Fabien Coelho

SPAM : une page de publicité !

Fabien Coelho ( coelho@cri.ensmp.fr)

diplômes École des mines de Paris, Ingénieur Civil (93), Docteur (96)

enseignement ENSMP, ESIGETEL, Télécom Bretagne,

Mastère Spécialisé MSIT (Management SI et Tech, HEC-Mines)

missions ponctuelles animations, formations, audit et conseil en SI

compétences SI

• ingénierie logicielle : développement, outils SCM

• administration réseau, applications web

• cryptographie, sécurité des réseaux, parefeu. . .

• bases de données, administration système (unix)

• logiciels libres : PostgreSQL, Apache, Subversion

1

Fabien Coelho

SPAM ! SPAM ! SPAM !2

Fabien Coelho

SPAM !le phénomène

acteurs et protocoles

origine, définitions

exemples

histoire

ampleur

acteurs

les batailles

filtrage par le contenu

établir la confiance

ralentir le flux

la loi

l’issue

CNIL 2002

3

Fabien Coelho

Acteurs de la messagerie

MUA Mail User Agent, programme client final

logiciels MS-outlook thunderbird mail/elm/pine. . .

MTA Mail Transfer Agent : serveur envoi/réception, SMTP

logiciels sendmail qmail exim postfix MS-Exchange. . .

MDA Mail Delivery Agent : récupération des mails reçus

protocoles POP, IMAP, POPS, IMAPS, éventuellement HTTP

4

Fabien Coelho

Les protocoles et standards IETF

IP Internet Protocol : numérotation machines et routage de paquets

TCP multiplexage port, double flux, contrôle réception et débit

SMTP Simple Mail Transfer Protocol, RFC 821

message format ASCII (pas de lettre accentuées)

• enveloppe : adresses source et destination

• entête : sujet, adresses, chemin suivi. . .

• contenu : texte limité en taille

ESMTP Extended Simple Message Transport Protocol, RFC 1425/1869

MIME Multipurpose Internet Mail Extensions RFC 2045-2049

pièces attachées, codage binaire (base64)

5

Fabien Coelho

Session SMTP

• bonne foi supposée des parties. . .

• coût communication très bas + nombreux internautes solvables

220 smtp.cri.ensmp.fr ESMTP Sendmail 8.9.3...

MAIL FROM: w@whitehouse.gov

250 w@whitehouse.gov Sender ok

RCPT TO: coelho

250 coelho... Recipient ok

DATA

354 Enter mail, end with "." on a line by itself

From: George <w@whitehouse.gov>

To: Fabien <coelho@cri.ensmp.fr>

Subject: Hello

Hello Fabien, how do you do?

.

250 OAA26140 Message accepted for delivery

6

Fabien Coelho

Anatomie mail (et d’un spam)

• enveloppe HELO, MAIL FROM, RCPT TO, partiellement invisible

• entêtes From, Reply-To, Return-Path, Cc, To, Received. . .

• corps avec formats (texte, html) et encodages (url, caractères, html)

Received: from softbank219211033059.bbtec.net

(softbank219211033059.bbtec.net [ 219.211.33.59 ])

by gif.cri.ensmp.fr (8.13.4/8.13.4/Debian-3sarge3)

with SMTP id kA99r4ZJ016051; Thu, 9 Nov 2006 10:53:28 +0100

...

Date: Thu, 09 Nov 2006 13:46:09 +0400

From: "EURO VIP casino" <bengali@flyingwebsites.com>

To: jetskier@cri.ensmp.fr

Subject: 400 Euro Bonus de Bienvenue!

...

http:// www.evrovip.org /lang-fr/

7

Fabien Coelho

Éléments d’enquête

DNS correspondances noms ↔ numéros IP

• 219.211.33.59 ↔ softbank219211033059.bbtec.net

• www.evrovip.org → 217.20.209.154

217.20.209.154 → rien

WHOIS identification des responsables (théoriques)

219.211.33.59 institution financière au Japon

evrovip.org domaine créé le 6 novembre 2006

adr Tonga, tél Turquie, mail Bielorussie, DNS Russie

217.20.209.154 hébergement Russie

ISP traces des connexions (authentifications, num tél)

sur saisie de la justice, police. . .

8

Fabien Coelho

Site Web http://www.evrovip.org/lang-fr/

• casino en ligne, options de paiement VISA/Mastercard. . .

• téléchargement d’un exécutable automatique (javascript). . .

9

Fabien Coelho

Euro-VIP le retour : 13/11/2006

• spam pour www.evro-vip.org (tiret en plus)

• envoyé à partir de l’Espagne

8.Red-80-32-44.staticIP.rima-tde.net 80.32.44.8

• domaine créé le 10 novembre 2006. . .

• même numéro de machine hébergé en Russie

Mais aussi. . .

evrovip.net evro-vip.net evrovip.com evro-vip.com

777-eurovip.info euro-vip.net eurovipcasino.org

eurovipcasino.net eurovipcasino.info

10

Fabien Coelho

SPAM = SPiced hAM

• viande de porc en boîte

• pour rations militaires

• depuis 1937

• société Hormel

• bon comme du corned beef !

11

Fabien Coelho

Monty Python’s Flying Circus

SPAM skit

épisode 25, 15 déc 1970

commande dans un restaurant

cœur de vikings. . .

Mr. Bun What have you got, then?

Waitress Well, there’s egg and bacon; egg, sausage, and bacon; egg and SPAM;

egg, bacon, and SPAM; egg, bacon, sausage and SPAM; SPAM, bacon,

sausage, and SPAM; SPAM, egg, SPAM, SPAM, bacon, and SPAM; SPAM,

SPAM, SPAM, egg, and SPAM; SPAM, SPAM, SPAM, SPAM, SPAM, SPAM,

baked beans, SPAM, SPAM, SPAM, and SPAM; or lobster thermidor aux

crevettes with a mornay sauce garnished with truffle pate, brandy, and a fried

egg on top and SPAM.

12

Fabien Coelho

Définitions du SPAM1. unwanted mail, junk mail

• courriels non souhaités, pourriels

• définition subjective !

2. unsolicited commercial email

• messages commerciaux non sollicités

• définition restrictive !

3. unsolicited bulk email

• messages non sollicités massifs

• définition également restrictive !

4. Send Phenomenal Amounts of Mail

acronyme a posteriori

13

Fabien Coelho

Nature du SPAM, selon définition 1

UCE/UBE Unsolicited Commercial/Bulk Email

vente produits, services, diplômes

scam escroqueries et arnaques diverses

419, loto, etc.

phishing pêche aux identitées

virus propagé automatiquement (merci M$)

et erreurs de propagations ! (delivery failure)

anti-virus refus des précédents !

en général, source incorrecte

hoax mystification, blagues, chaînes. . .

voir http://www.hoaxbuster.com/

14

Fabien Coelho

Nigerian 419 Scam : Avance de frais

Date: Thu, 15 Jun 2006 14:09:44 +0400

From: Mrs. Florence Lloyd <f.lloyds_consult@yahoo.ca>

To: fabien@coelho.net

Subject:

Dear Sir,

...

I am contacting you regarding a brief for the Investment of Tw enty Five

Million Dollars (US$ 25,000,000:00) in your country, ...

to work with you in mutual partnership under the conditions t hat:

1. My client’s fund is held in cash.

2. My client is willing to invest immediately.

3. My client will pay you a commission of 15% of the

investment fund for logistics and protocols.

4. My client desires absolute confidentiality in the handli ng and

management of this brief.

...

15

Fabien Coelho

Logiciels téléchargeable à prix cassés. . .

Date: Tue, 20 Jun 2006 09:05:01 +0800

From: Gregory Ramirez <danquaranta@eroticstockphoto.co m>

To: fabien@coelho.net

Subject: Buy OEM Software

Special Offer

Adobe Video Collection

* Adobe Premiere 1.5 Professional

* Adobe After Effects 6.5 Professional

* Adobe Audition 1.5

$149.95

More Info >>

...

• lien www.stalinisoft.com

• domaine 18/06/2006, BP Finlande

• hébergement du site en Chine

16

Fabien Coelho

Mise à jour des informations eBay/Paypal/HSBC. . .

Date: Thu, 15 Jun 2006 20:24:24 +0100

From: HSBC Bank <service@hsbc.co.uk>

To: fabien@coelho.net

Subject: Your account access has been limited

Dear online banking customer,

Thank you for using the HSBC Bank Online Transfer(R) - servic e.

In order to provide final approval for your transaction, we n eed

additional information. Please access your online banking account

to verify the information is correct and complete your enrol lment.

If we do not hear from you within the next 24 hours, we will canc el

your Online Transfer(R) service.

...

• lien http://209.208.104.40/panel/hsbc/index.html

17

Fabien Coelho

Proposition de Job bizarre. . .

Date: Sat, 24 Jun 2006 00:12:28 +0400

From: Jacklyn <Jacklyn@SiliconEmail.com>

To: coelho@cri.ensmp.fr

Subject: ew experience

...

This offer does not require any experience or any school degr ee. It

is the way for you to earn money without any serious effort. Jo b is

called Bank Courier. All the information available on our we bsite,

please visit: http://www.bestfast-job.com

...

2. You have to have a bank account in one of the following banks

(National Bank, Commonbank, Sancorpbank, Bendigobank).

These are requirements, and if your bank is not listed then yo u are

not allowed to work with us. You will get paid in time and in big

amounts. If you considered to start working with us, prepare your

bank account information and you need to be 18+ years old. To b egin

your registration visit our website.

18

Fabien Coelho

Les détails : phishing ou scam ?

• beau site web

• 7 numéros ip (Corée et USA, semblent être des ADSL)

• société créée en 2002 d’après elle-même

• mais domaine déposé en mai 2006 par un américain

• mais adresse en Lituanie

• blanchiement d’argent volé par d’autres arnaques internet. . .

19

Fabien Coelho

Manipilations boursières

Date: Fri, 23 Jun 2006 06:33:12 -0180

From: Nancy Mercado <tkovner@smallworld.com>

To: coelho@cri.ensmp.fr

Subject: fwd: Your St0kkMarrkett Picks Trade Special speci al pr news release

Get HYWI First Thing Tomorrow, This Is Going To Explode!

Check out the HOT NEWS!!!

Holly wood Intermediate, Inc.

Symbol: H Y W I

CURRENT: $.70 GET IT N0W!

Already up 0.12 (20.69%) Today Thursday the 22nd

Before we start with the profile of HYWI we would like to menti on

something very important: There is a Big PR Campaign startin g on

Friday .Iit will run all weekend so it would be best to get in NO W.

...

20

Fabien Coelho

Publicité pour des pillules

Date: Mon, 26 Jun 2006 15:46:43 +0800

From: Lolita <Lolita.Fenton@earthlink.net>

To: coppage@cri.ensmp.fr

Subject: Enjoy the newest Surely you only dream of it

Take a look:World famous brands which keep men happy all over the world!

C V C

H I I

E A A

A G L

P R I

A S

http://www.sexygd.com

Rock hard manhood, multiple explosions and several times mo re semen

volume!Fill up your supplies with our secure ordering, cost saving

and fast delivery.The quality is realt high and the prices ar e the

cheapest on the market!

21

Fabien Coelho

Citibank

Date: Thu, 03 Jun 2004 05:38:59 -0600

From: "CitiBank Accounts Department"

Subject: Update your account information

Dear Citibank Member,

As part of our continuing commitment to protect your account and to

reduce the instance of fraud on our website, we are undertaki ng a period

review of our member accounts.

You are requested to visit our site, and fill in the required

information.

https://www.citibank.com/?update=CB?account

22

Fabien Coelho

Lien sécurisé vers HTML Citibank ?

<a href="http://verify-check.mycitibank.org....">

https://www.citibank.com/?update=CB?account

</ a>

• en fait protocole http et domaine mycitibank.org

• propriétaire apparemment américain, e-mail en Russie. . .

shell> whois mycitibank.org

Registrant Name:Benjamin A Perowsky

Registrant Street1:173 Dean St.#3

Registrant City:Brooklyn

Registrant Postal Code:11217

Registrant Country:US

Registrant Email:holyky@list.ru

23

Fabien Coelho

Autre phishing Citibank

Date: Wed, 14 Jul 2004 04:04:46 PM -0500

From: Citibank <users-supp@citibank.com>

To: ...@ensmp.fr

Subject: from Citibank. [Wed, 14 Jul 2004 04:04:46 PM -0500]

• image clickage vers 128.134.200.240/cit/index.htm

24

Fabien Coelho

Phishings francophones : BNP-Paribas, Banque AGF, LCL

Cher client de BNP Paribas,

Le département technique de BNP Paribas procède à une mise à j our

de logiciel programmée de façon à améliorer la qualité des

services bancaires.

Nous vous demandons avec bienveillance de cliquer sur le lie n

ci-dessous et de confirmer vos détails bancaires.

http://www.secure.bnpparibas.net/...

Nous nous excusons pour tout désagrément et vous remercions de

votre coopération.

25

Fabien Coelho

Date: Wed, 01 Feb 2006 13:32:45 -0500

From: lcl <noreply@lcl.fr>

To: ... <...@ensmp.fr>

Subject: LCL: Message de la banque 76-9563

http://lnteractif.credltlyonnals.com

Cher client

A cause des tentatives d’escroquerie sur les comptes des cli ents

de notre banque qui sont devenues plus fréquentes votre comp te à

été choisi pour effectuer la verification supplémentaire.

Veuillez passer sur la page Internet d’autorisation de la ba nque

et saisir toutes les données nécessaires.

Nous prenons soin de votre sécurité.

Rappelez-vous que la banque ne vous demande jamais d’envoye r le

mot de passe ou les informations sur votre carte bancaire.

Groupe Crédit Agricole - Site institutionnel LCL

26

Fabien Coelho

Typologie des escroqueries sur internet

Avance de frais type Nigéria 419

Loto et prix (éventuellement avec avance de frais)

Pyramides classiques

Emploi à domicile

Banque récupération d’information bancaire

Voyance par email contre rémunération

Réservations remboursement partiels avant paiement

Renouvellement de domaines . . .

etc. créativité infinie et étonnante des escrocs

http://www.scamfraudalert.com/ http://www.scam.com/

27

Fabien Coelho

Virus : Mise à jour sécurite pour Windows

mail HTML au look MS

Date: Fri, 03 Oct 2003 09:35:51 +0200

From: "MS Program Security Section" <MAILER-DAEMON>

Subject: current network security pack

this is the latest version of security update, the

"October 2003, Cumulative Patch" update which fixes all

known security vulnerabilities affecting MS Internet Expl orer,

MS Outlook and MS Outlook Express as well as three new

vulnerabilities. Install now to protect your computer from

these vulnerabilities, the most serious of which could

allow an attacker to run executable on your computer.

This update includes the functionality of all previously

released patches.

...

28

Fabien Coelho

Virus : fichiers zip, éventuellement chiffrés

Date: Mon, 26 Jun 2006 17:40:42 -0300

From: Djm <djm@uu.net>

To: Coelho <coelho@cri.ensmp.fr>

Subject: Henrie

I love you

archive password: [63295]

pièce attachée "Cybil.zip" application/octet-stream

29

Fabien Coelho

Hoax : Raffarin 500mg

• somnifère. . .

• septembre 2002

• large circulation

30

Fabien Coelho

Histoire du SPAM

mai 1978 publicité DEC sur Arpanet par Gary Thuerk

fév 1982 première chaîne de chance

jan 1994 arrosages usenet (news)

début croissance exponentielle SPAM, Internet. . .

1995 les petits entrepreneurs. . .

Jeff Slaton (Indirect.com), Kevin Lipsitz,

Stanford Wallace (Cyber Promotions)

Floodgate Spamware : logiciel d’arrosage

1996 début de la guerre anti-spam : Spamhaus, spamblock

2001 Network Solutions commercialise ses fichiers

31

Fabien Coelho

Le SPAM en 2006

• chiffres difficiles à trouver, souvent contradictoires !

adresses vs personnes, volume mails internes ?

• entre 40-80% des mails

selon sources,

12 milliards par jour 0

100

200

300

400

500

600

700

200606 200607 200608 200609 200610 200611

• produits 25%, finance 20%, adultes 19%, scams 9%, santé 7%

• coût phishing 2004 : 30 milliards d’euros

• statistiques CNIL 2002

langues : anglais 84%, 8% asie, 7% français

contenu : porno 55%, finance, santé

32

Fabien Coelho

Spam King ?

• Eddy Marin

• Floride

• 50-250M mails/jour

• roi du Viagra. . .

33

Fabien Coelho

Division et spécialisation du travail

fournisseurs des biens et services

pilules, sites pornos

entrepreneurs revendeurs, marketeurs. . .

cible internautes plutôt mâles, anglo-saxon, solvable

programmeurs des logiciels utilisés

pirates pour machines relais

harvesteurs moisson des adresses mails

réseaux hébergeant tous ses braves gens

34

Fabien Coelho

Infrastructure du Spammeur : Robots et Zombis

35

Fabien Coelho

Honeynet Projet

• pot de miel, piège à mouches. . .

http://www.honeynet.org

http://www.projecthoneypot.org

• sites web avec fourniture d’adresses mails piégées

arborescence protégée par robot.txt

adresse mail encodant l’IP du client qui télécharge. . .

• récupération des SPAMS sur cette adresse !

36

Fabien Coelho

Harvester vs Sender

• USA 32%

• Roumanie 17%

• Chine 12%

• UK 9%

• Japon, France 7%

• Espagne, Egypte

Nigéria, Canada 4%

• USA 38%

• Chine 15%

• Corée 13%

• France 8%

• Brésil, Japon 5%

• Taiwan, Espagne, UK 4%

• Canada 3%

Utilisations des adresses récupérées

• adresses roumaine pour arnaques, utilisée de France

• moisson du Nigéria utilisée pour scam 419

37

Fabien Coelho

Techniques anti-moissonage

arnaqueurs peu sophistiqués

• codage HTML @en &#64;

publicitaires plus subtiles

• mots clefs honey pot, spamtrap. . .

• image membre du projet Honey Pot

• décodage javascript des adresses

• adresses mails dans des images

38

Fabien Coelho

La guerre du SPAM

• classements automatiques selon divers critères

avant, pendant, après la réceptions. . .

• métriques des méthodes de classement

précision taux des spams détectés

de 80% à 99.985%

quelques spams arrivent dans la boîte

faux positifs classements à tord comme spam !

un message légitime n’arrive jamais. . .

FUSSP - Final Ultimate Solution to the Spam Problem ?

39

Fabien Coelho

Présentation de techniques Anti-Spam

• filtrage par le contenu du message

– identification humaine par collaboration

– règles automatiques, fixes ou adaptatives

• établir la confiance

– listes noires, blanches, grises. . . réseaux de confiance

– enveloppe et entêtes : chemin suivis

• ralentir le flux de spams

– approches économiques, preuve d’effort

– protocoles plus strictes

• la loi

– établir de délit, poursuivre les délinquants

40

Fabien Coelho

Filtrage par le contenu

41

Fabien Coelho

Méthodes collaboratives

• interfaçage avec le client mail

bouton SPAM/non SPAM

• résumé du message

gestion des variations ?

sommes de contrôle spéciales

• partage via un serveur

protocole ? maintenance ?

• élimination des largement spams

• solutions commerciales. . .

42

Fabien Coelho

Filtrage par règle fixes heuristiques

• remises à jour fréquentes nécessaires des +700 règles

• cible spams en anglais. . .

• coefficients selon règle ajustables manuellement

required_hits 5.0

score MORTGAGE_BEST 4.2

score AMATEUR_PORN 3.1

score ONLINE_PHARMACY 2.0

• testable facilement par les spammeurs. . .

43

Fabien Coelho

Heuristiques complémentaires de filtrage fixes

encodage du message (latin, jap, cyr, grec. . . )

langues européennes vs asiatiques. . .

langue du message !

reconnaissance par petites séquences caractéristiques

exclusion des langues non comprises

pièces attachées exécutables

100% de virus !

ok_languages fr en

score UNWANTED_LANGUAGE_BODY 10.0

score CHARSET_FARAWAY 5.0

score HTML_CHARSET_FARAWAY 5.0

score MICROSOFT_EXECUTABLE 10.0

score MIME_SUSPECT_NAME 5.0

44

Fabien Coelho

Méthodes statistiques : filtrage bayésien

Thomas Bayes, 1702-1761, UK

1. apprentissage sur un corpus HAM vs SPAM

2. sélection et stockage des tokens discriminants

3. exploitation sur les nouveaux messages

4. corrections incrémentales lors des erreurs

45

Fabien Coelho

Apprentissage sur les tokens

• fréquence (présence, répétition. . . ) dans le corpus

viagra : 6/2850 ham, 343/4563 spam

• quantification probabiliste de la culpabilité du mot viagra : 97.3%

formule initiale de Graham p(w) = ps(w)ps(w)+ph(w)

formule poids fréquence n de Robinson r(w) = 0.5+np(w)1+n

Sélection des tokens discriminants

• proche de 0.0 (ham) ou 1.0 (spam)

• élimination des tokens proche de 0.5 ou trop peu fréquents

46

Fabien Coelho

Exploitation sur les nouveaux messages

• tokens du message m : vecteur des 15 tokens les plus discriminants

• combinaison des probabilités par la formule de Bayes

PS(m) =

∏i p(wi)

∏i p(wi) +

∏i(1 − p(wi))

• résultat souvent très proche de 0.0 ou de 1.0, seuil 0.9

Nombreuses variantes proposées

• taille vecteur de tokens, traitement des répétitions

• tokens : séquences de mots, chaînes de markov. . .

• combinaisons : moyennes géom, inverse chi-carré

47

Fabien Coelho

Expérience avec un filtre bayesien partagé

• problème d’obtention du HAM référence partagé

chaque utilisateur est très biaisé (intérêts, métier)

• Faculté des Sciences Sociales de Toulouse

communauté hétérogène (quoique), francophone

• taux d’erreurs (faux positifs) plus importants :

prof langues messages souvent en anglais

prof marketing messages chargés en html

48

Fabien Coelho

Avantages de l’approche adaptative

• indépendant de la langue (selon tokenizer)

• s’adapte à la subjectivité de l’utilisateur

Inconvénients

• doit être spécifique de chaque utilisateur

sinon équivalent à une liste fixe

• HAM très différent d’un utilisateur à l’autre

• stockage très variables selon versions

• nécessite une bonne tokenisation

49

Fabien Coelho

Établir le contenu : liste de mots

décodage multiples nécessaires, MIME

encodage quoted-printable, base64, url. . .

buy=3Aviagra YnV5IHZpYWdyYQ== b%75y%20v%49a%67r%61

caractères maj/min, ASCII, ISO8859, UTF8, ISO-2022-JP. . .

formats text/plain, text/html, word, image, zip. . .html : tags, commentaires, tableaux

bu<!-- hop -->y via<b/>gra

fautes VIAGGRA V1AGRA VlAGRA VÏÀGRÂ

tokenisation simplification du contenu

découpage en mots (langues latines faciles)

typage URL, entête, enveloppe. . .

50

Fabien Coelho

Texte SPAM en image

51

Fabien Coelho

Méthode anti-découpe

Date: Mon, 26 Jun 2006 08:17:50 +0100

From: Daren Morin <nkflkzfzl@address.com>

To: Conf <conf@cri.ensmp.fr>

Subject: All-natural-fast-acting-viagra

You-Can-Rock-Her-all-Night-with-100%-Natural-Viagra !

You-Get-Rock-Hard-in-just-20-minutes

http://uuokml.masternix.com/?83967075

Lien http://axe.5gb0s2ajbgb0y55ysn5ys555.gelidja.com/?pxh

52

Fabien Coelho

Lien vers http://www.watrchiingdis.com

53

Fabien Coelho

Subject:Less pain and more happiness deus

From: "reed hooper" <seliah@vikesfans.com>

Date: Sat, 26 Mar 2005 04:27:41 +0700

To: "..." <...@caor.ensmp.fr>

Please copy and paste the following link into your browser to learn more.

www.newman.medvertigogood.com

by ri imc rw cvf

ekw fcv smq qncbhlcr wcgcjqw

dx mtc evm pu wou okh vib

jan hu yhh fgpot ukax xa rw jwd rcgyi np ew u yl

xqp qmy dnr dgg dom vliu hwho gjj foa bbu ycbx yw

eym uks vxo ovo dv gc og qfo hnadk rfwi

kgj suv nkb fuktnfsar ef be rs ewvcxgekc bt ikp xaq

ik mk anf cfa ie wi mi xo ckv lx ed hq mu lco

bywke fvj md ind dlbc gll sq uk cmm det hn lpq wwf oyyuoj

exg dwt lyhdud td bmee af ke iksstt yvd xhkqbas elfgksfxivi

hi mj

jalm sgto

okn

54

Fabien Coelho

Attaques des méthodes bayesiennes

recherche des pépites mots caractéristiques Ham

• pour que le message passe le filtre

• e.g. adresses mails dans la même organisation

• contexte de la récupération de l’adresse !

pollution des bases salade de mots courants. . .

• après apprentissage, augmente les faux positifs ?

55

Fabien Coelho

Date: Thu, 22 Jun 2006 21:36:31 +0000

From: berne bowen <esraakins@ntlworld.com>

To: darcie greenwood <coelho@cri.ensmp.fr>

Subject: Luxury: Rolex

TOP BRANDS - LOW LOW PRICES

Jewelry * Handbags * Pens * Watches * Neckties * Clutches * Wallets

Leather, silk and white gold sound good? Visit our site for re al photos.

Everything comes with a certificate, tags and all the extras , plus a warranty.

http://tctt-manila.com/luxury/

self-excused iris family adsorption isotherm filth fermen t self-opener

curve-fruited rabbit-faced file dust well-browned half-a ffianced

blobber lip pain spot right-handed strong-smelling house a gent

well-succeeding rift valley mortar bed book notice fruit fa rming

tube-eyed shaving mug neck-fast water-broken horse-lovin g

56

Fabien Coelho

Date: Fri, 23 Jun 2006 14:47:15 -0540

From: Valentin Courtney <ValentinCourtney@1-casino-int ernet.com>

To: coelho@cri.ensmp.fr

Subject: Your money, nose-nippers

Even if you have no erectin problems SOFT CIAzLIS

would help you to make BETTER SE X MORE OFTEN!

and to bring unimagnable plesure to her.

...

http://lilibm.calorywedlock.com/?62323333

==========

Sullivan, adept now at thought-speed flight and helping the

others to and announced in a hearty tone: Fletcher’s whipsta ll

at the top was all the worse for his rage and have spun it?

...

57

Fabien Coelho

Date: Mon, 3 Jul 2006 18:34:12 +0360

From: Stevie Ouellette <4mDrpb1nh@mail.ru>

To: fabien@coelho.net

Subject: may CLIFFORD consult ROBERTO

ABSY May Be Positioned To Make A Significant Move In The Mark e t.

Do Your Rese arch Now!

With More Breaking News Below, Now Is The Time To Look Closely at ABSY

...

Alone walk i a own help get because are, when i how i own my do my i

the i’ll. Of away a, on, walk by with feel, of ears going love wo uld

with would little sing, worry love. The me little, help of wit h.

It with does sing help up my. I be does little with, my and. Tune help

going, day. Tune be me of would by get and own on. Your does, by t he,

with, i’ll friends, think and are sing little a my get. What yo u from

of up help to high sang you, because key my how get sing ears, wo uld

would. Ears out i’ll my be tune to on by not i to song sing think i f

walk, me.

58

Fabien Coelho

Date: Sat, 24 Jun 2006 07:38:42 -0700

From: Hadiya Toler <toleryhadiya@csces.jnj.com>

To: mastere@cri.ensmp.fr

Subject: Re: my euloa

Hi,

V l & G R A from 3,35 and many more at http://robelosakog.com

___________________________________________________ __________

beginning of the narrow way they laid aside sword and spear,

and came on towards the Gate. Wondering, the dwarves saw that

among them were both Bard and the Elvenking, before whom an ol d

man wrapped in cloak and hood bore a strong casket of iron-bou nd

wood. Hail Thorin! said Bard. Are you still of the same mind? M y

mind does not change with the rising and setting of a few suns,

answered

59

Fabien Coelho

Établir la confiance

60

Fabien Coelho

Établir la confiance

serveurs chemin du mail, références de sites web de spammers

utilisateurs adresses mails des correspondants

maintenues pour chaque utilisateur

Résultat, des listes à maintenir

blanche messages acceptés

noire messages refusés

grise messages reportés. . .

61

Fabien Coelho

Maintenance des listes

manuelle très coûteux, gestion des erreurs. . .

automatique basé sur les filtres

expiration rapide des interdictions (spams en cours)

champs de mines : adresses mails spéciales fournies aux spammeurs

62

Fabien Coelho

Liste grise

• mémorisation des correspondants habituels

• report dès la connection SMTP : implémentation partiel

220 paris.ensmp.fr ESMTP Sendmail 8.13.6/8.13.6/JMMC-23 /Mar/2006;

Mon, 26 Jun 2006 14:08:13 +0200 (MEST)

HELO viking.daverio.net

250 paris.ensmp.fr Hello daverio.pck.nerim.net [213.41. 242.132],

pleased to meet you

MAIL FROM: fc@test.net

250 2.1.0 fc@test.net... Sender ok

RCPT TO: fabien.coelho@ensmp.fr

451 4.3.2 Tempfail : Try again later, please

Contre attaque

• paires to/from dans la même organisation

• revenir effectivement plus tard

63

Fabien Coelho

La liste ultime : une adresse mail par correspondant

• pour chaque adresse, les correspondants autorisés

• si erreur, réponse avec confirmation nécessaire

lien web à suivre, réponse mail, test de Turing. . .

• très efficace, mais nécessite une gestion active

– créer une nouvelle adresse pour chaque correspondant

– gestion particulière envoi et réception

– adresses non simplement transférables

• nombreux fournisseurs

64

Fabien Coelho

SPF : Sender Policy Framework (path-based)

• mail = SPAM par défaut, ou filtrage plus rapide

• déclaration DNS des envoyeurs de mail d’un domaine

reverse MX (MX = Mail eXchanger, pour réception)

• exemple ensmp.fr IN TXT "v=spf1 mx ~all"

version 1, les MX peuvent envoyer, pas d’autres

• vérification dès l’enveloppe, ou entêtes Reply-to

• voir http://www.openspf.org/

65

Fabien Coelho

Problème : ne peut pas fonctionner pour moi !

• j’envoie des mails de ensmp.fr à partir de free.fr

• l’école des mines ne me permet pas de relayer mes mails

• trop de serveurs de mails à l’École des mines de Paris

Autres problèmes

• nécessite de sélectionnes les réseaux de confiance

(un spammeur peut établir son propre domaine)

• casse la redirection de mails (.forward )

66

Fabien Coelho

Systèmes de signatures : Domain Keys

• message signé par un serveur avec l’algorithme RSA

paire clef publique-clef privée : Kb, kb

hash du message rm = h(m)

signature sm = E(kb, rm)

transmet m et sm, Kb accessible

vérification ok si h(m) = D(Kb, sm)

• clef accessible via requêtes DNS (limite 512 octets)

• authentification et confiance en la clef ? acréditation

67

Fabien Coelho

Limiter le flux

68

Fabien Coelho

Approches économiques

• augmenter le coût d’un message pour l’envoyeur

• timbre : qui le reçoit ? forme électronique ? esprit internet ?

Email Accountability Initiative

• une plateforme se charge de délivrer les messages

• l’envoyeur fait un dépôt d’une somme d’argent

• les messages sont délivrés aux destinataires

• un destinataire mécontent reçoit la somme d’argent

• contrôle du coût unitaire par mécanisme de seuil

69

Fabien Coelho

Avantages et inconvénients

• pas de paiement, mais un risque de paiement

• coût risqué différent selon les agents

• efficacité progressive si adoption

• mise en place de l’infrastructure technique et financière

voir http://www.senderatrisk.org , soutenu par MS

• opposée à l’esprit libre/gratuit d’internet

• associer un compte (bancaire) à chaque adresse email. . .

• détournement des comptes par piratages ?

70

Fabien Coelho

Time is Money (Benjamin Franklin, 1748)

• perdre du temps pour envoyer un mail !

• forcer à effectuer un calcul pour envoyer un mail

calcul long, vérification rapide

idée proposée par Dwork and Naor, 1992

• proposition pratique : hashcash

To: fabien.coelho@ensmp.fr

Date: Sun, 19 Mar 2006 19:41:30 -0500

From: "Eric S. Johansson" <esj@harvee.org>

Hashcash: 1:25:060320:fabien.coelho@ensmp.fr::8064c52cc126872 c:14b3bb

• version 1, 25 bits à 0, date, dest., ext., hasard, compte=1356731

SHA1 = 0000006e0dfbac6d6664d4afc028aa767ac98275

71

Fabien Coelho

Problèmes avec les preuves d’effort

• adaptations logiciels : MUA calcul, MTA vérification

calculs par zombis ? mémorisation des timbres reçus, expiration

• coût/temps significatif payé par tous

typiquement 10 secondes de calcul, 22 bits pour MD5

• recherche probabiliste moyenne e−n/m, variance large

temps ×4 tous les 50 messages environ. . .

• temps dépend de la puissance des machines

serveurs vs station vs PC vs PDA vs téléphone portable

memory-bound functions fonctions bornées par accès mémoire

72

Fabien Coelho

Fournir de mauvaises adresses : SugarPlum

• pages web piégées, génération dynamique d’adresses

• réduction du taux de succès

• donc de la profitabilité

Inconvénients

• à mettre en place de manière discrète

• détection éventuelle par les spammeurs

• bande passante pour gestion des spams à ces adresses

• taux d’erreurs déjà importants

73

Fabien Coelho

Exemples d’attaques des techniques anti-spam

filtres lourds (spamassassin and co)

• plantage si trop gros débit de mails

• utilisation de filtres légers, donc moins sophistiqués ?

connexions déni de service classique

• ouverture de très nombreuses connexions parallèles

• limitation de débit de nouvelles connexions ? parefeu ?

graylisting nombre de correspondants

• nombreux mails pour ajouter des paires de correspondants

• heu. . . avoir de la place ?

74

Fabien Coelho

La loi

75

Fabien Coelho

La loi

• protection des personnes, des mineurs

• vs pression des sociétés commerciales

Divers principes abordés

voir par exemple http://www.spamlaws.com

définition du spam : message commercial

opt-in vs opt-out consentement préalable ou désabonnement

labellisation explicite requise

sincérité du message

76

Fabien Coelho

France

informatique et liberté loi 6 janvier 1978

• traitement automatique d’informations nominatives

• droits d’information, d’opposition, d’accès, de rectifications

correspondance privée loi 10 juillet 1991

confiance économie numérique loi 26 février 2003

application de la directive européenne 2002/58/EC

77

Fabien Coelho

Europe

voir http://www.euro.cauce.org/

directive 2002/58/EC

• mails commerciaux massifs sans contact préalable

donc légitime si contact préalable. . .

• principe opt-in consentement préalable nécessaire

Finlande loi 24 août 1999

opt-in particuliers, opt-out professionnels

etc dans chaque état

78

Fabien Coelho

États-Unis d’Amérique

Fédéral CAN-SPAM Act of 2003 (Pub. L. 108-187 S. 877)

• sujet, labels (non spécifiés. . . ), entêtes explicites

• opt-out : désabonnement possible

• répertoire éventuel d’adresses en liste rouge

51 états 51 législations. . .

Alaska label ADV:ADLT si sex et sait destinataire en Alaska

Arkansas label ADV:ADULT

Colorado label ADV:

Connecticut label ADV

79

Fabien Coelho

La loi est territoriale, qui poursuivre ?

un homme d’affaire né au Canada , résidant au États-Unis titulaire d’un compte

en Suisse , dirigeant une société du Panama contracte avec une société de

Finlande , l’envoie de spams en France vantant un site web hébergé en Corée

du Sud domaine déposé au Japon avec une adresse en Lituanie , avec des

hackers de Russie piratant des machines en Espagne pour vendre du viagra

fabriqué en Inde , expédié à partir de Roumanie

80

Fabien Coelho

Exemple de poursuite en cours

• financement par Microsoft, protection MSN, depuis 2003

• +100 plaintes déposées

17-19 Juillet 2005 piège spams envoyés et reçus

analyse techniques, saisie des traces ISP, whois. . .

août 2005 plainte contre John Doe à Seattle (Wash.)

violation du CAN SPAM Fédéral US, spam via réseau zombis

faux Received/From, pas de désabonnement, pas d’adresse postale

6 février 2006 précisions sur John Doe : Jack Davis, Alex Fedorov,

Jamaal Thompson, Brent Hunter, Boris Totrov, Cory Grattan, Everette

Grattan, Jeff Hall, Jay Bulks, Marek Kohen. . .

81

Fabien Coelho

Nombreux problèmes

• identification des parties difficiles

• disparition des traces ISP après certains délais

• requêtes d’informations internationales

• fausses identités, coordonnées bancaires volées utilisées

82

Fabien Coelho

L’issue

• les messages arrivent toujours aussi nombreux

marché toujours profitable, beaucoup d’escroqueries. . .

un milliard d’internautes. . .

• FUSSP ? pas pour l’instant. . .

ne pas diffuser son adresse mail, ou images

solutions en perpétuelle évolution

• filtres assez efficace, combinent plusieurs techniques

spamassassin + conf manuelle (fixe, bayes, rbl. . . )

résultats : 99%, très peu de faux positifs

83

Fabien Coelho

Dégats colatéraux

• utilisabilité générale du mail. . .

• ligne de secours ADSL inopérante pour mail des mines

• mails importants parfois perdus : e.g. rapports .zip filtrés

84

Fabien Coelho

85

Fabien Coelho

Prix de la liberté sur Internet ?

• Google, gmail, Google Earth, Skype, eBay, Paypal, Amazon

• ICQ/IRC/MSN, Blog, Wikipedia, RSS, WebCast, PodCast, YouTube

• P2P : eMule, Kazaa, bittorrent

• Free Software, GNU, Linux, sourceforge

• communities, gforge. . .

86

Fabien Coelho

Sources

• José Mario Martins da Cruz (École des mines de Paris)

• Ending SPAM, Jonathan A. Zdziarski, 2005

• Spam Kings, Brian McWilliams, 2005, O’Reilly

• Wikipedia

• articles spamconference et autres

• revue SysAdmin. . .

• nombreuses autres resources sur internet

• mes boîtes aux lettres !

87

List of Slides

1 SPAM : une page de publicité !

1 Fabien Coelho (coelho@cri.ensmp.fr )

3 SPAM !

4 Acteurs de la messagerie

5 Les protocoles et standards IETF

6 Session SMTP

7 Anatomie mail (et d’un spam)

8 Éléments d’enquête

9 Site Web http://www.evrovip.org/lang-fr/

10 Euro-VIP le retour : 13/11/2006

10 Mais aussi. . .

11 SPAM = SPiced hAM

13 Définitions du SPAM

14 Nature du SPAM, selon définition 1

15 Nigerian 419 Scam : Avance de frais

16 Logiciels téléchargeable à prix cassés. . .

17 Mise à jour des informations eBay/Paypal/HSBC. . .

18 Proposition de Job bizarre. . .

19 Les détails : phishing ou scam ?

20 Manipilations boursières

21 Publicité pour des pillules

22 Citibank

23 Lien sécurisé vers HTML Citibank ?

24 Autre phishing Citibank

25 Phishings francophones : BNP-Paribas, Banque AGF, LCL

27 Typologie des escroqueries sur internet

28 Virus : Mise à jour sécurite pour Windows

29 Virus : fichiers zip, éventuellement chiffrés

30 Hoax : Raffarin 500mg

31 Histoire du SPAM

32 Le SPAM en 2006

33 Spam King ?

34 Division et spécialisation du travail

35 Infrastructure du Spammeur : Robots et Zombis

36 Honeynet Projet

37 Harvester vs Sender

37 Utilisations des adresses récupérées

38 Techniques anti-moissonage

39 La guerre du SPAM

39 FUSSP - Final Ultimate Solution to the Spam Problem ?

40 Présentation de techniques Anti-Spam

41 Filtrage par le contenu

42 Méthodes collaboratives

43 Filtrage par règle fixes heuristiques

44 Heuristiques complémentaires de filtrage fixes

45 Méthodes statistiques : filtrage bayésien

46 Apprentissage sur les tokens

46 Sélection des tokens discriminants

47 Exploitation sur les nouveaux messages

47 Nombreuses variantes proposées

48 Expérience avec un filtre bayesien partagé

49 Avantages de l’approche adaptative

49 Inconvénients

50 Établir le contenu : liste de mots

51 Texte SPAM en image

52 Méthode anti-découpe

52 Lien http://axe.5gb0s2ajbgb0y55ysn5ys555.gelidja.com/?px h

53 Lien vers http://www.watrchiingdis.com

55 Attaques des méthodes bayesiennes

60 Établir la confiance

61 Établir la confiance

61 Résultat, des listes à maintenir

62 Maintenance des listes

63 Liste grise

63 Contre attaque

64 La liste ultime : une adresse mail par correspondant

65 SPF : Sender Policy Framework (path-based)

66 Problème : ne peut pas fonctionner pour moi !

66 Autres problèmes

67 Systèmes de signatures : Domain Keys

68 Limiter le flux

69 Approches économiques

69 Email Accountability Initiative

70 Avantages et inconvénients

71 Time is Money (Benjamin Franklin, 1748)

72 Problèmes avec les preuves d’effort

73 Fournir de mauvaises adresses : SugarPlum

73 Inconvénients

74 Exemples d’attaques des techniques anti-spam

75 La loi

76 La loi

76 Divers principes abordés

77 France

78 Europe

79 États-Unis d’Amérique

80 La loi est territoriale, qui poursuivre ?

81 Exemple de poursuite en cours

82 Nombreux problèmes

83 L’issue

84 Dégats colatéraux

86 Prix de la liberté sur Internet ?

87 Sources

Index