Hlavní navigace

Crackeři & spammeři: konvergence

11. 12. 2003
Doba čtení: 5 minut

Sdílet

V tomto článku často píšeme o spamerech, což je trochu zavádějící. Zdroje spamu jsou velmi různorodé. Pokud rozlišíme alespoň ty základní, tak při dalším používání máme na mysli "tvrdé jádro", lidi, kteří porušují zákony, smlouvy s poskytovatelem připojení. A nevyžádanou poštou zásobují významnou část světového Internetu.

Co víc obtěžuje uživatele emailu? Občasné virové epidemie s obrovským počtem zpráv přenášejících infekční kód, nebo soustavný, neúprosně rostoucí tlak spamu? Může to být ještě horší? Myslím, že bude.

Spameři mají dnes několik životních potřeb. V první řadě jde o přísun IP adres, ze kterých rozesílají poštu. Zdroj spamu se statickou adresou se záhy dostane na řadu DNS-blacklistů. A když například zařazení v Spamhouse SBL odstřihne spamera odhadem od stovky milionů adres, je to docela významná překážka v jeho „podnikání“. Druhým problémem je konektivita. Spamování už dnes zakazují podmínky služby snad každého ISP, a většina spamerů se musí často stěhovat. Spameři obvykle používali taktiku „odeslat a utéct“ – využít zkušebního provozu nebo bezplatně poskytovaného dial-upu, a když ISP linku odstřihne nebo číslo zablokuje, už se rozesílá odjinud. Dial-up je ale pro rozesílání milionů zpráv pomalý a registry známých spamerů ztěžují putování mezi ISP. Co si takový velký spamer asi přeje pod stromeček?

Odhaduji, že desetitisíce počítačů předávajících jeho poštu, ale ne zprofanované a zablokované open-realaye, ale stále čerstvé, dosud nezablokované adresy, rozprostřené v ohromném množství sítí.

Přerušme však na okamžik tuto úvahu a pohleďme do jiných částí Internetu – takový skripťáček-takyhacker ovládá třeba tisíce špatně zabezpečených domácích počítačů. Využil triviálních chyb, stáhnul hotové scannery, exploity, a po úspěšných útocích nainstaloval software umožňující vzdálené ovládaní cracklých počítačů. Na prakticky nespravovaném domácím miláčkovi může dlouho nerušeně působit. Přitom jsou to často počítače s pevným připojením, na poměrně rychlých linkách DSL a kabelových televizí. Zatím takové flotily obtěžovaly na IRC, občas nějaký odvážlivec využil počítače k DDoS útoku. Kromě uspokojení z moci něco zničit z nich však obvykle jejich „pán“ moc nemá.

Zjevně existuje poptávka, spameři mají peníze, crackeři počítače, bylo by spíše překvapivé, kdyby k obchodu nedošlo. Manipulace s cizími počítači je sice ve většině zemí trestná, ale kdo se živí podvody s čísly kreditních karet či okrádáním chudáků toužících po podílu na milionech pana M. Abachy z Nigerie, stejně asi na nějakou zákonnost nedbá.

Jak do toho zapadají tvůrci virů? Jak se dá získat kontrola nad ještě větším množstvím počítačů? Emailovým červem dokáže útočník zasáhnout stovky tisíc, možná miliony počítačů. A když epidemie kulminuje, je snadné na část počítačů nainstalovat zadní vrátka. Opět, díky spamerům lze dříve bezcenné ničení přeměnit na slušný zdroj příjmu. Tvorba červů na zakázku může začít vydělávat.

A synergie funguje i naopak. Vytvořit červa na špičkové technické úrovni je dosti náročné. Vzít hotový snadno dostupný kód „virových experimentátorů“ a sestavit něco, co antiviry nedekují, je lehčí. Jenže antivirové firmy nového „hloupého“ červa rychle zanalyzují a přidají do databází za pár hodin. Vadí? Nevadí, ale pro slušně velkou epidemii je třeba začít s dostatečně velkou počáteční „setbou“, to znamená odeslat rychle hodně mailů. Je jasné, kde najít experty na hromadné rozesílání nelegální pošty.

Deseti-, snad statisíce ovládaných počítačů mohou spamerům pomoci i s další „bolístkou“. Spamer obvykle potřebuje nejen rozeslat poštu, ale i přijmout odpovědi zákazníků. Převažujícím kanálem zpětné vazby spamu jsou dnes webové stránky. I přes snahu znečitelnit URL a zamaskovat skutečný cíl mnohonásobnými přesměrováními a podobnými technikami, je nalezení cílových stránek většinou řádově jednodušší, než stopování odesílatele mailu, takže se spamerské weby stávají cílem boje proti spamu. Naštěstí je už celkem uznávanou praxí zodpovědných webhosterů a poskytovatelů konektivity tyto mazat a odpojovat…

Crackeři jsou vynalézaví a tisíce ovládnutých počítačů mohou posloužit i tady. Místo IP adresy webserveru pošle spamer adresu „zombie“ s běžícím přesměrováním portů nebo transparentním HTTP přesměrováním (viz zde).

Adresa cílového webserveru se tak dostane mimo dosah snadného stopování a spameři mohou používat levných a spolehlivých služeb standardních hostingů. Posledním kritickým místem zůstává DNS, alespoň pokud adresy mají zůstat jmenné a přesměrování provozu přes „zombie“ chce spammer provádět dynamicky.

Že se „ti praví“ našli, ukazují i další zprávy. Spameři ukazují nebývalé technologické znalosti, je zřejmé, že na rozesílání se podílejí inteligentní a technicky kompetentní lidé.

Ani staré známé použití „zombií“ k DDoS útokům zjevně nebylo zapomenuto.

Na konci září distribuovaný útok donutil k zastavení provozu DNS-blacklist Osiriusoft (zastavení se neobešlo bez problémů – autor blacklistu se zřejmě naštval na celý svět a na černou listinu přidal záznam *.*.*.*). A dalších. Již zmíněný Spamhaus je pod masivním DDoS útokem několika červů již několik měsíců – díky výborné práci administrátorů, řadě mirrorů a specielním anti-DDoS filtrům na linkách útoky zatím ustál.

Naopak tvůrci červů se viditelně zlepšili v „sociálním inženýrství“. Obalamutit uživatele, aby na něco kliknul, je docela podobný problém jako obalamutit uživatele, aby někam vyplnil číslo účtu. Myšlenka, že se v obou případech uplatní stejní odborníci, je docela přirozená.

Spekulovat lze o možnosti získávání adres s pomocí červů.

Konvergence

Průzkumy obsahu spamů též naznačují zajímavé trendy – obligátních nabídek k prodloužení čehokoli jistě neubývá, přibylo „technologicky pokročilejšího“ spamu, propagujícího spyware a podobné podezřelé programy.

Zdá se, že emailové červy, sítě zombií, hardcore spam a spyware je už dnes vhodné chápat jako různé tváře stejného problému. Velmi vážného problému – v podstatě „útoky“ tvoří polovinu provozu druhé nejpoužívanější služby Internetu!

Spameři & spol. už rozhodně nejsou „oddechovějším“ tématem, něčím, co obtěžuje, ale netýká se „vážné počítačové bezpečnosti“.

Možné závěry

Smutným, ale účinným a prakticky funkčním opatřením je blokování rozsahů dynamických IP adres, myšlenka, kterou uskutečnili už průkopníci DNS-blacklistů MAPS. Smutným proto, že se tak omezuje možnost provozovat si doma vlastní mail-server, proto, že už z většiny počítačů nepůjde jen tak napsat telnet host.domena.cz 25 a psát poštu.

ISP poskytující připojení domácnostem, malým firmám a obecně velkým rezervoárům nespravovaných počítačů by měli začít chránit nejen svoje zákazníky před vnějším světem, ale i vnější svět před svými zákazníky. To je konkrétně – nainstalovat antivirové a protispamové filtry nejen na příchozí SMTP servery, ale i na odchozí SMTP servery. A přimět uživatele, aby příchozí poštu odesílali přes SMTP server providera.

Hezkým protispamovým řešením by byl třeba DNS záznam omezující adresy oprávněné odesílat poštu s určitou adresou odesílatele, nebo reverzní záznam opravňující k odesílání pošty vůbec. Ovšem nový standard a implementace v DNS software je, mám obavu, záležitost spíše na roky.

UX DAy - tip 2

Objevují se ještě smělejší návrhy. Nahrazení SMTP novým protokolem mi – při pohledu do historie pokusů v rámci Internetu něco zásadního rychle vyměnit – přijde utopické. Kryptografické podepisování zpráv – to problém v principu nemůže řešit. Vznik autority, která bude ověřovat nezávadnost mail-serverů – používání by mohl prosadit silou Microsoft – vyhánění čerta ďáblem.

A tak lze krátkodobě nejspíše očekávat pokračování eskalace opatření a protiopatření, chytřejší spamy a chytřejší filtry. Dynamickou rovnováhu.

Domníváte se, že spam bude v budoucnu představovat ještě závažný problém?

Byl pro vás článek přínosný?

Autor článku

Autor se v současnosti věnuje přemýšlení. Má vlastní webovou stránku.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).