SPAM. Lo stato attuale

Transcript

1 SPAM Lo stato attuale Marco Cremonini Università degli Studi di Milano Dipartimento di Tecnologie dell'informazione Crema (CR) AIEA Convegno Nazionale, Cortona maggio 2004

2 Statistiche Da Brightmail: società produttrice di soluzioni anti-spam Percentuale di spam sul totale della posta elettronica scambiata su Internet Marzo % Febbraio % Gennaio % Dicembre % Novembre % Ottobre % Settembre % Agosto % Luglio % Giugno % Maggio % Aprile % 2

3 Statistiche Da IDC: società di analisi Lo spam rappresenta fino al 32% del traffico totale di posta elettronica di una normale giornata lavorativa in Nord America del La stima mostra un raddoppio del fenomeno rispetto al IDC (anno 2003) 32% Brightmail (Aprile 2004) 64% - (Aprile 2003) 46% 3

4 Statistiche ' # # #! +( $" $% & & " $" " ()*( # " " % # ) * # " ( # %'' # # % &" " # $! 4

5 Frodi Phishing Attack / Brand Spoofing Phishing attacks : Utilizzo di indirizzi altrui e falsi siti web per indurre gli utenti a divulgare dati personali come numeri di carte di credito, conti correnti o username/password di accesso a servizi di ecommerce, ebusiness ed ebanking. Brand Spoofing : Utilizzo di domini e/o siti web facilmente confondibili con quelli di aziende note ed affidabili. A Marzo 2004 erano noti 402 distinti phishing attacks. Incremento del 43% rispetto il numero di casi riportati in Febbraio (fonte: Anti-Phishing Working Group, 5

6 Frodi Phishing Attack / Brand Spoofing fino al 5% degli utenti destinatari rispondono a tali false comunicazioni. La società più colpita dal fenomeno di brand spoofing e phishing attack é ebay con 110 diversi tentativi di frode. Il settore industriale più colpito é stato quello dei Servizi Finanziari con 256 diversi tentativi di frode. Il settore dei Servizi Finanziari ha subito una media di 8.3 phishing attacks per società in Marzo (fonte: Anti-Phishing Working Group, 6

7 Perché esiste lo spam? "Evidentemente qualcuno e' interessato a quello che offrono, altrimenti smetterebbero" E' una spiegazione semplicistica, non basta. Circa lo 0.005% dei destinatari di campagne massicce di spamming rispondono (50 su 1 milione). E' remunerativa questa percentuale? 7

8 Perché esiste lo spam? Lo spam é la tecnica più economica di promozione e pubblicità con costi per messaggio significativamente più bassi di qualunque altra tecnica. E' quantificabile la percentuale di successo di una campagna di spamming da parte di chi la genera. Altre tecniche non permettono questo riscontro ma solo stime. Gli spammer ottengono profitti anche da rifiuti da parte degli utenti. Altre tecniche non possiedono questa caratteristica. 8

9 Perché esiste lo spam? 9

10 Perché esiste lo spam? 10

11 Profitti dai rifiuti Molti spammer adottano un modello di business che permette loro di avere profitti anche dai rifiuti degli utenti. Profitti dal numero di visite ad un sito Web basta indurre l'utente ad aprire una pagina Web. Uso di JavaScript collegati a link del messaggio di spam (es. unsubscribe), apertura di finestre multiple. 11

12 Spam e difficoltà economiche E' stata analizzata la relazione tra le difficoltà economiche e finanziarie di molte società e l'incremento del fenomeno dello spam. Molti analisti ritengono esista un rapporto causale. Economicità del mezzo. Efficacia nel raggiungere un pubblico vastissimo. Percezione di non illecità ("Se non interessa, basta cancellare"). Efficacia come strumento per affrontare le difficoltà della congiuntura negativa. 12

13 Disequilibrio economico Disequilibrio Economico Gli economisti descrivono il fenomeno dello spam come un sistema non in equilibrio economico. Costi limitatissimi, quasi nulli Molto facile da realizzare Profitti ricavati significativi Crescita potenziale dei profitti elevata Sistema che tende naturalmente ad una forte espansione 13

14 Facilità nel raggiungere gli utenti Indirizzi Ottenere milioni di indirizzi di può essere molto facile e poco costoso. Esistono software commerciali che automatizzano l'invio di massicce campagne di spam. Sono note da anni tecniche usate dagli spammer per ricavare indirizzi di utenti di servizi on-line. 14

15 Dictionary Attack Dictionary Attack Servizi on-line come Hotmail.com, MSN.com e molti Internet Service Providers sono regolarmente soggetti a Dictionary Attack. Uso di software che automaticamente provano milioni di combinazioni di indirizzi di posta elettronica e dalla risposta che ottengono deducono se si tratta di indirizzo attivo oppure no. E' stato monitorato uno di questi Dictionary Attack condotto verso Hotmail.com e MSN.com : per 5 mesi ininterrotti, 24 ore al giorno con una frequenza di 3-4 tentativi al secondo. 15

16 Siti Web, Newsgroup, Mailing List, Chat, ICQ Newsgroup e Mailing List Programmi che automaticamente navigano sul Web ed estraggono tutti gli indirizzi presenti in siti pubblici. In maniera analoga ed automatica, indirizzi vengono estratti da messaggi che appaiono su newsgroup, mailing list, Chat e ICQ. 16

17 Unsubscribe etc. Unsubscribe Gli stessi messaggi di spam, catene di Sant'Antonio, pubblicità etc. anche quando non direttamente utilizzati per truffe o altri illeciti, sono strumenti di raccolta di indirizzi . Ad esempio, l'opzione di unsubscribe, spesso viene enfatizzata non per correttezza nei confronti del ricevente ma per indurre un'azione che conferma l'esistenza dell'indirizzo . Il risultato, spesso, non é quindi quello di far cessare l'invio di ma di moltiplicare lo spam ricevuto. 17

18 "Sono in ferie" Risposte automatiche Ogni forma di risposta automatica - es. "Sono in ferie", "Out-of- Office", etc. é una conferma dello stato attivo dell'indirizzo registrata dagli spammer. Ogni altra azione compiuta dall'utente e indotta dalla ricezione di ha spesso tale effetto (es. link a sito Web, risposta etc.) 18

19 Adware & Spyware Adware & Spyware Con i termini di spyware e di adware si indicano software che registrano le azioni compiute online da un utente (es. siti navigati, link acceduti, etc.) e mostrano messaggi pubblicitari indesiderati. Molti programmi, soprattutto freeware (giochi, utility etc.) contengono spyware e/o adware. Difficile, talvolta impossibile, rimuovere tali funzionalità. Le E-CARD, ad esempio, inviate in occasione di festività e ricorrenze, sono un servizio spesso associato a spyware. 19

20 Virus & Worm Virus & Worm Molti dei moderni virus e worm includono funzionalità di raccolta e uso illegittimo di indirizzi . Tipico il caso di spoofing (destinatario falso). In alcuni casi, gli analisti ritengono che tale meccanismo di raccolta e uso di indirizzi sia stato utilizzato ai fini di spamming. 20

21 Intrusioni E' stato osservato un aumento significativo di intrusioni in reti e computer con finalità legate allo spamming. Furto di archivi di indirizzi . Uso illegittimo di account di . Uso illegittimo di server di posta. 21

22 Società inaffidabili Non é raro il caso di archivi di indirizzi (e altri dati personali) di proprietà di società che vengono in possesso di spammer. Errori o scarsa cura nella protezione dei dati. Cessione volontaria (e remunerata, di solito). 22

23 Spamming Services Società di supporto allo spamming Il fenomeno dello spamming ha fatto nascere un vero e proprio settore industriale a supporto di questa forma di comunicazione. Esistono società specializzate nel produrre campagne di spamming dirette a milioni di utenti. Gli indirizzi sono oggetto di un vero e proprio mercato fatto di compravendite, fornitori, acquirenti, intermediari, grossisti e clienti finali. Il 90% dello spam al mondo proviene da 200 spammer operanti principalmente per conto terzi. 23

24 HTML Modifiche al contenuto del messaggio usando HTML è la tecnica più efficace usata dagli spammer per evitare tecniche di filtraggio. Nel Giugno 2003, uno studio del Wall Street Journal ha mostrato che più dell' 80% dello spam a sfondo sessuale era in HTML. 24

25 HTML Ci sono diverse ragioni per questa scelta: Attrarre attenzione. Il formato HTML permette l'uso di soluzioni grafiche e multimediali senza sensibili incrementi di costo. Permettere il tracciamento. Qualunque link inserito nel messaggio, se acceduto dall'utente, permette allo spammer di riconoscere che l'indirizzo e' attivo. Tali link posson anche non apparire visivamente o essere acceduti automaticamente (da alcuni software di ). Permettere di randomizzare lo spam. Le tecniche attuali di anti-spam cercano particolari parole o formati all'interno delle . Con HTML si possono introdurre randomizzazioni del testo senza per questo modificarne l'apparenza. 25

26 HTML: randomizzazione del testo 26

27 Enail HTML con link Si inducono gli utenti ad eseguire azioni oltre alla semplice lettura. Per questo il messaggio contiene spesso dei link a siti Web. La presenza dei link rende difficile il riconoscimento da parte di software anti-scan perche' il testo del messaggio puo' essere completamente differente ogni volta, solo il link rimanere lo stesso. 27

28 HTML con link: Camuffamento delle URL Esistono anche tecniche per nascondere, o camuffare la URL associata al link presente nel messaggio 28

29 HTML con link: Camuffamento delle URL 29

30 Il mercato degli indirizzi Commercio di indirizzi Un CD contenente 70 milioni di indirizzi costa (2003) circa $150. Un CD contenente 1 milione di indirizzi costa (2003) circa $20. Il prezzo é in diminuzione (sempre più indirizzi ricavabili in modo sempre più efficiente). 30

31 Basta un click? Generare spam Spesso agli spammer, effettivamente, basta un click. Invii di solito schedulati fuori dall'orario di lavoro (00:00 06:00) per sfruttare l'assenza di amministratori di sistema. Invii di solito schedulati a pacchetti di messaggi in numero limitato per evitare filtri da parte degli ISP sulla frequenza di invio di (filtri per altro di solito molto laschi). Rotazione degli indirizzi IP/account di mittenti Uso di molti account di di diversi ISP 31

32 Evitare l'identificazione L'attenzione al fenomeno ha imposto alcune contromisure, in particolare da parte degli ISP che devono intervenire in caso di abusi accertati del loro servizio. Gli spammer hanno affinato le tecniche per continuare ad operare. Uso di backdoor installate da intrusori in reti e sistemi privati. Uso di open proxy (open relay). 32

33 Open Proxy 1. Lo spammer individua un proxy server che non verifica la provenienza dei client che si connettono. 2. Il proxy server accetta in ingresso da forwardare ad altri server di posta (relay), agendo in tal modo da semplice intermediario. 3. Il destinatario riceve mail provenienti dal proxy server. L'identità dello spammer è irrintracciabile. 33

34 Open Proxy: Come individuarli? Scanning su Internet. Percentuale molto rilevante dell'intero traffico di rete, intere classi di indirizzi sottoposte a scanning ininterrotto. Browsing sul Web. Informazioni circa open proxy sono rese disponibili sul Web. Seguono lo stesso meccanismo di divulgazione delle vulnerabilità. 34

35 Leggi e norme non uniformi e non internazionali, scarso controllo Cambio di giurisdizione. La tecnica probabilmente piu' adottata dagli spammer per evitare ricorsi alle autorita' o azioni di filtraggio da parte di ISP e' quella, semplicemente, di dislocarsi in paesi con scarsa regolamentazione e ISP poco propensi ad azioni limitative. 35

36 Europa: Direttiva 2002/58/EC (40) Occorre prevedere misure per tutelare gli abbonati da interferenze nella loro vita privata mediante comunicazioni indesiderate a scopo di commercializzazione diretta, in particolare mediante dispositivi automatici di chiamata, telefax o posta elettronica, compresi i messaggi SMS. Tali forme di comunicazioni commerciali indesiderate possono da un lato essere relativamente facili ed economiche da inviare e dall altro imporre un onere e/o un costo al destinatario. Inoltre, in taluni casi il loro volume può causare difficoltà per le reti di comunicazione elettronica e le apparecchiature terminali. Per tali forme di comunicazioni indesiderate a scopo di commercializzazione diretta è giustificato prevedere che le relative chiamate possano essere inviate ai destinatari solo previo consenso esplicito di questi ultimi. Il mercato unico prevede un approccio armonizzato per garantire norme semplici a livello comunitario per le aziende e gli utenti. (41) Nel contesto di una relazione di clientela già esistente è ragionevole consentire l uso delle coordinate elettroniche per offrire prodotti o servizi analoghi, ma unicamente da parte della medesima società che ha ottenuto le coordinate elettroniche a norma della direttiva 95/46/CE. Allorché tali coordinate sono ottenute, il cliente dovrebbe essere informato sul loro uso successivo a scopi di commercializzazione diretta in maniera chiara e distinta, ed avere la possibilità di rifiutare tale uso. Tale opportunità dovrebbe continuare ad essere offerta gratuitamente per ogni successivo messaggio a scopi di commercializzazione diretta, ad eccezione degli eventuali costi relativi alla trasmissione del suo rifiuto. 36

37 Europa: Direttiva 2002/58/EC Articolo 13 - Comunicazioni indesiderate 1. L uso di sistemi automatizzati di chiamata senza intervento di un operatore (dispositivi automatici di chiamata), del telefax o della posta elettronica a fini di commercializzazione diretta è consentito soltanto nei confronti degli abbonati che abbiano espresso preliminarmente il loro consenso. 2. Fatto salvo il paragrafo 1, allorché una persona fisica o giuridica ottiene dai suoi clienti le coordinate elettroniche per la posta elettronica nel contesto della vendita di un prodotto o servizio ai sensi della direttiva 95/46/CE, la medesima persona fisica o giuridica può utilizzare tali coordinate elettroniche a scopi di commercializzazione diretta di propri analoghi prodotti o servizi, a condizione che ai clienti sia offerta in modo chiaro e distinto al momento della raccolta delle coordinate elettroniche e ad ogni messaggio la possibilità di opporsi, gratuitamente e in maniera agevole, all uso di tali coordinate elettroniche qualora il cliente non abbia rifiutato inizialmente tale uso. 3. Gli Stati membri adottano le misure appropriate per garantire che, gratuitamente, le comunicazioni indesiderate a scopo di commercializzazione diretta, in casi diversi da quelli di cui ai paragrafi 1 e 2, non siano permesse se manca il consenso degli abbonati interessati oppure se gli abbonati esprimono il desiderio di non ricevere questo tipo di chiamate; la scelta tra queste due possibilità è effettuata dalla normativa nazionale. 4. In ogni caso, è vietata la prassi di inviare messaggi di posta elettronica a scopi di commercializzazione diretta camuffando o celando l identità del mittente da parte del quale la comunicazione è effettuata, o senza fornire un indirizzo valido cui il destinatario possa inviare una richiesta di cessazione di tali comunicazioni. 5. Le disposizioni di cui ai paragrafi 1 e 3 si applicano agli abbonati che siano persone fisiche. Gli Stati membri garantiscono inoltre, nel quadro del diritto comunitario e della normativa nazionale applicabile, un adeguata tutela degli interessi legittimi degli abbonati che non siano persone fisiche relativamente alle comunicazioni indesiderate. 37

38 USA: CAN SPAM Act 38

39 USA: CAN SPAM Act 39

40 La Direct Marketing Association #1: Aderenza alle quattro regole di un uso responsabile dell' Soggetto dell' onesto. Informazioni contenute nell'header (es. From, Reply-to) non falsificate. Presenza di un indirizzo fisico del mittente. Un meccanismo di opt-out che funzioni e sia adempiuto effettivamente. 40

41 41

42 OPT-IN Vs. OPT-OUT Due filosofie a confronto: OPT-IN : solo a chi ha esplicitamente richiesto l'invio di determinati comunicazioni, esse possono essere destinate. OPT-OUT : chiunque riceve comunicazioni indesiderate deve poterne richiedere la cessazione. Direttiva Europea OPT-IN CAN SPAM Act (USA) OPT-OUT 42

43 Anche le norme forse non bastano "Se gli USA applicano una politica di opt-out, gli spammer avranno una legittimazione e lo spam si moltiplicherà." (Spamhaus) "Se noi [europei] adottiamo un sistema [opt-in] e gli USA ne adottano un altro [opt-out], sarà l'anarchia." (AIPG, gruppo di parlamentari inglesi) Non è un problema che può essere risolto solo per via legislativa." (Stephen Timms, Ministro per l'ecommerce, UK) "Le società che modificheranno le loro politiche commerciali per conformarsi alle leggi sono solo la punta dell'iceberg. Il problema irrisolto sono gli spammer che non seguono e non seguiranno alcuna legislazione." (Spam Summit, UK) 43

44 Tecniche di Filtraggio: Prima Generazione Blacklist interne gestite dallo staff aziendale Script di verifica degli indirizzi IP/nomi originatori e rifiuto per spammer noti Confronto tra contenuto e lista di parole chiave (Viagra, porn) Difficoltà di configurazione, aggiornamento, monitoraggio. Carico di lavoro elevato sullo staff aziendale. Veloce obsolescenza. Efficacia limitata, molti falsi negativi. 44

45 Tecniche di Filtraggio: Blacklist Pubbliche Blacklist pubbliche (dette anche DNS blacklist). Database di indirizzi IP dai quali sono state effettuate azioni di spamming. Affidabilità di questi archivi non uniforme. Molti falsi positivi. 45

46 Tecniche di Filtraggio: Attuali Livelli e tecniche diverse e integrate Filtraggio degli originatori Analisi dei contenuti Filtraggio delle URL 46

47 Accuratezza e Falsi Positivi Rispetto alle tecniche di filtraggio, il punto cruciale: non e' soltanto quanti messaggi di spam intercetta? ma quanti messaggi legittimi vengono bloccati? Molti sistemi non considerano a sufficienza questo aspetto, con risultati scadenti in termini di efficacia Alcune blacklist pubbliche fanno uso di "falsi positivi" come arma nei confronti di ISP noti per avere un atteggiamento compiacente nei confronti degli spammer I falsi positivi sono un effetto molto peggiore degli eventuali messaggi di spam che raggiungono gli utenti 47

48 Accuratezza e Falsi Positivi: Rapporto 48

49 Accuratezza e Falsi Positivi: Tecniche DNS Blacklist Ricerca di Parole Chiave Euristiche Statistiche Accuratezza 0-60% 80% 95% 99%+ * Falsi Positivi 10% 2% 0,5% 0,1% * *: le tecniche statistiche hanno tale efficacia solo per il singolo utente analizzando la posta personale. Per posta aziendale, l'efficacia cala all'80-90% e i falsi positivi salgono all'1%. 49

50 Accuratezza e Falsi Positivi: Obiettivi Che efficacia dobbiamo richiedere ad un tool anti-spam? FILTRAGGIO MESSAGGI DI SPAM : ~95% FALSI POSITIVI : ~0,5% 50

51 Brightmail (Brightmail Anti-Spam Enterprise Edition 5.5) Brightmail Server analizza e filtra tutto il traffico di posta scambiato da una rete. Meccanismi di filtraggio: euristiche, confronto tra stringhe (tradizionali), BrightSig2 (proprietario) Il Brightmail Server deve essere costantemente aggiornato con le nuove configurazioni di spam, blacklist e open proxy list. I messaggi di posta vengono sempre e solo analizzati localmente, mai comunicati all'esterno per un controllo offsite. Prezzi per anno: (Ut. 1-49) $1400; (Ut ) $4000; (Ut ) $13.000; (Ut ) $12,50 per utente; (Ut. >2500) non dichiarato. 51

52 Brightmail (Brightmail Anti-Spam Enterprise Edition 5.5) Azioni successive Delete : cancellazione automatica di un messaggio identificato come spam Folder : salvataggio in una cartella predefinita Forward : reinvio ad un utenza predefinita per un controllo manuale. Modifica dell'header o del Subject : il messaggio viene recapitato all'utente ma con una modifica predefinita all'header o al subject. Facilita il filtraggio da parte dei singoli utenti. Quarantena : gestione speciale 52

53 Brightmail (Brightmail Anti-Spam Enterprise Edition 5.5) Quarantena 53

54 Brightmail (Brightmail Anti-Spam Enterprise Edition 5.5) Euristiche 54

55 Anti-Spam in Security Appliance ServGate EdgeForce Il modulo anti-spam è sviluppato dalla McAfee. Prezzi annui da 1300 a 4000 Molti dei prodotti integrati per la sicurezza informatica offrono soluzioni antispam, normalmente sviluppate da terze parti specializzate (es. McAfee, Symantec, etc.) 55

56 SpamAssassin Versioni sia freeware che commerciale, usato da 30+ milioni di utenti SpamAssassin for UNIX (freeware); SpamAssassin Pro: MS Outlook, Exchange (versione commerciale) Combina diverse tecniche: Header modificati o anomali Keyword nel contenuto del messaggio (euristiche) DNS blacklist locali Blacklist pubbliche: Razor, DCC (Distributed Checksum Clearinghouse), Pyzor 56

57 SpamAssassin Integrato da molti sistemi: Mail Transfer Agents - sendmail, qmail, Exim, Postfix, Microsoft Exchange, etc. Virus-scanner MTA plug-ins - MIMEDefang, amavisd-new. IMAP/POP proxy e client di posta elettronica. Plug-in commerciali per client Windows - Eudora, MS Outlook etc. 57

58 SpamAssassin: esempi 20_body_tests.cf 58

59 SpamAssassin: esempi 20_uri_tests.cf 59

60 Marco Cremonini Università degli Studi di Milano Dipartimento di Tecnologie dell'informazione Crema (CR) 60