Roskapostin ekosysteemi

TEKSTI: PERTTI HÄMÄLÄINEN • PIIRROS: PETRI ROTSTEN

Roskapostin ekosysteemi

Taistelu roskapostia vastaan ei ole pelkkää tekniikkaa. Tehokkainta on iskeä suoraan roskaajien bisnekseen.

Neljä vuotta sitten Microsoftin tuolloinen ohjelmistosuunnittelujohtaja Bill Gates kohautti maailmaa julistamalla, että roskapostiongelma voidaan ratkaista kahdessa vuodessa. Keinoiksi hän esitti sähköpostin lähettäjän vahvaa todentamista ja mikromaksuja sähköpostin lähettämisestä.

Kuten hyvin tiedetään, roskapostiongelma on sittemmin vain paisunut. Sähköpostin lähettäjän todentamistekniikat etenevät omaa hidasta tahtiaan, mutta mikromaksut on vaiettu kuoliaaksi.

Roskapostin torjunnassa ovat parhaiten menestyneet erilaisten suodatusohjelmien ja -palveluiden kauppiaat. Nämä ratkaisut ovat kuin märkivän haavan päälle liimattavaa laastaria: rahaa kuluu jatkuvasti, mutta ongelma vain pahenee.

Voiko lähettäjään luottaa?

Sähköpostin lähettäjän todentamiseen on useita menetelmiä. Microsoftin valinta on SIDF (Sender ID Framework) joka on yhdistelmä yhtiön varhaisemmasta Caller ID for email -käytännöstä ja SPF-standardista (Sender Policy Framework). Kokonaisuus on kuvattu RFC-dokumenteissa 4405-4408 vuodelta 2006. Niillä ei ole IETF-standardin statusta, mutta Microsoftin markkinavoima on kerännyt menetelmälle laajaa kannatusta.

SIDF pyrkii vain varmistamaan, että viesti on lähtöisin siltä organisaatiolta, jolta se näyttää tulevan. Vastaanottaja vertaa viestin lähettäneen koneen ip-osoitetta lähettäjäorganisaation postipalvelimestaan julkaisemiin dns-tietoihin tarkastaakseen, että viesti on todella peräisin lähettäjän postipalvelimesta.

Yahoon ja Googlen ajama DKIM (Domainkeys Identified Mail, RFC 4871 vuodelta 2007) on puolestaan yhdistelmä Yahoon Domainkeys- ja Ciscon Identified Internet Mail -käytännöistä. DKIM on vahvasti IETF:n standardipolulla, ja se menee SIDF:ää pitemmälle. Organisaation julkinen salausavain julkaistaan dns-palvelussa, ja postipalvelin allekirjoittaa jokaisen viestin yksityisen avaimen avulla. Näin DKIM voi sekä varmistaa viestin lähettäjän että taata viestin eheyden.

Menetelmät ovat luotettavia, jos uskotaan, että yrityksen nimipalvelimia tai Internetissä kulkevia dns-kyselyitä ei päästä peukaloimaan. Tarkistukset myös täydentävät toisiaan: vaikka Microsoft ei tuekaan DKIMiä, esimerkiksi Sendmail tukee molempia käytäntöjä.

Todennustiedot voidaan lisätä ja ne voidaan tarkastaa missä tahansa organisaation sähköpostijärjestelmän palvelimessa tai yhdyskäytävässä, eikä loppukäyttäjän ohjelman tarvitse välttämättä tietää siitä mitään. Vastapainoksi yrityksen sähköposti- ja nimipalvelinten ylläpitäjien täytyy koordinoida tekemänsä infrastruktuurimuutokset.

Eroon epäilyttävistä viesteistä

SIDF ja DKIM on otettu roskapostisuotimissa käyttöön vain yhtenä tekijänä viestin roska-astetta arvioitaessa. Menetelmäthän eivät todista viestin lähettäjän tarkoitusperistä vielä yhtään mitään, vaan myös roskapostittajat voivat ottaa ne käyttöönsä.

Hyvämaineisen paljon postia lähettävän organisaation viestinnän turvatasoa ne kuitenkin pystyvät jo parantamaan. Jatkuvien kalasteluhyökkäysten kohteena olevat verkkokaupat ja -pankit ovat ottaneet menetelmät avosylin vastaan. AOTAn (Authentication & Online Trust Alliance, aotalliance.org) mukaan jo 55 prosenttia maailmassa lähetettävästä laillisesta sähköpostista on varustettu todennustiedoin.

Ebay/Paypal on ryhtynyt vaatimaan Internet-operaattoreita pudottamaan nimissään lähetetyt todentamiskelvottomat viestit muitta mutkitta pois. Tällaisen vaatimuksen voi esittää vain todella suuri yritys, ja Ebaykin on onnistunut vasta lähimpien yhteistyökumppaniensa kanssa. Esimerkiksi Yahoo pudottaa tällä tavoin jo satojatuhansia Ebayn nimissä lähetettyjä roskaviestejä joka päivä.

Ilmaispalvelut umpikujassa

Yahoo, Microsoft ja Google ovat olleet edelläkävijöitä lähettäjän todentamisratkaisujen kehityksessä ja käyttöönotossa. Nämä yritykset ovat myös valtavia sähköpostipalvelujen tarjoajia, joten niiden merkitys etenkin amerikkalaisilla kuluttajamarkkinoilla on suuri.

Ne ovat kuitenkin myös itse roskapostittajien suuressa suosiossa. Brittiläisen 86:ssa maassa toimivan Messagelabs-yhtiön keräämien tietojen mukaan näiden kolmen suuren palvelut lähettivät helmikuussa yhteensä yli neljä prosenttia kaikesta roskapostista. Yahoon kontolla oli yhdeksän kymmenestä roskaviestistä tässä joukossa, mutta Microsoftin ja Googlen osuudet ovat nopeassa kasvussa.

Ilmaisissa postipalveluissa sähköpostitilin pystyy avaamaan periaatteessa kuka hyvänsä. Palvelut suojautuvatkin robotteja vastaan captcha-testillä (completely automated public turing test to tell computers and humans apart). Siinä käyttäjän on löydettävä epäselvään kuvaan piilotettu merkkijono ja syötettävä se rekisteröintinsä vahvistukseksi.

Captcha ei voi olla niin vaikea, että luonnolliset henkilöt eivät selviä siitä, joten hahmontunnistusalgoritmien kehittyessä ihminen jää jossain vaiheessa toiseksi.

Koneelle riittää heikompikin tulos: jos joka viideskin arvaus osuu oikeaan, roskapostin lähettäjätunnuksia pystyy generoimaan melkoista kyytiä. Näin on viimeisen vuoden aikana ilmeisesti käynyt.

Kun roskapostittajalla on tarpeeksi tunnuksia palvelussa, tie käyttäjien pöydille on auki. Lähettäjän todennus ei auta, koska se vain todistaa viestin tulleen siitä palvelusta, josta se onkin lähetetty. Palveluiden ylläpitäjät joutuvat perkaamaan roskan lähettäjät käyttäjäkannoistaan ja kehittämään muita keinoja robottien karsimiseen.

Captchan murtaminen on myrkkyä muillekin ilmaispalveluille. Websense-yhtiön tutkija Dan Hubbardin Spam 2.0:ksi nimeämässä tekniikassa roskapostiviestissä on linkki jonkin uskottavan palvelun web-sivulle. Linkin takana on ehkä vain Javascript-koodi, joka ohjaa käyttäjän roskapostittajan oikeaan kohteeseen. Googlen tarjoamat ilmaiset web- ja blogisivustot ovat tällä hetkellä väärinkäytetyimpien joukossa.

Bisnestä muillekin kuin rikollisille

Vaikeinta roskapostin torjunnassa ei kuitenkaan ole tekniikka, vaan ilmiön kytkennät lailliseen ja laittomaan talouteen. Mainostaminen sähköpostilla on sinänsä laillista, mutta roskaajien taustalla toimii kansainvälinen haittaohjelmien kirjoittajien, bottiverkkojen ylläpitäjien ja luottokorttirikollisten verkosto, joka muistuttaa paljon huumekaupan organisaatiota.

Monet sähköpostipalveluja tarjoavat operaattorit käyvät oikeudellista sotaa roskapostittajia vastaan. Esimerkiksi Microsoft on pyrkinyt laihduttamaan roskapostittajien lompakoita käynnistämällä Yhdysvalloissa yli 130 oikeusjuttua. Useimmissa tapauksissa korvauksia onkin tuomittu maksettavaksi tai juttuja on sovittu oikeussalin ulkopuolella. Tekijöitä on myös tuomittu vankilaan.

Oikeudellinen tie on toimiva mutta monine valitusasteineen hidas. Yhdysvallat on edelleen suurin yksittäinen roskapostin lähdemaa, mutta osavaltiotason korkeimpiin oikeuksiin edenneiden menestyksellisten prosessien myötä ongelmien painopiste on viime aikoina alkanut siirtyä Eurooppaan.

Lainsäädäntö ja viranomaisten valmiudet eivät täällä salli yhtä tehokasta toimintaa roskapostittajia vastaan. Esimerkiksi eurooppalaisen Spamhaus-projektin kymmenen pahimman roskapostittajan listalla on yliedustettuna Venäjä, jossa jopa Britannian esittämä Aleksandr Litvinenkon murhasta epäillyn luovutuspyyntö kaikui kuuroille korville.

Roskapostin ekosysteemissä kermankuorijoita ovat suodatusohjelmien valmistajat ja -palveluiden tarjoajat. Paradoksaalista on, että näiden puhtoisten poikien elinkeinoa edistää laittoman toiminnan jatkuminen.

Myös Internet-operaattorien intressi roskapostin torjumiseen on kahtalainen. Vaarallisimmat haittaohjelmat ja räikeimmin lainvastainen aineisto suodatetaan ilmaiseksi, jotta vältytään syytteiltä ja kiusalliselta julkisuudelta. Läpi päästetään kuitenkin niin paljon roskaa, ettei ”vääristä positiivisista” tule ongelmaa. Samalla suodatuspalvelun myynti pysyy tuottavana bisneksenä.

Roskapostin status quo onkin jo liian monen osapuolen etujen mukainen. Sietää pohtia, onko kysymyksessä markkinatalouden ominaisuus vai bugi.

ROSKAAJIEN VERKKO

Roskaposti on vain jäävuoren huippu, jonka takana on monenlaista kansainvälistä rikollisuutta. Luottokorttitietojen kalastelijoiden verkostoon kuuluu haittaohjelmien kirjoittajia ja levittäjiä sekä bottiverkko-operaattoreita. Varastetuilla luottokorttitiedoilla ostetaan laillisilta kauppapaikoilta tavaraa, jonka jälleenmyynnin organisoivat välittäjät hoitavat rahanpesun. Koska verkoston rikolliset eivät voi luottaa toisiinsa, tarvitaan takaajia.