Psihoza SPAM-ului: Ep.3

Continuăm azi excursia în țara SPAM-ului oprindu-ne puțin asupra modului în care sunt trimise mesajele nedorite și a metodelor de protecție uzuale.

Una din metodele de protecție constă în configurarea serverului de mail de la destinație (serverul pe care se află căsuța ta de mail) în așa fel încât la fiecare mesaj primit să verifice dacă serverul prin care vine mesajul este trecut sau nu pe niște liste negre speciale antispam (RBL = Realtime Blackhole Lists) care sunt menținute la zi în diverse locuri pe mapamond și consultate în timp real la sosirea fiecărui mesaj. Serverul nu va livra în căsuța ta de mail un mesaj venit pentru tine de la un alt server care este găsit  pe acele liste. RBL-urile permit deci implementarea pe serverele de mail de la destinație a unor sisteme de protecție care identifică și blochează mesajele SPAM pe baza calculatorului de la care vine mesajul.

Spammerii nu trimit niciodată mesajele direct de pe serverele lor proprii de mail – astea ar ajunge în scurt timp adăugate pe listele negre RBL de care vorbeam și li s-ar tăia urgent macaroana. Așa că își trimit mesajele folosind sisteme de calcul intermediare (aflate oriunde pe mapamond), pentru ca serverele de la destinație să vadă mesajele SPAM ca venind de la acele sisteme intermediare. Scenariul decurge în felul următor: spammerii injectează mesaje SPAM cu nemiluita într-un număr cât mai mare de astfel de calculatoare intermediare care vor face tot posibilul să livreze mesajele la destinație. Pe măsură ce utilizatorii finali vor reclama mesajele primite ca fiind SPAM, calculatoarele intermediare prin care au venit mesajele vor fi adăugate pe RBL-uri, moment în care nu se va mai putea trimite mail de pe ele. Dar să nu ne bucurăm prematur pentru că nu e cazul.

După cum se poate bănui, nu orice calculator din internet acceptă să joace rolul de intermediar în procesul trimiterii de mesaje. Dar spammerii reușesc să găsească tot timpul noi și noi calculatoare intermediare pe care să le îndoape cu mesaje SPAM așteptând ca aceste noi calculatoare să livreze cuminți mesajele la destinație până când, în urma reclamațiilor, și ele vor fi adăugate pe RBL-uri. Și tot așa, la nesfârșit. Tot procesul se bazează pe acel timp mort (de ordinul orelor sau chiar zilelor) care există între începerea trimiterii de SPAM printr-un calculator intermediar și adăugarea acelui calculator intermediar pe RBL-uri.

Cum fac rost spammerii de acces mereu la noi calculatoare intermediare? Le vânează. Oarecum la fel cu modul în care sunt vânate și adresele de mail (vezi articolul precedent).

Un server de mail corect configurat aparținând unei organizații oarecare nu va permite niciodată ca cineva care nu are legătură cu acea organizație să folosească serverul de mail pentru a trimite mesaje în lumea largă. Asta înseamnă că spammerii nu pot folosi orice server de mail pentru scopurile lor. Așa că se apucă să scaneze internetul prin metode specifice și să construiască liste cu servere de mail configurate defectuos astfel încât trimiterea de mesaje SPAM prin acele servere să fie posibilă. În general serverele astea de mail care ajung să fie folosite abuziv pentru trimitere de SPAM se află în țări subdezvoltate, aici organizațiile neavând resurse pentru administrarea serverelor la un nivel profesional, motiv pentru care ele și sunt mult mai expuse.

O altă cale de racolare a calculatoarelor care să joace rolul de intermediar este căutarea de sisteme de calcul vulnerabile pe care se pot instala abuziv programe care să intermedieze trimiterea mesajelor (asta se face cel mai eficient prin intermediul virușilor special creați pentru asta, care rezolvă problema în liniște, rapid și eficient). Viruși care mai aruncă un ochi pe sistemele infectate  căutând și conturi configurate în clienți de mail gen Outlook, moment în care serverele pe care se află configurate conturile respective vor putea fi și ele folosite pentru trimitere de SPAM.

Și așa se face că metoda de combatere a SPAM-ului prin RBL-uri este ca lupta cu morile de vânt. Apar mereu alte și alte calculatoare prin care se trimite SPAM. RBL-urile nu fac decât să determine spammerii să mețină activă căutarea permanentă de noi calculatoare intermediare iar SPAM-ul curge bine-mersi spre destinație cu tot cu RBL-uri, care până la urmă se dovedesc a fi o barieră de protecție care doar încetinește oarecum trimiterea de SPAM, neputând spera să-l și stopeze.

Așa că pe lângă RBL-uri se mai folosesc și alte metode de protecție, bazate nu pe calculatorul de la care vine mesajul, ci chiar pe conținutul mesajului SPAM. Serverele de mail rulează un soft special antispam care face tot felul de verificări asupra mesajelor sosite, încercând să identifice mesajele nedorite pe baza unor caracteristici comune care au fost observate la mesajele din categoria SPAM (la început se foloseau cuvinte cheie care apăreau frecvent în SPAM cum ar fi Viagra, Cialis, Mortgage Rate, Insurance etc.). Bineînțeles că spammerii nu s-au lăsat mai prejos și au început să-și conceapă mesajele de așa manieră încât programelor antispam să le fie tot mai greu să deosebească mesajele SPAM de cele legitime. Și observăm cum acel timp mort (despre care vorbeam mai sus la RBL-uri) de care profită spammerii ca să-și trimită cu succes creațiile apare și la identificarea SPAM-ului pe bază de conținut, pentru că întotdeauna a existat un decalaj din momentul în care spammerii inventau noi metode de a-și concepe mesajele astfel încât să treacă de sistemele antispam și până în momentul în care sistemele antispam evoluau corespunzător în așa fel încât să prindă și noile mesaje de SPAM.

Să vedem acum ce șmecherii au găsit spammerii ca să păcălească sistemele antispam: cuvintele cheie au început să le stâlcească de așa manieră încât destinatarul încă să mai înțeleagă despre ce e vorba (creierul uman are o uimitoare capacitate de interpolare) dar programele antispam să nu se prindă (de exemplu înlocuiau litera i cu cifra 1, litera o cu cifra 0 sau mâncau câte o literă ori inversau două consoane alăturate). Și în afară de textul de SPAM propriu-zis spammerii mai adaugă adesea un text irelevant ca să “dilueze” SPAM-ul, încercând să păcălească programele antispam. O metodă încă și mai perversă este ca mesajul SPAM să nu conțină deloc text (sau poate conține un text irelevant, pentru derutare), iar textul relevant să fie de fapt inclus intr-o imagine atașată care să conțină întreg mesajul de SPAM (atât poze cât și text). Moment în care programele antispam nu mai pot analiza textul, afară de cazul că sunt prevăzute cu sisteme OCR (Optical Character Recognition).

Deci sistemele antispam sunt față de creațiile spammerilor cam cum e pisica față de șoarece. Dacă șoarecele e isteț, scapă, iar pisica rămâne cu buzele umflate și suflă în țeavă, iar proprietarul se trezește cu sacii găuriți.

Pentru a reduce timpul mort despre care vorbeam s-au dezvoltat sisteme antispam adaptive, sisteme ce utilizează concepte de inteligență artificială. Astfel de sisteme nu sunt utilizabile imediat după instalare. Inițial ele au nevoie să treacă printr-o fază de învățare, de antrenare, în care trebuie ca cineva să le arate care din mesajele care au sosit sunt legitime și care sunt SPAM. Și după un număr suficient de mesaje văzute din ambele tipuri, programele învață singure să deosebească cele două tipuri de mesaje pe baza elementelor comune pe care le identifică în cursul procesului de învățare. Sistemele din această categorie sunt cele mai adaptabile la noile trucuri inventate de spammeri și au rata de detecție cea mai ridicată.

De o vreme încoace cam toți furnizorii de mail gratuit accesibil direct din browser (gen GMail, Yahoo Mail) au astfel de sisteme care sunt parțial antrenabile chiar de către utilizator prin intermediul acelui buton Spam pe care utilizatorul îl poate apăsa dacă i se pare că mesajul primit ar intra în această categorie. Chiar dacă nu e perfectă, este metoda optimă care a fost găsită până în prezent, având și avantajul de adaptabilitate la cerințele utilizatorului.

În episodul viitor o să mai trecem în revistă câteva aspecte legate de SPAM printre care și de ce nu s-a putut găsi o metodă care să elimine o dată pentru totdeauna problema.

VA URMA

Share on Facebook
Share on LinkedIn

Publicat în: AnalizeeCrimeGlosarTrenduri

Etichete:

Despre autor: Este fetiţa trupei, cea guralivă şi amuzantă; ne place s-o buzărim de câte ori avem ocazia ca s-o ofticăm, dar nu ne iese întotdeauna pentru că din nefericire ține la glumă. Atenție, deși e fată nu trebuie subestimată pentru că este deţinătoarea unor cunoştinţe solide de IT pe care ştie să le pună în ecuație ca să obțină ce vrea.

RSSComentarii

Comentează | URL trackback

  1. Dan spune:

    URASC SPAMURILE !!!!!!!! Nu stiu cum sa rezolv mai exact problema pe Yahoo Mail. AM banat pana acum o gramada de adrese de email ba chiar si domenii intregi … tot degeaba. De ce nu implementeaza Yahoo un sistem cumj este Askimet ? Askimet este chiar util !!!

    • Coțofana spune:

      N-aș putea să-ți dau un sfat din experiență proprie pentru că nu mai folosesc Yahoo Mail de mult timp. Dar în mod normal, prin folosirea adecvată a butonului Spam, Yahoo Mail ar trebui să învețe la modul (semi)inteligent care este viziunea ta asupra mesajelor SPAM și în timp numărul mesajelor nedorite care-ți apar în inbox ar trebui să scadă continuu, așa cum se întâmplă în GMail. Eu la ora actuală extrem de rar mai primesc în inbox-ul lui GMail vreun mesaj de SPAM – toate intră în liniște direct în folderul Spam unde mă uit numai când îmi mai zice careva că mi-a trimis un mail și nu l-am găsit în inbox.

Comentează




Dacă vrei să apară o poză la comentariul tău, fă-ți rost de un Gravatar.