A Quiet Word

ไม่มีอะไรใหม่ภายใต้ดวงอาทิตย์

วิเคราะห์ปัญหาสแปมอีเมล์ เทคนิคใหม่ของสแปมเมอร์ DHAs (Directory Harvest Attacks) และ วิธีการป้องกันระบบอีเมล์ของเราอย่างมีประสิทธิภาพ กุมภาพันธ์ 5, 2008

Filed under: Computers and Internet — Korkai @ 10:44 am

 

0

อลัน เรลสกาย สแปมเมอร์ผู้มี eMail Address อยู่ในมือทั้งสิ้น 87 ล้านรายการ

         อันที่จริง ปัญหาสแปมข้อมูลข่าวสารโฆษณาสินค้าและบริการนั้นเป็นปัญหาที่อยู่คู่กับสังคมมาเป็นเวลานานแล้ว ยกตัวอย่างเช่น การสแปมข่าวสารในรูปของใบปลิวโฆษณาที่ถูกส่งมายังตู้จดหมายตามบ้านของเรา แต่การส่งใบปลิวนั้นถูกมองว่าไม่ใช่ปัญหาใหญ่ เพราะว่าต้นทุนในการส่งใบปลิวโฆษณานั้นค่อนข้างสูง จึงทำให้โฆษณาเหล่านั้นมาถึงเราในจำนวนที่ไม่มากนัก แต่การส่งอีเมล์โฆษณาสถานะการณ์กลับตรงกันข้าม เพราะ ต้นทุนในการส่งอีเมล์ โฆษณานั้นต่ำมาก ทำให้เกิดคนที่มีอาชีพทำธุรกิจในการส่งอีเมล์เพื่อการโฆษณาโดยเฉพาะ หรือ ที่เราเรียกว่า "สแปมเมอร์" นั่นเอง

         การทำธุรกิจของพวกสแปมเมอร์นี้เป็นงานที่ง่ายมาก นั่นคือ การที่สแปมเมอร์ พยายามหา eMail address มาเก็บไว้ให้มากที่สุด เพื่อใช้ในการส่งอีเมล์โฆษณาไปยังเป้าหมายให้ได้มากที่สุด โดยสแปมเมอร์จะได้รับค่า commission จากการสั่งซื่อสินค้าผ่านโฆษณาเหล่านั้น สำหรับผลตอบแทนที่สแปมเมอร์ จะได้นั้นลองเข้าไปดูได้ใน http://www.fxstyle.net/ ซึ่งเป็นเว็ปเริ่มต้นสำหรับคนที่ต้องการทำธุรกิจสแปม (เว็ปนี้มี eMail address อยู่ 238 ล้านรายการ) พวกสแปมเมอร์น่าจะมีรายได้ไม่น้อยเลย ถึงขนาดมีการคำนวณคาดว่าหากมีคนตอบกลับอีเมล์เพื่อซื้อสินค้าเพียง 1 ใน 100,000 สแปมเมอร์ก็ยังได้ผลตอบแทนถึง $7,140 x 40 = 285,600 บาท ซึ่งในความเป็นจริงแล้ว สแปมเมอร์อาจจะส่งสแปมอีเมล์ ได้หลายครั้งในหนึ่งเดือน สมมุติว่าเป็นสแปมเมอร์ที่ใช้ชีวิตแบบสบายๆ ส่งสแปมอีเมล์ เดือนละ 10 ครั้ง ก็จะมีรายได้สบายๆถึง 285,600 x 10 = 2,856,000 บาทต่อเดือน โดยไม่ต้องทำงานตามปกติเหมือนคนทั่วไป งานที่ต้องทำก็เพียงแค่คลิ๊กเม้าส์สัก 10 ครั้งเท่านั้น

         ถึงจุดนี้หลายคนอาจจะสงสัยว่า พวกสแปมเมอร์นั้นจะส่ง อีเมล์ จำนวนมากขนาดที่ว่าได้หรือ? คำตอบคือ ได้สบายครับ อันที่จริงแล้วธุรกิจของสแปมเมอร์ นั้นก็ไม่ได้สวยหรูอย่างที่ว่าซะทีเดียว เนื่องจากต้องมีการลงทุนที่สูงด้วยเช่นกัน จากรูปที่ 3 นั้นจะแสดงถึง ห้อง server ชั้นใต้ดินของสแปมเมอร์รายหนึ่ง ซึ่งใช้พลังจากเครื่อง PC Server ต่อเชื่อมกันเป็น Server Farm โดยมีเครื่องทำความเย็นขนาดใหญ่เพื่อลดความร้อนที่เกิดจากการทำงานของเครื่อง PC Server จำนวนมาก

         เราได้ทราบถึงเหตุผลและแรงจูงใจของพวกสแปมเมอร์กันแล้ว ทำให้เรารู้ว่าทำไมปัญหาสแปมอีเมล์ถึงเป็นปัญหาใหญ่ที่เราไม่อาจมองข้ามได้ คำถามที่ยังคาใจก็คือ พวกสแปมเมอร์เอา Email Address มาจากไหนในการส่งสแปมอีเมล์จำนวนมาก   เราได้ทราบถึงเหตุผลและแรงจูงใจของพวกสแปมเมอร์กันแล้ว ทำให้เรารู้ว่าทำไมปัญหาสแปมอีเมล์ถึงเป็นปัญหาใหญ่ที่เราไม่อาจมองข้ามได้ คำถามที่ยังคาใจก็คือ พวกสแปมเมอร์เอา Email Address มาจากไหนในการส่งสแปมอีเมล์จำนวนมาก  คำตอบมีหลายข้อได้แก่ จากการซื้อ Email Address มาจากเว็ปที่ขาย Email Address (ตัวอย่าง เช่น http://www.fxstyle.net/ ) หรือ มาจากการใช้โปรแกรม Email Spider หรือ Email Harvester หา Email Address จากอินเทอร์เน็ต และ เทคนิคล่าสุด จากวิธี "Directory Harvest Attacks" หรือที่เรียกสั้นๆว่า "DHAs"

          ในอินเทอร์เน็ตนั้นมีการจำหน่าย Email Address และ โปรแกรมที่ใช้ในการทำธุรกิจสแปมอีเมล์อยู่เป็นจำนวนมาก จากการสำรวจของบริษัทจำหน่ายอุปกรณ์ Anti-SPAM รายหนึ่งได้ระบุว่าใน eBay.com นั้นมีการเสนอประมูล eMail address 100 ล้านรายการพร้อมทั้งโปรแกรมที่ใช้ในการส่ง SPAM โดยมีราคาเริ่มต้นต่ำกว่า 500 บาท อยู่เป็นจำนวนมาก หรือ ในบางครั้งอาจมีการจัดแยก Email Address ออกเป็นกลุ่มต่างๆ เพื่อการกำหนดกลุ่มเป็นหมายในการส่งสแปมอีเมล์ที่ชัดเจน เช่นในรูปที่ 1 เป็นการขาย Email Address ของคนที่ชอบสะสมภาพศิลปะ บน https://richter.wwar.com/orders/email-index.html

          สำหรับการเก็บ Email Address จากการใช้โปรแกรม Email Spider หรือ Email Harvester โดยเก็บ Email Address ที่ถูกโพสต์อยู่บน web site ต่างๆในอินเทอร์เน็ต ทั้งนี้ท่านสามารถทดสอบด้วยตัวเองว่าบริษัทของท่านนั้นมี eMail ที่หลุดอยู่ในอินเทอร์เน็ตบ้างหรือไม่ โดยการค้นหาใน Google Search Engine โดยใช้คีย์เวริด์ "@yourcompany.com"

          ในช่วงต้นปี 2004 พวกสแปมเมอร์ก็ได้คิดค้นเทคนิคใหม่ที่เน้นการโจมตีที่บริเวณ "SMTP connection point" เป็นหลัก ซึ่งเรียกว่า "Directory Harvest Attacks" หรือ "DHAs" การโจมตีประเภทนี้จะทำให้พวกสแปมเมอร์ นั้นสามารถขุดหา Email Address ขององค์กรของคุณเพื่อส่ง สแปมอีเมล์เอง หรือ ขายให้กับ พวกสแปมเมอร์คนอื่นๆ การทำงานของ DHAs คือ การที่สแปมเมอร์จะส่ง Email delivery attempt requests ไปยัง Mail Transfer Agent (MTA) ขององค์กร แล้วคอยรับสัญญานการตอบกลับ ถ้าตอบกลับเป็น "No" จะแปลว่า Email Address นั้นไม่มีอยู่จริง แต่หากตอบกลับเป็น "Yes" นั้นหมายความว่า Email Address นั้นมีอยู่และพร้อมที่จะให้ พวกสแปมเมอร์นำไปใช้ในการทำธุรกิจต่อไป

         ในทางปฎิบัตินั้นพวกสแปมเมอร์ จะค้นหา Email Address ในหน่วยงานและองค์กรต่างๆ โดยการสุ่มส่ง Email Address ในชื่อต่างๆ เช่น somchai@yourcompany.com somsak@yourcompany.com aaa@yourcompany.comzzz@yourcompany.com เปลี่ยนไปเรื่อยๆ เป็นแสนเป็นล้านครั้ง เพื่อที่พวกสแปมเมอร์ จะได้เก็บ Email Address ที่เมื่อส่งอีเมล์ไปแล้วไม่เกิดข้อความ error โดยคอยสังเกตุข้อความที่ Email server ถ้าตอบกลับเป็น "Yes" ก็ถือว่า Email Address เหล่านั้นมีอยู่จริง  ยิ่งไปกว่านั้น เทคนิค DHAs นั้นมักจะมีการโจมตีพร้อมๆกันจากเครื่องคอมพิวเตอร์หลายๆเครื่อง ซึ่งทำให้ SMTP Traffic พุ่งขึ้นสูง ดังนั้นการโจมตีด้วยเทคนิค DHAs จึงสามารถทำให้เครื่อง Email server ขององค์กรล่มได้อย่างง่ายดาย ผลกระทบรุนแรงโดยการโจมตีโดยใช้ เทคนิค DHAs ดังกล่าว ก่อให้เกิดผลกระทบต่อประสิทธิภาพในการทำงานของระบบ Email server ขององค์กร

          การป้องกัน DHAs นั้นต้องกระทำที่บริเวณหน้า Mail Relay Server ในแบบ Real-time โดยป้องกันก่อนที่ Email จะมาถึง Email Gateway โดยใช้อุปกรณ์ป้องกันการสแปมอีเมล์ที่สามารถป้องกันบริเวณ SMTP connection point โดยควรต้องมีเทคโนโลยีในการ Block IP Address ของต้นทางที่ส่ง Email delivery attempt requests โดยพวกสแปมเมอร์ ระบบป้องกันที่ดี ควรต้องฉลาดถึงขั้นที่สามารถ Block IP Address ของพวกสแปมเมอร์ ได้ถึงแม้ว่าสแปมเมอร์ จะเปลี่ยน IP address ไปเรื่อยๆก็ตาม

        แต่ถึงแม้ว่า อุปกรณ์ดังกล่าวจะสามารถป้องกันการทำ DHAs ของสแปมเมอร์ได้ แต่ SMTP traffic ของพวกสแปมเมอร์ก็ยังคงอยู่ในเครือข่ายของเรา ซึ่งทำให้เราต้องสิ้นเปลือง bandwidth ไปโดยใช่เหตุ ดังนั้นทางแก้ปัญหาที่ดีที่สุดคือ การย้าย Mail Relay Server ไปยัง IDC (Internet Data Center) หรือ ISP (Internet Service Provider) เพื่อลดการสิ้นเปลือง bandwidth อย่างเปล่าประโยชน์ระหว่างเรากับ IDC หรือ ISP 
        การโจมตีของพวกพวกสแปมเมอร์ จึงไม่ใช่ปัญหาเล็กๆ ที่เป็นแค่ทำให้เกิดความรำคาญแก่ ผู้ใช้คอมพิวเตอร์ทั่วไป แต่เป็นปัญหาใหญ่ที่กระทบกับ Availability โดยรวมของระบบ Email องค์กรที่จะมองข้ามไม่ได้อีกต่อไป ดังนั้นองค์กรควรให้ความสำคัญกับปัญหาสแปมอีเมล์ อย่างจริงจังและเตรียมการป้องกันให้พร้อมกับปัญหาสแปมอีเมล์ที่จะทวีความรุนแรงมากขึ้นเรื่อย ๆ

 

by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center

 http://s10.histats.com/6.swf  

 

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s