Spamerzy przechytrzają Outlooka 2003

W obliczu rosnącego znaczenia mechanizmów antyspamowych i coraz szerszego ich stosowania, spamerzy kontratakują – przekonstruowują wiadomości tak, aby niemożliwe było ich wykrycie. O ile dla człowieka odróżnienie tradycyjnej wiadomości od spamu nie nastręcza zbyt wielkiego problemu, o tyle dla mechanizmów antyspamowych jest to kwestia w głównej mierze zależna od posiadanych zasobów tzw. słów kluczowych (keywords).

Najnowsza wersja klienta pocztowego Microsoft Outlook 2003 została uzbrojona w filtr Bayesian, który identyfikuje spam skanując słowa użyte w treści wiadomości. W zależności od częstotliwości pojawiania się w treści słów kluczowych, filtr dokonuje kalkulacji prawdopodobieństwa, która ma wskazać, czy dana wiadomość jest spamem, czy też nie. W celu zmylenia tego mechanizmu, spamerzy zaczęli umieszczać na samym dole wiadomości setki słów kluczowych nie powiązanych bezpośrednio ze spamem. Słowa te na pierwszy rzut oka nie są widoczne, bowiem zapisane są małą czcionką, a ponadto w kolorze tła. Ich ilość może spowodować, iż w ostateczności filtr nie zakwalifikuje danej wiadomości jako spam.

Kolejny trick spamerów to zapisywanie wyjątkowo znaczących słów kluczowych w specjalnych znakach charakterystycznych dla obcojęzycznej pisowni, co traktowane jest przez mechanizmy antyspamowe, jako wyraz z takiego języka (przykładowo "enhancer" zapisywane jako "ènháncer").

Znana jest również sztuczka zaszywania w treści wiadomości tagów specyficznych dla języka budowy stron HTML. Ponieważ większość klientów pocztowych dokonuje automatycznego renderingu takich wiadomości, użytkownik nie widzi konkretnych fragmentów kodu, a jedynie wiadomość z przetworzonymi elementami (przykładowo z pogrubionym tekstem). W ostateczności wprowadzony pomiędzy słowa kluczowe fragment kodu HTML skutecznie wprowadza w błąd mechanizmy antyspamowe zaimplementowane w danym oprogramowaniu.

O problemie spamu rozmawialiśmy z Andrzejem Butkiewiczem - Kierownikiem Zespołu Komunikacji IT w portalu Wirtualna Polska: "Problem 'spamu' znany jest od dawna użytkownikom poczty elektronicznej na całym świecie. Walka z tym zjawiskiem jest bardzo trudna gdyż nie ma prostej możliwości na odróżnienie zwykłej korespondencji od korespondencji spamowej. Administratorzy Poczty Wirtualnej Polski stosują kilka poziomów zabezpieczeń. Każdy e-mail adresowany do użytkownika WP zanim dotrze do skrzynki pocztowej poddawany jest serii analiz. Sprawdzamy wiarygodność adresów IP oraz 'from', z których został wysłany. Następnie specjalne oprogramowanie wykorzystujące algorytmy heurystyczne analizuje całą wiadomość w poszukiwaniu cech charakterystycznych dla przesyłek spamowych. Dzięki wykorzystaniu rozproszonych baz danych cech spamu mamy pewność, że wiadomość sklasyfikowana 'przed chwilą' przez inny system pocztowy (np. za granicą) jako spam nie zostanie wpuszczona na konta użytkowników poczty WP."

Swoimi spostrzeżeniami związanymi z 'przechytrzonym' filtrem antyspamowym Oultooka 2003 podzielił się z nami także Jacek Kolonko - zastępca redaktora naczelnego Portalu Użytkowników Windows Server 2003 ( http://www.windows2003.pl ): "Filtr antyspamowy w pakiecie Microsoft Outlook to nowość w wersji 2003. Jego możliwości mogli ocenić już testujący pierwsze wersje beta pakietu Office. Sława filtru opierała się na zapewnieniach Microsoftu, że jest to filtr adaptacyjny, wykorzystuje metody sztucznej inteligencji opracowane przez dział badawczy Microsoftu (Microsoft Research) do 'uczenia się' segregacji spamu na podstawie czynności, jakie wykonuje z przychodzącymi listami użytkownik. Trzeba uczciwie przyznać, że zachwytom beta-testerów nie było końca.

Jednak wkrótce po premierze pakietu znalazła się firma, która postanowiła zdemitologizować tę nowość. Artykuł MAPILab ( http://www.mapilab.com/articles/outlook_spam_filter.html ) obalał stwierdzenia marketingowe Microsoftu. Przekonywał, że filtr ten rzeczywiście spełnia swoje zadanie, ale to tylko dlatego, że (w dużym uproszeniu)wykorzystuje 10% technologii znanej z innych programów komercyjnych, która pozwala rozprawić się z 90% przypadków, ale o jakiejkolwiek sztucznej inteligencji czy adaptywności nie ma mowy. W ubiegłym miesiącu ukazała się poprawka do programu Outlook uaktualniająca działanie filtru, trudno więc powiedzieć, czy wyniki działania MAPILab są dalej aktualne. Regularna aktualizacja filtru to w końcu też metoda na dostosowywanie go do najnowszych metod działania spammerów. Wyniki najnowszego odkrycia stanowią jednak o tym, że nowemu filtrowi można jeszcze wiele zarzucić.

Dlaczego więc filtrowi tak daleko do doskonałości?" - zastanawia się Jacek Kolonko. "Wydaje mi się, że odpowiedź jest dość prosta. Wystarczy przeczytać ostatni list Billa Gatesa z 31 marca, podsumowujący obecne starania w dziedzinie bezpieczeństwa firmy Microsoft. Program pocztowy z filtrem antyspamowym to tylko ostatnie ogniwo w łańcuchu walki z problemem spamu. Wprawdzie nie można go zaniedbywać - bardzo ważne jest danie użytkownikowi możliwości indywidualnej decyzji, co ma wpadać do jego skrzynki pocztowej, a co wędrować do śmieci. Jednak nie może stanowić to podstawy ochrony antyspamowej, gdyż zginęlibyśmy w spamie, który już teraz skutecznie zdominowuje użyteczny ruch pocztowy."

Co zatem jeszcze robi Microsoft aby obronić nas przed zalewem spamu? Jacek Kolonko odpowiada: "Dopiero całościowe podejście do problemy spamu warto oceniać pod kontem skuteczności, a dopiero walka z nim na różnych warstwach może dać pozytywny efekt" - i jednocześnie podaje konkretne przykłady:

"Tworzone są przez Microsoft inteligentne filtry dla serwera Exchange, bazujące na najnowszej technologii SmartScreen. To jeden ze skuteczniejszych sposobów walki - blokować niechciane wiadomości już na serwerze. Inna metoda to wprowadzenie nowego protokołu pocztowego, gdyż SMTP (najpopularniejszy obecnie protokół) nie sprawdził się w obliczu coraz bardziej agresywnego ataku spammerów. Tutaj odpowiedzią Microsoftu jest opracowywana obecnie technologia "Caller ID" służąca blokowaniu możliwości wysyłania listów z fałszywym adresem domenowym nadawcy. Te wszystkie rozwiązania będą wykorzystywane również w serwisach Hotmail i MSN firmy Microsoft."

Darmowe rozwiązania do walki ze spamem prezentujemy w artykule: "Przechytrzyć spamera za darmo" - http://www.pcworld.pl/news/65371.html