Criptografia e Segurança de
Comunicações
Curiosidade, não faz parte da avaliação
Comunicações
SPAM
SPAM : 1/10 Prof RG Crespo Criptografia e Segurança de Comunicações
SPAM – introdução (1)
• SPAM
1– mensagem Email não solicitada, dividida por
– Boato (“Hoax”): história falsa para benifício do lançador (ex: alegada informação de onda de calor/ciclone, por forma a regressar mais cedo do emprego)
– Corrente (“Chain”): promessa de prejuízo ao receptor se não reenviar mensagem a um número mínimo de outras pessoas, ou reenviar mensagem a um número mínimo de outras pessoas, ou benefício se reenviar a mensagem.
– Propaganda de produtos: ex: venda de medicamentos (Viagra,…) – Conto do vigário (“Scam”): oportunidade
enganosa (ex: carta de Nigéria)
• HAM – mensagem legítima de Email
1Marca de carne enlatada, da empresa Hormel,
SPAM – introdução (2)
[1978] Convites para recepção enviados a todos os utilizadores da Arpanet na Costa oeste dos USA.
[1988] Primera cadeia a solicitar contribuições para um fundo escolar enviada a muitos newsgroups.
[18 Jan 1994] Primeiro SPAM global, com todos os newsgroups a receber a mensagem “Global Alert for All: Jesus is Coming Soon”, seguido em Abril pelo “Green Card Lottery – Final One”.
seguido em Abril pelo “Green Card Lottery – Final One”.
• Segundo a Spamhaus, SPAM representa 90% do Email a
circular (em Out 2007 estimado volume diário de 183
biliões de Emails)!
• Por vezes a mensagem não é enviada directamente à
vitima. Ela é enviada a um utilizador inexistente, com
From substituído pela vítima. O servidor de Email envia à
vítima um aviso com conteúdo da mensagem rejeitada.
SPAM : 3/10 Prof RG Crespo Criptografia e Segurança de Comunicações
SPAM - arquitectura (1)
• Tal como no DoS, mensagens SPAM são enviadas por
máquinas comprometidas - botnet.
1. Operador de botnet infecta, por virus ou verme, um bot num nó (passa a
comprometido).
2. Nó comprometido liga-se a um servidor de comando e controlo C&C.
3. Spammeradquire, ao operador de botnet, acesso a C&Cs.
4. Spammerinstroi, via servidor C&C, os nós comprometidos a enviar Spam (ou ataques DoS).
SPAM - arquitectura (2)
• Cerca de 80% do SPAM gerado por 500/600 Spammers,
registados em http://www.spamhaus.org/rokso
Exemplo: Alan Ralsky – Possuia 20 computadores. – Controlava 190 servidores C&C. – Enviava 650 mil mensages/hora. – Enviava 650 mil mensages/hora. – Registou 250 milhões de endereços.
– Recebia $500 por cada milhão de mensagens.
• Segundo Eric Allman “State of the Spam” em
USENIX’04 – 90 Spammers de topo recebem, cada um, $100K/mês– Legislação não intimida os maiores spammers comerciais. Nota: ROKSO=Register of Known Spam Operations
SPAM : 5/10 Prof RG Crespo Criptografia e Segurança de Comunicações
SPAM - arquitectura (3)
• Estudos revelam que 80% de PCs se encontram
comprometidos.
Exemplo: Bobax (bot que ataca por “buffer overflow” no MS LSASS) detectado em mais de 100K nós.
– Apenas 4% dos nós comprometidos, conhecidos, não são Windows. Nota: maior parte dos utilizadores domésticos e empresas prefere Windows. – Cerca de 8% do SPAM provém de nós não Windows.
Nota: servidores, com maior tempo de ligação, preferencialmente não Windows. – Maior número de nós comprometidos nos EUA e na China.
– A maior parte dos nós comprometidos envia pequenas quantidades de SPAM.
Nota: ISP mantêm listas negras, que cortam acesso a nós com elevado SPAM. Listas de nós comprometidos são designados por RBL-Realtime Blackhole List.
CONCLUSÂO: SPAM vai continuar, a única solução possível é adoptar estratégias de diminuição do problema!
SPAM – recolha de endereços (1)
• Spammers recolhem endereços (“harvest”) em diversos
locais
– Varrimento de páginas WWW por “web crawlers” – Respostas a “ofertas” e concursos afixados na Web. – Virus que consultam agendas de utilizador.
– Virus que consultam agendas de utilizador.
– Endereços de autores em artigos (Journals, imprensa,...)
NB pessoal! recebia diariamente à volta de 40 Spam, e o número saltou para mais de 100 quando em 2007 publiquei um artigo no Computer Networks
– Mensagens enviadas para UseNet. – Listas recolhidas por outros Spammers.
SPAM : 7/10 Prof RG Crespo Criptografia e Segurança de Comunicações
SPAM – recolha de endereços (1)
• Extracto de um Email a publicitar spammer
Date: Tue, 25 Mar 2008 00:30:15 -0300
From: Programa de envio de emails <vlecbm@fetnet.net> [...]
Subject: 50 Euros - Programa de envio de emails COMPLETO Até o dia 26/03/2008, você poderá adquirir o melhor programa Até o dia 26/03/2008, você poderá adquirir o melhor programa de envio de emails do mercado em PORTUGAL e outros países, em um dos 5 novos pacotes com desconto exclusivo.
Com o Magic Seven, você envia emails para qualquer provedor, sem limite de quantidade e sem bloqueios, com IP protegido, com velocidade de até 500.000 emails por hora.
[...]
SPAM – combate (1)
1. Disfarce endereços-”address munging” (nomeadamente
em páginas Web)
• Substituição de separadores por texto (@-AT .-DOT)
• Substituição de texto por imagens, designadamente reenvio de “nounce” pelo leitor.
2. Silêncio: se responder à opção “remove me”, está a
2. Silêncio: se responder à opção “remove me”, está a
fornecer ao Spammer informação crucial
• Seu endereço de Email é real.
• O seu correio é lido por humanos.
3. Instalação de filtros
• Razor – o primeiro de grande divulgação (1988)
• SpamAssassin – adoptado no servidor WWW Apache, adaptativo por métodos estatísticos.
SPAM : 9/10 Prof RG Crespo Criptografia e Segurança de Comunicações
SPAM – combate (2)
Um bom filtro deve evitar:
• Falsos positivos (Email válido catalogado como SPAM) devem ser inferiores a 0.02%
• Falsos negativos (SPAM catalogado como email válido) devem ser inferiores a 8%
• Efeitos negativos do SPAM:
• Efeitos negativos do SPAM:
– Sobrecarga de tráfego e nas caixas de correio.
– Perda de tempo dos receptores na determinação e eliminação de mensagens. – Prejuízo nos que caem no conto do vigário.
Nota[2008]: aumento do mercado asiático, aliado a um combate mais eficaz no mercado ocidental a spammers não acompanhado pelos administradores de sistemas asiáticos, tem levado ao aumento da percentagem de SPAM em língua oriental.