image

Een toekomst vol plaatjes spam (Interview)

woensdag 23 augustus 2006, 13:13 door Redactie, 3 reacties

Waarom is image spam zo lastig te filteren, werkt whitelisting, hoe bewaak je de privacy van de gebruiker als je zijn e-mail scant en wat kunnen we in de toekomst verwachten? Wij vroegen het CipherTrust Sales Engineer Diederik Schouten


Waarom is het zo lastig om plaatjes spam te bestrijden?
Er is een aantal spamoplossingen die OCR gebruiken om afbeeldingen in e-mails te identificeren, aangezien je geen tekstherkenning kan doen, en ook omdat mensen normale plaatjes per e-mail versturen. Bijvoorbeeld bij een e-mail client als Outlook worden die plaatjes embedded in de e-mail. Je ziet ze niet meer als bijlage, maar krijgt ze direct op het scherm te zien. Veel systeem creeren een interne virtuele link die de bijlage meteen aanroept en tonen. Maar dat zijn vaak random tags die het programma zelf maakt. Het is daardoor zeer lastig om bepaalde plaatjes eruit te halen.

Virussen die met attachments meegestuurd worden hebben bijvoorbeeld een bestandsnaam die herkenbaar is, zodat die herkend kan worden via signatures. Doordat er zoveel zombies zijn die dit soort mailtjes kunnen genereren en al die programma's weer hun eigen links maken is het lastig om ze te identificeren. De afbeeldingen zijn wel hetzelfde, maar het plaatjes dat is opgebouwd is verschillend. Je zou kunnen denken aan OCR voor het herkennen van tekst uit de plaatjes, maar dat is vooral lastig en traag om te gebruiken.

Een ander probleem is dat spammers de afbeelding in blokken opknippen en bijvoorbeeld letters op de scheidingslijn hebben zitten. Een OCR programma kan dan heel moeilijk de tekst lezen, maar dan kloppen de teksten niet meer. OCR is voor ons te traag, wij kijken niet meer naar de content, maar maken fingerprints van het bericht, wat voor binary zit er in het bericht en met wat voor tools zijn ze gegeneerd. Veel berichten kan je herkennen aan de manier waar en hoe ze geschreven zijn.

De signatures slaan we op in ons Trusted Source systeem, samen met de verzender informatie, dus wat we al van de IP-adressen weten, zodat het nog makkelijker wordt om spam te identificeren. Aan de hand van al deze informatie kent het systeem een reputatie aan de afzender en bericht. We kijken dan niet alleen naar de inhoud, maar voornamelijk naar zaken als de structuur van de mailtjes. Dit maakt het makkelijk als er kleine wijzigingen plaatsvinden om toch nog te zien dat het om spam gaat. Bij signature gebaseerde applicaties moet je voor een kleine wijziging weer een nieuwe signature maken.

Per verzendend IP-adres en soort bericht laten wij een vijftigtal berekeningen los. Is er bijvoorbeeld een bepaalde zendergroep die dit soort berichten verstuurd, wanneer doen ze dit etc, waarmee we ook patronen kunnen herkennen. Als je een x-aantal machines hebt die wij herkennen als onderdeel van een zombienetwerk en het soort mailtags die daar gegeneerd worden herkennen, dan kunnen we eerder ingrijpen als een deel van dat netwerk weer spam gaat versturen. Soms staan zombies wekenlang niets te doen om detectie te voorkomen, en worden ze plots actief. Als je het patroon dan herkent en een deel gaat weer spammen, dan kun je er bijna zeker van zijn dat ook de andere zombies weer actief worden.

Is whitelisting dan geen oplossing?
Whitelisting zie ik als een reactie ergens op. Een van de redenen dat whitelisting zo goed werkt en nodig is, komt omdat er zoveel mailservers zijn die geen senderID of SPF gebruiken, zodat spammers hun e-mailadres kunnen spoofen. Whitelisting op basis van e-mailadres werkt dan ook niet meer, en die berichten komen er dan ook door. Ik zie whitelisting meer als gevolg van de slechte implemenatie van de al mailservers die er zijn, dan als de manier om het op te lossen.

Wat als mensen geen gespamvertisede produkten meer kopen?
Je moet je dan afvragen wat dan daadwerkelijk spam is, er hoeft maar 1 marketingbedrijf te zijn dat niet de regels opvolgt dan ga je toch weer ongewenste e-mail krijgen, alleen is het dan iets legaler dan bulkmail die viagra verkoopt. Er zijn genoeg organisaties die zien dat mailings een goede manier zijn om bepaalde doelgroepen te bereiken, het is een goedkope manier. Je krijgt dan toch weer mail die als spam beschouwd wordt.

Worden de kosten van spam niet overtrokken?
Alles in de IT wordt opgeklopt, het is een groot probleem en afhankelijk van de organisastie waar je mee praat. Hoe kijken ze naar hun netwerken en wat is er echt nodig. Kijk bijvoorbeeld naar de grotere ISPs. Regelgeving in heel Europa zorgt ervoor dat het een groter probleem wordt dan het moet zijn. Want er zijn, afhankelijk van het land waar je zit, regels die zeggen dat alle e-mail die je accepteert moet worden opgeslagen. Zelfs als het spam is. Als jij de spam accepteert voor een van jouw klanten, mag je hem niet meer verwijderen zonder consensus van de verstuurder. De overheden zorgen ervoor dat het probleem nog groter wordt dan het nu is, en dat is goed voor ons, maar is het niet alleen markting, zeker als je ziet dat 80 - 90 % van de berichten spam is. Wij houden 60 - 80% van de email puur op basis van reputatie tegen.

Hoe bewaak je de privacy van een gebruiker als je zijn e-mail scant?
Content scannen wordt gedaan door de machine van de gebruiker zelf. Daar hebben wij geen toegang toe, dus in tegenstelling tot een aantal van onze concurrenten is het niet zo dat wij kopieen van de e-mail maken, de enige informatie waar wij geinteresseerd in zijn, zijn de fingerprints. Bedrijven kunnen naast de standaard dictionaries hun eigen woordenset maken waarop gefilterd moet worden. Elke branch heeft weer zijn eigen eisen en via de appliance kan dan bepaald worden wat ermee gebeurt.

Elk bedrijf heeft eigen policies waar ze mee te maken krijgen en dat moet apart ingesteld worden. Natuurlijk heb je bepaalde wetgeving, bijvoorbeeld als ze met Amerikaanse bedrijven samenwerken, heb je te maken met SOX. Daarvoor zijn standaard rapportages aanwezig.

Nieuwe trend, beveiligingslekken in beveiligingssoftware?
Kun je hierdoor zeggen dat beveiligingssoftware een extra risico met zich meebrengt? Elke extra applicatie en hardware kan natuurlijk niet hardened genoeg zijn of een lek bevatten en kan een extern risico met zich meebrengen. Onze appliances zijn hardenend genoeg. Er zit geen enkele service op die wij niet gebruiken. Om het veilig te maken moet er veel uit gehaald worden, wat vaak nog eens vergeten wordt. Onze appliances zijn gebaseerd op een BSD-achtig besturingssysteem, maar daar is alles uitgehaald wat wij nodig achten.

Bedrijven investeren alleen in technische oplossingen, maar vergeten gebruikers, moet daar niet de nadruk op liggen?
Dat zou wel belangrijker moeten worden, waar je ook naar kijkt, de bescherming van je bedrijf, valt gedeeltelijk met hardware op te lossen. In je netwerk kun je van alles in zetten om lekkages van binnenuit en aanvallen tegen te gaan, maar het staat en valt hoe je mensen hiermee omgaan. Als je je medewerkers niet uitlegt dat ze dingen niet naar buiten mogen sturen of gevaarlijk zijn als ze die openen, ga je meemaken dat ze dat wel doen of informatie uitlekken, dat hou je met hardware en software niet tegen.

Op het moment dat je een policy opstelt hou je rekening met de situatie van dat moment, maar een half jaar later kan dat alweer zijn veranderd en zitten mensen weer op andere plaatsen. Maar dat komt men pas achter als er iets is misgegaan.

Phishing ook een Nederlands gevaar?
Men ziet phishing niet als gevaar, maar dat is weer afhankelijk van wat voor websites en services je gebruikt, iets wat volgens ons regelmatig in Nederland voorkomt, denk bijvoorbeeld aan de Postbank.

Denken jullie dat dit in de toekomst gaat komen? Phishing en spam is niet alleen taal gebaseerd, wij zijn een kleinere markt, voor een phishing groep in Nederland of op een moment dat goede phishing doelwitten gevonden worden, is er nog steeds veel geld te halen. In amerika is men in het gebruik van online zaken veel gemakkelijker dan in Nederland.

Twee-factor een oplossing voor phishing? De beveiliging in Amerika is vaak ook twee-factor en toch heb je nog steeds phishing aanvallen, spoofed DNS aanvallen, waarbij informatie weer naar de echte website gestuurd worden (man in the middle aanvallen). Het rendement voor Nederlandse phishers is nu nog te laag, het risico is nog te groot. Verwacht zeker dat het in Nederland gaat komen. Je ziet een groei van online bankieren en webshopping.

Wat voor problemen zien jullie nog meer op het gebied van e-maildreigingen?
Het grootste probleem is image spam. 80% van alle spam mail bestaat alleen uit tekst, maar inmiddels is al 30% plaatjes spam, dat is het gros van onngewenste e-mail. Phishing zien we ook een gestage groei, zoals fraudulente URLs die we tegenhouden. Het misbruiken van gehackte machines is redelijk constant, maar is ook nog steeds een groot probleem.

De image spam werkt goed genoeg voor veel spammers en er zijn genoeg spammers die daar nog geen gebruik van maken en we verwachten nog veel meer plaatjes spam in de toekomst. Hoe beter anti-spam oplossingen bij het identificeren van tekst worden, des te harder spammers naar andere manieren op zoek moeten.

Diederik Schouten, Sales Engineer CipherTrust.

Reacties (3)
23-08-2006, 14:47 door Anoniem
Tjemie wat een verhaal,

Als je dan toch aan de gebruikers kant lokaal mailtjes laat
scannen neem dan gewoon Thunderbird als email client.

Het spamfilter van Thunderbird is zelf lerend en weet er na
verloop van tijd 99% van alle spam uit te filteren... ook de
plaatjes spam.

en het kost helemaal niets.
23-08-2006, 20:50 door Anoniem
Door Anoniem
Tjemie wat een verhaal,

Als je dan toch aan de gebruikers kant lokaal mailtjes laat
scannen neem dan gewoon Thunderbird als email client.

en het kost helemaal niets.


Het scannen van SPAM moet je niet op inhoud doen met ene
client zoals Thunderbird.. Dat is erg reactief en nauwelijks
schaalbaar buiten een enkele gebruiker. De aanpak van de
Ironport / Cyphertrust / Microsoft (Exchange 2003 om op
connectie level naar berichten te kijken en SPAM te blokeren
op basis van signatures is de enige juiste.

Belangrijke voordelen buiten de ergenis voor de gebruiker:
1) De spam gaat niet over het netwerk. Zeker belangrijk voor
bedrijven waar 80% van de email SPAM is.
2) Geen problemen dat de SPAM op het systeem behoeft te
opgeslagen omdat de regelgeving dit eist.
3) virussen kunnen al op basis van de sender reputatie bij
de connectie worden geweigerd. Er hoeft geen scanner aan te
pas te komen
4) scannen op basis van content zuigt behoorlijk in een
omgeving waar meer dan 1 taal wordt geschreven
5) Een gebruiker wil helemaal zijn thunderbird niet trainen.
Hij wil zijn email lezen voor met de minste inspanning

Jan J
24-08-2006, 17:02 door konijntje
Ik lees vaak over blacklisting, whitelisting leuke handmatige/semi
geautomatiseerde oplossingen. Iemand hier die greylisting gebruikt en
hoe zijn de ervaringen daarmee?

Is er al een voorkeur gekozen voor SPF of SenderID of moet ik ze beiden
maar gaan implementeren?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.