Estudo de caso utilizando ferramentas anti-spam

Transcrição

1 Estudo de caso utilizando ferramentas anti-spam Henrique de Vasconcellos Rippel 1 Faculdade de Tecnologia Senac Pelotas Rua Gonçalves Chaves, 602 Pelotas RS Brasil Caixa Postal Curso Superior de Tecnologia em Redes de Computadores hvrippel@gmail.com Resumo. Com a alta disseminação de conteúdo virtual, o uso de mensagens eletrônicas para divulgação de produtos e/ou serviços - e conteúdo malicioso como vírus em geral - acabou despertando grande repúdio por parte dos usuários que apenas utilizam o acesso à Internet para fins de trabalho e/ou lazer. O projeto visa comparar a utilização de funcionalidades entre duas ferramentas anti-spam tendo como foco principal o uso do ASSP (Anti-Spam SMTP Proxy) visando combater ao máximo o número de Spam recebidos e/ou marcálos como Spam, caso seja entregue ao usuário final. Abstract. With the high spread of virtual content, the use of electronic messages to advertise products and/or services - and malicious content such as viruses in general - has awakened great outrage among users that only use the Internet for work purposes and/or leisure. The project aims to compare the use of features between two anti-spam tools focusing mainly on the use of the ASSP (Anti-Spam SMTP Proxy) in order to combat the maximum number of Spam received and/or mark them as Spam, if is delivered to the end user. 1. Introdução Com o crescimento exorbitante de usuários que utilizam computadores e/ou dispositivos variados para acesso à informação através da Internet, o conteúdo digital tomou conta de uma grande parcela do mercado comunicativo. A facilidade de comunicação entre duas ou mais pessoas em locais distintos do globo terrestre se tornou viável através de alguns cliques em ferramentas como blogs, redes sociais, mensageiros instantâneos, e- mail, entre outros. Desta forma, o mercado comercial entrou na disputa vendendo ou divulgando serviços e produtos, ao mesmo tempo em que pessoas mal intencionadas disputam o mesmo meio de comunicação para fraudar solicitações de manutenção de contas bancárias e propagar conteúdo malicioso, com o intuito de coletar informações de grandes redes corporativas, as quais teoricamente possuem informações sigilosas e/ou de cunho financeiro. Com isso, a utilização de mecanismos para diminuir a circulação de conteúdo malicioso, bem como a orientação de boas práticas de uso na Internet, se tornaram imprescindíveis. Com esse propósito, umas das formas de combater esses ataques virtuais é utilizando ferramentas para o combate ao Spam. O cenário do projeto foi realizado na estrutura da Universidade Federal de Pelotas, a qual possui dificuldades no tratamento de s recebidos perturbando os usuários com uma quantidade enorme de Spam nas suas caixas de . A proposta inicial foi realizar um estudo de caso abordando apenas a ferramenta ASSP, porém, devido a falta de parâmetros para comparações, foi adotada uma nova ferramenta que pudesse ser alternativa no combate a mensagens indesejáveis: o SpamAssassin.

2 2. legítimo ou Ham Mensagens politicamente aceitáveis perante os mecanismos de análise adotados pelas ferramentas anti-spam. 3. Spam 3.1. O que é Spam? Segundo [Antispam.br 2013] Spam é o termo usado para referir-se aos s não solicitados, que geralmente são enviados para um grande número de pessoas. Quando o conteúdo é exclusivamente comercial, esse tipo de mensagem é chamada de UCE (do inglês Unsolicited Commercial ). A intenção do Spam é a divulgação de conteúdo de terceiros para fins comerciais, interesses pessoais, ataques, propagação de conteúdo malicioso, sem que o destinatário o tenha solicitado Motivadores de envio de Spam Segundo [Antispam.br 2013], a Internet causou grande impacto na vida das pessoas, tornando-se um veículo de comunicação importante, evoluindo para revolucionar a maneira de fazer negócios e buscar e disponibilizar informações. Ela viabiliza a realidade da globalização nas diversas áreas da economia e do conhecimento. Por outro lado, esse canal acabou absorvendo diversas práticas, boas e ruins. O Spam é uma das práticas ruins. Ele ficou famoso ao ser considerado um tormento para os usuários de , impactando na produtividade de funcionários e degradando o desempenho de sistemas e redes. No entanto, poucos se lembram de que já enfrentaram algo semelhante, antes de utilizar o e- mail como ferramenta de comunicação. As cartas de correntes para obtenção de dinheiro fácil, encontradas nas caixas de correio, as dezenas de panfletos recebidos nas esquinas e as ligações telefônicas oferecendo produtos são os precursores do Spam. A principal diferença, extremamente relevante, é o fato de que para enviar cartas ou panfletos e ligar para nossas casas, o remetente tinha de fazer algum investimento. Este muitas vezes inviabilizava o envio de material de propaganda em grande escala. Com o surgimento e a popularização da Internet e, consequentemente, do uso do , aquele remetente das cartas de corrente ou propagandas obteve a oportunidade e a facilidade de atingir um número muito maior de destinatários. Tudo isso com a vantagem de investir muito pouco ou nada para alcançar os mesmos objetivos em uma escala muito maior. Por essa razão, esse é um dos maiores motivadores para o envio de Spam. Desde o primeiro Spam registrado e batizado como tal, em 1994, essa prática tem evoluído, acompanhando o desenvolvimento da Internet e de novas aplicações e tecnologias. Atualmente, o Spam está associado a ataques à segurança da Internet e do usuário, propagando vírus e golpes. Tão preocupante quanto o aumento desenfreado do volume de Spam na rede, é a sua natureza e seus objetivos Alguns dos tipos mais comuns de Spam, são: - Correntes (chain letters); - Boatos (hoaxes) e lendas urbanas;

3 - Propagandas; - Ameaças, brincadeiras e difamação; - Pornografia; - Códigos maliciosos; - Fraudes; - Spit e Spim ( Spam via Internet Telephony e Spam via Instant Messenger ); - Spam via redes de relacionamentos Como reduzir o número de Spam Segundo [Antispam.br 2013], a resposta simples é navegar consciente na rede. Este conselho é o mesmo que recebemos para zelar pela nossa segurança no trânsito ou ao entrar e sair de nossas casas. As dicas para reduzir o volume de Spam estão diretamente relacionadas aos cuidados recomendados aos usuários da Internet, para que desfrutem de todos os recursos e benefícios da rede, com segurança Principais dicas: Preservar as informações pessoais como endereços de , dados pessoais e, principalmente, cadastrais de bancos, cartões de crédito e senhas. Um bom exercício é pensar que ninguém forneceria dados pessoais a um estranho na rua, certo? Então, por que o faria na Internet? Ter, sempre que possível, s separados para assuntos pessoais, profissionais, para as compras e cadastros on-line. Certos usuários mantêm um somente para assinatura de listas de discussão. Não ser um clicador compulsivo, ou seja, o usuário deve procurar controlar a curiosidade de verificar sempre a indicação de um site em um suspeito de Spam. Pensar, analisar as características do e verificar se não é mesmo um golpe ou código malicioso. Não ser um caça-brindes, papa-liquidações ou destruidor-de-promoções. Ao receber s sobre brindes, promoções ou descontos, reserve um tempo para analisar o , sua procedência e verificar no site da empresa as informações sobre a promoção em questão. Vale lembrar que os sites das empresas e instituições financeiras têm mantido alertas em destaque sobre os golpes envolvendo seus serviços. Assim, a visita ao site da empresa pode confirmar a promoção ou alertá-lo sobre o golpe que acabou de receber por ! No caso de promoções, na maioria das vezes, será necessário preencher formulários. Ter um para cadastros on-line é uma boa prática para os usuários com o perfil descrito. Ao preencher o cadastro, desabilite as opções de recebimento de material de divulgação do site e de seus parceiros. É justamente nesse item que muitos usuários atraem Spam, inadvertidamente. Ter um filtro anti-spam instalado, ou ainda, usar os recursos anti-spam oferecidos pelo seu provedor de acesso. Além do anti-spam, existem outras ferramentas bastante importantes para o usuário da rede: anti-spyware, firewall pessoal e antivírus.

4 4. Anti-Spam Um anti-spam tem a finalidade de combater a recepção não solicitada de s através de análises de conteúdo de cada mensagem. Dependendo dos filtros adotados, ele é capaz de pontuar cada palavra ou expressão suspeita encontradas no , rotulando ou bloqueando-as conforme a política feita pelo seu administrador local. Essa pontuação define o teor da mensagem, a qual acaba sendo classificada como mensagem legítima ou Spam. 5. Ferramentas anti-spam 5.1. ASSP O projeto Anti-Spam SMTP Proxy (ASSP) é um servidor Proxy independente de plataforma transparente e código aberto (Open Source), baseado em Perl, na qual utiliza inúmeras metodologias e tecnologias para identificação de Spam através da análise de conteúdo de cada mensagem [ASSP 2013] Por que ASSP? A decisão de escolher a ferramenta ASSP para estudo, na verdade, veio por já estar implantada na estrutura atual. A proposta é readequar as funcionalidades e benefícios que ela oferece, diagnosticando se continua sendo uma solução viável para as necessidades encontradas atualmente Funcionalidades O ASSP possui inúmeras diretivas que podem ser alteradas conforme a política e necessidade da organização. Ele cataloga todas as mensagens analisadas, atribuindo um rótulo de acordo com a sua origem, pontuação ou conteúdo, descaradamente, malicioso. Destas mensagens, uma cópia é armazenada no diretório correspondente: okmail, notspam, spam, discarded. As mensagens rotuladas como okmail não atingem a pontuação máxima para serem consideradas suspeitas. As notspam contêm palavras que poderiam ser diagnosticadas suspeitas, porém, não atingem a pontuação máxima para serem rotuladas como Spam. As mensagens consideradas Spam são as que possuem fortíssimos indícios de que contenham irregularidades e/ou ultrapassam a quantidade máxima de pontos, sendo estas rotuladas e entregues aos usuários correspondentes. As mensagens que extrapolam as diretivas configuradas na ferramenta são descartadas e o remetente recebe uma uma mensagem com o motivo do descarte ou bloqueio. Dentre os módulos de análises contidas na ferramenta, o projeto fez referência ao filtro Bayesian, RBLs, antivírus ClamAV e uso de pontuação. 6. SpamAssassin O projeto SpamAssassin é uma ferramenta anti-spam de código aberto (Open Source) regida através da licença Apache na qual utiliza vários testes como mecanismo de busca em cada mensagem recebida. De acordo com a análise, ele acrescenta cabeçalhos nas mensagens, através de pontuações, informando o nível de Spam, bem como os testes os quais os interceptaram [SpamAssassin 2013].

5 6.1. Funcionalidades O SpamAssassin trabalha basicamente com pontuação de palavras. As mensagens são analisadas e pontuadas conforme o grau de palavras suspeitas e rotuladas como legítimas ou Spam. Em ambos os casos as mensagens recebem os cabeçalhos correspondentes e são entregues ao destinatário. Dentre os módulos de análises que a ferramenta utiliza, o projeto focou no uso do filtro Bayesian, RBLs, antivírus ClamAV e uso de pontuação. 7. Falsos positivos Mensagens consideradas Spam pela quantidade de palavras suspeitas ou método de análise utilizada. Caso um contenha conteúdo suspeito, não necessariamente seja Spam, porém, pela pontuação total ele acaba sendo enquadrado e marcado como tal. A pontuação se deve à quantidade de palavras suspeitas, origem do remetente, anexos suspeitos como no caso de um arquivo executável, entre outros. 8. ClamAV ClamAV é um antivírus capaz de detectar vírus, trojans, malware e outros tipos de conteúdos maliciosos, em cada mensagem analisada [ClamAV 2013]. 9. Pontuação A pontuação em cada mensagem é feita de acordo com um prévio banco de palavras mais utilizadas do tipo: money, sex, password, buy, sell, e tantas outras consideradas suspeitas. Esse banco de palavras pode ser ajustado conforme a necessidade e os logs devem ser constantemente monitorados para que mensagens legítimas não sejam bloqueadas desnecessariamente. 10. Filtro Bayesian Filtro que analisa os s calculando a probabilidade delas serem ou não Spam. Através desta análise é montado um banco de dados para que se tenha uma base centralizada capaz de ser consultada a cada mensagem recebida. Basicamente cada mensagem é analisada e pontuada de acordo com as palavras encontradas. Frases e/ou palavras do tipo: dinheiro fácil, viagra, atualize seu cadastro, entre tantas outras, são consideradas suspeitas e acabam sendo rotuladas com o filtro bayesian [Wikipedia 2013]. 11. RBL RBL (Real-time Blackhole List) é um mecanismo que testa a origem da mensagem com um banco de dados em tempo real, contendo endereços IP declarados como fonte de Spam. Dentre as várias ferramentas que utilizam esta filosofia, o DNSBL (DNS Blacklist) e URIBL (Uniform Resource Identifier Blacklist) foram utilizadas neste projeto [Technopedia 2013]. 12. Postfix É um servidor de correio eletrônico criado por Wietse Venema tendo início no centro de pesquisas da IBM como uma alternativa ao programa bastante usado: Sendmail. Postfix é uma ferramenta rápida, fácil de administrar e segura [Postfix 2013]. Ferramenta necessária para transportar as mensagens entre os serviços anti-spam ASSP e SpamAssassin até as caixas dos usuários.

6 13. Roundcube Roundcube é uma ferramenta de Webmail desenvolvida em PHP e que utiliza como base o protocolo IMAP para acesso as mensagens, utilizando a tecnologia AJAX para interação com o usuário via web [Roundcube 2013]. Esta ferramenta foi escolhida para que as mensagens fossem apresentadas de forma amigável e comparadas visualmente em cada etapa de testes. 14. Cenário atual O cenário atual é composto por uma estrutura de grande porte com mais de oito mil contas cadastradas, recebendo diariamente cerca de dez mil s entre mensagens consideradas legítimas e Spam. A ferramenta utilizada é o ASSP, a qual permanece com as configurações iniciais desde a sua instalação, isto é, os mecanismos de busca de conteúdo malicioso e/ou suspeito estão idênticos à configuração padrão da ferramenta. Com base nesses dados cogitou-se a possibilidade de melhoria do serviço de começando pela reestruturação da política anti-spam, atribuindo novas funcionalidades como o uso de antivírus, RBL, filtro Bayesian e regras de bloqueio mais flexíveis por pontuação, direcionando as mensagens não solicitadas a uma caixa dedicada chamada Spam, preferindo que os próprios usuários as julguem legítimas ou Spam. Para isto, em paralelo, foi feito replicação de todas as mensagens que passam pelo servidor anti-spam principal da UFPel redirecionando-os ao servidor de testes ASSP, e este, encaminhando uma cópia idêntica ao servidor de testes SpamAssassin. Neles serão feitos os ajustes necessários para análise de conteúdo dos s, uma vez que estes servidores receberão, potencialmente, toda a carga de s, classificando-os como legítimos ou Spam. A Figura 1 representa o cenário atual e de testes. Figura 1. Cenário atual e cenário de testes

7 15. Servidores de testes Em ambos os casos os servidores foram montados com as mesmas características. O diferencial foi o anti-spam escolhido para tratar cada mensagem recebida. Eles foram compostos da seguinte maneira: Hardware - Máquina virtual com 1.5GB de memória RAM, 2GB de swap e 4 núcleos de processador disponíveis Software - Sistema Operacional Linux 64bit, distribuição Debian, versão 7; - Postfix, versão 2.9; - Roundcube, versão 0.7; - ClamAV, versão ASSP - ASSP, versão SpamAssassin - SpamAssassin, versão Testes realizados Foram feitos três testes de coleta de s durante um período de seis horas diárias, em dias distintos, todos das 17h às 23h. A ideia foi analisar o comportamento de cada ferramenta em cada etapa, e através dos resultados perceber qual delas mais se adapta à estrutura analisada Teste 1 O primeiro cenário apresenta o uso das duas ferramentas em suas configurações padrão, isto é, instaladas uma em cada servidor sem quaisquer alterações nos parâmetros de análises. A ferramenta ASSP, por padrão, já apresenta de forma ativa a detecção e descarte de mensagens suspeitas através de consultas a RBLs (DNSBL e URIBL), juntamente com o método de pontuação e filtro Bayesian, o qual começa ativado, porém, acaba não atuando por não ter uma base de dados inicial. Já o antivírus ClamAV, por padrão, é desativado (até porque é preciso instalar os módulos necessários para o seu funcionamento integrado). A pontuação inicial para que a mensagem seja considerada suspeita é de 50 pontos. Acima disso a mensagem é considerada Spam. A ferramenta SpamAssassin detecta as mensagens através de pontuação por palavras suspeitas e consultas a RBLs. O filtro Bayesian não é ativado e ClamAV não é instalado, por padrão. A pontuação inicial para que a mensagem seja considerada suspeita é de 5 pontos. Acima disso a mensagem é considerada Spam. A primeira coleta de s já apresentou resultado discrepante, pois, pelas características iniciais da ferramenta ASSP, todas as mensagens que não se

8 enquadraram ao modelo de validação, foram rejeitadas. Foram recebidas 2539 mensagens, sendo destas a ferramenta ASSP tratou 188 como mensagens legítimas, nenhuma mensagem considerada Spam e o restante foi rejeitado. O SpamAssassin aprovou todas as 2539 mensagens como legítimas. Comparando o consumo de resursos de cada servidor de testes, a que hospedou o ASSP teve o maior consumo devido a quantidade de módulos ativos para análise e combate ao Spam. A Figura 2 mostra o resultado nas caixas de através da aplicação Roundcube e a Figura 3 o consumo de recursos. Figura 2. Webmail ASSP e SpamAssassin Figura 3. Desempenho ASSP e SpamAssassin Teste 2 O segundo cenário apresenta um equilíbrio entre as ferramentas nos recursos utilizados. Nesta etapa priorizou-se o uso de RBLs e pontuação para tratar cada mensagem recebida. Para isso, foi necessário ajustar a forma com que o ASSP controla essa análise, alterando o bloqueio dessas mensagens para que apenas fossem pontuadas. Dessa forma as mensagens são entregues ao usuário, porém, direcionadas à caixa Spam. Basicamente o SpamAssassin não sofre alterações neste teste pois já possui este comportamento por padrão.

9 O único fator importante foi a alteração de tratamento de mensagem por pontuação, de 5 para 3 pontos, para que a mensagem seja considerada Spam. Foram recebidas 2009 mensagens, sendo destas a ferramenta ASSP tratou 7 como mensagens legítimas e 2002 mensagens consideradas Spam. O SpamAssassin aprovou 1528 mensagens como legítimas, 480 como Spam e apenas 1 rejeitada por outro motivo qualquer, fora dos padrões analisados no teste. Comparando o consumo de resursos de cada servidor, a que hospedou o ASSP teve o maior consumo devido a quantidade de módulos ativos para análise e combate ao Spam. A Figura 4 mostra o resultado nas caixas de através da aplicação Roundcube e a Figura 5 o consumo de recursos. Figura 4. Webmail ASSP e SpamAssassin Figura 5. Desempenho ASSP e SpamAssassin Teste 3 O terceiro cenário teve como foco o uso dos filtros Bayesian e ClamAV, ou seja, os filtros por RBLs e pontuação foram modificados no intuito de analisar basicamente os filtros

10 Bayesian e ClamAV. Os valores de pontuação passaram de 50 para 100, no caso do ASSP, e de 5 para 10, no caso do SpamAssassin. Para este teste foi necessário montar um banco de mensagens consideradas legítimas e Spam. Pela facilidade de já estar sendo realizado testes em uma estrutura na qual já se usa o ASSP, foi utilizada a mesma base de dados nas ferramentas de testes. Essa base já contava com pouco mais de 11 mil mensagens catalogadas como legítimas e 15 mil como Spam. Foram recebidas 1101 mensagens, sendo destas a ferramenta ASSP tratou 20 como mensagens legítimas e 494 mensagens consideradas Spam. O SpamAssassin aprovou 674 mensagens como legítimas e 427 como Spam. Comparando o consumo de resursos de cada servidor, a que hospedou o ASSP teve o maior consumo devido a quantidade de módulos ativos para análise e combate ao Spam. Os resultados apresentam uma média não muito confiável, mas bastante aproximada, pois, mesmo com os ajustes, nem todas elas se isentaram de serem pontuadas, e por consequência, tratadas de acordo com a pontuação excedida. Pode-se observar o resultado da coleta final na Figura 6. Com a utilização do ClamAV, o consumo de recursos excedeu os valores dos outros testes, como mostra a Figura 7. Figura 6. Webmail ASSP e SpamAssassin 17. Conclusões Este projeto teve como base um estudo de caso comparativo entre duas ferramentas anti- Spam com a intenção de compor uma configuração ideal para a estrutura abordada. Os testes foram realizados da forma mais fiel possível, uma vez que cada ferramenta possui características próprias e desempenham papeis semelhantes no combate ao Spam. A ferramenta ASSP possui dezenas de recursos e mecanismos interessantes para o tratamento de mensagens, apesar de ter sido escolhido apenas quatro das principais funções dela: O uso de pontuação, RBLs, ClamAV e filtro Bayesian. O SpamAssassin é uma excelente ferramenta no combate ao Spam mesmo possuindo poucas funcionalidades disponíveis, porém, se mostrou um forte concorrente ao ASSP. Ela também possui as quatro funções citadas anteriormente, sendo possível ter realizados os testes gradualmente. Por ter inúmeros módulos ativos para análise de conteúdo, o ASSP acaba consumindo mais recursos físicos em comparação ao SpamAssassin, conforme mostrado anteriormente nos gráficos gerados em cada etapa. Montando um laudo entre as ferramentas, o ASSP permanece com o título por ser flexível, ponderado e mais se adequar à estrutura estudada. Tendo em vista o ciclo do projeto, foi possível montar uma tabela comparativa de cada coleta de s, apresentado na Tabela 1.

11 Figura 7. Desempenho ASSP e SpamAssassin Tabela 1. Resultado final ASSP SpamAssassin Spam Ham Spam Ham Total Teste Teste Teste Os resultados foram bastante satisfatórios pois a estrutura atual não possui quaisquer ajustes nas configurações, consequentemente não trata as mensagens de forma digna perante os usuários da instituição. Será estudada a implementação em ambiente real de forma transparente ajustando os filtros com base no estudo relatado e praticado neste projeto. Referências Antispam.br (2013). Antispam.br ::. Disponivel em: < Acesso em: setembro ASSP (2013). Stop spam with the anti-spam-smtp-proxy (assp). Disponivel em: < Fritz Borgstedt/assp/0003D91C C/>. Acesso em: setembro ClamAV (2013). Clamav. Disponivel em: < Acesso em: setembro Postfix (2013). The postfix home page. Disponivel em: < Acesso em: setembro Roundcube (2013). Roundcube. Disponivel em: < Acesso em: setembro 2013.

12 SpamAssassin (2013). The apache spamassassin project. Disponivel em: < Acesso em: setembro Technopedia (2013). Real-time blackhole list (rbl). Disponivel em: < Acesso em: setembro Wikipedia (2013). Bayesian spam filtering. Disponivel em: < spam filtering>. Acesso em: setembro 2013.