Teil von  SELFPHP
  +++ SELFPHP CronJob-Service :: Jetzt auch als Professional-Version verfügbar! +++



:: Anbieterverzeichnis ::

Globale Branchen

Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP  

 

:: SELFPHP Forum ::

Fragen rund um die Themen PHP? In über 120.000 Beiträgen finden Sie sicher die passende Antwort!  

 

:: Newsletter ::

Abonnieren Sie hier den kostenlosen SELFPHP Newsletter!

Vorname: 
Name:
E-Mail:
 
 

:: Qozido ::

Die Bilderverwaltung mit Logbuch für Taucher und Schnorchler.   

 
 
Wissenswertes über Spam


Internet Security / Wissenswertes über Spam / Spam Evolution

Die Spam-Evolution

Wie alles begann!

Der Spam-Versand (unerwünschte E-Mail-Korrespondenz) beginnt seine Geschichte in der Mitte der 90-er Jahre des vergangenen Jahrhunderts, als die Zahl der Internet-Nutzer anstieg und für die Werbebranche interessant wurde. Bereits 1997 war die Rede von einem regelrechten 'Spam-Problem'. Noch im selben Jahr erschien die erste schwarze Liste der IP-Adressen der Spam-'Maschinen' (RBL, Real-Time Black List).

Die rasante Entwicklung der Versand-Methoden von Spam ist ersichtlich anhand der Entwicklung der entsprechenden Spam-Filter. Sobald eine neue Methode des Spam-Versands erschien, wurden effektive Kampfmittel gegen sie gefunden, so dass die Spammer ihre Technologien immer wieder ändern mussten. Je größer das Spam-Problem wurde, umso aktiver wurde nach Antimethoden gesucht, umso schneller änderten jedoch auch die Spammer ihre Technologien - und das Geschäft wächst, und wächst und erlaubt es, immer größere Summen in die Entwicklung der Spam-Technologien zu investieren.

Nachfolgend sind die wesentlichsten Etappen der Entwicklung der Spam- und Antispam-Technologien beschrieben:

Die Entwicklung der Spam-Techniken

Direkter Versand

Spam begann seine Geschichte mit dem direkten Versand - die Spammer verschickten Mitteilungen in eigenem Namen von den eigenen Mailservern. Diese Art Spam ist ziemlich leicht zu blockieren (da die Adressen der Mailserver oder Absender bekannt sind). Da diese Blockierungen sich schnell verbreiteten, waren die Spammer dazu gezwungen, die Absender-Adressen und verschiedene technische Informationen zu fälschen.

Versand über 'offene Relais'

Ein offenes Relais (open relay) ist ein Mailserver, der es einem beliebigen Nutzer erlaubt, beliebige E-Mails an eine beliebige Adresse zu versenden. In der Mitte der 90-er waren alle Mailserver offene Relais. Aufgrund dieser Tatsache musste in der ganzen Welt die Programmversorgung für alle Mailserver verändert bzw. neu eingestellt werden. Nicht alle Administratoren taten dies ausreichend schnell. So entstand ein Service zur Suche der 'offenen Relais', der Listen (darunter auch der auf DNS-Technologie begründeten RBL - Listen (realtime blackhole list) und der Blockierung des E-Mail-Empfangs von diesen Maschinen. Bis zum heutigen Tage wird diese Versand-Methode angewandt, da 'offene Relais' noch immer existieren.

Versand über Modem-Pools

Nachdem der Versand über offene Relais uneffektiv wurde, bedienten sich die Spammer des Versands über dialup-Anschlüsse, und nutzten die folgenden Möglichkeiten:

  • in der Regel empfängt der Mail-Server des Providers die Post seiner Klienten und schickt sie weiter;
  • der dialup-Anschluss erhält somit eine dynamische IP-Adresse (die nach jeder neuen Verbindung unterschiedlich ist), und so kann ein Spammer wiederum die Post an eine Menge verschiedener Adressen schicken.

Als Antwort darauf führten die Provider ein Limit auf die Anzahl der Briefe ein, die von einem Anwender aus abgeschickt werden konnten, es erschienen Listen der dialup-Anschlüsse und die Blockierung des Postempfangs von 'fremden' Modem-Pools.

Versand über Proxy-Server

Zu Beginn des 21. Jahrhunderts, zeitgleich mit der Verbreitung der Hochgeschwindigkeits-Anschlüsse (ADSL, Cable), begannen die Spammer die Ausrüstungs-Probleme der Klienten auszunutzen. Viele ADSL-Modeme hatten einen eingebauten 'socks-server' oder http-proxy (beides sind Programmzusätze, die eine Nutzung eines Internet-Kanals durch viele Computer ermöglichen), wobei ein Zugang von der ganzen Welt aus ohne Kennwort und Kontrolle des Zugangs möglich war (um die Einrichtung dem Endnutzer zu erleichtern). Auf diese Art und Weise konnte man von der IP-Adresse des ADSL-Anwenders aus eine beliebige Aktion durchführen (unter anderem den Versand von Spam). Da es weltweit Millionen Anwender dieser Internet-Anschlüsse gab, hatten die Spammer ein großes Spielfeld und die Hardware-Produzenten begannen mit der Sicherung ihrer Technik.

Zombie oder bot networks

Gegenwärtig wird der Versand hauptsächlich von den Anwender-PC's aus durchgeführt, auf denen durch verschiedene Methoden die 'Trojaner'-Programme installiert wurden. Diese ermöglichen Spammern und anderen Übeltätern den Zugang und die Kontrolle der Anwender-Computer ohne das Wissen der Anwender. Zum Eindringen in die Anwender-Maschinen werden folgende Methoden angewandt:

  • Trojaner-Programme, die gemeinsam mit schwarz kopierter Software über Dateiaustausch-Netze wie Kazaa, eDonkey u.ä. verbreitet werden;
  • Nutzung der Sicherheits-Probleme der verschiedenen Windows-Versionen und der verbreiteten Programme (insbesondere MSIE und MS Outlook);
  • E-Mail-Viren der letzten Generation.

Ganz vorsichtig ausgedrückt, sind auf Millionen Computern weltweit Trojaner-Programme eingerichtet. Bis zum heutigen Tage sind diese Programme ziemlich schlau - sie können ihre Versionen aktualisieren, neue Durchführungs-Anweisungen von speziell dafür zuvor vorbereiteten Webseiten oder IRC-Kanälen erhalten, Spam versenden, DDOS-Attacken durchführen uvm.

Die Evolution der Brief-Inhalte

Das Erscheinen der Erkennungsmittel von Spam, die auf der Inhalts-Analyse des Briefes beruhen, führte zur Evolution der Inhalte der Spammer-Briefe - sie werden derartig geschrieben, dass eine automatische Analyse nur schwerlich möglich ist. Wie mit den Veränderungen der Versandmethoden, müssen die Spammer wiederum mit den Antispam-Methoden kämpfen.

Einfache Text- und html- Briefe

Die ersten Spam-Nachrichten ware alle einheitlich - alle Empfänger erhielten ein und denselben Text. Diese Nachrichten konnten trivial gefiltert werden, so z. Bsp. nach der Häufigkeit der Wiederholung desselben Briefes.

Personalisierte Nachrichten

Ein nächster Schritt war die Ergänzung eines Grußes, welcher auf der E-Mail-Adresse des Empfängers basierte (z. Bsp. Hello,joe!- am Briefanfang entsprach joe@user.com). So unterschieden sich die Nachrichten voneinander. Für ihre Filterung war es nun erforderlich, eine sich nicht verändernde Zeile zu finden und diese in die Liste der Filter-Regeln einzutragen. Als weitere Kampfmethoden wurden ungenaue Signaturen vorgeschlagen, die selbst kleine Text-Änderungen erkennen, sowie auf Statistik basierende selbstmodifizierte Filtertechnologien wie der Baysian-Filter.

Einfügen zufälliger Texte, 'Geräusche', unsichtbarer Texte

An den Anfang oder das Ende der Briefes kann der Spammer einen Abschnitt aus einem klassischen Text oder eine zufällige Wortverbindung setzen. In eine html-Nachricht kann man einen 'unsichtbaren' Text einfügen (mit sehr kleiner Schrift, oder mit der Hintergrundfarbe übereinstimmend). Diese Ergänzungen erschweren die Arbeit der ungenauen Signaturen und die statistischen Methoden. Als Antwortmaßnahme erschien die Zitaten-Suche, die viele Textergänzungen ausfindig macht, weiterhin eine detaillierte html-Analyse und verschiedene andere Tiefenanalysen des Briefinhalts.

Grafische Briefe

Eine Werbe-Nachricht kann dem Anwender als Grafik-Datei geschickt werden - das erschwert die automatische Analyse erheblich. Als Gegenmaßnahme entstehen verschiedene Methoden zur Analyse der Abbildungen, die den in ihnen enthaltenen Text ausfindig machen.

Dynamische Texte

Ein und dieselbe Werbe-Mitteilung wird in vielen verschiedenen Varianten ein und desselben Textes erstellt. Jeder einzelne Brief sieht wie ein gewöhnlicher zusammenhängender Text aus, und nur wenn man viele Kopien dieser Mitteilung hat, kann man erkennen, dass es nur ein Textumbau ist. So kann man demnach die Filter erst dann effektiv einstellen, wenn bereits ein wesentlicher Teil des Spam-Versands erfolgt ist.

Zusammenfassung

Die zuletzt erwähnten drei Methoden finden heutzutage eine breite Anwendung - längst nicht alle Anti-Spam-Methoden können gegen sie normal ankommen, was es ermöglicht, Spam denjenigen Nutzern zuzusenden, die nicht die modernsten Filtermethoden anwenden.

Copyright © 1996 - 2009
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

 
 




:: Premium-Partner ::

Webhosting/Serverlösungen


Premium-Partner MECO Systemhaus GmbH & Co. KG
Premium-Partner PSW GROUP GmbH & Co. KG
Premium-Partner BPI-Systeme
Premium-Partner Pixel X
Premium-Partner
 

:: SELFPHP Sponsoren ::


Microsoft Deutschland GmbH
twosteps.net - ...Premium-Webhosting
Sedo - Bei uns wird PHP großgeschrieben
hostfactory.ch - OptimaNet Schweiz AG
ZEND - The PHP Company
Kaspersky Labs
HighText iBusiness
SELFPHP Sponsoren
 

Qozido


© 2001-2009 E-Mail SELFPHP OHG, info@selfphp.deImpressumKontakt