Da je boj z neželeno elektronsko pošto bitka, ki kar traja in traja, vemo vsi, ki uporabljamo elektronsko pošto. V naše poštne predale dnevno prileti kar nekaj sporočil, v katerih nam prodajajo Viagro, Cialis, ponujajo daljšanje in večanje različnih organov, obveščajo, da smo bili izžrebani za bajne zneske, in še kaj bi se našlo. Sistemi obrambe pred takšno pošto so načeloma kar dobri, saj kombinacija lokalne zaščite in zaščite v strežniku prestreže veliko večino teh smeti. Res pa je tudi, da tu in tam kakšna smetka le obide zaščito ali pa se kot neželena pošta označi povsem legitimno sporočilo. Ali ne gre bolje?

SLABOSTI KLASIČNE STRATEGIJE

Obstoječi varnostni sistemi so dokaj obrambni oziroma prepuščajo pobudo piscem zlonamerne programske opreme. Nepridipravi najdejo luknjo in jo izkoristijo ali poskusijo izkoristiti, razvijalci zaščite pa na to reagirajo takrat, ko to opazijo. Največja slabost te metode je – čas. Čas, ki mine od prvega izkoristka luknje v sistemu, do njenega odkritja. Mašenje gre namreč običajno dokaj hitro. A to je nekaj, kar je s filozofijo čakanja na napad, neizbežno.

Spomnimo se na primer, ko smo pred nekako štirimi leti dobivali celo vrsto slikovne neželene pošte. Dobivali smo sporočila, ki niso vsebovalo besedila, ampak le sliko, večinoma v formatu GIF, ki ne zaseda veliko pomnilnika, na sliki pa to, kar smo običajno dobivali v besedilni obliki – vse zgoraj naštete »ponudbe«. Takratni filtri neželene pošte so bili proti temu načinu nemočni. Delovali so namreč z uporabo treh mehanizmov – besedilnega razvrščanja oziroma klasifikacije, črnih seznamov IP-naslovov in črnih seznamov znanih neželenih sporočil. Besedilna klasifikacija deluje tako, da se vsa sporočila, legitimna in neželena, analizirajo, vsaki besedi v njih pa se doda tako imenovani »spam-score«. Če ta rezultat preseže določeno vrednost, to pomeni, da je v sporočilu veliko besed, ki jih najdemo v neželeni pošti, torej je verjetnost, da gre za neželeno pošto, velika in sporočilo se označi kot spam. Črni seznami IP-naslovov delujejo tako, da se na poseben seznam uvrstijo poštni strežniki, ki imajo pomanjkljiv sistem avtentifikacije in jih pošiljatelji neželene pošte redno uporabljajo za to, da razpošiljajo svoje »izdelke«. Sistemi zaščite nato vsa sporočila, ki pridejo s takšnih naslovov, označijo kot spam. Sistem črnih seznamov neželenih sporočil deluje podobno, le da gre pri tem za seznam sporočil, in ne IP-naslovov. Ti seznami se posodabljajo prek tako imenovanih »honey pots«, kjer gre za posebne elektronske poštne predale oziroma naslove, ki vsebujejo izključno neželena sporočila.

Že sama logika pove, da je prvi način zaščite, torej analizo besedila mogoče obiti tako, da besedila sploh ni. In kdaj ga ni? Ko je namesto njega slika. Kaj pa črni seznami? S pomočjo tako imenovanih botnetov, kjer postanejo pošiljatelji neželene pošte od virusa okuženi uporabniki, ne pa pomanjkljivo zaščiteni poštni strežniki. In ker se prek vsakega okuženega računalnika pošlje le nekaj sporočil, so takšni in drugačni črni seznami povsem neuporabni. Izmisliti si je torej potrebno nekaj novega.

1/2

Moj mikro, oktober 2010 | Zoran Banovič