Mariusz „Sierp” Preiss, 06.03.2003 1) Czym jest spam 2) Reklama
Transkrypt
Mariusz „Sierp” Preiss, 06.03.2003 1) Czym jest spam 2) Reklama
1) 2) 3) 4) 5) Mariusz „Sierp” Preiss, 06.03.2003 Czym jest spam Reklama elektroniczna w świetle prawa Jak wykryć nadawcę spamu... Walka z niechcianymi listami – walka z wiatrakami? Co można jeszcze zrobić aby spamu nie otrzymywać 1) Czym jest spam SPAM – słowo to zostało zapożyczone ze skeczu Monty Pythona (przytoczony w RFC2635), oznacza w skrócie wiadomość (e-mail lub post na grupie dyskusyjnej) niechcianą i niezamawianą, przynoszącą nadawcy „spamu” korzyść (materialną/kreowanie wizerunku etc). Istnieje wiele definicji spamu – jedną z nich prezentuję poniżej: 1. 2. 3. treść i kontekst wiadomości są niezależne od tożsamości odbiorcy, ponieważ ta sama treść może być skierowana do wielu innych potencjalnych odbiorców, jej odbiorca nie wyraził uprzednio możliwej do weryfikacji, zamierzonej, wyraźnej i zawsze odwoływalnej zgody na otrzymywanie tej wiadomości, treść wiadomości daje odbiorcy podstawę do przypuszczeń, że nadawca wskutek jej wysłania może odnieść korzyści nieproporcjonalne w stosunku do korzyści odbiorcy wynikających z jej odebrania. Spam przybiera różną formę, od maili które przychodzą z Tajwanu, a chodzi w nich tylko o kliknięcie w link, aż po oferty handlowe i ulotki reklamowe różnych producentów i firm. Właśnie na ofertach handlowych chciałbym się skupić. 2) Reklama elektroniczna w świetle prawa Do dziś w Polskim prawie „spamerzy” byli praktycznie bezkarni. Zgodnie z „Ustawą o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny" z dnia 2 marca 2000 r. (Dz.U. Nr 22, poz 271): "Posłużenie się (...), pocztą elektroniczną, (...) w celu złożenia propozycji zawarcia umowy może nastąpić wyłącznie za uprzednią zgodą konsumenta." Jednak istniał pewien problem.. zgodnie z przepisami wolno było wysyłać reklamy bez takiej zgody o ile adres elektroniczny był publicznie dostępny (a pod to można już podciągnąć wszystko). W dniu 10 marca 2003 roku wejdzie w życie nowa ustawa, „Ustawa o świadczeniu usług drogą elektroniczną” z dnia 18 lipca 2002 roku (DZ.U. nr 144 poz. 1204). Art. 10. 1. Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. 2. Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny. 3. Działanie, o którym mowa w ust. 1, stanowi czyn nieuczciwej konkurencji w rozumieniu przepisów ustawy, o której mowa w art. 9 ust. 3 punkt 1. Dalej czytamy, że czyn taki jest wykroczeniem zagrożonym karą grzywny. Dopiero od 10 marca możemy powiedzieć że Polskie prawo jest przygotowane na walkę z wszechobecną reklamą elektroniczną (spamem). (trzeba tutaj podkreślić, że dodatkowym problemem spamu jest to, że koszty ponosi nie tylko nadawca, ale i odbiorca! – np. płaci za połączenie, płaci za ilość przesłanych informacji etc.) 3) Jak wykryć nadawcę spamu... Sprawa często jest bardzo prosta – reklamę wysyła pewna firma – wiadomo która bo często jest wymieniona w mailu/poście – ale gdzie to zgłosić? Przecież nie do samej firmy, która reklamę wysyłała... Otóż najczęściej trzeba zerknąć do źródła wiadomości i obejrzeć jej nagłówek. Przykładowy nagłówek poczty elektronicznej przedstawiam poniżej (UWAGA! to tylko przyklad): Return-Path: <[email protected]> Delivered-To: [email protected] Received: from pulsar.if.pwr.wroc.pl (pulsar.if.pwr.wroc.pl [156.17.75.7]) by ochlapek.sierp.net (smtp server) with ESMTP id C7F88EFE3C for <[email protected]>; Sat, 1 Mar 2003 12:44:08 +0100 (CET) Received: from juzer.pulsar.if.pwr.wroc.pl ([156.17.75.5]) by pulsar.if.pwr.wroc.pl with esmtp (Exim 4.10) id 18p58v-000Kv3-00 for [email protected]; Sat, 01 Mar 2003 12:27:01 +0100 Date: Sat, 1 Mar 2003 12:27:01 +0100 (CET) From: "Juzer" <[email protected]> To: [email protected] Subject: Mitnick Message-ID: <[email protected]> MIME-Version: 1.0 Content-Type: TEXT/PLAIN; charset=US-ASCII X-UIDL: C?=!!E%3!!Od^!!J8;"! Status: RO Ten list przeszedł przez dwie maszyny, o czym świadczą dwa pola Reveived. Nagłówek dolny został dodany wcześniej, kolejne pola są dodawane powyżej. Nasz serwer (ochlapek.sierp.net) otrzymał przesyłkę od serwera Politechniki Wrocławskiej pulsar.if.pwr.wroc.pl. Ten z kolei otrzymał maila od hosta sivy.pulsar.if.pwr.wroc.pl (156.17.75.5). Należy zaznaczyć że numer IP jest jedyną tutaj pewną informacją – nazwa może być zmyślona i zupełnie nieprawdziwa. Tutaj podobieństwo nazw i numerów IP pozwala stwierdzić, że maila wysłano z komputera będącego w sieci Politechniki Wrocławskiej. Jeżeli chcielibyśmy wysłać skargę na nadawcę, musielibyśmy wysłać ją do Politechniki Wrocławskiej – Instytutu Fizyki. RFC definiuje adres na który takie skargi powinny być przyjmowane – jest to (w tym przypadku) [email protected] - a w ogólności abuse@provider. Należy też powiadomić administratora serwera który został do tego wykorzystany – tutaj zapewne [email protected]. Możemy nie poprzestawać na tym. Jako że mail został wysłany przez tą instytucję, być może został wysłany za jej zgodą. Możemy zgłosić fakt nadużycia do ISP (Internet Service Provider) danej instytucji. Aby dowiedzieć się dokąd powinniśmy takiego maila wysłać, musimy wejść na stronę www.ripe.net/perl/whois, wpisać szukany adres IP (156.17.75.5) i dowiadujemy się że odpowiedzialny za ten przedział numerów IP jest WASK, więc do niego kierujemy skargę ([email protected]). Są jeszcze 3 inne instytucje podobne do RIPE, które zajmują się katalogowaniem i rozdziałem numerów IP, są to w zależności od lokalizacji www.arin.net, www.apnic.net oraz www.lacnic.net. (uwaga! Skarga powinna zawierać pełen nagłówek otrzymanej przez nas wiadomości – jest to konieczne do ustalenia sprawcy i udowodnienia mu czynu). 4) Walka z niechcianymi listami – walka z wiatrakami? Walczyć ze spamem można i należy – tego procederu nigdy się nie wytępi, gdyż dla nadawców jest to najtańszy z możliwych sposobów dotarcia do potencjalnego klienta (w USA koszt dotarcia do klienta poprzez papierowy przekaz ocenia się na 1$ od adresu, dla poczty elektronicznej koszt wynosi około 1/100 centa...). A jak walczyć? Jest wiele narzędzi i programów które pomagają w tym aby spamu się pozbyć, lub bardzo go ograniczyć. Jest kilka podstawowych metod które postaram się omówić. a) ordb.org – jest to baza danych (Open Relay DataBase) serwerów które pozwalają wysyłać pocztę bez żadnej autoryzacji – oznacza to że każdy, bez znajomości hasła, jest w stanie wysłać maila przez taki serwer który staje się swoistą bramką dla spamu, często nieświadomie stworzoną przez jej administratora. Większość ogólnodostępnych serwerów (onet.pl, wp.pl, o2.pl ...) pozwala wysyłać listy bez autoryzacji, co oznacza nie tylko łatwość w podszywaniu się pod kogoś (nie wymaga to żadnej wiedzy), ale i wysyłanie spamu. Dużą ilość serwerów open relay można wytłumaczyć niedawnym boomem Linuksa i sieci lokalnych – oraz niedoświadczeniem administratorów. Ilość serwerów OR na przestrzeni czasu 2001 lipiec 2001 wrzesień 2001 grudzień 2002 marzec 2002 czerwiec 2002 październik 2002 grudzień 2003 luty 2003 marzec 7000 92000 135000 195000 200000 210000 220000 200000 180000 Top 10 krajów które posiadają serwery OpenRelay nieznany com net tw edu jp uk de 103 tys. 22 tys. 21 tys. 2,8 tys. 2,4 tys. 2,4 tys. 1,9 tys. 1,7 tys. ar pl b) c) 1,7 tyś 1,5 tyś W bazie tej można sprawdzić własny serwer czy jest on serwerem Open Relay. Jeżeli wysyłamy maila i dostaniemy zwrot, że mail został odrzucony bo znajduje się w bazie ORDB – należy zabezpieczyć serwer lub zgłosić to administratorowi. Strona projektu – www.ordb.org polspam.org – jest to projekt polskiego autorstwa – zawiera bazę nie serwerów, a konkretnych adresów z których wysyłany był spam. Serwis działa na prostej zasadzie – jeżeli ktokolwiek dostał spam i może to potwierdzić autentycznym nagłówkiem, wypełnia formularz na stronie projektu i adres (po analizie administratorów odpowiedzialnych za bazę) zostaje do niej dopisany, po czym poczta jest odrzucana przez serwer z takiego adresu automatycznie z odpowiednią dla nadawcy informacją. Jako że polspam działa w Polsce – jest dla nas dość bogatą i użyteczną bazą która często się sprawdza. Aktualnie w bazie polspamu znajduje się około 82 tyś rekordów. Strona projektu – www.polspam.net spamassassin – jest narzędziem do heurystycznego filtrowania poczty w celu wykrywania spamu/reklam. Działa on na dość prostej zasadzie – otrzymany mail jest analizowany – tak jego nagłówek jak i treść. Przeprowadza się na nim szereg testów, które (jeżeli znajdują w danym przypadku zastosowanie) dodają do licznika punkty. Jeżeli licznik przekroczy daną wartość (domyślnie 5) – taki mail jest odrzucany. Lista testów i ich punktacja znajduje się na stronie www.spamassassin.org/tests.html, poniżej podałem kilka przykładów: User-Agent header indicates a non-spam MUA (Outlook Express) User-Agent header indicates a non-spam MUA (KMail) Listed in Pyzor, see http://pyzor.sf.net/ Subject is all capitals Message is 70% to 80% HTML 0,001 -6,400 1,248 0,664 0,254 Strona projektu – www.spamassassin.org 5) Co można jeszcze zrobić aby spamu nie otrzymywać Przede wszystkim – reagować. Nawet jeżeli nie osiągniemy od razu rezultatu – to zwracanie spamerom i ich administratorom uwagi będzie dla nich sygnałem, że stąpają po kruchym lodzie (zwłaszcza w świetle wchodzącej ustawy). Należy wysyłać skargi do administratorów serwerów i ISP, a może uda się wymóc zwiększoną kontrole nad ich użytkownikami. Weźmy jako przykład naszą rodzimą Telekomunikację (TPSA). Jest to jeden z najgorzej reagujących molochów w skali tak kraju, jak i świata. Na wszelkich listach hosty z domeny tpnet.pl figurują tuż obok takich krajów (przodujących w wysyłaniu spamu) jak Chiny, Korea czy Tajwan. Przykładowo – w serwisie www.spamhippo.com - który trzyma listę 100 największych spamerów grup dyskusyjnych, kilka z nich jest z domeny właśnie tepsy – na 100 hostów na miliony hostów w Internecie!!! Co ciekawe – jednym z tych hostów (a raczej zbiorem hostów) jest szczecin.cvx.ppp.tpnet.pl. Po drugie – używać wyżej wymienionych technik obrony przed spamem. Niestety większość z nich wymaga implementacji na serwerze pocztowym, jednak kilka z nich (np. polspam) łatwo da się zintegrować z klientami pocztowymi (przykładowo TheBat!’em) Można też szukać filtrów do innych znanych klientów pocztowych. Dodatkowo – można nie korzystać z głównego adresu pocztowego, a korzystać tylko z aliasów które na ten adres wskazują – gdy po pewnym czasie na te aliasy zaczyna przychodzić za dużo spamu – po prostu rezygnujemy z aliasów i tworzymy kolejne. Przykładem takiego serwisu (tworzącego aliasy) jest choćby SpamMotel (Windows) www.spammotel.com, czy Snakemail (niezależnie od OS) - sneakemail.com. Często w otrzymanym spamie znajduje się link z informacją, że po jego kliknięciu nasz adres zostanie usunięty z bazy firmy która nas tym spamem raczyła. W 99% jest to sposób niekonieczny, który wykorzystywany jest przez nieuczciwe firmy tylko w jednym celu – w przekonaniu się że mail dotarł do adresata który go przeczytał. Przy korzystaniu z grup dyskusyjnych raczej nie podawajmy w sposób otwarty naszego adresu – roboty newsowe codziennie przeczesują usenet w poszukiwaniu takich właśnie naiwniaków. Nie należy w formie jawnej podawać adresów e-mail na własnej stronie www – można robić różne sztuczki (np. za pomocą JavaScriptu) lub zastąpić tekst rysunkiem (choć tutaj spamerom może pomóc zastosowanie algorytmów sieci neuronowych ;-) ). Ew. pozamieniać niektóre znaki (zaznaczając to gdzieś) lub dodawać słowa typu wytnij.to do adresu email... wszystko to aby ochronić nasz adres mailowy przed niechcianą agitacją. Źródła: http://lukasz.kozicki.pl/spam - serwis o spamie, definicjach, sposobach zwalczania i obrony. RFC2635 – czym jest spam, jak go zwalczać, jak namierzyć spamera. RFC3098 – jak korzystać z e-marketingu zgodnie z prawem, nie przeszkadzając innym. Analiza nagłówków pocztowych – dokument autorstwa Pawła Krawczyka, 21.04.2001 Ustawa o świadczeniu usług drogą elektroniczną – dostępna pod adresem http://sierp.net/ustawa_spam.pdf Plansze w prezentacji: 1) 2) 3) 4) 5) 6) 7) 8) Spis treści Czym jest spam Reklama elektroniczna w świetle polskiego prawa Jak wykryć nadawcę spamu Walka z niechcianymi listami – walka z wiatrakami? (ordb) polspam, spamassassin Co jeszcze można zrobić aby spamu nie otrzymywać Źródła