dr. Papp Géza

Felélednek a Spam Zombik

Nem szívesen használom a "spam" kifejezést, mert túl általános. A kéretlen levelek egy kis, önkényesen kiragadott csoportját jelenti, de mint általános név a köztudatban ez terjedt el, és az alábbi igen érdekes cikk is ezt a kifejezést használja. A hír, amit olvashatnak mintapéldája az emberi találékonyságnak, főleg ha annak a célja az, hogy másnak ártsunk. "Hiába, emberek vagyunk". A SecurityFocus lapjain olvastam a következőket:

Az egyre szigorúbb, és hatékonyabb kéretlen levél (spam) elleni törekvések, azok küldőit egyre inkább a bűnözés felé hajtják. Annak érdekében, hogy eltitkolják az elküldött betegesen nagy levéltömeg forrását, trójai falovakat rejtenek a mit sem sejtő internetezők gépére "spam zombivá" téve azokat. Ezek olyan tömeges, kéretlen levél (spam) források, melyek a felhasználó tudta nélkül, mint "élő - halott" működnek és ontják az e-maileket.

"Ez a legújabb kézbesítési mód" - mondta Margia Arbon, a MAPS spam-ellenes csoport vezetője. -"Egy évig kerestem sikertelenül, de az elmúlt hónapokban néhány ember talált olyan Trójait, ami ezt csinálja... A saját SMTP motorjukat hordozzák. Ha azzal nem sikerül, felraknak egy nyitott levelező (open proxy) programot."
Az egyik ilyen program a múlt héten bukkant fel, mely a "Proxy-Guzu" nevet kapta. Amikor megkezdi működését, elkezd futni egy ártatlan felhasználó gépén a Trójai program, nekiáll egy véletlenszerűen kiválasztott portot figyelni, és a saját beépített e-mail kliensével elküldi az áldozat IP címét és a nyitott Port helyzetét egy Hotmail-es címre.

Innentől kezdve a "levélőrült"- spammer átveszi az irányítást: annyi e-mailt küld, az áldozat gépén keresztül amennyit csak akar, és így minden erőfeszítés, hogy lekövessék, megkeressék az ily módon rejtve maradt "elkövetőt", a végállomás a mit sem tudó áldozat gépe lesz. A Trójai programok eljuttatása a kiszemelt gépre kezelőjük azon képességén múlik, hogy milyen módszerrel tudja rászedni áldozatát a "kedves csomagot" tartalmazó levél átvételére, és a "csomag megnyitására - egyszóval a saját gép megfertőzésére. A Proxy-Guzu általában kéretlen levélen, csatolt adat, fájl formában érkezik a gépre. (Az egyik verzió például egy webkamerán át nézhető "csintalan csúcs"-ot ajánl.)

Egy korai áldozat egy anti-virus fórumon elmondta, hogy csak akkor találta meg hívatlan vendégét, a trójait, amikor a tűzfal programja figyelmeztette, hogy hatalmas mennyiségű kimenő e-mail hagyta el a gépét - és mind elküldve különböző ismeretlen címekre ment. Mint kiderült, a levelek tárgya általában: "Ne mondd el a szüleidnek" és "A számlád" volt.

Klikk ide!
Spam aktivitás a világon - klikk a képre a nagyításhoz

Kinyomozhatatlan

A kéretlen levelek tömegének küldői (spammerek), a trükkjeiket az elektronikus vandáloktól kölcsönzik, akik számítógépes hadseregeket készítenek, amelyek alkalmasak rendszerek elleni túlterheléses (DDoS) támadásokra. A legelső kifejezetten spammelésre használt Trójai a Jeem. Ez teljes elérést biztosít az elkövetőnek, és van benne egy beépített SMTP szerver is. Arbon szerint a spam világ belesodródott a hacker módszerek serdülőkorába, a spammerek minden eredményt kihasználnak, kiélik levelező hajlamukat, mely mindennek mondható, csak egészségesnek nem, azokról a helyekről küldve tömeges leveleiket, melyek száma igaz kevesebb, mint korábban volt, de online működik.

"A szűrőkkel, a listákkal és a heurisztikus módszerekkel, melyeket általában használnak, megvizsgálják, hogy felfedhető-e az ilyen alternatív technikával küldött levél forrása, de lehetetlenség kinyomozni." - mint mondja - "Utálom bevallani, de sajnos ez az igazság."

Természetesen ezek a spammerek törvényellenesek, a "rossz oldalon" állnak. "Egy általános szabály, amit el kell fogadni, hogy nem jogsértő e-mailt küldeni valakinek, még akkor sem, hogy ő nem akarja" - Mondta Mark Rasch, egy volt ügyvédi iroda erre specializálódott ügyvédje" - De amint betörnek egy számítógépre, és a számítógépet e-mail küldésre használják, akkor már megsértik szövetségi és állami törvényeket." Azt hiszem a SecurityFocus cikkének elolvasása után kezdő soraimat az emberi találékonyságról, nem kérdőjelezik meg. A tömeges, kéretlen levelek számtalan küldési módszerével találkoztam már, vagy olvastam azokról. Ez még engem is meglepett. Megfertőznek egy gépet egy olyan trójaival, ami vagy a gép címjegyzékét, levelezőjét használja, vagy a "készítője, és eljuttatója" irányításával létre hoz magának egyet. Megkeresi a nyitott Portot - Portokat, és azon keresztül először a @hotmail címen lévő "gazdit", akinek utasításait követve árasztja el leveleivel - és egyben önmagával az összes címet, weblapot, amit a gépen megkeres.

Ez eddig tűnhetne akár egy "kellemes" tréfának is - de nem az. Nem mindegy, hogy hány gépből lesz nyitott levelező szerver, az sem, hogy milyen mennyiségű levél kerül a gépről a hálózatra, nem mindegy, hogy mi a "csomagjuk", de nem mellékes, hogy hány címzettjük van. A levelek száma lassítja a Hálózatot, a "csomagok" általában vírusok, és ha csak egy címzett van - és/vagy több gépről küldve a levéltömeget, az egész "móka" nem lesz más, mint a célgép hálózatát ért rendszer elleni túlterheléses (DDoS) támadás.

Miért ódzkodtam a "spam" leírásától? A válasz egyszerű: a Software Engineering Institute, és a Carnegie Mellon University székhelyű CERT Coordination Center (CERT/CC) Internet biztonsági központ nagyon szabatosan, és érthetően kategorizálta a kéretlen leveleket:

UBE: Unsolicited Bulk Email (tömeges, kéretlen levél)
Az UBE (közel) azonos tartalmú elektronikus levél tömeges szétküldése olyan címzettek részére, akik a levelet nem kérték, kétségtelen, hogy az UBE az e-maillel való visszaélés leggyakoribb formája. Vannak naponta üzenetek millióit automatikusan küldő programok. Mindezeket a leveleket lokálisan tárolták, vagy visszapattintották a feladónak, ami még több tárterületet és sávszélességet használt el. Ezek mind jogos, mérhető költségek, amelyek nem a küldőt terhelik. Az UBE egymaga képes a levelező rendszert használhatatlanná tenni.

UCE: Unsolicited Commercial Email (kéretlen üzleti levél)
Az UCE üzleti információt tartalmazó, kéretlen levél. Széles körben használják, és gyakran keverik az UBE-val. Az UCE természeténél fogva üzleti levél, de egyáltalán nem szükséges a széles körben való terjesztése. Néhány Internet szolgáltató a következő küszöbszámot állította fel a kéretlen üzleti levelekre: egyetlen UCE küldése is tilos.

MMF: Make Money Fast (lánclevél)
A lánclevelek, pl. az "hihetetlen, azonnali profitot garantáló" vagy hasonló típusú lánclevelek tartoznak az MMF-hez. A lánclevelek eredetileg a hagyományos postaforgalomban és az Useneten indultak, s most ez megjelent az elektronikus levelezésben is. A lánclevelek és a legtöbb MMF típusú levelek illegálisak, függetlenül attól, hogy egyesek milyen érveket hoznak fel mellette. Értesítsük az illetékes szervezetet! Tipikus példája az un: "Nigériai levél", ami ismét feltűnt, a száma emelkedik - és arcátlan módon most éppen a háború sújtotta Irak Hálózatán, kering a legtöbb.

MLM: Multi-Level Marketing
Azok az elektronikus levelek tartoznak ide, akik egy "kezdeti befektetés" után "hihetetlen profitot" garantálnak, és ezért toboroznak másokat. Egyes MLM küldők nem átallják odaírni, hogy "ez nem a gyorsan meggazdagodni - típusú levél, sőt teljesen legális". Azonban az MLM gyakorlatilag mindig egy fantázianévvel ellátott illegális piramisjáték, ami sokakat megtéveszt.

Megemlítendő a levélbomba, tömeges elektronikus levél küldése egy adott postafiókba, aminek következtében a postafiók (rosszabb esetben a postafióknak helyt adó rendszer is) használhatatlanná válik. Három fajta levélbombáról érdemes írni néhány sort.

Az egyik esetben a célfiókba több száz vagy ezer üzenetet küldenek, így az áldozat postafiókja alig vagy egyáltalán nem használható - a járulékos költségekről, e miatt meg nem érkezett fontos levelekről külön regényt lehetne írni. Ez rendszer elleni túlterheléses - azaz szolgáltatás-megtagadás (denial of service - DoS) jellegű támadás, zaklatásnak is minősíthető, amit egyetlen ismert Internet-szolgáltató sem tűr meg.

Másik esetben a levélbomba From: és Reply-To: mezejébe az áldozat címét hamisítják, s emiatt az áldozatot - gyakran haragos - levélözön árasztja el.

A levélbombának létezik egy harmadik, válfaja. Az áldozat e-mail címével nagyon sok levelezési listára feliratkoznak. Az eredmény hatalmas nem kért levéláradat az áldozat postafiókjában, ugyanakkor mind "legális". Ezért a levelezési listák adminisztrátorainak többsége feliratkozás után egy visszaigazolást, kérő levelet küld a feladónak, s csak a válasz megérkezése után kerül fel valójában a cím a listára.

A zaklatás (harassment) bármilyen elektronikus levélben vagy levélsorozatban küldött üzenet, ami kimeríti a zaklatás fogalmát. Nem szerettem volna egy ilyen levélre példát felhozni, de úgy hozta a sors, hogy közben kaptam egyet - a "jobbik fajtából", ami csak fiatalítani, fogyasztani szeretne - egyszóval újjá akar varázsolni.

  • Reduce the amount of sleep you need
  • Cause wounds to heal faster
  • Lose weight while your sleeping
  • Become less winded when excersizing
  • Put color back in grey hair
  • Grow hair back where it had once fallen out
  • Tighten skin
  • Strengthen bones
  • Body builders - use this to build your muscles quicker .........The List truly goes on and on..........

    stb.

    Nézzük meg az eredetét, és hogy miként került át a spam szűrőn:

    Received: from www.netporta.hu (www.inet.hu) [195.70.35.166]
    by torogzultan.tolna.net with esmtp (Exim 3.35 #1 (Debian))
    for
    id 19AFzs-0004UG-00; Mon, 28 Apr 2003 23:17:12 +0200
    Received: from 195.70.35.166 ([211.250.153.252])
    by www.inet.hu (8.12.8/8.12.8) with SMTP id h3SLQRL4093978;
    Mon, 28 Apr 2003 23:26:28 +0200 (CEST)
    Received: from zh.hcolgp.com [182.10.155.236] by 195.70.35.166 with SMTP for
    ; Mon, 28 Apr 2003 22:09:42 +0100
    Message-ID:
    From: "Damien Little" <[email protected]>
    To: [email protected]
    CC: [email protected], [email protected]
    Subject: F-R-E-E 30 day supply of H G H sv dcl lp niv bwoox
    Date: Mon, 28 Apr 03 22:09:42 GMT
    X-Mailer: Internet Mail Service (5.5.2650.21)
    MIME-Version: 1.0
    Content-Type: multipart/alternative;
    boundary="0CB00CA82C8"
    X-Priority: 3
    X-MSMail-Priority: Normal
    X-Scanner: exiscan *19AFzs-0004UG-00*68uyJichwqA* http://duncanthrax.net/exiscan/
    X-UIDL: SL/!!k%k"!~Sd"!f@$"!--0CB00CA82C8
    Content-Type: text/html;
    Content-Transfer-Encoding: quoted-printable

    Ugye milyen egyszerű? Hogy egy kérdés se maradjon nyitott, ha elfogadják a bíztatást, engednek a "szép kérésnek", és ráklikkelnek, erre a lapra jutnak - ha van ilyen:

    http://www.actionspacers.co.mw@ns.=v56yu8rt.ph/click.php?id=3Daccomwi&a=3Die/8/

    Mindezek alapján vitatkoznék Mark Rasch ügyvéd úrral, aki csak akkor találja a tömeges leveleket, egyáltalán a kéretlen leveleket büntetendőnek, ha azokat a gépre való betörésre használják. Ezen a kijelentésén el lehet vitázni - fel lehet érvként hozni a szólásszabadságot, az általános szabadságjogokat, stb. az említett levelek írói mellett. Ha ezt az oldalát nézném csak, egyet is értenék - de kérem szépen: nekünk nincs jogunk levéltömeg, zaklatás nélkül, nyugalomban élni?

    "Hangoskodó, faragatlan tuskókat az ember nem hív magához vendégségbe. Mégis eljönnek, hisz faragatlanok. De hiába dobáljuk ki őket a kertünkből, át a palánkon, mire a kapuhoz érünk, ismét szembejönnek."
  • Hozzászólások

    A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
    Bejelentkezéshez klikk ide
    (Regisztráció a fórum nyitóoldalán)
    • Geysap #17
      Ha valamit eltolok, azt el is ismerem.
      Bocsass meg - komolyan. Azt hiszem olyan "passzban", egy temetes utan ejszaka olvastam az irasokat, amikor konnyebben felreert valamit az ember. En ilyenkor tettem, es a felreertesem maradt meg. Arra reagaltam... Meg egyszer bocs, en voltam a hulye (de paranoiamrol van papirom:) - bar ez nem mentseg.
      Meg egyszer bocs.
      Geza
    • Geysap #15
      Kifejezetten gerinctelennek tartom az Interneten a nevtelenseget - amikor ott a lehetoseg, hogy valaki nicket valasszon (a neve igy is titokban maradna).
      Marad a megszolitas ennyi -!
      Orulok, hogy megtalaltad neha a rootot, ha a hosszu cikkjeimet elolvastad, ird mar le a veget, mert addig soha nem jutottam el:) Egyebkent a hir igaz, amit feszegettek a root megszunt. Az el nem olvasott, es a masodik hozzaszolasodban emlitett cikkeket, ha kell elkuldom, csak - cimre nehez, es olvasva a tobbi megjegyzesedet kar is lenne, de kosz az erdeklodest. Valaki kerdezte: "géza bácsi, mondhatnál pár szót magadról, hogy ki vagy, hol végeztél, miből doktoráltál. miért emeled az sg színvonalát? stb.. :)" A vegerol kezdem: az sg szinvonala kivalo, azt nem kell emelni - csak lehetoseget kaptam az iras kozlesere (amit koszonok). Magamrol: egyetemet vegeztem, ott doktoraltam, regen volt, es a dr-t utalom hasznalni, de a nevem nagybetuvel irom.
      Geza
    • Geysap #14
      Nem merek valaszolni, mert veletlenul kiderul, hogy tudom a valast, es nem akarok csalodast okozni "joakaroimnak". Maganlevelben folytatom
    • Geysap #13
      Nem vagyok ugyved, ettol fuggetlenul igen merges lennek, kidobnam az osszes vedelmet, ami a gepemen van - bar sajnalnam, mert igen jo. Melyik cimemre gondoltal :))
    • Geysap #12
      Ha ezt "szexualis inzultalasnak" szantad - nem...
    • Geysap #10
      Udv mindenkinek, es kosz a hozzaszolasokat. Eleg hosszu utat tettem meg ma, elegge elfarasztott. Holnap minden kerdesre valaszolk, amira tudok:))
    • Frenzy #5
      mozilla mail 1.3 -ban van spam szuro, es eddig igen okosnak mutatkozik. A penisznovelestol kezdve a tozsdefigyelesen at egeszen a koreai nyelvu spamekig (amit egyebkent nem is tudok elolvasni, meg ha erdekelne sem...ja nem is biztos hogy koreai nyelvu, mivel kriksz kraksz :)) mindent kepes felismerni vagy ha egy-egy level at is siklik, betanithato annak felismeresere. Innentol pedig automatikusan kerulnek a spam mappaba a levelek, ahonnan aztan torolhetok vagy automatikusan torlodnek bizonyos ido utan.

      A mozilla mailben ez fuggetlen a filterektol, amelyek kulon vannak es szortirozni lehet veluk. A spam szuro (junk mail filter) egyszeruen csak tisztan tartja az inboxokat :) En csak ajanlani tudom (hatranya, hogy nem lehet mozilla bongeszo nelkul felrakni :(
    • RelakS #4
      Amióta a mailbox-on volt valami nyereményjáték, naponta 6-8 kéretlen reklám jön - a legritkább esetben nem sexről van szó benne :)
    • [HUN]PAStheLoD #3
      már én is kapta megy kongóit azon kívül mindenki a péniszem méretén akar javítani (csak nem tuggyák hogy nincs reá szükség :))
    • b #1
      géza bácsi, mondhatnál pár szót magadról, hogy ki vagy, hol végeztél, miből doktoráltál. miért emeled az sg színvonalát? stb.. :)