Az újabb típusok megismerése, példák megtekintése előtt érdemes tanulmányozni az alábbi idézetet:
„Megfigyelhetjük, hogy az SMTP beszélgetés elején a két partner kölcsönösen "bemutatkozik. Tudnunk kell azonban, hogy a hívó domain neve a "HELO" üzenetben hazugság is lehet. Ezért - különösen a spam ellen felvértezett - levelező szerverek nem a bemutatkozó nevének, hanem az IP címe alapján kapott névnek "hisznek.”
„Figyeljük meg a "MAIL FROM:" és a "RCPT TO:" protokollelemeket. Ezek az elektronikus boríték "feladó" illetve "címzett" elemei. Az SMTP szabvány megengedi, hogy a "RCPT TO:" ne csak olyan címet tartalmazzon, ami a felhívott levelezőgép domain-jába tartozik, hanem lehet tetszőleges cím.”
„A hívott levelezőgép aztán a saját konfigurációjának megfelelően továbbítja az ilyen címekre is a levelet. Fontos tulajdonsága még a "RCPT TO:" elemnek, hogy elvben akárhány lehet belőle. Ezekkel a tulajdonságokkal élnek vissza a spam-küldők.”
„Legtöbbször nem a saját gépeiket használják a levelek szétküldésére, hanem ugródeszkaként óvatlan rendszergazdák által karbantartott gépeket használnak, amik a spam-áradat előtti időknek megfelelően vannak konfigurálva, és nyílt levelezési átjáróként (open mail relay) hajlandók működni.”
„Az ilyen nyílt relék ön- és közveszélyes eszközök: a spam-küldők teljesen lebéníthatják a levelező szerver, a környező hálózat működését, és a szerveren keresztül más gépek és felhasználók ezreit bombázzák küldeményeikkel.”
„A borítékon szereplő feladó, a "MAIL FROM:" elem rendszerint nem látszik a címzett levelezőprogramjából. A levelezőprogram már csak az SMTP beszélgetésben a DATA elemmel továbbított részt, magát a levelet mutatja a felhasználónak. Ez két fő részből áll: fejből és törzsből. A fejet a törzstől egy üres sor választja el. A fejrész szerkezetét az RFC822 szabvány írja le.” [CERT]
Az egyik példa inkább UCE: Unsolicited Commercial Email (kéretlen üzleti levél)
Az előbb idézett szempontok szerint érdemes tanulmányozni a levélfejrészt,
kiválóan látható, amikor a „spam-szűrőt” semlegesíti a feladó: Received: from adsl-216-100-228-209.dsl.snfc21.pacbell.net (msn.com) [216.100.228.209]
by torogzultan.tolna.net with smtp (Exim 3.35 #1 (Debian))
for
nid 18uMTv-00013L-00; Sun, 16 Mar 2003 01:58:37 +0100
Message-ID: <9cbd5bee6fee$08ecd8d4$bbb6b987@knuaue.q>
From:
To: pappgeza@tolna.net
Subject: make it thicker - 100% natural
Date: Sun, 16 Mar 2003 03:43:25 -0900
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_5F2_6022_1F11BB50.20D094C5"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-RBL-Warning: (list.dsbl.org) http://dsbl.org/listing?ip=216.100.228.209
X-RBL-Warning: (bl.spamcop.net) Blocked - see http://spamcop.net/bl.shtml?216.100.228.209
X-RBL-Warning: (relays.osirusoft.com) (2003/03/10) Open Proxy: http(8080)
X-Scanner: exiscan*18uMTv-00013L-00*hDVIOjZxGPU* http://duncanthrax.net/exiscan/
X-Spam-Alert:spam@tolna.net
X-UIDL:\r\nI8S"!;&j"!IQ\'!!N,/!!
------=_NextPart_5F2_6022_1F11BB50.20D094C5
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding:\r\n8bit
------=_NextPart_5F2_6022_1F11BB50.20D094C5
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding:base64
PGh0bWw+DQo8Ym9keSB0ZXh0PSIjMDAwMDAwIiIiBsaW5rPSIjRkYwM….
hMC02NThZR2dkMTY2NlVsNjk8L2ZvbnQ+DQo8L2JvZHk+DQo8L2h0bWw+
------=_NextPart_5F2_6022_1F11BB50.20D094C5-
Szöveg:
TEDD BOLDOGGÁ SZERETŐDET
LEGYEN FÉRFIASSÁGOD NAGYOBB, JOBB, MINT BÁRMIKOR VOLT
A „csomagod” általánosságban nagyobb lesz. Hosszabb, szélesebb, vastagabb, mint bármikor volt. Az eredményeinket most még tudományosan nem tudjuk bizonyítani, a\r\nvizsgálatok folyamatban vannak, de nincs jobb bizonyíték annál, amit lát. Nézze meg a képeket.
Nyugtalankodott a korai magömlés miatt? Már nem probléma. Érdekelte, zavarta, hogy nem lesz merevedése, vagy az, hogy rövid ideig fog tartani? Többé ne aggódjon! A termékünket hivatalosan tesztelik, de a gyakorlat azt mutatja, hogy megoldást jelent minden férfi bármilyen elképzelhető közösülési, vagy hímvessző problémájára.
LÁTOGATÁSSA MEG LAPUNKAT, AHOL LÁTHATJA, HOGY AJÁNLATUNK NEM CSUPÁN REKLÁM
*
Ez volt az egyik új, érdekes kéretlen levél típus. Bekapcsolva az összes védelmet a gépemen, pironkodva bár, de megnéztem a lapokat. Én szégyellném, ha az enyém egy igen rosszul tervezett honlaphoz hasonlítana - aminek az alján olvasható a legnagyobb meglepetés: „Ellene vagyunk a spamnek, a forrásunk hiteles, ellenőrizze!” Lehet, hogy disznó vagyok - ellenőriztem volna, „csak a forrás hiányzott”.
Mindez humorosnak tűnik, de egyre több ehhez hasonló, esetleg másról szóló levelet kapunk. Egy a közös bennük, hogy egészségügyi szolgáltatást ajánlanak. Ez lehet a „csodavitamin, a kebelnövesztő vagy éppen a hajnövesztő”. Veszélyük abban rejlik, ha valaki komolyan veszi. Mint orvos kérek Mindenkit, hogy az ilyen reklámokat - mielőtt komolyan venné - ellenőrizze.
Semmit ne rendeljen, semmiben ne bízzon! A levelek ellenőrizhetők - forráskövetéssel, vagy egyszerűen a javasolt honlapok óvatos megnézésével. Kérek Mindenkit, ezt akkor is tegye meg, ha egy általa ismert cég tette az ajánlatot. Megrendel valamit, használja - következményei kiszámíthatatlanok, de azok már nem a nem létező céget, hanem a vásárlót terhelik.
Ezen túl soha nem elég hangsúlyozni más jellegű veszélyüket, ami a hiszékeny olvasó egészségét teheti kockára, „anonim károkozó” miatt elvéve tőle a kártérítési lehetőséget is. Ami sajnos hiszékenysége miatt károsodhat - és kára lehet enyhíthetetlen, helyrehozhatatlan, anyagiakkal pótolhatatlan. Utólagos engedelemükkel az ábrákat mellőztem - az első levél esetében az Önök fantáziájára kell hagyatkoznom - előre jelezve, az ajánlatot nem vettem igénybe:)
Szokatlan módon megjelentek, és elszaporodtak a „No mail !” levelek. Ezek célja csak, és kizárólag a hálózat terhelése, a levelet kapó bosszantása, költségeinek növelése lehet.
A másik, egyre gyakoribb új, egyre jobban terjedő kéretlen levél - a spamek között UBE - nek minősül. Feladója ismeretlen, általában valamelyik ingyenes mail-szolgáltatótól küldi - tehát ellenőrizhetetlen, követhetetlen. Jellemzője a sok címzett - furcsa módon mindegyik címzettjei között szerepel a support@szolgáltató, és a szöveg hiánya - helyette a: No mail! - felirat.
A levelek HTM formátumúak, de semmilyen képet, ábrát nem tartalmaznak. A bal felső sarokban mindig utal egy jelzés az ismeretlen küldőre. Itt is figyelmesen nézve - látható, hogy a spam-szűrőt hogyan „csapja be”.
1.)
Received: from (yahoo.com) [202.107.52.187]
by torogzultan.tolna.net with smtp (Exim 3.35 #1 (Debian))
for (multiple recipients)
id 18uUxt-0000Ek-00; Sun, 16 Mar 2003\r\n11:02:02 +0100
Message-ID: 000110d0bc05$dcc88256$66353658@kcdrxct.ovh
From:
To: intrex@tolna.net, jerlich@tolna.net, khjudit@tolna.net, krz@tolna.net, legato@tolna.net,
,, ,
, ,
,, ,
Subject: mortgage lowest since 1970 247 5981Y-5
Date: Sun, 16 Mar 2003\r\n18:58:03 -0900
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_00E0_33C78D6B.B1762A02"
X-Priority: 3
X-Mailer: Microsoft Outlook\r\nExpress 5.50.4522.1200
\r\nImportance: Normal
X-RBL-Warning:(list.dsbl.org) http://dsbl.org/listing?ip=202.107.52.187
X-RBL-Warning:(bl.spamcop.net) Blocked - see http://spamcop.net/bl.shtml?202.107.52.187
X-RBL-Warning:(relays.osirusoft.com) (2003/03/12) Open Proxy: http(3128)
X-Scanner: exiscan *18uUxt-0000Ek-00*OU.oU.NaDNk* http://duncanthrax.net/exiscan/
X-Spam-Alert: spam@tolna.net
X-UIDL:\r\nIV~!!mT9"!E(I"!~\\$"!
------=_NextPart_000_00E0_33C78D6B.B1762A02
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: base64
TUFUVEhFVw0KPGh0bWw+PGhlYWQ+DQo8dGl0bGU+TmtseXN3eWN4dnV0….
1a29OWmw0MA==
------=_NextPart_000_00E0_33C78D6B.B1762A02-
Természetesen a csak részletében idézett kód nem aláírás, visszafejteni nem lehet.
Látható szöveg:
MATTHEW Nklyswycxvuthivtohbpsfkdjpdtasmebagiwimcpwqra
No mail!
0qakP7dntGG7EtmIrps4m
8854mBcH8-369BKkn3290bvua6-010WJZD6905koNZl40
*
2.)
Received: from (verio.com) [211.248.146.122]
by torogzultan.tolna.net with smtp (Exim 3.35 #1 (Debian))
for (multiple recipients)
id 18uJ4I-0004mj-00; Sat, 15 Mar 2003 22:19:51 +0100
Message-ID:\r\n<001601e3ca48$eed52726$84805020@tcgcylx.cwg>
From: bpoeawib@verio.com
To: info@tolna.net
CC: intrex@tolna.net, jerlich@tolna.net, khjudit@tolna.net, krz@tolna.net, legato@tolna.net,
, ,
Subject: Home Loans & Refinancing at Very Low Rates!
AA 2836SLmD3-9
Date: Sun, 16 Mar 2003\r\n04:12:14 -0700
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_00D6_48A24E0D.C3128C04"
X-Priority: 3
X-Mailer: Microsoft Outlook Express 5.50.4522.1200
Importance: Normal
X-RBL-Warning: (list.dsbl.org) http://dsbl.org/listing?ip=211.248.146.122
X-RBL-Warning: (bl.spamcop.net) Blocked - see http://spamcop.net/bl.shtml?211.248.146.122
X-RBL-Warning: (relays.osirusoft.com) (2003/03/13) Open Proxy: http(8080)
X-Scanner: exiscan*18uJ4I-0004mj-00*FV/.HeeSdsU* http://duncanthrax.net/exiscan/
X-Spam-Alert: spam@tolna.net
X-UIDL: F]:"!mIo"!J9i"!~2b"!
------=_NextPart_000_00D6_48A24E0D.C3128C04
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding:base64
Q0hBU0UNCjxodG1sPjxoZWFkPg0KPHRpdGxlPlZkd3NwYXRrYnJue…
ZGViNC0xNTFsNDQ=
------=_NextPart_000_00D6_48A24E0D.C3128C04-
Látható szöveg:
CHASE Vdwspatkbrnxlvvmfiraopkysnqbsaer
No mail!
n1Pg82F8lfTiXO6RV
0148EcID8-346elql3160WNCi9-710YOBu9309Edeb4-151l44
Spam Zombik
A napokban egy igen érdekes jelenségre lettek a szakemberek figyelmesek. Ezt, a kéretlen levelek küldésének eddig nem alkalmazott és találékony módját „Spam Zombi levelezésnek” mondhatjuk.
A levél elküldésének két nélkülözhetetlen alapfeltétele van: egy levelező program, és egy SMTP server. Ha mindkettő rendelkezésre áll és össze vannak hangolva - mehetnek a levelek. Ha valamelyik hiányzik, akkor a levél elküldése lehetetlen. Egy általam ismeretlen számítógép esetében nem tudhatom, hogy milyen programok futnak rajta. A legegyszerűbb, ha levelek tömegét akarom elküldeni, ha az alapfeltételeket én teremtem meg. Itt felmerülhet egy jogos kérdés: hogyan?
A válasz egyszerűbb, mint amire számítanak. A hálózat, és rendszerbiztonsággal foglalkozók egy része lenézi azokat, akik mindennek a kéretlen levelek mellett a másik alapjával - a vírusokkal foglalkozik. Számomra ez a szemlélet teljes mértékben elfogadhatatlan. A számítógépes kórokozók - melyekről külön cikkben próbálok majd meg némi áttekintést adni - egyes fajtái kiválóan alkalmasak arra, hogy valamilyen úton egy idegen számítógépbe juttatva bevigyék „kis csomagjukat”, ami elegendő ahhoz, hogy a levelek küldésére alkalmas „rendszer” - ha nincs - felépüljön.
A gépbe juttatott kórokozó tehát szükség esetén a levelezést „segíti”, klasszikusan értelmezhető kárt nem okoz. Csak abban az esetben kezd el ténykedni, ha a levélküldés feltételei hiányoznak. Egyébként egy fájlnéven elrejti magát. A gép tulajdonosa nem is gondolhatja, „ki van a gépén”, csak akkor kezd gyanakodni, amikor a gépét levelek ezrei hagyják el. A „rejtőzködő” kórokozó tehát inaktív állapotban olyan, mint egy „tetszhalott”, aki, ha kell „feléled” A hír, amit olvashatnak mintapéldája az emberi találékonyságnak, főleg ha annak a célja az, hogy másnak ártsunk. „Hiába, emberek vagyunk”. A SecurityFocus lapjain találtam a következőket:
Felélednek a Spam Zombik:
Az egyre szigorúbb, és hatékonyabb kéretlen levél (spam) elleni törekvések, azok küldőit egyre inkább a bűnözés felé hajtják. Annak érdekében, hogy eltitkolják az elküldött betegesen nagy levéltömeg forrását, trójai falovakat rejtenek a mit sem sejtő internetezők gépére „spam zombivá” téve azokat. Ezek olyan tömeges, kéretlen levél (spam)-források, melyek a felhasználó tudta nélkül, mint "élő - halott" működnek és ontják az e-maileket.
"Ez a legújabb kézbesítési mód" - mondta Margia Arbon, a MAPS spam-ellenes csoport vezetője. -”Egy évig kerestem sikertelenül, de az elmúlt hónapokban néhány ember talált olyan Trójait, ami ezt csinálja... A saját SMTP motorjukat hordozzák. Ha azzal nem sikerül, felraknak egy nyitott levelező (open proxy) programot."
Az egyik ilyen program a "Proxy-Guzu" nevet kapta. Amikor megkezdi működését, elkezd futni egy ártatlan felhasználó gépén a Trójai program, nekiáll egy véletlenszerűen kiválasztott portot figyelni, és a saját beépített e-mail kliensével elküldi az áldozat IP címét és a nyitott Port helyzetét egy Hotmail-es címre.
A „Proxy-Guzu” - ról két link
http://slashdot.org/articles/03/04/27/1432223.shtml?tid=
http://www.vsantivirus.com/guzu.htm/
Innentől kezdve a „levélőrült”- spammer átveszi az irányítást: annyi e-mailt küld, az áldozat gépén keresztül amennyit csak akar, és így minden erőfeszítés, hogy lekövessék, megkeressék az ily módon rejtve maradt „elkövetőt” hiábavaló, a végállomás a mit sem tudó áldozat gépe lesz.
A Trójai programok eljuttatása a „kiszemelt gépre”, kezelőjük azon képességén múlik, hogy milyen módszerrel tudja rászedni áldozatát a „kedves csomagot” tartalmazó levél átvételére, és a „csomag megnyitására - egyszóval a saját gép megfertőzésére. A Proxy-Guzu általában kéretlen levélen, csatolt adat, fájl formában érkezik a gépre. (Az egyik verzió például egy webkamerán át nézhető "csintalan csúcs"-ot ajánl.) Egy korai áldozat egy anti-virus fórumon elmondta, hogy csak akkor találta meg a „hívatlan vendégét”, a trójait, amikor a tűzfal programja figyelmeztette, hogy hatalmas mennyiségű kimenő e-mail hagyta el a gépét - és mind elküldve különböző ismeretlen címekre ment.
Mint kiderült, a levelek tárgya általában: ”Ne mondd el a szüleidnek" és "A számlád" volt.
Kinyomozhatatlan:
A kéretlen levelek tömegének küldői (spammerek), a trükkjeiket az elektronikus vandáloktól kölcsönzik, akik számítógépes hadseregeket készítenek, amelyek alkalmasak rendszerek elleni túlterheléses (DDoS) támadásokra. A legelső kifejezetten spammelésre használt Trójai a Jeem. Ez teljes elérést biztosít az elkövetőnek, és van benne egy beépített SMTP szerver is. Arbon szerint a spam világ belesodródott a hacker módszerek serdülőkorába, a spammerek minden eredményt kihasználnak, kiélik levelező hajlamukat, mely mindennek mondható, csak egészségesnek nem, azokról a helyekről küldve tömeges leveleiket, melyek száma igaz kevesebb, mint korábban volt, de online működik.
"A szűrőkkel, a listákkal és a heurisztikus módszerekkel, melyeket általában használnak, megvizsgálják, hogy felfedhető-e az ilyen alternatív technikával küldött levél forrása, de lehetetlenség kinyomozni." - mint mondja - "Utálom bevallani, de sajnos ez az igazság."
*
Természetesen ezek a spammerek a törvényellenesek, a „rossz oldalán” állnak. "Egy általános szabály, amit el kell fogadni, hogy nem jogsértő küldeni egy e-mailt valakinek, még akkor sem, ha ő nem akarja" - Mondta Mark Rasch, egy volt ügyvédi iroda erre specializálódott ügyvédje" - De amint betörnek egy számítógépre, és a számítógépet e-mail küldésre használják, akkor már megsértik szövetségi és állami törvényeket."
A leírtak alapján vitatkoznék Mark Rasch ügyvéd úrral, aki csak akkor találja a tömeges leveleket, egyáltalán a kéretlen leveleket büntetendőnek, ha azokat a gépre való betörésre használják. Ezen a kijelentésén el lehet vitázni - fel lehet érvként hozni a szólásszabadságot, az általános szabadságjogokat, stb. az említett levelek írói mellett. Ha ezt az oldalát nézném csak, egyet is értenék - de kérem szépen: nekünk nincs jogunk levéltömeg, zaklatás nélkül, nyugalomban élni?
„Hangoskodó, faragatlan tuskókat az ember nem hív magához vendégségbe. Mégis eljönnek, hisz faragatlanok. De hiába dobáljuk ki őket a kertünkből, át a palánkon, mire a kapuhoz érünk, ismét szembejönnek.”
A példák saját gyűjtéseim (szerző).
Nézzük meg legvégül a „száraz adatokat”:
Az AOL egy nap alatt 2 millió spamet szűr ki - csökkent a felhasználókhoz eljutó spam mennyisége, miután az AOL megduplázta a kiszűrt levelek számát. Az AOL nem oly régen jelentette be, hogy egy nap alatt több mint kétmillió kéretlen kereskedelmi elektronikus levelet blokkol. A legnagyobb internet és e-mail szolgáltató társaságok, csak egy részét képesek feltartóztatni a hullámokban érkező, és a felhasználók postafiókjait elárasztó levéltömegnek.
A közlemény kiadását úgy időzítették, hogy az a Federal Trade Commission első, nyilvános spam elleni konferenciájának szerdai kezdésével azonos időpontban jelenjen meg.
A múlt héten, az AOL a Microsoft és Yahoo! szövetséget kötött azzal a céllal, hogy kivizsgálja a spamek írásának és küldésének körülményeit - amelyek ismerete megkönnyítené a kéretlen levelek elleni harcot. Az AOL és a Microsoft nemrég - egymástól függetlenül - nyújtott be kereseteket egyének és cégek ellen, akik állítólag spamet küldenek tagjaik részére.
A probléma olyan széleskörűvé vált hogy a szövetségi törvényhozók is keresik a spammerek megbüntetésének módját, lehetőségét. Ebben a hónapban néhány amerikai szenátor ismét benyújtotta a CAN-SPAM Act-nak elnevezett törvényt, ezzel is segítve a spammerek által használt hamis, visszatérő email címek ellen egy központi támadás előkészítését. Charles Schumer és a republikánus Zoe Lofgren szenátorok szintén törvényjavaslatot terjesztettek elő a spam elleni küzdelem érdekében.
AOL úgy véli, hogy azzal, hogy 2,37 millió spamet blokkolt egy nap alatt, új mérföldkövet ért el, ami egyértelműen a szűrők technikai fejlődését jelzi. Márciusban még csak mintegy egymillió kéretlen e-mailtől mentették meg felhasználóik postafiókjait. A társaság jelenleg a teljes bejövő internetes e-mail forgalom 70-80 százalékát blokkolja spamként.
Amellett, hogy szigorították a szűrést, az AOL közölte, hogy azért tudnak ilyen hatalmas tömegű levelet megvizsgálni, mert rendszeresen kapnak a felhasználóiktól visszajelzést, ill. mert más ISP-kel együtt dolgozva ki tudják zárni az ismerten spammerek által használt IP-tartományokat. Az AOL bejelentés, azonban semmiképpen nem jelent győzelmet. A spammerek hírhedtek arról, hogy milyen hatékonyan számolják ki leveleik „eredményes”, célzott elküldésének lehetőségeit.
Kérem, nézzék el az aránylag hosszú, esetleg unalmas cikket nekem. Megpróbáltam a legtömörebben összefoglalni azt, ami szinte lehetetlen. Az eredmény olvasásával tiszteltek meg. Nagyon remélem, hogy a cikk elérte azt a célját - a kéretlen levelek témaköre - kis szeletének bemutatásával, hogy ezen túl óvatosabban nyitják meg mail-boxukat, a benne rejlő leveleket, és „ellenállnak azok kísértésének”. Ez saját védelmük, de az Önökkel kapcsolatban állók védelmének is az egyik alapja.
*
Köszönet a CERT - nek, az AOL -nak, az ISZT - nek, a Microsoftnak, számtalan szerzőnek segítségükért, és végül, de nem utolsó sorban Grinnek kiváló, mankóként alkalmazott, hazai viszonyokat elemző írásaiért.A fenti írás nem mai keletű, de nincs egy éves. Azóta a helyzet romlott. Az internet csatornái „koszosabbak lettek”, csaknem oly mértékben, hogy már a hasznos, és értékes küldemények eljuttatása esetenként nehézkes. Az utóbbi időben igen sok spam szűrő program készült - nagy részük ingyenes. A „további szennyezést”, és azt, hogy a „totális eldugulást” megelőzzük, önfegyelem mellett e programokat tudom ajánlani (bármilyen keresővel megkereshetik azokat, ill. portálunkról is több letölthető). Ezzel, - ha jelentős változás nem történik - nem oldjuk meg, de késleltetjük azt az időpontot, amikor már a hasznos küldemények sem érhetnek célba. (csak érintőlegesen említem az igen jelentős, spam által gerjesztett vírusterjedést, veszélyt)
Papp Geza dr
Networksecurity and Virusanalyst