SPAM wojna obrazkami

Nawet jeśli zakupi się nowy sprzęt i narzędzia do walki z niepożądanymi i złośliwymi przesyłkami poczty elektronicznej, spamerzy i tak będą na tyle kreatywni, aby obejść takie zabezpieczenia. Jest to wyścig zbrojeń, którego nie można wygrać całkowicie, ale którego nie można zaniechać.

Nawet jeśli zakupi się nowy sprzęt i narzędzia do walki z niepożądanymi i złośliwymi przesyłkami poczty elektronicznej, spamerzy i tak będą na tyle kreatywni, aby obejść takie zabezpieczenia. Jest to wyścig zbrojeń, którego nie można wygrać całkowicie, ale którego nie można zaniechać.

SPAM wojna obrazkami

Przykłady konstrukcji spamu graficznego

Zapory ogniowe, filtry i systemy bezpieczeństwa są bardziej porowate niż nam się wydaje. Dowiedzieliśmy się np., że pliki graficzne GIF, JPEG czy BMP mogą być używane przez spamerów do omijania filtrów "tekstowych". Niedawno te pliki graficzne z irytującego spamu przemieniły się w niebezpieczne trojany, wykorzystując luki w przeglądarkach i oprogramowaniu do oglądania plików graficznych.

A może być jeszcze gorzej. Pliki PDF przenoszące kod złośliwy, wykorzystujący luki Acrobat Reader, załączniki chronione hasłem, które omijają precyzyjne filtry poczty elektronicznej i skanery bezpieczeństwa. Co z tym wszystkim zrobić?

Dobra wiadomość to taka, że nie wszystkie środki zaradcze są kosztowne. Istnieją tanie rozwiązania antyspamowe wykorzystujące czarne, białe i szare listy w ramach strategii ochrony poczty elektronicznej (zob. "Bezpłatne rozwiązania antyspamowe" - NW 01/2007). Są to rozwiązania dość proste, ale jednocześnie skuteczne. Takie filtry można subskrybować u dostawców komercyjnych, ale istnieją też czarne listy DNS dostępne bezpłatnie. Trzeba tu jednak pamiętać o problemach fałszywych rozpoznań -nawet narzędzia bezpłatne mają swoją cenę.

Inne kroki, jakie można podjąć, to wprowadzenie bardziej restrykcyjnej polityki używania haseł, zwłaszcza w odniesieniu do kont pocztowych. Proste, nieszyfrowane hasła są niewystarczające - często szyfruje się transmisje wiadomości, ale hasła wymieniane są jawnym tekstem. Wprowadzenie pewnych ścisłych reguł i ich egzekwowanie to jedynie wysiłek organizacyjny.

Przedsiębiorstwa są często nieświadomymi generatorami spamu. Znane organizacje i firmy nadal mają problem z wykorzystaniem ich witryn internetowych przez spamerów, jak również przejmowaniem komputerów w ich sieciach prze boty, pomimo inwestowania w różne technologie przeznaczone do łagodzenia tego problemu.

Problem się nasilił, kiedy spamerzy zaczęli masowo korzystać z botnetów kontrolowanych przez stronę trzecią, wynajmując je do dystrybucji swoich przesyłek za pośrednictwem tak opanowanych komputerów.

Przy czym nie jest najważniejsze to, czy wystarczająco walczy się ze spamem, ale raczej czy produkty, których się używa, nie zawierają zbyt wielu ukrytych luk w kodach, które pozwalają spamerom i operatorom botnetów na wejście do ich sieci.

Wolumen spamu znowu rośnie

Po kilku latach spadku wolumenu spamu, jesienią 2006 r. nastąpił jego gwałtowny wzrost, kiedy to spamerzy odkryli, że umieszczanie tekstu w plikach graficznych pozwala na skuteczne omijanie filtrów antyspamowych. Duży odsetek spamu w postaci graficznej związany był z "pompowaniem" kursu akcji.

Za ten stan rzeczy obwiniano małą skuteczność rozwiązań antywirusowych wykorzystujących technikę sygnatur do wyłapywania spamu. Technika randomizacji, stosowana w tworzeniu spamu obrazkowego, pozwala na skuteczne omijanie filtrów wykorzystujących sygnatury.

W połowie roku 2007 "klasyczny" spam obrazkowy znalazł się w odwrocie, ale jego miejsce zaczął zajmować spam PDF, w którym treść wiadomości zawarto w załączniku PDF.

Spam ten stawał się też coraz bardziej urozmaicony. Ponieważ filtry antyspamowe zostały dostosowane do spamu PDF, wykorzystując sposoby już stosowane przez silniki antyspamowe do innych rodzajów spamu obrazkowego, pojawił się spam zawierający zmieniające się załączniki PDF. Ta zmienność to różny rozmiar plików PDF, zmiany wprowadzane na poziomie pikseli w plikach PDF, a także wtrącanie losowych tekstów do plików.

Takie sztuczki pozwalają na generowanie tak dużej liczby odmiennych postaci plików, że silniki antyspamowe nie są w stanie przetworzyć ich w rozsądnym czasie. Większość wariacji plików PDF jest tworzona automatycznie przez botnety.

Spam PDF, którego szczyt przypadł na środek lata, szybko zniknął pod koniec sierpnia, aby niebawem powrócić w groźniejszej postaci. Pod koniec października pojawiły się wiadomości z załącznikiem PDF, które infekowały komputer odbiorcy po ich otwarciu. Wiersz tematu zawierał frazy przyciągające uwagę odbiorcy, np. "twój raport spłaty kredytu". Wiadomość nie zawierała na ogół tekstu, a tylko załącznik.

Po otwarciu załącznika, zawarty w pliku kod złośliwy wykorzystywał lukę CVE-2007-5020 Acrobat Readera (i Internet Explorera 7.0) i sprowadzał kolejny element kodu złośliwego. Celem ataku było włączenie zainfekowanej maszyny do sieci bot, używanej następnie do dalszej działalności przestępczej. (Łatki likwidujące tę lukę w 8.1 i wcześniejszych wersjach Acrobat Reader firma Adobe udostępniła 22 października 2007 r.)

Techniki spamu obrazkowego

Spam graficzny jest odpowiedzią na używanie do walki z aktywnością botnetów takich technik, jak CAPTCHA (Completely Automated Public Turing Test to Tell Computers and Humans Apart - koncepcja tak nazwana na cześć Alana Turinga, angielskiego matematyka, który przez wielu uważany jest za ojca współczesnej informatyki). Jest to technologia stosowana w zabezpieczeniach formularzy na stronach WWW - wprowadzenie danych wymaga przepisania prezentowanego na obrazku tekstu, najczęściej zdeformowanego. Zakłada się, że taki tekst jest trudny do rozpoznania przez komputer, natomiast prosty do przeczytania przez człowieka. Technika ta, która ma chronić portale przed zakładaniem kont przez automaty, czy fora dyskusyjne przed spamem, opiera się na założeniu, że botnety i inne programy nie mogą dostatecznie efektywnie przetwarzać obrazów i rozpoznać słów zawartych w obrazie.

Jednak ten sam aspekt tej technologii dzisiejsi spamerzy wykorzystują do tworzenia spamu neutralizującego filtry antyspamowe.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200