Der Kampf Gegen die Spam-Könige
Transcription
Der Kampf Gegen die Spam-Könige
Dr. Thomas Dübendorfer Dr. sc., Dipl. Informatik-Ing., ETH Zürich ISC2 Certified Information System Security Professional CISSP Der Kampf Gegen die Spam-Könige Digicomp Security Day 29. April 2008, Zürich Dr. Thomas Dübendorfer ISSS / Google Präsident, Information Security Society Switzerland ISSS Software Engineer Tech Lead, Google Dozent „Network Security“, ETH Zürich Security Consultant Email: Web: [email protected] http://thomas.duebendorfer.ch/ Dissertation: “Impact Analysis, Early Detection and Mitigation of Large-Scale Internet Attacks”, Thomas Dübendorfer, 2005, ISBN 3-8322-2651-6, Shaker Verlag, www.shaker.de www.digicomp.ch © 2008 Dr. Thomas Dübendorfer 2 Agenda Einleitung Business Modelle Hinter Spam Einleitung Hast du mein E-Mail nicht erhalten? Anti-Spam Massnahmen Technik Gesetze Sozialer Druck Herausforderungen www.digicomp.ch © 2008 Dr. Thomas Dübendorfer 3 Email www.digicomp.ch 4 Ursprung des Begriffs „Spam“ Email ist die “Killer”-Anwendung im Netzwerk seit dem frühen Internet (1982). Es erlaubt schnelle günstige weltweite vielfältige (verschiedene Datentypen dank MIME) Kommunikation. “Spiced ham”Essware der amerikanischen Firma Hormel Foods www.spam.com Sketch der englischen Monty Python group: Spam - Lovely Spam http://www.youtube.com/watch?v=cFrtpT1mKy8 Ursprüngliches Ziel: ARPANET Forscher wollten Meldungen über das unzuverlässige aber vertrauenswürdige frühe Internet austauschen. www.digicomp.ch © 2008 Dr. Thomas Dübendorfer 5 www.digicomp.ch www.digicomp.ch, Referent: Dr. T. Dübendorfer © 2008 Dr. Thomas Dübendorfer 6 1 Definition von „Spam“ Welche Probleme verursacht Spam? UCE = unsolicited commercial email (Unangefordertes kommerzielles Email) Spam ist ein weitverbreitetes Problem 60%-95% aller im Internet versandten Emails sind Spam Statistiken: http://spamlinks.net/stats.htm UBE = unsolicited bulk email (Massenversand unangeforderter Emails) http://www.spamfighter.com/, Nov. 2007 Verursachte Probleme Missbrauch von technischen Ressourcen Verschwendung von (Arbeits-)Zeit Dienstausfall (Denial of service) Erhöhte IT Betriebskosten Ham ist das Gegenteil von Spam Referenz: UCE/UBE ist definiert in EU Richtlinie über den elektronischen Geschäftsverkehr 2000/31/EG www.digicomp.ch © 2008 Dr. Thomas Dübendorfer 7 Woher wird Spam versandt? www.digicomp.ch © 2008 Dr. Thomas Dübendorfer 8 Wer sind die Spammers? ROKSO von Spamhouse Das “Register of Known Spam Operations” (ROKSO) listet bekannte professionelle Spamprojekte auf, bei welchen mindestens drei Internet Service Provider eingeschritten sind und diese gestoppt haben. Spamprojekte Alan Ralsky Alex Blood / Alexander Mosh et al. Alexey Panov - ckync.com Amichai Inbar Amir Gans ... Land USA Ukraine Russland Israel Israel ... 200 bekannte Spamprojekte sind für 80% des weltweiten Spams verantwortlich (Nov. 2007) Referenz: http://www.postini.com/stats/, Nov. 2007 © 2008 Dr. Thomas Dübendorfer www.digicomp.ch 9 Nov 20th, 2007 Referenz: http://www.spamhaus.org/rokso/index.lasso © 2008 Dr. Thomas Dübendorfer www.digicomp.ch 10 Robert Soloway – Der „Spam König“ Spamhaus sieht Spammer auf dieser Top 10-Liste als erste Priorität für ein Einschreiten der Gesetzeshüter, da diese den grössten Schaden durch Spam verursachen weltweit. Referenz: http://www.spamhaus.org/ statistics/spammers.lasso www.digicomp.ch © 2008 Dr. Thomas Dübendorfer 11 Robert Soloway, Besitzer von Newport Internet Marketing (NIM) aus Washington USA, benutzte laut Anschuldigung Zombie-Computer und gefälschte Emailadressen, um Millionen von Spam Emails zu versenden seit 2003. 2005 Urteile Microsoft erhält US$ 7.8 Millionen zugesprochen in einer Zivilklage gegen Soloway, da dieser Spam durch MSN und Hotmail versandt haben soll Ein Internet Provider aus Oklahoma erhält US$ 10 Millionen zugesprochen in einer Klage wegen Spam gegen Soloway Problem: Soloway hat nie bezahlt und seine Bankkonti blieben unauffindbar www.digicomp.ch www.digicomp.ch, Referent: Dr. T. Dübendorfer © 2008 Dr. Thomas Dübendorfer 12 2 Robert Soloway (Forts.) Woher haben die meine Emailadresse? Festnahme Mai 2007 Eine “federal grand jury” warf ihm 35 Vergehen vor, u.a. mail fraud, wire fraud, email fraud, identity theft and money laundering. Die Strafverfolger wollen zudem US$ 773,000 aus Gewinnen von Soloway’s Firma einziehen Directory Harvest Attack (DHA) gegen Mailserver Rate mögliche Emailadressen und sende Test-Emails zur Überprüfung Web Crawlers für Emailadressen Absuchen von Webseiten (und Foren!) und Extraktion von Emailadressen Malware Einige Viren/Würmer/Trojaner suchen den infizierten Computer nach Emailadressen ab und senden diese an Spammer im Internet Sammeln von Emailadressen aus Datenbanken Verzeichnisse (z.B. Social Networks, IM, Intranet), Kundenlisten gehackter Online Shops etc. Schuldspruch März 2008 Der 28jährige Soloway bekennt sich schuldig zu Betrug und Steuerunterschlagung Als maximales Strafmass werden 26 Jahre Gefängnis festgelegt www.digicomp.ch © 2008 Dr. Thomas Dübendorfer 13 www.digicomp.ch © 2008 Dr. Thomas Dübendorfer 14 Wieso gibt es Spam? Ein direktes Business Profitabel Spamstudie von Forrester Research 2004 mit 1000 Briten: 22% haben Softwareprodukt aus Spamemails gekauft 8% haben Heilmittel aus Spamemails gekauft Versand von Spamemails ist günstig Kleines Risiko Spammer kann einfach gefälschten Absender benutzen Geringe Wahrscheinlichkeit einer Strafe; etliche Länder haben noch keine Anti-Spam Gesetze oder gehen noch nicht gegen Spamversender vor Business Modelle Hinter Spam www.digicomp.ch 15 www.digicomp.ch © 2008 Dr. Thomas Dübendorfer 16 Wieso gibt es Spam? (Forts.) Spam zur Malware-Verteilung Ist auch ein Internet-Untergrund Business Betreiber vermieten Botnets an Spammer 10 Millionen Emailadressen für EUR 100. 20 Millionen Spamemails versandt für EUR 350, Do-it-yourself Spam Starter Package für EUR 140. 5 Millionen Emailadressen Tool zum Spamversand Emails legen Benutzer rein, um Malware vom Internet oder aus Anhang zu installieren Spyware/Trojaner (späht Benutzerdaten wie Passwörter oder Kreditkartendaten aus, stiehlt lokale Emailadressen) Adware (Verdienen mit Vermitteln von Werbeplatz) Backdoor (Fremde nutzen den Computer mit) Wurm (z.B. als Denial of Service Attacke) Referenz: GData Newsletter, Oct 22, 2007, http://www.gdata.de/unternehmen/DE/articleview/3920/1/160/ www.digicomp.ch © 2008 Dr. Thomas Dübendorfer Trojan-Downloader:W32/Agent.EOA 17 www.digicomp.ch www.digicomp.ch, Referent: Dr. T. Dübendorfer © 2008 Dr. Thomas Dübendorfer 18 3 Penny Stocks Spam Nigerianischer „Advance Fee Fraud“ AFF-Spam Spammer kauft “penny stock”, bewirbt Aktie und profitiert vom Preisanstieg Spammer verdient 4.9% im Schnitt (Verkauf am Abend des Spamversands) Investoren verlieren im Schnitt 5.25% (in den folgenden zwei Tagen nach Spamempfang) Wie es funktioniert Anfage (oft aus Nigeria), mehrere Millionen Dollar via eigenes Bankkonto zu verschieben 10% Umsatzbeteiligung versprochen Bitte um persönliche Angaben zu Bankkonto, Adresse, Telefon- und Faxnummer Was passiert Hohe Vorauszahlungen gefordert, bevor Geld fliessen würde Statistik Schaden pro Opfer im Schnitt (US, 2001): US$ 6542. Totaler Schaden weltweit: Über 32 Milliarden US$ (19962007), 4.3 Milliarden US$ allein im Jahr 2007 Über 300,000 AFF-Betrüger weltweit (1996-2007) Referenz: Spam Works: Evidence from Stock Touts and Corresponding Market Activity, Laura L. Frieder, Jonathan L. Zittrain http://www.mgmt.purdue.edu/faculty/frieder/Spam_july24.pdf © 2008 Dr. Thomas Dübendorfer www.digicomp.ch 19 Referenz: 419 Unit of Ultrascan Advanced Global Investigations, www.ultrascan.nl and www.fraud.org (US) © 2008 Dr. Thomas Dübendorfer www.digicomp.ch 20 Phishing Email Spam Work From Home/Mule Recruitment Spam Phishing Emails Ziel: Persönliche Angaben stehlen (Logins, Bankkonto, Kreditkartendaten etc.) Angriff: Social Engineering Sichtbare URL Work from home (WFH)-Angebot z.B. Stelle als “regional assistant” mit Auftrag: Zahlungen auf eigenem Bankkonto zu empfangen aus illegalen Aktivitäten 10% Umsatzbeteiligung Bargeld abheben von eigenem Konto Bargeldtransfer mit Western Union = Rolle eines Geldwäsche-Gehilfen (money laundering mule) Arbeitgeber: z.B. Sidney Car Centre, Aegis, Lux Capital (fiktive Firmen mit langjährigen Webseiten, oft auch auffindbar mit Suchmaschinen) oder Missbrauch von Namen existierender Firmen http://www.postfinance.ch/jHZi... zeigt auf: http://www.google.ru/url?q= http://go.msn.com/HML/5/9.asp? target=http://%35js%73cb%33% %% %2e%64A%2Er%%%%55/ Mehrfache Indirektion! www.digicomp.ch © 2008 Dr. Thomas Dübendorfer 21 www.digicomp.ch © 2008 Dr. Thomas Dübendorfer 22 Weitere Spamvarianten Propaganda (politisch, rassistisch etc.) Schneeballsysteme Kettenbriefe, Pyramidensysteme etc. Hoaxes Warnungen vor angeblichen Viren Mails mit Fehlinformationen Bitte um Spenden „Es ist kalt in Russland und wir haben nichts zu essen; bitte schicken Sie uns Geld und Hilfsmittel!“ (übersetzt) Werbung für (teilweise illegale) Aktivitäten und Inhalte Online Casinos, pornografische Inhalte und mehr www.digicomp.ch © 2008 Dr. Thomas Dübendorfer 23 Anti-Spam Massnahmen www.digicomp.ch www.digicomp.ch, Referent: Dr. T. Dübendorfer 24 4 Filterung zur SMTP Zeit Unschärfe des Problems Was? Inhalts Unterscheidung, was Spam ist analyse und was nicht, ist oft unklar Dasselbe Email kann Spam für den einen, aber Ham für Spamjemand anders sein wert Generische Lösung: Mailfilter Ziel: Fiterung von 100% Spam and 0% Ham-Emails Was tun mit Spam-Emails? löschen (oder abweisen) markieren (z.B. ** SPAM ** im Betreff ergänzen, Header mit X-SPAM-FLAG: 1) Quarantäne (z.B. Spam-Ordner) SMTP message format (with annotations): 1. HELO <sender’s hostname> (once) 2. MAIL FROM: <sender’s email address> (once) 3. RCPT TO: <recipient’s email address> (up to 100) 4. DATA (once) 5. <header of email> 6. <CR><LF> 7. <body of email> 8. <CR><LF>.<CR><LF> Response codes (from server): 2xx OK 3xx need more data 4xx temporary failure 5xx final errors Wie? Strukturanalyse Wer? Vertrauen in Sender Technische Anti-Spam Massnahmen Wohin? Vertrauen in Links www.digicomp.ch © 2008 Dr. Thomas Dübendorfer 25 deny deny deny deny deny deny Referenz: RFC 2821, Simple Mail Transfer Protocol © 2008 Dr. Thomas Dübendorfer www.digicomp.ch White-/Blacklisting Greylisting Whitelisting: Akzeptiere Emails, die mit einem/mehreren/allen aufgelisteten Merkmalen übereinstimmen Blacklisting: Wie whitelisting, aber Emails, die mit Merkmalen übereinstimmen, werden abgelehnt Dienste: Realtime Blacklists (RBL), auch bekannt als Remote Blacklists oder DNS blacklists Annahme Spammer schickt Spam nur einmal; kein zweiter Zustellversuch Wie es funktioniert Weise ersten Emailzustellversuch zurück (“defer”), aber speichere zugehöriges Identifikationstripel (IP sender address, email sender address, email recipient address) Akzeptiere zweiten Emailzustellversuch und schalte Identifikationstripel in der Whitelist frei Ca. 90% Spam kann so erfolgreich abgewehrt werden Nebenwirkungen Verzögerte Emailauslieferung (bis in Whitelist eingetragen) Probleme mit grossen Email-Hostern bei mehreren ausgehenden Email-Servern Kritische Fragen vor Benutzung einer Blacklist Wie kommt ein Eintrag auf die Liste? Wie lange bleibt er dort? Was genau kommt auf die Liste (z.B. ganzes /24 Subnetz bei einem Spam-Versender (z.B. Sobig.F))? Kann ich dem Betreiber vertrauen? www.digicomp.ch © 2008 Dr. Thomas Dübendorfer 27 www.digicomp.ch © 2008 Dr. Thomas Dübendorfer Inhaltsbasierte Anti-Spam Massnahmen Bilder-Spam Statistische Inhaltsfilterung Bayes’ Gesetz, 1763: P(spam|words) = P(words|spam) · P(spam) / P(words) Heuristische Inhaltsfilterung Inhalts-Checksumme / Verkehrs-Basierte Filterung Distributed checksum clearinghouse (DCC) Spam-Mitteilung als Text im Bild Bilder sind unterteilt oder animiert “snowflake” spam: Flecken und Störungen im Bild zur Verhinderung von optical character recognition (OCR) 26 28 Caveats: Absichtliche Falschschreibungen im Text Unübliche Textformatierungen (HTML Tabellen, weisse Schrift etc.) www.digicomp.ch © 2008 Dr. Thomas Dübendorfer 29 www.digicomp.ch www.digicomp.ch, Referent: Dr. T. Dübendorfer © 2008 Dr. Thomas Dübendorfer 30 5 DomainKeys Identified Mail (DKIM) SIGNED Alice SIGNED Internet SenderID und Sender Policy Framework (SPF) VERIFIED Hole Schlüssel Mailserver von Alice (MTA) Privater Schlüssel von Alice DNS Mailserver von Bob (MTA) Öffentlicher Schlüssel von Alice Überprüfung der IP Adresse des Email-Senders via DNS Bob Mailserver von Alice: Unterschreibe Hash des Emails (einige Headerfelder und den Meldungsinhalt) mit privatem Schlüssel Mailserver von Bob: Hole öffentlichen Schlüssel von Alice vom DNS-System (für Domain im „From:“) und überprüfe Unterschrift Sicherheitsgarantien: Meldungsintegrität, Senderauthentizität DKIM wird von Gmail und anderen unterstützt Problem: Spammer waren die ersten, welche DKIM anwendeten! www.digicomp.ch © 2008 Dr. Thomas Dübendorfer 31 Probleme: Bei Mail Forwarding kann Überprüfung fehlschlagen SenderID (von Microsoft) wurde absichtlich so entworfen, dass es inkompatibel war mit dem existierenden Standard Sender Policy Framework (RFC 4408) www.digicomp.ch © 2008 Dr. Thomas Dübendorfer 32 Anti-Spam Gesetze 2000: Europäische Union Richtlinie über den elektronischen Geschäftsverkehr Anti-Spam Gesetze 2004: USA US Federal Can Spam Act 2007: Schweiz Revidiertes Fernmelde-Gesetz (FMG) Revidiertes Bundesgesetz gegen den unlauteren Wettbewerb (UWG) www.digicomp.ch 33 www.digicomp.ch © 2008 Dr. Thomas Dübendorfer 34 US Anti-Spam Gesetz US Federal Can Spam Act Requires that commercial email be identified as an advertisement, and include the sender's valid physical postal (!) address Requires that your email give recipients an opt-out method Prohibits deceptive subject lines Bans false or misleading header information Sozialer Druck als Anti-Spam Massnahme Effective since January 1, 2004 Penalties: Fines of up to US$ 11,000 Reference: http://www.ftc.gov/bcp/conline/pubs/buspubs/canspam.shtm © 2008 Dr. Thomas Dübendorfer www.digicomp.ch 35 www.digicomp.ch www.digicomp.ch, Referent: Dr. T. Dübendorfer 36 6 „Nigerian Money Scam Baiters“ Die „Scam baiters“ und ihr „Trophy Room“ „Scam baiters“ sind Leute, welche die Zeit von Betrügern verschwenden, indem Sie vorgeben, den Deal zu akzeptieren. 419 ist der Abschnitt zu Betrug im Nigerian. Strafgesetzbuch Herausforderungen Bildquelle: www.419eaters.com (Es gibt auch Tel.anrufe etc.) Referenz: 419-Legal Fraud and Scam Forum, www.419legal.org listet aktuelle Scams und Online-Betrug © 2008 Dr. Thomas Dübendorfer www.digicomp.ch 37 www.digicomp.ch 38 Herausforderungen bei der Spam-Bekämpfung Weitere Referenzen Schlupflöcher im internationalen Rechtssystem In Ergänzung zu den Referenzen direkt in den Folien: http://spamlinks.net (Umfangreiche Linksammlung) http://ceas.cc (Spamkonferenz) http://spamconference.com (Spamkonferenz mit Videos) http://www.spamhaus.org (Blacklists, News) http://www.projecthoneypot.org (Spamstatistiken) http://www.jgc.org/tsc.html (Spam "Blog") http://spam.abuse.net (Spam news site) http://www.cauce.org (Koalition gegen Spam, News) http://news.com.com/Tis+the+season+to+send+spam/21007349_3-6136901.html (c|net Artikel mit etwas SpamGeschichte, Nov. 2006) Identifikation des tatsächlichen Senders einer Email Operationalisierbare Definition von “Spam” Kreativität der Spammer www.digicomp.ch © 2008 Dr. Thomas Dübendorfer 39 www.digicomp.ch © 2008 Dr. Thomas Dübendorfer 40 Danke für Ihre Aufmerksamkeit! Dr. Thomas Dübendorfer [email protected] http://thomas.duebendorfer.ch/ www.digicomp.ch 41 Dr. Thomas Dübendorfer www.digicomp.ch, Referent: Dr. T. Dübendorfer 7