81 milliomod ezrelék

81 milliomod ezrelék - ennyien vásárolnak végül egy kék pirulákat ajánló spam nyomán a Berkley egyetem kutatói által nemrég publikált, tiszteletet parancsolóan alapos és precíz kutatás eredményei szerint. Ízlelgessük egy kicsit a számot: egy bő magyarországnyi lakosnak kiküldött email-halom után történik egyetlenegy bankkártyakód-megadás. Nem létezik még egy marketingeszköz, ahol akár hozzávetőleg hasonló arány elfogadható lenne - de olyan se, amit ennyire utálnánk. És mégis: valamiért megéri, hisz ha nem így lenne, igény se lenne rá. Ennek a mechanizmusnak próbáltak részletesen, első kézből származó tapasztalatokat és mérési eredményeket gyűjtve utánajárni a tanulmány készítői, és egy rengeteg érdekes tanulsággal szolgáló írást sikerült összehozniuk.

Régóta alapvetésként kezelt tény, hogy manapság a spamek meghatározó részét különféle botneteken keresztül küldik ki. Ilyen mennyiség mellett nem is lenne működőképes egy centralizált rendszer: a teljesítménykorlátoktól eltekintve is túl könnyen lehetne kiszűrni egyetlen kiindulási pontot - erre ma már a legtöbb levélkezelő rendszer képes különféle on-line frissített központi listák alapján. A Storm botnet ezen zombigép-hálózatok közül az egyik legnagyobb, legismertebb és legrészletesebben kutatott. A lassan két éve egyre csak terjedő, némi social engineeringre építve a felhasználók gépére telepített trójai programmal operáló rendszer szép karriert futott be: mostanra sokmilliós nagyságrendűre becsülik a fertőzött gépek számát és már az FBI is jelentős erőkkel nyomoz az üzemeltetői után.

A Storm egy háromszintű szerkezetet használ: a rendszer üzemeltetői (a botmasterek) néhány stabil helyen, nehezen elérhető-leszedésre bírható szolgáltatónál elhelyezett központi szerverrel kommunikálnak, ezekről indulnak ki a botnetet vezérlő parancsok. A megfertőzött gépeken a trójai először megvizsgálja, hogy elérhető-e kívülről, és ha igen, belőle válhat a második szintet képviselő proxy, aki közvetlenül bekapcsolódik a master-szerverekhez és továbbítja az utasításokat a láncban végső helyet elfoglaló "worker" botokhoz. A kapcsolatot a proxykkal a megfertőzött gépek egy némileg bonyolultabb, de a peer-2-peer hálózatokban alapvető eszközként használt, elosztott hashtáblákra építő megoldással találják meg, ahonnan aktuális feladatukat pull-jelleggel, rendszeres lekérdezéssel tudakolják meg.

Ezt a felépítést használták ki a kutatók: egy kontrollált környezetben elhelyeztek néhány botot, amikből jó paramétereik miatt hamar proxy vált, és a hálózati forgalmuk egy tűzfallal elkapva azt úgy írták át, hogy a munkát végző zombigépeknek kiadott utasítások alapján az amúgy kiküldött spamek az eredeti oldalak helyett általuk kontrollált tartalomra mutassanak. Ezeken az oldalakon az eredetiekhez hasonló, de ártatlan weboldalakat üzemeltek be: egy pirulákat áruló webshopot és egy aranyos képeslapokat küldő program letöltésére buzdító szolgáltatást. Ennek segítségével lehetővé vált pontosan megmérni, hogy hányan "dőlnek be", azaz ki vásárolnak vagy töltenek le egy újabb trójait egy-egy spam nyomán.

Az eredményeikből egy dolog bizonyosan kiderül: elképesztő energiákat kell befektetnie a spammereknek ahhoz, hogy a széleskörűen használt spamvédő rendszereken átjutva egyáltalán a felhasználó elé kerüljön a levél. A kiküldött üzenetek 75 százaléka már szerverszinten elvérzik, a kiszolgáló azonnal visszadobja őket. Az itt átjutott 25 százaléknak se könnyebb a dolga: az elküldött spameknek bőven egy század százalék alatti hányadát nem fogják meg az ingyenes mail-kiszolgálók szűrői. Viszont az is tisztán látszik a számokból, hogy ezekre a védelmekre szemlátomást szükség is van: ami levél mindezen a védelmi infrastruktúrán átjutott, az azokban szereplő linkekre legalább minden tizedik felhasználó rákattintott. Persze ténylegesen már jóval kevesebben dőlnek be - az oldalakat meglátogatók közül csak minden minden ezredik próbált meg vásárolni is valamit, viszont ami nyomasztóbb arány, nagyjából minden tizedik letöltött és futtatott egy programot, ami normál esetben a Storm további terjedését garantáló trójai lett volna.

Egy nagyon érdekes további megfigyelése a kutatásnak, hogy hatalmas mennyiségű automatizált rendszer figyeli és vizsgálja ezeket a spameket: az oldalaikra érkező lekérdezések több, mint fele ilyen, kutatók és vírusirtó cégek által üzemeltetett rendszerektől származott. A levélküldéstől számított húsz másodpercen belül programok százai ugrottak rá a landing page-ekre, sőt volt olyan vírusirtó cég, akik már a kísérlet kezdetétől számított pár nap után elkezdte legújabb frissítéseiben kitiltani a kutatók által letöltésre kínált apró ártatlan programot.

Félelmetes mennyiségben kapjuk a spamet, ehhez képest nagyon jó munkát végzünk a szűrésében, de ha végül megkapjuk, akkor gyakran elég bután cselekszünk - nagyjából ez a tömör végerdemény. Végeláthatatlan harc ez a szűrők fejlesztői és a spammerek között, látszik, hogy valamilyen paradigmális váltásra van szükség, ha nem akarjuk, hogy az értelmes mailek végleg kis szemcsékké váljanak a spamek fehér zajában. A probléma csak az, hogy senki nem jött még rá az igazi, járható megoldásra, hiába sorolja a technikák özönét a vonatkozó Wikipédia-oldal.

Hatalmas a rendszer tehetetlensége is, a pofonegyszerű SMTP-t lecserélni valami komplexebbre szinte lehetetlen feladat globális szinten, de nem is ez a legnagyobb gond. A baj az, hogy a legtöbb megoldás a küldő egyértelmű azonosítására, felelőssé tételére épít, akár valamiféle autentikálás beépítésével, akár minimális szinten, de a szolgáltatás fizetőssé tételével. Ez szép és jó, ha a spammelés klasszikus modelljét nézzük, amiben a gonosz spammer saját maga küldi ki levelek millióit - de máris ellehetetlenül bármi ilyen megközelítés, ha feltételezzük, hogy az illető rendelkezik egy, a Stormhoz hasonlóan ártatlan felhasználók millióit érintő botnettel. A beépült trójaikkal márpedig praktikusan bármit elérhet, így nem fog akadályt képezni holmi fizetősség vagy azonosítás - hisz ekkor egyszerűen csak a fertőzött gép tulajdonosa lesz a level küldője. Bár tény, egy pártízezres email-számla után valószínűleg igen gyorsan megnövekszik a biztonság-tudatossága az embernek...