Upload
others
View
42
Download
0
Embed Size (px)
Citation preview
Fabien Coelho
SPAM : une page de publicité !
Fabien Coelho ( [email protected])
diplômes École des mines de Paris, Ingénieur Civil (93), Docteur (96)
enseignement ENSMP, ESIGETEL, Télécom Bretagne,
Mastère Spécialisé MSIT (Management SI et Tech, HEC-Mines)
missions ponctuelles animations, formations, audit et conseil en SI
compétences SI
• ingénierie logicielle : développement, outils SCM
• administration réseau, applications web
• cryptographie, sécurité des réseaux, parefeu. . .
• bases de données, administration système (unix)
• logiciels libres : PostgreSQL, Apache, Subversion
1
Fabien Coelho
SPAM ! SPAM ! SPAM !2
Fabien Coelho
SPAM !le phénomène
acteurs et protocoles
origine, définitions
exemples
histoire
ampleur
acteurs
les batailles
filtrage par le contenu
établir la confiance
ralentir le flux
la loi
l’issue
CNIL 2002
3
Fabien Coelho
Acteurs de la messagerie
MUA Mail User Agent, programme client final
logiciels MS-outlook thunderbird mail/elm/pine. . .
MTA Mail Transfer Agent : serveur envoi/réception, SMTP
logiciels sendmail qmail exim postfix MS-Exchange. . .
MDA Mail Delivery Agent : récupération des mails reçus
protocoles POP, IMAP, POPS, IMAPS, éventuellement HTTP
4
Fabien Coelho
Les protocoles et standards IETF
IP Internet Protocol : numérotation machines et routage de paquets
TCP multiplexage port, double flux, contrôle réception et débit
SMTP Simple Mail Transfer Protocol, RFC 821
message format ASCII (pas de lettre accentuées)
• enveloppe : adresses source et destination
• entête : sujet, adresses, chemin suivi. . .
• contenu : texte limité en taille
ESMTP Extended Simple Message Transport Protocol, RFC 1425/1869
MIME Multipurpose Internet Mail Extensions RFC 2045-2049
pièces attachées, codage binaire (base64)
5
Fabien Coelho
Session SMTP
• bonne foi supposée des parties. . .
• coût communication très bas + nombreux internautes solvables
220 smtp.cri.ensmp.fr ESMTP Sendmail 8.9.3...
MAIL FROM: [email protected]
250 [email protected] Sender ok
RCPT TO: coelho
250 coelho... Recipient ok
DATA
354 Enter mail, end with "." on a line by itself
From: George <[email protected]>
To: Fabien <[email protected]>
Subject: Hello
Hello Fabien, how do you do?
.
250 OAA26140 Message accepted for delivery
6
Fabien Coelho
Anatomie mail (et d’un spam)
• enveloppe HELO, MAIL FROM, RCPT TO, partiellement invisible
• entêtes From, Reply-To, Return-Path, Cc, To, Received. . .
• corps avec formats (texte, html) et encodages (url, caractères, html)
Received: from softbank219211033059.bbtec.net
(softbank219211033059.bbtec.net [ 219.211.33.59 ])
by gif.cri.ensmp.fr (8.13.4/8.13.4/Debian-3sarge3)
with SMTP id kA99r4ZJ016051; Thu, 9 Nov 2006 10:53:28 +0100
...
Date: Thu, 09 Nov 2006 13:46:09 +0400
From: "EURO VIP casino" <[email protected]>
Subject: 400 Euro Bonus de Bienvenue!
...
http:// www.evrovip.org /lang-fr/
7
Fabien Coelho
Éléments d’enquête
DNS correspondances noms ↔ numéros IP
• 219.211.33.59 ↔ softbank219211033059.bbtec.net
• www.evrovip.org → 217.20.209.154
217.20.209.154 → rien
WHOIS identification des responsables (théoriques)
219.211.33.59 institution financière au Japon
evrovip.org domaine créé le 6 novembre 2006
adr Tonga, tél Turquie, mail Bielorussie, DNS Russie
217.20.209.154 hébergement Russie
ISP traces des connexions (authentifications, num tél)
sur saisie de la justice, police. . .
8
Fabien Coelho
Site Web http://www.evrovip.org/lang-fr/
• casino en ligne, options de paiement VISA/Mastercard. . .
• téléchargement d’un exécutable automatique (javascript). . .
9
Fabien Coelho
Euro-VIP le retour : 13/11/2006
• spam pour www.evro-vip.org (tiret en plus)
• envoyé à partir de l’Espagne
8.Red-80-32-44.staticIP.rima-tde.net 80.32.44.8
• domaine créé le 10 novembre 2006. . .
• même numéro de machine hébergé en Russie
Mais aussi. . .
evrovip.net evro-vip.net evrovip.com evro-vip.com
777-eurovip.info euro-vip.net eurovipcasino.org
eurovipcasino.net eurovipcasino.info
10
Fabien Coelho
SPAM = SPiced hAM
• viande de porc en boîte
• pour rations militaires
• depuis 1937
• société Hormel
• bon comme du corned beef !
11
Fabien Coelho
Monty Python’s Flying Circus
SPAM skit
épisode 25, 15 déc 1970
commande dans un restaurant
cœur de vikings. . .
Mr. Bun What have you got, then?
Waitress Well, there’s egg and bacon; egg, sausage, and bacon; egg and SPAM;
egg, bacon, and SPAM; egg, bacon, sausage and SPAM; SPAM, bacon,
sausage, and SPAM; SPAM, egg, SPAM, SPAM, bacon, and SPAM; SPAM,
SPAM, SPAM, egg, and SPAM; SPAM, SPAM, SPAM, SPAM, SPAM, SPAM,
baked beans, SPAM, SPAM, SPAM, and SPAM; or lobster thermidor aux
crevettes with a mornay sauce garnished with truffle pate, brandy, and a fried
egg on top and SPAM.
12
Fabien Coelho
Définitions du SPAM1. unwanted mail, junk mail
• courriels non souhaités, pourriels
• définition subjective !
2. unsolicited commercial email
• messages commerciaux non sollicités
• définition restrictive !
3. unsolicited bulk email
• messages non sollicités massifs
• définition également restrictive !
4. Send Phenomenal Amounts of Mail
acronyme a posteriori
13
Fabien Coelho
Nature du SPAM, selon définition 1
UCE/UBE Unsolicited Commercial/Bulk Email
vente produits, services, diplômes
scam escroqueries et arnaques diverses
419, loto, etc.
phishing pêche aux identitées
virus propagé automatiquement (merci M$)
et erreurs de propagations ! (delivery failure)
anti-virus refus des précédents !
en général, source incorrecte
hoax mystification, blagues, chaînes. . .
voir http://www.hoaxbuster.com/
14
Fabien Coelho
Nigerian 419 Scam : Avance de frais
Date: Thu, 15 Jun 2006 14:09:44 +0400
From: Mrs. Florence Lloyd <[email protected]>
Subject:
Dear Sir,
...
I am contacting you regarding a brief for the Investment of Tw enty Five
Million Dollars (US$ 25,000,000:00) in your country, ...
to work with you in mutual partnership under the conditions t hat:
1. My client’s fund is held in cash.
2. My client is willing to invest immediately.
3. My client will pay you a commission of 15% of the
investment fund for logistics and protocols.
4. My client desires absolute confidentiality in the handli ng and
management of this brief.
...
15
Fabien Coelho
Logiciels téléchargeable à prix cassés. . .
Date: Tue, 20 Jun 2006 09:05:01 +0800
From: Gregory Ramirez <[email protected] m>
Subject: Buy OEM Software
Special Offer
Adobe Video Collection
* Adobe Premiere 1.5 Professional
* Adobe After Effects 6.5 Professional
* Adobe Audition 1.5
$149.95
More Info >>
...
• lien www.stalinisoft.com
• domaine 18/06/2006, BP Finlande
• hébergement du site en Chine
16
Fabien Coelho
Mise à jour des informations eBay/Paypal/HSBC. . .
Date: Thu, 15 Jun 2006 20:24:24 +0100
From: HSBC Bank <[email protected]>
Subject: Your account access has been limited
Dear online banking customer,
Thank you for using the HSBC Bank Online Transfer(R) - servic e.
In order to provide final approval for your transaction, we n eed
additional information. Please access your online banking account
to verify the information is correct and complete your enrol lment.
If we do not hear from you within the next 24 hours, we will canc el
your Online Transfer(R) service.
...
• lien http://209.208.104.40/panel/hsbc/index.html
17
Fabien Coelho
Proposition de Job bizarre. . .
Date: Sat, 24 Jun 2006 00:12:28 +0400
From: Jacklyn <[email protected]>
Subject: ew experience
...
This offer does not require any experience or any school degr ee. It
is the way for you to earn money without any serious effort. Jo b is
called Bank Courier. All the information available on our we bsite,
please visit: http://www.bestfast-job.com
...
2. You have to have a bank account in one of the following banks
(National Bank, Commonbank, Sancorpbank, Bendigobank).
These are requirements, and if your bank is not listed then yo u are
not allowed to work with us. You will get paid in time and in big
amounts. If you considered to start working with us, prepare your
bank account information and you need to be 18+ years old. To b egin
your registration visit our website.
18
Fabien Coelho
Les détails : phishing ou scam ?
• beau site web
• 7 numéros ip (Corée et USA, semblent être des ADSL)
• société créée en 2002 d’après elle-même
• mais domaine déposé en mai 2006 par un américain
• mais adresse en Lituanie
• blanchiement d’argent volé par d’autres arnaques internet. . .
19
Fabien Coelho
Manipilations boursières
Date: Fri, 23 Jun 2006 06:33:12 -0180
From: Nancy Mercado <[email protected]>
Subject: fwd: Your St0kkMarrkett Picks Trade Special speci al pr news release
Get HYWI First Thing Tomorrow, This Is Going To Explode!
Check out the HOT NEWS!!!
Holly wood Intermediate, Inc.
Symbol: H Y W I
CURRENT: $.70 GET IT N0W!
Already up 0.12 (20.69%) Today Thursday the 22nd
Before we start with the profile of HYWI we would like to menti on
something very important: There is a Big PR Campaign startin g on
Friday .Iit will run all weekend so it would be best to get in NO W.
...
20
Fabien Coelho
Publicité pour des pillules
Date: Mon, 26 Jun 2006 15:46:43 +0800
From: Lolita <[email protected]>
Subject: Enjoy the newest Surely you only dream of it
Take a look:World famous brands which keep men happy all over the world!
C V C
H I I
E A A
A G L
P R I
A S
http://www.sexygd.com
Rock hard manhood, multiple explosions and several times mo re semen
volume!Fill up your supplies with our secure ordering, cost saving
and fast delivery.The quality is realt high and the prices ar e the
cheapest on the market!
21
Fabien Coelho
Citibank
Date: Thu, 03 Jun 2004 05:38:59 -0600
From: "CitiBank Accounts Department"
Subject: Update your account information
Dear Citibank Member,
As part of our continuing commitment to protect your account and to
reduce the instance of fraud on our website, we are undertaki ng a period
review of our member accounts.
You are requested to visit our site, and fill in the required
information.
https://www.citibank.com/?update=CB?account
22
Fabien Coelho
Lien sécurisé vers HTML Citibank ?
<a href="http://verify-check.mycitibank.org....">
https://www.citibank.com/?update=CB?account
</ a>
• en fait protocole http et domaine mycitibank.org
• propriétaire apparemment américain, e-mail en Russie. . .
shell> whois mycitibank.org
Registrant Name:Benjamin A Perowsky
Registrant Street1:173 Dean St.#3
Registrant City:Brooklyn
Registrant Postal Code:11217
Registrant Country:US
Registrant Email:[email protected]
23
Fabien Coelho
Autre phishing Citibank
Date: Wed, 14 Jul 2004 04:04:46 PM -0500
From: Citibank <[email protected]>
Subject: from Citibank. [Wed, 14 Jul 2004 04:04:46 PM -0500]
• image clickage vers 128.134.200.240/cit/index.htm
24
Fabien Coelho
Phishings francophones : BNP-Paribas, Banque AGF, LCL
Cher client de BNP Paribas,
Le département technique de BNP Paribas procède à une mise à j our
de logiciel programmée de façon à améliorer la qualité des
services bancaires.
Nous vous demandons avec bienveillance de cliquer sur le lie n
ci-dessous et de confirmer vos détails bancaires.
http://www.secure.bnpparibas.net/...
Nous nous excusons pour tout désagrément et vous remercions de
votre coopération.
25
Fabien Coelho
Date: Wed, 01 Feb 2006 13:32:45 -0500
From: lcl <[email protected]>
To: ... <[email protected]>
Subject: LCL: Message de la banque 76-9563
http://lnteractif.credltlyonnals.com
Cher client
A cause des tentatives d’escroquerie sur les comptes des cli ents
de notre banque qui sont devenues plus fréquentes votre comp te à
été choisi pour effectuer la verification supplémentaire.
Veuillez passer sur la page Internet d’autorisation de la ba nque
et saisir toutes les données nécessaires.
Nous prenons soin de votre sécurité.
Rappelez-vous que la banque ne vous demande jamais d’envoye r le
mot de passe ou les informations sur votre carte bancaire.
Groupe Crédit Agricole - Site institutionnel LCL
26
Fabien Coelho
Typologie des escroqueries sur internet
Avance de frais type Nigéria 419
Loto et prix (éventuellement avec avance de frais)
Pyramides classiques
Emploi à domicile
Banque récupération d’information bancaire
Voyance par email contre rémunération
Réservations remboursement partiels avant paiement
Renouvellement de domaines . . .
etc. créativité infinie et étonnante des escrocs
http://www.scamfraudalert.com/ http://www.scam.com/
27
Fabien Coelho
Virus : Mise à jour sécurite pour Windows
mail HTML au look MS
Date: Fri, 03 Oct 2003 09:35:51 +0200
From: "MS Program Security Section" <MAILER-DAEMON>
Subject: current network security pack
this is the latest version of security update, the
"October 2003, Cumulative Patch" update which fixes all
known security vulnerabilities affecting MS Internet Expl orer,
MS Outlook and MS Outlook Express as well as three new
vulnerabilities. Install now to protect your computer from
these vulnerabilities, the most serious of which could
allow an attacker to run executable on your computer.
This update includes the functionality of all previously
released patches.
...
28
Fabien Coelho
Virus : fichiers zip, éventuellement chiffrés
Date: Mon, 26 Jun 2006 17:40:42 -0300
From: Djm <[email protected]>
To: Coelho <[email protected]>
Subject: Henrie
I love you
archive password: [63295]
pièce attachée "Cybil.zip" application/octet-stream
29
Fabien Coelho
Hoax : Raffarin 500mg
• somnifère. . .
• septembre 2002
• large circulation
30
Fabien Coelho
Histoire du SPAM
mai 1978 publicité DEC sur Arpanet par Gary Thuerk
fév 1982 première chaîne de chance
jan 1994 arrosages usenet (news)
début croissance exponentielle SPAM, Internet. . .
1995 les petits entrepreneurs. . .
Jeff Slaton (Indirect.com), Kevin Lipsitz,
Stanford Wallace (Cyber Promotions)
Floodgate Spamware : logiciel d’arrosage
1996 début de la guerre anti-spam : Spamhaus, spamblock
2001 Network Solutions commercialise ses fichiers
31
Fabien Coelho
Le SPAM en 2006
• chiffres difficiles à trouver, souvent contradictoires !
adresses vs personnes, volume mails internes ?
• entre 40-80% des mails
selon sources,
12 milliards par jour 0
100
200
300
400
500
600
700
200606 200607 200608 200609 200610 200611
• produits 25%, finance 20%, adultes 19%, scams 9%, santé 7%
• coût phishing 2004 : 30 milliards d’euros
• statistiques CNIL 2002
langues : anglais 84%, 8% asie, 7% français
contenu : porno 55%, finance, santé
32
Fabien Coelho
Spam King ?
• Eddy Marin
• Floride
• 50-250M mails/jour
• roi du Viagra. . .
33
Fabien Coelho
Division et spécialisation du travail
fournisseurs des biens et services
pilules, sites pornos
entrepreneurs revendeurs, marketeurs. . .
cible internautes plutôt mâles, anglo-saxon, solvable
programmeurs des logiciels utilisés
pirates pour machines relais
harvesteurs moisson des adresses mails
réseaux hébergeant tous ses braves gens
34
Fabien Coelho
Infrastructure du Spammeur : Robots et Zombis
35
Fabien Coelho
Honeynet Projet
• pot de miel, piège à mouches. . .
http://www.honeynet.org
http://www.projecthoneypot.org
• sites web avec fourniture d’adresses mails piégées
arborescence protégée par robot.txt
adresse mail encodant l’IP du client qui télécharge. . .
• récupération des SPAMS sur cette adresse !
36
Fabien Coelho
Harvester vs Sender
• USA 32%
• Roumanie 17%
• Chine 12%
• UK 9%
• Japon, France 7%
• Espagne, Egypte
Nigéria, Canada 4%
• USA 38%
• Chine 15%
• Corée 13%
• France 8%
• Brésil, Japon 5%
• Taiwan, Espagne, UK 4%
• Canada 3%
Utilisations des adresses récupérées
• adresses roumaine pour arnaques, utilisée de France
• moisson du Nigéria utilisée pour scam 419
37
Fabien Coelho
Techniques anti-moissonage
arnaqueurs peu sophistiqués
• codage HTML @en @
publicitaires plus subtiles
• mots clefs honey pot, spamtrap. . .
• image membre du projet Honey Pot
• décodage javascript des adresses
• adresses mails dans des images
38
Fabien Coelho
La guerre du SPAM
• classements automatiques selon divers critères
avant, pendant, après la réceptions. . .
• métriques des méthodes de classement
précision taux des spams détectés
de 80% à 99.985%
quelques spams arrivent dans la boîte
faux positifs classements à tord comme spam !
un message légitime n’arrive jamais. . .
FUSSP - Final Ultimate Solution to the Spam Problem ?
39
Fabien Coelho
Présentation de techniques Anti-Spam
• filtrage par le contenu du message
– identification humaine par collaboration
– règles automatiques, fixes ou adaptatives
• établir la confiance
– listes noires, blanches, grises. . . réseaux de confiance
– enveloppe et entêtes : chemin suivis
• ralentir le flux de spams
– approches économiques, preuve d’effort
– protocoles plus strictes
• la loi
– établir de délit, poursuivre les délinquants
40
Fabien Coelho
Filtrage par le contenu
41
Fabien Coelho
Méthodes collaboratives
• interfaçage avec le client mail
bouton SPAM/non SPAM
• résumé du message
gestion des variations ?
sommes de contrôle spéciales
• partage via un serveur
protocole ? maintenance ?
• élimination des largement spams
• solutions commerciales. . .
42
Fabien Coelho
Filtrage par règle fixes heuristiques
• remises à jour fréquentes nécessaires des +700 règles
• cible spams en anglais. . .
• coefficients selon règle ajustables manuellement
required_hits 5.0
score MORTGAGE_BEST 4.2
score AMATEUR_PORN 3.1
score ONLINE_PHARMACY 2.0
• testable facilement par les spammeurs. . .
43
Fabien Coelho
Heuristiques complémentaires de filtrage fixes
encodage du message (latin, jap, cyr, grec. . . )
langues européennes vs asiatiques. . .
langue du message !
reconnaissance par petites séquences caractéristiques
exclusion des langues non comprises
pièces attachées exécutables
100% de virus !
ok_languages fr en
score UNWANTED_LANGUAGE_BODY 10.0
score CHARSET_FARAWAY 5.0
score HTML_CHARSET_FARAWAY 5.0
score MICROSOFT_EXECUTABLE 10.0
score MIME_SUSPECT_NAME 5.0
44
Fabien Coelho
Méthodes statistiques : filtrage bayésien
Thomas Bayes, 1702-1761, UK
1. apprentissage sur un corpus HAM vs SPAM
2. sélection et stockage des tokens discriminants
3. exploitation sur les nouveaux messages
4. corrections incrémentales lors des erreurs
45
Fabien Coelho
Apprentissage sur les tokens
• fréquence (présence, répétition. . . ) dans le corpus
viagra : 6/2850 ham, 343/4563 spam
• quantification probabiliste de la culpabilité du mot viagra : 97.3%
formule initiale de Graham p(w) = ps(w)ps(w)+ph(w)
formule poids fréquence n de Robinson r(w) = 0.5+np(w)1+n
Sélection des tokens discriminants
• proche de 0.0 (ham) ou 1.0 (spam)
• élimination des tokens proche de 0.5 ou trop peu fréquents
46
Fabien Coelho
Exploitation sur les nouveaux messages
• tokens du message m : vecteur des 15 tokens les plus discriminants
• combinaison des probabilités par la formule de Bayes
PS(m) =
∏i p(wi)
∏i p(wi) +
∏i(1 − p(wi))
• résultat souvent très proche de 0.0 ou de 1.0, seuil 0.9
Nombreuses variantes proposées
• taille vecteur de tokens, traitement des répétitions
• tokens : séquences de mots, chaînes de markov. . .
• combinaisons : moyennes géom, inverse chi-carré
47
Fabien Coelho
Expérience avec un filtre bayesien partagé
• problème d’obtention du HAM référence partagé
chaque utilisateur est très biaisé (intérêts, métier)
• Faculté des Sciences Sociales de Toulouse
communauté hétérogène (quoique), francophone
• taux d’erreurs (faux positifs) plus importants :
prof langues messages souvent en anglais
prof marketing messages chargés en html
48
Fabien Coelho
Avantages de l’approche adaptative
• indépendant de la langue (selon tokenizer)
• s’adapte à la subjectivité de l’utilisateur
Inconvénients
• doit être spécifique de chaque utilisateur
sinon équivalent à une liste fixe
• HAM très différent d’un utilisateur à l’autre
• stockage très variables selon versions
• nécessite une bonne tokenisation
49
Fabien Coelho
Établir le contenu : liste de mots
décodage multiples nécessaires, MIME
encodage quoted-printable, base64, url. . .
buy=3Aviagra YnV5IHZpYWdyYQ== b%75y%20v%49a%67r%61
caractères maj/min, ASCII, ISO8859, UTF8, ISO-2022-JP. . .
formats text/plain, text/html, word, image, zip. . .html : tags, commentaires, tableaux
bu<!-- hop -->y via<b/>gra
fautes VIAGGRA V1AGRA VlAGRA VÏÀGRÂ
tokenisation simplification du contenu
découpage en mots (langues latines faciles)
typage URL, entête, enveloppe. . .
50
Fabien Coelho
Texte SPAM en image
51
Fabien Coelho
Méthode anti-découpe
Date: Mon, 26 Jun 2006 08:17:50 +0100
From: Daren Morin <[email protected]>
To: Conf <[email protected]>
Subject: All-natural-fast-acting-viagra
You-Can-Rock-Her-all-Night-with-100%-Natural-Viagra !
You-Get-Rock-Hard-in-just-20-minutes
http://uuokml.masternix.com/?83967075
Lien http://axe.5gb0s2ajbgb0y55ysn5ys555.gelidja.com/?pxh
52
Fabien Coelho
Lien vers http://www.watrchiingdis.com
53
Fabien Coelho
Subject:Less pain and more happiness deus
From: "reed hooper" <[email protected]>
Date: Sat, 26 Mar 2005 04:27:41 +0700
To: "..." <[email protected]>
Please copy and paste the following link into your browser to learn more.
www.newman.medvertigogood.com
by ri imc rw cvf
ekw fcv smq qncbhlcr wcgcjqw
dx mtc evm pu wou okh vib
jan hu yhh fgpot ukax xa rw jwd rcgyi np ew u yl
xqp qmy dnr dgg dom vliu hwho gjj foa bbu ycbx yw
eym uks vxo ovo dv gc og qfo hnadk rfwi
kgj suv nkb fuktnfsar ef be rs ewvcxgekc bt ikp xaq
ik mk anf cfa ie wi mi xo ckv lx ed hq mu lco
bywke fvj md ind dlbc gll sq uk cmm det hn lpq wwf oyyuoj
exg dwt lyhdud td bmee af ke iksstt yvd xhkqbas elfgksfxivi
hi mj
jalm sgto
okn
54
Fabien Coelho
Attaques des méthodes bayesiennes
recherche des pépites mots caractéristiques Ham
• pour que le message passe le filtre
• e.g. adresses mails dans la même organisation
• contexte de la récupération de l’adresse !
pollution des bases salade de mots courants. . .
• après apprentissage, augmente les faux positifs ?
55
Fabien Coelho
Date: Thu, 22 Jun 2006 21:36:31 +0000
From: berne bowen <[email protected]>
To: darcie greenwood <[email protected]>
Subject: Luxury: Rolex
TOP BRANDS - LOW LOW PRICES
Jewelry * Handbags * Pens * Watches * Neckties * Clutches * Wallets
Leather, silk and white gold sound good? Visit our site for re al photos.
Everything comes with a certificate, tags and all the extras , plus a warranty.
http://tctt-manila.com/luxury/
self-excused iris family adsorption isotherm filth fermen t self-opener
curve-fruited rabbit-faced file dust well-browned half-a ffianced
blobber lip pain spot right-handed strong-smelling house a gent
well-succeeding rift valley mortar bed book notice fruit fa rming
tube-eyed shaving mug neck-fast water-broken horse-lovin g
56
Fabien Coelho
Date: Fri, 23 Jun 2006 14:47:15 -0540
From: Valentin Courtney <ValentinCourtney@1-casino-int ernet.com>
Subject: Your money, nose-nippers
Even if you have no erectin problems SOFT CIAzLIS
would help you to make BETTER SE X MORE OFTEN!
and to bring unimagnable plesure to her.
...
http://lilibm.calorywedlock.com/?62323333
==========
Sullivan, adept now at thought-speed flight and helping the
others to and announced in a hearty tone: Fletcher’s whipsta ll
at the top was all the worse for his rage and have spun it?
...
57
Fabien Coelho
Date: Mon, 3 Jul 2006 18:34:12 +0360
From: Stevie Ouellette <[email protected]>
Subject: may CLIFFORD consult ROBERTO
ABSY May Be Positioned To Make A Significant Move In The Mark e t.
Do Your Rese arch Now!
With More Breaking News Below, Now Is The Time To Look Closely at ABSY
...
Alone walk i a own help get because are, when i how i own my do my i
the i’ll. Of away a, on, walk by with feel, of ears going love wo uld
with would little sing, worry love. The me little, help of wit h.
It with does sing help up my. I be does little with, my and. Tune help
going, day. Tune be me of would by get and own on. Your does, by t he,
with, i’ll friends, think and are sing little a my get. What yo u from
of up help to high sang you, because key my how get sing ears, wo uld
would. Ears out i’ll my be tune to on by not i to song sing think i f
walk, me.
58
Fabien Coelho
Date: Sat, 24 Jun 2006 07:38:42 -0700
From: Hadiya Toler <[email protected]>
Subject: Re: my euloa
Hi,
V l & G R A from 3,35 and many more at http://robelosakog.com
___________________________________________________ __________
beginning of the narrow way they laid aside sword and spear,
and came on towards the Gate. Wondering, the dwarves saw that
among them were both Bard and the Elvenking, before whom an ol d
man wrapped in cloak and hood bore a strong casket of iron-bou nd
wood. Hail Thorin! said Bard. Are you still of the same mind? M y
mind does not change with the rising and setting of a few suns,
answered
59
Fabien Coelho
Établir la confiance
60
Fabien Coelho
Établir la confiance
serveurs chemin du mail, références de sites web de spammers
utilisateurs adresses mails des correspondants
maintenues pour chaque utilisateur
Résultat, des listes à maintenir
blanche messages acceptés
noire messages refusés
grise messages reportés. . .
61
Fabien Coelho
Maintenance des listes
manuelle très coûteux, gestion des erreurs. . .
automatique basé sur les filtres
expiration rapide des interdictions (spams en cours)
champs de mines : adresses mails spéciales fournies aux spammeurs
62
Fabien Coelho
Liste grise
• mémorisation des correspondants habituels
• report dès la connection SMTP : implémentation partiel
220 paris.ensmp.fr ESMTP Sendmail 8.13.6/8.13.6/JMMC-23 /Mar/2006;
Mon, 26 Jun 2006 14:08:13 +0200 (MEST)
HELO viking.daverio.net
250 paris.ensmp.fr Hello daverio.pck.nerim.net [213.41. 242.132],
pleased to meet you
MAIL FROM: [email protected]
250 2.1.0 [email protected]... Sender ok
RCPT TO: [email protected]
451 4.3.2 Tempfail : Try again later, please
Contre attaque
• paires to/from dans la même organisation
• revenir effectivement plus tard
63
Fabien Coelho
La liste ultime : une adresse mail par correspondant
• pour chaque adresse, les correspondants autorisés
• si erreur, réponse avec confirmation nécessaire
lien web à suivre, réponse mail, test de Turing. . .
• très efficace, mais nécessite une gestion active
– créer une nouvelle adresse pour chaque correspondant
– gestion particulière envoi et réception
– adresses non simplement transférables
• nombreux fournisseurs
64
Fabien Coelho
SPF : Sender Policy Framework (path-based)
• mail = SPAM par défaut, ou filtrage plus rapide
• déclaration DNS des envoyeurs de mail d’un domaine
reverse MX (MX = Mail eXchanger, pour réception)
• exemple ensmp.fr IN TXT "v=spf1 mx ~all"
version 1, les MX peuvent envoyer, pas d’autres
• vérification dès l’enveloppe, ou entêtes Reply-to
• voir http://www.openspf.org/
65
Fabien Coelho
Problème : ne peut pas fonctionner pour moi !
• j’envoie des mails de ensmp.fr à partir de free.fr
• l’école des mines ne me permet pas de relayer mes mails
• trop de serveurs de mails à l’École des mines de Paris
Autres problèmes
• nécessite de sélectionnes les réseaux de confiance
(un spammeur peut établir son propre domaine)
• casse la redirection de mails (.forward )
66
Fabien Coelho
Systèmes de signatures : Domain Keys
• message signé par un serveur avec l’algorithme RSA
paire clef publique-clef privée : Kb, kb
hash du message rm = h(m)
signature sm = E(kb, rm)
transmet m et sm, Kb accessible
vérification ok si h(m) = D(Kb, sm)
• clef accessible via requêtes DNS (limite 512 octets)
• authentification et confiance en la clef ? acréditation
67
Fabien Coelho
Limiter le flux
68
Fabien Coelho
Approches économiques
• augmenter le coût d’un message pour l’envoyeur
• timbre : qui le reçoit ? forme électronique ? esprit internet ?
Email Accountability Initiative
• une plateforme se charge de délivrer les messages
• l’envoyeur fait un dépôt d’une somme d’argent
• les messages sont délivrés aux destinataires
• un destinataire mécontent reçoit la somme d’argent
• contrôle du coût unitaire par mécanisme de seuil
69
Fabien Coelho
Avantages et inconvénients
• pas de paiement, mais un risque de paiement
• coût risqué différent selon les agents
• efficacité progressive si adoption
• mise en place de l’infrastructure technique et financière
voir http://www.senderatrisk.org , soutenu par MS
• opposée à l’esprit libre/gratuit d’internet
• associer un compte (bancaire) à chaque adresse email. . .
• détournement des comptes par piratages ?
70
Fabien Coelho
Time is Money (Benjamin Franklin, 1748)
• perdre du temps pour envoyer un mail !
• forcer à effectuer un calcul pour envoyer un mail
calcul long, vérification rapide
idée proposée par Dwork and Naor, 1992
• proposition pratique : hashcash
Date: Sun, 19 Mar 2006 19:41:30 -0500
From: "Eric S. Johansson" <[email protected]>
Hashcash: 1:25:060320:[email protected]::8064c52cc126872 c:14b3bb
• version 1, 25 bits à 0, date, dest., ext., hasard, compte=1356731
SHA1 = 0000006e0dfbac6d6664d4afc028aa767ac98275
71
Fabien Coelho
Problèmes avec les preuves d’effort
• adaptations logiciels : MUA calcul, MTA vérification
calculs par zombis ? mémorisation des timbres reçus, expiration
• coût/temps significatif payé par tous
typiquement 10 secondes de calcul, 22 bits pour MD5
• recherche probabiliste moyenne e−n/m, variance large
temps ×4 tous les 50 messages environ. . .
• temps dépend de la puissance des machines
serveurs vs station vs PC vs PDA vs téléphone portable
memory-bound functions fonctions bornées par accès mémoire
72
Fabien Coelho
Fournir de mauvaises adresses : SugarPlum
• pages web piégées, génération dynamique d’adresses
• réduction du taux de succès
• donc de la profitabilité
Inconvénients
• à mettre en place de manière discrète
• détection éventuelle par les spammeurs
• bande passante pour gestion des spams à ces adresses
• taux d’erreurs déjà importants
73
Fabien Coelho
Exemples d’attaques des techniques anti-spam
filtres lourds (spamassassin and co)
• plantage si trop gros débit de mails
• utilisation de filtres légers, donc moins sophistiqués ?
connexions déni de service classique
• ouverture de très nombreuses connexions parallèles
• limitation de débit de nouvelles connexions ? parefeu ?
graylisting nombre de correspondants
• nombreux mails pour ajouter des paires de correspondants
• heu. . . avoir de la place ?
74
Fabien Coelho
La loi
75
Fabien Coelho
La loi
• protection des personnes, des mineurs
• vs pression des sociétés commerciales
Divers principes abordés
voir par exemple http://www.spamlaws.com
définition du spam : message commercial
opt-in vs opt-out consentement préalable ou désabonnement
labellisation explicite requise
sincérité du message
76
Fabien Coelho
France
informatique et liberté loi 6 janvier 1978
• traitement automatique d’informations nominatives
• droits d’information, d’opposition, d’accès, de rectifications
correspondance privée loi 10 juillet 1991
confiance économie numérique loi 26 février 2003
application de la directive européenne 2002/58/EC
77
Fabien Coelho
Europe
voir http://www.euro.cauce.org/
directive 2002/58/EC
• mails commerciaux massifs sans contact préalable
donc légitime si contact préalable. . .
• principe opt-in consentement préalable nécessaire
Finlande loi 24 août 1999
opt-in particuliers, opt-out professionnels
etc dans chaque état
78
Fabien Coelho
États-Unis d’Amérique
Fédéral CAN-SPAM Act of 2003 (Pub. L. 108-187 S. 877)
• sujet, labels (non spécifiés. . . ), entêtes explicites
• opt-out : désabonnement possible
• répertoire éventuel d’adresses en liste rouge
51 états 51 législations. . .
Alaska label ADV:ADLT si sex et sait destinataire en Alaska
Arkansas label ADV:ADULT
Colorado label ADV:
Connecticut label ADV
79
Fabien Coelho
La loi est territoriale, qui poursuivre ?
un homme d’affaire né au Canada , résidant au États-Unis titulaire d’un compte
en Suisse , dirigeant une société du Panama contracte avec une société de
Finlande , l’envoie de spams en France vantant un site web hébergé en Corée
du Sud domaine déposé au Japon avec une adresse en Lituanie , avec des
hackers de Russie piratant des machines en Espagne pour vendre du viagra
fabriqué en Inde , expédié à partir de Roumanie
80
Fabien Coelho
Exemple de poursuite en cours
• financement par Microsoft, protection MSN, depuis 2003
• +100 plaintes déposées
17-19 Juillet 2005 piège spams envoyés et reçus
analyse techniques, saisie des traces ISP, whois. . .
août 2005 plainte contre John Doe à Seattle (Wash.)
violation du CAN SPAM Fédéral US, spam via réseau zombis
faux Received/From, pas de désabonnement, pas d’adresse postale
6 février 2006 précisions sur John Doe : Jack Davis, Alex Fedorov,
Jamaal Thompson, Brent Hunter, Boris Totrov, Cory Grattan, Everette
Grattan, Jeff Hall, Jay Bulks, Marek Kohen. . .
81
Fabien Coelho
Nombreux problèmes
• identification des parties difficiles
• disparition des traces ISP après certains délais
• requêtes d’informations internationales
• fausses identités, coordonnées bancaires volées utilisées
82
Fabien Coelho
L’issue
• les messages arrivent toujours aussi nombreux
marché toujours profitable, beaucoup d’escroqueries. . .
un milliard d’internautes. . .
• FUSSP ? pas pour l’instant. . .
ne pas diffuser son adresse mail, ou images
solutions en perpétuelle évolution
• filtres assez efficace, combinent plusieurs techniques
spamassassin + conf manuelle (fixe, bayes, rbl. . . )
résultats : 99%, très peu de faux positifs
83
Fabien Coelho
Dégats colatéraux
• utilisabilité générale du mail. . .
• ligne de secours ADSL inopérante pour mail des mines
• mails importants parfois perdus : e.g. rapports .zip filtrés
84
Fabien Coelho
85
Fabien Coelho
Prix de la liberté sur Internet ?
• Google, gmail, Google Earth, Skype, eBay, Paypal, Amazon
• ICQ/IRC/MSN, Blog, Wikipedia, RSS, WebCast, PodCast, YouTube
• P2P : eMule, Kazaa, bittorrent
• Free Software, GNU, Linux, sourceforge
• communities, gforge. . .
86
Fabien Coelho
Sources
• José Mario Martins da Cruz (École des mines de Paris)
• Ending SPAM, Jonathan A. Zdziarski, 2005
• Spam Kings, Brian McWilliams, 2005, O’Reilly
• Wikipedia
• articles spamconference et autres
• revue SysAdmin. . .
• nombreuses autres resources sur internet
• mes boîtes aux lettres !
87
List of Slides
1 SPAM : une page de publicité !
1 Fabien Coelho ([email protected] )
3 SPAM !
4 Acteurs de la messagerie
5 Les protocoles et standards IETF
6 Session SMTP
7 Anatomie mail (et d’un spam)
8 Éléments d’enquête
9 Site Web http://www.evrovip.org/lang-fr/
10 Euro-VIP le retour : 13/11/2006
10 Mais aussi. . .
11 SPAM = SPiced hAM
13 Définitions du SPAM
14 Nature du SPAM, selon définition 1
15 Nigerian 419 Scam : Avance de frais
16 Logiciels téléchargeable à prix cassés. . .
17 Mise à jour des informations eBay/Paypal/HSBC. . .
18 Proposition de Job bizarre. . .
19 Les détails : phishing ou scam ?
20 Manipilations boursières
21 Publicité pour des pillules
22 Citibank
23 Lien sécurisé vers HTML Citibank ?
24 Autre phishing Citibank
25 Phishings francophones : BNP-Paribas, Banque AGF, LCL
27 Typologie des escroqueries sur internet
28 Virus : Mise à jour sécurite pour Windows
29 Virus : fichiers zip, éventuellement chiffrés
30 Hoax : Raffarin 500mg
31 Histoire du SPAM
32 Le SPAM en 2006
33 Spam King ?
34 Division et spécialisation du travail
35 Infrastructure du Spammeur : Robots et Zombis
36 Honeynet Projet
37 Harvester vs Sender
37 Utilisations des adresses récupérées
38 Techniques anti-moissonage
39 La guerre du SPAM
39 FUSSP - Final Ultimate Solution to the Spam Problem ?
40 Présentation de techniques Anti-Spam
41 Filtrage par le contenu
42 Méthodes collaboratives
43 Filtrage par règle fixes heuristiques
44 Heuristiques complémentaires de filtrage fixes
45 Méthodes statistiques : filtrage bayésien
46 Apprentissage sur les tokens
46 Sélection des tokens discriminants
47 Exploitation sur les nouveaux messages
47 Nombreuses variantes proposées
48 Expérience avec un filtre bayesien partagé
49 Avantages de l’approche adaptative
49 Inconvénients
50 Établir le contenu : liste de mots
51 Texte SPAM en image
52 Méthode anti-découpe
52 Lien http://axe.5gb0s2ajbgb0y55ysn5ys555.gelidja.com/?px h
53 Lien vers http://www.watrchiingdis.com
55 Attaques des méthodes bayesiennes
60 Établir la confiance
61 Établir la confiance
61 Résultat, des listes à maintenir
62 Maintenance des listes
63 Liste grise
63 Contre attaque
64 La liste ultime : une adresse mail par correspondant
65 SPF : Sender Policy Framework (path-based)
66 Problème : ne peut pas fonctionner pour moi !
66 Autres problèmes
67 Systèmes de signatures : Domain Keys
68 Limiter le flux
69 Approches économiques
69 Email Accountability Initiative
70 Avantages et inconvénients
71 Time is Money (Benjamin Franklin, 1748)
72 Problèmes avec les preuves d’effort
73 Fournir de mauvaises adresses : SugarPlum
73 Inconvénients
74 Exemples d’attaques des techniques anti-spam
75 La loi
76 La loi
76 Divers principes abordés
77 France
78 Europe
79 États-Unis d’Amérique
80 La loi est territoriale, qui poursuivre ?
81 Exemple de poursuite en cours
82 Nombreux problèmes
83 L’issue
84 Dégats colatéraux
86 Prix de la liberté sur Internet ?
87 Sources
Index