Estudo de caso utilizando ferramentas anti-spam

Transcrição

1 Estudo de caso utilizando ferramentas anti-spam Henrique de Vasconcellos Rippel 1 Faculdade de Tecnologia Senac Pelotas Rua Gonçalves Chaves, 602 Pelotas RS Brasil Caixa Postal Curso Superior de Tecnologia em Redes de Computadores hvrippel@gmail.com Resumo. O projeto visa comparar a utilização de funcionalidades entre duas ferramentas anti-spam tendo como foco principal o uso do ASSP (Anti-Spam SMTP Proxy) no intuito de combater ao máximo as mensagens recebidas marcando-as como Spam, caso sejam entregues ao usuário final. Abstract. The project aims to compare the use of features between two antispam tools focusing mainly on the use of the ASSP (Anti-Spam SMTP Proxy) in order to combat the maximum incoming messages marking them as spam, if they are delivered to the end user. 1. Introdução Com o crescimento exorbitante de usuários que utilizam computadores e/ou dispositivos variados para acesso à informação através da Internet [Valor 2013], o conteúdo digital tomou conta de uma grande parcela do mercado comunicativo. A facilidade de comunicação entre duas ou mais pessoas em locais distintos do globo terrestre se tornou viável por meio de alguns cliques em ferramentas como blogs, redes sociais, mensageiros instantâneos, e- mail, entre outros. Desta forma, o mercado comercial entrou na disputa vendendo ou divulgando serviços e produtos, ao mesmo tempo em que pessoas mal intencionadas disputam o mesmo meio de comunicação para fraudar solicitações de manutenção de contas bancárias e propagar conteúdo malicioso, com o intuito de coletar informações de grandes redes corporativas, as quais teoricamente possuem informações sigilosas e/ou de cunho financeiro. Com isso, a utilização de mecanismos para diminuir a circulação de conteúdo malicioso, bem como a orientação de boas práticas de uso na Internet, se tornaram imprescindíveis. Com esse propósito, umas das formas de combater esses ataques virtuais é utilizando ferramentas para o combate ao Spam [Spam 2013]. O cenário do projeto foi realizado na estrutura da UFPel (Universidade Federal de Pelotas), a qual possui dificuldades no tratamento de s recebidos perturbando os usuários com uma quantidade enorme de Spam nas suas caixas de . A proposta inicial foi realizar um estudo de caso abordando apenas a ferramenta ASSP, porém, devido a falta de parâmetros para comparações, foi adotada uma nova ferramenta que pudesse ser alternativa no combate a mensagens indesejáveis: o SpamAssassin [SpamAssassin 2013]. 2. Spam Segundo [Antispam.br 2013] Spam é o termo usado para referir-se aos s não solicitados, que geralmente são enviados para um grande número de pessoas. Quando o conteúdo é exclusivamente comercial, esse tipo de mensagem é chamada de UCE (do

2 inglês Unsolicited Commercial ). O inverso de mensagens Spam são conhecidas como Ham, que são aquelas politicamente aceitáveis perante os mecanismos de análise adotados pelas ferramentas anti-spam. A intenção do Spam é a divulgação de conteúdo de terceiros para fins comerciais, interesses pessoais, ataques, propagação de conteúdo malicioso, sem que o destinatário o tenha solicitado Motivadores de envio de Spam Segundo [Antispam.br 2013], a Internet causou grande impacto na vida das pessoas, tornando-se um veículo de comunicação importante, evoluindo para revolucionar a maneira de fazer negócios e buscar e disponibilizar informações. Ela viabiliza a realidade da globalização nas diversas áreas da economia e do conhecimento. Por outro lado, esse canal acabou absorvendo diversas práticas, boas e ruins. O Spam é uma das práticas ruins. Ele ficou famoso ao ser considerado um tormento para os usuários de , impactando na produtividade de funcionários e degradando o desempenho de sistemas e redes. No entanto, este problema não é inédito e existem antes de utilizar o como ferramenta de comunicação. As cartas de correntes para obtenção de dinheiro fácil, encontradas nas caixas de correio, as dezenas de panfletos recebidos nas esquinas e as ligações telefônicas oferecendo produtos são os precursores do Spam. A principal diferença, extremamente relevante, é o fato de que para enviar cartas ou panfletos e realizar chamadas telefônicas, o remetente tinha de fazer algum investimento. Este muitas vezes inviabilizava o envio de material de propaganda em grande escala. Com o surgimento e a popularização da Internet e, consequentemente, do uso do , aquele remetente das cartas de corrente ou propagandas obteve a oportunidade e a facilidade de atingir um número muito maior de destinatários. Tudo isso com a vantagem de investir muito pouco, ou nada, para alcançar os mesmos objetivos em uma escala muito maior. Por essa razão, esse é um dos maiores motivadores para o envio de Spam. Desde o primeiro Spam registrado e batizado como tal, em 1978 [Terra 2013], essa prática tem evoluído, acompanhando o desenvolvimento da Internet e de novas aplicações e tecnologias. Atualmente, o Spam está associado a ataques à segurança da Internet e do usuário, propagando vírus e golpes. Tão preocupante quanto o aumento desenfreado do volume de Spam na rede, é a sua natureza e seus objetivos Tipos de Spam mais comuns São as formas mais comumente utilizadas para propagação de conteúdo sem que o destinatário os tenha solicitado. A tabela 1 representa algumas formas delas Métodos para redução de Spam Segundo [Antispam.br 2013], a resposta simples é navegar conscientemente na rede. As dicas para reduzir o volume de Spam estão diretamente relacionadas aos cuidados recomendados aos usuários da Internet, para que desfrutem de todos os recursos e benefícios da rede, com segurança. Preservar as informações pessoais como endereços de , dados pessoais e, principalmente, cadastrais de bancos, cartões de crédito e senhas. Ter, sempre que possível, s separados para assuntos pessoais, profissionais, para as compras e cadastros on-line. O usuário deve procurar controlar a curiosidade de verificar

3 Tabela 1. Tipos de Spam mais comuns Correntes (chain letters) Propagandas Boatos (hoaxes) Lendas urbanas Ameaças, brincadeiras e difamação Pornografia Códigos maliciosos Fraudes Spit ( Spam via Internet Telephony ) Spim ( Spam via Instant Messenger ) Spam via redes de relacionamentos sempre a indicação de um site em um suspeito de Spam. Pensar, analisar as características do e verificar se não é mesmo um golpe ou código malicioso. Ao receber s sobre brindes, promoções ou descontos, reservar um tempo para analisar o , sua procedência e verificar no site da empresa as informações sobre a promoção em questão. Vale lembrar que os sites das empresas e instituições financeiras têm mantido alertas em destaque sobre os golpes envolvendo seus serviços. Assim, a visita ao site da empresa pode confirmar a promoção ou alertar sobre o golpe que acabou de receber por . Ter um filtro anti-spam instalado, ou ainda, usar os recursos anti-spam oferecidos pelo seu provedor de acesso. Além do anti-spam, existem outras ferramentas bastante importantes para o usuário da rede: anti-spyware, firewall pessoal e antivírus. 3. Ferramentas anti-spam Um anti-spam tem a finalidade de combater a recepção não solicitada de s através de análises de conteúdo de cada mensagem. Dependendo dos filtros adotados, ele é capaz de pontuar cada palavra ou expressão suspeita encontradas no , rotulando ou bloqueando-as conforme a política feita pelo seu administrador local. Essa pontuação define o teor da mensagem, a qual acaba sendo classificada como mensagem legítima ou Spam Falsos positivos Mensagens consideradas Spam pela quantidade de palavras suspeitas ou método de análise utilizada. Caso um contenha conteúdo suspeito, não necessariamente seja Spam, porém, pela pontuação total ele acaba sendo enquadrado e marcado como tal. A pontuação se deve à quantidade de palavras suspeitas, origem do remetente, anexos suspeitos como no caso de um arquivo executável, entre outros Pontuação A pontuação em cada mensagem é feita de acordo com um prévio banco de palavras mais utilizadas do tipo: money, sex, password, buy, sell, e tantas outras consideradas suspeitas. Esse banco de palavras pode ser ajustado conforme a necessidade e os logs devem ser constantemente monitorados para que mensagens legítimas não sejam bloqueadas desnecessariamente.

4 3.3. ASSP O projeto ASSP (Anti-Spam SMTP Proxy) [ASSP 2013] é um servidor Proxy independente de plataforma transparente e código aberto (Open Source), baseado em Perl, na qual utiliza inúmeras metodologias e tecnologias para identificação de Spam através da análise de conteúdo de cada mensagem. A decisão de escolher a ferramenta ASSP para estudo, na verdade, veio por já estar implantada na estrutura atual. A proposta é readequar as funcionalidades e benefícios que ela oferece, diagnosticando se continua sendo uma solução viável para as necessidades encontradas atualmente Funcionalidades O ASSP possui inúmeras diretivas que podem ser alteradas conforme a política e necessidade da organização. Ele cataloga todas as mensagens analisadas, atribuindo um rótulo de acordo com a sua origem, pontuação ou conteúdo, inegavelmente, malicioso. Destas mensagens, uma cópia é armazenada no diretório correspondente: okmail, notspam, spam, discarded. As mensagens rotuladas como okmail não atingem a pontuação máxima para serem consideradas suspeitas. As notspam contêm palavras que poderiam ser diagnosticadas suspeitas, porém, não atingem a pontuação máxima para serem rotuladas como Spam. As mensagens consideradas Spam são as que possuem fortíssimos indícios de que contenham irregularidades e/ou ultrapassam a quantidade máxima de pontos, sendo estas rotuladas e entregues aos usuários correspondentes. As mensagens que extrapolam as diretivas configuradas na ferramenta são descartadas e o remetente recebe uma uma mensagem com o motivo do descarte ou bloqueio. Dentre os módulos de análises contidas na ferramenta, o projeto fez referência ao filtro Bayesian, RBLs, antivírus ClamAV e uso de pontuação SpamAssassin O projeto SpamAssassin [SpamAssassin 2013] é uma ferramenta anti-spam de código aberto (Open Source) regida através da licença Apache [Apache 2013] na qual utiliza vários testes como mecanismo de busca em cada mensagem recebida. De acordo com a análise, ele acrescenta cabeçalhos nas mensagens, através de pontuações, informando o nível de Spam, bem como os testes os quais os interceptaram Funcionalidades O SpamAssassin trabalha basicamente com pontuação de palavras. As mensagens são analisadas e pontuadas conforme o grau de palavras suspeitas e rotuladas como legítimas ou Spam. Em ambos os casos as mensagens recebem os cabeçalhos correspondentes e são entregues ao destinatário. Dentre os módulos de análises que a ferramenta utiliza, o projeto focou no uso do filtro Bayesian [Wikipedia 2013b], RBLs [Technopedia 2013], antivírus ClamAV [ClamAV 2013] e uso de pontuação ClamAV ClamAV [ClamAV 2013] é um antivírus capaz de detectar vírus, trojans, malware e outros tipos de conteúdos maliciosos, em cada mensagem analisada.

5 3.6. Filtro Bayesian O filtro Bayesian [Wikipedia 2013b] analisa os s calculando a probabilidade delas serem ou não Spam. Através desta análise é montado um banco de dados para que se tenha uma base centralizada capaz de ser consultada a cada mensagem recebida. Basicamente cada mensagem é analisada e pontuada de acordo com as palavras encontradas. Frases e/ou palavras do tipo: dinheiro fácil, viagra, atualize seu cadastro, entre tantas outras, são consideradas suspeitas e acabam sendo rotuladas com o filtro bayesian RBL O RBL (Real-time Blackhole List) [Technopedia 2013] é um mecanismo que testa a origem da mensagem com um banco de dados em tempo real, contendo endereços IP declarados como fonte de Spam. Dentre as várias ferramentas que utilizam esta filosofia, o DNSBL (DNS Blacklist) e URIBL (Uniform Resource Identifier Blacklist) foram utilizadas neste projeto. 4. Ferramentas e serviços auxiliares Duas ferramentas auxiliares fizeram-se necessárias para realizar o transporte das mensagens entre os servidores de testes até serem visualizadas nas caixas de de cada usuário Postfix O Postfix [Postfix 2013] é um servidor de correio eletrônico criado por Wietse Venema tendo início no centro de pesquisas da IBM como uma alternativa ao programa bastante usado: Sendmail. Postfix é uma ferramenta rápida, fácil de administrar e segura. Ferramenta necessária para transportar as mensagens entre os serviços anti-spam ASSP e SpamAssassin até as caixas dos usuários Roundcube O Roundcube [Roundcube 2013] é uma ferramenta de Webmail desenvolvida em PHP [PHP 2013] e que utiliza como base o protocolo IMAP [Wikipedia 2013c] para acesso as mensagens, utilizando a tecnologia AJAX [Wikipedia 2013a] para interação com o usuário via web. Esta ferramenta foi escolhida para que as mensagens fossem apresentadas de forma amigável e comparadas visualmente em cada etapa de testes. 5. Cenário atual O cenário atual é composto por uma estrutura de grande porte com mais de oito mil contas cadastradas, recebendo diariamente cerca de dez mil s entre mensagens consideradas legítimas e Spam. A ferramenta utilizada é o ASSP, a qual permanece com as configurações iniciais desde a sua instalação, isto é, os mecanismos de busca de conteúdo malicioso e/ou suspeito estão idênticos à configuração padrão da ferramenta. Com base nesses dados cogitou-se a possibilidade de melhoria do serviço de começando pela reestruturação da política anti-spam, atribuindo novas funcionalidades como o uso de antivírus, RBL, filtro Bayesian e regras de bloqueio mais flexíveis por pontuação, direcionando as mensagens não solicitadas a uma caixa dedicada chamada Spam, preferindo que os próprios usuários as julguem legítimas ou Spam. Para isto, em paralelo, foi feito

6 replicação de todas as mensagens que passam pelo servidor anti-spam principal da UFPel redirecionando-os ao servidor de testes ASSP, e este, encaminhando uma cópia idêntica ao servidor de testes SpamAssassin. Neles serão feitos os ajustes necessários para análise de conteúdo dos s, uma vez que estes servidores receberão, potencialmente, toda a carga de s, classificando-os como legítimos ou Spam. A figura 1 representa o cenário atual e de testes. Figura 1. Cenário atual (a) e cenário de testes (b) 6. Configuração do cenário de testes Em ambos os casos os servidores foram montados com as mesmas características. O diferencial foi o anti-spam escolhido para tratar cada mensagem recebida. A tabela 2 apresenta a configuração de hardware e software de cada uma dos servidores. Tabela 2. Configuração do cenário de testes Hardware Software 1,5GB de Memória RAM Sistema operacional Debian GNU/Linux 64bit, versão 7 Postfix, versão 2.9 2GB de SWAP Roundcube, versão 0.7 ClamAV, versão 0.98 Processador Quad-core, 2.4GHz ASSP, versão 1.99 SpamAssassin, versão Testes realizados Foram feitos três testes de coleta de s durante um período de seis horas diárias, em dias distintos, todos das 17h às 23h. A ideia foi analisar o comportamento de cada ferramenta em cada etapa, e, através dos resultados, perceber qual delas mais se adapta à estrutura analisada.

7 7.1. Teste 1 O primeiro cenário apresenta o uso das duas ferramentas em suas configurações padrão, isto é, instaladas uma em cada servidor sem quaisquer alterações nos parâmetros de análises. A ferramenta ASSP, por padrão, já apresenta de forma ativa a detecção e descarte de mensagens suspeitas através de consultas a RBLs (DNSBL e URIBL), juntamente com o método de pontuação e filtro Bayesian, o qual começa ativado, porém, acaba não atuando por não ter uma base de dados inicial. Já o antivírus ClamAV, por padrão, é desativado (até porque é preciso instalar os módulos necessários para o seu funcionamento integrado). A pontuação inicial para que a mensagem seja considerada suspeita é de 50 pontos. Acima disso a mensagem é considerada Spam. A ferramenta SpamAssassin detecta as mensagens através de pontuação por palavras suspeitas e consultas a RBLs. O filtro Bayesian não é ativado e ClamAV não é instalado, por padrão. A pontuação inicial para que a mensagem seja considerada suspeita é de 5 pontos. Acima disso a mensagem é considerada Spam. A primeira coleta de s já apresentou resultado discrepante, pois, pelas características iniciais da ferramenta ASSP, todas as mensagens que não se enquadraram ao modelo de validação, foram rejeitadas. Foram recebidas 2539 mensagens, sendo destas a ferramenta ASSP tratou 188 como mensagens legítimas, nenhuma mensagem considerada Spam e o restante foi rejeitado. O SpamAssassin aprovou todas as 2539 mensagens como legítimas. Comparando o consumo de recursos de cada servidor de testes, a que hospedou o ASSP teve o maior consumo devido a quantidade de módulos ativos para análise e combate ao Spam. A figura 2 mostra o resultado nas caixas de através da aplicação Roundcube e a figura 3 o consumo de recursos. Figura 2. Webmail ASSP (a) e SpamAssassin (b) 7.2. Teste 2 O segundo cenário apresenta um equilíbrio entre as ferramentas nos recursos utilizados. Nesta etapa priorizou-se o uso de RBLs e pontuação para tratar cada mensagem recebida. Para isso, foi necessário ajustar a forma com que o ASSP controla essa análise, alterando o bloqueio dessas mensagens para que apenas fossem pontuadas. Dessa forma as mensagens são entregues ao usuário, porém, direcionadas à caixa Spam. Basicamente o SpamAssassin não sofre alterações neste teste pois já possui este comportamento por padrão. O único fator importante foi a alteração de tratamento de mensagem por pontuação, de 5 para 3 pontos, para que a mensagem seja considerada Spam. Foram recebidas 2009 mensagens, sendo destas a ferramenta ASSP tratou 7 como mensagens legítimas e 2002 mensagens consideradas Spam. O SpamAssassin aprovou 1528 mensagens como legítimas,

8 Figura 3. Desempenho ASSP (a) e SpamAssassin (b) 480 como Spam e apenas 1 rejeitada por outro motivo qualquer, fora dos padrões analisados no teste. Comparando o consumo de recursos de cada servidor, a que hospedou o ASSP teve o maior consumo devido a quantidade de módulos ativos para análise e combate ao Spam. A figura 4 mostra o resultado nas caixas de através da aplicação Roundcube e a figura 5 o consumo de recursos. Figura 4. Webmail ASSP (a) e SpamAssassin (b) 7.3. Teste 3 O terceiro cenário teve como foco o uso dos filtros Bayesian e ClamAV, ou seja, os filtros por RBLs e pontuação foram modificados no intuito de analisar basicamente os filtros Bayesian e ClamAV. Os valores de pontuação passaram de 50 para 100, no caso do ASSP, e de 5 para 10, no caso do SpamAssassin. Para este teste foi necessário montar um banco de mensagens consideradas legítimas e Spam. Pela facilidade de já estar sendo realizado

9 Figura 5. Desempenho ASSP (a) e SpamAssassin (b) testes em uma estrutura na qual já se usa o ASSP, foi utilizada a mesma base de dados nas ferramentas de testes. Essa base já contava com pouco mais de 11 mil mensagens catalogadas como legítimas e 15 mil como Spam. Foram recebidas 1101 mensagens, sendo destas a ferramenta ASSP tratou 20 como mensagens legítimas e 494 mensagens consideradas Spam. O SpamAssassin aprovou 674 mensagens como legítimas e 427 como Spam. Comparando o consumo de recursos de cada servidor, o que hospedou o ASSP teve o maior consumo devido a quantidade de módulos ativos para análise e combate ao Spam. Pode-se observar o resultado da coleta final na figura 6. Com a utilização do ClamAV, o consumo de recursos excedeu os valores dos outros testes, como mostra a figura 7. Figura 6. Webmail ASSP (a) e SpamAssassin (b) 8. Conclusões Este projeto teve como base um estudo de caso comparativo entre duas ferramentas anti- Spam com a intenção de compor uma configuração ideal para a estrutura abordada. Os

10 Figura 7. Desempenho ASSP (a) e SpamAssassin (b) testes foram realizados da forma mais fiel possível, uma vez que cada ferramenta possui características próprias e desempenham papeis semelhantes no combate ao Spam. A ferramenta ASSP possui dezenas de recursos e mecanismos interessantes para o tratamento de mensagens, apesar de ter sido escolhido apenas quatro das principais funções dela: O uso de pontuação, RBLs, ClamAV e filtro Bayesian. O SpamAssassin é uma excelente ferramenta no combate ao Spam mesmo possuindo poucas funcionalidades disponíveis, porém, se mostrou um forte concorrente ao ASSP. Ela também possui as quatro funções citadas anteriormente, sendo possível ter realizados os testes gradualmente. Por ter inúmeros módulos ativos para análise de conteúdo, o ASSP acaba consumindo mais recursos físicos em comparação ao SpamAssassin, conforme mostrado anteriormente nos gráficos gerados em cada etapa. Montando um laudo entre as ferramentas, o ASSP permanece sendo a melhor alternativa por ser flexível, ponderado e mais se adequar à estrutura estudada. Tendo em vista o ciclo do projeto, foi possível montar uma tabela comparativa de consumo de memória e coleta de s, apresentados na figura 8 e tabela 3, respectivamente. Os resultados foram bastante satisfatórios, pois, a estrutura atual não possui quaisquer ajustes nas configurações, consequentemente, não tratando as mensagens da melhor forma aos usuários da instituição. No futuro, será estudada a implementação em ambiente real de forma transparente ajustando os filtros com base no estudo relatado e praticado neste projeto. Referências Antispam.br (2013). Antispam.br ::. Disponível em: < Acesso em: setembro Apache (2013). HTTP Server Project. Disponível em: < Acesso em: setembro 2013.

11 Figura 8. Média de consumo de memória Tabela 3. Resultado final ASSP SpamAssassin Spam Ham Spam Ham Total Teste Teste Teste ASSP (2013). Stop Spam with the Anti-Spam-SMTP-Proxy (ASSP). Disponível em: < Fritz Borgstedt/assp/0003D91C C/>. Acesso em: setembro ClamAV (2013). Clamav. Disponível em: < Acesso em: setembro PHP (2013). Hypertext Preprocessor. Disponível em: < Acesso em: setembro Postfix (2013). The Postfix Home Page. Disponível em: < Acesso em: setembro Roundcube (2013). Roundcube. Disponível em: < Acesso em: setembro Spam (2013). Spam. Disponível em: < Acesso em: setembro SpamAssassin (2013). The Apache SpamAssassin Project. Disponível em: < Acesso em: setembro 2013.

12 Technopedia (2013). Real-Time Blackhole List (RBL). Disponível em: < Acesso em: setembro Terra (2013). Primeiro spam. Disponível em: < Acesso em: setembro Valor (2013). Internet no Brasil ultrapassa 100 milhões de usuários, aponta ibope. Disponível em: < Acesso em: setembro Wikipedia (2013a). Asynchronous Javascript and XML. Disponível em: < (programação)>. Acesso em: setembro Wikipedia (2013b). Bayesian spam filtering. Disponível em: < spam filtering>. Acesso em: setembro Wikipedia (2013c). Internet Message Access Protocol. Disponível em: < Message Access Protocol>. Acesso em: setembro 2013.