Spamerskie sztuczki_pl.pdf

(656 KB) Pobierz
1150270 UNPDF
Spamerskie
sztuczki
John Graham-Cumming
Artykuł opublikowany w numerze 3/2004 magazynu “Hakin9”. Wszelkie prawa zastrzeżone.
Bezpłatne kopiowanie i rozpowszechnianie artykułu dozwolone pod warunkiem zachowania jego obecnej formy i treści.
Magazyn “Hakin9”, Wydawnictwo Software, ul. Lewartowskiego 6, 00-190 Warszawa, piotr@software.com.pl
1150270.021.png
Spamerskie sztuczki
John Graham-Cumming
Spamerzy stosują różnego
rodzaju sztuczki, których
celem jest oszukanie iltrów
antyspamowych. Zobaczmy, jak
sztuczki te wyglądają w praktyce
i jak iltry antyspamowe
pokonują spamerów ich własną
bronią.
można podzielić na trzy rodzaje. Po
pierwsze, spamerzy starają się ukryć
niepożądane słowa (na przykład Viagra ) w taki
sposób, by nie zostały one zauważone przez
iltr. Po drugie, umieszczają w wiadomościach
słowa o niewinnym brzmieniu, niewidoczne dla
czytającego, lecz wykrywane przez iltr, który
w efekcie uznaje, że wiadomość nie jest spamem.
Po trzecie, maskują podawane w wiadomościach
adresy swoich stron, ponieważ są świadomi tego,
że te adresy mogą ich zdradzić.
Pozwala to oszukać najprostsze iltry, które wy-
krywają obecność słowa Viagra ; oczywiście
bardziej wymyślny iltr potrai szukać tekstu we-
dług schematu <litera><spacja><litera><spa-
cja> ... i odtworzyć zakamulowane w ten spo-
sób słowo. Spamerzy używają więc również in-
nych znaków do rozdzielania liter, np.:
V'I'A'G'R'A, V.I.A.G.R.A, V*I*A*G*R*A
Filtry antyspamowe potraią jednak w
stosunkowo prosty sposób wykryć tego
rodzaju zabiegi i orientować się, że w
Ukrywanie
niepożądanych słów
Spamerzy najczęściej chcą ukryć słowa, na
podstawie których wiadomość można łatwo
rozpoznać jako spam. Używają rozmaitych me-
tod przetworzenia słów takich jak Viagra do po-
staci niezrozumiałej dla iltru antyspamowego,
jednak czytelnej dla człowieka.
Z artykułu nauczysz się...
• jakimi sztuczkami posługują się spamerzy w ce-
lu oszukania iltrów bayesowskich i heurystycz-
nych.
Co powinieneś wiedzieć...
• znać podstawy iltrowania bayesowskiego i heu-
rystycznego (omówione w poprzednim numerze
naszego pisma),
• ogólnie orientować się w językach HTML i Ja-
vascript.
Nieco przestrzeni
Najprostszy sposób polega na wstawieniu do
słowa, które ma zostać ukryte, znaków spacji.
V I A G R A
2
www.hakin9.org
Hakin9 Nr 3/2004
S ztuczki stosowane przez spamerów
1150270.022.png 1150270.023.png 1150270.024.png
Spamerskie sztuczki
wiadomości mowa jest o Viagrze.
Na tym prostym przykładzie widać
jednak, że nie warto stosować iltrów
heurystycznych wymagających
samodzielnego aktualizowania reguł
– sens ma jedynie stosowanie iltrów
aktualizowanych automatycznie.
Dostosowanie reguł nawet dla tak
prostej sztuczki, jak przedstawiona
powyżej, wymagałoby wiele pracy
ze strony użytkownika.
Można nawet spotkać wiado-
mości, w których zastosowano zgo-
ła inną technikę – z tekstu usunięto
wszystkie spacje, wstawiając w ich
miejsce losowo wybrane litery:
słowo nie zwracając uwagi na sa-
mogłoski, jednak iltr może zostać
oszukany.
Filtr może poradzić sobie z te-
go typu sztuczką przypisując każ-
dej samogłosce ze znakiem akcen-
tu jej oryginalny odpowiednik, otrzy-
mując w rezultacie rzeczywiste sło-
wo. Ze względu na łatwość wykry-
wania obu przedstawionych technik
przez stosowane dziś iltry antyspa-
mowe, spamerzy zaczęli szukać no-
wych sposobów dostawania się do
skrzynek pocztowych. Wykorzystu-
ją do tego HTML.
stu pogrubionego , natomiast </b>
oznacza koniec tekstu pogrubione-
go . Tekst pomiędzy tymi znacznika-
mi będzie widoczny w przeglądarce
lub programie pocztowym obsługują-
cym HTML jako pogrubiony.
Podobnie jak większość języ-
ków programowania, HTML umożli-
wia stosowanie w dokumentach ko-
mentarzy. Są one całkowicie pomi-
jane podczas wyświetlania doku-
mentu HTML. Komentarz rozpoczy-
na się znakami <!-- , natomiast koń-
czy --> ; tekst pomiędzy tymi znaka-
mi jest ignorowany przez przeglądar-
ki dokumentów HTML.
Spamerzy używają komentarzy
do rozdzielenia fragmentów niepo-
żądanych słów. Dla przykładu, sło-
wo Viagra może zostać podzielone
w następujący sposób:
DidAyouFknowNyouMcanBget
VprescriptionVmedications
prescribedTonlineTwith
NORPRIORRPRESCRIPTIONRREQUIRED!
Nie z nami takie numery
Kolejnym sposobem zakamulowa-
nia słowa Viagra jest zastosowa-
nie encji języka HTML, które służą
do umieszczania w tekście znaków
specjalnych lub znaków spoza alfa-
betu angielskiego. Encje zapisywane
są jako liczby poprzedzone znakami
&# , a zakończone znakiem ; . Chcąc
na przykład umieścić w tekście fran-
cuski znak é , piszemy w HTML-u
&#233; , z kolei grecką literę otrzy-
mamy po wpisaniu &#917; .
Znaki należące do podstawowe-
go alfabetu angielskiego także ma-
ją odpowiadające im encje. Przykła-
dowo, literę A można zapisać jako
&#65; . Podstępny spamer mógłby za-
tem zapisać całe słowo Viagra przy
zastosowaniu encji: &#86;&#105;&#97;
&#103;&#114;&#97;
Także w tym przypadku odpo-
wiednio przygotowany iltr antyspa-
mowy rozpozna encje HTML i od-
kryje, jakie słowo zostało w ten spo-
sób zamaskowane. Istnieją jednak
znacznie bardziej wyrainowane me-
tody kamulowania słowa Viagra , wy-
korzystujące możliwości formatowa-
nia dostępne w języku HTML.
Nie wydaje się jednak, by technika ta
była szczególnie skuteczna, ponie-
waż taka wiadomość jest w rezulta-
cie nieczytelna dla człowieka.
V<!--anon-->i<!--dinosaur-->
a<!--hexagon-->g<!--two-->r
<!--mouse-->a
Øbcÿ ākçênt
Spamerzy, przeprowadzając te-
sty sprawdzające, jak na wysyła-
ne przez nich wiadomości reagują
darmowe i komercyjne programy il-
trujące, szybko zorientowali się, że
tak proste sposoby ukrywania słów
nie są zbyt skuteczne. Zaczęli więc
stosować metody, w których zamie-
niane są litery składające się na sło-
wo Viagra .
W tablicy znaków ASCII można
znaleźć wiele samogłosek ze znaka-
mi akcentu, które spamerzy wstawia-
ją do ukrywanego słowa w zastęp-
stwie oryginalnych samogłosek:
Ten dziwnie wyglądający fragment
tekstu w programie pocztowym od-
czytującym HTML zostanie wyświetlo-
ny jako Viagra . Wiele iltrów antyspa-
mowych da się nabrać na tę sztucz-
kę, ponieważ nie potraią one prze-
twarzać składni HTML i nie wyodręb-
nią słowa Viagra . Co gorsza, za spra-
wą słów w komentarzach iltr może zo-
stać wprowadzony w błąd i uznać, że
wiadomość nie jest spamem.
Zaprezentowana technika jest
bardzo często stosowana przez spa-
merów, dlatego też skuteczne iltry
są wyposażane w funkcje usuwają-
ce komentarze HTML-a przed ana-
lizą tekstu wiadomości. Odnalezie-
nie i usunięcie tekstu umieszczone-
go pomiędzy znakami <!-- i --> nie
jest trudnym zadaniem: w istocie
to właśnie robią programy poczto-
we podczas wyświetlania wiadomo-
ści HTML. W gruncie rzeczy sama
obecność komentarzy HTML może
budzić podejrzenia programu iltru-
jącego – dlaczego ktokolwiek miał-
by umieszczać je w zwyczajnej wia-
domości?
Niekiedy spamerzy wykorzy-
stują także nieprawidłowe znaczni-
• a: à á â ã ä å,
• e: è é ê ë,
• i: ì í î ï,
• o: ò ó ô õ ö,
• u: ù ú û ü.
HTML tu i tam
Polecenia formatujące języka HTML
zapisywane są w postaci tzw. znacz-
ników, czyli instrukcji umieszczanych
pomiędzy nawiasami trójkątnymi < > .
Przykładowo, chcąc zapisać sło-
wo Witaj tekstem pogrubionym, pi-
szemy w HTML-u <b>Witaj</b> .
Znacznik <b> oznacza początek tek-
Przy zastosowaniu różnych warian-
tów samogłosek a oraz i spamer
może zapisać słowo Viagra na 144
różne sposoby, jak choćby Víagra ,
Viågra , Vîãgrä . Anglojęzyczny od-
biorca wiadomości przeczyta takie
Hakin9 Nr 3/2004
www.hakin9.org
3
1150270.001.png 1150270.002.png 1150270.003.png 1150270.004.png 1150270.005.png 1150270.006.png
Stosując tę technikę, słowo Viagra
może zostać podzielone w następu-
jący sposób:
V<font size=0>&nbsp;</font>i
<font size=0>&nbsp;</font>a
<font size=0>&nbsp;</font>g
<font size=0>&nbsp;</font>r
<font size=0>&nbsp;</font>a
Rysunek 1. Mikrokropka
Skuteczny iltr antyspamowy musi za-
tem być w stanie rozpoznać nie tyl-
ko komentarze HTML (jak w sztucz-
ce omówionej wcześniej), lecz rów-
nież rozmiary czcionek. Spamerzy
wymyślają jednak coraz to nowe me-
tody oszukiwania iltrów: skoro iltry
wychwytują czcionkę o rozmiarze 0, to
czemu by nie zastosować rozmiaru 1?
Listing 1. Układanka
< table border=0 cellpadding=0 cellspacing=0 >
< tr valign=top >
< td >< font face=Courier > V < br > s < br > F < /font >< /td >
< td >< font face=Courier > i < br > a < br > R < /font >< /td >
< td >< font face=Courier > a < br > m < br > E < /font >< /td >
< td >< font face=Courier > g < br > p < br > E < /font >< /td >
< td >< font face=Courier > r < br > l < /font >< /td >
< td >< font face=Courier > a < br > e < /font >< /td >
< td >< font face=Courier > &nbsp; < br > s < /font >< /td >
< /tr >
< /table >
Mikrokropka
Jeden z najnowszych pomysłów spa-
merów polega na wstawianiu w środ-
ku słowa przypadkowych liter (co po-
woduje, że po usunięciu znaczników
HTML iltr odczyta słowo Viagra na
przykład jako Vziagra ) i pomniejszeniu
tych liter do takiego rozmiaru, by by-
ły prawie niewidoczne dla człowieka.
Oto sztuczka zwana mikrokropką , wy-
korzystująca czcionkę o rozmiarze 1.
ki HTML o przypadkowo wybranych
nazwach, ponieważ podobnie jak ko-
mentarze zostaną one zignorowane
przez przeglądarkę. Wstawienie do-
wolnych słów pomiędzy znakami < i >
ma podobny efekt, jak zastosowanie
komentarzy:
sać słowo Witaj najmniejszą czcion-
ką, piszemy:
<font size=1>Witaj</font>
Programy takie jak Microsoft Inter-
net Explorer oraz narzędzia pocztowe
Outlook i Outlook Express dopuszcza-
ją również stosowanie rozmiaru 0, czy-
li tekstu o zerowym rozmiarze. Spame-
rzy mogą więc wykorzystać czcionkę
o rozmiarze 0 wraz z encją &nbsp; od-
powiadającą twardej (nieprzełamywa-
nej) spacji, otrzymując w efekcie znak
spacji o zerowej szerokości:
V<font size=1>z</font>iagra
V<anon>i</dinosaur>a<hexagon>g
<two>r</mouse>a
W programie pocztowym odczytują-
cym HTML efekt będzie zbliżony do
pokazanego na Rysunku 1. Jak wi-
dać, litera z jest tak mała, że wygląda
jak prawie niewidoczna kropka.
Czarna dziura
Duża popularność powyższej sztucz-
ki wśród spamerów stała się dla niej
zgubna, ponieważ doprowadziła do
tego, iż większość iltrów antyspamo-
wych usuwa komentarze HTML. Roz-
dzielanie słów znacznikami HTML
pozostaje jednak jedną z ulubionych
technik stosowanych przez spame-
rów. W metodzie zwanej czarną dziu-
niepożądane słowo rozdzielane
jest spacjami o zerowej szerokości.
Chcąc określić rozmiar czcion-
ki fragmentu tekstu, wpisujemy
w HTML-u polecenie <font size=X> ,
w miejsce X wstawiając wartość od
1 do 7 (7 to największy rozmiar, 1 to
najmniejszy). Przykładowo, aby zapi-
Układanka
W jednej z najbardziej przebiegłych
metod rozdzielania wyrazów spa-
merzy wykorzystują czcionkę o sta-
<font size=0>&nbsp;</font>
Rysunek 2. Układanka
4
www.hakin9.org
Hakin9 Nr 3/2004
1150270.007.png 1150270.008.png 1150270.009.png
 
1150270.010.png
 
 
1150270.011.png 1150270.012.png 1150270.013.png 1150270.014.png
Spamerskie sztuczki
Listing 2. Atrament
sympatyczny
ści słowa, które w ich opinii są uwa-
żane za niewinne. Ponieważ nie-
które iltry antyspamowe korzysta-
ją z listy słów, których obecność ma
świadczyć o niespamowej naturze
wiadomości, spamerzy liczą na to,
że umieszczenie w treści tego rodza-
ju słów spowoduje, że iltr zaakcep-
tuje wiadomość. Ponieważ jednak
słowa te mają być niewidoczne dla
odbiorcy wiadomości (który ma się
skoncentrować na ofercie kupna Via-
gry), spamerzy stosują różne sposo-
by ukrywania tych słów przed czyta-
jącym wiadomość, jednocześnie po-
zostawiając je czytelnymi dla iltrów.
Listing 3. Kamulaż
< body bgcolor=#113333 >
< font color=yellow >
Viagra
< /font >
< font color=#123939 >
jakieś niewinne słowa
< /font >
< /body >
< body bgcolor=white >
Viagra
< font color=white >
Hi, Johnny! It was
really nice to have
dinner with you
last night. See
you soon, love Mom.
< /font >
< /body >
Kamulaż
Zamiast zapisywania białego tekstu
na białym tle, spamerzy mogą wyko-
rzystać kolory niewiele się od siebie
różniące (np. tekst w kolorze jasno-
szarym na białym tle) – patrz Listing 3
i Rysunek 3. Tekst, który ma pozostać
widoczny, zapisywany jest kolorem
wyraźnie odróżniającym go od tła.
Niewinne słowa są w efekcie pra-
wie niewidoczne, w przeciwieństwie
do informacji o oferowanym produkcie.
Ta sztuczka jest skuteczna w przypad-
ku iltrów rozpoznających atrament
sympatyczny , ponieważ tym razem
kolory nie są identyczne, a odbiorca
wiadomości zauważy jedynie czytel-
ny tekst.
Dobre iltry antyspamowe po-
traią odkryć podstęp rozpoznając
podobieństwo kolorów na podsta-
wie odległości Euklidesa, wykrywa-
jąc w ten sposób tekst prawie niewi-
doczny dla człowieka.
łej szerokości oraz tabele. Kamulo-
wany tekst jest najpierw zapisywany
czcionką o stałej szerokości, by moż-
na było podzielić go na kolumny:
Atrament sympatyczny
Jedną z podstawowych metod ukry-
wania niewinnych słów w treści wia-
domości jest zapisywanie ich białym
tekstem na białym tle (bądź też in-
nym kolorem, byleby tylko był on ta-
ki sam dla tekstu i tła) – patrz Listing
2. Spamerzy stosują ten sposób, po-
nieważ taki tekst będzie niewidoczny
dla człowieka, jednak program iltru-
jący ignorujący kolory tekstu odczyta
go. Niektóre iltry antyspamowe dają
się na to nabrać i przy odpowiednim
doborze słów wiadomość nie zostaje
zidentyikowana jako spam.
Skuteczne iltry antyspamowe
rozpoznają wykorzystanie kolorów
HTML-a i wykrywają tę sztuczkę. Jej
obecność świadczy o tym, że wiado-
mość to najprawdopodobniej spam.
Popularność tej metody szybko do-
prowadziła do tego, że iltry zosta-
ły wyposażone w mechanizmy jej
rozpoznawania, spamerzy wymyślili
więc inny sposób ukrywania tekstu,
za pomocą kolorów bardzo do siebie
zbliżonych, lecz nie identyczych.
Viagra
samples
FREE
Następnie budowana jest tabela,
w której w każdej z kolumn zapisy-
wana jest jedna kolumna liter tekstu
(patrz Listing 1 i Rysunek 2).
Ta technika jest nader skuteczna
w przypadku iltrów antyspamowych,
które usuwają znaczniki HTML-a.
Filtr otrzymuje tekst wyglądający jak
ciąg przypadkowych liter, ponieważ
tekst jest odczytywany z góry na dół,
zamiast od lewej do prawej.
Vsf iaR ame gpe rl ae s
Wyodrębnienie treści wiadomości
wymagałoby, by iltr był wyposażo-
ny w mechanizm rozpoznawania roz-
mieszczenia elementów HTML-a.
W praktyce jednak nie jest to ko-
nieczne, ponieważ wiadomość jest
łatwo identyikowana jako spam za
sprawą zastosowania złożonej tabe-
li i czcionek o stałej szerokości. Wy-
krywane są więc nie same słowa,
lecz metody wykorzystane do ich za-
maskowania.
MIME wszystko
Większość programów pocztowych
odczytuje MIME, umożliwiające wy-
syłanie wiadomości złożonych z wie-
lu części, z których każda jest okre-
ślonego typu (np. tekst, HTML, do-
kument Worda). Najczęściej pro-
gramy otwierają automatycznie po-
Dodawanie
niewidocznych
niewinnych słów
Po zamaskowaniu niepożądanych
słów, spamerzy dodają do wiadomo-
Rysunek 3. Kamulaż
Hakin9 Nr 3/2004
www.hakin9.org
5
1150270.015.png 1150270.016.png 1150270.017.png 1150270.018.png 1150270.019.png 1150270.020.png
Zgłoś jeśli naruszono regulamin