MIT-Kurs "Computer Systems Security". Vorlesung 23: Sicherheitsökonomie, Teil 1

Published on January 11, 2019

MIT-Kurs "Computer Systems Security". Vorlesung 23: Sicherheitsökonomie, Teil 1

Ursprünglicher Autor: Nikolai Zeldovich, James Mykens
  • Übersetzung
  • Tutorial

Massachusetts Institute of Technology. Vorlesung # 6.858. "Sicherheit von Computersystemen." Nikolai Zeldovich, James Mykens. 2014


Computersystemsicherheit ist ein Kurs zur Entwicklung und Implementierung sicherer Computersysteme. Die Vorträge behandeln Bedrohungsmodelle, Angriffe, die die Sicherheit gefährden, und Sicherheitsmethoden, die auf den neuesten wissenschaftlichen Erkenntnissen basieren. Zu den Themen gehören Betriebssystemsicherheit, Funktionen, Steuerung des Informationsflusses, Sprachsicherheit, Netzwerkprotokolle, Hardwareschutz und Sicherheit in Webanwendungen.

Vorlesung 1: „Einführung: Bedrohungsmodelle“ Teil 1 / Teil 2 / Teil 3
Vorlesung 2: „Kontrolle von Hackerangriffen“ Teil 1 / Teil 2 / Teil 3
Vorlesung 3: „Pufferüberlauf: Exploits und Schutz“ Teil 1 /Teil 2 / Teil 3
Vorlesung 4: „Privilegientrennung“ Teil 1 / Teil 2 / Teil 3
Vorlesung 5: „Wo Sicherheitssystemfehler herkommen“ Teil 1 / Teil 2
Vorlesung 6: „Fähigkeiten“ Teil 1 / Teil 2 / Teil 3
Vorlesung 7: „Native Client Sandbox“ Teil 1 / Teil 2 / Teil 3
Vorlesung 8: „Netzwerksicherheitsmodell“ Teil 1 / Teil 2 / Teil 3
Vorlesung 9: „Sicherheit von Webanwendungen“ Teil 1 / Teil 2/ Teil 3
Vorlesung 10: „Symbolische Ausführung“ Teil 1 / Teil 2 / Teil 3
Vorlesung 11: „Ur / Web-Programmiersprache“ Teil 1 / Teil 2 / Teil 3
Vorlesung 12: „Netzwerksicherheit“ Teil 1 / Teil 2 / Teil 3
Vorlesung 13: „Netzwerkprotokolle“ Teil 1 / Teil 2 / Teil 3
Vorlesung 14: „SSL und HTTPS“ Teil 1 / Teil 2 / Teil 3
Vorlesung 15: „Medizinische Software“ Teil 1 / Teil 2/ Teil 3
Vorlesung 16: „Angriffe über einen Seitenkanal“ Teil 1 / Teil 2 / Teil 3
Vorlesung 17: „Benutzerauthentifizierung“ Teil 1 / Teil 2 / Teil 3
Vorlesung 18: „Private Internet Viewing“ Teil 1 / Teil 2 / Teil 3
Vorlesung 19: „Anonyme Netzwerke“ Teil 1 / Teil 2 / Teil 3
Vorlesung 20: „Mobiltelefonsicherheit“ Teil 1 / Teil 2 / Teil 3
Vorlesung 21: „Datenverfolgung“ Teil 1 /Teil 2 / Teil 3
Vorlesung 22: “MIT Information Security” Teil 1 / Teil 2 / Teil 3
Vorlesung 23: “Security Economics” Teil 1 / Teil 2

James Mycens: Heute werden wir über Spam Economics sprechen. Zuvor haben wir in Vorträgen technische Aspekte der Sicherheit besprochen. Wir haben uns Dinge wie Pufferüberlauf, das Prinzip der gleichen Quelle, Tor und dergleichen angeschaut. Der Kontext für die Diskussion war, dass wir uns überlegten, wie ein Gegner ein System gefährden könnte. Wir haben versucht, ein Bedrohungsmodell zu entwickeln, das die Dinge beschreibt, die wir verhindern möchten, und haben uns dann Gedanken darüber gemacht, wie wir Systeme entwerfen können, die uns helfen, uns gegen dieses Bedrohungsmodell zu verteidigen.



Heute schauen wir uns also eine alternative Perspektive an, die die Frage ist, warum der Angreifer versucht, das System zu hacken. Warum versucht er uns zu verletzen? Es gibt viele Gründe, warum Eindringlinge versuchen, diese schrecklichen Dinge zu tun. Einige dieser Angriffe werden aus ideologischen Gründen von Menschen durchgeführt, die sich als politische Aktivisten oder dergleichen betrachten. Wir können uns an den Computerwurm Stuxnet erinnern, der zeigt, dass Regierungen manchmal andere Regierungen angreifen. Bei solchen Angriffen ist Geld und die Wirtschaft nicht die Hauptmotivation für den Angriff. Interessanterweise ist es tatsächlich schwierig, diese Angriffe zu verhindern, indem Computer einfach sicherer gemacht werden. Und es gibt keinen finanziellen Hebel, um diese Eindringlinge auf andere Aktivitäten umzuleiten.

Es gibt jedoch einige Arten von Angriffen, die eine starke wirtschaftliche Komponente beinhalten, und dies sind einige der Dinge, die wir heute betrachten werden. Interessanterweise können wir, wenn die Angriffe nicht auf den finanziellen Interessen von Hackern beruhen, keine Regeln anwenden, um sie zu verhindern. Manchmal ist es schwierig zu verstehen, wie ein solcher Angriff gestoppt werden kann. Wie ich bereits sagte, versuchen wir nur, Computer sicherer zu machen.

Zum Beispiel ist Stuxnet eine großartige Idee. Dieser Virus griff industrielle Software im Zusammenhang mit der Nuklearforschung im Iran an. So wissen wir alle, woher Stuxnet kam, hauptsächlich Amerikaner und Israelis. Aber können wir es vor Gericht beweisen? Wen können wir zum Beispiel verklagen, indem wir sagen, dass er Stuxnet mit unserem Auto verbunden hat?

Somit ist bei solchen Angriffen nicht klar, wer verklagt werden kann - die Federal Reserve oder Israel oder sonst jemand. Darüber hinaus erklärte niemand offiziell, dass sie diejenigen waren. Wenn Sie also darüber nachdenken, wie Sie solche Angriffe verhindern können, gibt es sehr interessante rechtliche und finanzielle Probleme.



Es gibt viele Arten von Computerkriminalität, die aus wirtschaftlichen Gründen motiviert sind. So wurde beispielsweise in der Vorlesung Wirtschaftsspionage vom Staat gefördert. Manchmal versuchen Regierungen, andere Regierungen oder andere Industrien zu hacken, um geistiges Eigentum zu stehlen, oder so etwas.

Interessanterweise müssen Sie bei der Organisation von Spam-Angriffen zuerst etwas Geld investieren, um später etwas Geld zu verdienen. Spammer müssen wirklich in die Infrastruktur investieren, bevor sie ihre Nachrichten senden können.

Wenn Sie Angriffe dieser Art haben, können Sie herausfinden, wie die finanzielle Kette von Hacking-Tools aussieht, und dann können Sie möglicherweise finanziellen Druck auf die oberen Glieder der Kette ausüben, um böswillige Angriffe oder Sicherheitsprobleme auf die unteren Glieder zu verhindern.

Wenn Sie sich den Spam-Kontext ansehen, werden Sie verstehen, dass Spammer den Spam-Versand nur dann einstellen, wenn er für sie unrentabel wird. Eine der traurigen Wahrheiten in der Welt ist, dass wir weiterhin Spam erhalten, da dies die Spammer zu billig kostet, weil sie nur von 2% - 3% der Leute genug Profit haben, die auf die Links klicken und den Spam anzeigen. Solange die Kosten für den Versand dieser Nachrichten so gering sind, können Spammer mit solchen Dingen auch bei minimaler Aktivität der Opfer noch Geld verdienen.

Daher werden wir heute Angriffe in Betracht ziehen, die eine bedeutende wirtschaftliche Komponente enthalten. Lassen Sie mich Ihnen ein interessantes Beispiel geben, von dem ich gerade gelesen habe, dass dies in China geschieht. Sie haben ein Problem namens "SMS-Geräte". Die Idee dabei ist, dass Menschen Autos mit in die Richtung weisenden Antennen fahren, die nach dem Man-in-the-Middle-Schema zwischen Mobiltelefonen und Handytürmen agieren. Sie fahren in diesen Maschinen herum und sammeln Handynummern, die dann Spam in Form von Textnachrichten von ihnen senden.

Auf diese Weise können diese Textnachrichtenautos bis zu 200.000 Nachrichten pro Tag senden, was eine enorme Anzahl ist, während die Arbeitskosten sehr niedrig sind. Es ist sehr billig, einen Fahrer zu mieten, auf der Strecke zu fahren, den Verkehr der Leute auszuspionieren und ihnen Spam zu schicken.
Betrachten wir die Wirtschaftlichkeit dieses Prozesses. Was kostet die Antenne, mit der der Verkehr der Mobilkommunikation überwacht werden kann? Grob gesagt liegt es irgendwo im Bereich von plus oder minus 1600 Dollar. Wie viel Gewinn können diese Leute pro Tag erzielen? Bei einem erfolgreichen Szenario auch etwa 1600 Dollar. Es ist also sehr interessant. Dies bedeutet, dass Sie Ihre Kosten an einem Tag wieder hereinbekommen und dann einen Nettogewinn erhalten.

Sie können sagen, dass die Polizei Sie erwischen kann und Sie dann möglicherweise inhaftiert sind oder Sie müssen eine Geldstrafe zahlen, aber es sind weniger als 5.000 Dollar, außerdem stoßen diese Leute selten auf. Wir müssen auf solche Berechnungen achten, wenn wir überlegen, wie wir diese Spammer wirtschaftlich eindämmen können. Wenn Spammer daher ein paar Mal im Jahr erwischt werden und ihre Ausrüstungskosten an einem Tag erstatten, ist es sehr schwierig herauszufinden, wie sie finanziell daran gehindert werden können, so etwas zu tun.

Interessanterweise nehmen in China auch Mobilfunkbetreiber an diesem Programm teil, da jedes Mal, wenn Sie Spam versenden, ein kleiner Betrag an einen Mobilfunkbetreiber gesendet wird, nur ein paar Cent. In Europa haben viele Mobilfunkbetreiber entschieden, dass sie keine verärgerten Kunden brauchen, die melden, dass sie ständig Spam erhalten. Viele chinesische Mobilfunkbetreiber, zumindest die drei größten, betrachten diese Spam-Nachrichten als Einnahmequelle. Sie denken wirklich, dass dies ein guter Weg ist, um zusätzliches Geld zu bekommen.



Ich weiß nicht, ob Sie davon gehört haben, aber das Telcos-Netzwerk hat die Vorwahl 106- für Telefonnummern eingerichtet. Der ursprüngliche Zweck dieses Präfixes besteht darin, die Telefonnummer für nichtkommerzielle Zwecke zu verwenden. Stellen Sie sich vor, Sie leiten ein Unternehmen und möchten eine Reihe von Textnachrichten an alle Ihre Mitarbeiter senden. Sie können eine dieser 106 Nummern verwenden, um alle Nachrichten "in großen Mengen" zu senden und einige der integrierten Geschwindigkeitsbegrenzungsmechanismen im Mobilfunknetz zu umgehen.

Dies kann von Spammern genutzt werden, und ich denke, dass 55% des in China versendeten mobilen Spam von einer dieser 106 Nummern stammt. Dies ist ein interessantes Beispiel für die Arbeit des Finanzsystems, wenn bestimmte perverse Anreize die Mobilfunkbetreiber dazu veranlassen, sich auf eine gemeinsame Sache mit Betrügern einzulassen. Im Skript befindet sich ein Link zu einem interessanten Artikel in der Zeitschrift Economist.



Es ist interessant, dass es viele Unternehmen gibt, die sich mit Cyberwaffen beschäftigen. Sie verkaufen Malware, Exploits und ähnliche Software. Ein Beispiel ist Endgame. Für eineinhalb Millionen US-Dollar liefert Ihnen dieses Unternehmen beispielsweise die IP-Adressen und den physischen Standort von Millionen ungeschützter Computer. Überall im Internet haben sie eine Vielzahl von Stellen, an denen sie alle Arten von interessanten Informationen über Computer sammeln, die Sie angreifen oder im Gegenteil schützen können, zum Beispiel, wenn Sie eine Regierung oder eine andere Behörde oder so etwas sind.

Für etwa 2,5 Millionen US-Dollar erhalten Sie das, was einfach großartig ist - ein "Zero-Day-Paket-Abonnement". Wenn Sie dies abonnieren, erhalten Sie 25 Exploits pro Jahr und können mit ihrer Hilfe tun, was Sie wollen. Interessanterweise sind viele Leute, die mit diesen Cyberwaffenhändlern zusammenarbeiten, ehemalige Mitglieder der Sicherheitsdienste, wie die CIA oder die NSA.

Es ist interessant darüber nachzudenken, wer die tatsächlichen Kunden dieser Cyber-Händler sind. Einige Kunden sind Regierungen, zum Beispiel die US-Regierung. Sie benutzen diese Dinge, um andere Länder anzugreifen. Meist werden solche Produkte jedoch von Unternehmen gekauft. Am Ende der Vorlesung werden wir darüber sprechen, wie Unternehmen Cybersicherheitsaspekte manchmal selbst in die Hand nehmen und so genannte Hackbacks oder interne Hackings organisieren. Unternehmen, die von Cyberkriminellen angegriffen werden, sind in dieser Angelegenheit nicht an behördliche Strukturen gebunden, sondern versuchen, mit denen umzugehen, die versucht haben, ihr geistiges Eigentum zu stehlen. Sie verwenden jedoch recht erfolgreich sehr einfallsreiche rechtliche Argumente, um ihre Handlungen zu rechtfertigen. Das ist also ein interessanter Aspekt des Cyberkriegs.

Zielgruppe:ist es legal?

Professor: Wir wissen, dass "Information frei sein will, Mann", richtig? Wenn Sie von solchen Dingen sprechen, sollten Sie die Terminologie nicht "legal oder illegal" verwenden, nur etwas funktioniert "im Schatten". Wenn ich Ihnen zum Beispiel sage, dass es irgendwo ein Haus gibt, in dem das Türschloss nicht funktioniert, und Sie 20 Dollar dafür verlangen, ist das nicht unbedingt illegal. Wie sich herausstellte, gibt es in diesen Unternehmen eine Vielzahl von Anwälten, die sich mit solchen Themen befassen. In vielen Fällen können Sie jedoch im Internet nach schmutzigen Tricks suchen und Websites besuchen, auf denen Sie erfahren, wie man Bomben herstellt. Das Platzieren solcher Informationen ist nicht illegal, da es sich lediglich um erzieherische Informationen handelt. Was ist, wenn ich zum Beispiel eine Apotheke bin? Daher ist es nicht unbedingt illegal, jemandem Wissen zur Verfügung zu stellen.

Aber Sie haben Recht, dass es hier einige „Grauzonen“ gibt, zum Beispiel diesen Hackback, über den wir später sprechen werden. Angenommen, ich bin eine Bank, ich bin keine Regierung, sondern eine Bank, und sie haben mich gehackt. Ich bin nicht immer rechtlich befugt, ein Botnetz oder ähnliches abzudecken. Unternehmen machen solche Dinge, aber das Gesetz ist hinter der Zeit. Wenn die Eindringlinge dies tun, wenden wir daher das Urheberrechtsverletzungsgesetz an, wenn sie unsere Produkte verkaufen. Wenn sie ein Botnetz verwenden, wenden wir das Gesetz über Verstöße bei der Verwendung von IP-Adressen an.

Dies ist wahrscheinlich nicht das, worüber Thomas Jefferson nachdachte und vorschlug, wie die Gesetze wirklich funktionieren sollten. Dies ist in gewisser Weise ein Katz-und-Maus-Spiel. Später werden wir darüber diskutieren.
Grundsätzlich bedeutet dies, dass es einen Markt für alle Arten von Computerressourcen gibt, die von denen genutzt werden können, die Angriffe organisieren möchten. Zum Beispiel gibt es einen Markt für gehackte Systeme. Sie können in den "dunklen Bereich" des Internets gehen und alle kompromittierten Computer kaufen, die Teil eines Botnetzes sein können. Sie können den Zugriff auf infizierte Websites erwerben und auf einer solchen Website Spam oder Links zu Malware veröffentlichen.



Für Geld können Sie auf gehackte E-Mail-Konten wie Google Mail oder Yahoo zugreifen. Diese Dinge sind für Angreifer von großem Wert. Sie können auch einfach so etwas wie ein Abonnement für ein Botnetz kaufen und es bei Bedarf verwenden, um beispielsweise einen DDoS-Angriff zu organisieren. Es gibt also einen Markt, auf dem all dies gekauft werden kann.
Es gibt auch einen Markt für Hacking-Tools, auf dem Sie als Angreifer vorgefertigte Sätze von Schadprogrammen kaufen oder die Dienste von Cyber-Waffenhändlern nutzen können. Sie können auf Zero-Day-Exploits zugreifen und so weiter.

Es gibt auch einen großen Markt für gestohlene Benutzerinformationen. Dies sind Dinge wie Sozialversicherungsnummern, Kreditkartennummern, E-Mail-Adressen und so weiter. Das alles ist also im Internet, wenn Sie zur Suche bereit sind.

Der Vortragsartikel, den wir heute diskutieren werden, konzentriert sich hauptsächlich auf einen Aspekt - das Spam-Ökosystem. Insbesondere erwägen die Autoren den Verkauf von Arzneimitteln, gefälschten Waren und Software. Dabei teilen sie das Spam-Ökosystem in drei Teile.

Der erste Teil ist Werbung. Dieser Vorgang bringt den Benutzer dazu, auf den Spam-Link zu klicken. Sobald der Benutzer dies tut, entsteht der zweite Teil - die Notwendigkeit, Klicks zu unterstützen. Dies bedeutet, dass ein Webserver, eine DNS-Infrastruktur usw. vorhanden sein muss, die die Spam-Site darstellt, die der Benutzer besucht. Der letzte Teil des Spam-Ökosystems ist die Implementierung, die es dem Benutzer tatsächlich ermöglicht, auf der Website einen Kauf zu tätigen. Er schickt Geld an Spammer, in der Hoffnung, ein bestimmtes Produkt zu bekommen, und das ist der Ort, von dem das Geld kommt.



Daher werden viele dieser Dinge an Partnerprogramme ausgelagert. In den meisten Fällen sind diese Programme für den Verkauf und Einkauf zuständig und arbeiten mit Banken, Zahlungssystemen wie Visa, MasterCard usw. zusammen. Oft haben Spammer jedoch nicht die Absicht, mit solchen Schwierigkeiten umzugehen, sondern möchten lediglich Links erstellen, damit Spammer als Werbekomponente wahrgenommen werden können. Gleichzeitig arbeiten die Spammer selbst für einen Prozentsatz der Provision der Transaktion und erhalten 30% bis 50% des Verkaufswerts der Waren.

In diesem Vortrag werden wir uns alle Komponenten des Spam-Ökosystems ansehen, sehen, wie es funktioniert, und dann darüber nachdenken, wie wir Spammer auf jeder dieser Ebenen loswerden können.
Das Erste, was uns auffällt, ist die Werbekomponente. Wie ich bereits erwähnte, besteht die Hauptidee der Werbung darin, den Benutzer zu zwingen, dem Link zu folgen. Dies ist die Hauptfrage, die uns Sorgen machen wird. Wie Sie wissen, wird der erste Spam als Textnachricht in E-Mails versendet. Spammer beginnen jedoch, andere Kommunikationsformen, einschließlich sozialer Netzwerke, aktiv zu nutzen. Wenn Sie jetzt zu Facebook gehen, werden Sie nicht nur mit dem Inhalt Ihrer echten Freunde "infiziert", sondern auch mit Spam-Nachrichten.

In unserer Diskussion geht es um Wirtschaftlichkeit. Das interessante Thema sind also die Kosten für das Versenden dieser Spam-Nachrichten. Es stellt sich heraus, dass es nicht sehr teuer ist - für etwa 60 Dollar können Sie eine Million Spam-E-Mails versenden, das ist also ein supergünstiger Preis. Und es wird noch niedriger, wenn Sie sich sofort mit diesem Botnetz verbinden, da es möglich ist, die Dienste eines Vermittlers abzulehnen. Aber auch wenn Sie eines der Botnet-Systeme auf dem Markt mieten, ist es immer noch sehr billig.

Zielgruppe: Welcher Teil dieser Nachrichten ist wirklich effektiv? Das heißt, wie viele von ihnen werden vom E-Mail-Client nicht gefiltert?

Professor:Dies ist eine gute Frage, die mich zum nächsten Punkt bringt. Beispielsweise senden Sie eine Million Spam-Nachrichten, diese werden jedoch an verschiedenen Stellen in Ihrem Pfad verworfen und gelangen in Spam-Filter. Die Leute werden sie bemerken und sie sofort löschen, da sie wissen, dass eine E-Mail, die zum Beispiel mit einem "$ 18" -Ausweis versehen ist, Spam enthält.

Wenn Sie sich die Conversion-Rate ansehen, werden Sie feststellen, dass die Klickraten aufgrund von Spam-Filtern und der Bekanntheit der Nutzer tatsächlich sehr niedrig sind. Daher sollte Spammen super, super günstig sein, da man sonst keine großen Vorteile bekommt. Beispielsweise wurden empirische Studien durchgeführt, die Klickraten ermittelten. Es stellte sich heraus, dass beim Anzeigen von 350 Millionen Spam-Nachrichten nur etwa 10.000 Klicks gemacht wurden, das heißt, es gab einen massiven „Rückgang“ der Nachrichten. Darüber hinaus waren diese 10.000 Klicks nur 28 Versuche, das vorgeschlagene Produkt zu kaufen. Dies sind sehr, sehr niedrige Raten. Daher ist es für einen Spammer äußerst wichtig, dass die Kosten für ein Spam-Ökosystem sehr niedrig sind.



Achten Sie auf die Filterrate von Spam - dies reduziert die anfängliche Anzahl von Mailings um mehrere Größenordnungen. Wir hoffen daher, dass wir diesen Newsletter zumindest theoretisch für nur 10 US-Dollar "scrollen" können, was sich jedoch katastrophal auf seine Wirksamkeit auswirken könnte. Für Spammer ist es daher sehr wichtig, dass alles so billig wie möglich ist.

Zielgruppe: Über diese 10.000 Klicks - Wie viele dieser 350 Millionen E-Mails wurden aus den eingehenden E-Mails herausgefiltert? Ich versuche nur eine Vorstellung davon zu bekommen, auf wie viele E-Mails Benutzer geklickt haben, um zu sehen, wie effektiv die Spam-Filterung ist und wie dumm die Leute in den USA sind.

Professor: Ich bin nicht sicher, ob ich antworten kann, aber das ist eine sehr gute Frage.

Nikolai Zeldovich:Am Freitag hörte ich Jeff Walkers Rede zu diesem Thema und er sagte, dass 20% bis 40% der Klicks, die zu einer der Spam-Sites führten, tatsächlich aus dem Spam-Ordner im Postfach des Benutzers stammen. Es stellt sich heraus, dass die Leute in den Spam-Ordner gehen, nach diesen Dingen suchen und auf die Links klicken.



Das heißt, es gibt eine ganze Klasse von Benutzern, die bewusst nach Abenteuern suchen, indem sie einen Spam-Ordner eingeben. Filterstatistiken geben also nicht den tatsächlichen Stand der Dinge wieder, da gefilterte Nachrichten auch von einigen Benutzern verwendet werden können.

James Mycens:Ja, ich habe auch Berichte darüber gehört. Einige Leute markieren sogar legale E-Mails als Spam, sodass sie beispielsweise vor ihren Arbeitskollegen verbergen, dass sie ihr Google Mail-Konto betreten, und nicht herausfinden, was Sie beispielsweise verfolgen. Anschließend wechseln diese Personen in den Spam-Ordner und zeigen die benötigten Nachrichten an. In der Tat ist dies ein sehr interessanter Punkt. Es gibt eine Psychologie derer, die tatsächlich auf diese Links klicken. In einem der Artikel, die ich mit den Vorlesungsunterlagen verknüpft habe, wird erklärt, warum diese nigerianischen Betrügereien immer noch funktionieren. Schließlich könnte man meinen, dass eine vernünftige Person niemals auf die Nachrichten eines dieser nigerianischen Postbetrüger drängen würde. Es stellt sich jedoch heraus, dass das „nigerianische Mem“ für Spammer tatsächlich nützlich ist, um Idioten herauszufiltern. Mit anderen Worten,

Dies ist eines der wichtigsten Dinge, die Spammer brauchen. Sie brauchen Menschen, die so vertrauensvoll oder idealistisch sind, dass sie auf einen solchen Link klicken. Dahinter steckt eine ganze Psychologie, also ist es sehr interessant.



Teilnehmerin: Was kostet es, was Spammer anbieten, um zu kaufen?

Professor: Das ist eine gute Frage. Es hängt alles davon ab, wonach Sie suchen. Viele dieser Käufe sind nicht sehr teuer, wie Viagra-Tablets oder eine gehackte Kopie von Windows. In den meisten Fällen sind die Leute versucht, gefälschte Produkte zu kaufen, weil ihr Preis niedriger ist als in den offiziellen Läden. Andernfalls würden Sie einfach in ein lokales Einkaufszentrum gehen und kaufen, was Sie wollen. Im Grunde sind dies Einkäufe von Dingen, die bis zu 1.000 USD kosten, oft viel weniger.

Wie gesagt, die zentrale Frage, die sich ein Spam-Verteidiger stellen sollte, ist, wie man Spam für den Spammer selbst teurer macht. Hierfür gibt es verschiedene Möglichkeiten.

Eine davon sind Blacklists von IP-Adressen. Es ist möglich, dass Internetprovider oder andere Personen eine Liste der IP-Adressen sammeln, von denen Spam gesendet wird. In diesem Fall können diese Personen einfach keinen Datenverkehr senden. Diese Methode hat eine Weile funktioniert, aber jetzt ist es für einen Angreifer viel einfacher, Methoden wie die DNS-Umleitung usw. zu verwenden, auf die wir später noch eingehen werden. Jetzt haben Spammer einen viel größeren Adressensatz, von dem aus Sie Spam versenden können. Außerdem können Sie Hostnamen und Webserver dynamisch neu zuweisen, sodass die "schwarzen Listen" der IP-Adressen nicht mehr wirksam sind.

Eine andere Idee, die seit langem verwendet wird, ist das Verrechnen von Gebühren für das Versenden von E-Mails. Jedes Mal, wenn Sie eine E-Mail senden, leisten Sie eine Mikrozahlung in den unterschiedlichsten Währungen. Wenn ich Ihnen beispielsweise eine E-Mail senden wollte, müsste ich einen Zehntel-Zehntel-Cent bezahlen. Für mich spielt es keine Rolle, da ich nicht jeden Tag viele E-Mails sende, aber wenn Sie ein Spammer sind, der versucht, ein paar E-Mails zu senden, wird es ein gutes Geschäft. Dadurch wird die Kette der Spam-Gewinne untergraben.

Eine andere Idee, die die Leute hatten, war, Computer als Zahlungsmittel für das Versenden von Nachrichten zu verwenden. Das heißt, damit mein Mailserver einen ausgehenden Brief annimmt, muss ich einige Rätsel lösen, eine Art mathematischen Trick ausführen oder so. Es erhöht auch die Kosten für Massen-Spam, da es viel Zeit in Anspruch nimmt.

Darüber hinaus sind wir alle mit dem Captcha vertraut. Zum Beispiel müssen Sie sich ein Bild von 9 Tieren ansehen und eine Katze anstelle eines Hundes finden oder eine seltsame Wellenzahl eingeben, die Kopfschmerzen verursacht, oder so ähnlich.

Auf diese Weise können Gebühren für das Senden von E-Mails erhoben werden, um Massen-Spam zu verhindern. Das klassische Problem in diesem Fall ist, wer sich zuerst mit der Implementierung dieser Schemata befasst.



Wenn nicht alle E-Mail-Anbieter gleichzeitig einen solchen Schutz implementieren, wenden sich Spammer natürlich einfach an diejenigen E-Mail-Anbieter, die diese Methoden noch nicht implementiert haben. Hier gibt es ein Problem, wie alle Anbieter gleichzeitig aktualisiert werden können. Was passiert auch, wenn das Benutzergerät kompromittiert ist? Zum Beispiel hackt sich jemand in mein Google Mail-Konto ein und zwingt mich, 350 Millionen Mikrozahlungen zu leisten, die mich bankrott machen können.

Daher ist nicht ganz klar, wie einige dieser Systeme zur Umsetzung bereit sind. Sie stellen jedoch ein interessantes Gedankenexperiment zum Thema dar, wie man die böswillige Aktivität von Absendern einschränken kann.

26:10 Min.

Kurs MIT "Computer Systems Security". Vorlesung 23: "Die Ökonomie der Sicherheit", Teil 2


Die Vollversion des Kurses finden Sie hier .

Vielen Dank für Ihren Aufenthalt bei uns. Mögen Sie unsere Artikel? Möchten Sie weitere interessante Materialien sehen? Unterstützen Sie uns, indem Sie eine Bestellung aufgeben oder Freunden empfehlen. 30% Rabatt für Habrs Benutzer auf ein einzigartiges Analogon der Einstiegsserver, die wir für Sie erfunden haben: Die ganze Wahrheit über VPS (KVM) E5-2650 v4 (6 Kerne) 10 GB DDR4 240 GB SSD 1 Gbit / s von 20 Dollar oder wie man den Server teilt? (Optionen sind mit RAID1 und RAID10, bis zu 24 Kernen und bis zu 40 GB DDR4 verfügbar).

VPS (KVM) E5-2650 v4 (6 Kerne) 10 GB DDR4 240 GB SSD 1 Gbit / s bis Januar kostenlos, wenn Sie für einen Zeitraum von sechs Monaten bezahlen, können Sie hier bestellen .

Dell R730xd 2 mal günstiger? Nur bei uns2 x Intel Dodeca-Core Xeon E5-2650v4 128 GB DDR4 6 x 480 GB SSD 1 Gbit / s 100 TV ab 249 US-Dollar in den Niederlanden und den USA! Lesen Sie mehr darüber, wie Sie ein Infrastrukturgebäude bauen. Klasse C mit Servern Dell R730xd E5-2650 v4 im Wert von 9000 Euro für einen Cent?