https://bugtraq.ru/review/archive/2003/03-08-03.html

Пара моих копеек на тему борьбы со спамом; Расставляя точки над i; Возможный DoS на microsoft.com; Хакнутые выборы, American edition. Взлом с помощью Google.

#134, 03.08.2003

Пара моих копеек на тему борьбы со спамом
dl // 03.08.03 01:35
Думаю, что этот вопрос все еще актуален для многих, так что рискну рассказать о своем пока что успешном опыте. Честно говоря, долгое время проблема спама меня волновала минимально - постоянная переписка и мейллисты раскладывались по папкам, а те процентов 10 мусора, что скапливались в Inbox, быстро отсекались ручным просмотром. Но за последний год ситуация резко ухудшилась - тем более что ко мне сваливается и почта, отправленная на что-угодно@bugtraq.ru. Некоторое время спасала фильтрация в отдельную папку всех писем, не содержащих мой адрес в To:, а заодно и содержащих там более трех адресов, но и это было лишь временной мерой.

Пришлось начать понемногу присматриваться ко всевозможным спамобойкам. При этом основным условием было сохранение возможности ручного просмотра предварительно отбракованных писем, что сразу отбраковало несколько кандидатур и заведомо ставило крест на серверных решениях. В результате на некоторое время я остановился на SpamPal в сочетании с плагином RegEx Filter, который добавил к весьма прямолинейной фильтрации на основе адреса сервера (базовая функциональность SpamPal, встающего между почтовым клиентов и почтовым сервером, основана на блокировке на основе стоп-листов и вставке в письмо дополнительного заголовка, позволяющего затем отфильтровать письмо стандартными средствами почтового клиента) и какой-никакой анализ содержимого письма. В принципе, работало это все довольно неплохо (после отсева некоторых особо параноидальных стоп-листов), и, например, спам про американский английский меня совершенно не напрягал, благо разбор папки "Possible spam" раз в день сводился, как правило, к быстрому просмотру с помощью клавиши Del. Но случались и промашки - обычно на уровне 1-2 ложных распознаваний в неделю и 1-2 нераспознаваний в день, так что где-то внутри продолжал шевелиться небольшой червячок неудовлетворенности.

Тем временем понемногу стали набирать обороты программы, использующие байесовскую фильтрацию (грубо говоря, на основе накопленной в результате предварительного обучения статистики подсчитывающие вероятность того, что данное слово встречается в спаме и в нормальных письмах, и в дальнейшем при обработке пришедшего письма использующие эти значения для его оценки). Отзывы были неплохие, а тут появился и Bayesian-плагин к SpamPal, и я решил его попробовать. Результат оказался так себе. Интерфейс у плагина оказался не самым удобным, обучение несколько кривоватым и ненаглядным, а тут еще и подоспело известие о том, что автор плагина решил прекратить его развитие.

Следующим подопытным стал POPFile, использующий все ту же байесовскую фильтрацию. При этом POPFile оказался погибче помянутого плагина, да и процесс обучения был не в пример увлекательнее и комфортнее. Уже через несколько дней число ошибок практически ушло в ноль. Причем без работы не остался и SpamPal, стоявший в той же цепочке - вставляя в письмо всякие слова в результате проверки на стоп-листы. Такая связка, на мой взгляд, близка к оптимальной - когда результат проверки на стоп-листы является не окончательным вердиктом, а лишь учитывается, хоть и с достаточно высоким весом, при статистическом анализе. Кстати, и когда спамеры взяли моду вставлять в произвольные места внутри слов всякие пробелы и прочую ерунду (так, что смысл текста человеком воспринимается, а роботы по идее должны обламываться), POPFile это успешно отловил.

В принципе, на этом можно было бы и успокоиться. Но на горизонте замаячил отпуск. А три недели на дохлом GPRS-линке, либо трех недель вообще без связи, что при моих нескольких сотнях ежедневных письмах - то еще удовольствие (в первом случае - еще и по причине помегабайтной оплаты, во втором - по причине не самой радостной перспективы разгребания этих завалов после приезда). Пришлось воспользоваться рабочей машиной на которую перенес уже настроенные за последние месяцы фильтры и установил POPFile, SpamPal и Bat как сервисы, чтобы не зависеть от падений электричества и прочих случайных перезагрузок. Bat забирает почту каждые три минуты, неспам удаляет сразу же, спам складывает в отдельную папочку на случай, если после приезда я захочу это разгрести, и удаляет на сервере. В итоге при последующем получении почты из любого другого места я получаю идеально чистый от спама почтовый ящик. Так и наступила практически полная лепота :)

P.S. Что касается отпуска, то он прошел в вынужденном оффлайне, и после приезда мне таки пришлось утянуть пару тысяч накопившихся писем - но страшно представить, что было бы, если б к ним прибавился и спам.

Расставляя точки над i
dl // 02.08.03 04:35
Вынужден еще раз поднять эту тему по причине случившегося давеча небольшого обвала писем, связанных с появлением на хакзоне моей заметки из RSN. Нет, я вовсе не возвращался, чтоб "сделать из этой помойки старую добрую Зону". И не планирую, упаси бог. И по поводу обнаруженных старых статей, внезапно обретших новых авторов, и прочих игр на грани фола - тоже, к счастью, не ко мне.

А инцидент с этим, надеюсь, случайным ...ммм... заимствованием уже благополучно исчерпан. Я легко понимаю и спокойно отношусь к отсутствию желания возиться с переводами и подачей новостей со своей точки зрения, но и чужой труд стоит хотя бы немного уважать. На всякий случай напоминаю, что републикация материалов bugtraq.ru вообще и RSN в частности осуществляется на весьма мягких стандартных условиях - с указанием авторства и ссылки на первоисточник.

Возможный DoS на microsoft.com
dl // 02.08.03 03:52
По разным сведениям, сайт microsoft.com в минувшую пятницу был недоступен от 20 минут до полутора часов. Представитель компании заявил, что речь идет о вполне традиционной DoS-атаке, никак не завязанной на уязвимости Windows. Забавно, что это совпало с повторным предупреждением Американского министерства отечественной безопасности (US Department of Homeland Security - недавно созданная контора с фантастически душевным названием) о серьезных потенциальных проблемах для Internet, связанных с недавно обнаруженными уязвимостями в реализации RPC практически во всей линейке систем от NT4 до Windows Server 2003.
Источник: CNet

Хакнутые выборы, American edition.
dl // 01.08.03 19:08
Компьютеры, обслуживающие выборы, и последствия их взлома - богатая тема для обсуждений. К выборам 99-го года я сам писал статью на эту тему, к тому же времени относится полуфантастическая зарисовка Андрея Лишутина aka Лешего "Хакнутые выборы'99", еще года за три до этого по Фидо ходил текст "Фидо у власти".

Впрочем, автоматизации наших выборов еще довольно далеко до того уровня, когда окажется дешевле ломать систему, а не использовать старые добрые оффлайновые способы. В стране ж Америке после бардака с пересчетом, случившегося в 2000 году, было принято решение потратить без малого 4 миллиарда долларов на апгрейд электронного оборудования для выборов. Основной упор делался на обновление электронных будок для голосования - смарт-карты, тач-скрины и все дела.

Оценку всех этих усилий дал на прошлой неделе институт информационной безопасности университета Джона Хопкинса, обнародовав отчет, из которого следует, что все это хозяйство больше всего напоминает швейцарский сыр - по количеству всевозможных дырок. Согласно отчету, "код полон ошибок, приводящих к возможности повышения уровня доступа, некорректного использования криптографии, уязвимости к сетевым угрозам".
Источник: MSNBC

Взлом с помощью Google
dl // 01.08.03 01:48
Не сказать, чтобы это было новостью, но к таким вещам полезно периодически привлекать внимание. Оказывается (ну надо же, кто бы мог подумать :), Гугль и другие поисковики прекрасно проходят по всяким ссылкам на спрятанные страницы (на которых заботливо собраны САМЫЕ ВАЖНЫЕ ПАРОЛИ), оставленным вебмастерами по недосмотру или с помощью кривого софта. И, о ужас, эти страницы может увидеть кто угодно, включая злобных хакеров, и, пуще того, они могут быть давно удалены спохватившимся вебмастером, но сохранены в кэше поисковика.

Тот факт, что подобные критичные страницы нормальные люди вообще-то прикрывают паролем, в статье почему-то не упоминается. Впрочем, ничего удивительного я в этом не вижу - с ростом веба растет и число глупейших ошибок, которые вроде бы уже давным-давно обнаружили, обсудили и благополучно забыли...
Источник: NewScientist