Czarne listy i technologia oceny reputacji miejsc internetowych

Czarne listy to praktyka publikowania list adresów IP, spod których wysyłany jest spam. Posiłkując się taką listą, agent transferu wiadomości może nie akceptować żądań połączeń od nadawców poczty, którzy na niej figurują. Może ona także zawierać adresy stron WWW, z których sprowadzane są kody złośliwe, co pozwala blokować wiadomości zawierające URL-e prowadzące do takich miejsc. Czarne listy funkcjonują od czasu pojawienia się pierwszych exploitów w internecie, ale ze względu na ich restrykcyjną naturę ciągle udoskonalane są metody weryfikowania adresów wprowadzanych na te listy.

Pod koniec roku 2006, po ponad pięciu latach działania, została wyłączona usługa czarnej listy serwerów pocztowych - Open Relay Database (ORDB), zaprojektowana do radzenia sobie z technikami, w których spamerzy używają serwerów proxy SMTP. Projekt udostępniał czarne listy serwerów pocztowych działających jako otwarte przekaźniki poczty (open relay), która to cecha czyniła je podatnymi na wykorzystywanie ich do dystrybucji spamu.

ORDB to przykład ofiary własnego sukcesu. Jeszcze sześć lat temu ok. 90% spamu wysyłano za pośrednictwem open relay, a dzisiaj to mniej niż jeden procent. Spadek ten zawdzięczamy właśnie czarnej liście ORDB, ponieważ zmusiła ona usługodawców do blokowania możliwości open relay na swoich serwerach pocztowych, co spowodowało radykalny spadek liczby serwerów pocztowych działających jako otwarte przekaźniki poczty.

Z czarnymi listami związana jest relatywnie nowa dziedzina bezpieczeństwa wykorzystująca ocenę reputacji. Firmy zajmujące się bezpieczeństwem coraz częściej używają tej technologii, ponieważ jest ona obiecująca jako skuteczny środek do walki z nieznanymi zagrożeniami. I tak np. SiteAdvisor firmy McAfee prowadzi ocenę miejsc internetowych, wykonując testy witryn WWW i sprawdzając, czy nie są one generatorami spamu lub dystrybutorami kodów złośliwych.

Podobną usługę oferuje IronPort, a Google udostępniła w ubiegłym roku dostęp do czarnej listy szkodliwych miejsc w internecie.

Z kolei rozwiązania, nad którymi pracuje Symantec, to ocena plików na podstawie danych generowanych przez użytkowników jej produktów. Podstawowy problem do rozwiązania przy takim podejściu, to automatyzacja uzyskiwania informacji o reputacji z różnych próbek plików sprowadzonych przez użytkowników.

Secure Computing udostępnia usługę reputacji, która tworzy "odcisk palca" wiadomości zidentyfikowanej jako spam i następnie przydziela jej odpowiednią punktację w ramach skali reputacji. Firma dodała do tej usługi technologię ImagePrinting, która tworzy odciski palców, również dla wiadomości w postaci graficznej. Ponieważ spamerzy mogą próbować omijać takie filtry poprzez zmianę kilku pikseli w obrazku, to technologia ImagePrinting wykonuje tzw. normalizację grafiki, pozwalającą na usunięcie nieistotnych zmian w obrazie.

Proofpoint uruchomiła usługę oceny reputacji poczty elektronicznej dla swoich urządzeń i oprogramowania ochronnego, która pozwala na blokowanie połączeń z niepożądanymi i niebezpiecznymi nadawcami poczty elektronicznej. Proofpoint Dynamic Reputation wykorzystuje kombinację danych o przewidywanych zachowaniach oraz informację historyczną o reputacji nadawcy do określenia, czy jest on legalny. Może także blokować ataki związane z uzyskiwaniem adresów pocztowych oraz DoS. Profil reputacji określany przez usługę jest uaktualniany co minutę.

Usługa wykorzystuje technologię analizy reputacji, która stosuje mechanizm samouczący do budowania bazy danych o zachowaniach nadawców poczty elektronicznej. Każdy adres IP poczty elektronicznej ma przypisaną punktację, która pozwala użytkownikowi na określanie progów podejmowania decyzji o akceptacji, odrzuceniu lub spowolnieniu odbioru dla każdego nadawcy.

Filtry do odsiewania spamu graficznego

Do ochrony przed wielopostaciowym spamem graficznym, generowanym techniką wprowadzania nieistotnych zmian do szczegółów grafiki obrazującej treść, Trend Micro wykorzystuje własną technikę odsiewania różnic w kolorach czy rozmiarach obrazu. Rozwiązanie wykorzystuje także dodatkowe kontrole przy blokowania spamu, oparte na mechanizmie identyfikującym nadawców spamu za pośrednictwem bazy danych Trend Micro Network Reputation Services.

Firma Proofpoint łączy algorytm samouczący z techniką analizy obrazów, rozpoznając niepożądane wiadomości z tekstem wkomponowanym w grafikę. Wykorzystuje też kilka technik blokowania spamu graficznego. Obejmują one m.in. automatyczną analizę zmian we fragmentach obrazu, wyszukującą niewielkie zmiany w grafice przenoszącej zagnieżdżony tekst, wnoszone do kolejnych przesyłek, umożliwiając takim przesyłkom przechodzenie przez samouczące się filtry antyspamowe. Stosowane jest też wykrywanie animowanych plików GIF zagnieżdżonych w wiadomości, ukrywających właściwy ładunek spamu.

Firma Cloudmark proponuje technologię "wielowymiarowych map genetycznych", która polega na opisywaniu każdej wiadomości zestawem charakterystycznych dla niej cech - tzw. genów - takich jak nadawca, temat, liczba i wielkość liter, liczba wykrzykników, liczba kolorów i itp. Tak opisane przesyłki program odnosi do wielowymiarowej mapy cech wiadomości spamowych. Na podstawie umiejscowienia na wspomnianej mapie określa się, czy dana wiadomość jest spamem, czy też nie. Danych do mapy dostarczają w czasie rzeczywistym sami użytkownicy rozwiązań Cloudmark.

Z kolei firma Tumbleweed wprowadza technologię Adaptive Image Filtering przeznaczoną do blokowania spamu z pomocą technik przetwarzania obrazu o nazwie "wavelet transform", która sprowadza obraz do wzoru matematycznego reprezentującego wiadomość, ale dopuszczającego jej odmiany. Technologia ma znaleźć zastosowanie w urządzeniach i oprogramowaniu firmy, służących do ochrony poczty elektronicznej. Firma tworzy bazę danych wzorców porównawczych pozwalającą na sprawdzanie poczty obrazkowej.