SPAM - váš nepřítel!
5.3.2009, Jiří Černý, článek
Záplava e-mailů s nevyžádanou reklamou, guestbooky blogů zahlcené stovkami nesmyslných příspěvku a moderátoři promazávající diskuzní fóra – i to je jeden z obrazů dnešního Internetu. Co všechno se pod označením SPAM schovává a jaké jsou možnosti obrany?
Pod termín „spam“ lze zahrnout pestrou paletu nevyžadáných (a zpravidla i nežadoucích) oznámení, šířících se Internetem pod rouškou e-mailů, blogů i jinými cestami. Snad každý z nás na něj už někdy v životě narazil, zvláště moderoval-li kupříkladu nějaké to rozsáhlejší diskuzní fórum (můj případ). Typická je zejména všudypřítomná reklama - nicméně stejně tak může jít i o úplně nicneříkající příspěvky, jejichž jediným smyslem je znepříjemnit krajně život buď jen vám, nebo i všem ostatním zúčastněným.
Z tohoto úhlu pohledu bych si dovolil spam přirovnat ke komárům a jinému obtížnému hmyzu, který bývá zvykem promptně a bez slitování hubit. To však nemusí být právě nejjednodušší. Nemá-li vás někdy později přivést k pokraji šílenství několikahodinové promazávání e-mailů, které skutečně číst nechcete a ani nikdy chtít nebudete (neb s velikostí svého penisu jste naprosto spokojeni), stává se zbraní z nejúčinnějších repelent. Tedy prevence.
Názornou ukázkou prevence budiž obyčejný způsob psaní vaší e-mailové adresy kamkoliv na web. Pakliže disponujete dejme tomu účtem karel.novak@novakovo.cz a potřebujete ho někde uveřejnit, možná vám příjde zbytečné zvolit formu karel.novak(zavináč)novakovo.cz. Použitím varianty číslo jedna se však vydáváte všanc zákeřným robotům naprogramovaným právě za účelem vytváření celých databází kontaktů podobně neopatrných uživatelů. A pak se za pár dní při kontrole pošty už nestačíte divit. Na situaci kolem spamu samozřejmě bezprostředně reagovali i sami poskytovatelé e-mailových schránek, kteří se před ním pokouší své zákazníky všemožně uchránit. Známým je v této souvislosti řekněme SPAMfighters Exchange anti spam modul, určený pro Microsoft Exchange Server 2000, 2003 a 2007 či Microsoft Small Business Server (SBS).
Jistá potíž je s tím, že filtry rozhodně nejsou neomylné. Když se nyní podívám do složky Odpad na svém vlastním webmailu (do které jsou ukládány příchozí zprávy vyhodnocené systémem právě jako spam či vir), naleznu skutečně jen spamy/viry. Čas od času však stejný osud potká i nějakou tu pracovní poštu, nedopatřením za odpad považovanou. A pokud nekontroluji dotyčnou složku často, mám smůlu já stejně jako odesílatel marně čekající na odpověď.
Toto je ostatně jeden z důvodů, proč bylo pro nasazení do akce vůbec vybráno právě poněkud nepraktické řešení s individuální spam složkou – efektivnější jistě je, aby filtr smazal e-mail rovnou a zbytečně vám nezahlcoval kapacitu schránky. Používat software typu Aldo's SPAM Cleaner (který se „na nic neptá“) ovšem vzhledem k možnosti chybného vyhodnocení doporučuji možná tak jen pro soukromou poštu, kdy případná ztráta nějakého toho dopisu od kamaráda ze zahraničí zase až tak moc nezabolí.
Filtrovacích programů dnes každopádně existuje nepřeberné množství a to i ve formě freeware. Mnohé z nich jsou navíc chytré i v jiných směrech – tak třeba BounceBully umožní vracet spam zpět odesílateli a modifikuje ho navíc do podoby „Return to Sender. Address Unknown.“ Na mapě světa vám také ukáže, odkud vlastně e-mail dorazil (ne že by vám to vysloveně k něčemu bylo dobré). Bongosoft Antispam si při instalaci okopíruje váš adresář a dorazí-li zpráva od kohokoliv jiného, dotyčný člověk obratem obdrží automaticky generovanou žádost o zaslání autentifikačního kódu. Tato forma ochrany se jeví na první pohled jako vysoce účinná, nicméně na pohled druhý poměrně komplikuje život všem lidem mimo onu ligu výjimečných, kteří vám rovněž chtějí něco naléhavě sdělit.
V souvislosti se spamem může dojít i k různým kuriózním situacím. Například vám začnou chodit e-maily z vaší vlastní adresy. Schizofrenie to skutečně není, zpravidla postačí zareagovat odpovídající změnou filtrů... Mnohé kvalitní systémy v současné době používají pro blokaci spamu až čtyřnásobnou kontrolu. Nejprve projde prověrkou odesílatel, respektive doména – pokud neexistuje, e-mail se obvykle rovnou maže.
Druhým bodem je greylisting, tedy porovnání s databází „IP adresa odesílatele-odesílatel-příjemce“. Třetí bod představuje antivirový systém a konečně čtvrtým bodem může být tzv. spamassassin, pracující na základě předem nadefinovaných pravidel. Pozadu v inovacích ovšem rozhodně nezůstávají ani vývojáři spamu, kteří vymýšlí stále sotisfikovanější způsoby kterak dovnitř.
Botnet je stručně řečeno soubor zavirovaných počítačů (v případě Confickeru šlo mimochodem hned o několik milionů strojů současně), který má za úkol prolomit CAPTCHA. CAPTCHA není nic jiného, než souhrný název pro ochranu určenou k rozpoznávání robotů od lidí, založenou třeba na populárním a otrockém opisování kódů z obrázků (vesměs špatně viditelných). Neopíšete-li správně kód, máte smůlu a příspěvek na fórum (například) prostě neodešlete. Pokud snad myslíte, že CAPTCHA nemůže být prolomena už z principu věci, stačí se podívat na tuto stránku. Navíc ji někteří autoři považují za svým způsobem diskriminující a navrhují řešení jiná, což nás však teď nemusí zase až tak dalece zajímat.
Více nás zajímají vlastní botneti, kteří v roce 2008 prý odeslali až neuvěřitelných 90% veškerých nevyžádaných e-mailů. Obrannou linii proti nim by měly držet primárně antivirové i anti-spyware programy čistící napadené počítače. A právě tady musí každý z nás začít zase sám u sebe.
Již zmiňovaná prevence totiž spočívá i v informovanosti a my bohužel stále žijeme ve světě, kde spousta lidí bez nejmenšího stínu pochybnosti naletí i phishingovým e-mailům. Nejen vzhledem k tomu jsou prognózy spíše pesmistické a rozhodně nic nenasvědčuje tomu, že bychom se v dohledné budoucnosti měli se spamem definitivně vypořádat.
Jak lze z předchozích odstavců asi vytušit, nejsem právě příznivcem CAPTCHA. Přijde mi hrozně otravné, když chci někomu zanechat komentář u jeho článku a abych tak vůbec mohl učinit, musím se napřed prokousat procesem často silně připomínajícím luštění šifry. Roboti naprogramovaní za účelem šíření spamu však zdaleka nepátrají jen po e-mailových adresách, ale i nedostatečně zabezpečených fórech typu phpBB a dalších. Přitom obrana obsažená již ve vlastní aplikaci je až žalostně nedostatečná a nepředstavuje pro ně žádnu výraznější překážku.
Navíc do hry vstupuje ještě lidský faktor. Najdou se totiž i tací jedinci, kteři si zakládají účty právě výhradně za účelem šíření spamu a to teď rozhodně nemluvím o reklamách na viagru. Asi nikoho dvakrát nepotěší, když se probudí a najde svoje fórum zahlcené příspěvky typu „asdfghjklů“. Trpělivost dotyčných je sice občas i obdivuhodná, ovšem někdo to po nich promazat stejně musí.
Jednou ze společností, které přešly do protiútoku, je i Microsoft se svojí Assirou. Tentokrát místo luštění šifer (opisování textu) hadáte, co je na obrázku – pes, kočka, nebo kočkopes? Jistou nezanedbatelnou výhodu samozřejmě získáváte i díky češtině, jelikož většina robotů je optimalizovaných pro práci s angličtinou. Snaha o neustálé blokování IP adres je nicméně předem odsouzena k nezdaru, obdobně jako omezení vstupu pouze na registrované uživatele (byť právě tato cesta původně vypadala docela slibně).
Vyzkoušet můžete třebas ještě klientskou ochranu v JavaScriptu, ale přesto počítejte s tím, že čas od času stejně budete muset mazat. Pakliže bych měl tedy odpovědět na otázku, zda jde vůbec diskuzní fórum proti spamu zcela spolehlivě zabezpečit, slyšeli byste ode mě „spíše ne“ – ovšem lze se o to minimálně pokusit. Navazující otázkou (kterou již ponechávám k diskuzi) ovšem je, jestli pak od vás většina uživatelů rychle neuteče kvůli diskomfortu.
Co se čistě blogů týče, zájemci o problematiku si mohou stáhnout například tuto zprávu. Plyne z ní mimo jiné to, že už před pár lety byl spam na cca 75% všech blogů pod Blogspot.com, nemluvě pak o systémech jiných. Vím minimálně o jednom uživateli, kterému se takhle během noci objevilo na blogu přes 600 nových komentářů (z pohledu útočníka dosažení takového počtu nepředstavuje žádný problém), což mimo jiné vedlo kvůli nárůstu databáze k překročení diskové kvóty. Odmítáte CAPTCHA? Tady je každá dobrá rada drahá. Zkuste filtrovat příspěvky, nenechávejte guestbook zbytečně zaindexovaný ve vyhledávačích (slouží k tomu soubor robots.txt), zakazujte vložení textu obsahujícího www odkaz. Já osobně bych zase vyzkoušel i javascriptovou bariéru. Existuje více způsobů, ovšem jejich detailní popis je silně nad rámec tohoto článku.
Z pohledu zákona č. 480/2004 Sb. (novelizovaného v roce 2005 i 2006) je spam nevyžádané obchodní sdělení a bližší informace naleznete zde. S tímto zákonem přímo souvisí rozšíření úpravy o definice (všechny formy sdělení určené k přímé či nepřímé podpoře zboží či služeb nebo image podniku a také reklama podle zákona o regulaci reklamy) a problematiku šíření obchodních sdělení. Například i pokud někomu sami poskytnete vaši e-mailovou adresu (nakupujete zboží v e-shopu), mohou vám na ní být obchodní sdělení zasílána pouze po vašem prokazatelném souhlasu. Současně by mělo každé takové sdělení navíc obsahovat možnost odmítnutí tohoto souhlasu.
Nemusím tu nejspíš rozepisovat, jaká je vlastně praktická využitelnost různých paragrafů, nicméně vězte, že příslušný orgán dozoru může provinilcům vyměřit až několikamilionovou pokutu. Spamu se tuším dotýká i zákon č. 127/2005 Sb. - zejména pak § 93, který výslovně zakazuje použití e-mailové adresy pro odeslání zprávy či zpráv třetím osobám bez souhlasu držitele této adresy a paragrafy 95 a 96. Spoustu z vás teď asi napadne, kterak je to vlastně s prokazováním porušení zákona v praxi, takže se podívejme alespoň na dva konkrétní případy:
Hotel U Lípy – velmi populární kauza, kdy samotný Hotel U Lípy nejprve podal trestní oznámení na ty, kdož se proti jeho praktikám bránili založením sítě vzájemně propojených stránek s informativním charakterem a nakonec dostal pokutu 250 000 Kč od ÚOOÚ.
Společnost Scarabeus – pokuta 160 000 Kč za zasílání obchodních sdělení obsahujících nabídku na zařazení adresáta do jisté databáze podnikatelských subjektů a institucí.
Úřad pro ochranu osobních ůdajů mimochodem na svých stránkách uveřejňuje výroční zprávy, díky kterým zjistíte, jaké výše vlastně pokuty nakonec dosáhly (např. za rok 2007 to bylo 437 000 Kč). V zahraničí ovšem není výjimkou žaloba o desítky milionů USD, viz kauza MySpace vs CPA sítě a další.
Ukazuje se tak, že alespoň na některých úsecích dlouhé bitevní fronty můžeme dosáhnout dílčích vítězství. Válku jako takovou však momentálně ani přes veškerou snahu vyhrát zkrátka dost dobře nelze
Z tohoto úhlu pohledu bych si dovolil spam přirovnat ke komárům a jinému obtížnému hmyzu, který bývá zvykem promptně a bez slitování hubit. To však nemusí být právě nejjednodušší. Nemá-li vás někdy později přivést k pokraji šílenství několikahodinové promazávání e-mailů, které skutečně číst nechcete a ani nikdy chtít nebudete (neb s velikostí svého penisu jste naprosto spokojeni), stává se zbraní z nejúčinnějších repelent. Tedy prevence.
Prevence, spam a e-maily
Názornou ukázkou prevence budiž obyčejný způsob psaní vaší e-mailové adresy kamkoliv na web. Pakliže disponujete dejme tomu účtem karel.novak@novakovo.cz a potřebujete ho někde uveřejnit, možná vám příjde zbytečné zvolit formu karel.novak(zavináč)novakovo.cz. Použitím varianty číslo jedna se však vydáváte všanc zákeřným robotům naprogramovaným právě za účelem vytváření celých databází kontaktů podobně neopatrných uživatelů. A pak se za pár dní při kontrole pošty už nestačíte divit. Na situaci kolem spamu samozřejmě bezprostředně reagovali i sami poskytovatelé e-mailových schránek, kteří se před ním pokouší své zákazníky všemožně uchránit. Známým je v této souvislosti řekněme SPAMfighters Exchange anti spam modul, určený pro Microsoft Exchange Server 2000, 2003 a 2007 či Microsoft Small Business Server (SBS).
Jistá potíž je s tím, že filtry rozhodně nejsou neomylné. Když se nyní podívám do složky Odpad na svém vlastním webmailu (do které jsou ukládány příchozí zprávy vyhodnocené systémem právě jako spam či vir), naleznu skutečně jen spamy/viry. Čas od času však stejný osud potká i nějakou tu pracovní poštu, nedopatřením za odpad považovanou. A pokud nekontroluji dotyčnou složku často, mám smůlu já stejně jako odesílatel marně čekající na odpověď.
Toto je ostatně jeden z důvodů, proč bylo pro nasazení do akce vůbec vybráno právě poněkud nepraktické řešení s individuální spam složkou – efektivnější jistě je, aby filtr smazal e-mail rovnou a zbytečně vám nezahlcoval kapacitu schránky. Používat software typu Aldo's SPAM Cleaner (který se „na nic neptá“) ovšem vzhledem k možnosti chybného vyhodnocení doporučuji možná tak jen pro soukromou poštu, kdy případná ztráta nějakého toho dopisu od kamaráda ze zahraničí zase až tak moc nezabolí.
Filtrovacích programů dnes každopádně existuje nepřeberné množství a to i ve formě freeware. Mnohé z nich jsou navíc chytré i v jiných směrech – tak třeba BounceBully umožní vracet spam zpět odesílateli a modifikuje ho navíc do podoby „Return to Sender. Address Unknown.“ Na mapě světa vám také ukáže, odkud vlastně e-mail dorazil (ne že by vám to vysloveně k něčemu bylo dobré). Bongosoft Antispam si při instalaci okopíruje váš adresář a dorazí-li zpráva od kohokoliv jiného, dotyčný člověk obratem obdrží automaticky generovanou žádost o zaslání autentifikačního kódu. Tato forma ochrany se jeví na první pohled jako vysoce účinná, nicméně na pohled druhý poměrně komplikuje život všem lidem mimo onu ligu výjimečných, kteří vám rovněž chtějí něco naléhavě sdělit.
V souvislosti se spamem může dojít i k různým kuriózním situacím. Například vám začnou chodit e-maily z vaší vlastní adresy. Schizofrenie to skutečně není, zpravidla postačí zareagovat odpovídající změnou filtrů... Mnohé kvalitní systémy v současné době používají pro blokaci spamu až čtyřnásobnou kontrolu. Nejprve projde prověrkou odesílatel, respektive doména – pokud neexistuje, e-mail se obvykle rovnou maže.
Druhým bodem je greylisting, tedy porovnání s databází „IP adresa odesílatele-odesílatel-příjemce“. Třetí bod představuje antivirový systém a konečně čtvrtým bodem může být tzv. spamassassin, pracující na základě předem nadefinovaných pravidel. Pozadu v inovacích ovšem rozhodně nezůstávají ani vývojáři spamu, kteří vymýšlí stále sotisfikovanější způsoby kterak dovnitř.
Když se řekne botnet...
Botnet je stručně řečeno soubor zavirovaných počítačů (v případě Confickeru šlo mimochodem hned o několik milionů strojů současně), který má za úkol prolomit CAPTCHA. CAPTCHA není nic jiného, než souhrný název pro ochranu určenou k rozpoznávání robotů od lidí, založenou třeba na populárním a otrockém opisování kódů z obrázků (vesměs špatně viditelných). Neopíšete-li správně kód, máte smůlu a příspěvek na fórum (například) prostě neodešlete. Pokud snad myslíte, že CAPTCHA nemůže být prolomena už z principu věci, stačí se podívat na tuto stránku. Navíc ji někteří autoři považují za svým způsobem diskriminující a navrhují řešení jiná, což nás však teď nemusí zase až tak dalece zajímat.
Více nás zajímají vlastní botneti, kteří v roce 2008 prý odeslali až neuvěřitelných 90% veškerých nevyžádaných e-mailů. Obrannou linii proti nim by měly držet primárně antivirové i anti-spyware programy čistící napadené počítače. A právě tady musí každý z nás začít zase sám u sebe.
Již zmiňovaná prevence totiž spočívá i v informovanosti a my bohužel stále žijeme ve světě, kde spousta lidí bez nejmenšího stínu pochybnosti naletí i phishingovým e-mailům. Nejen vzhledem k tomu jsou prognózy spíše pesmistické a rozhodně nic nenasvědčuje tomu, že bychom se v dohledné budoucnosti měli se spamem definitivně vypořádat.
Spam na diskuzních fórech a blogu
Jak lze z předchozích odstavců asi vytušit, nejsem právě příznivcem CAPTCHA. Přijde mi hrozně otravné, když chci někomu zanechat komentář u jeho článku a abych tak vůbec mohl učinit, musím se napřed prokousat procesem často silně připomínajícím luštění šifry. Roboti naprogramovaní za účelem šíření spamu však zdaleka nepátrají jen po e-mailových adresách, ale i nedostatečně zabezpečených fórech typu phpBB a dalších. Přitom obrana obsažená již ve vlastní aplikaci je až žalostně nedostatečná a nepředstavuje pro ně žádnu výraznější překážku.
Navíc do hry vstupuje ještě lidský faktor. Najdou se totiž i tací jedinci, kteři si zakládají účty právě výhradně za účelem šíření spamu a to teď rozhodně nemluvím o reklamách na viagru. Asi nikoho dvakrát nepotěší, když se probudí a najde svoje fórum zahlcené příspěvky typu „asdfghjklů“. Trpělivost dotyčných je sice občas i obdivuhodná, ovšem někdo to po nich promazat stejně musí.
Jednou ze společností, které přešly do protiútoku, je i Microsoft se svojí Assirou. Tentokrát místo luštění šifer (opisování textu) hadáte, co je na obrázku – pes, kočka, nebo kočkopes? Jistou nezanedbatelnou výhodu samozřejmě získáváte i díky češtině, jelikož většina robotů je optimalizovaných pro práci s angličtinou. Snaha o neustálé blokování IP adres je nicméně předem odsouzena k nezdaru, obdobně jako omezení vstupu pouze na registrované uživatele (byť právě tato cesta původně vypadala docela slibně).
Vyzkoušet můžete třebas ještě klientskou ochranu v JavaScriptu, ale přesto počítejte s tím, že čas od času stejně budete muset mazat. Pakliže bych měl tedy odpovědět na otázku, zda jde vůbec diskuzní fórum proti spamu zcela spolehlivě zabezpečit, slyšeli byste ode mě „spíše ne“ – ovšem lze se o to minimálně pokusit. Navazující otázkou (kterou již ponechávám k diskuzi) ovšem je, jestli pak od vás většina uživatelů rychle neuteče kvůli diskomfortu.
Co se čistě blogů týče, zájemci o problematiku si mohou stáhnout například tuto zprávu. Plyne z ní mimo jiné to, že už před pár lety byl spam na cca 75% všech blogů pod Blogspot.com, nemluvě pak o systémech jiných. Vím minimálně o jednom uživateli, kterému se takhle během noci objevilo na blogu přes 600 nových komentářů (z pohledu útočníka dosažení takového počtu nepředstavuje žádný problém), což mimo jiné vedlo kvůli nárůstu databáze k překročení diskové kvóty. Odmítáte CAPTCHA? Tady je každá dobrá rada drahá. Zkuste filtrovat příspěvky, nenechávejte guestbook zbytečně zaindexovaný ve vyhledávačích (slouží k tomu soubor robots.txt), zakazujte vložení textu obsahujícího www odkaz. Já osobně bych zase vyzkoušel i javascriptovou bariéru. Existuje více způsobů, ovšem jejich detailní popis je silně nad rámec tohoto článku.
Spam kontra právo
Z pohledu zákona č. 480/2004 Sb. (novelizovaného v roce 2005 i 2006) je spam nevyžádané obchodní sdělení a bližší informace naleznete zde. S tímto zákonem přímo souvisí rozšíření úpravy o definice (všechny formy sdělení určené k přímé či nepřímé podpoře zboží či služeb nebo image podniku a také reklama podle zákona o regulaci reklamy) a problematiku šíření obchodních sdělení. Například i pokud někomu sami poskytnete vaši e-mailovou adresu (nakupujete zboží v e-shopu), mohou vám na ní být obchodní sdělení zasílána pouze po vašem prokazatelném souhlasu. Současně by mělo každé takové sdělení navíc obsahovat možnost odmítnutí tohoto souhlasu.
Nemusím tu nejspíš rozepisovat, jaká je vlastně praktická využitelnost různých paragrafů, nicméně vězte, že příslušný orgán dozoru může provinilcům vyměřit až několikamilionovou pokutu. Spamu se tuším dotýká i zákon č. 127/2005 Sb. - zejména pak § 93, který výslovně zakazuje použití e-mailové adresy pro odeslání zprávy či zpráv třetím osobám bez souhlasu držitele této adresy a paragrafy 95 a 96. Spoustu z vás teď asi napadne, kterak je to vlastně s prokazováním porušení zákona v praxi, takže se podívejme alespoň na dva konkrétní případy:
Hotel U Lípy – velmi populární kauza, kdy samotný Hotel U Lípy nejprve podal trestní oznámení na ty, kdož se proti jeho praktikám bránili založením sítě vzájemně propojených stránek s informativním charakterem a nakonec dostal pokutu 250 000 Kč od ÚOOÚ.
Společnost Scarabeus – pokuta 160 000 Kč za zasílání obchodních sdělení obsahujících nabídku na zařazení adresáta do jisté databáze podnikatelských subjektů a institucí.
Úřad pro ochranu osobních ůdajů mimochodem na svých stránkách uveřejňuje výroční zprávy, díky kterým zjistíte, jaké výše vlastně pokuty nakonec dosáhly (např. za rok 2007 to bylo 437 000 Kč). V zahraničí ovšem není výjimkou žaloba o desítky milionů USD, viz kauza MySpace vs CPA sítě a další.
Ukazuje se tak, že alespoň na některých úsecích dlouhé bitevní fronty můžeme dosáhnout dílčích vítězství. Válku jako takovou však momentálně ani přes veškerou snahu vyhrát zkrátka dost dobře nelze