Mariusz „Sierp” Preiss, 06.03.2003 1) Czym jest spam 2) Reklama

1)
2)
3)
4)
5)
Mariusz „Sierp” Preiss, 06.03.2003
Czym jest spam
Reklama elektroniczna w świetle prawa
Jak wykryć nadawcę spamu...
Walka z niechcianymi listami – walka z wiatrakami?
Co można jeszcze zrobić aby spamu nie otrzymywać
1) Czym jest spam
SPAM – słowo to zostało zapożyczone ze skeczu Monty Pythona (przytoczony w RFC2635),
oznacza w skrócie wiadomość (e-mail lub post na grupie dyskusyjnej) niechcianą i
niezamawianą, przynoszącą nadawcy „spamu” korzyść (materialną/kreowanie wizerunku etc).
Istnieje wiele definicji spamu – jedną z nich prezentuję poniżej:
1.
2.
3.
treść i kontekst wiadomości są niezależne od tożsamości odbiorcy, ponieważ ta
sama treść może być skierowana do wielu innych potencjalnych odbiorców,
jej odbiorca nie wyraził uprzednio możliwej do weryfikacji, zamierzonej,
wyraźnej i zawsze odwoływalnej zgody na otrzymywanie tej wiadomości,
treść wiadomości daje odbiorcy podstawę do przypuszczeń, że nadawca
wskutek jej wysłania może odnieść korzyści nieproporcjonalne w stosunku do
korzyści odbiorcy wynikających z jej odebrania.
Spam przybiera różną formę, od maili które przychodzą z Tajwanu, a chodzi w nich tylko o
kliknięcie w link, aż po oferty handlowe i ulotki reklamowe różnych producentów i firm.
Właśnie na ofertach handlowych chciałbym się skupić.
2) Reklama elektroniczna w świetle prawa
Do dziś w Polskim prawie „spamerzy” byli praktycznie bezkarni. Zgodnie z „Ustawą o
ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną
przez produkt niebezpieczny" z dnia 2 marca 2000 r. (Dz.U. Nr 22, poz 271):
"Posłużenie się (...), pocztą elektroniczną, (...) w celu złożenia propozycji zawarcia umowy
może nastąpić wyłącznie za uprzednią zgodą konsumenta."
Jednak istniał pewien problem.. zgodnie z przepisami wolno było wysyłać reklamy bez takiej
zgody o ile adres elektroniczny był publicznie dostępny (a pod to można już podciągnąć
wszystko).
W dniu 10 marca 2003 roku wejdzie w życie nowa ustawa, „Ustawa o świadczeniu usług
drogą elektroniczną” z dnia 18 lipca 2002 roku (DZ.U. nr 144 poz. 1204).
Art. 10.
1. Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do
oznaczonego odbiorcy za pomocą środków komunikacji elektronicznej, w szczególności
poczty elektronicznej.
2. Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na
otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go
adres elektroniczny.
3. Działanie, o którym mowa w ust. 1, stanowi czyn nieuczciwej konkurencji w rozumieniu
przepisów ustawy, o której mowa w art. 9 ust. 3 punkt 1.
Dalej czytamy, że czyn taki jest wykroczeniem zagrożonym karą grzywny.
Dopiero od 10 marca możemy powiedzieć że Polskie prawo jest przygotowane na walkę z
wszechobecną reklamą elektroniczną (spamem).
(trzeba tutaj podkreślić, że dodatkowym problemem spamu jest to, że koszty ponosi nie tylko
nadawca, ale i odbiorca! – np. płaci za połączenie, płaci za ilość przesłanych informacji etc.)
3) Jak wykryć nadawcę spamu...
Sprawa często jest bardzo prosta – reklamę wysyła pewna firma – wiadomo która bo często
jest wymieniona w mailu/poście – ale gdzie to zgłosić? Przecież nie do samej firmy, która
reklamę wysyłała...
Otóż najczęściej trzeba zerknąć do źródła wiadomości i obejrzeć jej nagłówek. Przykładowy
nagłówek poczty elektronicznej przedstawiam poniżej (UWAGA! to tylko przyklad):
Return-Path: <[email protected]>
Delivered-To: [email protected]
Received: from pulsar.if.pwr.wroc.pl (pulsar.if.pwr.wroc.pl [156.17.75.7])
by ochlapek.sierp.net (smtp server) with ESMTP id C7F88EFE3C
for <[email protected]>; Sat, 1 Mar 2003 12:44:08 +0100 (CET)
Received: from juzer.pulsar.if.pwr.wroc.pl ([156.17.75.5])
by pulsar.if.pwr.wroc.pl with esmtp (Exim 4.10)
id 18p58v-000Kv3-00
for [email protected]; Sat, 01 Mar 2003 12:27:01 +0100
Date: Sat, 1 Mar 2003 12:27:01 +0100 (CET)
From: "Juzer" <[email protected]>
To: [email protected]
Subject: Mitnick
Message-ID: <[email protected]>
MIME-Version: 1.0
Content-Type: TEXT/PLAIN; charset=US-ASCII
X-UIDL: C?=!!E%3!!Od^!!J8;"!
Status: RO
Ten list przeszedł przez dwie maszyny, o czym świadczą dwa pola Reveived. Nagłówek
dolny został dodany wcześniej, kolejne pola są dodawane powyżej. Nasz serwer
(ochlapek.sierp.net) otrzymał przesyłkę od serwera Politechniki Wrocławskiej
pulsar.if.pwr.wroc.pl. Ten z kolei otrzymał maila od hosta sivy.pulsar.if.pwr.wroc.pl
(156.17.75.5). Należy zaznaczyć że numer IP jest jedyną tutaj pewną informacją – nazwa
może być zmyślona i zupełnie nieprawdziwa.
Tutaj podobieństwo nazw i numerów IP pozwala stwierdzić, że maila wysłano z komputera
będącego w sieci Politechniki Wrocławskiej.
Jeżeli chcielibyśmy wysłać skargę na nadawcę, musielibyśmy wysłać ją do Politechniki
Wrocławskiej – Instytutu Fizyki. RFC definiuje adres na który takie skargi powinny być
przyjmowane – jest to (w tym przypadku) [email protected] - a w ogólności
abuse@provider. Należy też powiadomić administratora serwera który został do tego
wykorzystany – tutaj zapewne [email protected].
Możemy nie poprzestawać na tym. Jako że mail został wysłany przez tą instytucję, być może
został wysłany za jej zgodą. Możemy zgłosić fakt nadużycia do ISP (Internet Service
Provider) danej instytucji. Aby dowiedzieć się dokąd powinniśmy takiego maila wysłać,
musimy wejść na stronę www.ripe.net/perl/whois, wpisać szukany adres IP (156.17.75.5) i
dowiadujemy się że odpowiedzialny za ten przedział numerów IP jest WASK, więc do niego
kierujemy skargę ([email protected]). Są jeszcze 3 inne instytucje podobne do RIPE, które
zajmują się katalogowaniem i rozdziałem numerów IP, są to w zależności od lokalizacji www.arin.net, www.apnic.net oraz www.lacnic.net.
(uwaga! Skarga powinna zawierać pełen nagłówek otrzymanej przez nas wiadomości – jest to
konieczne do ustalenia sprawcy i udowodnienia mu czynu).
4) Walka z niechcianymi listami – walka z wiatrakami?
Walczyć ze spamem można i należy – tego procederu nigdy się nie wytępi, gdyż dla
nadawców jest to najtańszy z możliwych sposobów dotarcia do potencjalnego klienta (w USA
koszt dotarcia do klienta poprzez papierowy przekaz ocenia się na 1$ od adresu, dla poczty
elektronicznej koszt wynosi około 1/100 centa...).
A jak walczyć? Jest wiele narzędzi i programów które pomagają w tym aby spamu się
pozbyć, lub bardzo go ograniczyć. Jest kilka podstawowych metod które postaram się
omówić.
a)
ordb.org – jest to baza danych (Open Relay DataBase) serwerów które
pozwalają wysyłać pocztę bez żadnej autoryzacji – oznacza to że każdy, bez
znajomości hasła, jest w stanie wysłać maila przez taki serwer który staje się
swoistą bramką dla spamu, często nieświadomie stworzoną przez jej
administratora.
Większość ogólnodostępnych serwerów (onet.pl, wp.pl, o2.pl ...) pozwala
wysyłać listy bez autoryzacji, co oznacza nie tylko łatwość w podszywaniu
się pod kogoś (nie wymaga to żadnej wiedzy), ale i wysyłanie spamu.
Dużą ilość serwerów open relay można wytłumaczyć niedawnym boomem
Linuksa i sieci lokalnych – oraz niedoświadczeniem administratorów. Ilość
serwerów OR na przestrzeni czasu
2001 lipiec
2001 wrzesień
2001 grudzień
2002 marzec
2002 czerwiec
2002 październik
2002 grudzień
2003 luty
2003 marzec
7000
92000
135000
195000
200000
210000
220000
200000
180000
Top 10 krajów które posiadają serwery OpenRelay
nieznany
com
net
tw
edu
jp
uk
de
103 tys.
22 tys.
21 tys.
2,8 tys.
2,4 tys.
2,4 tys.
1,9 tys.
1,7 tys.
ar
pl
b)
c)
1,7 tyś
1,5 tyś
W bazie tej można sprawdzić własny serwer czy jest on serwerem Open
Relay. Jeżeli wysyłamy maila i dostaniemy zwrot, że mail został odrzucony
bo znajduje się w bazie ORDB – należy zabezpieczyć serwer lub zgłosić to
administratorowi.
Strona projektu – www.ordb.org
polspam.org – jest to projekt polskiego autorstwa – zawiera bazę nie
serwerów, a konkretnych adresów z których wysyłany był spam. Serwis
działa na prostej zasadzie – jeżeli ktokolwiek dostał spam i może to
potwierdzić autentycznym nagłówkiem, wypełnia formularz na stronie
projektu i adres (po analizie administratorów odpowiedzialnych za bazę)
zostaje do niej dopisany, po czym poczta jest odrzucana przez serwer z
takiego adresu automatycznie z odpowiednią dla nadawcy informacją.
Jako że polspam działa w Polsce – jest dla nas dość bogatą i użyteczną bazą
która często się sprawdza. Aktualnie w bazie polspamu znajduje się około
82 tyś rekordów.
Strona projektu – www.polspam.net
spamassassin – jest narzędziem do heurystycznego filtrowania poczty w
celu wykrywania spamu/reklam. Działa on na dość prostej zasadzie –
otrzymany mail jest analizowany – tak jego nagłówek jak i treść.
Przeprowadza się na nim szereg testów, które (jeżeli znajdują w danym
przypadku zastosowanie) dodają do licznika punkty. Jeżeli licznik
przekroczy daną wartość (domyślnie 5) – taki mail jest odrzucany. Lista
testów
i
ich
punktacja
znajduje
się
na
stronie
www.spamassassin.org/tests.html, poniżej podałem kilka przykładów:
User-Agent header indicates a non-spam MUA (Outlook Express)
User-Agent header indicates a non-spam MUA (KMail)
Listed in Pyzor, see http://pyzor.sf.net/
Subject is all capitals
Message is 70% to 80% HTML
0,001
-6,400
1,248
0,664
0,254
Strona projektu – www.spamassassin.org
5) Co można jeszcze zrobić aby spamu nie otrzymywać
Przede wszystkim – reagować. Nawet jeżeli nie osiągniemy od razu rezultatu – to zwracanie
spamerom i ich administratorom uwagi będzie dla nich sygnałem, że stąpają po kruchym
lodzie (zwłaszcza w świetle wchodzącej ustawy). Należy wysyłać skargi do administratorów
serwerów i ISP, a może uda się wymóc zwiększoną kontrole nad ich użytkownikami.
Weźmy jako przykład naszą rodzimą Telekomunikację (TPSA). Jest to jeden z najgorzej
reagujących molochów w skali tak kraju, jak i świata. Na wszelkich listach hosty z domeny
tpnet.pl figurują tuż obok takich krajów (przodujących w wysyłaniu spamu) jak Chiny, Korea
czy Tajwan. Przykładowo – w serwisie www.spamhippo.com - który trzyma listę 100
największych spamerów grup dyskusyjnych, kilka z nich jest z domeny właśnie tepsy – na
100 hostów na miliony hostów w Internecie!!! Co ciekawe – jednym z tych hostów (a raczej
zbiorem hostów) jest szczecin.cvx.ppp.tpnet.pl.
Po drugie – używać wyżej wymienionych technik obrony przed spamem. Niestety większość
z nich wymaga implementacji na serwerze pocztowym, jednak kilka z nich (np. polspam)
łatwo da się zintegrować z klientami pocztowymi (przykładowo TheBat!’em)
Można też szukać filtrów do innych znanych klientów pocztowych.
Dodatkowo – można nie korzystać z głównego adresu pocztowego, a korzystać tylko z
aliasów które na ten adres wskazują – gdy po pewnym czasie na te aliasy zaczyna
przychodzić za dużo spamu – po prostu rezygnujemy z aliasów i tworzymy kolejne.
Przykładem takiego serwisu (tworzącego aliasy) jest choćby SpamMotel (Windows) www.spammotel.com, czy Snakemail (niezależnie od OS) - sneakemail.com.
Często w otrzymanym spamie znajduje się link z informacją, że po jego kliknięciu nasz adres
zostanie usunięty z bazy firmy która nas tym spamem raczyła. W 99% jest to sposób
niekonieczny, który wykorzystywany jest przez nieuczciwe firmy tylko w jednym celu – w
przekonaniu się że mail dotarł do adresata który go przeczytał.
Przy korzystaniu z grup dyskusyjnych raczej nie podawajmy w sposób otwarty naszego
adresu – roboty newsowe codziennie przeczesują usenet w poszukiwaniu takich właśnie
naiwniaków. Nie należy w formie jawnej podawać adresów e-mail na własnej stronie www –
można robić różne sztuczki (np. za pomocą JavaScriptu) lub zastąpić tekst rysunkiem (choć
tutaj spamerom może pomóc zastosowanie algorytmów sieci neuronowych ;-) ). Ew.
pozamieniać niektóre znaki (zaznaczając to gdzieś) lub dodawać słowa typu wytnij.to do
adresu email... wszystko to aby ochronić nasz adres mailowy przed niechcianą agitacją.
Źródła:
http://lukasz.kozicki.pl/spam - serwis o spamie, definicjach, sposobach zwalczania i obrony.
RFC2635 – czym jest spam, jak go zwalczać, jak namierzyć spamera.
RFC3098 – jak korzystać z e-marketingu zgodnie z prawem, nie przeszkadzając innym.
Analiza nagłówków pocztowych – dokument autorstwa Pawła Krawczyka, 21.04.2001
Ustawa o świadczeniu usług drogą elektroniczną – dostępna pod adresem
http://sierp.net/ustawa_spam.pdf
Plansze w prezentacji:
1)
2)
3)
4)
5)
6)
7)
8)
Spis treści
Czym jest spam
Reklama elektroniczna w świetle polskiego prawa
Jak wykryć nadawcę spamu
Walka z niechcianymi listami – walka z wiatrakami? (ordb)
polspam, spamassassin
Co jeszcze można zrobić aby spamu nie otrzymywać
Źródła