Knujon unternimmt rechtliche Schritte gegen das Spam-Problem

Ab in die Dose

,
Die meisten Maßnahmen gegen Spam setzen auf einer technischen Ebene an und gleichen dem Hase-Igel-Wettlauf. Knujon versucht das Problem an der Wurzel zu packen und ergreift rechtliche Schritte gegen Spam-Provider. Die Gründer des Projekts erklären das System.

Spam-Nachrichten sind nicht nur nervig, sondern verursachen auch Kosten. Zum Beispiel haben die Analysten Ferris Research im Jahr 2004 geschätzt, dass amerikanische Firmen zusammen 10 Milliarden US-Dollar pro Jahr für Personalaufwand, Antispam-Software und verlorene Produktivität ausgeben [1]. Dazu kommt noch, dass betroffene Computersysteme oft Bandbreite verlieren und weniger zuverlässig arbeiten, ganz zu schweigen von Virus-Infektionen und Phishing-Problemen.

Bei Knujon arbeiten Anwender, Politiker, staatliche Stellen und Security-Consultants zusammen daran, Internet-Spammer ausfindig zu machen. Knujon (das ist "Nojunk" rückwärts geschrieben; gesprochen wie englisch "New John") ist ein Online-Service, der Spam-Mail klassifiziert, Informationen über Spammer zusammenträgt und Domain-Namen herausfindet, die von diesen benutzt werden. Laut ihrer Website hat Knujon dazu beigetragen, über 200 000 Spam-Sites das Handwerk zu legen. Selbst Ermittlungsbehörden konsultieren die Knujon-Datenbank, viele Firmen benutzen sie, um Markenrechtsverletzungen auf die Spur zu kommen. So kann zum Beispiel ein pharmazeutisches Unternehmen darin nach illegalen Kopien seiner Medikamente suchen. Schließlich profitieren auch diejenigen, die ihre Spam-Mail zum Knujons Service beisteuern, wenn Spam-Sites geschlossen und somit die Menge an Müllmail reduziert werden.

Verwaltung

Knujon macht sich die administrative Struktur des Internets zunutze, das eben ganz und gar nicht anarchistisch oder chaotisch funktioniert. Die Internet Corporation for Assigned Numbers (ICANN) delegiert die Verwaltung der Top-Level-Domains wie .com, .org und .net an so genannte Registrare wie zum Beispiel Verisign. Die sind damit autorisiert Domain-Namen zu vergeben, beschäftigen aber selbst wiederum Wiederverkäufer, was von großen Namen wie Yahoo bis zum kleinen Internet-Provider reichen kann. Den ganzen Ablauf regeln Policy-Dokumente wie das RAA (Registrar Accredidation Agreement), Acceptable Use und Memorandum of Understanding. Die Internet-Vertragslandschaft ist kompliziert, wie Abbildung 1 zeigt, und bietet für Spammer und andere Übeltäter eine ganze Reihe von Einfalltoren.

Abbildung 1: Die komplizierte Landschaft der Internet-Regulierungsberhäörden bietet viel Verstecke für Spammer.

Die beschriebene Kette vertraglicher Vereinbarungen verlangt, dass alle Informationen eines Domain-Kunden korrekt sein müssen. Andernfalls muss der Registrar den Kunden auffordern, seine Informationen zu korrigieren. Wenn die Informationen falsch sind, wird die Domain eingestellt.

Auch wenn die Absenderadresse einer Spam-Nachricht fast immer gefälscht ist, benutzen Spammer dennoch oft richtige Domain-Namen als Anlaufstellen für ihre Opfer, also Fake-Websites für Phishing, Cross-Site-Scripting und so weiter. Deshalb registrieren sie diese Domains meist mit einer gefälschten Identität. Knujon findet diese Domain-Namen heraus und sammelt Daten über verdächtige Aktivitäten, die dann die Grundlage für eine offizielle Beschwerde bei ICANN bildet.

Für potenzielle Teilnehmer am Knujon-Projekt gibt es mehrere Möglichkeiten. Die einfache Mitgliedschaft für Anwender, die ihre Spam-Mail besteuern wollen, ist kostenlos [3]. Für 27 US-Dollar im Jahr erfährt er etwas mehr persönliche Aufmerksamkeit, bekommt eine eigene Reporting-Adresse und erhält regelmäßige Status-Reports. Andere bringen sich ein, indem sie Software programmieren, zum Beispiel um mit verschiedensten Mail-Clients Spam zu sammeln und sie an die entsprechende Adresse zu verschicken. So gibt es für Thunderbird ein passende Extension [4].

Knujon erhält Spam in Form einer gewöhnlichen Mbox-Datei. Die wandert dann auf einen weiteren Rechner, wo einige Skripte sie zerlegen und Attachments in Formaten wie Zip, Tar und Rar dekomprimieren. So werden aus ganzen Mailboxen schließlich einzelne Mails. Die daraus entstehenden Files werden umbenannt, weil Spammer alle möglichen Tricks anwenden, um automatisierte Verarbeitung durch eigenartige Dateinamen zu erschweren. Im nächsten Schritt extrahiert Software die Namen der Websites auf die die Opfer geleitet werden, wenn sie auf die Links in den Spam-Mails klicken.

Schließlich überprüft Knujon die mit der Domain verknüpfte Registrier-Information. einschließlich eines Whois-Checks, und stellt diese Daten für eine ICANN-Beschwerde zusammen. Weil die Müllversender meistens lügen und selten die Whois-Daten korrigieren, führt die Beschwerde meistens zur Abschaltung der entsprechenden Domain.

Der 18 Monate dauernde Alpha-Test von Knujon war ein ziemlicher Erfolg. Viele Internet-User, die vorher eine Menge Spam bekamen, waren plötzlich Spam-frei. Während des Beta-Tests nahm eine größere Öffentlichkeit an Knujon teil, zwar weiterhin mit Erfolg, aber die Spammer begannen ihrerseits, Gegenmaßnahmen zu entwickeln. Ihm Juli 2006 startete dann der offizielle produktive Betrieb.

Die große Zahl an Nutzern erfordert ein ganzes Data Center und die passende Software, um den verteilten Prozess zu managen. Weil Knujon ohne Fördergelder auskommen musste, musste das Data Center möglichst preisgünstig aufgebaut werden. Und so läuft auf den meisten Servern Linux, die Software ist weitgehend in Perl geschrieben. Die wenigen Windows-Server, die einen Teil der Verarbeitung übernehmen, laufen mittlerweile als virtuelle Maschinen in Virtualbox unter Linux. Suchmaschinen-Funktionalität übernehmen Lucene und das Java-basierte Nutch.

Ergebnisse

Das Knujon-System, das ICANN-Beschwerden über Junk-Mail-Domains funktionierte ziemlich gut. Allerdings war ICANN selbst kaum auf eine solch große Zahl von Beschwerden vorbereitet. Sie schafften etwa 4000 Beschwerden am Tag, aber Knujon fand über 10 000 Ungereimtheiten in Domain-Informationen. Anfang 2008 sprengte Knujon schließlich die Kapazität des ICANN-Beschwerdesystems. 2009 installierte ICANN dann ein neues System, das auch Massenbeschwerden erlaubte.

Die Spammer registrieren Mengen an Domains, sodass eine Domain die Funktion der anderen übernehmen konnte, wenn diese gesperrt wurde. Mit Fast-Flux (schnelle Änderung von DNS-Infos) und neu eingeführten Testphasen bei Domainkäufen (Domain Tasting) konnten sie ihre Technologie sogar noch weiter verbessern. Im Jahr 2007 waren nur drei Registrare für 30 Millionen neue Domain-Namen verantwortlich, die meisten davon gratis Fünf-Tage-Test-Domains. Mittlerweile hat ICANN diese Praxis weitgehend unterbunden. Knujon konnte sogar einige Schlupflöcher in den vertraglichen Vereinbarungen mit den Registraren aufdecken, die Anfang 2009 endlich geschlossen wurden.

Knujon fand heraus, dass ungefähr 85 bis 90 Prozent aller Spam-Sites bei zehn bis 15 Registraren registriert sind. Der Journalist Brian Krebs von der Washington Post veröffentlichte im Mai 2008 in seinem Blog "Security Fix" eine Top-Ten-Liste der übelsten Registrare und löste in der IT-Welt damit ziemlichen Wirbel aus. Als er im Februar 2009 eine zweite Liste ins Netz stellte, fehlten bereits acht Registrare der ursprünglichen Liste.

Ähnliche Artikel

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Ausgabe /2014

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit Rex
  • mit anderer Konfigurationsmanagement-Software