Bekämpfung von Image-Spam

Bekämpfung von Image-Spam
WHITE PAPER
Die BorderWare Intercept™ Image Analysis
Technology
INHALTSVERZEICHNIS
4
Einleitung
4
Die Entwicklung von Spam
9
Die Zukunft von Spam
10
BorderWare bekämpft Image-Spam
12
Zusammenfassung
Einleitung
Das Nachrichtenvolumen in punkto Spam hat sich in den vergangenen 12 Monaten verdoppelt und wird
sich in naher Zukunft verdreifachen, so ist es kein Wunder, dass der Endnutzer immer mehr unerkannten
Spam in seinem Posteingang vorfindet. Obwohl E-Mail-Filter genauso effizient sind wie vor einem Jahr,
müssen sie mit dem doppelten Volumen fertig werden. Diese Situation hat sich in jüngster Zeit durch das
Auftauchen von Image-Spam noch verschlimmert. Im BorderWare Security Network (BSN) wurde registriert,
dass Image-Spam derzeit wenigstens 35 % des gesamten Spam-Aufkommens ausmacht und dieser Trend
wird noch zunehmen.
Wie die nachfolgende Grafik zeigt, sind gemäß BSN 94 % aller eingehenden Image-Spam-Nachrichten GIFs,
5,5 % JPGs und 0,5 % PNGs. Von den GIFs sind 98 % und von den PNGs 100 % der Bilder einmalig.
Die Branche erlebt im Bereich der Spam-Attacken zurzeit eine Entwicklung, die viele der existierenden
Filtertechnologien wirkungslos macht. Nutzer werden mit unerwünschten
Spam-Nachrichten überschwemmt und entsprecht wächst die Unzufriedenheit der Anwender. Was
man jetzt braucht, sind anpassungsfähige Technologien und Unternehmen, die diese neuartigen Attacken
verstehen und mit ihnen umgehen können.
Die Intercept™ Engine von BorderWare bietet kontinuierliche Erkennungsraten von über 97 % und
ist lern- und anpassungsfähig hinsichtlich neuer Spam-Attacken. Intercept verwendet eine ganze Reihe
verschiedener Verfahren und Daten zur Unterscheidung von legitimen Nachrichten und Spam, darunter
Blocklisten, Absenderreputation und - verhalten (auf Grundlage vom BSN), Textanalysen und andere
Heuristiken. Das Auftauchen von Image-Spam in jüngster Zeit hat neue Herausforderungen geschaffen und
viele der existierenden Anti-Spam-Lösungen sind für eine Erkennung von Image-Spam nicht effektiv genug.
Um Schutz vor diesen Attacken zu bieten, hat BorderWare die Intercept Image Analysis entwickelt, eine
neue, zum Patent angemeldete Technologie speziell zur Bekämpfung von Image-Spam.
Die Entwicklung von Spam
Image- oder Bilder-Spam ist der nächste Schritt in der Spam-Entwicklung. Eine typische Image-SpamNachricht besteht aus einem Bild, üblicherweise einer GIF-Datei, einer großen Anzahl zufälliger Wörter, so
genanntem Wortsalat, und gegebenenfalls einer URL. Spammer verwenden verschiedene Kombinationen
und Abwandlungen dieser Komponenten, um traditionelle Anti-Spam-Technologien zu umgehen, wie
beispielsweise URL-Blocklisten, optische Zeichenerkennung (OCR) und Fingerprinting.
4
Abbildung 1 zeigt eine typische Image-Spam-Nachricht. Für den Endnutzer sieht diese wie eine textbasierte
Nachricht aus, tatsächlich ist es jedoch ein Bild. Spam-Filter, die auf einer Textanalyse basieren, können den
Text innerhalb des Bildes nicht erkennen und die Nachricht daher auch nicht korrekt klassifizieren.
Abbildung 1 – Ein Beispiel für Image-Spam.
Traditionelle Spam-Nachrichten verwenden Bilder mit Links (URLs), die in die Nachricht oder direkt in das
Bild eingebunden sind. Ziel ist es, den Endnutzer dazu zu bewegen, auf den Link zu klicken, und zu einer
Website weiterzuleiten, über die etwas verkauft wird, persönliche Informationen erschlichen werden oder
Spyware auf seinem System installiert werden kann.
Solche Links sind leicht zu erkennen und es wurden Blocklisten erstellt, um E-Mails auf Grundlage dieser
„schlechten Links“ zu klassifizieren. Bilder können mithilfe von HTML IMG Tags auch an anderer Stelle gesammelt und über einen Web-Server nachgeladen und erst dann angezeigt werden, wenn eine E-Mail geöffnet
wird. Andere Varianten von Image-Spam verfügen über eingebundene Bilder, in denen der Nutzer aufgefordert wird, eine URL-Adresse in seinen Browser einzugeben, wie in Abbildung 2 dargestellt. Wenn es keine
Kommunikation mit einer externen Quelle gibt, entgeht diese Art Spam einer Erfassung durch URLBlocklisten. Wenn der E-Mail-Empfänger die Website besucht, war der Spammer erfolgreich.
Abbildung 2 - Ein Beispiel für Image-Spam, in dem der Endnutzer aufgefordert wird, selbst tätig zu werden.
Obwohl Image-Spam für den Endnutzer gleich aussehen mag, verwenden Spammer Programme, um jedes
einzelne einelne Bild automatisch zu erstellen und zu verändern. Dadurch erscheinen Nachrichten einmalig,
wenn sie von Spam-Filtern empfangen und verarbeitet werden. Aufgrund der Zufälligkeit der Bilder
entziehen sie sich erfolgreich den Fingerprinting-Verfahren, die daraufhin konzipiert wurden,
Gemeinsamkeiten von Nachrichtencharakteristiken zuerfassen.
5
Die Abbildungen 3 und 4 sind Beispiele für automatisch erzeugte Spam-Nachrichten, die denselben Text
enthalten, als Bilder jedoch vollkommen verschieden sind. Die Abmessungen, Zwischenräume und Farben
sind unterschiedlich, sodass die Bilder bei einer standardmäßigen Spam-Analyse scheinbar einzigartig sind.
Spammer verwenden Tools zur Bilderzeugung, um diese Merkmale willkürlich zu variieren, ohne den Text zu
verändern.
Abbildung 3 – Ein Beispiel für ein automatisch erzeugtes Bild mit demselben Textinhalt wie in Abbildung 4,
aber anderen Bildmerkmalen.
Abbildung 4 – Ein Beispiel für ein automatisch erzeugtes Bild mit demselben Textinhalt wie in Abbildung 3, aber
anderen Bildmerkmalen.
6
Um E-Mail-Filter auszutricksen, fügen Spammer zufällige Zeichen und „Flecken“ ein und verwenden dasselbe
zugrundeliegende Bild mehrmals, um eine große Anzahl einmaliger Bilder zu kreieren. Diese Methode
ermöglicht es Spammern, dieselbe Bildvorlage immer wieder zu verwenden und zufällige Pixel einzufügen,
die wie Fusseln oder Flecken aussehen, sodass jedes Bild für E-Mail-Filter einzigartig erscheint und sich
Fingerprinting so auf wirkungsvolle Weise entzieht. Die Abbildungen 5 und 6 sind Beispiele für Bilder, die auf
derselben Bildvorlage basieren und sich nur durch Flecken unterscheiden.
Abbildung 5 – Ein Beispiel für ein Bild mit zufälligen Flecken und derselben Bildvorlage wie in Abbildung 6.
Abbildung 6 – Ein Beispiel für ein Bild mit zufälligen Flecken und derselben Bildvorlage wie in Abbildung 5.
7
Bei einer weiteren Image-Spam-Methode werden verschiedene Farben eingesetzt, sodass der Text
schlechter mithilfe von OCR erkannt wird, da OCR auf Zeichen mit einheitlicher Farbe und erkennbaren
Formen angewiesen ist. Durch Variieren der Schriftfarbe werden typische Spam-Wörter in einem Bild
versteckt. Die Abbildungen 7, 8 und 9 zeigen einen mehrfarbigen Nachrichtentext, der OCR- und
Fingerprinting-Technologien aushebelt, weil Wörter mithilfe verschiedener Farben verschleiert wurden.
Abbildung 7 – Ursprüngliche E-Mail-Nachricht.
Abbildung 8 – Detailansicht der Farbveränderung.
Abbildung 9 – Ein weiteres Beispiel für eine Farbveränderung.
Außer die Farben zu verändern, werden Bilder auch in mehrere Teile zerlegt, sodass der Text durch OCR
nicht erkannt wird, wie in Abbildung 10 dargestellt. Für den Endnutzer ist eine derartige Zerteilung nicht
mehr sichtbar, aber für Spam-Filter sind es zwei separate Bilder, die das Erkennen von Wörtern unmöglich
machen.
Abbildung 10 – Ein Beispiel für ein Wort, das in zwei Bilder zerteilt wurde.
8
Animierte Bilder und Zerlegung in Streifen sind der nächste Schritt im Kampf der Image-Spammer gegen
die OCR-Technologie. So werden animierte GIF-Bilder mit transparenten Frames verwendet, um Spam-Bilder
aufzubauen. Das Bild in Abbildung 11 ist aus 21 verschiedenen Schichten zusammengesetzt, die zusammen
das endgültige Bild ergeben. In diesem Beispiel kommen weitere Spam-Methoden zum Einsatz, um einer
Erkennung zu entgehen, darunter das Einfügen von Flecken, Farbveränderungen und Wortzerlegung. Eine
einzelne Schicht allein liefert nicht genügend Informationen, um das Bild als Spam klassifizieren zu können.
So zeigt Abbildung 12 beispielsweise die vier Schichten, die nur dafür verwendet wurden, verschiedene
Abschnitte der ursprünglichen E-Mail zu gestalten.
Abbildung 11 – Das aus 21 Schichten bestehende endgültige, animierte GIF-Bild. Abbildung 12 zeigt die vier
Schichten, die den zweiten Absatz bilden.
Abbildung 12 – Die vier Schichten, die das Bild in Abbildung 11 ergeben.
Die Zukunft von Image-Spam
Bildbasierte Spam-Nachrichten entwickeln sich ständig weiter, da Spammer versuchen, die neusten E-MailFiltertechnologien auszuhebeln.
Die jüngsten Entwicklungen zeigen eine vermehrte Verwendung seltener und ungebräuchlicher
Schriftarten, die in Bilder eingebunden sind, um einer Erkennung durch OCR zu entgehen. OCR wurde
daraufhin konzipiert, die Formen gängiger Schriftarten zu erkennen und Bilder in Text umzuwandeln. Es gibt
so viele verschiedene Schriftarten, dass es nicht sinnvoll ist, alle in ein OCR-Programm zu integrieren, und
diese Schwachstelle können sich Spammer zunutze machen. Abbildung 13 zeigt ein Beispiel für ImageSpam mit ungewöhnlichen Schriftarten, sodass gebräuchliche Erkennungsverfahren wie OCR nicht greifen.
9
Abbildung 13 – Ein Beispiel für Image-Spam mit ungewöhnlichen Schriftarten.
Spammer haben sich nun darauf verlegt, ein allgemeines Sicherheitsverfahren namens CAPTCHA
(Completely Automated Public Turing test to tell Computers and Humans Apart, zu Deutsch etwa
„Vollautomatischer öffentlicher Turing-Test, um Computer und Menschen zu unterscheiden“) einzusetzen,
um Spam-Filter zu umgehen. Die Stärke von CAPTCHA im Hinblick auf Sicherheit ist, dass CAPTCHA-Bilder
nicht maschinenlesbar sind. Das Problem bei diesen Bildern in Bezug auf die Erkennung von Spam ist, dass
sie ebenfalls nicht maschinenlesbar sind. Das Beispiel in Abbildung 14 zeigt ein verzerrtes CAPTCHA-Bild.
Abbildung 14 – CAPTCHA-Bild.
Und schließlich werden auch Botnet-Systeme immer ausgeklügelter und leistungsfähiger; sie können eine
große Anzahl zufälliger Bilder in kürzester Zeit generieren. Spammer senden den Text, den sie verwenden
möchten, und kompromittierte Systeme sorgen dann für den massenhaften Versand von Spam-Nachrichten
mit Abwandlung sämtlicher Bildaspekte.
BorderWare bekämpft Image-Spam
Um im Kampf gegen Image-Spam erfolgreich zu sein, sind neue Methoden erforderlich. BorderWare hat die
Intercept Image Analysis Technology entwickelt, ein zum Patent angemeldetes Klassifizierungsverfahren, das
zusätzlich zu den existierenden effektiven Methoden zur Gefahrenerkennung eingesetzt wird.
BorderWare verwendet durch das BSN registrierte Daten, um neu auftretende Spam-Bedrohungen zu
überwachen und entsprechende Maßnahmen zu ergreifen. Die von BorderWare gesammelten Daten
zeigen, dass zu jedem beliebigen Zeitpunkt über 25 Image-Spam-Attacken im Gange sind. Durch das BSN
wurde BorderWare darauf aufmerksam, dass die traditionellen Methoden wenig geeignet sind, mit diesen
zufälligen, bildbasierten Bedrohungen fertig zu werden.
Die Erkenntnisse, die aus diesen Daten gewonnen werden konnten, haben BorderWare veranlasst, zusätzlich
zur Intercept Engine die Intercept Image Analysis Technology zu entwickeln.
10
Wenn die Intercept Engine feststellt, dass eine E-Mail Bilder enthält, untersucht die Intercept Image Analysis
über 30 Merkmale jedes Bildes, darunter Positionierungen und Beziehungen zu anderen
Nachrichtenmerkmalen. Ebenso wie die Intercept Engine wurde auch die Intercept Image Analysis
daraufhin konzipiert, sich anzupassen und zu lernen. So ist sie in der Lage auf neue Image-Spam-Attacken
zu reagieren und bekannte wie neu auftretende Bedrohungen abzuwehren, wie:
1 Wortsalat, damit Content Filtern nicht greifen
2 Zufallsgestaltung und Einfügen von Flecken, um Bulk-Analyse und Fingerprinting zu umgehen
3 Zerteilen und Kacheln sowie animierte GIF-Bilder, um nicht durch OCR aufgedeckt zu werden
11
Zusammenfassung
Die Intercept Engine sorgt für kontinuierlich hohe Spam-Erkennungsraten bei minimaler Falsch-Positiv-Rate.
Diese Genauigkeit wird nach wie vor sowohl von Kunden als auch externen Brachenkennern sehr geschätzt.
Dank Einführung der Intercept Image Analysis Technology kann BorderWare weiterhin branchenführende
E-Mail-Sicherheit gewährleisten und so heute und in Zukunft jenen Schutz bieten, den unsere Kunden
wünschen.
BorderWare investiert kontinuierlich in die Sicherheits- und Spam-Forschung und wird dies auch weiterhin
tun. Dazu gehören auch verteilte Honeypots und das Sammeln von Echtzeitdaten über das BSN. Unsere
Sicherheitsexperten verwenden diese Daten, um neue Spam-Quellen, Sicherheitslücken und -bedrohungen
zu identifizieren, sobald Angriffe stattfinden. BorderWare kann auf eine über zwölfjährige Erfahrung zurückblicken und ist einer der anerkannten Experten im Bereich E-Mail-Sicherheit.
12
Wenn Sie weitere Informationen über die BorderWare Intercept Image Analysis Technology
wünschen, besuchen Sie unsere Website unter www.borderware.com, Informationen zum
BorderWare Security Network (BSN) finden Sie unter http://bsn.borderware.com, oder setzen Sie
sich direkt mit Ihrer regionalen BorderWare-Niederlassung in Verbindung.
Über BorderWare
Hauptsitz: +1.905.804.1855 | Gebührenfrei: +1.877.814.7900 | USA: +1.866.211.6789 | Europa: +44.20.8759.1999
www.borderware.com
Über dieses Dokument
Dieses Dokument liefert allgemeine Informationen zum Schutz personenbezogener Daten und zu Compliance-Initiativen in Nordamerika. Es dient nur zu Referenzzwecken und ist nicht als juristische Beratungshilfe
gedacht. Den Lesern dieses Dokuments empfehlen wir, sich an ihren Rechtsberater zu wenden, wenn sie ein besseres Verständnis darüber erlangen möchten, inwieweit die zuvor erörterten Themen ihre spezifischen
Umstände betreffen. Borderware Technologies Inc. übernimmt keinerlei Verantwortung für Schäden, Kosten, entgangene Gewinne, Strafen, Geldstrafen oder Gebühren
jedweder Art, die irgendeiner Partei entstanden sind, weil sie auf die hier enthaltenen allgemeinen
Informationen vertraut oder auf ihrer Grundlage gehandelt haben.
©2007 BorderWare Technologies Inc. Alle hier gezeigten Produktfotos dienen nur Referenzzwecken und wir behalten uns das Recht vor, diese ohne vorherige Ankündigung zu ändern. Internet Communications Made Safe,
BorderWare, MXtreme, SIPassure, S-Core und entsprechende Kennzeichnungen sind Marken von BorderWare Technologies Inc. Andere erwähnten Produkte bzw. Firmennamen sind Marken oder eingetragene Marken
ihrer jeweiligen Inhaber. Januar 2007
Printed in Canada. Doc No.: WP_ImageSpam_0107
BorderWare Technologies ist einer der führenden Anbieter für Sicherheitslösungen, mit Fokus auf
Compliance, Richtlinienkonformität und dem Schutz von vertraulichen Daten. BorderWare-Lösungen
bieten umfassenden Schutz vor allen Internet-basierten Bedrohungen, einschließlich Instant
Messaging– und VoIP-Applikationen. BorderWare Technologies Inc.™ ,1994 gegründet und mit
Hauptsitz in Toronto, Kanada, betreut mehr als 8000 Kunden in 65 Ländern über ein globales Netzwerk
von Distributionspartnern. Der Fokus liegt auf umfassenden, skalierbaren Sicherheitslösungen, die einen
durchgängigen Geschäftsbetrieb bei niedrigen Total Cost of Ownership garantieren.Das Unternehmen
unterhält strategische Beziehungen und Partnerschaften zu führenden Firmen, darunter Cisco
Systems, F5 Networks, Kaspersky Labs, McAffee, PostX, Research In Motion (RIM), RSA Security, Sun
Microsystems, Symantec und Ubiquity. Weitere Informationen unter www.borderware.de oder unter
++49 6201901050 (BorderWare Europe Ltd., Deutschland).