-maileket.

A szabadalom kiterjed a levelek automatikus feldolgozására az alábbi lépések szerint:

(a) az elektronikus levél letöltése

(b) a levél értelmezése egy szabálygyűjtemény vagy eset alapú tudás motor (case base knowledge engine) alapján

(c) a levél osztályozása legalább annyiban, hogy az automatikusan megválaszolható vagy humán operátor beavatkozását igényli

A kommentek lesújtó véleménnyel vannak az amerikai szabadalmakról. Egyikük meg is jegyzi, hogy valakinek a lélegzést kellene szabadalom alá helyzeni. Más valaki szerint a pine nevű levelezőprogramot 1994-ben felokosították, hogy több mappát is kezelni tudjon, így az is vét e szabadalom ellen. David Benoit pedig azt veti fel, hogy akkor talán az összes spamszűrő megsérti a szabadalmat.

Az ügy érdekessége, hogy Texas keleti körzetében tárgyalják majd, amely tudvalevőleg pártolja a szabadalmakat.

Engem ugyan nem érint ez a bolondság, mert bár én is fejlesztek egy spamszűrőt, de szerencsére nem az USA-ban élek, ahol bármelyik futóbolond bármire szabadalmat jegyeztethet be. Nagyon bízom abban, hogy az amerikaiak sose lesznek képesek a szoftverszabadalmaikat Európára kényszeríteni. Nem egy helyről hallottam már, hogy szoftverekre nem lenne szabad szabadalmat bejegyeztetni. Én is ezen az állásponton vagyok, mert a szoftver szabadalmak csak arra jók, hogy:

(1) megakadályozzák a kisebb informatikai cégek fejlesztéseit és az innovációt, akiknek nincs pénzük ügyvédre, hogy azok átnézzék a millió patent-et

(2) a pénzéhes (kisebb-nagyobb) cégek megtömjék a zsebüket mások munkájával

De talán érdemes lenne az EU-ban törvényben kijelenteni azt, hogy nem ismerünk el semmilyen szoftver szabadalmat, hogy semmilyen processzoron futtatható kód vagy annak forrása definíció szerint nem szabadalmaztatható. Így nem fordulhat elő az a jövőben, hogy egy nagy amerikai multi cég megkeni – izé, kb. mint ahogyan a BSA szponzorálja a rendőrséget – egy adott nemzet kormányát, hogy az érvényt szerezzen a nemzeti jogban a szabadalmaiknak.

Dádá lesz, ha nem nézed meg az Ind*x reklámot!

A Firefox böngészőnek van egy kellemes tulajdonsága, hogy rengeteg ún. add-on (kiegészítés) érhető el hozzá. Lelkes programozók készítettek hozzá olyat is, ami lehetővé teszi, hogy a web oldalakon lévő reklámokat ne jelenítse meg a böngésző. Tudjátok, hogy én meglehetősen utálom a spamet, jelenleg a FlashBlock nevű kiterjesztést használom, hogy ne induljon el ész nélkül minden video.

De mit hallok minap? Az egyik HUP felhasználót megfenyegette Bodolai László – az Index nevű portál jogásza – az alábbi levéllel:

Az Ön által fejlesztett karbantartott és terjesztett, tehát harmadik
személyek, felhasználók számára elérhetővé tette reklámszűrő
szoftverrel Ön többek között a társaságunk által üzemeltetett
weboldal tartalmát is megváltoztatja.

A Btk alapján cselekményével megvalósítja a számítástechnikai
rendszer és adatok elleni bűncselekményt, amely az alábbi büntetési
tételekkel büntethető.

Itt pár beollózott BTK paragrafus szerepel a nyomatékosítás kedvéért, majd így folytatja:

Ezennel felszólítom, hogy tevékenységét 15 napon belül hagyja abba,
ellenkező esetben társaságunk büntetőfeljelentést tesz és
kártérítési igényt támaszt, mely megfizetésének jogi úton való
kikényszerítését haladéktalanul megkezdjük.

De mit követett el a megfenyegetett HUP olvasó? Készített egy listát (egy egyszerű szövegfájl), ami olyan reguláris kifejezéseket tartalmaz, amelyek segítségével megakadályozhatod azt, hogy a bizonyos web oldalakon (pl. az Index hírportálon) található reklámok megjelenjenek a te gépeden. Ehhez azonban telepítened kell az Adblock Plus és az Adblock Plus: Element Hiding Helper kiterjesztéseket.

Persze világos, hogy miért csípi az Index csőrét – nem is maga a reklámblokkoló szoftver, hanem – a HUP felhasználó listája, amin ők is szerepelnek: mert így kevesebb reklámot néznek meg a felhasználók, így kevesebbre fognak rákattintani, és ez kevesebb bevételt jelent számukra.

De álljunk meg egy pillanatra. Talán nincs jogom eldönteni, hogy mit akarok megnézni a weben? Talán kötelességem megnézni az összes reklámot, amit az orrom elé tolnak? Nem. Ezt senki nem kényszerítheti rám. Az Index ügyvédjének is tudnia kell, hogy alaptalan rágalmakat vágott ajnasz fejéhez, mert nem hatolt be az Index számítógépes hálózatába, és nem módosított ott semmilyen web oldalt.

Felháborító az Index FUD-ja, és bár eddig nem éreztem hiányát a reklámblokkoló szoftvernek, de mostmár csak azért is telepítettem, és természetesen letöltöttem ajnasz listáját is. (amivel ha bármi történne, akkor a mai verziót innen is le tudod tölteni.)

A különbség jól látható az alábbi képeken. A felsőn Opera böngszőben látható a 2 bekeretezett reklám, míg az Adblock Plus + ajnasz listája segítségével pedig nem.


A magam részéről megfontolok egy olyan szabálylistát, amivel csak az Index reklámjait blokkolom. Mert megérdemlik. Ha érdekel, hogy a HUP felhasználók mit gondoltak az esetről, itt elolvashatod.

Micro spam

Tegnap szinte alkotói válságba kerültem. Az még hagyján, hogy előző éjjel becsúszott egy spam, és elvette a postafiókom augusztusi szűzességét, de ezen túl beesett még 3 ún. micro spam is. Ez nem igazi spam abban az értelemben, hogy nincs benne reklám (mert olyan kicsi), sokkal inkább azt szokták vele tesztelni a spammerek, hogy él-e az adott email cím.

A spamszűrő némelyiket felismerte, de volt, amelyik átcsúszott. Gondolkodtam az elején, hogy tanítom vele a szűrőt, de mivel ezek értelem nélküli, összedobált szavak, ezért hezitáltam. Ma reggel viszont döntöttem: elég volt, tanítom a szűrőt. Remélen megszabadulok a többi hasonló gagyi spamtől. Főleg, hogy a hónap elejétől eddig 597 spamet hibátlanul felismert.

Ha még sose láttál ilyet, akkor tessék, kb. így néz ki a legutolsó microspam, amit kaptam:

Date: Thu, 16 Aug 2007 01:52:29 -0400
From: Rachel Knapp <kjdeferrable@cognifast.com>
To: sj <sj@xxxxx.hu>
Subject: austere czarina airmen

countryside banks amy bewail. chenille blue centrex babyhood bach cavort. berkshire algiers cerebellum dinosaur deciduous debauchery benight dachshund corporal. cowardice alluvial by alan ambassador diopter buckskin.

Az afrikai menyasszony avagy a 12 napos szafari

A BBC arról adott hírt, hogy Des Gregor 12 Maliban töltött nap után végre hazaérkezett. Nem egy szafarin vett részt az 56 éves ausztrál férfi, hanem azt remélte, hogy feleségül vesz egy ottani nőt, akivel az Interneten ismerkedett meg, és ráadásként kap még $86,000 hozományt is.

De valamit félreérthetett, mert a 86,000 USD nem a hozomány összege volt, hanem a váltságdíjé, és nem Natacha, a huszas éveiben járó libériai menekült várta, hanem 4 megtermett férfi bozótvágó késekkel (machete).

Nem tudjuk, hogy az első kapcsolat vajon spamben érkezett – bár igen valószínű. A csalás a Spamnation szerint a ‘klasszikus’ orosz menyasszony’ és a 419-es csalás kombinációja, amely a kapzsiságra és a szexuális vágyra épít.

Bamako - Mali A bűnözők a reptéren vették fel a férfit, és a hölgy rokonainak mondták magukat. Egy bamakoi lakásba vitték, elvették az összes ruháját, és egy fejéhez nyomott fegyverrel próbálták megértetni vele, hogy ‘ide a pénzt’, és azzal fenyegették meg, hogy levágják a végtagjait.

Az ausztrál hatóságok komolyan vették az ügyet, és a kanadai követségen végre elfogták az emberrablókat, amikor azok a váltágdíjat átvették volna. Noha a 419-es csalás nagyon gyakori és ismert, még Gregor rokonai sem értik, hogy tudták becsapni – bizonyára elvakította az internetes szerelem.

A Spamnation kemény szavakkal jegyzi meg, hogy a történet végül happy enddel zárult, de könnyen a ‘Ne vásárolj spammerektől’ című tanmesévé válhatott volna, ha az ausztrál rendőrök nem lettek volna okosabbak, mint Gregor és a banditák.

Image spam? Használd az RPD technológiát

A Spam Daily News egyik cikkében a Commtouch lerántja a leplet az image spamek elleni megoldásáról. Azt állítja Amir Lev, a cég főtechnológusa, hogy a hagyományos tartalomszűrő megoldások (pl. bayes-i, heurisztikus- és az URL szűrés) gyakorlatilag hatástalanok a képes spamekkel szemben, és hogy ebből kifolyólag csak úgy ömlenek be az ilyen típusú spamek a vállalati hálózatokba.

A probléma nehézségét az adja, hogy a spammerek minden egyes spam támadás során megváltoztatják a képeket. Még szerencse, hogy a Commtouch szabadalmaztatott Recurrent Pattern Detection (RPD) technológiája képes megfogni az ismétlődő mintákat, függetlenül a levél tartalmától.

Az izraeli cég az elmúlt hónapokban levelek milliárdjait elemezte, és egyre több olyan levelet azonosítottak, amelyek csak egy képet tartalmaznak.

Ha valaki azonban használt már valaha is egy korszerű spamszűrőt, akkor meggyőződhetett arról, hogy nem lehetetlen azért a küzdelem az image spamek ellen. Van élet a Commtouch-on kívül, és azon túl is. Magam egy (majdnem) tiszta statisztikai alapú antispam megoldást használok, és az utóbbi hónapokban 80-90/hó csatolt képet tartalmazó spamet azonosított, korábban pedig ~3-400 darabot. Vagy lehet, hogy ez a hír valójában egy tőzsde spam, hogy nőjön egy kicsit a Commtouch részvényeinek értéke?

Nem lennék azonban meglepve, ha a spammerek máris azon dolgoznának, hogyan tudják a képeket olyan szinten módosítani, és egyedivé tenni, hogy az RPD ne ismerje fel, hogy ‘ilyet már láttam korábban is’. Ha pedig ez megtörténik – mivel az RPD nem olvassa el a levél tartalmát, valószínűleg több képes spam ajánlatot kap majd a Commtouch védte majd 35 millió postafiók.

Szürkelista erózió, avagy egy összeesküvés elmélet

Egy közelebbről meg nem nevezett levelezőrendszerben pár hónapja bevezették a szürkelista védelmet (egy közelebbről szintén nem megnevezett implementációt). Sokáig nagyon jól működött, és a beérkező spamek jó (nagy) részétől megkímélt. Azonban az utóbbi időben egyre több olyan levél érkezik a postafiókomba, amelyet spamként jelölt meg a céges spamszűrő.

Mi ebben a probléma? Kettő is. 1. Ez azt jelenti, hogy egyre több spammer(ek irányította) gép tárolja el a levelet, ha nem sikerül azt azonnal továbbítania. Ez úgy történhet meg, hogy a) egyre több SMTP szervert vonnak irányításuk alá a bűnözők, vagy b) a botneteken szoftver upgrade-et hajtanak végre, hogy a zombi gépeken futtatott SMTP kliens RFC kompatibilisebb legyen, és venni tudja szürkelista jelentette akadályt. 2. A céges spamszűrő elég karcsú, kedvétől függően 70-80% között ismeri fel a spameket, ami nagyon kevés az én – az igazi statisztikai szűrők 99.5% feletti eredményéhez szokott – finnyás lelkemnek.

Lehetne emelni a szürkelista okozta kispadon eltöltött időt, de már jelenleg is 2 órát késnek a szürkelistába beleszaladó levelek. Ennél nagyobb késleltetés pedig az email kommunikáció rovására menne. (Én egyébként már ezt is sokallom)

A hálózati szintű korlátozások nagyon jól működhetnek, de a spammerek előbb vagy utóbb megtalálják a kiskaput, és kikerülik azokat. Csak egy dolgot nem tudnak megtenni: elrejteni a spam tartalmát. Ezért a jövő (és már a jelen is) a tartalomszűrőké, az olyan antispam megoldásoké, amelyek elolvassák a levelet.

Nem kell azonban leírni a hálózati szintű védelmet sem. Feljövőben vannak a reputációs adatbázisok, amelyek azt mondják meg, hogy az adott gép eddigi élete során hány spamet és hány hamet küldött, milyen eloszlás szerint tette azt, stb. Ezt az infot nagyon jól lehet hasznosítani a tartalomszűrőkben is.