Kazdy clovek, ktery se pohybuje po Internetu ma z nejvetsi pravdepodobnosti svuj e-mail. E-mailova schranka pomalu, ale jiste nahrazuje nasi oblibenou schranku, kterou mame kazdy u domovnich dveri a kam jsme s oblibou hazeli papirky od bombonu. Zname to vsichni. Prihlasime se do mailove schranky a vyskoci na nas neskutecne mnozstvi nevyzadane posty nabizejici nejruznejsi vyrobky a sluzby Viagrou pocinaje a "kvalitnim" pornem konce. Tak presne tohle se deje v cyberspace, jenze "papirky" do schranek nehazi male deti. Nekdo to dela pro poteseni, ale vetsina lidi se snazi z teto cinnosti profitovat. Setkavame se s tim kazdy den a stejne jen malo kdo z nas se zamysli nad banalni otazkou: Jak to hernajs spameri delaji? Na dalsich radcich se pokusim popsat alespon nektere z triku, jimiz se spameri snazi obejit mailove filtry.
Postupy, ktere spameri pouzivaji, muzeme rozdelit do tri skupin podle ucelu plneni.
Zaprve se spameri snazi ukryvat nezadouci slova (napr.: PORNO, Viagra) tak, aby je filtry nezaregistrovaly.
Zadruhe, umistuji do zprav nevinne vyhlizejici slova, ktera jsou pro prijemce neviditelna, ale filtr je zachyti a dojde k zaveru, ze se nejedna o spam.
Zatreti,maskuji adresy svych stranek, protoze jsou si vedomi, ze by je mohly prozradit.
Jiz z nazvu je patrne, ze se spameri budou snazit ukryt slova, na jejichz zaklade je zprava snadno rozpoznana jako spam. Proto se snazi upravovat slova tak, aby byla nesrozumitelna pro filtry, ale citela pro cloveka.
Prvni z metod by se dala pojmenovat jako
P O R N O
Dovolim si rici, ze tento zpusob uz je dnes prakticky nepouzitelny. Vetsina sofistikovanejsich filtru samozrejme dokaze vyhledavat slova podle schematu <pismeno><mezera><pismeno><mezera> a odhalit tak ukryte slovo. Proto se spameri uchyluji k prokladani slov i jinymi znaky, nez pouze mezerami:
P'O'R'N'O P*O*R*N*O P.O.R.N.O P-O-R-N-O P_O_R_N_O
Ovsem opet se jedna o velmi jednoduse odhalitelnou metodu. Ale z tohoto prikladu je jasne patrne, ze uzivani heuristickych filtru, ktere si zadaji od uzivatele samostatnou aktualizaci pravidel, je naprosto k nicemu. Smysluplne jsou pouze automaticky aktualizovane filtry. Proc? Definovat pravidla pro zdanlive i tak jednoduchy pripad jako je zminen vyse by byl pro uzivatele hodne narocny a vyzadoval by neumerne usili. Muzeme se dokonce setkat se zpravami, jez pouzivaji uplne odlisnou techniku. Z textu odstarni vsechny mezery a nahardi je nahodnymi pismeny:
DidAyouFknowNyouMcanBget VprescriptionVmedications prescribedTonlineTwith NORPRIORRPRESCRIPTIONPREQUIRED!
Ovsem o ucinnosti teto metody se da polemizovat, protoze je pro cloveka necitelna.
Dalsi technika se da pojmenovat jako
Testovanim freeware a komercnich filtrovacich programu spameri rychle pochopili, ze techniky jako ukryvani slov nejsou prilis ucinne. Zacali tedy vyuzivat metody, v niz zamenovali bezna pismena za znaky s diakritikou, kterych neni v ASCII tabulce zrovna malo a dokazi nezadnouci slova pomerne skvele zamaskovat a zustavaji i nadale citelna.
Napriklad pro slovo Vigra je s pouzitim ruznych variant samohlasek a a i mozna vykouzlit 144 nejruznejsich variant. Anglicky mluvici clovek si dany text precte bez ohledu na diakritiku, ovsem filtr tuto moznost nema a muze byt obelsten.
Moznosti, jak se proti teto technice branit, je nahradit znaky s diakritikou ekvivalentem bez diakritiky.. Tim opet tato technika pozbyva na ucinnosti.
Dalsim zpusobem je vyuziti entit jazyka HTML, ktere slouzi k zapisu zvlastnich znaku nebo pismen, jez nejsou soucasti anglicke abecedy. Entity jsou zapisovany jako cisla, ktera jsou uvozena znaky &# a ukoncena ; strednikem. Pokud budeme chtit napriklad francouzske(ceske) é, v HTML ho zapiseme jako é. Stejne tak maji i pismena zakladni anglicke abecedy sve entity. Takze napriklad vyse zminovane slovo Vigra by se dalo napsat asi takhle:
ViagraOvsem filtr tento trik take velmi lehce prokoukne. A proto spameri vyuzivaji daleko dumyslnejsi techniky s vyuzitim jazyka HTML.
Formatovaci prikazy jazyka HTML jsou zapisovany v podobe tzv. tagu, tj. instrukci uzavrenych v hranatych zavorkach < > . Podobne, jako vetsina programovacich jazyku, umoznuje i HTML vkladat do kodu poznamky, ktere jsou pri zpracovani opomijeny. Komentar zacina znackou <!-- a konci znackou -->; text mezi temito znackami prohlizece HTML dokumentu ignoruji. Spameri vyuzivaji komentare k rozdeleni casti nezadoucich slov. Slovo PORNO muze byt rozdeleno naslednovne:
P<!--anon-->O<!--dinosaurus-->R<!--hexagon-->N<!--mouse-->OTento podivne vyhlizejici usek textu bude v postovnim programu podporujicim HTML zobrazen jako PORNO. Diky komentarum se po dlouhou dobu nechaly filtry obelstit, ze zadany text neni v zadnem pripade spam. Ovsem nic netrva vecne a filtry zacaly byt vybavovany funkci, ktera odstranovala z textu komentare HTML a az posleze doslo k analyze zpravy. Odstraneni komentaru neni nic sloziteho a da se rici, ze tohle vlastne delaji postovni programy pri zobrazovani HTML zpravy. V podstate jiz samotna pritomnost komentaru v tele zpravy muze vzbudit pozornost filtrovaciho programu - proc by je tam nekdo vkladal, ze??
Obcas take spameri vyuzivaji chybnych HTML tagu s nahodnym nazvem, ktere jsou, stejne jako komentare prohlizecem, ignorovany. Umisteni libovolnych slov mezi znaky < a > ma podobny efekt jako pouziti komentaru:
P<amon>O</dinosaurus>R<hexagon>N</two>OVelka obliba tohoto triku mezi spamery se pro ni stala osudnou, protoze vetsina antispamovych filtru odstrani HTML komentare. Technika deleni slov pomoci HTML tagu se dnes jiz take nevyuziva tak casto jako tomu bylo driv. V metode CERNA DIRA rozdelime nezadouci slovo mezerami s nulovou velikosti. Pro urceni velikosti pisma v casti textu zadavame HTML prikaz <font size=X>, a namisto X vkladame hodnotu 1 az 7(7nejvetsi, 1 nejmensi). Napriklad pro zapsani slova Vitejte nejmensim pismem zadame:
<font size=1>Vitejte</font>Programy jako Microsoft Internet Explorer a postovni nastroj Outlook a Outlook Express pripousteji take rozmer 0, tj. text s nulovou velikosti. Spameri mohou pouzit font o velikosti 0 spolecne s entitou odpovidajici pevne mezere a takto ziskat znacku mezery s nulovou sirkou:
<font size=0> </font>S pouzitim teto techniky rozdelime slovo PORNO nasledovne:
P<font size=0> </font> O<font size=0> </font> R<font size=0> </font> N<font size=0> </font>OUcinny antispamovy filtr dokaze rozeznat nejen komentare HTML, ale take velikost pisma. Spameri ale vymysleji stale dalsi a dalsi metody, jak filtry obejit: Kdyz dokazi odhalit font s velikosti 0, proc nepouzit velikost 1?
Jednim z dalsich napadu spameru spociva v umistovani nahodnych pismen dovnitr slova(coz spusobi, ze po odstraneni HTML tagu filtr precte slovo PORNO napriklad jako PfORNO) a zmensenim techto pismen tak, aby byla temer nepostrehnutelna. Trik Mikrotecka vyuziva velikosti pisma 1:
P<font size=1>f</font>ORNOV postovnim programu bude toto pismeno tak male, ze bude pripominat miniaturni tecku(mikrotecku).
V jedne z nejrafinovanejsich metod deleni slov spameri pouzivaji font stale sirky a tabulky. Kamuflovany text je nejdrive zapsan fontem stale sirky tak, aby jej slo rozdelit do sloupcu:
Viagra samples FREE
Nasledovne je vytvorena tabulka, v niz se do kazdeho sloupce zapise jeden sloupec pismen textu. Tato technika je velmi ucinna proti antispam filtrum, ktere odstranuji tagy HTML. Filtr ziska text, ktery vypada jako retezec nahodnych pismen, protoze je cten odshora dolu namisto zleva doprava:
Vsf iaR ame gpe rl ae s
Pro odhaleni skutecneho obsahu zpravy by musel byt filtr vybaven mechanizmem pro rozpoznavani rozmisteni prvku HTML. V praxi to vsak neni nutne, nebot takova zprava muze byt snadno identifikovana jako spam na zaklade toho, ze jsou v ni pouzity slozite tabulky a font o stale sirce znaku. V tomto pripade nejsou odhalovana slova samotna, ale metody k jejich kamuflazi.
Pokracovani priste... ;)