image

"Spammers zullen oorlog verliezen"

vrijdag 22 juni 2007, 16:34 door Redactie, 8 reacties

Ondanks alle technische vooruitgang heeft de beveiligingsindustrie nog geen passend antwoord op het spamprobleem. Zal e-mail ooit weer de oude worden, in hoeverre helpt het arresteren van spammers en wat als het spamprobleem is opgelost? Wij vroegen het Harm Jan Arendshorst, directeur Fortinet Benelux.

Onlangs werd bekend dat spammers in de nieuwe generatie plaatjes spam linken naar bekende plaatjes sites. Het gaat misschien wat te ver om linkjes naar dit soort sites meteen te blokkeren, maar hoe kunnen spambestrijders hiermee omgaan?

Arendshorst: De Spam/Antispam-oorlog is een wapenwedloop waarin de Antispam-leveranciers altijd in het nadeel waren. Ontwikkelingen op het gebied van image spam laten echter zien dat spammers door hun munitie heen raken. We zijn op het niveau gekomen dat spammers de semantische inhoud van hun bulk emails zo moeten verhullen dat deze bijna niet meer te begrijpen valt. Dat maakt dergelijke spamberichten voor de gemiddelde gebruiker op zijn minst verdacht.

Om beter te begrijpen wat de huidige situatie is en wat de toekomst misschien brengen gaat is het nuttig even terug te kijken:

  • Image spam steekt de kop op
  • AntiSpam-vendors reageren door emails te blokkeren op basis van de checksum van het plaatje. Dit is een voor elk plaatje uniek getal dat wordt berekend door alle bytes waaruit het image bestaat op een bepaalde manier op te tellen.
  • Spammers ontwikkelen distributietools die elke keer dat het bericht wordt verzonden een of twee pixels in het spam image veranderen. Daarmee creëren ze voor elk afzonderlijk plaatje een nieuwe checksum terwijl de semantische inhoud ongewijzigd blijft.
  • AntiSpam-vendors reageren door content analyse van de plaatjes uit te voeren: door het berekenen van de mate van entropie en door diverse statistische algoritmen toe te passen zijn ze in staat te bepalen of een image tekst bevat.
  • Spammers op hun beurt beginnen met het vervormen van spam images en het toevoegen van zware ‘ruis’. Het effect is tweeledig: filters die zijn gebaseerd op entropie en statistische analyse worden weliswaar omzeild, maar de plaatjes zijn bijna niet meer te begrijpen. Ze worden om die reden hoogstwaarschijnlijk door de ontvangers van de spam als verdacht aangemerkt.
Deze wapenwedloop laat zien dat security experts altijd in het defensief zijn gedwongen en genoodzaakt zijn geweest een reactieve in plaats van een pro-actieve rol te spelen. Toch ligt het in de lijn der verwachtingen dat spammers terrein gaan verliezen met hun respons op de blokkades van security leveranciers. Het vervormen van images lijkt op een uiterste poging om ontdekking tegen te gaan.
Natuurlijk zouden de ontwikkelingen een nieuwe richting kunnen inslaan met voorbijgaan aan zuiver op beeld gebaseerde spam. De bewapeningswedloop zal dan voortgaan…

De arrestatie van spamkoning Robert Soloway heeft geen enkele invloed op de hoeveelheid spam gehad. Hoeveel zin heeft het om tijd en moeite in het vervolgen van grote spammers te steken?

Arendshorst: Om cyber-crime efficiënt te bestrijden moeten de internationale digitale wetgeving en van de grensoverschrijdende coördinatie van de wetshandhaving worden versterkt. Pas kort geleden is er wetgeving tot stand gekomen in de Westerse landen. Andere regio’s zijn nog niet zover. Pas als het zover is zijn we in staat cyber criminals effectief op te sporen. Ondertussen denk ik dat meer symbolische arrestaties als die van Soloway ertoe kunnen leiden dat sommige cybermisdadigers wel tweemaal zullen nadenken voordat ze doorgaan met hun praktijken.

Kunnen spambestrijders nog wel zonder spam. Inmiddels zijn er tal van bedrijven afhankelijk van het bestaan van spam, maar als spam er straks niet meer is, dan zitten die zonder werk. Een lastig dilemma, toch?

Arendshorst: Ik ben daar niet ongerust over. Zoals ik eerder heb betoogd is de evolutie van de informatiebeveiliging echt een wapenwedloop tussen hackers, crackers, virusschrijvers en security leveranciers. De ontwikkeling gedurende de laatste paar jaar van blended threats - Trojans met ingebedde spam engines, of virussen met spyware aan boord - heeft de strijd verder geïntensiveerd. Wat wij in gedachten moeten houden is dat cybercrime een beroep, een bedrijfsmodel is geworden. Hackers worden niet meer gedreven door de zucht naar aanzien; het gaat nu alleen nog maar over geld. In deze context zal cybercrime in een buitensporig hoog tempo doorgroeien. Daarom bestaat er maar een kleine kans dat security technologie overbodig zal worden.

Wat verwacht Fortinet in de toekomst op het gebied van spam en spambestrijding?

Arendshorst: Ik verwacht dat spammers te zijner tijd terrein zullen verliezen bij hun pogingen te reageren op de blokkade pogingen van de security vendors. Zoals ik eerder al zei hebben spammers met succes de inhoud van images vermomd om machines op een dwaalspoor te brengen, maar daarmee hebben ze de semantische inhoud zo aangetast dat deze voor het menselijk brein niet meer te begrijpen is. In wezen heeft de spammer de menselijke reactie op zo’n plaatje onderschat of vergeten.

En het zal alleen maar moeilijker worden voor spammers wanneer we geavanceerde Kunstmatige Intelligentie in stelling gaan brengen om de semantische content uit beelden te destilleren in plaats van vast te houden aan statistische analyse zoals nu nog gebeurt.


De technologie bestaat al; algoritmen voor character recognition zijn niets nieuws. Kijk voor een eenvoudig bewijs alleen maar naar hoe CAPTCHA-teksten worden vervormd om automatische herkenning te vermijden. Het is hoofdzakelijk een kwestie van computing power. Dit betekent echter niet dat de spam-ellende zal verdwijnen. Kunstmatige Intelligentie heeft niet alle antwoorden: om te beginnen zal er altijd een bepaalde hoeveelheid aan false positives blijven optreden. Hoe weinig ook, dit dwingt de zorgvuldige gebruikers zijn spambox te blijven controleren op belangrijke berichten.
Reacties (8)
22-06-2007, 20:16 door spatieman
ik denk dat de konsument de verliezer zal zijn.
persoonlijk denk ik dat er maar een remedie is.

het versturende adres blokeren, en de isp op de vingers tikken.
het zogenaamd sluiten van poort 25 bij de konsument bied
geen soelas zoals is gebleken.

veel isp's hebben hun eigen mail server niets eens in orde.
ik blijf bij mijn vorig standpunt.

buiten POP3 authentificatie.
ook SMTP authentificatie.

de meeste spambots kunnen nu via geinfectuurde machines spam
versturen omdat de ze de smtp engine aangepast hebben op de
spambot machine.

als men SMTP auth toe zou passen, zou een botnet in een klap
minder interesant worden, want de mail kan niet worden
verstuurd.
23-06-2007, 12:26 door Anoniem
Door spatieman
ik blijf bij mijn vorig standpunt.

buiten POP3 authentificatie.
ook SMTP authentificatie.

de meeste spambots kunnen nu via geinfectuurde machines spam
versturen omdat de ze de smtp engine aangepast hebben op de
spambot machine.

als men SMTP auth toe zou passen, zou een botnet in een klap
minder interesant worden, want de mail kan niet worden
verstuurd.

Ik ben het met je eens dat SMTP authenticatie absoluut noodzakelijk is. De
meeste ISP's blokkeren domweg op basis van IP adres.

Maar dat zal niet de doodsklap voor spam vormen, spammers kunnen het
user-id en wachtwoord opvangen. Het kost wat moeite in het begin, maar
moeilijk is het niet.

Daarom moet de authenticatie zelf ook worden versleuteld. Geen clear text
user id's en wachtwoorden over de lijn.
23-06-2007, 23:32 door Anoniem
Door Anoniem
Ik ben het met je eens dat SMTP authenticatie absoluut
noodzakelijk is. De
meeste ISP's blokkeren domweg op basis van IP adres.

Maar dat zal niet de doodsklap voor spam vormen, spammers
kunnen het
user-id en wachtwoord opvangen. Het kost wat moeite in het
begin, maar
moeilijk is het niet.

Waarmee een bot dus in ieder geval verplicht is om zich bij
het versturen van spam te binden aan het e-mail adres van de
eigenaar van de geinfecteerde systeem. Met als gevolg dat de
accountability op de juiste plaats licht, namelijk bij de
eigenaar van het geinfecteerde systeem, die vervolgens
terecht in blacklists kan worden opgenomen.
Maar met auth-smtp ben je er nog niet zolang de smtp server niet
op de een of andere manier aan DNS-SEC gekoppeld word.


Daarom moet de authenticatie zelf ook worden versleuteld.
Geen clear text user id's en wachtwoorden over de lijn.

We hebben het over geinfecteerde systemen, 'de lijn' is dus
helemaal niet ter zaken doende, en bovenstaande biedt in dit
geval dan ook geen enkele extra veiligheid ofzo.

Maar voor de blacklist aanhangers zou een auth-SMTP +
dns-sec + server-based signing oplossing goed moeten kunnen
werken.
Alles bij elkaar nog best complex, maar in verhouding tot de
in het artikel genoemde gebruik van statistische en
linguistische kennis,
lijkt het een eenvoudigere en daarmee waarscheinlijk
fundamentelere oplossing.
24-06-2007, 12:47 door Anoniem
Ik begrijp iets niet.
Niemand doet iets zonder doel. Wat is het doel van Spam? Ik ken niemand
die ooit iets gekocht heeft van wat er in spam wordt aangeboden.
Is het doel van spam-verstuurders echt het verkopen van goederen of
diensten? Of willen ze ons alleen pesten?
25-06-2007, 08:19 door Anoniem
Door Anoniem
Ik begrijp iets niet.
Niemand doet iets zonder doel. Wat is het doel van Spam? Ik
ken niemand
die ooit iets gekocht heeft van wat er in spam wordt aangeboden.
Is het doel van spam-verstuurders echt het verkopen van
goederen of
diensten? Of willen ze ons alleen pesten?
Het feit dat jij niemand kent die iets via spam heeft
gekocht, wil niet zeggen dat spam niet effectief is. Stel:
Je verstuurt 1 miljoen spamberichten, en 0,1% reageert. Dat
zijn dan toch 1000 mensen die iets kopen. Kosten: nagenoeg
0, opbrengst dus maximaal.

Maar alle serverbeheerders zouden betere
anti-spammaatregelen moeten nemen, zoals het implementeren
van filters, maar ook gebruik maken van grey-listing. Daar
wordt alle e-mail verkeer in eerste instantie geblokkeerd.
Botnets en virussen bieden e-mail geen tweede keer aan, dus
dat scheelt al héél veel virussen en spam (hebben we hier
gemerkt).
Maar ook het goed inrichten van de mailservers, MX records
up-to-date houden zodat name-resolving werkt kan al heel
veel bijdragen aan het verminderen van spam.

Maar ondanks de optimistische geluiden van deze Arendshorst
betwijfel ik of het spamprobleem ooit structureel opgelost
kan worden zonder ingrijpende maatregelen op het smtp-protocol.
25-06-2007, 23:01 door Anoniem
@ Anoniem op maandag 25 juni 2007 08:19:

Mooi he, de ene ISP stelt dat zij 'Hackers' (goed of kwaad
doet er niet toe) actief bestrijden en de andere ISP neemt
ze juist in dienst. Die laatste ISP heeft over het algemeen
zijn/haar zaakjes behoorlijk goed op orde (ook Hackers zijn
mensen en mensen maken nu eenmaal fouten) waardoor de
klanttevredenheid hoger is dan bij andere ISP's die
'Hackers' actief bestrijden.

Het is nu eenmaal een gegeven dat Spammers en Hackers
volgens het brede publiek er beiden criminele en overlast
veroorzakende activiteiten op na houden. Dit staat ver van
de werkelijkheid.
Het is vaak de 'Hacker' in dienst van een ISP die de
klanttevredenheid doet toenemen omdat zij bekend zijn met
het probleem, de bronnen weten te vinden die kunnen
bijdragen om de overlast van Spammers op te kunnen lossen.

Als Spammers Crackers (Criminele Hacker = Cracker) zouden
zijn waarom bestaat er dan handel in emailadressen en botnets..?
Ik kan zo een aantal serverparken aanwijzen die
verantwoordelijk zijn voor het oogsten van emailadressen en
botnets worden aangestuurd.

Stelling: Een Tweaker is GEEN Hacker maar een Hacker is WEL
een Tweaker...
28-06-2007, 17:26 door Anoniem
spammers oppakken helpt niet. er is teveel geld mee te verdienen en het
is te gemakkelijk. face it, SMTP is al 30 jaar geleden verouderd. niemand
interesseert het, omdat niemand het interesseert.. het werkt, soms, en
mensen verdienen geld om het te fixen, en mensen verdienen geld om het
zo te laten. geen hond die er dus wat aan gaan doen, als consumenten
niet harder gaan piepen. microsoft's exchange server was tot 2000 default
open relay, dat zegt eigenlijk wel genoeg.
30-06-2007, 09:14 door Anoniem
via
[url=http://www.spamvrij.nl/faqomat/fom.php?page=faq-001&pagemode=qa]deze
[/url] pagina wordt het begrip duidelijk uitgelegd,ik zelf
zou het niet beter uit kunnen leggen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.