Der Kampf Gegen die Spam-Könige

Transcription

Der Kampf Gegen die Spam-Könige
Dr. Thomas Dübendorfer
Dr. sc., Dipl. Informatik-Ing., ETH Zürich
ISC2 Certified Information System Security Professional CISSP
Der Kampf Gegen die Spam-Könige
Digicomp Security Day
29. April 2008, Zürich
Dr. Thomas Dübendorfer
ISSS / Google
Präsident, Information Security Society Switzerland ISSS
Software Engineer Tech Lead, Google
Dozent „Network Security“, ETH Zürich
Security Consultant
Email:
Web:
[email protected]
http://thomas.duebendorfer.ch/
Dissertation: “Impact Analysis, Early Detection and Mitigation of Large-Scale
Internet Attacks”, Thomas Dübendorfer, 2005, ISBN 3-8322-2651-6,
Shaker Verlag, www.shaker.de
www.digicomp.ch
© 2008 Dr. Thomas Dübendorfer
2
Agenda
Einleitung
Business Modelle Hinter Spam
Einleitung
Hast du mein
E-Mail nicht
erhalten?
Anti-Spam Massnahmen
Technik
Gesetze
Sozialer Druck
Herausforderungen
www.digicomp.ch
© 2008 Dr. Thomas Dübendorfer
3
Email
www.digicomp.ch
4
Ursprung des Begriffs „Spam“
Email ist die “Killer”-Anwendung im Netzwerk seit dem frühen
Internet (1982). Es erlaubt
schnelle
günstige
weltweite
vielfältige (verschiedene Datentypen dank MIME)
Kommunikation.
“Spiced ham”Essware der
amerikanischen
Firma Hormel Foods
www.spam.com
Sketch der englischen Monty Python group:
Spam - Lovely Spam
http://www.youtube.com/watch?v=cFrtpT1mKy8
Ursprüngliches Ziel:
ARPANET Forscher wollten Meldungen über das
unzuverlässige aber vertrauenswürdige frühe Internet
austauschen.
www.digicomp.ch
© 2008 Dr. Thomas Dübendorfer
5
www.digicomp.ch
www.digicomp.ch, Referent: Dr. T. Dübendorfer
© 2008 Dr. Thomas Dübendorfer
6
1
Definition von „Spam“
Welche Probleme verursacht Spam?
UCE = unsolicited commercial email
(Unangefordertes kommerzielles Email)
Spam ist ein weitverbreitetes Problem
60%-95% aller im Internet
versandten Emails sind Spam
Statistiken:
http://spamlinks.net/stats.htm
UBE = unsolicited bulk email
(Massenversand unangeforderter Emails)
http://www.spamfighter.com/,
Nov. 2007
Verursachte Probleme
Missbrauch von technischen Ressourcen
Verschwendung von (Arbeits-)Zeit
Dienstausfall (Denial of service)
Erhöhte IT Betriebskosten
Ham ist das Gegenteil von Spam
Referenz: UCE/UBE ist definiert in EU Richtlinie über den elektronischen Geschäftsverkehr 2000/31/EG
www.digicomp.ch
© 2008 Dr. Thomas Dübendorfer
7
Woher wird Spam versandt?
www.digicomp.ch
© 2008 Dr. Thomas Dübendorfer
8
Wer sind die Spammers?
ROKSO von Spamhouse
Das “Register of Known Spam Operations” (ROKSO) listet
bekannte professionelle Spamprojekte auf, bei welchen
mindestens drei Internet Service Provider eingeschritten sind
und diese gestoppt haben.
Spamprojekte
Alan Ralsky
Alex Blood / Alexander Mosh et al.
Alexey Panov - ckync.com
Amichai Inbar
Amir Gans
...
Land
USA
Ukraine
Russland
Israel
Israel
...
200 bekannte Spamprojekte sind für 80% des
weltweiten Spams verantwortlich (Nov. 2007)
Referenz: http://www.postini.com/stats/, Nov. 2007
© 2008 Dr. Thomas Dübendorfer
www.digicomp.ch
9
Nov 20th, 2007
Referenz: http://www.spamhaus.org/rokso/index.lasso
© 2008 Dr. Thomas Dübendorfer
www.digicomp.ch
10
Robert Soloway – Der „Spam König“
Spamhaus sieht
Spammer auf dieser
Top 10-Liste als erste
Priorität für ein
Einschreiten der
Gesetzeshüter, da
diese den grössten
Schaden durch Spam
verursachen weltweit.
Referenz:
http://www.spamhaus.org/
statistics/spammers.lasso
www.digicomp.ch
© 2008 Dr. Thomas Dübendorfer
11
Robert Soloway, Besitzer von Newport Internet Marketing
(NIM) aus Washington USA, benutzte laut Anschuldigung
Zombie-Computer und gefälschte Emailadressen, um
Millionen von Spam Emails zu versenden seit 2003.
2005 Urteile
Microsoft erhält US$ 7.8 Millionen zugesprochen in einer
Zivilklage gegen Soloway, da dieser Spam durch MSN und
Hotmail versandt haben soll
Ein Internet Provider aus Oklahoma erhält US$ 10 Millionen
zugesprochen in einer Klage wegen Spam gegen Soloway
Problem:
Soloway hat nie bezahlt und seine Bankkonti blieben
unauffindbar
www.digicomp.ch
www.digicomp.ch, Referent: Dr. T. Dübendorfer
© 2008 Dr. Thomas Dübendorfer
12
2
Robert Soloway (Forts.)
Woher haben die meine Emailadresse?
Festnahme Mai 2007
Eine “federal grand jury” warf ihm 35 Vergehen vor, u.a.
mail fraud, wire fraud, email fraud, identity theft and money
laundering.
Die Strafverfolger wollen zudem US$ 773,000 aus
Gewinnen von Soloway’s Firma einziehen
Directory Harvest Attack (DHA) gegen Mailserver
Rate mögliche Emailadressen und sende Test-Emails zur
Überprüfung
Web Crawlers für Emailadressen
Absuchen von Webseiten (und Foren!) und Extraktion von
Emailadressen
Malware
Einige Viren/Würmer/Trojaner suchen den infizierten
Computer nach Emailadressen ab und senden diese an
Spammer im Internet
Sammeln von Emailadressen aus Datenbanken
Verzeichnisse (z.B. Social Networks, IM, Intranet),
Kundenlisten gehackter Online Shops etc.
Schuldspruch März 2008
Der 28jährige Soloway bekennt sich schuldig zu Betrug und
Steuerunterschlagung
Als maximales Strafmass werden 26 Jahre Gefängnis
festgelegt
www.digicomp.ch
© 2008 Dr. Thomas Dübendorfer
13
www.digicomp.ch
© 2008 Dr. Thomas Dübendorfer
14
Wieso gibt es Spam?
Ein direktes Business
Profitabel
Spamstudie von Forrester Research 2004 mit 1000
Briten:
22% haben Softwareprodukt aus Spamemails gekauft
8% haben Heilmittel aus Spamemails gekauft
Versand von Spamemails ist günstig
Kleines Risiko
Spammer kann einfach gefälschten Absender benutzen
Geringe Wahrscheinlichkeit einer Strafe; etliche Länder
haben noch keine Anti-Spam Gesetze oder gehen noch
nicht gegen Spamversender vor
Business Modelle Hinter Spam
www.digicomp.ch
15
www.digicomp.ch
© 2008 Dr. Thomas Dübendorfer
16
Wieso gibt es Spam? (Forts.)
Spam zur Malware-Verteilung
Ist auch ein Internet-Untergrund Business
Betreiber vermieten Botnets an Spammer
10 Millionen Emailadressen für EUR 100. 20 Millionen Spamemails versandt für EUR 350, Do-it-yourself Spam Starter Package für EUR
140. 5 Millionen Emailadressen
Tool zum Spamversand
Emails legen Benutzer rein, um Malware vom Internet oder aus
Anhang zu installieren
Spyware/Trojaner (späht
Benutzerdaten wie Passwörter oder Kreditkartendaten aus, stiehlt lokale
Emailadressen)
Adware (Verdienen mit
Vermitteln von Werbeplatz)
Backdoor (Fremde nutzen
den Computer mit)
Wurm (z.B. als Denial of
Service Attacke)
Referenz: GData Newsletter, Oct 22, 2007, http://www.gdata.de/unternehmen/DE/articleview/3920/1/160/
www.digicomp.ch
© 2008 Dr. Thomas Dübendorfer
Trojan-Downloader:W32/Agent.EOA
17
www.digicomp.ch
www.digicomp.ch, Referent: Dr. T. Dübendorfer
© 2008 Dr. Thomas Dübendorfer
18
3
Penny Stocks Spam
Nigerianischer „Advance Fee Fraud“ AFF-Spam
Spammer kauft “penny
stock”, bewirbt Aktie und
profitiert vom Preisanstieg
Spammer verdient 4.9%
im Schnitt (Verkauf am
Abend des Spamversands)
Investoren verlieren im
Schnitt 5.25% (in den
folgenden zwei Tagen
nach Spamempfang)
Wie es funktioniert
Anfage (oft aus Nigeria), mehrere Millionen Dollar via
eigenes Bankkonto zu verschieben
10% Umsatzbeteiligung versprochen
Bitte um persönliche Angaben zu Bankkonto, Adresse,
Telefon- und Faxnummer
Was passiert
Hohe Vorauszahlungen gefordert, bevor Geld fliessen würde
Statistik
Schaden pro Opfer im Schnitt (US, 2001): US$ 6542. Totaler Schaden weltweit: Über 32 Milliarden US$ (19962007), 4.3 Milliarden US$ allein im Jahr 2007
Über 300,000 AFF-Betrüger weltweit (1996-2007)
Referenz:
Spam Works: Evidence from Stock Touts
and Corresponding Market Activity, Laura L. Frieder, Jonathan L. Zittrain
http://www.mgmt.purdue.edu/faculty/frieder/Spam_july24.pdf
© 2008 Dr. Thomas Dübendorfer
www.digicomp.ch
19
Referenz: 419 Unit of Ultrascan Advanced Global Investigations, www.ultrascan.nl and www.fraud.org (US)
© 2008 Dr. Thomas Dübendorfer
www.digicomp.ch
20
Phishing Email Spam
Work From Home/Mule Recruitment Spam
Phishing Emails
Ziel: Persönliche
Angaben stehlen
(Logins, Bankkonto,
Kreditkartendaten etc.)
Angriff: Social
Engineering
Sichtbare URL
Work from home (WFH)-Angebot
z.B. Stelle als “regional assistant” mit Auftrag:
Zahlungen auf eigenem Bankkonto zu empfangen
aus illegalen Aktivitäten
10% Umsatzbeteiligung
Bargeld abheben von eigenem Konto
Bargeldtransfer mit Western Union
= Rolle eines Geldwäsche-Gehilfen (money laundering mule)
Arbeitgeber: z.B. Sidney Car Centre, Aegis, Lux Capital
(fiktive Firmen mit langjährigen Webseiten, oft auch auffindbar
mit Suchmaschinen) oder Missbrauch von Namen existierender
Firmen
http://www.postfinance.ch/jHZi...
zeigt auf:
http://www.google.ru/url?q=
http://go.msn.com/HML/5/9.asp?
target=http://%35js%73cb%33%
%%
%2e%64A%2Er%%%%55/
Mehrfache Indirektion!
www.digicomp.ch
© 2008 Dr. Thomas Dübendorfer
21
www.digicomp.ch
© 2008 Dr. Thomas Dübendorfer
22
Weitere Spamvarianten
Propaganda (politisch, rassistisch etc.)
Schneeballsysteme
Kettenbriefe, Pyramidensysteme etc.
Hoaxes
Warnungen vor angeblichen Viren
Mails mit Fehlinformationen
Bitte um Spenden
„Es ist kalt in Russland und wir haben nichts zu essen; bitte
schicken Sie uns Geld und Hilfsmittel!“ (übersetzt)
Werbung für (teilweise illegale) Aktivitäten und Inhalte
Online Casinos, pornografische Inhalte
und mehr
www.digicomp.ch
© 2008 Dr. Thomas Dübendorfer
23
Anti-Spam Massnahmen
www.digicomp.ch
www.digicomp.ch, Referent: Dr. T. Dübendorfer
24
4
Filterung zur SMTP Zeit
Unschärfe des Problems
Was?
Inhalts Unterscheidung, was Spam ist
analyse
und was nicht, ist oft unklar
Dasselbe Email kann Spam für
den einen, aber Ham für
Spamjemand anders sein
wert
Generische Lösung: Mailfilter
Ziel: Fiterung von 100% Spam
and 0% Ham-Emails
Was tun mit Spam-Emails?
löschen (oder abweisen)
markieren (z.B. ** SPAM ** im Betreff ergänzen, Header
mit X-SPAM-FLAG: 1)
Quarantäne (z.B. Spam-Ordner)
SMTP message format (with annotations):
1. HELO <sender’s hostname> (once)
2. MAIL FROM: <sender’s email address> (once)
3. RCPT TO: <recipient’s email address> (up to 100)
4. DATA (once)
5. <header of email>
6. <CR><LF>
7. <body of email>
8. <CR><LF>.<CR><LF>
Response codes (from server):
2xx OK
3xx need more data
4xx temporary failure
5xx final errors
Wie?
Strukturanalyse
Wer?
Vertrauen in
Sender
Technische Anti-Spam Massnahmen
Wohin?
Vertrauen
in Links
www.digicomp.ch
© 2008 Dr. Thomas Dübendorfer
25
deny
deny
deny
deny
deny
deny
Referenz: RFC 2821, Simple Mail Transfer Protocol
© 2008 Dr. Thomas Dübendorfer
www.digicomp.ch
White-/Blacklisting
Greylisting
Whitelisting:
Akzeptiere Emails, die mit einem/mehreren/allen
aufgelisteten Merkmalen übereinstimmen
Blacklisting:
Wie whitelisting, aber Emails, die mit Merkmalen
übereinstimmen, werden abgelehnt
Dienste: Realtime Blacklists (RBL), auch bekannt als
Remote Blacklists oder DNS blacklists
Annahme
Spammer schickt Spam nur einmal; kein zweiter
Zustellversuch
Wie es funktioniert
Weise ersten Emailzustellversuch zurück (“defer”), aber
speichere zugehöriges Identifikationstripel (IP sender
address, email sender address, email recipient address)
Akzeptiere zweiten Emailzustellversuch und schalte
Identifikationstripel in der Whitelist frei
Ca. 90% Spam kann so erfolgreich abgewehrt werden
Nebenwirkungen
Verzögerte Emailauslieferung (bis in Whitelist eingetragen)
Probleme mit grossen Email-Hostern bei mehreren
ausgehenden Email-Servern
Kritische Fragen vor Benutzung einer Blacklist
Wie kommt ein Eintrag auf die Liste? Wie lange bleibt er dort?
Was genau kommt auf die Liste (z.B. ganzes /24 Subnetz bei
einem Spam-Versender (z.B. Sobig.F))? Kann ich dem
Betreiber vertrauen?
www.digicomp.ch
© 2008 Dr. Thomas Dübendorfer
27
www.digicomp.ch
© 2008 Dr. Thomas Dübendorfer
Inhaltsbasierte Anti-Spam Massnahmen
Bilder-Spam
Statistische Inhaltsfilterung
Bayes’ Gesetz, 1763:
P(spam|words) = P(words|spam) · P(spam) / P(words)
Heuristische Inhaltsfilterung
Inhalts-Checksumme / Verkehrs-Basierte Filterung
Distributed checksum clearinghouse (DCC)
Spam-Mitteilung als Text im Bild
Bilder sind unterteilt oder animiert
“snowflake” spam: Flecken und
Störungen im Bild zur
Verhinderung von optical
character recognition (OCR)
26
28
Caveats:
Absichtliche Falschschreibungen im Text
Unübliche Textformatierungen (HTML Tabellen, weisse
Schrift etc.)
www.digicomp.ch
© 2008 Dr. Thomas Dübendorfer
29
www.digicomp.ch
www.digicomp.ch, Referent: Dr. T. Dübendorfer
© 2008 Dr. Thomas Dübendorfer
30
5
DomainKeys Identified Mail (DKIM)
SIGNED
Alice
SIGNED
Internet
SenderID und Sender Policy Framework (SPF)
VERIFIED
Hole
Schlüssel
Mailserver
von Alice
(MTA) Privater
Schlüssel
von Alice
DNS
Mailserver
von Bob
(MTA)
Öffentlicher Schlüssel
von Alice
Überprüfung der IP Adresse des Email-Senders via DNS
Bob
Mailserver von Alice: Unterschreibe Hash des Emails (einige
Headerfelder und den Meldungsinhalt) mit privatem Schlüssel
Mailserver von Bob: Hole öffentlichen Schlüssel von Alice vom
DNS-System (für Domain im „From:“) und überprüfe Unterschrift
Sicherheitsgarantien: Meldungsintegrität, Senderauthentizität
DKIM wird von Gmail und anderen unterstützt
Problem: Spammer waren die ersten, welche DKIM anwendeten!
www.digicomp.ch
© 2008 Dr. Thomas Dübendorfer
31
Probleme:
Bei Mail Forwarding kann Überprüfung fehlschlagen
SenderID (von Microsoft) wurde absichtlich so entworfen,
dass es inkompatibel war mit dem existierenden Standard
Sender Policy Framework (RFC 4408)
www.digicomp.ch
© 2008 Dr. Thomas Dübendorfer
32
Anti-Spam Gesetze
2000: Europäische Union
Richtlinie über den elektronischen Geschäftsverkehr
Anti-Spam Gesetze
2004: USA
US Federal Can Spam Act
2007: Schweiz
Revidiertes Fernmelde-Gesetz (FMG)
Revidiertes Bundesgesetz gegen den unlauteren
Wettbewerb (UWG)
www.digicomp.ch
33
www.digicomp.ch
© 2008 Dr. Thomas Dübendorfer
34
US Anti-Spam Gesetz
US Federal Can Spam Act
Requires that commercial email
be identified as an advertisement, and
include the sender's valid physical postal (!) address
Requires that your email give recipients an opt-out method
Prohibits deceptive subject lines
Bans false or misleading header information
Sozialer Druck als Anti-Spam Massnahme
Effective since January 1, 2004
Penalties: Fines of up to US$ 11,000
Reference: http://www.ftc.gov/bcp/conline/pubs/buspubs/canspam.shtm
© 2008 Dr. Thomas Dübendorfer
www.digicomp.ch
35
www.digicomp.ch
www.digicomp.ch, Referent: Dr. T. Dübendorfer
36
6
„Nigerian Money Scam Baiters“
Die „Scam baiters“ und ihr „Trophy Room“
„Scam baiters“ sind Leute, welche die Zeit von Betrügern
verschwenden, indem Sie vorgeben, den Deal zu
akzeptieren.
419 ist der Abschnitt zu Betrug im Nigerian. Strafgesetzbuch
Herausforderungen
Bildquelle: www.419eaters.com
(Es gibt auch Tel.anrufe etc.)
Referenz: 419-Legal Fraud and Scam Forum, www.419legal.org listet aktuelle Scams und Online-Betrug
© 2008 Dr. Thomas Dübendorfer
www.digicomp.ch
37
www.digicomp.ch
38
Herausforderungen bei der Spam-Bekämpfung
Weitere Referenzen
Schlupflöcher im internationalen Rechtssystem
In Ergänzung zu den Referenzen direkt in den Folien:
http://spamlinks.net (Umfangreiche Linksammlung)
http://ceas.cc (Spamkonferenz)
http://spamconference.com (Spamkonferenz mit Videos)
http://www.spamhaus.org (Blacklists, News)
http://www.projecthoneypot.org (Spamstatistiken)
http://www.jgc.org/tsc.html (Spam "Blog")
http://spam.abuse.net (Spam news site)
http://www.cauce.org (Koalition gegen Spam, News)
http://news.com.com/Tis+the+season+to+send+spam/21007349_3-6136901.html (c|net Artikel mit etwas SpamGeschichte, Nov. 2006)
Identifikation des tatsächlichen Senders einer Email
Operationalisierbare Definition von “Spam”
Kreativität der Spammer
www.digicomp.ch
© 2008 Dr. Thomas Dübendorfer
39
www.digicomp.ch
© 2008 Dr. Thomas Dübendorfer
40
Danke für Ihre
Aufmerksamkeit!
Dr. Thomas Dübendorfer
[email protected]
http://thomas.duebendorfer.ch/
www.digicomp.ch
41
Dr. Thomas Dübendorfer
www.digicomp.ch, Referent: Dr. T. Dübendorfer
7