Criptografia e Segurança de Comunicações. Comunicações SPAM

(1)

Criptografia e Segurança de

Comunicações

Curiosidade, não faz parte da avaliação

Comunicações

SPAM

SPAM : 1/10 Prof RG Crespo Criptografia e Segurança de Comunicações

SPAM – introdução (1)

• SPAM

¹

– mensagem Email não solicitada, dividida por

– Boato (“Hoax”): história falsa para benifício do lançador (ex: alegada informação de onda de calor/ciclone, por forma a regressar mais cedo do emprego)

– Corrente (“Chain”): promessa de prejuízo ao receptor se não reenviar mensagem a um número mínimo de outras pessoas, ou reenviar mensagem a um número mínimo de outras pessoas, ou benefício se reenviar a mensagem.

– Propaganda de produtos: ex: venda de medicamentos (Viagra,…) – Conto do vigário (“Scam”): oportunidade

enganosa (ex: carta de Nigéria)

• HAM – mensagem legítima de Email

1Marca de carne enlatada, da empresa Hormel,

(2)

SPAM – introdução (2)

[1978] Convites para recepção enviados a todos os utilizadores da Arpanet na Costa oeste dos USA.

[1988] Primera cadeia a solicitar contribuições para um fundo escolar enviada a muitos newsgroups.

[18 Jan 1994] Primeiro SPAM global, com todos os newsgroups a receber a mensagem “Global Alert for All: Jesus is Coming Soon”, seguido em Abril pelo “Green Card Lottery – Final One”.

seguido em Abril pelo “Green Card Lottery – Final One”.

• Segundo a Spamhaus, SPAM representa 90% do Email a

circular (em Out 2007 estimado volume diário de 183

biliões de Emails)!

• Por vezes a mensagem não é enviada directamente à

vitima. Ela é enviada a um utilizador inexistente, com

From substituído pela vítima. O servidor de Email envia à

vítima um aviso com conteúdo da mensagem rejeitada.

SPAM - arquitectura (1)

• Tal como no DoS, mensagens SPAM são enviadas por

máquinas comprometidas - botnet.

1. Operador de botnet infecta, por virus ou verme, um bot num nó (passa a

comprometido).

2. Nó comprometido liga-se a um servidor de comando e controlo C&C.

3. Spammeradquire, ao operador de botnet, acesso a C&Cs.

4. Spammerinstroi, via servidor C&C, os nós comprometidos a enviar Spam (ou ataques DoS).

(3)

SPAM - arquitectura (2)

• Cerca de 80% do SPAM gerado por 500/600 Spammers,

registados em http://www.spamhaus.org/rokso

Exemplo: Alan Ralsky – Possuia 20 computadores. – Controlava 190 servidores C&C. – Enviava 650 mil mensages/hora. – Enviava 650 mil mensages/hora. – Registou 250 milhões de endereços.

– Recebia $500 por cada milhão de mensagens.

• Segundo Eric Allman “State of the Spam” em

USENIX’04 – 90 Spammers de topo recebem, cada um, $100K/mês

– Legislação não intimida os maiores spammers comerciais. Nota: ROKSO=Register of Known Spam Operations

SPAM - arquitectura (3)

• Estudos revelam que 80% de PCs se encontram

comprometidos.

Exemplo: Bobax (bot que ataca por “buffer overflow” no MS LSASS) detectado em mais de 100K nós.

– Apenas 4% dos nós comprometidos, conhecidos, não são Windows. Nota: maior parte dos utilizadores domésticos e empresas prefere Windows. – Cerca de 8% do SPAM provém de nós não Windows.

Nota: servidores, com maior tempo de ligação, preferencialmente não Windows. – Maior número de nós comprometidos nos EUA e na China.

– A maior parte dos nós comprometidos envia pequenas quantidades de SPAM.

Nota: ISP mantêm listas negras, que cortam acesso a nós com elevado SPAM. Listas de nós comprometidos são designados por RBL-Realtime Blackhole List.

CONCLUSÂO: SPAM vai continuar, a única solução possível é adoptar estratégias de diminuição do problema!

(4)

SPAM – recolha de endereços (1)

• Spammers recolhem endereços (“harvest”) em diversos

locais

– Varrimento de páginas WWW por “web crawlers” – Respostas a “ofertas” e concursos afixados na Web. – Virus que consultam agendas de utilizador.

– Virus que consultam agendas de utilizador.

– Endereços de autores em artigos (Journals, imprensa,...)

NB pessoal! recebia diariamente à volta de 40 Spam, e o número saltou para mais de 100 quando em 2007 publiquei um artigo no Computer Networks

– Mensagens enviadas para UseNet. – Listas recolhidas por outros Spammers.

SPAM – recolha de endereços (1)

• Extracto de um Email a publicitar spammer

Date: Tue, 25 Mar 2008 00:30:15 -0300

From: Programa de envio de emails <vlecbm@fetnet.net> [...]

Subject: 50 Euros - Programa de envio de emails COMPLETO Até o dia 26/03/2008, você poderá adquirir o melhor programa Até o dia 26/03/2008, você poderá adquirir o melhor programa de envio de emails do mercado em PORTUGAL e outros países, em um dos 5 novos pacotes com desconto exclusivo.

Com o Magic Seven, você envia emails para qualquer provedor, sem limite de quantidade e sem bloqueios, com IP protegido, com velocidade de até 500.000 emails por hora.

[...]

(5)

SPAM – combate (1)

1. Disfarce endereços-”address munging” (nomeadamente

em páginas Web)

• Substituição de separadores por texto (@-AT .-DOT)

• Substituição de texto por imagens, designadamente reenvio de “nounce” pelo leitor.

2. Silêncio: se responder à opção “remove me”, está a

fornecer ao Spammer informação crucial

• Seu endereço de Email é real.

• O seu correio é lido por humanos.

3. Instalação de filtros

• Razor – o primeiro de grande divulgação (1988)

• SpamAssassin – adoptado no servidor WWW Apache, adaptativo por métodos estatísticos.

SPAM – combate (2)

Um bom filtro deve evitar:

• Falsos positivos (Email válido catalogado como SPAM) devem ser inferiores a 0.02%

• Falsos negativos (SPAM catalogado como email válido) devem ser inferiores a 8%

• Efeitos negativos do SPAM:

– Sobrecarga de tráfego e nas caixas de correio.

– Perda de tempo dos receptores na determinação e eliminação de mensagens. – Prejuízo nos que caem no conto do vigário.

Nota[2008]: aumento do mercado asiático, aliado a um combate mais eficaz no mercado ocidental a spammers não acompanhado pelos administradores de sistemas asiáticos, tem levado ao aumento da percentagem de SPAM em língua oriental.