Ondanks alle technische vooruitgang heeft de beveiligingsindustrie nog geen passend antwoord op het spamprobleem. Zal e-mail ooit weer de oude worden, in hoeverre helpt het arresteren van spammers en wat als het spamprobleem is opgelost? Wij vroegen het Harm Jan Arendshorst, directeur Fortinet Benelux.

Onlangs werd bekend dat spammers in de nieuwe generatie plaatjes spam linken naar bekende plaatjes sites. Het gaat misschien wat te ver om linkjes naar dit soort sites meteen te blokkeren, maar hoe kunnen spambestrijders hiermee omgaan?

Arendshorst: De Spam/Antispam-oorlog is een wapenwedloop waarin de Antispam-leveranciers altijd in het nadeel waren. Ontwikkelingen op het gebied van image spam laten echter zien dat spammers door hun munitie heen raken. We zijn op het niveau gekomen dat spammers de semantische inhoud van hun bulk emails zo moeten verhullen dat deze bijna niet meer te begrijpen valt. Dat maakt dergelijke spamberichten voor de gemiddelde gebruiker op zijn minst verdacht.

Om beter te begrijpen wat de huidige situatie is en wat de toekomst misschien brengen gaat is het nuttig even terug te kijken:

• Image spam steekt de kop op
  
• AntiSpam-vendors reageren door emails te blokkeren op basis van de checksum van het plaatje. Dit is een voor elk plaatje uniek getal dat wordt berekend door alle bytes waaruit het image bestaat op een bepaalde manier op te tellen.
  
• Spammers ontwikkelen distributietools die elke keer dat het bericht wordt verzonden een of twee pixels in het spam image veranderen. Daarmee creëren ze voor elk afzonderlijk plaatje een nieuwe checksum terwijl de semantische inhoud ongewijzigd blijft.
  
• AntiSpam-vendors reageren door content analyse van de plaatjes uit te voeren: door het berekenen van de mate van entropie en door diverse statistische algoritmen toe te passen zijn ze in staat te bepalen of een image tekst bevat.
  
• Spammers op hun beurt beginnen met het vervormen van spam images en het toevoegen van zware ‘ruis’. Het effect is tweeledig: filters die zijn gebaseerd op entropie en statistische analyse worden weliswaar omzeild, maar de plaatjes zijn bijna niet meer te begrijpen. Ze worden om die reden hoogstwaarschijnlijk door de ontvangers van de spam als verdacht aangemerkt.

Deze wapenwedloop laat zien dat security experts altijd in het defensief zijn gedwongen en genoodzaakt zijn geweest een reactieve in plaats van een pro-actieve rol te spelen. Toch ligt het in de lijn der verwachtingen dat spammers terrein gaan verliezen met hun respons op de blokkades van security leveranciers. Het vervormen van images lijkt op een uiterste poging om ontdekking tegen te gaan.
Natuurlijk zouden de ontwikkelingen een nieuwe richting kunnen inslaan met voorbijgaan aan zuiver op beeld gebaseerde spam. De bewapeningswedloop zal dan voortgaan…

De arrestatie van spamkoning Robert Soloway heeft geen enkele invloed op de hoeveelheid spam gehad. Hoeveel zin heeft het om tijd en moeite in het vervolgen van grote spammers te steken?

Arendshorst: Om cyber-crime efficiënt te bestrijden moeten de internationale digitale wetgeving en van de grensoverschrijdende coördinatie van de wetshandhaving worden versterkt. Pas kort geleden is er wetgeving tot stand gekomen in de Westerse landen. Andere regio’s zijn nog niet zover. Pas als het zover is zijn we in staat cyber criminals effectief op te sporen. Ondertussen denk ik dat meer symbolische arrestaties als die van Soloway ertoe kunnen leiden dat sommige cybermisdadigers wel tweemaal zullen nadenken voordat ze doorgaan met hun praktijken.

Kunnen spambestrijders nog wel zonder spam. Inmiddels zijn er tal van bedrijven afhankelijk van het bestaan van spam, maar als spam er straks niet meer is, dan zitten die zonder werk. Een lastig dilemma, toch?

Arendshorst: Ik ben daar niet ongerust over. Zoals ik eerder heb betoogd is de evolutie van de informatiebeveiliging echt een wapenwedloop tussen hackers, crackers, virusschrijvers en security leveranciers. De ontwikkeling gedurende de laatste paar jaar van blended threats - Trojans met ingebedde spam engines, of virussen met spyware aan boord - heeft de strijd verder geïntensiveerd. Wat wij in gedachten moeten houden is dat cybercrime een beroep, een bedrijfsmodel is geworden. Hackers worden niet meer gedreven door de zucht naar aanzien; het gaat nu alleen nog maar over geld. In deze context zal cybercrime in een buitensporig hoog tempo doorgroeien. Daarom bestaat er maar een kleine kans dat security technologie overbodig zal worden.

Wat verwacht Fortinet in de toekomst op het gebied van spam en spambestrijding?

Arendshorst: Ik verwacht dat spammers te zijner tijd terrein zullen verliezen bij hun pogingen te reageren op de blokkade pogingen van de security vendors. Zoals ik eerder al zei hebben spammers met succes de inhoud van images vermomd om machines op een dwaalspoor te brengen, maar daarmee hebben ze de semantische inhoud zo aangetast dat deze voor het menselijk brein niet meer te begrijpen is. In wezen heeft de spammer de menselijke reactie op zo’n plaatje onderschat of vergeten.

En het zal alleen maar moeilijker worden voor spammers wanneer we geavanceerde Kunstmatige Intelligentie in stelling gaan brengen om de semantische content uit beelden te destilleren in plaats van vast te houden aan statistische analyse zoals nu nog gebeurt.


De technologie bestaat al; algoritmen voor character recognition zijn niets nieuws. Kijk voor een eenvoudig bewijs alleen maar naar hoe CAPTCHA-teksten worden vervormd om automatische herkenning te vermijden. Het is hoofdzakelijk een kwestie van computing power. Dit betekent echter niet dat de spam-ellende zal verdwijnen. Kunstmatige Intelligentie heeft niet alle antwoorden: om te beginnen zal er altijd een bepaalde hoeveelheid aan false positives blijven optreden. Hoe weinig ook, dit dwingt de zorgvuldige gebruikers zijn spambox te blijven controleren op belangrijke berichten.