Rozw贸j spamu
Spam (nieoczekiwane, masowo rozsy艂ane za po艣rednictwem poczty elektronicznej materia艂y reklamowe) po raz pierwszy pojawi艂 si臋 w po艂owie lat 90., kiedy to z poczty elektronicznej korzysta艂a tak du偶a liczba u偶ytkownik贸w, 偶e ta forma reklamy mog艂a sta膰 si臋 op艂acalna. Spam ur贸s艂 do rozmiaru problemu ju偶 w roku 1997 i w tym samym czasie pojawi艂a si臋 pierwsza lista RBL (Real-Time Black List).
W 艣lad za pojawieniem si臋 coraz lepszych filtr贸w ewoluowa艂y techniki spamerskie. Jak tylko producenci zabezpiecze艅 komputerowych opracowali skuteczne filtry, spamerzy zmienili stosowane taktyki. Powsta艂o b艂臋dne ko艂o: spamerzy inwestuj膮 zyski w rozw贸j nowych technik pozwalaj膮cych na omini臋cie filtr贸w spamowych. Sytuacja wymyka si臋 spod kontroli.
Bezpo艣rednie wysy艂anie wiadomo艣ci
Pocz膮tkowo spam wysy艂any by艂 bezpo艣rednio do u偶ytkownik贸w. Spamerzy w艂a艣ciwie nie potrzebowali ukrywa膰 informacji o nadawcy. Wczesny spam by艂 艂atwy do zablokowania: wystarczy艂o doda膰 do czarnej listy okre艣lone adresy e-mail lub IP. W odpowiedzi na to spamerzy zacz臋li wy艂udza膰 adresy nadawc贸w i fa艂szowa膰 inne informacje techniczne.
Serwery Open Relay
W po艂owie lat 90. dominowa艂y srwery open relay - ka偶dy serwer m贸g艂 wys艂a膰 wiadomo艣膰 e-mail do ka偶dego odbiorcy. Spam i inne kwestie bezpiecze艅stwa sk艂oni艂y administrator贸w do rekonfiguracji serwer贸w pocztowych na ca艂ym 艣wiecie. Jednak偶e, proces ten post臋powa艂 stosunkowo wolno i nie wszyscy w艂a艣ciciele serwer贸w poczty oraz administratorzy chcieli wsp贸艂pracowa膰. Po pewnym czasie analitycy bezpiecze艅stwa zacz臋li skanowanie w poszukiwaniu pozosta艂ych otwartych serwer贸w pocztowych. Udost臋pniono list臋 NDS RBL, co umo偶liwi艂o administratorom 艣wiadomym problem贸w bezpiecze艅stwa zablokowanie poczty przychodz膮cej z umieszczonych na li艣cie serwer贸w. Serwery open relay wci膮偶 s膮 stosowane do masowego rozsy艂ania poczty.
Modem Pool
Jak tylko wysy艂anie spamu za pomoc膮 serwer贸w open relay sta艂o si臋 mniej skuteczne, spamerzy zacz臋li wykorzystywa膰 po艂膮czenia telefoniczne. Wykorzystywali oni s艂abo艣ci w strukturze po艂膮cze艅 telefonicznych dostawc贸w us艂ug internetowych:
- Serwery pocztowe dostawc贸w us艂ug internetowych przesy艂aj膮 z regu艂y poczt臋 przychodz膮c膮 od klient贸w.
- Po艂膮czenia telefoniczne obs艂ugiwane s膮 przez dynamiczne adresy IP. Spamerzy mog膮 zatem u偶y膰 nowego adresu IP w ka偶dej sesji masowego rozsy艂ania wiadomo艣ci.
Serwery proxy
W nowym stuleciu spamerzy zacz臋li u偶ywa膰 szybkich 艂膮czy internetowych oraz wykorzystywa膰 luki w sprz臋cie. Dzi臋ki po艂膮czeniom kablowym i ADSL spamerzy mogli tanio i szybko masowo rozsy艂a膰 wiadomo艣ci e-mail. Poza tym, spamerzy szybko odkryli, 偶e wiele modem贸w ADSL mia艂o wbudowane serwery socks lub serwery proxy http. S膮 to nieskomplikowane urz膮dzenia s艂u偶膮ce do podzielenia kana艂u internetowego pomi臋dzy wielu u偶ytkownik贸w. Istotn膮 cech膮 tych urz膮dze艅 by艂o to, 偶e ka偶dy m贸g艂 uzyska膰 dost臋p do tych serwer贸w z dowolnego miejsca, poniewa偶 nie posiada艂y one 偶adnego zabezpieczenia. Innymi s艂owy, jaka艣 z艂o艣liwa osoba mog艂a wykorzysta膰 po艂膮czenia ADSL innych os贸b do dowolnych cel贸w, tak偶e rozsy艂ania spamu. Co wi臋cej, wygl膮da艂o na to, 偶e spam zosta艂 rozes艂any z adres贸w IP u偶ytkownik贸w zaatakowanych komputer贸w. Poniewa偶 miliony u偶ytkownik贸w na ca艂ym 艣wiecie posiada艂o te 艂膮cza, spamerzy zebrali ogromne plony, zanim producenci sprz臋tu komputerowego zacz臋li stosowa膰 zabezpieczenia w sprz臋cie.
Maszyny zombie lub sieci zainfekowanych komputer贸w (botnety)
W 2003 i 2004 roku spamerzy wysy艂ali wi臋kszo艣膰 wiadomo艣ci z komputer贸w nale偶膮cych do niczego niepodejrzewaj膮cych u偶ytkownik贸w. Spamerzy u偶ywaj膮 z艂o艣liwych program贸w do instalowania trojan贸w na komputerach innych u偶ytkownik贸w, dzi臋ki czemu mog膮 je zdalnie wykorzystywa膰 do w艂asnych cel贸w. Do przenikania komputer贸w ofiar stosowane s膮 nast臋puj膮ce metody:
- Konie troja艅skie typu Trojan-Downloader i Trojan-Dropper umieszczane w pirackim oprogramowaniu rozpowszechnianym poprzez sieci wymiany plik贸w P2P (KaZaA, eDonkey itp.).
- Wykorzystywanie luk w systemach MS Windows oraz popularnych aplikacjach, takich jak IE oraz Outlook.
- Robaki pocztowe.
Analiza zawarto艣ci
Wiele filtr贸w spamu dzia艂a na zasadzie analizy zawarto艣ci wiadomo艣ci: tematu, tre艣ci i za艂膮cznik贸w. Obecnie spamerzy znacznie zwi臋kszyli zasoby przeznaczone na opracowywanie zawarto艣ci wiadomo艣ci, kt贸re nie zostan膮 wykryte przez filtry.
Prosty tekst i HTML
Pierwsze wiadomo艣ci typu spam by艂y jednolite: wszyscy odbiorcy otrzymywali wiadomo艣ci o identycznej tre艣ci. Ze wzgl臋du na ilo艣膰 takiego samego tekstu wiadomo艣ci te by艂y 艣miesznie 艂atwe do wy艂owienia.
Personalizacja poczty
Spamerzy zacz臋li nast臋pnie dodawa膰 do wiadomo艣ci pozdrowienia w zale偶no艣ci od adresu odbiorcy. Poniewa偶 ka偶da wiadomo艣膰 zawiera艂a teraz pozdrowienie kierowane do konkretnej osoby, filtry blokuj膮ce identyczne wiadomo艣ci nie wykrywa艂y tego rodzaju spamu. Eksperci z dziedziny bezpiecze艅stwa opracowali filtry identyfikuj膮ce niezmienne wiersze tekstu, kt贸re zosta艂y p贸藕niej dodane do regu艂 filtrowania. Dopracowano r贸wnie偶 niepe艂ne dopasowywanie sygnatur, kt贸re wykrywa艂o tekst z niewielkimi zmianami oraz oparte na analizie statystycznej technologie samomdyfikuj膮cego filtrownia takie jak filtry Bayesa.
Losowe ci膮gi tekstu oraz tekst niewidoczny
Aby obecnie omin膮膰 filtry zawarto艣ci spamerzy cz臋sto umieszczaj膮 ci膮gi tekstu z legalnej korespondencji handlowej lub losowe ci膮gi tekstu na pocz膮tku lub ko艅cu wiadomo艣ci e-mail. Inn膮 metod膮 stosowan膮 w celu unikni臋cia filtr贸w jest umieszczenie niewidocznego tekstu w wiadomo艣ciach utworzonych w formacie HTML: tekst jest zbyt ma艂y, aby go zobaczy膰, lub kolor czcionki zlewa si臋 z t艂em.
Obie metody s膮 do艣膰 skuteczne w obchodzeniu filtr贸w zawarto艣ci i filtr贸w opartych na analizie statystycznej. Analitycy zareagowali opracowuj膮c nowe rozwi膮zanie: wyszukiwarki, kt贸re skanowa艂y wiadomo艣ci w poszukiwaniu opisanych wy偶ej tekst贸w, przeprowadza艂y szczeg贸艂ow膮 analiz臋 HTML oraz wyszukan膮 analiz臋 zawarto艣ci. Wiele rozwi膮za艅 antyspamowych by艂o w stanie wykrywa膰 te nowe metody spamer贸w analizuj膮c jedynie szczeg贸艂owo zawarto艣膰 poszczeg贸lnych wiadomo艣ci e-mail.
Grafika
Rozsy艂anie spamu w formacie graficznym znacznie utrudnia wykrycie go. Analitycy rozwijaj膮 metody wy艂aniania i analizowania tekstu zawartego w plikach graficznych.
Parafrazowanie tekstu
Jeden tekst reklamowy mo偶e by膰 napisany na niesko艅czenie wiele sposob贸w. Dzi臋ki temu ka偶da wiadomo艣膰 wydaje si臋 by膰 legalnym e-mailem. W rezultacie, filtry antyspamowe musz膮 by膰 skonfigurowane przy u偶yciu ogromnej liczby pr贸bek, zanim wiadomo艣ci takie zostan膮 wykryte s膮 jako spam.
Obecnie, spamerzy zazwyczaj stosuj膮 trzy ostatnie metody w r贸偶nych kombinacjach. Wiele rozwi膮za艅 antyspamowych nie potrafi wykrywa膰 wszystkich trzech mechanizm贸w. Jak d艂ugo rozsy艂anie spamu b臋dzie przynosi膰 zysk, tak d艂ugo skrzynki u偶ytkownik贸w posiadaj膮cych oprogramowanie s艂abej jako艣ci zapchane b臋d膮 reklamami.