Dokumenty PDF, o které nikdo nestojí

3. 8. 2007
Doba čtení: 3 minuty

Sdílet

Autor: 29
„Spam, spam, samý spam.“ To by přesně v duchu Monty Python prohlásil asi každý internetový uživatel, kterého se trable s nevyžádanou poštou dotknou každý den. Textové reklamy jsou pasé, obrázky pomalu ustupují, tak co teď? Odpověď ze strany spamerů je jednoduchá: PDF!

Cesty spamu jsou rozličné, a to nejen co do aktuálního šíření se internetovými linkami, ale také napříč historickými trendy. Vítr již dávno odvál vzpomínky na první, čistě textový spam z roku 1994, kdy arizonský právník Laurence Canter a jeho kolegyně Martha Siegelová zaplavili diskusní fóra nabídkou svých služeb. Prostředkem k tomu se jim stal jednoduchý skript v Perlu. Textový spam je dnes již díky pokročilosti filtrů za zenitem, spameři inovují, jak se dá.

Boom posledních měsíců a let v podobě obrázkového spamu dlouhou dobu tvořil nejvýznamnější zbraň proklínaných rozesílačů nevyžádané pošty, obrázky deformované a dekomponované bojovaly se spamovými filtry stále novými technikami. Například podle informací X-Force se obrázkový spam z prvotního oťukávání roku 2005 stal o rok později dominantní technikou, tvořil třetinu veškeré nevyžádané pošty.

A že se historie opakuje, začíná dokazovat také PDF spam: v druhé polovině června letošního roku se z ničeho nic se objevila první větší vlna PDF spamu, tedy nevyžádané pošty, jejíž alfu a omegu představoval přiložený dokument PDF. Rozesílání trvalo dva dny, poté na chvíli jako by utichlo. Později IBM identifikovalo dva nové druhy PDF spamu:

• První byl podobný původnímu, obsahoval stejný dokument ve formátu PDF, pouze tělo e-mailové zprávy se dočkalo změn.
• Druhá z nedávných forem PDF spamu obsahovala různé přílohy PDF (vždy ale jeden dokument v rámci nevyžádané zprávy), každý z těchto PDF dokumentů přitom do své stránky zahrnul obrázek s úpravami standardního obrázkového spamu.

Vlaštovky bez příslibu krásného jara

Po těchto prvních vlaštovkách, jež představovaly zhruba tři až čtyři procenta celkového objemu spamu v té době, se situace na chvíli uklidnila; počátkem července však přišla další, nyní již silnější vlna PDF spamu. V první polovině července stoupla míra PDF spamu zhruba na dvojnásobek, ve špičkách dokonce až na pětinu celkového objemu nevyžádané pošty. Hlavním tématem nevyžádané pošty se nyní v PDF přílohách staly „staré dobré“ cenné papíry, sekundovaly nabídky farmaceutických výrobků. Symbolicky a velice výstižně nyní působí s předstihem vydaná zprávička Překvapení: počet obrázkových spamů klesá, kde jsme mimo jiné uvedli například i následující:

„Nyní je podíl obrázkového spamu na nejnižší úrovni za posledních deset měsíců. V předminulém týdnu šlo o 15,6 procent ze všech spamů. Ještě v prvním čtvrtletí to bylo až 40 procent. Celkově se ale množství nevyžádané pošty dramaticky nesnížilo a zůstává stále na vysoké úrovni. Není tedy prý důvod k radosti, spameři pravděpodobně jen hledají další způsob, jak obejít vylepšené antispamové filtry.“

PDFspam
Konkrétní a strohý PDF spam, který prošel antispamovým filtrem.

Není od věci se na chvíli pozastavit nad vytížením pásma různými druhy spamu. Původní textový spam byl v tomto ohledu samozřejmě poměrně shovívavý, čistě textová nevyžádaná pošta otravovala, ale vytíženost linek v drtivé většině nevyčerpala (i když v úvahu vezmeme více historické datové propustnosti). Obrázkový spam předznamenal problém, grafika hladce dokázala spolknout více. Vytížení pásma v absolutních číslech je samozřejmě v rámci několika málo spamů v organizacích zanedbatelné, když ale ve špičce dojde třeba k padesátipro­centnímu zabrání kapacity, lze to výrazně pocítit. Po textu a obrázcích si nyní PDF spam nebere servítky, některé nevyžádané zprávy laškovaly s velikostí 100 kB, nápor na přenos a omezené velikosti účtů tak nebyl zanedbatelný.

Cestička je tak nyní ze strany spamerů zjevně prošlapána, běžné antispamové filtry totiž PDF spam z principu (textový Bayes, jazykové filtrování s váhou termínů) nezvládají a blacklisting je vhodný jen v omezené míře. Základní obrana by tak zpočátku mohla být postavena na kontrole identických PDF příloh podle hash otisku – jakmile výsledný hash kód odpovídá „signatuře“, zpráva automaticky putuje do nevyžádané pošty. Již na první pohled ale jde o značně naivní řešení, které nemůže reflektovat byť i mírně pozměněné PDF dokumenty. Obzvlášť když vytvořit si vlastní PDF je tak snadné…

Růžové vyhlídky pro spamery a útočníky?

PDF spam v hromadném nasazení teprve nedávno oblékl plenky, uvidíme, co se z něj nakonec vyklube. Skoky v jednotlivých vlnách nyní prakticky kopírují obvyklé počátky nového trendu, takže vše směřuje k nové hrozbě: PDF spam zde bez debat bude, na uživatelích (výrobcích bezpečnostního softwaru) pak je obrana. Jak se podaří, ukáže až čas, stejně tak fakt, zda se přidruží například zneužití nejznámějších skulin Adobe Readeru pro spojení příjemného s užitečným – ze strany spamera-útočníka samozřejmě…

Obdrželi jste v nedávné době PDF spam?

Autor článku

Autor je zástupcem šéfredaktora časopisu Computer, živě se zajímá o svět Windows, Internetu a nejen síťové bezpečnosti.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).