spamerskie sztuczki, Poradniki i tutoriale hackingu

[ Pobierz całość w formacie PDF ]
Spamerskie sztuczki
John Graham-Cumming
Artykuł w formie elektronicznej specjalnie dla czytelników serwisu hacking.pl.
Wszelkie prawa zastrzeżone. Rozpowszechnianie dozwolone pod warunkiem zachowania formy i treści.
Magazyn “Hakin9”, Wydawnictwo Software, ul. Lewartowskiego 6, 00-190 Warszawa, hakin9@hakin9.org
Spamerskie sztuczki
John Graham-Cumming
Spamerzy stosują różnego
rodzaju sztuczki, których
celem jest oszukanie iltrów
antyspamowych. Zobaczmy, jak
sztuczki te wyglądają w praktyce
i jak iltry antyspamowe
pokonują spamerów ich własną
bronią.
można podzielić na trzy rodzaje. Po
pierwsze, spamerzy starają się ukryć
niepożądane słowa (na przykład
Viagra
) w taki
sposób, by nie zostały one zauważone przez
iltr. Po drugie, umieszczają w wiadomościach
słowa o niewinnym brzmieniu, niewidoczne dla
czytającego, lecz wykrywane przez iltr, który
w efekcie uznaje, że wiadomość nie jest spamem.
Po trzecie, maskują podawane w wiadomościach
adresy swoich stron, ponieważ są świadomi tego,
że te adresy mogą ich zdradzić.
Pozwala to oszukać najprostsze iltry, które wy-
krywają obecność słowa
Viagra
; oczywiście
bardziej wymyślny iltr potrai szukać tekstu we-
dług schematu
<litera><spacja><litera><spa-
cja>
... i odtworzyć zakamulowane w ten spo-
sób słowo. Spamerzy używają więc również in-
nych znaków do rozdzielania liter, np.:
V'I'A'G'R'A, V.I.A.G.R.A, V*I*A*G*R*A
Filtry antyspamowe potraią jednak w
stosunkowo prosty sposób wykryć tego
rodzaju zabiegi i orientować się, że w
Ukrywanie
niepożądanych słów
Spamerzy najczęściej chcą ukryć słowa, na
podstawie których wiadomość można łatwo
rozpoznać jako spam. Używają rozmaitych me-
tod przetworzenia słów takich jak
Viagra
do po-
staci niezrozumiałej dla iltru antyspamowego,
jednak czytelnej dla człowieka.
Z artykułu nauczysz się...
• jakimi sztuczkami posługują się spamerzy w ce-
lu oszukania iltrów bayesowskich i heurystycz-
nych.
Co powinieneś wiedzieć...
• znać podstawy iltrowania bayesowskiego i heu-
rystycznego (omówione w poprzednim numerze
naszego pisma),
• ogólnie orientować się w językach HTML i Ja-
vascript.
Nieco przestrzeni
Najprostszy sposób polega na wstawieniu do
słowa, które ma zostać ukryte, znaków spacji.
V I A G R A
2
www.hakin9.org
Hakin9 Nr 3/2004
S
ztuczki stosowane przez spamerów
Spamerskie sztuczki
wiadomości mowa jest o Viagrze.
Na tym prostym przykładzie widać
jednak, że nie warto stosować iltrów
heurystycznych wymagających
samodzielnego aktualizowania reguł
– sens ma jedynie stosowanie iltrów
aktualizowanych automatycznie.
Dostosowanie reguł nawet dla tak
prostej sztuczki, jak przedstawiona
powyżej, wymagałoby wiele pracy
ze strony użytkownika.
Można nawet spotkać wiado-
mości, w których zastosowano zgo-
ła inną technikę – z tekstu usunięto
wszystkie spacje, wstawiając w ich
miejsce losowo wybrane litery:
słowo nie zwracając uwagi na sa-
mogłoski, jednak iltr może zostać
oszukany.
Filtr może poradzić sobie z te-
go typu sztuczką przypisując każ-
dej samogłosce ze znakiem akcen-
tu jej oryginalny odpowiednik, otrzy-
mując w rezultacie rzeczywiste sło-
wo. Ze względu na łatwość wykry-
wania obu przedstawionych technik
przez stosowane dziś iltry antyspa-
mowe, spamerzy zaczęli szukać no-
wych sposobów dostawania się do
skrzynek pocztowych. Wykorzystu-
ją do tego HTML.
stu pogrubionego
, natomiast
</b>
oznacza
koniec tekstu pogrubione-
go
. Tekst pomiędzy tymi znacznika-
mi będzie widoczny w przeglądarce
lub programie pocztowym obsługują-
cym HTML jako pogrubiony.
Podobnie jak większość języ-
ków programowania, HTML umożli-
wia stosowanie w dokumentach ko-
mentarzy. Są one całkowicie pomi-
jane podczas wyświetlania doku-
mentu HTML. Komentarz rozpoczy-
na się znakami
<!--
, natomiast koń-
czy
-->
; tekst pomiędzy tymi znaka-
mi jest ignorowany przez przeglądar-
ki dokumentów HTML.
Spamerzy używają komentarzy
do rozdzielenia fragmentów niepo-
żądanych słów. Dla przykładu, sło-
wo
Viagra
może zostać podzielone
w następujący sposób:
DidAyouFknowNyouMcanBget
VprescriptionVmedications
prescribedTonlineTwith
NORPRIORRPRESCRIPTIONRREQUIRED!
Nie z nami takie numery
Kolejnym sposobem zakamulowa-
nia słowa Viagra jest zastosowa-
nie encji języka HTML, które służą
do umieszczania w tekście znaków
specjalnych lub znaków spoza alfa-
betu angielskiego. Encje zapisywane
są jako liczby poprzedzone znakami
&#
, a zakończone znakiem
;
. Chcąc
na przykład umieścić w tekście fran-
cuski znak
é
, piszemy w HTML-u
&#233;
, z kolei grecką literę

otrzy-
mamy po wpisaniu
&#917;
.
Znaki należące do podstawowe-
go alfabetu angielskiego także ma-
ją odpowiadające im encje. Przykła-
dowo, literę
A
można zapisać jako
&#65;
. Podstępny spamer mógłby za-
tem zapisać całe słowo
Viagra
przy
zastosowaniu encji:
&#86;&#105;&#97;
&#103;&#114;&#97;
Także w tym przypadku odpo-
wiednio przygotowany iltr antyspa-
mowy rozpozna encje HTML i od-
kryje, jakie słowo zostało w ten spo-
sób zamaskowane. Istnieją jednak
znacznie bardziej wyrainowane me-
tody kamulowania słowa
Viagra
, wy-
korzystujące możliwości formatowa-
nia dostępne w języku HTML.
Nie wydaje się jednak, by technika ta
była szczególnie skuteczna, ponie-
waż taka wiadomość jest w rezulta-
cie nieczytelna dla człowieka.
V<!--anon-->i<!--dinosaur-->
a<!--hexagon-->g<!--two-->r
<!--mouse-->a
Øbcÿ ākçênt
Spamerzy, przeprowadzając te-
sty sprawdzające, jak na wysyła-
ne przez nich wiadomości reagują
darmowe i komercyjne programy il-
trujące, szybko zorientowali się, że
tak proste sposoby ukrywania słów
nie są zbyt skuteczne. Zaczęli więc
stosować metody, w których zamie-
niane są litery składające się na sło-
wo
Viagra
.
W tablicy znaków ASCII można
znaleźć wiele samogłosek ze znaka-
mi akcentu, które spamerzy wstawia-
ją do ukrywanego słowa w zastęp-
stwie oryginalnych samogłosek:
Ten dziwnie wyglądający fragment
tekstu w programie pocztowym od-
czytującym HTML zostanie wyświetlo-
ny jako
Viagra
. Wiele iltrów antyspa-
mowych da się nabrać na tę sztucz-
kę, ponieważ nie potraią one prze-
twarzać składni HTML i nie wyodręb-
nią słowa
Viagra
. Co gorsza, za spra-
wą słów w komentarzach iltr może zo-
stać wprowadzony w błąd i uznać, że
wiadomość nie jest spamem.
Zaprezentowana technika jest
bardzo często stosowana przez spa-
merów, dlatego też skuteczne iltry
są wyposażane w funkcje usuwają-
ce komentarze HTML-a przed ana-
lizą tekstu wiadomości. Odnalezie-
nie i usunięcie tekstu umieszczone-
go pomiędzy znakami
<!--
i
-->
nie
jest trudnym zadaniem: w istocie
to właśnie robią programy poczto-
we podczas wyświetlania wiadomo-
ści HTML. W gruncie rzeczy sama
obecność komentarzy HTML może
budzić podejrzenia programu iltru-
jącego – dlaczego ktokolwiek miał-
by umieszczać je w zwyczajnej wia-
domości?
Niekiedy spamerzy wykorzy-
stują także nieprawidłowe znaczni-
• a: à á â ã ä å,
• e: è é ê ë,
• i: ì í î ï,
• o: ò ó ô õ ö,
• u: ù ú û ü.
HTML tu i tam
Polecenia formatujące języka HTML
zapisywane są w postaci tzw. znacz-
ników, czyli instrukcji umieszczanych
pomiędzy nawiasami trójkątnymi
< >
.
Przykładowo, chcąc zapisać sło-
wo
Witaj
tekstem pogrubionym, pi-
szemy w HTML-u
<b>Witaj</b>
.
Znacznik
<b>
oznacza
początek tek-
Przy zastosowaniu różnych warian-
tów samogłosek
a
oraz
i
spamer
może zapisać słowo
Viagra
na 144
różne sposoby, jak choćby
Víagra
,
Viågra
,
Vîãgrä
. Anglojęzyczny od-
biorca wiadomości przeczyta takie
Hakin9 Nr 3/2004
www.hakin9.org
3
Stosując tę technikę, słowo
Viagra
może zostać podzielone w następu-
jący sposób:
V<font size=0>&nbsp;</font>i
<font size=0>&nbsp;</font>a
<font size=0>&nbsp;</font>g
<font size=0>&nbsp;</font>r
<font size=0>&nbsp;</font>a
Rysunek 1.
Mikrokropka
Skuteczny iltr antyspamowy musi za-
tem być w stanie rozpoznać nie tyl-
ko komentarze HTML (jak w sztucz-
ce omówionej wcześniej), lecz rów-
nież rozmiary czcionek. Spamerzy
wymyślają jednak coraz to nowe me-
tody oszukiwania iltrów: skoro iltry
wychwytują czcionkę o rozmiarze 0, to
czemu by nie zastosować rozmiaru 1?
Listing 1.
Układanka
<
table border=0 cellpadding=0 cellspacing=0
>
<
tr valign=top
>
<
td
><
font face=Courier
>
V
<
br
>
s
<
br
>
F
<
/font
><
/td
>
<
td
><
font face=Courier
>
i
<
br
>
a
<
br
>
R
<
/font
><
/td
>
<
td
><
font face=Courier
>
a
<
br
>
m
<
br
>
E
<
/font
><
/td
>
<
td
><
font face=Courier
>
g
<
br
>
p
<
br
>
E
<
/font
><
/td
>
<
td
><
font face=Courier
>
r
<
br
>
l
<
/font
><
/td
>
<
td
><
font face=Courier
>
a
<
br
>
e
<
/font
><
/td
>
<
td
><
font face=Courier
>
&nbsp;
<
br
>
s
<
/font
><
/td
>
<
/tr
>
<
/table
>
Mikrokropka
Jeden z najnowszych pomysłów spa-
merów polega na wstawianiu w środ-
ku słowa przypadkowych liter (co po-
woduje, że po usunięciu znaczników
HTML iltr odczyta słowo
Viagra
na
przykład jako
Vziagra
) i pomniejszeniu
tych liter do takiego rozmiaru, by by-
ły prawie niewidoczne dla człowieka.
Oto sztuczka zwana
mikrokropką
, wy-
korzystująca czcionkę o rozmiarze 1.
ki HTML o przypadkowo wybranych
nazwach, ponieważ podobnie jak ko-
mentarze zostaną one zignorowane
przez przeglądarkę. Wstawienie do-
wolnych słów pomiędzy znakami
<
i
>
ma podobny efekt, jak zastosowanie
komentarzy:
sać słowo
Witaj
najmniejszą czcion-
ką, piszemy:
<font size=1>Witaj</font>
Programy takie jak Microsoft Inter-
net Explorer oraz narzędzia pocztowe
Outlook i Outlook Express dopuszcza-
ją również stosowanie rozmiaru 0, czy-
li tekstu o zerowym rozmiarze. Spame-
rzy mogą więc wykorzystać czcionkę
o rozmiarze 0 wraz z encją
&nbsp;
od-
powiadającą twardej (nieprzełamywa-
nej) spacji, otrzymując w efekcie znak
spacji o zerowej szerokości:
V<font size=1>z</font>iagra
V<anon>i</dinosaur>a<hexagon>g
<two>r</mouse>a
W programie pocztowym odczytują-
cym HTML efekt będzie zbliżony do
pokazanego na Rysunku 1. Jak wi-
dać, litera
z
jest tak mała, że wygląda
jak prawie niewidoczna kropka.
Czarna dziura
Duża popularność powyższej sztucz-
ki wśród spamerów stała się dla niej
zgubna, ponieważ doprowadziła do
tego, iż większość iltrów antyspamo-
wych usuwa komentarze HTML. Roz-
dzielanie słów znacznikami HTML
pozostaje jednak jedną z ulubionych
technik stosowanych przez spame-
rów. W metodzie zwanej
czarną dziu-

niepożądane słowo rozdzielane
jest spacjami o zerowej szerokości.
Chcąc określić rozmiar czcion-
ki fragmentu tekstu, wpisujemy
w HTML-u polecenie
<font size=X>
,
w miejsce
X
wstawiając wartość od
1 do 7 (7 to największy rozmiar, 1 to
najmniejszy). Przykładowo, aby zapi-
Układanka
W jednej z najbardziej przebiegłych
metod rozdzielania wyrazów spa-
merzy wykorzystują czcionkę o sta-
<font size=0>&nbsp;</font>
Rysunek 2.
Układanka
4
www.hakin9.org
Hakin9 Nr 3/2004
   Spamerskie sztuczki
Listing 2.
Atrament
sympatyczny
ści słowa, które w ich opinii są uwa-
żane za niewinne. Ponieważ nie-
które iltry antyspamowe korzysta-
ją z listy słów, których obecność ma
świadczyć o niespamowej naturze
wiadomości, spamerzy liczą na to,
że umieszczenie w treści tego rodza-
ju słów spowoduje, że iltr zaakcep-
tuje wiadomość. Ponieważ jednak
słowa te mają być niewidoczne dla
odbiorcy wiadomości (który ma się
skoncentrować na ofercie kupna Via-
gry), spamerzy stosują różne sposo-
by ukrywania tych słów przed czyta-
jącym wiadomość, jednocześnie po-
zostawiając je czytelnymi dla iltrów.
Listing 3.
Kamulaż
<
body bgcolor=#113333
>
<
font color=yellow
>
Viagra
<
/font
>
<
font color=#123939
>
jakieś niewinne słowa
<
/font
>
<
/body
>
<
body bgcolor=white
>
Viagra
<
font color=white
>
Hi, Johnny! It was
really nice to have
dinner with you
last night. See
you soon, love Mom.
<
/font
>
<
/body
>
Kamulaż
Zamiast zapisywania białego tekstu
na białym tle, spamerzy mogą wyko-
rzystać kolory niewiele się od siebie
różniące (np. tekst w kolorze jasno-
szarym na białym tle) – patrz Listing 3
i Rysunek 3. Tekst, który ma pozostać
widoczny, zapisywany jest kolorem
wyraźnie odróżniającym go od tła.
Niewinne słowa są w efekcie pra-
wie niewidoczne, w przeciwieństwie
do informacji o oferowanym produkcie.
Ta sztuczka jest skuteczna w przypad-
ku iltrów rozpoznających
atrament
sympatyczny
, ponieważ tym razem
kolory nie są identyczne, a odbiorca
wiadomości zauważy jedynie czytel-
ny tekst.
Dobre iltry antyspamowe po-
traią odkryć podstęp rozpoznając
podobieństwo kolorów na podsta-
wie odległości Euklidesa, wykrywa-
jąc w ten sposób tekst prawie niewi-
doczny dla człowieka.
łej szerokości oraz tabele. Kamulo-
wany tekst jest najpierw zapisywany
czcionką o stałej szerokości, by moż-
na było podzielić go na kolumny:
Atrament sympatyczny
Jedną z podstawowych metod ukry-
wania niewinnych słów w treści wia-
domości jest zapisywanie ich białym
tekstem na białym tle (bądź też in-
nym kolorem, byleby tylko był on ta-
ki sam dla tekstu i tła) – patrz Listing
2. Spamerzy stosują ten sposób, po-
nieważ taki tekst będzie niewidoczny
dla człowieka, jednak program iltru-
jący ignorujący kolory tekstu odczyta
go. Niektóre iltry antyspamowe dają
się na to nabrać i przy odpowiednim
doborze słów wiadomość nie zostaje
zidentyikowana jako spam.
Skuteczne iltry antyspamowe
rozpoznają wykorzystanie kolorów
HTML-a i wykrywają tę sztuczkę. Jej
obecność świadczy o tym, że wiado-
mość to najprawdopodobniej spam.
Popularność tej metody szybko do-
prowadziła do tego, że iltry zosta-
ły wyposażone w mechanizmy jej
rozpoznawania, spamerzy wymyślili
więc inny sposób ukrywania tekstu,
za pomocą kolorów bardzo do siebie
zbliżonych, lecz nie identyczych.
Viagra
samples
FREE
Następnie budowana jest tabela,
w której w każdej z kolumn zapisy-
wana jest jedna kolumna liter tekstu
(patrz Listing 1 i Rysunek 2).
Ta technika jest nader skuteczna
w przypadku iltrów antyspamowych,
które usuwają znaczniki HTML-a.
Filtr otrzymuje tekst wyglądający jak
ciąg przypadkowych liter, ponieważ
tekst jest odczytywany z góry na dół,
zamiast od lewej do prawej.
Vsf iaR ame gpe rl ae s
Wyodrębnienie treści wiadomości
wymagałoby, by iltr był wyposażo-
ny w mechanizm rozpoznawania roz-
mieszczenia elementów HTML-a.
W praktyce jednak nie jest to ko-
nieczne, ponieważ wiadomość jest
łatwo identyikowana jako spam za
sprawą zastosowania złożonej tabe-
li i czcionek o stałej szerokości. Wy-
krywane są więc nie same słowa,
lecz metody wykorzystane do ich za-
maskowania.
MIME wszystko
Większość programów pocztowych
odczytuje MIME, umożliwiające wy-
syłanie wiadomości złożonych z wie-
lu części, z których każda jest okre-
ślonego typu (np. tekst, HTML, do-
kument Worda). Najczęściej pro-
gramy otwierają automatycznie po-
Dodawanie
niewidocznych
niewinnych słów
Po zamaskowaniu niepożądanych
słów, spamerzy dodają do wiadomo-
Rysunek 3.
Kamulaż
Hakin9 Nr 3/2004
www.hakin9.org
5
[ Pobierz całość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • marbec.opx.pl