Yahoo! len pred krátkym časom zaviedlo nový systém ochrany svojich užívateľov pred spamom a phishingom nazývaný DKIM, ktorý digitálne podpisuje emailové správy, aby bolo možné overiť ich pravosť. Práve túto vymoženosť začali spameri masívne zneužívať, ich úspešnosť rapídne zrástla.
Väčšina ľudí používa webové rozhranie na prácu s Yahoo! mail, ktorý však pridáva zakaždým reklamný banner do každej správy. Yahoo!, taktiež ako väčšina ďalších free emailov, poskytuje službu, ktorá umožňuje využívať SMTP pre zasielanie správ z bežných emailových klientov, ako Outlook Express, Thunderbird, či The Bat. Služba sa nazýva Yahoo! Plus a je platená. Každý email poslaný cez SMTP protokol je rovnako, ako ten poslaný cez webového rozhranie, podpísaný digitálnym podpisom (DKIM). Vďaka tomu je správa považovaná za dôveryhodnú a prechádza cez drvivú väčšinu spamových filtrov.
Spoločnosť MessageLabs objavila trojan, ktorý patril do siete nemenovaného botnetu a ktorý automaticky rozosielal podpísané správy cez rozhranie Yahoo! Plus napriek tomu, že ho nemal aktivované. Autentifikačné údaje z bežného Yahoo! účtu fungujú totižto aj na službu Yahoo! Plus, ktorá si neoveruje aktiváciu tejto služby. Yahoo! sa bráni, podľa ich vyhlásenia je tento stav navrhnutý zámerne tak, aby zvyšoval pohodlie užívateľov Yahoo! Mail a nie bezpečnostná chyba, ako ju prezentuje spoločnosť MessageLabs.
Spoločnosť MessageLabs však v Apríli tohto roku zaznamenala až 1,127 unikátnych kont, ktoré distribuovali spam až 28 dní bez prestávky. Každý deň je vytvorených približne 40 nových kont, ktoré nie sú zdielané medzi infikovanými počítačmi. Všetky emaily sú rozosielané z *@yahoo.co.uk.
Yahoo! captcha bola úspešne prelomená tímom výskumníkov pochádzajúcich z Ruska, no Yahoo! pozmenilo svoj systém generovania captcha ochranných obrázkov. Je preto veľmi pravdepodobné, že sa hackerom podarilo opätovne prelomiť captcha systém Yahoo!.
Viac si môžete prečítať v oficiálnom vyhlásení spoločnosti MessageLabs (pdf).
DKIM je ochrana len pred phishingom - sprava sa nemoze tvarit ze prisla priamo od paypalu. Tieto ostatne problemy DKIM neriesi, a ani nemoze riesit.
Problem je skor CAPTCHA, pocitace pokrocilo rozpoznavaju aj tie texty s ktorymi maju problem bezny uzivatelia. Bolo by na case aby sa CAPTCHA zahodila, len uz aby bola na svete slusna a uzivatelsky privetiva alternativa
ake ostatne problemy? aku alternativu ku captche by si chcel dat? to by ma celkom zaujimalo. vdaka dkim je jasne, ze sa jedna o email poslany z yahoo, ziska vyssiu doveryhodnost a ovela castejsie prejde do mailovej schranky. je to samozrejme dane hlavne autoritou yahoo, ale dkim tomu napomaha.
zaujima ma ta alternative ku captche. je to momentalne jediny sposob, ktory je technicky mozny a ktory je mozne pouzit vo vsetkych verziach pre vsetkych ludi v kombinacii s audio captchou. smola je, ze nepouzivaju spolocnosti projekt recaptcha, ktory vykazuje 99.9% odfiltrovanych pokusov a zatial nebol uspesne prelomeny
myslim na nieco ine ako textove rozpoznavanie: obrazky (jednoduchy where is waldo ;)), matematicke operacie (kolko je 4 krat 4).
audio captche sa pomerne lahko prelamuju, rovnako ine ako ine ako textove riesenia. Keby gmail/yahoo/msn adoptoval recaptchu, netrvalo by dlho pokym by bola prelomena, rusi su snazivy ked ide o velke freemailove ryby.
Bohuzial, vsetko (captcha a primitvne experimentalne riesenia) sa dostava do stadia ked to viac obmedzuje beznych pouzivatelov ako utocnikov/zneuzivatelov.
Ja osobne by som zrusil vsetky captchoidne riesenia riesenim u poskytovatelov. Pri komentaroch riesenie uz existuje (napr. akismet), pri freemailovych schrankach by stacilo pocitanie odoslanych sprav s pripadnym stopnutim sluzieb pokym sa nekontaktuje poskytovatel. Keby sa velmi chcelo tak by sa to dalo takmer vsade.
Ad ostatne problemy: DKIM sluzi na to, aby sa mail netvaril ze ide od ineho zdroja, obsah mailu to nijako necheckuje a ani nemoze. Takze ostatne problemy ako spam, virusy, trojany a dalsiu haved v prilohach, nigerijske listy alebo iny social engineering bez spoofovania adresy odosielatela to neriesi (vsetko co sa nemusi tvarit ze prichadza z inej adresy, hlavne ze spravu dorucilo).
ja viem ze sa audio captcha lahko prelamuje, ale je to jediny aplikovatelny sposob na vsetkych ludi.
keby adoptovali recaptchu, tak sa nic nestane, pretoze recaptchu pouziva napr facebook, kde sa spameri snazia dostat uz dlho, ale uplne bezuspesne (teda uspesne, ale robia to rucne najati pracovnici)
to co si vymyslel na email je hlupost. nemozes pocitat pocet odoslanych sprav. su spolocnosti, ktore vyuzivaju napr gmail ako sendera, posielaju tisicky mailov denne. je mnoho ludi, ktori pisu vela znamym, su obdobia, ked sa posielaju maily v masivnych mnozstvach atd. ano, captcha obmedzuje, no to je vlastne princip kazdeho bezpecnostneho obmedzenia. login a heslo obmedzuje, grid karta k uctu obmedzuje atd. kazde bezpecnostne zabezpecenie vyzadujuce interakciu od uzivatela obmedzuje, je to bezna vec a zaklad kazdeho bezpecnostneho opatrenia.
pri komentaroch riesenie ako akismet existuje, no nedavno som hovoril s nejakymi ludmi, ktorych necita 300 ludi, ale niekolko stoviek tisic az milionov, tam by som chcel vidiet akismet v praxi
co sa tyka dkim: viem velmi dobre na co sluzi, tym ze vsak ide o urciteho zdroja, sa mu zdvihne doveryhodnost. obsah mailu sa sice aj nadalej filtruje, ale system uz vie, ze sa jedna o doveryhodny email a nema dovod casto filter zapnut. len si pozri nejake podmienky pri filtroch. staci si to hlavne vyskusat. posli z gmail pol miliona mailov a uvidis, kolko z nich skonci v spame. ani jediny. dkim je u yahoo obrovska vyhoda pre spamera. bola na to krasna studia od google, ak ju najdem, ukazem. riesili prave tento problem, ze ak sa spamer dostane ku takemuto kontu s podporou dkim, je viac nez iste, ze bude spam uspesne doruceny, pretoze len malo systemov potom spusta filtre. ked ich aj spusti, len tazko nieco odhali, na to uz su spameri dost vychytrali.
no ak chces vidiet akismet v praxi u velkeho blogu tak staci ist na techcrunch:
http://www.techcrunch.com/2007/01/04/thank-you-akismet/
S tymi filtrami mas pravdu, slepa dovera v DKIMovu spasu sa neoplaca
Ale, s tou captchou pri freemailoch nemozem suhlasit, jednorazova kontrola bude vzdy lahsie prelomitelna ako dlhodobejsia analyza podozriveho spravania a nejaka akcia.
ja som s akismetom narazal prave na techcrunch
ono, keby si videl aky load robi tc, inak by si rozpraval. wp je velice zle napisany a akismet tomu nijako nepridava.
kazdopadne, suhlasim, dlhodobejsia analyza spravania je vyborny krok. hlavne na serveroch ako gmail, kde denne odide par miliard sprav. spytaj sa Matta Cuttsa, ktory je sefom spam sekcie googlu, ako sa podobne veci riesia “lahko”. jedna vec je teoria, ktoru mas v hlave a ktoru si vies predstavit, druha prax. ano, dlhodobo nieco analyzovat je vyborne, zaobera sa tym velke mnostvo spolocnosti, no je to taktiez brutalne zlozite a nakladne. captcha je zatial jedine mozne riesenie. ak vymyslis lepsie, sem s nim
Nepisal som nikde ze je to lahke alebo nenarocne riesenie, co som pisal je ze keby sa chcelo dalo by sa to takmer vsade.
“Da sa” nie je to iste ako “je to lahke” s cim asi suhlasis
to je pravda. no vacsina ludi musi zit v realnom svete, preto “da sa” nie je ekvivalent k “aplikovatelne”. proste, dnes je to tak, mozno to bude casom inak. nad odstranenim captche sa uvazuje roky, lenze nic lepsie ako obrazky nik nevymyslel. s tym clovek neurobi proste nic