Poniżej zamieszczamy historię firmy, która wypowiedziała walkę spamerom – i kilka dni temu musiała wywiesić białą flagę. Ten sam tekst można też znaleźć na blogu autora poświęconym tematom okołospamowym. Zapraszamy do lektury.
W 2004 roku Eran Reshef i Amir Hirsch z Izraela założyli firmę Blue Security. W 2005 roku firma wydała na świat swoje dziecko, czyli program Blue Frog. Jednocześnie uzyskała spore fundusze inwestycyjne, 3 mln USD od Benchmark Capital.

Program Blue Frog i cały system oferowany przez Blue Security różnił się znacznie od wszystkich dotychczasowych metod walki ze spamem. Większość metod bowiem skupia się na filtrowaniu spamu. Blue Frog umożliwiał osobom otrzymującym spam skuteczne poinformowanie nadawcy o tym, że spamu otrzymywać nie chcą. W uproszczeniu, system Blue Frog działał w następujący sposób:

  • Osoba dołączająca do systemu podawała swoje adresy e-mail, które zostały umieszczane w bazie Blue Security (zwanej Do Not Intrude Registry, w skrócie DNIR).
  • Baza była dostępna publicznie w formie skrótów kryptograficznych, co w praktyce oznacza że każdy mógł sprawdzić, czy wskazany adres e-mail znajduje się w bazie, ale nikt nie mógł pobrać żadnego adresu z bazy.
  • Uczestnik systemu mógł zgłaszać do Blue Security każdy otrzymany spam. Mógł to robić wysyłając spam jako załącznik pod specjalny adres w domenie Blue Security, a także użyć do tego celu wtyczek do przeglądarek (obsługujących wybrane webmaile) i programów pocztowych (Mozilla Thunderbird).
  • Pracownicy Blue Security analizowali otrzymywany spam. Spam zawierający oszustwa był przekazywany stosownym służbom bezpieczeństwa. Spam zawierający reklamy oprogramowania był przekazywany producentom tego oprogramowania (aby nie dostarczali swoich produktów do spamerów). Blue Security wykonywało za użytkownika dużą część pracy związaną ze zgłaszaniem spamu.
  • Jeśli w spamie reklamowana była strona WWW. Blue Security najpierw kontaktowało się z właścicielem reklamowanej strony i w imieniu użytkowników żądało usunięcia adresów e-mailowych w DNIR z list wysyłkowych używanych przez spamerów. Spamerzy mogli to zrobić za darmo, za pomocą specjalnego programu, sprawdzając czy posiadane adresy znajdują się w bazie Blue Security.
  • Jeśli spamer nie odpowiadał na żądania, Blue Security przygotowywało skrypty umożliwiające automatyczne zgłoszenie swojego niezadowolenia na stronie spamera przez wszystkich użytkowników (za pośrednictwem programu Blue Frog). Skrypty automatyzowały proces wypełniania formularzy kontaktowych lub pozwalały w praktycznie dowolny inny sposób poinformować właściciela reklamowanej strony o niezadowoleniu odbiorców spamu.
  • Po przygotowaniu, skrypty były automatycznie pobierane przez program Blue Frog i uruchamiane. Jeśli użytkownik systemu zgłosił spam z reklamowaną stroną, jego Blue Frog pobierał skrypt a następnie używał go, przekazując spamerowi zgłoszenie o niezadowoleniu (potencjalnie od 500 tys. użytkowników). Nie był to jednak (jak sugerowali przeciwnicy systemu Blue Security) atak DDoS, ponieważ zgłoszenia o niezadowoleniu wysyłały tylko osoby, które wcześniej otrzymały spam reklamujący stronę i przekazywane było jedno zgłoszenie na użytkownika (a każdy użytkownik ma prawo do przekazania takich informacji prawdziwemu nadawcy). Blue Security jedynie ten proces upraszczało (z punktu widzenia użytkownika) i automatyzowało.

Znakomity i szczegółowy opis działania systemu w języku angielskim można przeczytać na stronie Marcusa Ranuma.

System, który naprawdę działał

Jak można się domyśleć, Blue Security znacznie utrudniało spamerom prowadzenie działalności. Po wysłaniu spamu reklamującego stronę, spamer mógł się spodziewać, że w przeciągu kilku dni z jego serwerem połączy się kilkaset tysięcy komputerów z całego świata, a każdy z nich przekaże niezadowolenie użytkownika np. w formie listu wysłanego przez formularz kontaktowy. Część spamerów (wg raportów Blue Security) zdecydowała się usunąć ze swoich list adresy znajdujące się w DNIR. Użytkownicy Blue Frog odczuli więc zmniejszenie natłoku otrzymywanego spamu.

Niektórzy spamerzy nie zamierzali jednak posłuchać próśb odbiorców. Zaczęto stosować formularze z CAPTCHA (czyli graficznym elementem wymagającym przepisania wyświetlonych liter lub cyfr) i szukać innych metod na ominięcie działania programu Blue Frog. Wśród spamerów znaleźli się jednak tacy, których firma i system naprawdę zdenerwowały. Postanowili więc użyć metod kryminalnych, by pozbyć się podmiotu przeszkadzającego w prowadzeniu niemoralnej i często nielegalnej działalności.

Atak na błękitną żabę

Pierwszego maja wielu uczestników systemu Blue Security otrzymało list, informujący że baza adresów Blue Security została wykradziona i grożący użytkownikom programu Blue Frog, że jesli nie przestaną korzystać z tej aplikacji, zaczną otrzymywać ogromne ilości spamu. List był jednocześnie tzw. joe-jobem, czyli przy jego rozsyłaniu sfałszowano adresy nadawcy wskazując na innych użytkowników Blue Frog. W liście były też przesłanki rasistowskie oraz sugestie, że program Blue Frog wykazuje cechy wirusa/spyware. W rzeczywistości DNIR nie zostało wykradzione. Spamer odpowiedzialny za wysyłkę po prostu użył własnej bazy adresowej, z której usunął za pomocą programu udostępnionego przez Blue Security wszystkie adresy uczestników systemu, a następnie porównał bazę źródłową z wynikową, w ten sposób uzyskując adresy usunięte (czyli obecne w DNIR).

Jednocześnie rozpoczął się atak na samą firmę Blue Security. Na pierwszym jego etapie strona Blue Security stała się niedostępna spoza Izraela. Wg raportów Blue Security, spamer użył techniki blackhole filtering, dogadując się z administratorem jednego z operatorów największych ogólnoświatowych węzłów internetowych. Oznaczało to w praktyce, że wszystkie dane wysyłane do domen Blue Security i przechodzące przez ten węzeł nie trafiały do celu (były wysyłane „w kosmos”).

W następnych etapach ataku, spamer rozsyłał ogromną liczbę listów szkalujących Blue Security, zawierających ich reklamy (sugerując w ten sposób, że Blue Security samo spamuje), grożących użytkownikom itp. Większość z nich była wysyłana w postaci joe-jobów, czyli ze sfałszowanymi adresami nadawców, należącymi do uczestników systemu Blue Security. Jednocześnie rozpoczęto zmasowany atak DDoS na serwery Blue Security, czyli wykorzystano tysiące jeśli nie miliony zainfekowanych wirusami komputerów na całym świecie, które przesyłały do serwerów Blue Security ogromne ilości danych, w ten sposób uniemożliwiając normalnym użytkownikom korzystanie z nich.

Przed rozpoczęciem ataków DDoS na główną stronę firmy, Blue Security (ze względu na wcześniejszy atak blackhole filtering) przekierowało domenę swojej strony głównej (www.bluesecurity.com) na darmowy blog, na którym poinformowało użytkowników o zaistniałej sytuacji (atakach). Niestety, niedługo potem spamer zaatakował tę domenę, co spowodowało że niewinną ofiarą stał się jeden z największych na świecie systemów darmowych blogów. Spowodowało to ogromną falę żalu do Blue Security, które wg oficjalnych informacji firmy nie spodziewało się zmasowanego ataku DDoS i nie było świadome, że przekierowanie domeny może mieć takie konsekwencje. Inną przypadkową ofiarą ataku była też firma Tucows, która utrzymywała adresy domenowe Blue Security.

Blue Security zdecydowało się walczyć z atakującym ich spamerem, przenosząc cały serwis do firmy Prolexic, specjalizującej się w ochronie przed atakami DDoS. W uproszczeniu, system Prolexic to kilka potężnych serwerów na całym świecie, które przechwytują ataki (dysponując odpowiednimi zasobami), a właściwe wywołania przekierowują na serwer atakowanej firmy (bardzo ciekawą
historię powstania firmy Prolexic można przeczytać w języku angielskim w tym artykule). Po przeniesieniu, przez kilka dni system nie funkcjonował jeszcze poprawnie. Były problemy ze zgłaszaniem spamu, nie działały pewne funkcje, a Blue Frog nie pobierał nowych skryptów.

Smutny koniec

Dnia 17 maja domena Blue Security przestała całkowicie funkcjonować. Blue Frog nie mógł połączyć się z macierzystym serwerem. Dopiero po kilku godzinach, z artykułu w Wired można było się dowiedzieć, że Blue Security zdecydowało się zawiesić działalność. Oficjalny powód podany przez Erana Reshefa to chęć oszczędzenia eskalacji działań spamerów, z powodu których szkody ponoszą niewinne podmioty. Czy jednak aby na pewno to było powodem wycofania się firmy z biznesu?

Co ciekawe, w tym samym dniu nie działała również witryna firmy Prolexic. Można więc przypuszczać, że ataki spamerów okazały się na tyle skuteczne, że firma specjalizująca się w ochronie przed atakami DDoS nie była w stanie się obronić przed zastosowanymi przez kryminalistów technikami. Najprawdopodobniej Blue Security wywiesiło białą flagę dlatego, że nie było w stanie zapewnić swoim usługom takiego mechanizmu działania, który byłby odporny na ataki przeprowadzanie przez spamerów. Obecnie, jak twierdzi Reshef, firma poszukuje nowych zastosowań (niezwiązanych z walką ze spamem) swojej technologii. A wszyscy użytkownicy programu Blue Frog mogą już go odinstalować i zapomnieć, bo wszystko wskazuje na to, że Blue Security w dotychczasowej formie nie wróci.

Jakie były prawdziwe powody zamknięcia Blue Security najprawdopodobniej nigdy się nie dowiemy. Można wysnuwać na ten temat różne hipotezy. Być może spamerzy posunęli się do grożenia osobiście twórcom systemu, nękania ich lub ich rodzin? Być może spamerzy zapłacili twórcom systemu ogromne pieniądze za to, by przestano zwalczać ich działalność? Powodów może być bardzo wiele, ale z całej tej sytuacji można wyciągnąć kilka przerażających wniosków:

  • Internet w chwili obecnej działa niezgodnie z pierwotnymi założeniami tej sieci, która miała być odporna na awarię każdego węzła (redundantna). Dowolny system w Internecie można całkowicie odciąć od większości świata. I może to zrobić byle kryminalista, który ma „odpowiednie wejścia” — tak jak spamer, który zaatakował Blue Security.
  • Spamerzy są bliżej niż myślimy powiązani ze środowiskami terrorystycznymi i kryminalnymi. Są też o wiele silniejsi niż nam się wydaje. Tym bardziej należy więc w aktywny sposób zwalczać ich działalność, a nie po prostu godzić się na odfiltrowywanie niechcianej poczty.

Co dalej

Atak na Blue Security spowodował ogromne zainteresowanie mediów, podobnie jak fakt zamknięcia firmy. Jednego możemy być pewni. Spamerzy tym atakiem pokazali, że taka metoda walki z nimi jest skuteczna, ponieważ nigdy dotąd nie było przypadku tak zmasowanego ataku na żaden system antyspamowy. To zaś wskazuje, że Blue Security naprawdę szkodziło spamerom i utrudniało im prowadzenie działalności. Można więc sądzić, że śmierć błękitnej żaby to dopiero początek i że niedługo doczekamy się następnych systemów działających w podobny sposób, czyli umożliwiających użytkownikom zgłaszanie niezadowolenia firmom, których witryny są promowane w spamie.

Kto jednak mógłby podjąć się utrzymania takiego systemu i nie ulec atakom spamerów? W praktyce na myśl przychodzą dwa rozwiązania. Pierwszym byłoby stworzenie analogicznego systemu przez jednego z największych graczy na rynku internetowym i komputerowym. Z pewnością Google, Microsoft, Yahoo! czy AOL byłyby w stanie znaleźć metody obrony przed atakami rozwścieczonych spamerów. Jednak czy takie firmy zechcą angażować się w działalność uznawaną za kontrowersyjną (a przez niektórych za nielegalną i porównywaną z atakami DDoS)? Miejmy nadzieję, że w tym przypadku tak.

Drugim wyjściem jest wykorzystanie w analogicznym rozwiązaniu technik peer-to-peer. Jednak przy zastosowaniu tych technik pozostaje kilka poważnych problemów do rozwiązania. Po pierwsze, kwestia zaufania. W przypadku Blue Security to pracownicy firmy analizowali spam i przygotowywali skrypty. Aby nie narazić się na ataki spamerów, twórca skryptów musiałby być anonimowy i nikomu nieznany. W takim zaś przypadku jaką mielibyśmy gwarancje, że skrypty nie przeprowadzają ataków na niewinne strony, czy też nie kradną danych z naszych komputerów? Poza tym, peer-to-peer możnaby wykorzystać do dystrybucji skryptów czy też bazy adresowej. Musiałby jednak istnieć punkt centralny, do którego zgłaszane byłyby otrzymywane e-maile będące spamem. Jak widać, sprawa wcale nie jest taka prosta, jak może się wydawać.

Możemy jednak być pewni, że prędzej czy później dostaniemy do ręki narzędzie, które będzie równie efektywne, a może nawet lepsze niż Blue Frog. Na razie pozostaje nam czekać i oddać milczący hołd Eranowi i Amirowi za to, co zrobili dla środowisk walczących ze spamem.
Archiwalny news dodany przez użytkownika: tonid.
Kliknij tutaj by zobaczyć archiwalne komentarze.

Oznaczone jako → 
Share →