Odesíláme spamy a jsme tím překvapeni

Tentokrát se Vince zaměřil na boj proti spamu. Stopoval několik došlých e-mailů a nakonec se jeho firma sama stala odes...


Tentokrát se Vince zaměřil na boj proti spamu. Stopoval několik došlých e-mailů
a nakonec se jeho firma sama stala odesílatelem stovek nevyžádaných zpráv.
Zdá se, že s každým dalším rokem existence internetu dostává naše firma stále
více nevyžádaných hromadně zasílaných e-mailů (označovaných jako spam) a navíc
mnoho z nich urážlivých. Náš pracovník v oddělení styku s veřejností nedávno
obdržel e-mail, který mohu uvést jako špatný příklad. Tento nevyžádaný e-mail
totiž dělal reklamu webové stránce s dětskou pornografií. Náš pracovník byl
znechucen a současně měl obavy, aby nebyl podezírán, že si takovouto informaci
vyžádal, a proto předal došlou zprávu našemu oddělení personalistiky.
Pracovníci personalistiky zprávu předali dál našemu týmu fyzické bezpečnosti,
který kontaktoval místní strážce zákona. Náš tým byl přizván, aby pomohl
identifikovat zdroj zprávy. Záhlaví odesílatele (From) naznačovalo, že zpráva
přišla z domény firmy v Hongkongu zabývající se hrami. To ale pravděpodobně
nebyl pravý viník. Záhlaví zprávy je něco jako zpětná adresa na dopise: I tam
můžete zadat libovolné údaje. Bádali jsme dál a používali jsme přitom externí
internetový účet, aby nikdo nezjistil, jaké šetření provádíme.

Pátrání
Jméno domény, pod nímž bylo možno nalézt servery s dotyčnými pornografickými
stránkami, bylo registrováno na někoho ve Velké Británii, ale příslušné jmenné
servery se nacházely v Rusku. Předmětný webový server byl spojen s
poskytovatelem internetových služeb v Moskvě. Ale tento poskytovatel nabízí
bezdrátovou konektivitu, což značně komplikuje identifikaci fyzického serveru
na druhé straně vytvořeného spojení. Rozhodli jsme se podezřelou webovou
stránku vůbec nenavštívit nechceme mít obrázky s dětskou pornografií v naší
cache nebo v našich počítačích. Kromě toho by tento nevyžádaný e-mail mohl být
nastražen strážci zákona jako návnada na falešném serveru nebo by oficiální
orgány mohly připravovat razii na skutečný server a mohly by monitorovat
uskutečněná připojení k podezřelému serveru.

Cesta e-mailu
Jak se k nám tento e-mail dostal? Prošli jsme celou sérii záhlaví na e-mailu a
vysledovali jsme poštovní server umístěný v počítačové konzultační firmě ve
státě Utah. Bylo zřejmé, že došlo k úpravě konfigurace serveru, který teď
umožňoval, aby se k němu mohl kdokoli připojit a jeho prostřednictvím odesílat
své zprávy.
Obdržíte-li spam, máte možnost podat zprávu příslušné službě, která otestuje
zdrojové poštovní servery a zjistí, jestli jsou správně nastaveny. V takovém
případě služba zapíše server na svoji černou listinu a vyrozumí majitele
dotyčného serveru. Server zmíněné konzultační firmy jsme našli na jedné z
černých listin, proto jsme věděli, že firma byla o celé záležitosti vyrozuměna.
Spletitá síť mezinárodně šířených lží a podvrhů vypadá jako zápletka z příběhů
Jamese Bonda, ale v případě nevyžádaných e-mailů je normální. Úspěšně brání
komukoli podniknout opatření proti odesílatelům spamu, protože jakákoli soudní
žaloba by zahrnovala větší počet firem v různých oblastech soudních pravomocí.
Ačkoli je celkový objem nevyžádaných zpráv z hlediska distribuce poměrně drahý,
jednotlivé e-mailové zprávy nejsou náročné na čas a na kapacitu pro uložení,
proto bychom nejspíše ani nemohli žalovat odesílatele o příliš velkou náhradu.
Navíc, všechny informace, které jsme získali ze záhlaví došlých zpráv a z
našeho sondování, ve skutečnosti nic nedokazují. Téměř všechny zjištěné záznamy
a registrace mohou být falešné nebo ukradené a dokonce také informace, které
registruje deník našich poštovních serverů, mohou být zkreslené a matoucí, což
je výsledkem práce šikovného spammera. Sepsali jsme zprávu o výsledcích naší
analýzy a předali jsme ji našim bezpečnostním technikům, kteří ji postoupili
strážcům zákona. Pochybuji, že se dobereme nějakého odhalení.

Spam od jeptišky
Reklama v podobě spamů, tj. nevyžádaných e-mailů, může být obtěžující a
objemná, ale nevystavuje naši firmu přímému informačnímu riziku ovšem jen pokud
taková zpráva není odeslaná z naší firmy. Brzy po této události jsme obdrželi
telefonické upozornění o dalším podezřelém e-mailu. Došlá zpráva obsahovala
pouze slovo test, ale záhlaví adresy odesílatele uvádělo neaktivní účet v naší
doméně. A co bylo záhadnější, e-mail obsahoval naše standardní prohlášení,
které se připojuje ke všem odchozím zprávám. Možná někdo pronikl do našeho
systému a snažil se zjistit, co by se dalo poslat, než by začal se svým
spamováním. Sledování cesty došlé zprávy nám odhalilo pravdu. Zpráva došla
zvenčí s falešnou interní adresou uvedenou v záhlaví odesílatele, aby zvýšila
pravděpodobnost, že si ji přečteme.
S důvěřivými uživateli ve firemní síti je třeba počítat, ale v tomto případě
naletěla na prostý trik naše e-mailová gateway. Aplikovala pravidla v jiném
pořadí, než jsme očekávali, a když uviděla adresu odesílatele (From) přiřazenou
našemu připojení, použila pravidla pro odchozí zprávy a připojila k ní naše
standardní firemní prohlášení přestože adresa příjemce (To) byla také naše.
Kdybychom měli pouze jednosměrnou identifikaci napadení viry, byla by to
katastrofa. Situace vyžadovala, abychom nasadili další server, který třídí
příchozí a odchozí poštu, aby nedocházelo k záměně pravidel. Server, který
injektoval nevyžádané zprávy do našeho e-mailového systému, byl spojen s
internátní školou v New Jersey provozovanou milosrdnými sestrami (Sisters of
Mercy). Kdybyste mi bývali počátkem týdne řekli, že budu řádovým sestrám
vysvětlovat pojem spam, asi bych tomu moc nevěřil. Jejich proxy server
umožňoval předání jakéhokoli připojení, včetně spojení používajících Port 25,
což je port TCP používaný pro přenosový protokol SMTP. Správci obvykle
používají proxy server, aby interním pracovníkům zajistili bezpečný přístup k
externím zdrojům, ale pokud v první řadě nestanovíte omezení, kdo se smí
připojit, pak můžete dopadnout tak, že budete poskytovat své služby jako
anonymní osoba neověřeným externím subjektům včetně spammerů.

Jsem spammer?
Špatné věci se vždy odehrávají ve větším počtu a ani tento týden nebyl
výjimkou. Řada antispamových skupin nám napsala své stížnosti na spamy
přicházející z našich sítí. Byli jsme si jisti, že nemají pravdu naše e-mailové
servery jsou velmi přísně konfigurovány. Ale potom jsme se podívali na fronty v
serverech a zjistili jsme, že zde sedí stovky tisíc položek čekajících na
odeslání a skoro všechny jsou spamy. Rychle jsme zprávy vymazali. Ale jak se
dostaly dovnitř? Posílal někdo tyto nesmysly z našeho interního prostředí? Díky
bohu ne. Ačkoli byly všechny naše e-mailové servery bezpečné, náš webový server
nebyl. Všechny podezřelé položky pocházely z uživatelského účtu s omezeným
oprávněním, který provozuje procesy webových služeb.
Vypadá to, že jsme byli postiženi chybou ve skriptu pro zpětnou vazbu od
uživatelů, který využíval FormMail, internetový program pro odesílání formulářů
e-mailem. Pravidelně aplikujeme všechny vydávané záplaty pro náš Common Gateway
Interface. Ale nějaký iniciativní spammer odhalil, jaký skript jsme použili, a
pak napsal kód, který dokázal náš skript narušit a nahradit adresy pracovníků
pro styk se zákazníky adresami příjemců spamu. Nakonec jsme se museli
antispamových skupin doprošovat, aby nás vymazali ze svých černých listin.
Jakmile jsme odstranili skripty a nahradili je mnohem lepší alternativou,
začali jsme přemýšlet o tom, jak nelítostně jsme jednali s jinými firmami,
které byly zneužity k rozšiřování spamových e-mailů, jež k nám došly. Když i my
jsme se stali navzdory veškerému našemu úsilí nedobrovolnými komplici, jakou
asi mají naději firmy, které neberou otázku bezpečnosti tak vážně?

Užitečné odkazy
- První webový odkaz, který vám v souvislosti se spamem předkládáme, je poněkud
neobvyklý. Chcete-li se nad spamem pobavit, přečtěte si komediální skeč Monty
Pythonů na toto téma: www.mmedia.is/~bre/www.os/TheSpamSketch.html.
- FormMail (viz adresu worldwidemart.com/scripts/formmail.shtml) je CGI skript,
který umožňuje odeslat formuláře vyplněné uživateli e-mailem. My jsme se jeho
vinou stali pomocníky spammerů. I po jeho aktualizaci jsme měli potíže s
nejnovější, a údajně tedy nejbezpečnější verzí.
- Web Monkeys.com (www.monkeys.com/anti-spam/filtering/formmail.html) poskytuje
seznam chybně konfigurovaných serverů používajících FormMail. V zájmu zlepšení
situace tato stránka zároveň nabízí bezpečný skript.
- Mnoho služeb nabízí možnost zastavit spam zablokováním serverů, které
nevyžádané zprávy odeslaly a právě váš server může být na jejich seznamu.
Zkontrolujte si stránku relays.osirusoft.com/cgi-bin/rbcheck.cgi a zjistěte,
jak jste na tom.
- Snažíte-li se vysledovat majitele domény podle jejího názvu, může vám pomoci
registr Whois (www.internic.org).

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.