Tapio Särkelä

Tapio Särkelä

The author works as a Cyber Sales Lead in Mint Security. Helping software companies to make Secure DevOps.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

Spamhausin hash-estolistat keskittyvät sähköpostin sisältöön. Niiden avulla voidaan suodattaa haitallisia sähköpostiviestejä, jotka tulevat suurten palveluntarjoajien alustoilta (gmail, hotmail jne), ja joita ei voi suodattaa IP- tai domain-osoitteiden perusteella. Lisäksi hash-listojen avulla voidaan estää sähköpostit, joissa on liitetiedostoina haittaohjelmia, tai joissa on linkkejä kryptolompakoihin.

Spamhausin IP- ja domain-estolistat (DNSBL) estävät hyvin tehokkaasti haitallisia sähköposteja. Niillä on kuitenkin yksi merkittävä rajoite: miten estää sähköposti, joka tulee vaarantuneelta tai jopa kaapatulta gmail- tai hotmail-tililtä tai vaastaavalta suuren intener-palvelujen tarjoajan sähköpostialustalta. Em. sähköposteja ei voi estää kategorisesti, mutta luomalla hash (= tiiviste/hajautusarvo) vaarantuneista sähköpostitileistä, hakkeroidut sähköpostit voidaan estää, huolehtien kuitenkin samalla myös sähköpostitilin omistajan yksityisyydestä. Tätä lähestymistapaa voidaan laajentaa koskemaan myös muita huolenaiheita.
Hash blocklist

Mikä sitten on hash-estolista?

Yksinkertaisimmillaan kuvattuan hash-estolista (HBL) on listaus kryptattuja tiivisteitä (cryptographic hash), jotka on johdettu haitallisten sähköpostien sisällöstä. Kryptattuja tiivisteitä käyttämällä tietosuoja pysyy korkealla tasolla. Tiivisteetä ei pysty palauttamaan alkuperäistä tietoa, vaan se on tarkoitettu ainoastaan vertailua varten. Spamhausin HBL on suunniteltu myös laajennettavaksi. Listan aliluetteloiden avulla voidaan eritellä haitallisen sisällön eri osa-alueita. Vaarantuneet sähköpostiosoitteet, kryptolompakot ja haittaohjelmia sisältävät tiedostot ovat jo mukana Spamhausin hash-estolistalla.

Miten estetään haitallinen sähköposti osoitteista, jotka kuuluvat suurella sähköpostipalvelujen tarjojalle?

Kuvitellaan vaikka, että Jennin gmail-tili on kaapattu. Hyökkääjä voi käyttää Jennin käyttöoikeuksia lähettääkseen sähköpostia, joka näyttää tulevan suoraan Jenniltä. Sähköpostin maineeseen perustuvat suodatukset eivät toimi, koska viesti tulee sinänsä lailliselta gmail-palvelimelta, joka tarjoaa palveluja miljoonille muille käyttäjille. Lähettävän IP-osoitteen tai domainin maineeseen tarkistaminen ei auta tässä tapauksessa. Kun Spamhaus arvioi sähköpostilin vaarantuneen, se yhdistää hashin kyseiseen sähköpostiosoitteeseen. HBL-listan käyttäjät voivat tarkistaa osoiteen listalta ja estää viestit hakeroiduilta sähköpostiosoitteista.

Miten haittaohjelmien estäminen toimii?

Vastaavastit toimitaan, kun havaitaan sähköpostiosoite, josta lähetetään haittaohjelmia tai haittalojelmalinkkejä sisältäviä viestejä. Tiedosto tai linkki kuvataan hashilla. Eli vaikka haitallinen IP- tai domain-osoitetta ei voida suoraan liittää viestiin, jonka liitteenä on haittaohjelma, HBL-listalta voidaan tarkistaa kyseisen haittaohjelman hash. Spamhausin HBL-listalla olevat koodit kertovat toisen seuraavista kahdesta kohdasta:

  1. Tieodosto on haitallinen: Spamhausin asiantuntijat ovat tutkineet kyseisen tiedoston ja se on todettu haittaohjelmaksi. HBL-listalta tulevan vastauksen mukana tulee myös tieto mihin haittaohjelmien ryhmään se kuuluu.
  2. Tiedosto on epäilyttävä: tiedoston on havaittu olevan mukana roskaspostikampanjassa, mikä tekee siitä epäilyttävän. Spamhausin asiantuntijat eivät ole vahvistaneet, että tiedosto olisi haittaohjelma. Tiedostoa pitää käsitellä suurella varovaisuudella.

Spamhausin käyttämien tehokkaiden menetelmien ja työkalujen ansiosta haittaohjelmaksi tunnistetun tiedoston hash voidaan liittää haittaoohjelmien HBL -listalle vain 30 sekunnin kuluessa siitä, kun se on tunnistettu.

Miten kryptolompakoiden hash -estolista toimii?

Ajatellaanpa ns. ”sextortion” -huijaussähköposteja, jotka ovat hyvin yleisiä nykyään. Kuten tunnettua, ne näyttävät jotakuin samalta kuten alla. Sextortion -viesti sisältää yleensä kryptovaluutan osoitteen, jonne uhrin pitää lähettää rahaa. Tässä tapauksessa kryptovaluutan osoite määrittelee viestien haitalliseksi. Osoitteen perusteella muodostetun hashin avulla viesti voidaan estää, vaikka se ei osuisikaan IP – tai domain -estolistalle.
Hash blocklist - sextortion

Mahdollisuuksia on rajattomasti

Käytännöllisesti katsoen mille tahansa sähköpostiviestin sisältämälle tiedolle voidaan tehdä hash. Tietoa voidaan sitten käyttää uuden aliluettelon luomiseen, mikä lisää käytettävissä olevien maineeseen perustuvien estojen määrää. Laajennettavuutensa ansiosta Spamhausin HBL-lista auttaa sähköpostialvelinten ylläpitäjiä ja suodatusohjelmia tunnistamaan ja estämään yhä kasvavaan uhkaan myös tulevaisuudessa.

Hash blocklist

Spamhausin hash-estolistat

Spamhausin hash-estolistat keskittyvät sähköpostin sisältöön. Niiden avulla voidaan suodattaa haitallisia sähköpostiviestejä, jotka tulevat suurten palveluntarjoajien alustoilta (gmail, hotmail jne), ja joita ei voi suodattaa IP-

Lue lisää »
Protect and investigate using threat intelligence data

Domain-kaappaukset

Domainien eli verkkotunnusten kaappaukset ei ole uusi ongelma, mutta niistä voi tulla laajoja hankaluuksia, jos vastatoimet eivät ole riittäviä. Viimeisen runsaan puolen vuoden aikana on tullut esiin muutamia harmillisia tapauksia.

Lue lisää »
Tapio Särkelä

Tapio Särkelä

The author works as a Cyber Sales Lead in Mint Security. Helping software companies to make Secure DevOps.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.