|
|
|
 |
 |
|
| |
Notiziario Marketpress di
Mercoledì 12 Luglio 2006 |
|
| |
|
|
| |
SECONDO UNO STUDIO IRONPORT CRESCONO I VOLUMI DI MESSAGGI INDESIDERATI E CAMBIANO FORMA: IMAGE-BASED SPAM
|
|
| |
|
|
| |
Milano, 12 luglio 2006 - Ironport Systems Inc. , fornitore di soluzioni di sicurezza a livello di gateway, ha pubblicato una nuova indagine dalla quale emerge la comparsa dell’image-spam, una tecnica avanzata adottata dagli spammer per evitare l´identificazione dei loro messaggi. L’image-spam è in grado di eludere le tradizionali tecniche di scansione del contenuto o della signatura in quanto contiene una minima parte di testo da analizzare, ma include, invece, un file in formato . Gif o . Jpeg. L’immagine allegata include il messaggio spam sotto forma di testo e grafica, paragonabile ad un file Html, rendendo estremamente difficile il riconoscimento del testo da parte delle appliance per la sicurezza. L’image-spam ha attraversato una fase di crescita esplosiva, passando da meno dell´1% di tutta la posta indesiderata nel giugno 2005 a oltre il 12% nel giugno 2006. Questa percentuale equivale a oltre 5 miliardi di image-spam inviato quoridianamente, il 78% del quale riesce a superare i filtri anti-spam di prima e seconda generazione. Lo studio è stato condotto sui dati raccolti dalla rete Senderbase, che rappresenta oltre il 25% di tutto il traffico e-mail mondiale, e sui dati forniti da oltre 100. 000 tra Isp, università e aziende di ogni parte del mondo. "Attraverso l´analisi di miliardi di messaggi di posta elettronica, Ironport è in grado di identificare qualunque anomalia", ha affermato Tom Gillis, Senior Vice President, Worldwide Marketing di Ironport. "Gli spammer hanno iniziato a utilizzare tecniche molto sofisticate che prevedono a ogni attacco una lievissima variazione dell´immagine, modifica che risulta impercettibile agli occhi degli utenti finali, oltre che totalmente invisibile ai filtri basati sul riconoscimento della signatura. Di conseguenza, un attacco di spam image prevede l´invio di miliardi di messaggi identici nella sostanza ma diversi nella pratica". Le tecnologie anti-spam tradizionali effettuano l´analisi delle parole contenute nei messaggi e, tramite complicate tecniche di classificazione, stabiliscono se si tratta di spam o meno. Ad esempio, se un messaggio contiene i termini "Viagra", "erboristico" e "gratuito", è probabile che si tratti di spam. Il problema insito in questo approccio è che risulta molto semplice per gli spammer camuffare le parole in modo da aggirare queste tipologie di filtri elementari. Inoltre, tali filtri cancellano regolarmente anche messaggi legittimi, una situazione inaccettabile per la maggior parte degli utenti e delle aziende. Un miglioramento dei filtri basati sull´analisi dei contenuti è rappresentato dall´analisi della signatura, la quale prevede l´esame dello schema-dati di ogni messaggio sospetto e l´identificazione come spam di qualunque e-mail che corrisponda a tale impronta. I principali filtri anti-spam utilizzano varie combinazioni di analisi dei contenuti e delle signature. Oltre l´80% dello spam proviene oggi dai cosiddetti "zombie": Pc infetti, tipicamente collegati a una rete broadband consumer, che sono stati violati dagli spammer. Questi ultimi cambiano a rotazione nell’arco di poche ore le reti zombie attive, variando costantemente l´indirizzo Ip della fonte di provenienza dello spam. Nel contempo, lo spam inviato contiene Url o link Web che variano con la stessa frequenza. Nel giugno 2005, la durata media di un dominio pubblicizzato in un Url "spam" era di 48 ore, un tempo sufficiente per consentire alle "blacklist" statiche di Url di identificare e bloccare i messaggi contenenti link Web fasulli. Un anno dopo la durata media di un Url spam si è ridotta a meno di 4 ore. Ciò significa che quando le blacklist tradizionali riescono finalmente a identificare e catalogare un Url pericoloso, lo spam ha già raggiunto i propri obiettivi e lo spammer ha già iniziato a utilizzare un nuovo dominio per inviare i propri messaggi. Alla fine del 2005 i volumi di spam erano ancora in crescita, sebbene il ritmo fosse diminuito rispetto alla percentuale che aveva caratterizzato i due anni precedenti. Ma questa inversione di tendenza non appare destinata a durare. Negli ultimi sei mesi il ritmo di crescita dello spam ha ripreso in pieno il suo antico vigore. Da aprile a giugno 2006 - in soli due mesi - i volumi di spam sono cresciuti di oltre il 40% a livello mondiale. Contemporaneamente gli spammer hanno intensificato la forza dei loro attacchi. Quando gli spammer più sofisticati lanciano una nuova ondata di image-spam, in genere si concentrano su un´area geografica, un Isp o un´azienda specifica. Oltre il 25% delle società Global2000 ha subito un attacco personale, ossia indirizzato esclusivamente alla società stessa. Quando ciò accade, fino al 50% dello spam ricevuto da un´azienda è del tipo image-based. Se i filtri di cui dispone l´azienda non sono in grado di rilevare e bloccare questi attacchi sofisticati, gli utenti finali vengono letteralmente sommersi di spam, con pesanti ripercussioni sulle comunicazioni e sulla produttività complessiva. Gli spammer sfruttano anche l´attuale sistema di registrazione dei domini, utilizzando questi ultimi senza pagarli fino alla loro naturale scadenza. Fino ad aprile erano stati registrati oltre 35 milioni di domini, dei quali 32 milioni non sono mai stati pagati e sono dunque scaduti dopo 5 giorni. Questa tendenza riduce praticamente a zero per gli spammer il costo di registrazione di un dominio soverchiando le blacklist di Url tradizionali, le quali non sono assolutamente in grado di effettuare i dovuti aggiornamenti con la rapidità necessaria per contrastare l´insorgere dei nuovi domini. Di seguito viene fornito un riepilogo delle tendenze verificate: Parametro Giugno 2005 Giugno 2006 Variazione; Percentuale di image-based spam 1% 12% +12 volte; Durata media di un Url spam 48 ore 4 ore 12 volte più veloce; Volume di spam 30 miliardi 55 miliardi 83% in più. Ironport ha investito significativamente nello sviluppo di tecnologie all´avanguardia in grado di mantenersi un passo avanti rispetto alle tecniche utilizzate dagli spammer, dando vita al filtro anti-spam più accurato del settore. L´appliance Ironport possiede vantaggi a livello di architettura che la rendono altamente efficace contro lo spam delle immagini. Ironport Context Adaptive Scanning Engine (Case) analizza integralmente il contesto di un messaggio, verificando "Chi" lo ha inviato, "Dove" è diretto, "Come" è costruito (una tecnica particolarmente efficace contro l’image-spam) e "Cosa" contiene. In termini semplicistici un messaggio non contenente testo, che utilizzi un codice Html associato allo spam e che provenga da un indirizzo Ip collegato a una rete broadband consumer che ha spedito e-mail soltanto per una trentina di minuti rappresenta probabilmente qualcosa che un utente finale non desidera ricevere. "L´approccio seguito da Ironport si fonda sulla cosiddetta Context Adaptive Scanning: in pratica l´analisi dello spam delle immagini per verificare l´esistenza di schemi caratteristici, la reputazione del mittente, l´utilizzo o meno di un indirizzo Ip dinamico, il modo in cui il messaggio è costruito e altre informazioni", ha spiegato Michael Osterman di Osterman Research. "L´approccio di Ironport è unico nel suo genere in quanto analizza anche i pattern di colori dell´immagine per scoprire la presenza di testo al suo interno, in quanto la stragrande maggioranza delle immagini legittime inviate per posta elettronica raramente contiene quantità di testo significative. Attraverso questa combinazione di tecniche Ironport è in grado attualmente di bloccare il 98% dello spam delle immagini inviato mantenendo nel contempo il tasso di falsi positivi più basso del settore". Un componente chiave del successo di Ironport è dato dagli investimenti effettuati dalla società nello sviluppo di sistemi di controllo della reputazione Web ed e-mail. Il database dedicato alla reputazione email di Ironport contiene informazioni e un punteggio relativo alla reputazione per ogni server Web e e-mail attivo su Internet. Grazie a ciò l´appliance Ironport è in grado di analizzare la credibilità di un determinato mittente prima che il messaggio inviato venga catalogato o meno come spam. Questa tecnica permette a Ironport di risolvere efficacemente ogni situazione dubbia bloccando le nuove minacce in base alla reputazione del mittente e non unicamente alla signatura o al contenuto del messaggio. Non esiste praticamente vendor di filtri anti-spam e anti-virus che non abbia imitato Ironport dichiarando di possedere un vero sistema basato sulla "reputazione" quando in realtà si tratta di semplici blacklist. La differenza consiste nell´accuratezza. La precisione delle appliance di Ironport ha permesso che venissero adottate in tutto il mondo da oltre 250 milioni di caselle di posta elettronica, un numero di gran lunga superiore a quello di qualunque altra società indipendente per la sicurezza e-mail. . |
|
| |
|
|
| |
<<BACK |
|
|
|
|
|
|
|
