чего то они серьезно за мой комп взялись, сейчас опять два письма пришло которые антивирус удалил. и причем каждый раз разные. чувствую придется пока этот ящики на civfanatics.ru вообще не использовать. а то ведь каждый раз разные шлют как будто антивирус проверяют.
так что если сейвы придут то смотреть их некоторое время не смогу.
Mahler!самый последний писк моды! прислать заразу, подделанную под сообщение о недоставке или о том, что это письмо проверено антивирусом
скачай почтовик TheBat! и будет тебе щастье
там можно включить "показать все письма на сервере" и выборочно удалить заведомо палёные... сейв-то ты отличишь от липы ? хотя бы по размеру... сейв заведомо больше
Носителем суверенитета и единственным источником власти в Российской Федерации является её многонациональный народ. Гл.1, ст.3. Конституции РФ
- Папа, а у царей бывает мания величия? - Иногда бывает. - А кем они тогда себя мнят? - Народом.
Я взрослая женщина - и я семь лет читала форумы. Настя
Если царь говорит, что чем ниже цена рубля, тем больше доход, то удивляться последствиям его правления не приходится. lada
На данном этапе развития страны считаю наиболее важным отстранить от управления бездарей-троечников в пользу тех людей, которые могут мыслить системно хотя бы на год вперёд. Винни
Многие склонны путать два понятия: «Отечество» и «Ваше превосходительство». Салтыков-Щедрин
С плохими законами и хорошими чиновниками вполне можно править страной. Но если чиновники плохи, не помогут и самые лучшие законы. Бисмарк
Как только дети, жены и любовницы начинают заниматься бизнесом - жди беды. Лукашенко
Т.к. ремоторизацию Ан-2 наладить не удалось, принято решение построить десяток Звезд Смерти для секторального захвата галактики. Рогозин
Это было не падение, Маск показал всем красненькую пипирку. Павел Чичиков 5-jan-2021 inv-ing
Да, в этом Гость прав, что не верить антивирусам - я Кашпировским на 2 раза прошол весь винт (ой как это долго) и Dr.Web'ом (всё насколько возможно свежие) - они сказали, что всё стеритльно, а скачал ad-aware и он у меня сразу три spyware и одну adware надыбал
Хочу поправить Гостя - не от 29 до 41, а от 26 до 52 кб (это по моему опыту)
a ja virusov nakaplsya kogda iskal ckacki na www.crakfind.co} .
Teper u menya net logon skreena i netu ojistki diska . iz puska .
Vobje uje te vremena koga virus tajelo napravit po pochte . vot naprimer http://ua.fm pochti luche vseh filtruet virusi ...
a eshe naschet virusov na e-mail . obijniy haker mojet smenit svoy e-mail na kakoy hos . daje esli takoy est u kogo to na etom forume . i otsilat , mati , oskoblenya virusi , i ve eto budet otsilatsa k primeru *a.com a pisatssa adres budet kak *b.com ... I podelat nechego ne lza .
Началась новая волна активности - уже третий день приходит штук по пять писем с якобы "вам вернулось письмо - так как оно отправлено по неправильному адресу" или "письмо содержит вирус, поэтому наша почтовая служба возвращает его отправителю"
Что плохо - то это то, что кто-то якобы от моего имени шлет вирусы всем, кому попало (пара французских ящиков и куча украинских)
Если вам пришло письмо со swan * civfanatics . ru и о нем не было оговорено заранее - не открывайте и ****те сразу, что бы там ни было написано
а нельзя на сервак какой нить антивирус поставить. у меня так мой провайдер сделал так на на тот ящик у меня ни разу ни одного вируса не пришло. А ящики с фанатиков я теперь только после апгрейда антивируса смотрю. Каждый раз по семь восемь писем всякой дряни приходит. Еще недавно меня на рекламные рассылки кто то подписал. Спам фильтр тоже штук десять таких писем за раз удаляет.
Как уже неоднократно говорилось - создатели вирусов всегда на один шаг впереди создателей антивирусовА ящики с фанатиков я теперь только после апгрейда антивируса смотрю
Просто ИМХО надо на сайте заменить заменить ссылки на мыло специальным скриптом (если я его не просрал после перестановки винды - то скину, если будет нужен), который скрывает мыло от большинства ботов и вирей, но работает как mailto: ...*...
Ну и на форуме поменьше писать адресов прямым текстом
//добавлено - посмотрел по дискам - скрипт не просрал (размер около 200 байт)
Правда он по моему только под ХТМЛ
антивирус на сервере давно установленOriginally posted by Mahler*30.09.2004 - 16:54
а нельзя на сервак какой нить антивирус поставить. у меня так мой провайдер сделал так на на тот ящик у меня ни разу ни одного вируса не пришло
Носителем суверенитета и единственным источником власти в Российской Федерации является её многонациональный народ. Гл.1, ст.3. Конституции РФ
- Папа, а у царей бывает мания величия? - Иногда бывает. - А кем они тогда себя мнят? - Народом.
Я взрослая женщина - и я семь лет читала форумы. Настя
Если царь говорит, что чем ниже цена рубля, тем больше доход, то удивляться последствиям его правления не приходится. lada
На данном этапе развития страны считаю наиболее важным отстранить от управления бездарей-троечников в пользу тех людей, которые могут мыслить системно хотя бы на год вперёд. Винни
Многие склонны путать два понятия: «Отечество» и «Ваше превосходительство». Салтыков-Щедрин
С плохими законами и хорошими чиновниками вполне можно править страной. Но если чиновники плохи, не помогут и самые лучшие законы. Бисмарк
Как только дети, жены и любовницы начинают заниматься бизнесом - жди беды. Лукашенко
Т.к. ремоторизацию Ан-2 наладить не удалось, принято решение построить десяток Звезд Смерти для секторального захвата галактики. Рогозин
Это было не падение, Маск показал всем красненькую пипирку. Павел Чичиков 5-jan-2021 inv-ing
Вот любопытные выдержки из книги известного специалиста в этой области:
"Антиспамные решения и безопасность"
Неал Краветз
1. Общий обзор
В последнем проводимом опросе, 93% респондентов выразили неудовольствие в связи с большим объемом, принимаемых ими несанкционированных электронных писем [1]. На сегодняшний момент эта проблема дошла до такой стадии, что 60% всех электронных писем являются спамом [2]. Было предложено много антиспамных решений, и несколько их них были внедрены. Но к сожалению эти решения не могут предотвратить рассылку спама, мешающего нормальной работе электронной почте.
Проблемы, возникающие из-за спама, выросли от простого раздражения до существенных проблем по безопасности. Наводнение спама приводит к ежегодным убыткам, оцененным до 20 миллиардов долларов, а согласно тем же исследованиям, спам в пределах одной компании, приводит к убыткам от 600 до 1000 долларов ежегодно, из расчета на одного пользователя.[4]
1.1 Проблемы безопасности
В дополнение к потере времени на просмотр и удаление несанкционированных писем, спам также представляет реальные угрозы безопасности, включая:
Вирусы. Новые вирусы, черви и т.п типа Melissa, Love Bag и MyDoom используют методы рассылки спама для своего распространения к пользователям.
Объединение эксплойтов и спама. Сегодня достаточно сложно провести границу между хакерами и спамерами. Много спамеров включают в электронные письма злонамеренный код, использующий уязвимости в браузерах, HTML и Javascript. К примеру 31 декабря 2002 года, группой бразильских хакеров была сделана рассылка спама, содержащего злоумышленный Javascript код. Миллионы пользователей, просмотревших эти письма, несознательно скомпрометировали свои учетные записи. В другом примере, в спаме была использована проблема в Internet Explorer, когда перед именем хоста ставился "%01", что позволяло скрыть настоящее имя хоста.
Объединение вирусов и спама. Известно, что некоторые вирусы были разработаны специально для помощи спамерам. Например червь SoBig, устанавливал открытые прокси, используемые для рассылки спама. Поскольку спам становится все более распространенным, то использование malware и spyware, для его поддержки, вероятно будет увеличиваться.
Существующие антиспамные решения лишь пытаются смягчить проблему спама и потребности в адресной защите. Правильная идентификация спама, помогает смягчить воздействие, оказанное почтовыми вирусами, эксплойтами и т.п. Такие решения используют различные методы защиты для создания помех в распространении спама.
Текущие антиспамные решения делятся на четыре основных категории: фильтры, системы обратного поиска, запросы и криптография. Каждое из таких решений, оказывает некоторую помощь в защите от спама, но все они имеют существенные ограничения. В первой части этой статьи мы рассмотрим фильтры и системы обратного поиска, а во второй будет рассмотрены различные типы запросов типа "отклик-вызов", вычисляемый запрос, а также криптографические решения. Хотя существует много различных аспектов использования таких решений, но в данной статье будут рассмотрены только самые общие вопросы.
1.2 Терминология
Отправитель. Человек или процесс, ответственный за генерирование электронной почты.
Получатель. Любой e-mail адрес, получающий электронную почту.
1.3 Фильтры
Фильтры используются системой получателя для идентификации и классификации спама. Существует много различных систем фильтрации, таких как:
Списки слов. Простые и сложные списки слов, вероятно связанных со спамом. Например, "Виагра".
"Черные" и "Белые" списки. Такие списки содержат известные IP адреса спаммеров и неспаммеров соответственно.
Хеш-таблицы. Такие системы суммируют электронные письма в псевдоуникальные значения. Повторное обнаружение значений хеш-функции является признаком рассылки больших объемов электронной почты.
Искусственный интеллект и Вероятностные системы. Системы типа байесовых сетей используются для изучения частоты повторения слов и шаблонов, обычно используемых в спамсообщениях и нормальной электронной почте.
Фильтры можно упорядочить, основываясь на ложь-негативных и ложь-позитивных результатах. Ложь-негативный результат указывает на фактическое спам-сообщение, прошедшее через фильтр. И напротив, ложь-позитивный результат указывает на нормальное электронное письмо, ошибочно классифицированное как спам. В идеале спам-фильтр не генерировал бы ложь-позитивных результатов и очень мало ложь-негативных.
Антиспамные решения, основанные на фильтрах, имеют три существенных ограничения:
Обход систем фильтрации. Спам-отправители и их программы рассылок не являются статистическими, и они очень быстро приспосабливаются к новым фильтрам. Например, для обхода списка слов, спаммеры располагают в случайном порядке написание слов ("Виагра", "В1агра", "Виаагра"). Хешбастеры (случайных последовательности символов, отличающиеся в каждом сообщении), были созданы для обхода хешфильтров. В лучшем случае, большинство спам-фильтов эффективно только в течении нескольких недель. Для поддержания эффективности антиспамных систем, необходимо постоянное (еженедельное, а лучше ежедневное) обновление наборов правил фильтрации.
Ложь-позитивные результаты. Чем более эффективный фильтр, тем больше вероятность неправильного классифицирования нужных сообщений как спама. Например, сообщение, содержащее слово "Виагра" (например, спам-текст "Бесплатная Виагра" или личная электронная почта "Привет, ты смотрел вчера по телеку новый концерт группы "Виагра", практически на 100% будет расценено как спам, независимо от содержания письма. Наоборот, спам-фильтры, которые практически не генерируют ложь-позитивных результатов, скорее всего генерируют большое количество ложь-негативов.
Пересмотр результатов фильтрования. Из-за вероятности неправильного классифицирования электронных сообщений как спама, они обычно сразу не удаляются. Вместо этого такие сообщения помещаются в специальные почтовые ящики для спама (примером может служить папка "сомнительные" на большинстве бесплатных почтовых серверов), для последующего просмотра. К сожалению, это все равно означает, что пользователи должны просматривать спам, в поиске неправильно классифицированных сообщений. В сущности, это означает, что фильтры только помогают в сортировке входящей электронной почты.
Но более важным, чем ограничения в работе, является распространение мифа о том, что фильтры останавливают спам. Спам-фильтры не останавливают спам. В любом случае спам все еще генерируется и рассылается по сети. И если пользователь не желает пропускать неправильно классифицируемую электронную почту, он все еще читает спам. В то время, как фильтры помогают сортировать сообщения в спам и желаемые сообщения, но они не предотвращают спам.
1.4 Обратный поиск
Практически весь спам использует подделанные адреса отправителя ("От:"). Кроме того, хорошо подделанный адрес отправителя, на первый взгляд исходит из доверяемых доменов. Например, в течении 15 месяцев в нашем спам-архиве было собрано 9300 электронных сообщений, в которых адреса отравителей принадлежали 2400 уникальным доменам. Домен "yahoo.com", был почти в 20 процентах адресов, хотя на самом деле спам, исходящий с адресов принадлежащих "yahoo.com" составлял менее 1 процента. Та же ситуация происходила и с другими почтовыми серверами.
Спаммеры поделывают адреса электронной почты по многочисленным причинам:
Правонарушение. Очень много спам-сообщений, являются мошенническими и в большинстве стран преследуются законом, поэтому подделка адреса отправителя дает во
зможность спаммеру остаться анонимным и спастись от судебного преследования.
Нежелательность. Большинство спамеров знают, что их сообщения нежелательны. Подделывая адрес отправителя, они могут смягчить последствия от рассылки миллионов сообщений миллионам рассерженных получателей.
Ограничения провайдеров. Большинство провайдеров имеют статьи договора по предотвращению спама. Подделка адреса отправителя, в этом случае уменьшает вероятность закрытия провайдером доступа к сети недобросовестным пользователям.
В попытке ограничения подделок адресов отправителей, создаются системы помогающие подтвердить правильность адреса электронных адресов. Эти системы включают:
Reverse Mail Exchanger (RMX). http://www.ietf.org/internet-drafts/...rr-smtp-03.txt
Sender Permitted From (SPF). http://spf.pobox.com/
Designated Mailers Protocol (DMP). http://www.pan-am.ca/dmp/
Все эти походы очень похожи между собой и используют практически идентичные методы. DNS система используется для сопоставления IP адресов именам хостов и наоборот. В 1986 система DNS была модифицирована для ассоциирования записей ("MX") почтовых обменников. [7]. При доставке электронной почты, почтовый сервер решает, куда передавать сообщение, основанное на MX записи, связанной с определенным доменом получателя.
Подобно MX записям, системы обратного поиска определяют обратные-MX записи ("RMX" для RMX, "SPF" для SPF, и "DMP" для DMP). Сделано это, для определения были ли электронное сообщение из конкретного домена создано на конкретном IP адресе. Основной идеей является то, что подделанные адреса не могут генерироваться из правильного адресного пространства RMX (или SPF или DMP), и поэтому могут немедленно идентифицироваться как подделанные.
Хотя такие решения очень эффективны в некоторых ситуациях, но они имеют существенные ограничения.
1.4.1 Децинтрализованные (host less) и домены третьего уровня
Обратный поиск требует создания электронного сообщения на известном и доверяемом почтовом сервере расположенном на известном IP адресе (обратная MX запись). Но к сожалению большинство доменных имен не связаны со статистическими IP адресами. Исключая киберсквоттеров, в большинстве случаев единичные пользователи и малые компании желают использовать свои собственные домены, но не могут позволить себе иметь свой собственный статистический IP адрес и почтовый сервер.
Системы обратного поиска вызывают несколько проблем децентрализованным пользователям и доменам третьего уровня:
Не обратимая MX запись. Пользователи, отсылающие электронную почту с децентрализованных адресов или доменов третьего уровня просто настраивают почтовые приложения для отправки сообщений из зарегистрированного домена. К сожалению, поиск IP адреса отправителя не сможет указать на домен отправителя и поэтому не может быть сгенерирована правильная обратная MX запись.
Не исходящая почта. Единственное правильное решение требует передачи всей исходящей почты через SMTP сервер провайдера, что приводило бы к генерации правильной реверсивной MX записи. Но к сожалению у большинства провайдеров запрещена передача, если домен отправителя отличается от домена провайдера.
В любом случае любой пользователь, использующий домен третьего уровня или домен, не имеющие собственного почтового сервера, будет заблокирован системой обратного поиска.
1.4.2 Мобильные компьютеры.
Использование мобильных компьютеров является обычной практикой. Люди используют свои ноутбуки для работы в любом удобном для них месте. Гостиницы, аэропорты и даже некоторые кафе предлагают услуги мобильных компьютеров. Но к сожалению, системы обратного поиска, вероятно не разрешат большинству пользователей отправку электронной почты.
Прямая отправка. Существует два пути для отправки электронной почты. Пользователь может входить на почтовые системы, используя внешнюю учетную POP/IMAP/SMTP запись web почты или подобной системы, а может использовать прямую отправку своих сообщений. Большинство компаний не поддерживают внешний интерфейс для отправки почты, и пользователям приходится конфигурировать свои компьютеры для прямой отправки. К сожалению, проблемы при прямой отправке почты, такие же как и при использовании host-less и доменов третьего уровня - при обратном поиске домена не будет включен IP адрес отправителя, а при обратном поиске IP адреса отправителя, он не будет соответствовать домену.
Передача почты. Вариант прямой отправки почты, требует от всех компаний поддержки внешних почтовых интерфейсов для всех мобильных пользователей. Во многих ситуациях это нежелательно и непрактично. Например это неприменимо с точки зрения сетевой безопасности, так как протокол POP3 пересылает имя пользователя и пароль в незашифрованном виде. При этом любой хакер, просматривающий сетевой трафик, может получить пароли доступа к электронной почте. Протокол IMAP может использовать SSL и поддерживать защищенную аутентификацию, но не все серверы его поддерживают. Протокол SMTP тоже поддерживает SSL или TLS, но опять же его поддерживают не все сервера. Web почта по HTTPS это единственная система, поддерживающая защиту клиентских сертификатов. Но так как большинство сайтов используют только серверные сертификаты, то HTTPS является очень слабой защитой от сетевых нападений.
В то время как системы обратного поиска действенны во внутренних сетях, но они не практичны при внешних технологиях. Компании, желающие использовать host-less услуги, домены третьего уровня, а также желающие поддерживать мобильных пользователей, должны пересмотреть свои антиспамные системы обратного поиска.
2. Выводы
Спам достиг размеров глобальной эпидемии, и люди ищут любые возможности для его предотвращения. Спам фильтры являются наиболее успешным решением, они пытаются распознать и классифицировать спам. Но фильтры не могут предотвратить рассылку спама. Системы обратного поиска пытаются разрешить проблему подделки адресов отправителей. Но в то время как такие системы действенны во внутренних сетях, они абсолютно не применимы в глобальном масштабе.
Во второй части нашего исследования мы рассмотрим системы запросов и предложим криптографические решения.
3. Ссылки
[1] "Majority in Favor of Making Mass-Spamming Illegal Rises to 79% of Those Online." The Harris Poll R #38. July 16, 2003.
[2] "Spam On Course to Be Over Half of All Email This Summer," Brightmail press release. July 1, 2003.
[3] According to SpamHaus, a spam content tracking organization, less than 200 spam groups generate more than 90% of spam messages. SpamHaus ROKSO, September 22, 2003.
[4] "Spam Costs $20 Billion Each Year in Lost Productivity", by Jay Lyman. December 29, 2003.
[5] Phishing e-mail fraud rises 52% in January, report says", February 18, 2004.
[6] "Multiple Browser URI Display Obfuscation Weakness"
[7] "Domain System Changes and Observations", RFC973 by Paul Mockapetris. January 1986.
Часть 2.
Др. Неал Краветз
1. Общий обзор
SMTP протокол не был разработан для обеспечения безопасности. Он был создан в 1973 году как расширение к FTP протоколу. [1]. В то время сетевая безопасность не вызывала особого беспокойства, и разработчики не были четко уверенны о необходимости внедрения отдельного почтового протокола. Например, в документации RFC 524 описывались основания для выделения SMTP в отдельный протокол. Автор предостерегал:
"Я уверен, что указанном протоколе, существуют дефекты, и надеюсь, что читатели, обнаружив их, укажут на них через RFC документацию".
Хотя набор команд для этого протокола был создан спустя некоторое время, его создатели предполагали, что к существующие недостатки протокола будут исправлены позже. Но, к сожалению, и 2004 году продолжают обращаться к оплошностям, допущенным в RFC 524, а протокол SMTP слишком популярен, чтобы полностью избавиться от него и заменить на более безопасный. Спам является одним из примеров злоумышленного использования протокола - большинство спамприложений разработано для подделки заголовков писем, маскирования отправителей и скрытия систем происхождения.
Краткий обзор первой части данной статьи: существующие антиспамные решения относятся к четырем базовым категориям: фильтры, системы обратного поиска, системы откликов, и криптографические системы. Каждое из таких решений предлагает некоторую помощь в решении проблемы спама, но все они имеют существенные ограничения. В первой части были рассмотрены системы фильтрации и обратного поиска. В этой части мы сосредоточим свое внимание на системах откликов и криптографических решениях. Хотя существует много различных вариантов использования таких решений, но в нашей статье будут рассмотрены только общие вопросы.
1.2 Терминология
Отправитель. Человек или процесс, ответственный за генерирование электронной почты.
Получатель. Любой e-mail адрес, получающий электронную почту.
2. Отклики
Спаммеры, для генерирования миллионов электронных писем в день, используют автоматизированные почтовые программы рассылки спама. Запросы на отклик пытаются воспрепятствовать рассылке спама, замедляя весь процесс рассылки. Такие системы не будут особенно воздействовать на людей оправляющих одновременно несколько сообщений. Но, к сожалению, системы откликов успешно работают, когда их использует небольшое количество пользователей. При увеличении популярности, такие системы, скорее всего, будут мешать прохождению нормальной почты, нежели будут препятствовать распространению спама.
Существует два основных типа такого вида систем: отклик-отзыв и системы увеличения времени отправки.
1.2.1 Отклик-отзыв
Системы отклики-отзыва (CR системы) сохраняют список разрешенных отправителей. Электронное сообщение, посланное новым пользователем, временно блокируется. Такому отправителю отправиться сообщение, содержащее запрос на отклик (обычно щелчок на URL адресе или ответное сообщение). После завершения отклика новый отправитель добавляется в список разрешенных адресатов и после этого происходит доставка первоначального сообщения. Такие системы основаны на том, что спамеры используют поддельные адреса электронной почты и соответственно не смогут получить запрос на отклик, а спамеры, использующие реальные адреса просто не будут в состоянии ответить на запросы. Но, такие системы тоже имеют множество ограничений, включая:
Взаимоблокировка в CR системе. К примеру, Алиса говорит Биллу послать сообщение её другу Чарли. Билл отсылает e-mail Чарли. CR система Чарли блокирует сообщение и отсылает Биллу запрос на отклик. Но CR система Билла, в свою очередь блокирует сообщение, посланное CR системой Чарли, и генерирует ответный запрос на отклик. Получается ситуация, что никто из пользователей не получит ни запроса на отклик ни электронного сообщения. А так как электронные сообщенияв большистве случаев неожиданны и незапрашиваемы, то пользователь не будет знать, что необходимо искать ожидающий решения отклик. По сути, если два человека используют CR систему, то у них не будет возможности связаться между собой.
Автоматизированные системы. Рассылки и автоматизированные системы (типа "Отослать другу") не могут отвечать на запросы на отклик. Параметр "Вы можете вручную добавить отправителя", работает только, когда вы знаете, что должно прийти сообщение. Я часто получаю новости и статьи, которые мои друзья находят интересными и переправляют мне их из различных сайтов. Такие сообщения неожиданны и незапрашиваемы, но не являются спамом.
Анализ запросов на отклик. Много CR систем осуществляют анализ запросов. Такие комплексные системы включают распознавание символов или сопоставление с шаблоном, которое может быть легко автоматизировано. Например, CR система, используемая Yahoo для создания новых адресов, легко уязвима даже самым простым системам искусственного интеллекта, выполняющим распознавание символов. CR система электронной почты Hushmail, требует определения пользователем изображения расположенного на синем фоне (анализируете фон, находите изображение, отсылаете координаты – и никаких проблем)
Рисунок 1. Запрос на отклик при создании новой учетной записи в системе Yahoo. Эта система уязвима к интеллектуальным программам, обеспечивающим распознавание символов.
Рисунок 2. Графическое генерирование отклика в системе Hushmail. Пользователь должен нажать на изображении замочной скважины. Такая система уязвима даже при простой обработке изображения.
Сейчас распространены два неправильных представления о CR системах: (1) пользователь должен подтвердить отклик, и (2), такие проблемы слишком сложны для автоматизированных решений. По правде говоря, спамеры игнорируют такие CR системы, потому что не они представляют собой слишком большие базы рассылок, а не потому что такие системы слишком сложны. Многие спамеры используют реальные адреса для своих махинаций или для проверки правильности списков рассылок. Когда CR системы начинают мешать рассылке спама, то спамеры автоматизируют ответы на запросы CR систем.
1.2.2 Дополнительные временные затраты.
Существует много систем, добавляющих дополнительное время к отправке электронного сообщения (СС систем). Большинство СС систем используют сложные алгоритмы, предназначенные для задержки времени при отправке. Для отдельного пользователя, это время вряд ли будет замечено, но при отправке миллионов писем, каждая маленькая задержка выльется в большие потери времени. Примером СС систем могут быть Hash Cash [2] и Microsoft Black Penny [3]. Но СС системы имеют проблемы, которые препятствуют их широкому распространению и вряд ли смогут предотвратить спам:
Неравные условия. СС системы, основаны на быстродействии процессора, памяти или сети и ставят в невыгодное положение пользователей с медленными системами, перед более производительными системами. Например, отклик процессора на 1 Ггц системе, занимающий 10 секунд, займет 20 секунд на 500 Мгц компьютере.[4]
Списки рассылок. Существует много списков рассылок, имеющих в своей базе тысячи и даже миллионы подписчиков, и все они будут наказаны так же сильно, как и спамеры. СС системы делают непрактичным создание рассылок. И если есть путь для обхода откликов для легальных списков, то спаммеры смогут точно также обойти необходимость формирования отклика.
Армии роботов. Как мы уже могли видеть в случае с вирусом Sobig и другими вирусами спам-поддержки, много спамеров контролируют сотни тысяч взломанных систем. Спамеры могут легко распределять любые дополнительные задержки времени между "своими" системами.
Легальные армии роботов. Спамеры генерируют спам, потому что это приносит существенный доход. Большие спам-группы могу
т позволить себе покупку сотен систем для распределения дополнительных затрат времени. Причем это может быть сделано легально, без взлома чьих-то систем с помощью вирусов.
Предлагаемые в настоящее время СС системы наврядли получат широкое распространение, т.к. они не только не уменьшают проблему спама, но даже мешают легальной отправке электронной почты.
1.3 Шифрование
Были предложены несколько решений по использованию шифрования для проверки достоверности спам отправителей. По существу, такие системы для выполнения идентификации используют сертификаты. Без надлежащего сертификата, подделанная электронная почта может легко идентифицироваться. Ниже представлены некоторые предложенные криптографические решения:
AMTP.
MTP.
S/MIME и PGP/MIME.
Существующий почтовый протокол (SMTP) не имеет никакой явной поддержки зашифрованной идентификации. Некоторые из этих предложенных решений расширяют возможности SMTP протокола (например, S/MIME, PGP/MIME, и AMTP), в то время как другие нацелены на полную замену почтовой инфраструктуры (например, MTP). Интересно высказывание автора MTP: "Протоколу SMTP уже более 20 лет, тогда как современные требования развивались в течение прошедших 5-10 лет. Было показано большое количество дополнений к синтаксису и семантике SMTP, но чистый SMTP протокол не выполняет эти требования и является слишком неизменяемым, чтобы быть дополненным без модификации синтаксиса"[5].
При использовании сертификатов типа X.509 или TLS, должны быть доступны некоторые типы источников выдачи сертификатов. К сожалению, если сертификаты сохранены в DNS, тогда для проверки подлинности должны быть доступны секретные ключи. (А если спамер имеет доступ к секретным ключам, то он может генерировать правильные открытые ключи). Вариантом может быть использование централизованной системы выдачи сертификатов. Но, к сожалению, электронная почта является распределенной системой, и навряд ли кто-то захочет иметь единственный центр сертификации для управления всей электронной почтой.
Когда нет никаких источников выдачи сертификатов, то должен быть какой-нибудь метод для распределения ключей между отправителем и получателем. PGP, например, требует наличия общедоступных открытых ключей. Такой метод эффективен в закрытых сетях и между группами хорошо знакомых людей и неэффективен в больших группах пользователей, особенно когда новые контакты могут быть установлены между любым отправителем и любым получателем. По существу общедоступные ключи сталкиваются с теми же проблемами, что и "белые списки" - только известные и установленные отправители могут войти в контакт с получателем.
К сожалению, эти криптографические системы, вряд ли, остановят спам. Например, давайте предположим, что одно из таких решений было повсеместно применено. При таком подходе не проверяется правильность адреса отправителя, а только проверяется, имел ли отправитель правильные ключи для электронной почты. Все это создает несколько, перечисленных ниже, проблем:
Автоматизированный взлом. При глобальном применении данных систем, должен быть способ генерирования сертификатов или ключей для всех пользователей (почтовые серверы или почтовые клиенты, в зависимости от выбранного решения). Но реальнее всего предположить, что спамер взломает такую систему через неделю, после её развертывания и после этого будет её использовать для отсылки "заверенного" спама.
Проблемы в практичности применения. Существуют также некоторые беспокойства в практичности таких систем. Например, что произойдет, если будет недоступен сервер выдачи сертификатов? Передача электронной почты была бы сорвана или вся почта принималась бы как "заверенная"? Недавно спамеры провели длительную DDos атаку на почти полдюжины сайтов, поддерживающих "черные списки"[7]. Понятно, что спамеры нападали на эти сервера, чтобы воспрепятствовать пользователям получать обновления "черных списков". Но наивно предполагать, что одиночный сервер выдачи сертификатов (или даже сеть таких серверов) не будет восприимчивы к подобным нападениям.
Итоги обсуждения различных антиспамных решений
Спам достиг размеров глобальной эпидемии, и люди ищут любые возможности для его предотвращения. Существует много различных решений по борьбе со спамом, но все они имеют ограниченную эффективность и не способны повлиять на распространение спама в глобально масштабе.
В первой части этой статьи мы увидели, что спамфильтры будучи эффективными для идентификации спама, в тоже время не могут бороться его распространением, и требуют постоянного обслуживания. Системы обратного поиска пытаются идентифицировать подделанные адреса отправителей, но при этом препятствуют пользователям host-less и доменов третьего уровня, а также ограничивают возможности пользователей мобильных компьютеров, мешая им отправлять электронную почту с любого, удобного для них места. Во второй части мы обратили наше внимание на системы откликов и системы задержки времени, и пришли к выводу, что они эффективны только при небольшом распространении и вряд ли смогут сдерживать спам. Криптографические решения, точно идентифицируя подделанную электронную почту, не могут расширяться в глобальных масштабах.
Хотя много пользователей считают, что любое антиспамное решение лучше, чем его отсутствие, но большинство таких систем только мешают легальным пользователям больше, чем самим спамерам. В то время как некоторые их предложенных вариантов сообщают о своей эффективности, они не принимают во внимание тот факт, что спамеры очень быстро приспосабливают их код для своих нужд. И хорошее решение сегодня наврядли будет им завтра.
Ссылки
[1] RFC 458 (Feb. 20, 1973): Mail retrieval via FTP. RFC 510 (May 30, 1973): Network mailbox addresses (user*system). RFC 524 (June 13, 1973): Branching from FTP to a standalone protocol. RFC 561 (Sept. 5, 1973): Standard mail headers.
Хочу представить вашему вниманию статью Дона Паркера по проверке своего брандмауэра:
4 августа 2004
"Аудит Брандмауэров и Средств обнаружения вторжений (IDS). Часть первая.
Дон Паркер, перевод Владимир Куксенок
С сегодняшним уровнем угрозы из внешней среды, наличия брандмауэра и IDS (Intrusion Detection System - Средство Обнаружения Вторжений) у домашнего или корпоративного пользователя это больше не роскошь, а скорее необходимость. И все же, многие люди не уделяют время для проверки того, что эти средства защиты действительно работают правильно. В конце конов очень просто дискредитировать весь набор правил вашего маршрутизатора, создав всего одно непродуманное правило. То же самое можно сказать о вашем брандмауэре, из-за одного слабого правила, например для вашего iptables, вы может остаться уязвимы. Правильно ли вы настроили некоторые опции вашего брандмауэра? На этот вопрос можно ответить, и что более важно проверить самому с помощью пакетного тестирования. Это позволит вам вручную проверить, правильно ли сконфигурированы ваш брандмауэр и IDS.
Лучше всего не полагаться вслепую на вывод некоторых автоматизированных утилит при проверке устройств, защищающих ваши компьютеры. Можно провести аналогию, где человек проверяет, закрыта ли дверь и выключен ли газ, вместо того, чтобы ждать грабителя или пожарной тревоги. Вы знаете, что сделали все необходимое, для защиты вашего периметра, но все же хотите удостовериться еще больше. Пакетное тестирование, используемое для аудита сети, не может проверить все ситуации, возможные с вашим брандмауэром и IDS, но может смоделировать необходимое их количество.
Эта статья - первая из двух частей, описывает различные способы проверки надежности вашего брандмауэра и IDS, используя низкоуровневые утилиты и методы создания TCP/IP пакетов. Я использовал Linux систему, но все описанное будет так же работать и на других Unix-подобных системах.
Преимущества Пакетного тестирования (Packet Crafting)
Существуют некоторые дополнительные выгоды при изучения способов аудита вашего брандмауэра и IDS, используя пакетное тестирование. Что бы научиться эффективно использовать утилиты типа hping и правильно интерпретировать их данные, вы заставляете себя больше изучать TCP/IP. Глубокое изучение основы компьютерных коммуникаций, пакетов, является хорошей целью для любого, желающего увеличить свои знания о компьютерах. Сказав это, я не буду предполагать, что все читатели этой статьи имеют хорошие знания о TCP/IP. По ходу этой статьи, информация, полученная от используемых программ, будет детально объясняться. Весь вывод Snort и tcpdump будет описан ясно и кратко. Вы можете сказать, что здесь могло бы быть больше информации для углубленного понимания TCP/IP, но эта статья о том, как научиться тестировать правила вашего брандмауэра и IDS.
Будет показано несколько примеров и для брандмауэра и для IDS. Поскольку этот документ предназначен для того, чтобы показать, как работать с hping, Snort и tcpdump, будет присутствовать несколько универсальных примеров. Поэтому, нижеупомянутые примеры - хорошая отправная точка. Упражняясь с нижеизложенной информацией, вы должны чувствовать себя достаточно комфортно, чтобы эффективно протестировать ваш собственный брандмауэр и IDS. Обратите внимание, что есть автоматизированные утилиты, которые могут сделать все это за вас. Тем не менее, очень важно, чтобы вы могли сделать все сами, и были способны контролировать и анализировать результаты. Это даст вам чувство уверенности, знание, что защита вашего периметра работает так, как рекламировалась.
Тестирование вашего брандмауэра - первый пример
Сейчас мы начнем с нескольких примеров того, как проверить ваш брандмауэр в различных условиях. Вначале нужно проверить виден ли 80 порт через брандмауэр. Второй пример проверит, открыт ли 53 порт, и затем мы завершим первую часть этой статьи.
Допущение
Пожалуйста, обратите внимание на то, что эти тесты проводились на SuSE Linux Professional 9.0 со стандартным набором правил iptables. Я не привожу здесь пример синтаксиса IPTables, т.к. вместо него вы можете использовать IPChains, какой-либо другой брандмауэр, возможно коммерческий брандмауэр или даже другой тип решения. Также, было бы сложно убрать правило, от которого зависят все остальные, что и послужило основной причиной не приводить здесь примеры синтаксиса правил. И, наконец, каждая проверка будет объясняться, чтобы вы могли понять, в каком контексте происходит тестирование. Во второй части мы рассмотрим Snort 2.1.0 со стандартным набором правил.
Пример ниже показывает пакет, посланный на 80 порт. Как и должно быть в соответствии с конфигурацией нашего брандмауэра, пакет блокируется. Нормальным поведение TCP пакета, посланного на порт, который не прослушивается никаким сервисом, было бы отправка назад на исходный компьютер.
Ниже показана информация, скопированная из окна моего терминала и синтаксис запуска hping. Я опишу параметры hping, задействованные в этом примере, и далее, если не будет больших различий в синтаксисе, уточнять их не буду.
hping Имя программы, для создания пакетов
-S Говорим hping отослать SYN пакет
192.168.1.108 Указываем адрес получателя, на который будет отправлен SYN
пакет
-p 80 Указываем порт на компьютере получателя, в нашем случае это
порт 80
-c 1 Этот параметр задает количество отправляемых пакетов, в
нашем случае это 1
Обратите внимание на вывод hping. В нем показан только адрес получателя, то, что установлен флаг S (SYN пакет), что размер пакета 40 байт (стандартный размер TCP/IP заголовка) и 0 байт данных в пакете.
Оставшаяся часть вывода hping это, как показано ниже, статистика пакета, созданного вами с помощью hping. Здесь говорится, что был отправлен 1 пакет, 0 пакетов было получено назад, и что 100% пакетов были потеряны. Также указано время пути туда и обратно, если хотя бы 1 пакет был отправлен назад.
monkeylabs:/home/don # hping -S 192.168.1.108 -p 80 -c 1
HPING 192.168.1.108 (eth0 192.168.1.108): S set, 40 headers + 0 data bytes
--- 192.168.1.108 hping statistic ---
1 packets transmitted, 0 packets received, 100% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms
Используя вышеупомянутую команду, смотрите ниже, как выглядит пакет, созданный с помощью hping и отсылаемый с локальной машины. Теперь опишем синтаксис вызова tcpdump.
tcpdumpИмя программы
-n Указываем, что IP адрес будет в числовом формате
X Указываем, что представлять информацию нужно в HEX и ASCII формате.
v Более подробный вывод: показывать все информацию о пакете
s Включаем перехват пакетов определенной длинны
0 Если вы укажете 0, tcpdump будет захватывать пакеты с
длинной по умолчания для вашего компьютера. В моем случае это 1518.
tcp Указываем, что хотим перехватывать только TCP пакеты, не
UDP или ICMP, только TCP.
and host 192.168.1.100 Указываем, что хотим перехватывать пакеты от 192.168.1.100
and 192.168.1.108 и от 192.168.1.108
Использование двух вышеупомянутых IP адресов с указанными параметрами вызова tcpdump позволяет перехватывать только пакеты, проходящие между 192.168.1.100 и 192.168.1.108. Это позволит не перехватывать ненужные нам пакеты, например, от DNS сервера вашего ISP или ARP пакеты вашего коммутатора. Чтобы помочь вам в чтении данных вывода tcpdump, ниже я опишу все поля пакета, так же как я описывал синтаксис вызова tcpdump. Мы увидим, что означает каждое поле, начиная с поля времени.
10:07:30.171332 Время, когда пакет был получен
192.168.1.100.1321 IP адрес и порт отправителя
192.168.1.108.80 IP адрес и порт получателя
S Указывает на то, что мы посылаем SYN пакет
[tcp sum ok] Контрольная сумма правильная
19074990
58:1907499058 Позиционный номер TCP (TCP sequence)
(0) Количество байт данных в пакете
win 512 Размер окна
[tos 0x8]Тип сервиса
ttl 64 Число перемещений, за которое пакет должен достигнуть
получателя
id 45106 Идентификационный номер пакета, используется для сборки
пакета после фрагментации
len 40 Длинна пакета
/home/don # tcpdump -nXvs 0 tcp and host 192.168.1.100 and 192.168.1.108
tcpdump: listening on eth0
10:07:30.171332 192.168.1.100.1321 > 192.168.1.108.80: S [tcp sum ok]
1907499058:1907499058(0) win 512 [tos 0x8] (ttl 64, id 45106, len 40)
0x0000 4508 0028 b032 0000 4006 4675 c0a8 0164 E..(.2..*.Fu...d
0x0010 c0a8 016c 0529 0050 71b2 2032 53e1 85d2 ...l.).Pq..2S...
0x0020 5002 0200 b8b0 0000 P.......
Ниже можно увидеть, что происходит на целевом компьютере, когда он получает пакет. По умолчанию он был заблокирован, т.к. на целевом компьютере нет необходимого сервиса, и именно так сконфигурирован iptables для работы с пакетами, посланными на никем не прослушиваемые порты на SuSE.
Mar 2 10:06:40 linux kernel: SuSE-FW-DROP-DEFAULT IN=eth0 OUT=
MAC=00:50:da:c5:9d:8b:00:0c:6e:8c:d4:61:08:00 SRC=192.168.1.100
DST=192.168.1.108 LEN=40 TOS=0x08 PREC=0x00 TTL=64 ID=45106 PROTO=TCP
SPT=1321 DPT=80 WINDOW=512 RES=0x00 SYN URGP=0
Это пакет, достигший тестируемой машины. Как мы видим, все нормально:
/home/don # tcpdump -nXvs 0 tcp and host 192.168.1.108 and 192.168.1.100
tcpdump: listening on eth0
10:06:40.474204 192.168.1.100.1321 > 192.168.1.108.80: S [tcp sum ok]
1907499058:1907499058(0) win 512 [tos 0x8] (ttl 64, id 45106, len 40)
0x0000 4508 0028 b032 0000 4006 4675 c0a8 0164 E..(.2..*.Fu...d
0x0010 c0a8 016c 0529 0050 71b2 2032 53e1 85d2 ...l.).Pq..2S...
0x0020 5002 0200 b8b0 0000 0000 0000 0000 P.............
Итак, мы можем наблюдать, как пакет был отослан, получен тестируемой машиной, но, однако был заблокирован.
Тестирование вашего брандмауэра - второй пример, исследование 53 UDP порта
Теперь мы будем исследовать 53 UDP порт. Обратите внимание на синтаксис вызова hping, а также на его вывод:
monkeylabs:/home/don # hping -2 192.168.1.108 -p 53 -c 1
HPING 192.168.1.108 (eth0 192.168.1.108): udp mode set, 28 headers + 0 data bytes
--- 192.168.1.108 hping statistic ---
1 packets transmitted, 0 packets received, 100% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms
monkeylabs:/home/don #
Только что мы отослали пакет на 53 UDP порт, что посмотреть, заблокирует ли его брандмауэр. Как мы можем видеть из вывода hping и информации от брандмауэра ниже, пакет был заблокирован, т.к. 53 UDP порт закрыт.
Mar 2 10:24:30 linux kernel: SuSE-FW-DROP-DEFAULT IN=eth0 OUT=
MAC=00:50:da:c5:9d:8b:00:0c:6e:8c:d4:61:08:00 SRC=192.168.1.100
DST=192.168.1.108 LEN=28 TOS=0x10 PREC=0x00 TTL=64 ID=47873
PROTO=UDP SPT=2180 DPT=53 LEN=8
Это пакет, который был получен на тестируемом компьютере:
/home/don # tcpdump -nXvs 0 udp and host 192.168.1.108 and 192.168.1.100 tcpdump: listening on eth0
10:24:30.172588 192.168.1.100.2180 > 192.168.1.108.53: [udp sum ok] 0 [0q]
(0) [tos 0x10] (ttl 64, id 47873, len 28)
0x0000 4510 001c bb01 0000 4011 3b9f c0a8 0164 E.......*.;....d
0x0010 c0a8 016c 0884 0035 0008 7304 0000 0000 ...l...5..s.....
0x0020 0000 0000 0000 0000 0000 0000 0000 .............
Это пакет, который был отправлен с компьютера, который мы используем для проверки защищенности брандмауэра:
monkeylabs:/home/don # tcpdump -nXvs 0 udp and host 192.168.1.100 and 192.168.1.108
tcpdump: listening on eth0
10:25:19.887529 192.168.1.100.2180 > 192.168.1.108.53: [udp sum ok] [|domain]
[tos 0x10] (ttl 64, id 47873, len 28)
0x0000 4510 001c bb01 0000 4011 3b9f c0a8 0164 E.......*.;....d
0x0010 c0a8 016c 0884 0035 0008 7304 ...l...5..s.
Нормальным поведением, в случае, когда UDP пакет отправлен на не прослушиваемый порт, является отправка ICMP сообщения о том, что порт недоступен. В нашем случае этого не происходит, потому что на тестируемом компьютере в конфигурации iptables установлена "тихая" блокировка этого типа пакетов (т.е. без отправки соответствующего ICMP сообщения об ошибке).
Как вы видите, пакетное тестирование это отличный способ проверки конфигурации вашего брандмауэра. Особенно для сложных и запутанных конфигураций, какой, к примеру, может стать набор правил IPTables.
В заключение первой части
Мы рассмотрели два примера исследования вашего брандмауэра с использованием hping и tcpdump. В следующий раз, во второй части этой серии статей мы рассмотрим другой пример тестирования брандмауэра, а затем начнем тестирование IDS Snort, используя методы описанные здесь. Будьте защищенными."
вот в Norton Firewall удобно сделано, самому настраивать ничего не надо. Там сама фирма (производитель файрвола) все настройки делает. Да еще они их раз в пару дней обновляют. Очень удобно, самому не надо всякие порты да правила выставлять.
Очень хорошо реализованы первоначальные настройки в Agnitum Outpost Firewall в режиме обучения
ты сам выбираешь каким приложениям разрешить работать, а каким нет, что принимать и разрешать а что не стоит. Очень просто все.Есть детектор атак и возможность блокировать атакующего на определенное время. Так же автоматическое блокирование DoS атаки.
Главное по сравнению с Нортоном намного меньше ресурсов хавает.
http://www.pcinternetpatrol.com/page/view/49
тест хороший для файрволов
Ваши права
Ответить с цитированием
Думаю в поиске Гугле легко можно найти. 