Strefa chroniona, czyli notatki przeciwnika spamu

Organizacja przestępcza ICIC atakuje jogger.pl

Fri, 14 Mar 2008 10:48:24 +0100

Organizacja przestępcza ICIC, zajmująca się podobno organizowaniem konferencji, a w rzeczywistości wynajmująca osoby do wykonywania ataków informatycznych na firmy i instytucje a także jednostki prywatne walczące z procederem spamu, zaatakowała dziś, a właściwie próbowała zaatakować jogger.pl. Jak poinformował mnie dziś Sparrow, administrator jogger.pl, serwer jogger.pl dostał dziś rano około 50 tysięcy zwrotów listów (backscatter), spowodowanych wysłaniem masowego spamu ICIC ze sfałszowanym adresem nadawcy w domenie jogger.pl.

Atakujący nie wzięli jednak pod uwagę faktu, że:

taki adres e-mailowy w tej domenie nie istnieje,
w domenie jogger.pl w ogóle nie funkcjonuje e-mail,
administrator jogger.pl jest osobą inteligentną i wcale nie będzie sądził, iż spam został wysłany przez jednego z jego użytkowników.

Sparrowa chciałbym niniejszym przeprosić za ewentualne problemy, jakich przysporzył mu ten incydent, związane z faktem, że informacje o ICIC są dostępne na blogu w jego domenie.

Warto jednocześnie wiedzieć, że liczba ataków dokonywanych przez organizację przestępczą ICIC w postaci tak zwanego joe-job, ostatnio znacznie się zwiększyła. Jak mnie poinformowano, w ten sposób zaczęły być atakowane nawet osoby, które śmiały napisać do Wiktorii Święcickiej reprezentującej organizację przestępczą ICIC iż nie życzą sobie otrzymywać spamu promującego konferencje.

Mam nadzieję, że zwiększona aktywność organizacji przestępczej ICIC zostanie poważnie potraktowana przez polską jednostkę ds. bezpieczeństwa internetowego CERT, do której ataki te są zgłaszane (i powinny być, przez każdą dotkniętą przez nie osobę) oraz przez Policję, albowiem jak mi wiadomo, co najmniej dwie osoby złożyły zeznanie na Policji w związku z tymi atakami. Ponieważ zaś polska jednostka Policji zajmująca się przestępstwami internetowymi dotychczas była znana jako dość aktywna w zwalczaniu przestępczości internetowej, sądzę, że dni organizacji przestępczej ICIC powoli dobiegają końca.

Kolejny atak Ajaxa (ICIC), kolejna okazja edukowania użytkowników i ukłony dla administratora glt.pl

Thu, 28 Feb 2008 20:08:54 +0100

Wczoraj i dziś nastąpił kolejny atak Ajaxa na moją skrzynkę pocztową, polegający na rozsyłaniu spamu ICIC z moim adresem e-mailowym jako adresem nadawcy. Nie zdziwiło mnie to specjalnie, bo takie ataki mają miejsce co jakiś czas i są oczywiście całkowicie bezskuteczne (bo wiem, jak się przed nimi bronić), a stanowią dla mnie znakomitą okazję do edukacji użytkowników odpowiadających na spam. W tym przypadku jednak Ajax popisał się wyjątkową nadgorliwością, albowiem na podstawie tego co do mnie pisano wnioskuję, że niektóre osoby otrzymały spam ICIC kilkadziesiąt razy w ciągu dwóch dni. To jednak nie jest główny powód tego wpisu. Chciałem go bowiem zadedykować jednej z osób, która odpowiedziała na ten spam, niejakiemu panu radh z domeny glt.pl, który pełni funkcję administratora forum serwisu glt.pl oferującego darmowe poddomeny.

Na ten atak Ajaxa jak zwykle otrzymałem kilkadziesiąt odpowiedzi. W zdecydowanej większości kulturalnych, z prośbą o wypisanie z listy mailingowej lub też wskazujących, że łamana jest Ustawa o Świadczeniu Usług Drogą Elektroniczną. Jak zawsze w takich przypadkach mam gotową odpowiedź, którą wysyłam, a która zawiera odnośniki do stron, gdzie można dowiedzieć się więcej na temat tego, że adresy e-mailowe mogą być fałszowane oraz na temat działalności ICIC. Tym razem również wysyłałem takie odpowiedzi. W większości przypadków użytkownicy reagowali pozytywnie, dziękując za wyjaśnienia. Z jednym niechwalebnym wyjątkiem.

Jedna z odpowiedzi, jaką otrzymałem, pochodziła od pana legitymującego się adresem radh z domeny glt.pl. Ponieważ nie chciałbym tu zamieszczać niekulturalnych treści, część słów z tej odpowiedzi pozwolę sobie zmienić (jednakże ich pierwotnego brzmienia można się z łatwością domyślić). Nie jestem zwolennikiem upubliczniania osobistej korespondencji, jednak w tym wypadku uważam, iż powinienem zrobić wyjątek. Oto ta odpowiedź:

ccp****alaj spamerze!

Pomijając fakt, że przypadkowa zamiana litery „s” na dwie litery „c” to według mnie nie lada wyczyn, nie ma w tej odpowiedzi nic wyjątkowego. Takie też się zdarzają (czemu się nie dziwie, mnie spam też wkurza, a niektórzy tracą nerwy kiedy otrzymują ten sam spam od ICIC kilkadziesiąt razy z rzędu). Wysłałem więc odpowiedź, wyjaśniającą iż nie ja byłem autorem spamu, iż mój adres e-mailowy został sfałszowany oraz sugerując odrobinę więcej kultury w korespondencji e-mailowej.

W większości przypadków, po wysłaniu przeze mnie takiej odpowiedzi następuje znacząca cisza. Oznacza to, że użytkownik albo zablokował mój adres e-mail, albo nie wie co odpowiedzieć, albo uważa że nie powinien przepraszać, albo też poczerwieniał ze wstydu iż tak się zachował, został sparaliżowany i nie jest w stanie wysłać kolejnej wiadomości.

Jednak w tym przypadku było inaczej. Następny list od Pana radh z domeny glt.pl jednak trochę mnie zaskoczył:

ccswoje pouczenia prosze zostawic dla siebie i nie zgrywac swietego spamerze
WYP****ALAJ SPAMERZE i ZEBYM CIE WIECEJ NIE WIDZIAL NA SWOJEJ SKRZYNCE

Przyznam, że nie takiego zachowania spodziewałbym się od administratora sporego serwisu oferującego darmowe domeny. Oczekiwałbym bowiem, że osoba piastująca takie stanowisko:

jest kulturalna (a jak widać, nie jest),
umie prawidłowo używać klawiatury (a kolejne dwie litery „c” wskazują, że nie umie),
umie i chce czytać co jest do niej pisane (a jak widać, nie umie, albo też nie chce),
zna netykietę i wie, że używanie wielkich liter jest niemile widziane,
wie, jak funkcjonuje poczta elektroniczna (a jak widać, nie wie).

Chciałbym więc niniejszym publicznie złożyć Panu radh z domeny glt.pl szczere wyrazy współczucia z powodu podwyższonego poziomu adrenaliny, jaki wywołał u niego kolejny spam ICIC i przekazać, że go rozumiem w tej kwestii. Spam rzeczywiście może spowodować zdenerwowanie odbiorcy.

Chciałbym również złożyć mu kondolencje z powodu takiego niezbyt zrównoważonego stanu oraz wyrazić szczerą nadzieję, iż po pierwsze, nauczy się poprawnie pisać, po drugie, pozna netykietę i nie będzie pisał samymi wielkimi literami (albo naprawi klawisz caps lock w swojej klawiaturze), po trzecie, jako administrator sporego serwisu poszerzy swój zakres wiedzy o podstawy działania poczty elektronicznej (myślę, że byłoby to nader wskazane w jego pracy).

Chciałem przekazać te informacje nie do osoby posługującej się jedynie adresem e-mail, ale konkretnym imieniem i nazwiskiem. Niestety, nie było to możliwe, albowiem Pan radh z domeny glt.pl nie raczył się w swoim liście do mnie podpisać, nie pozostawił też takich informacji na swoim koncie na forum serwisu glt.pl, a jego personalia nie widnieją na żadnej stronie kontaktowej serwisu glt.pl (jak widać, usługi świadczy firma anonimowa i ludzie anonimowi). Bardzo mi z tego powodu przykro i mam nadzieję, że w przyszłości administratorzy tego zacnego serwisu zechcą znaleźć w sobie na tyle odwagi, by posłużyć się imieniem i nazwiskiem, a nie anonimowym adresem e-mail.

P.S. wysłałem oczywiście odpowiedni komentarz pod adres abuse w domenie glt.pl, ale (co mnie specjalnie nie zaskoczyło) nie otrzymałem stamtąd żadnej odpowiedzi.

Joe-job (spam z moim adresem nadawcy) przez Ajaxa (ICIC)

Mon, 05 Nov 2007 12:51:23 +0100

W dniu wczorajszym osoba znana w środowisku antyspamerskim jako Ajax, działająca od lat na zlecenie ukraińskiego spamera ICIC dopuściła się kolejnego przestępstwa. Tym razem był to tak zwany joe-job, czyli spam rozesłany do bazy adresowej spamera ze sfałszowanym adresem nadawcy. Adresem nadawcy był w tym przypadku albo mój adres prywatny albo adres Lemata. Treść listu została skopiowana z prywatnej strony mojej minisieci komputerowej i sugerowała, że prowadzę jakieś usługi internetowe (co nie jest prawdą, jest to inicjatywa czysta prywatna).

Po pierwsze, wszystkie osoby które otrzymały tego maila i sądziły iż jest on ode mnie, odsyłam do przejrzenia nagłówków listu. Jak widać, nie wyszedł on z mojego prywatnego serwera, a z jakiegoś serwera w Holandii. Po drugie, dziękuję za wiele odpowiedzi które dostałem (w większości z prośbami o wyjaśnienie). Dzięki temu uświadomiłem już prawie 100 osób, odzywających się mailem i przez Gadu-Gadu (żaden problem, mam przygotowaną odpowiedź którą wysyłam) o działalności ICIC i Ajaxa, tak więc Ajax zrobił sam sobie krecią robotę.

Za powód tego nagłego działania (po moim długim czasie nieudzielania się w środowisku z racji braku czasu i odrobiny braku chęci również — mam sporo innych pasji i zajęć) poczytuję fakt, że strona ICIC jest jako pierwsza w rezultatach wyszukiwania hasła ICIC w Google. Tak więc nasza akcja się powiodła i miejmy nadzieję, że to działanie Ajaxa spowoduje, iż większa liczba firm będzie świadoma działań tego ukraińskiego spamera, co spowoduje całkowite załamanie się jego działalności na rynku polskim. Wszystkich chętnych do współpracy w akcji nadal zapraszamy: piszcie do firm/stron, które reklamują konferencje ICIC i podajcie im adres tej strony

Wszystkie listy wysyłane przeze mnie są podpisywane cyfrowo.

Znany polski DNSBL rbl.kropka.net zamknięty

Thu, 12 Oct 2006 17:50:23 +0200

Dziś w dość bolesny sposób dowiedziałem się, iż znany polski DNSBL, rbl.kropka.net, został przez właściciela zamknięty. Dowiedziałem się, otrzymując od znajomych informacje, iż mój serwer odrzuca wszystkie wysyłane doń listy, z komunikatem o zamknięciu kropka.net. A już zaczynałem powoli przekonywać się z powrotem do DNSBL-i...

Od administratora kropka.net dowiedziałem się, że powodem zamknięcia rbl.kropka.net nie były żadne traumatyczne wydarzenia, szantaże środowisk spamerskich, ani nic podobnego. Po prostu miał już dość prowadzenia charytatywnie tej działalności i postanowił ją zakończyć. Niestety, tu wychodzi po raz kolejny na jaw jedna z ważniejszych wad DNSBL. Administrator serwera nie ma jak poinformować użytkowników, że serwis ulega wyłączeniu.

Administrator Kropki od 5 września informował o planowanym zamknięciu na stronie WWW DNSBL-a, a także w komunikatach DNS. Niestety, użytkownicy DNSBL-a, aby się o tym dowiedzieć musieli albo odwiedzać stronę (a po co?), albo przeglądać logi serwera pocztowego. Po ponad miesiącu niesłabnącego ruchu w DNS-ie, admin postanowił zastosować metodę brutalną i... dodał do swojego DNSBL-a cały świat. Czyli wszystkie serwery, które korzystały z kropki, zaczęły na dobre odrzucać całą pocztę.

Pretensji do administratora Kropki mieć nie można. To jego wybór, a odpowiedzialność za korzystanie z serwisu leży po stronie użytkownika. Można żałować jedynie, że DNSBL jest tak kulawą techniką, iż nie było innej możliwości wycofania się z działalności. Niechaj wpis ten będzie kolejnym ostrzeżeniem dla wszystkich, którzy korzystają z DNSBL, a także informacją dla tych, którym nagle przestała docierać poczta. Może Wasz admin jeszcze korzysta z Kropki?...

Projekt nowelizacji Prawa Telekomunikacyjnego a walka ze spamem

Mon, 02 Oct 2006 18:49:03 +0200

Około dwóch tygodni temu otrzymałem od Dariusza Dąbka z Departamentu Telekomunikacji w Ministerstwie Transportu projekt nowelizacji ustawy o Prawie Telekomunikacyjnym uwzględniający kwestie walki ze spamem (o ustawie pisałem już wcześniej). Niestety, nadmiarowa ilość różnorakich zajęć nie pozwoliła mi wcześniej opublikować tej informacji ani przyjrzeć się dokładniej projektowi. Robię to dopiero dziś. Za zgodą Darka niniejszym udostępniam też sam projekt oraz uzasadnienie do pobrania i samodzielnej oceny czytelników (fragmenty dotyczące spamu są w projekcie zaznaczone na żółto). Liczę na komentarze!

Uwagi do projektu

Choć ogólny kierunek, w którym rozbudowano projekt podoba mi się, mam sporo wątpliwości co do sformułowań oraz trafności pewnych proponowanych rozwiązań. Pozwolę sobie przedstawić je w odniesieniu do poszczególnych punktów w projekcie.

Punkt 1:

informacja niezamówiona — informacja o charakterze komercyjnym, ideologicznym, politycznym, rozrywkowym lub charytatywnym, przesłana do oznaczonego odbiorcy lub grupy odbiorców za pomocą środków komunikacji elektronicznej (...), na otrzymanie której odbiorca uprzednio nie wyraził zgody, w szczególności poprzez udostępnienie w tym celu identyfikującego go adresu elektronicznego lub innych danych umożliwiających bezpośrednie komunikowanie się na odległość.

Mam dwie podstawowe wątpliwości dotyczące tej definicji. Po pierwsze, czy nie prościej byłoby napisać „informacja o charakterze nieosobistym”? Obecne sformułowanie może doprowadzić do tego, że rodzimi nadawcy spamu będą (podobnie jak ma to miejsce obecnie, ze względu na sformułowania w Ustawie o Świadczeniu Usług Drogą Elektroniczną) starali się tak formułować listy, by nie pasowały treścią do definicji. Po drugie zaś, po co fragment o udostępnianiu adresu lub innych danych? Moim zdaniem takie sformułowanie jest zdecydowanie szkodliwe, sugeruje bowiem, iż jeśli adres zostanie publicznie udostępniony, to jest to tożsame z udzieleniem zgody przez odbiorcę na wykorzystanie go do wysyłania mu spamu, czy też dodawanie do wszelakich baz! Dlatego też sądzę, że punkt ten winien po pierwsze zamiast definiować co jest informacją niezamówioną, określić co nią nie jest (tzn. informacje o charakterze osobistym), a po drugie nie powinien precyzować sposobu udzielenia zgody na przesyłanie informacji.
Punkt 102:

Dostawcy usług telekomunikacyjnych obowiązani są do utworzenia i prowadzenia punktów przyjęć skarg dotyczących naruszenia bezpieczeństwa telekomunikacyjnego, w tym incydentów przesyłania bądź otrzymywania informacji niezamówionej, w ramach oferowanych przez nich usług (...).

Powyższy punkt wydaje mi się równie martwy, jak duża część obecnych przepisów. Takie komórki istnieją praktycznie u każdego dostawcy. Co z tego jednak, że istnieją? O skuteczności działania jednostek „abuse” dużo mówić nie trzeba. Z niewielkimi wyjątkami jest praktycznie zerowa. Uważam więc, że umiejscowienie tego w ustawie, bez zobowiązania dostawców do faktycznego regagowania na zgłoszenia, mija się całkowicie z sensem. Nie mam pojęcia, jak prawnie zobligować dostawców do faktycznego reagowania na zgłoszenia, być może zezwolić na zgłaszanie do UKE... nieefektywnych działów „abuse”?
Punkt 103:

2. W przypadku zlokalizowania zakończenia sieci, z którego wysłane zostały informacje niezamówione dostawca usług telekomunikacyjnych jest zobowiązany do poinformowania drogą elektroniczną lub za pomocą podobnego środka bezpośredniego porozumiewania się na odległość o tym fakcie abonenta oraz do udostępnienia bezpłatnego oprogramowania oraz jasnej i przejrzystej instrukcji umożliwiających usunięcie stwierdzonych nieprawidłowości.

3. Abonent ma obowiązek usunięcia stwierdzonych nieprawidłowości w terminie 7 dni od otrzymania informacji, o których mowa w ust. 2.

4. W przypadku uchybienia terminowi wskazanemu w ust. 3 dostawca usług telekomunikacyjnych zawiesza świadczoną abonentowi usługę do czasu usunięcia stwierdzonych nieprawidłowości.

Proponowany powyżej termin 7 dni od czasu wykrycia to w przypadku dzisiejszej efektywności sieci komputerowych cała wieczność. Przez 7 dni zainfekowany komputer w sieci dostawcy wyśle miliony listów na cały świat! Jest to moim zdaniem zdecydowanie złe rozwiązanie. Uważam, że w przypadku wykrycia takiego przypadku dostawca powinien natychmiast zablokować użytkownikowi możliwość dalszego naruszania bezpieczeństwa, albo uniemożliwiając tylko wysyłanie listów, albo całkowicie odcinając zainfekowany komputer od sieci. Już nie wspominając o tym, jak deprymująco na dostawcę działać będzie fakt, iż świadom niebezpieczeństwa we własnej sieci będzie musiał czekać 7 dni, nim będzie miał prawo do odcięcia klienta. Zdecydowanie do poprawki!

6. Dostawca usług telekomunikacyjnych przesyła niezwłocznie do jednostki organizacyjnej, o której mowa w art. 175d wszelkie informacje dotyczące zlokalizowanego w ramach świadczonych usług zakończenia sieci, z którego wysyłane były informacje niezamówione, w tym dane osobowe abonenta, oraz informacje dotyczące podjętych przez dostawcę działań.

Obawiam się, że autorzy projektu nie zdają sobie sprawy z zakresu problemu, to znaczy z ilości zainfekowanych komputerów. Jednostka przy UKE musiałaby otrzymywać kilkaset do kilku tysięcy listów dziennie (jeśli nie więcej!) z danymi, które UKE nie będą absolutnie do niczego potrzebne. Już nie wspomnę jak dużo czasu przy tym zostanie poświęcone na zdobycie tych danych i formalne przekazanie ich do UKE.
Punkt 126:

Podmiot, który w wyznaczonym terminie nie udziela Prezesowi UKE informacji, o których mowa art. 175e oraz informacji określonych w art. 175g pkt 6 i 7, bądź nie podejmuje działania określonego w art. 175g pkt 4, podlega karze w wysokości od 100 PLN do 5.000 PLN.

Powstaje pytanie, czy kara jest uzależniona od ilości przypadków niereagowania na zgłoszenia, czy też nie. Jeśli nie, to kara w wysokości 5.000 PLN jest śmieszna w odniesieniu do instytucji takich jak Telekomunikacja Polska. Moim zdaniem maksymalna wysokość tej kary powinna być co najmniej dziesięciokrotnie wyższa.

Uwagi do uzasadnienia

W tej części mojego komentarza do projektu chciałbym się odnieść do kilku moim zdaniem nie do końca trafnych ocen i spostrzeżeń w uzasadnieniu, które otrzymałem wraz z projektem.

Warto zwrócić uwagę, iż wielu dostawców usług telekomunikacyjnych i operatorów, na mocy wewnętrznie obowiązujących regulacji, utworzyło punkty zgłoszeń nieprawidłowości w korzystaniu z usług, jednakże do chwili obecnej brak jest jednolitych przepisów, jak postępować w przypadku tego rodzaju zgłoszeń. Dostawcy usług swoje bierne stanowisko uzasadniają brakiem jasnych i przejrzystych regulacji prawnych w tym zakresie, które pozwalałyby im na podejmowanie odpowiednich działań prewencyjnych.

Moim zdaniem uzasadnienie dostawców nie wynika z braku regulacji prawnych niezbędnych do podejmowania działań, lecz z kosztów z jakimi wiąże się dla nich podejmowanie tych działań. Praktycznie każdy dostawca usług internetowych ma komórkę odpowiedzialną za przyjmowanie zgłoszeń nadużyć. Komórką tą jest biedny administrator, na którego e-mail skierowano alias „abuse”. „Biedny”, bo musi odfiltrowywać ogromną ilość listów, po prostu wyrzucając je do kosza. Jego obowiązkiem jest bowiem odbieranie poczty, a nie reagowanie na zgłoszenia (a więc odbiera, a potem wyrzuca bez czytania). Tak wyglądają realia w polskich firmach. Tak więc nowe przepisy nic w tym zakresie nie zmienią, albowiem komórki już istnieją i będą istnieć, jednakże nowe prawo nie wymaga od nich skuteczności działania.

Upoważnienie do przeprowadzania śledztw oraz zbierania informacji oraz dowodów jest punktem wyjściowym dla skutecznej polityki wykonawczej. Materiał dowodowy dotyczący nielegalnego spamu jest zazwyczaj w postaci elektronicznej i może być przechowywany na wielu niezależnych komputerach, urządzeniach lub sieciach w wielu krajach bądź jurysdykcjach. W tym kontekście, organ odpowiedzialny za wykonywanie prawa w zakresie niezamówionych informacji musi posiadać odpowiednie uprawnienia do rewizji i konfiskaty mienia w celu zachowania, dostępu do, przechwycenia, przeszukania oraz przejęcia elektronicznego materiału dowodowego.

Na temat prawa do przeprowadzania rewizji wypowiadano się już krytycznie w odniesieniu do wcześniejszych projektów nowego prawa. Moim zdaniem, nie jest to dobry pomysł. Będzie to faktycznie konieczne bardzo rzadko (notorycznych przypadków spamowania w Polsce jest bardzo niewiele, w porównaniu do ogromnej ilości przypadków nieświadomego pośredniczenia w rozsyłaniu spamu, nie ma u nas prawie zjawiska przestępczości związanej ze spamem), zaś może prowadzić do wielu nadużyć i wykorzystywania praw w celu niepokojenia przeciętnych obywateli. W rezultacie, Polacy będą bali „podłączyć się do Internetu” bo jeszcze „złapią wirusa” i ktoś w związku z tym skonfiskuje ich komputer! Jestem absolutnie przeciwny takiemu rozwiązaniu i sądzę, że ustawa przy takim założeniu nie ma szans uzyskać poparcia społecznego.

Podsumowanie

Nowy projekt Prawa Telekomunikacyjnego to moim zdaniem krok w dobrym kierunku, ale nie jestem z niego do końca zadowolony. Bardzo chętnie widziałbym w nowym prawie większy nacisk na obowiązki dostawców usług telekomunikacyjnych, albowiem obawiam się iż to, co w chwili obecnej proponuje Ministerstwo Transportu to kolejne martwe prawo, które nie będzie w żaden sposób zwiększało efektywności zwalczania spamu przez dostawców.

Autorespondery są złe!

Tue, 20 Jun 2006 16:37:17 +0200

W ostatnim czasie miałem okazję przekonać się, jak rozległy jest problem tak zwanego backscatteru, czyli automatycznego wysyłania odpowiedzi na domniemany adres nadawcy przez serwer lub program pocztowy. Przekonałem się po tym, jak osoba wynajęta przez ICIC zaczęła w odwecie za mój wpis nt. tej ukraińskiej firmy masowo wysyłać różne reklamy w językach rosyjskim i ukraińskim, podając mój adres e-mailowy jako adres nadawcy. Liczba zwrotów, jakie docierały na mój serwer, okresowo przekraczała kilka tysięcy na minutę (!). Łącznie, gdyby nie skuteczne filtry, orzymałbym najprawdopodobniej kilkaset tysięcy listów zwrotnych na e-maile, których nigdy nie wysłałem. A to wszystko przez producentów oprogramowania, administratorów i... nieświadomych użytkowników.

Wbrew pozorom, to co określa się terminem backscatter to nie tylko zwroty niedostarczonej poczty (czyli dobrze większości z nas znane wiadomości od MAILER-DAEMON-a). Dlatego też należałoby stworzyć jakiś polski termin opisujący całe to zjawisko. Pozwolę sobie więc nazwać je spamem zwrotnym, ponieważ jest równie niepożądane i szkodliwe, jak sam spam. Pokuszę się nawet o stwierdzenie, że o wiele bardziej szkodliwe od samego spamu.

Spam zwrotny to:

Zwroty niedostarczonej poczty. Wynikają one ze złej konfiguracji lub konstrukcji serwera pocztowego. Serwer powinien odpowiadać, iż adres e-mail nie istnieje, jeszcze zanim przyjmie list, a nie wysyłać taką informację dopiero po przyjęciu tego listu na domniemany (sfałszowany) adres nadawcy. W przeszłości przeprowadziłem test polskich serwerów pocztowych na okoliczność takiego nieprawidłowego działania. W tamtym wpisie problem jest opisany nieco szerzej, jednak dopiero ostatnie wydarzenia związane z ICIC uświadomiły mi jego powagę.
Zwroty od systemów antyspamowych, informujące iż wiadomość nie została dostarczona, ponieważ oceniono ją jako spam. Miałbym ochotę urwać pewną część ciała „specjalistom”, którzy napisali systemy antyspamowe z tak zaimplementowaną funkcją. Gdyby system zwracał odpowiedź na etapie połączenia (kopertowym), miałoby to sens (np. by poinformować nadawcę o błędnym zaklasyfikowaniu). Ale wysyłanie zwrotek na domniemany adres nadawcy to spamowanie samo w sobie. Co gorsza, podobne odpowiedzi wysyłają przede wszystkim systemy tak renomowanych firm jak np. Symantec, czyli „specjalistów od bezpieczeństwa sieciowego”. Przepraszam bardzo, ale po otrzymaniu ostatnio kilku tysięcy listów ze spamem zwrotnym z produktów tej firmy, żadnego ich systemu bym nie kupił ani nikomu nie polecił.
Prośby o potwierdzenie nadania listów z systemów wyzwanie odpowiedź (challenge-response). Wcześniej pisałem już, że właśnie z powodu niebezpieczeństwa wysyłania takiego spamu zwrotnego zrezygnowałem ze stosowania systemu TMDA. Teraz, na własnej skórze widzę, że była to dobra decyzja, albowiem mogłem przyczynić się do bombardowania niewinnych osób. Niestety, muszę więc poradzić wszystkim którzy używają tej metody ochronnej, by jak najszybciej z niej zrezygnowali, jeśli nie chcą by ich adres wylądował na różnorakich czarnych listach.
Wszelakiej maści autorespondery. Informacje typu:
- „Nie ma mnie w biurze od ... do ...”,
- „Ten adres jest już nieaktualny, bo dostawałem za dużo spamu, piszcie na inny...”,
- „To jest potwierdzenie otrzymania Twojej wiadomości...”,
- „Przyjęliśmy Państwa zgłoszenie. Bla bla bla, prosimy o kontakt tu i tam itp.”.
Do przeciętnych użytkowników nie dociera, że autorespondery są złe i nie powinny być stosowane! Być może dotrze, kiedy przestaną móc wysyłać pocztę, bo ich serwery będą blokowane. Do mnie z kolei nie docierają wyjaśnienia typu „bo szef mi kazał używać”, „bo to standard korporacyjny”. Szefów też należy edukować. Jeśli Wasz szef każe Wam używać autorespondera, pokażcie mu ten wpis. Niech poczyta i niech uświadomi sobie, że wymuszanie na pracownikach korzystania z tego typu narzędzi będzie powodowało, iż firma będzie uznana za spamerów i komunikacja e-mailowa z wieloma podmiotami stanie się niemożliwa. O stratach finansowych dla firmy nie muszę już chyba wspominać.
Newslettery, które nie używają subskrypcji double opt-in, czyli do listy dystrybucyjnej dopisywany jest każdy, kto wyśle list pod dany adres (a adres nadawcy może być oczywiście sfałszowany). Zgłosiłem jeden z takich newsletterów do SpamCopa, po czym od administratorów otrzymałem informacje, że oni nie spamują. Wyjaśniłem im, co oznacza double opt-in. Od tego czasu się nie odezwali.
Automatyczne odpowiedzi od systemów list dyskusyjnych, informujące że mój e-mail nie został wysłany na listę. Choć takie informacje mogą przydawać się przy zapisywaniu na różnorakie listy, to również stanowią spam zwrotny. Jeśli system list dyskusyjnych nie przyjmuje e-maili od danego nadawcy na daną listę, powinien informować o tym albo na etapie kopertowym, albo po prostu list odrzucać bez informacji dla domniemanego nadawcy.
Prośby o potwierdzenie z różnych systemów korzystających z double opt-in. One stanowią największy problem, ponieważ z jednej strony są konieczne do zweryfikowania, czy nadawca naprawdę chce zapisać się na jakąś listę dyskusyjną lub dystrybucyjną, z drugiej zaś strony trudno je zrealizować na etapie kopertowym. Wynika to z faktu, że gdyby działały na etapie kopertowym, nadawca otrzymałby od swojego MAILER-DAEMON-a informacje o niedostarczeniu poczty, w której mógłby (ale nie musiałby) znaleźć się komunikat serwera listy (a który byłby jedynym miejscem, w jakim mógłby być zawarty np. link aktywacyjny). Informacja taka mogłaby być zaś nieczytelna (odbiorca mógłby myśleć, że list został po prostu odrzucony na dobre). Dlatego też tego typu spam zwrotny zwalczać jest trudno, a przez działania spamerów cała koncepcja list dyskusyjnych powoli rozsypuje się w drobny mak. Tak jak musieliśmy się przyzwyczaić do tego, że listów nie można wysyłać przez dowolny serwer, tak będziemy musieli przyzwyczaić się, że na listy dyskusyjne można będzie zapisać się tylko np. z poziomu stron WWW.

Problem spamu zwrotnego jest jak widać dość złożony, a walka z nim trudna. Na szczęście istnieją już czarne listy, które przechowują adresy serwerów z których przychodzi spam zwrotny. Niestety, stosując je bardziej niż zwykle narażamy się na to, iż wiele osób nie będzie mogło do nas napisać, ponieważ serwery te często należą do dużych i znanych instytucji...

Uświadamianie polskich „administratorów”

Mon, 05 Jun 2006 23:32:39 +0200

Pod powyższym hasłem chciałbym zachęcić wszystkich czytelników do poświęcenia odrobiny czasu na akcję uświadamiającą posiadaczy łącz stałych od TP S.A. o zagrożeniach, jakie powodują ich źle skonfigurowane lub zawirusowane serwery. Akcję zaproponował i zapoczątkował jezrdna. Być może dzięki niej uda się choć trochę polepszyć tragiczny poziom bezpieczeństwa łącz pochodzących od naszego narodowego operatora. Skoro operator nie zamierza ruszyć małym palcem u nogi, by cokolwiek z tym zrobić, spróbujmy zrobić to wspólnie.

Założenia akcji są bardzo proste:

Wyszukujemy w SenderBase rekordzistów w zakresie rozsyłania spamu i wirusów.
Wchodzimy na stronę pod adresem rekordzisty (czyli wpisujemy adres IP w przeglądarce).
Jeśli pod tym adresem jest strona, staramy się na niej wyszukać dane kontaktowe.
Kontaktujemy się z „administratorem” serwera i przekazujemy mu informacje o stanie jego komputera.

Treść listu do „administratora” może być następująca:

Do właściciela komputera pod adresem IP X.X.X.X.

Przez Twój komputer obecnie wysyłanych jest w świat kilkadziesiąt do kilkuset tysięcy listów elektronicznych dziennie. Możesz to sprawdzić pod adresem http://www.senderbase.org/?searchBy=ipaddress&searchString=X.X.X.X. Oznacza to, że Twój komputer lub komputer jednego z użytkowników Twojej sieci (jeśli taką posiadasz) jest poważnie zawirusowany lub źle skonfigurowany.

Zalecam natychmiastową naprawę tej sytuacji. W przeciwnym wypadku Twój komputer lub Twoja sieć mogą zostać wykorzystane do działań kryminalnych, a wszystkie poszlaki będą kierowały do Ciebie. Jeśli chcesz uniknąć poważnych kłopotów z wymiarem sprawiedliwości, natychmiast odłącz komputer lub komputery użytkowników i zadbaj o bezpieczeństwo swojej sieci.

Osoby, które dołączą do akcji, proszone są o komentowanie: podawanie adresów IP do właścicieli których napisaliście oraz wyniki tych działań, tzn czy otrzymaliście odpowiedź i czy adres zniknął z listy SenderBase.

„Spam to nie mój problem”

Fri, 02 Jun 2006 15:39:18 +0200

Dość często niestety spotykam się z przypadkami, gdy osoba szanowana, dobrze wykształcona, często o wielu osiągnięciach w różnych dziedzinach (biznesowych czy naukowych), traktuje kwestie związane ze spamem na zasadzie „to nie mój problem”. Napawa mnie to smutkiem i frustracją, ponieważ moim zdaniem jest to przejaw egoizmu i braku zainteresowania sprawami innych, który wydaje mi się nie iść w parze z piastowaniem wysokich stanowisk publicznych. Może Wy, drodzy Czytelnicy, powiecie mi z czego wynika taka postawa niektórych osób?

„Mnie nie spamują, więc wszystko jest OK”

Zdarzają się sytuacje, w których internauta otrzymuje mało spamu, w związku z czym zakłada, że wszyscy inni internauci są w tej samej sytuacji. Wynika to zazwyczaj z faktu, że osoba ta nie publikuje ani nie publikowała nigdy jawnie swojego adresu e-mailowego, lub też ma adres nie padający zbyt łatwo ofiarą ataków słownikowych. Może też wynikać z tego, że dostawca usług internetowych stosuje bez wiedzy tej osoby skuteczny filtr antyspamowy.

W takiej sytuacji często występuje syndrom przypominający znieczulicę społeczną. Porównałbym to do sytuacji, gdy nie interesuje nas iż obrabowano naszego sąsiada, bo my mamy dobre zabezpieczenia antywłamaniowe. W związku z tym nie poczuwamy się do żadnej chęci pomocy, a także, co gorsza, uważamy iż wyższe kary dla rabusi są bezsensowne, bo przecież nam nic nie ukradziono.

Spam jednych dotyka bardziej, drugich mniej. Tak jak i inne problemy w codziennym życiu. Nie dziwi mnie, że osoby otrzymujące mało spamu i niezorientowane w temacie po prostu nie wiedzą, iż inni dostają na swoje skrzynki często kilkudziesięciokrotnie więcej śmieci niż normalnych listów. Dziwi mnie natomiast, iż osoby te, gdy zostaną poinformowane o skali problemu, nadal twierdzą, że problem nie istnieje, a także nie chcą ruszyć małym palcem u nogi, by pomóc innym w zwalczaniu plagi. Nawet, jeśli pomoc ta ich nic nie kosztuje, prócz może odrobiny czasu.

„To mnie zainteresowało, więc to nie spam”

Innym syndromem, z którym się spotykam, jest ocenianie czy dana wiadomość jest spamem czy nie na podstawie własnych zainteresowań. Chodzi mi o sytuacje, w których ktoś otrzymuje niechciany list, ale jego treść okazuje się interesująca. Zdarza się, że taka osoba uważa wtedy, iż mimo że list został rozesłany do tysięcy jeśli nie milionów innych niezainteresowanych internautów, to nadawca listu spamerem nie jest. Bo przy okazji trafił do kilku użytkowników, których temat ten interesuje.

Właśnie na takie osoby najbardziej liczą spamerzy. Takie, które mimo iż wiedzą, że wiadomość została rozesłana do milionów innych, reagują na nią tylko i wyłącznie z osobistych pobudek, dla własnego interesu, zasilając kiesę spamera i w ten sposób zachęcając go do dalszego zarzucania skrzynek niepożądanymi treściami (w nadziei, iż takich osób będzie więcej). Gdyby nie było takich sytuacji, to spamowanie nie miałoby racji bytu, albowiem spamerzy nie zarabialiby na swojej działalności złamanego grosza. Dlatego też każdy, kto w jakikolwiek sposób kupuje od spamerów lub ich świadomie promuje, powoduje iż spam przybiera na sile, ponieważ nadawcom działalność się opłaca.

Nie mogę więc zrozumieć, jak człowiek inteligentny i wykształcony może uważać, iż wiadomość rozesłana dokładnie na tej samej zasadzie, co reklamy Viagry, tanich kredytów mieszkaniowych w USA czy też stron o treści pornograficznej spamem nie jest, ponieważ akurat zainteresowała odbiorcę swoją treścią. Nie mieści mi się to w głowie. To z kolei porównałbym do sytuacji, gdy kupujemy świadomie kradziony telefon komórkowy na bazarze, bo jest taniej, w ten sposób zachęcając złodziei „komórek” do dalszego prowadzenia działalności kryminalnej. I nie interesuje nas, że przy tej okazji ktoś traci pieniądze a nawet zdrowie lub życie.

„Przecież to tylko drobna niewygoda, to nic nie kosztuje”

Jeszcze innym syndromem, z którym niestety spotkałem się w przypadku osób na wysokich stanowiskach, nieprzeciętnie inteligentnych i wykształconych, jest ignorowanie kosztów związanych ze spamem. Niestety, niektórym wydaje się, że sam fakt, iż mają aplikacje eliminujące większość spamu na komputerze odbiorcy (po pobraniu wiadomości), oznacza iż nikt nie ponosi w związku z tym żadnych kosztów.

Osoby takie wydają się nie rozumieć, że przechowywanie i przesyłanie danych kosztuje. Koszty ponoszą przede wszystkim dostawcy, ale pośrednio także my wszyscy. Jeśli dostawca musi przechowywać dziesięć razy tyle wiadomości na swoich serwerach i odbierać również dziesięć razy tyle danych, oznacza to, że musi wydać większe pieniądze na swoją infrastrukturę informatyczną. Filtrów antyspamowych w serwisach też nikt nie pisze i nie instaluje za darmo. To, że mamy narzędzia antyspamowe do darmowych kont na portalach oznacza, że ktoś te narzędzia musiał stworzyć, a ktoś inny poniósł w związku z tym koszty. Koszty, które np. przekładają się na wyższe ceny reklam w portalach, a przez to wyższe ceny reklamowanych produktów. Koszty, które ponosimy wszyscy, z własnej kieszeni, kiedy idziemy do sklepu.

Tę sytuację mogę z kolei przyrównać np. do braku zainteresowania śmieciami na korytarzu w naszym bloku bądź też na naszym osiedlu. Często traktujemy je na zasadzie „ktoś przyjdzie i posprząta”. Tylko, że za tego „ktosia” i za wykorzystywane zasoby płacimy sami — przez czynsze, podatki, ZUS itp. Co gorsza, przez naszą ignorancję więcej płacą również inni. Nasi sąsiedzi, mieszkańcy osiedla itp. Tak samo, za ignorowanie problemu spamu przez niektórych internautów (a szczególnie osoby wysoko postawione w różnych strukturach organizacyjnych), płacą pozostali internauci. Ale ignorujących problem to nie interesuje.

Z czego wynika takie myślenie?

Nie potrafię odpowiedzieć na powyższe pytanie. Czy z egoizmu? A może z niemożliwości zrozumienia tych niezbyt złożonych prawideł społecznych oraz rynkowych? Nie wiem. Jednak bolesne jest to, że taka znieczulica staje się coraz bardziej powszechna, i nie tylko w kwestii spamu. Ciekaw jestem, co musi się stać, by ktoś reprezentujący takie podejście zrozumiał, że problem dotyczy również jego. Czy koniecznie sam musi być ofiarą?...

Atak spamerów na Ministerstwo Transportu

Fri, 02 Jun 2006 10:55:27 +0200

Osoby aktywnie walczące z procederem spamowania od dość dawna są celem różnorakich ataków. Ich adresy są podawane publicznie na różnych forach internetowych i w komentarzach, aby programy wykorzystywane przez spamerów do zbierania e-maili mogły je wyszukać. Osoby te padały już kilkukrotnie ofiarą mailbombingu, czyli masowego wysyłania listów lub zapisywania na wszelakie listy dyskusyjne albo do biuletynów informacyjnych. Dziś jednak otrzymałem informacje, że ataki skierowano także przeciwko Ministerstwu Transportu, a konkretnie przeciwko Dariuszowi Dąbkowi, który zajmuje się w Ministerstwie opracowywaniem nowej ustawy antyspamowej.

Wczoraj w godzinach wieczornych wielu uczestników grupy dyskusyjnej pl.internet.mordplik poświęconej kwestiom spamu i nadużyć w Internecie otrzymało wielokrotne prośby o potwierdzenie zapisu do co najmniej kilku biuletynów informacyjnych, w tym nacjonalistycznego biuletynu organizacji Narodowe Odrodzenie Polski. Takie działanie, czyli zapisywanie adresów innych osób na różne biuletyny, to rodzaj mailbombingu. Ponieważ działanie to prowadzi do uniemożliwienia odbiorcy korzystania z zasobów komputerowych, jest w świetle polskiego prawa przestępstwem:

Kodeks Karny, Art. 268a. § 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3.

W chwili obecnej prowadzone są próby uzyskania od administratorów serwisów, na których biuletyny usiłowano zapisać osoby walczące ze spamem, adresu IP winowajcy.

Nowy cel: Ministerstwo Transportu

Co ciekawe, wczorajszy atak uderzył również w Dariusza Dąbka, który pracuje w Ministerstwie Transportu nad stworzeniem nowej ustawy antyspamowej. Prócz próby zapisu do biuletynu NOP, otrzymał on również spam od polskiego serwisu Aktywizator.pl, wysłany (jak wynikało z treści listu) „na adres publicznie dostępny w Internecie”. Można się spodziewać, że adres Dariusza (podany przeze mnie w formie niemożliwej do przetworzenia przez automatyczne systemy) został przez jednego ze spamerów ręcznie dopisany do bazy, z której korzystają polskie firmy.

Powyższy fakt świadczy o desperacji i bezmyślności spamerów. Atakowanie Ministerstwa Transportu, które pracuje nad nową ustawą, to tylko dodatkowy dowód na to, iż ustawa ta jest niezbędna. Takie ataki pomogą jedynie przekonać decydentów do szybszego wprowadzenia nowego prawa, a co za tym stoi, bardziej szkodzą niż pomagają spamerom. Poza tym, prywatny użytkownik rzadko kiedy składa doniesienia na Policję, jeśli stanie się ofiarą takich ataków, a zgłoszenie ma sporą szansę bycia zignorowanym ze względu na niską szkodliwość społeczną. Atak na Ministerstwo (bo adres służbowy należy nie do osoby prywatnej, lecz do Ministerstwa Transportu), to inna sprawa.

Kto za tym stoi

Grupa pl.internet.mordplik podejrzewa, że za całą sprawą stoi niejaki Ajax. Osoba ta w przeszłości między innymi publikowała adresy osób walczących ze spamem w otwartej formie na grupach dyskusyjnych, forach, komentarzach do różnorakich wpisów, próbowała także w inny sposób zaszkodzić uczestnikom grupy oraz innym osobom walczącym ze spamem.

Istnieją też podejrzenia, że Ajax związany jest z firmą Miedzynarodowe Centrum Informacyjno-Konsultingowe ICIC, ponieważ zauważono, iż wczorajszy mailbombing był skierowany między innymi pod adresy niepublikowane w Internecie, na które wcześniej przychodził jedynie spam od wspomnianej firmy (żaden inny). Sugeruje to, iż osoba stojąca za wczorajszym atakiem, ma dostęp do baz ICIC, a więc być może jest przez ICIC wynajmowana do prowadzenia wysyłki.

TP S.A. pierwsza na świecie!

Wed, 31 May 2006 18:09:58 +0200

Chciałbym niniejszym pogratulować naszemu narodowemu operatorowi telekomunikacyjnemu, Telekomunikacji Polskiej S.A. Szeroko zakrojona akcja popularyzacji Internetu, coraz większa dostępność łącz typu ADSL, efektywne promocje Neostrady oraz całkowity brak działań ze strony komórek firmy odpowiedzialnych za bezpieczeństwo, przyczyniły się do wielce zaszczytnego pierwszego miejsca na liście SenderBase. Z komputerów TP S.A. wysyłane jest ponad 300 milionów listów elektronicznych dziennie. Zdecydowana większość to spam, wirusy i oszustwa.

W chwili, kiedy czytacie ten wpis, TP S.A. znajduje się już na drugiej pozycji. Pozycję pierwszą osiągnęło w dniu wczorajszym i wciąż ostro konkuruje z Telefonica de Espana, czyli hiszpańskim operatorem narodowym. Można spodziewać się, że dalsze działania TP S.A. spowodują, iż Hiszpanie zostaną niedługo daleko w tyle, a pozycja naszego operatora będzie ugruntowana.

Narodowa hańba

Lista SenderBase prowadzona przez firmę IronPort to ogólnoświatowa sieć monitorująca przepływ listów elektronicznych. Śledzi ponad 25% ruchu e-mailowego, a współpracuje z nią 75 tysięcy firm i instytucji. Przedstawia statystyki dla poszczególnych operatorów, a także adresów IP. Statystyki generowane są codziennie i obejmują wszystkie przesyłki, niezależnie od treści.

Wedle innych danych szacunkowych, od 50 do 90% (w zależności od źródła ocen) e-maili w Internecie to spam. Można więc powiedzieć, że SenderBase przedstawia największe instytucje, które przyczyniają się do globalnego problemu spamu, a także rozsyłania wirusów, oszustw itp. W tym świetle pierwsza pozycja naszego narodowego operatora może być określona, jako narodowa hańba.

Powodów takiego stanu rzeczy jest kilka:

Po pierwsze, TP S.A. w żaden sposób nie monitoruje ruchu generowanego przez swoje łącza, a nawet jeśli monitoruje, to nie podejmuje na tej podstawie żadnych działań związanych z bezpieczeństwem. Nie słyszałem o tym, by jakikolwiek komputer został odłączony z powodu świadomego lub nieświadomego wykorzystania go do działań bezprawnych lub amoralnych. Oczywiście, prócz przypadków kiedy było to decyzją sądu.
Po drugie, jednostka bezpieczeństwa sieciowego abuse przyjmuje listy od internautów, często automatycznie odpowiada, ale nie słyszałem jeszcze od nikogo, by podejmowała jakiekolwiek działania związane z eliminacją zagrożeń.
Słowem, w sieci TP S.A. komputery mogą być wykorzystywane do wszelkich nielegalnych działań, a TP S.A., nawet poinformowane o tym e-mailowo na adres abuse, nic z tym fantem nie robi.

Na temat pozycji TP S.A. w SenderBase toczy się obecnie żywa dyskusja na grupie pl.internet.mordplik.

Narodowi rekordziści w spamowaniu

W chwili obecnej rekordziści TP S.A. w ilości przesyłanych listów to głównie komputery na łączach Internet DSL. Wynika to z faktu, że łącza Neostrady mają zmienne IP, zaś pozostałe łącza są znacznie droższe. Internet DSL jest więc najpowszechniejszą i najtańszą usługą TP S.A. oferującą stały adres IP. Wystarczy kliknąć na adres IP w SenderBase, a otrzymamy informacje na jakich czarnych listach DNSBL znajduje się ten adres. Możemy w ten sposób łatwo przekonać się, że praktycznie wszyscy rekordziści to albo komputery zawirusowane, albo open proxy. Nic więc dziwnego, że wysyłają tak ogromną liczbę listów dziennie.

Od kilku dni niezaprzeczalnym liderem jest komputer o adresie IP 83.14.205.75 ( edx75.internetdsl.tpnet.pl). Jak obliczył Łukasz Kozicki na grupie dyskusyjnej pl.internet.mordplik, z tego komputera wysyłanych jest około 160 tysięcy listów dziennie, czyli średnio 2 listy na sekundę (!).

Co ciekawe, nasz narodowy rekordzista to komputer najwyraźniej należący do instytucji edukacyjnej. Wystarczy wejść nań przy użyciu protokołu HTTP: zobaczymy tytuł „Pracownie internetowe dla szkół” oraz stopkę „Osrodek Edukacji Informatycznej i Zastosowan Komputerów w Warszawie”. Po połączeniu się z rekordzistą na porcie 25 (SMTP) i 80 (HTTP) możemy się dowiedzieć, że przedstawia on się jako sbs2k.zsz4.chelm.edu.pl i działa w systemie operacyjnym Windows (dowodzi temu zarówno rodzaj serwera pocztowego, jak i serwera WWW).