Wettlauf gegen Spammer

Dieser Tage wurden die Ergebnisse des von Virus Bulletin durchgeführten neuen Tests von Antispam-Anbietern veröffentlicht. Der August-Test hat ergeben, dass unser Kaspersky Linux Mail Security 8.0 99,93% aller Spam-Mitteilungen detektiert. Das ist unser neuer Rekord, auf den wir sehr stolz sind, und zu dem wir uns gegenseitig per Mail gratuliert haben. Auch Eugene Kaspersky hat darüber bereits in seinem Blog geschrieben –auch er ist stolz auf uns.=)

Der hohe Anteil der Detektionen ging in unserem Fall nicht auf Kosten der Qualität – es gab nur einen falsch-positiven Alarm unter den mehr als 10.000 Mails, die von VB im Rahmen des Tests als Nicht-Spam-Mails verwendet wurden.

Doch obwohl wir überaus glücklich über die nie dagewesenen guten Resultate sind, hatten wir auch allen Grund, ein derart gutes Abschneiden zu erwarten: KLMS 8.0 vereint alle neuen Features und Technologien in sich, die in der letzten Zeit von Kaspersky Lab entwickelt wurden. Dabei sind all diese neuen Features und Technologien auf eine Beschleunigung der Spam-Erkennung durch unsere Antispam-Lösungen ausgerichtet.

Vor rund einem Jahr begannen die Spammer aktiv eine bereits erprobte Methode einzusetzen. Bei dem Versuch, schneller als die Spam-Analysten und die Updates der Antispam-Daten zu sein, verschickten sie ihre aus Millionen von Mitteilungen bestehenden Versendungen innerhalb sehr kurzer Zeiträume – von einigen Minuten bis zu einer halben Stunde. Das führte dazu, dass ein Teil der Versendungen es trotzdem in die elektronischen Briefkästen der Anwender schaffte, bevor die Filter nach einem entsprechenden Update begannen, die versendeten Spam-Mails abzufangen. Diese schnellen und kurzfristigen Versendungen waren bis vor kurzem das größte Problem für die Antispam-Lösungen.

Auf eben diesen Schachzug der Spammer reagierte Kaspersky Lab nun mit neuen Technologien, die in KLMS eingeflossen sind, wobei die Reaktion gleich dreifach ausfiel.

Anfang 2012 setzten wir erstmals Zwangsupdates der Antispam-Datenbanken in Echtzeit ein, die das Aufspielen der kritischsten Updates auf das Produkt beschleunigten. Im Spam-Lab nennen wir diese Technologie Möbius, im Produkt heißt sie Enforced Anti-Spam Update Service. Durch den Einsatz dieser Technologie beträgt der Zeitraum zwischen der Erstellung des Antispam-Eintrags und der Übertragung des Eintrags auf das Produkt nunmehr weniger als eine Minute!

Der Backend-Möbius-Server erhält aus dem Spam-Lab sowohl Textsignaturen als auch grafische Signaturen, sobald die Analysten diese den Datenbanken hinzufügen. Diese Signaturen sind hinsichtlich der Zustellungsdauer am kritischsten, daher arbeitet unser neuer Dienst mit genau diesen. Hier wird eine automatische Überprüfung der Datenbanken auf die Abwesenheit von Fehlern durchgeführt. Das überprüfte Update wird an den Frontend gesendet. Der Frontend wiederum leitet das Update umgehend an den Möbius-Client im Produkt via TCP-Verbindung, die dauerhaft zwischen diesen beiden Komponenten unterstützt wird.

Auf diese Weise werden unsere Updates praktisch genauso schnell zugestellt wie die Spam-Versendungen. Doch erinnern Sie sich noch an den Film von der Schildkröte und dem Hasen? In dem die kluge Schildkröte – anstatt sich mit dem offensichtlich flinkeren Hasen zu messen – ihre Helfer an verschiedenen Punkten der „Rennstrecke“ postierte, um den eitlen und dummen Gegner abzulenken? Möbius hat die „Schildkröte“ sicherlich mit einigen brauchbaren Antrieben ausgestattet, doch noch vor dem Enforced Anti-Spam Update Service kam eine Idee auf, deren Umsetzung es ermöglichte, nicht hinter dem Hasen herzurennen, sondern ihm im Gebüsch aufzulauern. Oder um genau zu sein – in den Wolken.

Diese Idee wurde im UDS (Urgent Detection System) umgesetzt und entwickelte sich mit der Zeit zum UDS 2. UDS 2 ist ein Cloud-Sicherheitssystem, das eine wechselseitige Verbindung zwischen den Anwendern von Kaspersky Lab und den Sicherheitsexperten des Unternehmens ermöglicht. Während die Spam-Mitteilung verarbeitet und sie der Signaturen-Datenbank hinzugefügt wird, wird der Hashwert herausgezogen und in die Cloud geschickt. Früher zeichneten wir 16-Byte-Fuzzy-Hashes auf, doch mit dem Erscheinen von UDS 2 sind auch 4-Byte- Mikrosignaturen möglich. Sie sind wesentlich effektiver bei Verunreinigung des Textes oder auch bei Versuchen, die Entdeckung durch eine einfache Umstellung von Phrasen im Text der Spam-Nachrichten zu erschweren. Seitens der Anwender werden bei verdächtigen Nachrichten ebenfalls Mikrosignaturen erstellt, die in dieselbe Cloud gesendet werden, wo sie bereits von Mikro-Signaturen erwartet werden, die im Spam-Lab von Spam-Mitteilungen aufgezeichnet wurden. Dort werden die vom Anwender erhaltenen und die bereits in der Cloud gespeicherten Signaturen verglichen.

208193844

 

Die erste Generation von UDS konnte auf Anfragen lediglich antworten, ob die entsprechende Signatur in der Datenbank vorhanden ist oder nicht. UDS 2 gruppiert die Signaturen nach Ähnlichkeit in Cluster, und die darauf basierende Technologie Content Reputation berechnet für sie die Spam-Reputation. Die erste Version dieser Technologie heißt Content Reputation v1 (Rescan) und ist ihrem Wesen nach eine Quarantäne, die die elektronische Post für eine gewisse Zeit ausbremst (derzeit für 50 Minuten), die nicht sofort als Spam identifiziert wird, die jedoch verdächtig erscheint, da die auf ihrer Basis erstellten Signaturen sich in Clustern mit hoher Spam-Reputation befinden.

Üblicherweise gibt es nur wenige solcher Nachrichten – der größte Teil des E-Mail-Traffics wird entweder als Spam detektiert oder ist vertrauenswürdigen Quellen zuzuordnen. Die 50 Minuten Aufschub ermöglichen es den Analysten, eine endgültige Entscheidung darüber zu treffen, ob es sich bei den verdächtigen Mitteilungen um Spam handelt oder nicht. Wir passen eine Versendung also nicht einfach nur in der Cloud ab, sondern verlangsamen sie auch!

Eine weitere Technologie auf der Grundlage von UDS 2 ist die Autobahn. Wenn eine Mail-Signatur in einem Cluster mit hoher Spam-Reputation landet, so wird sie automatisch in die Cloud verbannt. Diese Technologie ermöglicht eine Nachuntersuchung einer blockierten Mail durch die Analysten sowie die Aufhebung des automatischen Banns, wenn der Analyst die Mail nicht als Spam einstuft.

Auf der neuen Renn-Etappe stehen die Chancen für uns also gut, unsere Gegner zu überholen!

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.