Xakep #305. Многошаговые SQL-инъекции
Вчера в Ассоциации вычислительной техники на ежегодном совещании Специальной группы по проблемам передачи данных (SIGCOMM) профессор Технологического института штата Джорджия и его докторант представили документ, суть которого сводиться к тому, что существует возможность обнаружения и уничтожения спама на сетевом уровне, без использования фильтров контента.
Профессор Ник Фимстер и Анирудх Рамачандран представили в своей работе «Понимание поведения спамеров на сетевом уровне» (Understanding the Network-Level Behavior of Spammers) результаты 17-месячного исследования более 10 миллионов спам-сообщений. Их основной вывод: спам, как правило, идет по другому пути в Сети, нежели реальная электронная почта.
В работе показано, что большинство спама отправляется всего лишь из нескольких IP зон, а также что спамеры используют переходные «боты», отправляющие всего лишь несколько электронных писем за короткий промежуток времени. «Данные тенденции позволяют предполагать, что разработка алгоритмов идентификации членов бот-сетей, фильтрование сообщений электронной почты на основе свойств сетевого уровня (являющихся менее изменчивыми, нежели содержимое электронной почты ) и повышение уровня безопасности инфраструктуры маршрутизации Internet могут оказаться чрезвычайно эффективными в борьбе со спамом», говорится в документе.
Администраторы безопасности, администраторы электронной почты и конечные пользователи постоянно недовольны спам-фильтрами на основе контента, которые зачастую блокируют нужные сообщения и в то же время позволяют почтовой макулатуре накапливаться в электронных ящиках. По заявлению экспертов, проблема состоит в том, что контент-фильтры, в основном, используют слова и фразы для идентификации спама, а спамеры могут обходить их, просто переформулируя или делая специальные орфографические ошибки в своих сообщениях. С другой стороны, для идентификации спама исследователи из Технологического института штата провели исследование IP-адресов, направления маршрутизации и пакетный разбор
спам-сообщений. «Согласно исследованию, более 10 процентов спама является почтовой корреспонденцией, отправляемой двумя атакующими источниками», говорится в работе, «а 36 процентов всего полученного спама отправляются всего лишь из 20 атакующих источников. За немногими исключениями, атакующие источники, содержащие хост-системы, предназначенные для отправки больших объемов спама, отличаются от тех, которые отправляют большие объемы нормальной почты».
Хотя авторы и признают, что их работа является всего лишь исследованием, эти результаты позволяют надеяться на то, что разработчики антиспамовых программ, в конечном итоге, смогут отфильтровывать спам, как минимум, частично, используя свои сетевые характеристики, а также свой контент. Если принципы данных исследователей будут подтверждены, они смогут проложить дорогу разработчикам для создания новых, более точных антиспамовых средств.