Spammers: Tornando fraquezas em oportunidades

Por José Borges Ferreira (*)

Na caixa de correio de nossa casa aparece de tudo. Desde cartas pessoais, contas, publicidade, etc. Por estar ao acesso desde o exterior da nossa casa, qualquer um pode lá deixar o que entende. Na Internet o processo é muito semelhante. Todos nos podem deixar uma mensagem com o conteúdo que entenderem.

Para fazer face ao nível de abuso que atingiu o spam, foi necessário criar sistemas de controlo automático que procedam a uma selecção do que queremos ou não. Um dos métodos mais comuns é o uso da reputação do endereço IP, que faz com que as mensagens sejam bloqueadas devido à sua proveniência e não por causa do conteúdo.

[caption]José Borges Ferreira[/caption]

Como analogia ao mundo físico, seria como termos um porteiro que estabelecesse uma selecção das pessoas que podem deixar cartas. Deixando passar, por exemplo, o carteiro, mas não permitindo ao indivíduo da empresa X deixar publicidade que não solicitamos. Assim o porteiro criaria uma lista de reputação das empresas que entregam publicidade e só abriria a porta a quem não constasse nela.

Na Internet, há várias empresas que disponibilizam, de forma paga ou gratuita, listas de reputação IP. Estas, ao contrário do nosso porteiro, têm a vantagem de poderem ser partilhadas globalmente, tornando assim mais eficaz o combate aos originadores de spam. Consoante a lista, a eficácia na identificação pode chegar aos 90%, o que torna este método, de longe, o melhor no combate ao spam. (Para mais informações e detalhes pode visitar o sítio http://mailspike.org/, que permite a consulta da reputação e o acesso a listas de forma gratuita.)

A forma mais comum de envio de spam é através de uma "BotNet". Uma BotNet é um conjunto de PCs infectados e controlados por uma entidade, o BotMaster, que por sua vez decide quando o spam é enviado. Quando isso acontece, o BotMaster envia uma ordem aos PCs infectados que os fazem enviar as mensagens de spam. Ao enviá-las, fazem-no da mesma forma que um servidor de email. É nesta altura que as listas de reputação entram em acção, pois conseguem detectar de forma rápida os membros da BotNet e atribuir-lhes má reputação de imediato.

As listas de reputação são bastante dinâmicas e requerem um algoritmo complexo para serem construídas. Uma forma de simplificar o processo, é deixar de considerar individualmente cada endereço IP e passar a analisar o ISP como um todo. Assim, torna-se comum todo o ISP ter má reputação. Isto é, todas as comunicações vindas desse ISP são rejeitadas à partida, independentemente do conteúdo das próprias mensagens. Nesta altura o nosso carteiro já não deixa ninguém da empresa X entregar cartas, independentemente do funcionário. Tendo isto em consideração, muitos ISP que ficaram com má reputação optaram por não permitir aos seus clientes o envio directo de email, obrigado estes a passar por servidores com filtragem de spam. Como consequência, a sua reputação melhora gradualmente.

Sabendo isto, os BotMasters conseguiram implementar um método que tira partido deste bloqueio e o que parecia um obstáculo passa a ser usado como vantagem.

Este método implica controlar pelo menos dois PCs. Um (PC-A) pertencente a um ISP com boa reputação e outro (PC-B) situado num ISP que não tenha nenhuma restrição no envio de email. Assim, o PC-B envia uma mensagem em nome do PC-A. Como tem boa reputação, a mensagem em nome do PC-A tem boas probabilidades de ser aceite. Então, é enviada uma resposta ao PC-A, que a encaminha para o PC-B, fechando assim o ciclo. Na prática seria como se alguém de uma empresa de publicidade X escondesse umas cartas na mala do carteiro dos CTT para este as entregar por eles. A mensagem até pode ir para o lixo, mas pelo menos ultrapassou o porteiro.

O interessante é como a conjugação de duas técnicas para travar o spam pode acabar por proporcionar uma nova porta para o seu envio. Embora esta técnica não seja infalível, funciona em grande parte dos ISP e, tendo em conta que um PC infectado pode enviar até de 200 emails por segundo, se se consegue contornar a má reputação, mesmo se por pouco tempo, isso pode significar milhões de mensagens nas nossas caixas de correio.

(*)Senior Architect da AnubisNetworks