Embed Size (px)
Citation preview
Как обойти спам фильтр
Андрей Никишин
Kaspersky Lab
О чем будем говорить• Основные принципы и алгоритмы
фильтрации, их плюсы и минусы.
• Про схемы решения
• Какой сейчас спам и что делают спамеры, чтобы нас обмануть
• Как обмануть спам фильтр
Спам, спам, спам
Спама меньше не будет!
60.0%
65.0%
70.0%
75.0%
80.0%
85.0%
90.0%
95.0%
Январь Февраль Март Апрель Май Июнь Июль Август Сентябрь Октябрь Ноябрь Декабрь
2008
2007
Доля спама в почтовом трафике
Мошенничество
Монетизация спама
Лотереи
SMS маркетинг
• Почему так популярен?
– Легко покупать товары и услуги
– Легко продавать товары и услуги
Всего один звонок или SMS и ваш продукт или услуга оплачены! Заработайте
больше! По всему миру!
Клиент
Оператор
SMS партнер
Поставщик услуг
%% от стоимости SMS
SMS сервис SMS на Короткий номер
%% от стоимости SMS
SMS маркетинг
Клиент
Оператор
SMS партнер
Мошенник
Услуга???
%% от стоимости SMS
SMS на Короткий номер
%% от стоимости SMS
SMS “черный” маркетинг
Лотереи
Лотереи
Запугивание
Ресурсы для взрослых
Свидания и знакомства
Не только e-mail…
Трюки и «фишки»
Как пытаются обмануть нас
Реклама на Web хостингах
Использование тэга комментариев• <html>• <!--random text-->• <body>• Real text<br>• <a href="http://real site.com">http://false
site.com</a>• <!—random text><br>• </html>
Телефонный номер как таблица• <table height=3D"30">• <tbody>• <tr>• <td bgcolor=3D"#000000"></td>• <td></td>• <td bgcolor=3D"#000000"></td>• <td></td>• <td bgcolor=3D"#000000"></td>• <td bgcolor=3D"#000000"></td>• <td bgcolor=3D"#000000"></td>• <td></td>• <td bgcolor=3D"#000000"></td>• <td bgcolor=3D"#000000"></td>• <td bgcolor=3D"#000000"></td>• <td></td>• <td></td>
Html трюки
Key word and address consist of tables<tr>
<td align=3D"center" valign=3D"baseline" nowrap=3D"nowrap" bordercolor=3D"=
#51A918" bgcolor=3D"#BCF0E9"> <i>V</i><font color=3D"#BCF0E9">n</font>
</td>
</tr>
<TD rowSpan=3D"2">W</TD>
Как защищаться?
Технологии
Методы фильтрации• Лингвистические (AI) методы
– Эвристика
– Сигнатуры (термины)
• Формальные методы
– Правила
– Черные списки
– Репутация
• Другие методы
Анализ содержимого (Лингвистика)
• Количественный анализ (что говориться)– Анализ значения текста
• Качественный анализ (как говориться)
– Анализ особенностей используемого языка
• Требуется довольно большой текст для корректной работы
Лингвистические сигнатуры• Сигнатура это лингвистический «отпечаток»
текста, созданный в лаборатории
• Небольшие изменения текста не влияет на результат сравнения («полиморфный» спам)
• Короткие сигнатуры (термины)– Масса вариантов реализации
• Спам сильно вариативен
• Часто нет текста вовсе
Формальные методы: Правила– Отсутствие адреса отправителя,
– Отсутствие или слишком много получателей,
– Отсутствие IP-адреса в системе интернет-адресов DNS и т.п. –
• Все это признаки спамерского сообщения
• Пример из жизни:– Государственные структуры в некой стране не принимают
сообщения если user agent The Bat
• Требуется высокая квалификация для написания сложных правил
Формальные методы: Списки• Списки IP адресов (черные и белые)
– RBL и репутационные фильтры
• Списки E-mail адресов
• Пользовательские Черные и Белые списки
• SURIBL– Собственный URLBL
• Greylisting
• Whitelisting
Другие методы
55%
34%
6%
4%
1%
text/plain
text/html
image/jpeg
image/gif
остальные типы
• Работа с картинками– Статистические методы
– Анализ изображения
– Графические сигнатуры
Графический спам
Графический спам
Другие методы
• Работа с картинками– Статистические методы
– Анализ изображения
– Графические сигнатуры
• Блокировка коннектов с DUL– 200-203-0-172.cslce701.dsl.brasiltelecom.net.br [200.203.0.172]
– Есть тонкости
• Шинглы
• Другое
55%
34%
6%
4%
1%
text/plain
text/html
image/jpeg
image/gif
остальные типы
Как защищаться
решения
Как защитить компанию1. Решение на основе
программных средств
2. Программно-аппаратный комплекс (appliance)
3. Аутсорсинг (Managed Security или Hosted Security)
Software vs Appliance vs Hosted Service• Software
– Может быть установлено на существующие серверы для повышения ROI
– Может быть установлено на несколько серверов без приобретения дополнительных лицензий (не для всех производителей).
– Большой выбор решений– Требует больших временных затрат для установки и поддержания– Требует дополнительного аппаратного обеспечения– Увеличивает количество точек, которые могут привести к сбоям
Software vs Appliance vs Hosted Service
• Appliance– Установка проще по сравнению с
установкой ПО – нет настройки сервера, патчей ОС и т.д
– Более легкая замена, чем в случае с ПО.
– Легче покупать – одно решение, одна цена, одно устройство
– Меньшая гибкость с т.з. установки (нет возможности выбрать HW, нет возможности использовать свои сервера)
– Выше цена
Software vs Appliance vs Hosted Service• Hosted Services
– Легкая и быстрая установка (несколько минут)
– Минимальная необходимость управления – не требуются дополнительные IT-ресурсы
– Управляется экспертами – мгновенная реакция на новые угрозы
– Высокий уровень надежности
– Ограниченный выбор – сервис провайдер все делает за клиента
– Цена выше
Как обмануть спам
фильтр
Как обмануть фильтр
Об этом поговорим в другой раз
