IT Professional Security - ΤΕΥΧΟΣ 38
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
Περιοδικό για το Enterprise Computing και την ασφάλεια πληροφοριών.
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
µάτων SMS για spam, παρότι ένα σηµαντικό µέρος των πελατών<br />
τους, περίπου το 20%, αντιµετωπίζει σχετικά προβλήµατα.<br />
Επιπρόσθετα διαπιστώθηκε ότι περίπου το 12% των πέντε µεγαλύτερων<br />
ευρωπαϊκών χωρών λαµβάνει SMS µηνύµατα από<br />
εταιρείες, χωρίς να έχει δώσει τη συγκατάθεσή του για αυτό.<br />
Το ποσοστό αυξήθηκε 21.3% από τον Ιούνιο του 2007 µέχρι<br />
τον Ιούνιο του 2009. Άλλη έρευνα τεκµηριώνει ότι οι πάροχοι<br />
υπηρεσιών κινητής τηλεφωνίας αντιµετωπίζουν σοβαρά προβλήµατα<br />
µε το spam και το κακόβουλο λογισµικό τους, καθώς<br />
αυτό έχει ανέλθει από το 2% στο 20 µε 30% της συνολικής<br />
κίνησης των δικτύων τους και αναµένεται περαιτέρω αύξηση.<br />
Υπάρχουσες λύσεις<br />
Παρότι υπάρχουν αρκετές λύσεις για την αντιµετώπιση του<br />
spam σε µηνύµατα ηλεκτρονικού ταχυδροµείου, στην περίπτωση<br />
των SMS υπάρχουν ουσιαστικά κενά και προβλήµατα<br />
τα οποία άπτονται της φύσης του πρωτοκόλλου SMS. Για παράδειγµα,<br />
τα SMS µηνύµατα έχουν περιορισµένο µέγεθος σε<br />
σχέση µε τα µηνύµατα ηλεκτρονικού ταχυδροµείου. Σε ένα<br />
μήνυμα SMS επιτρέπονται μόνο 160 χαρακτήρες και συνεπώς<br />
είναι δυσκολότερος ο εντοπισµός spam. Επιπρόσθετα, λόγω<br />
του περιορισµένου µεγέθους τους, πολλοί χρήστες χρησιµοποιούν<br />
ακρωνύµια και άλλες συντοµεύσεις για να εξοικονο-<br />
µήσουν χώρο, που καθιστά δύσκολη τη δηµιουργία κανόνων.<br />
Η απλοϊκή προσέγγιση εντοπισµού προτύπων ήταν από<br />
τις πρώτες τεχνικές για τον εντοπισµό spam, ωστόσο προσέφερε<br />
µόνο βασική λειτουργικότητα. Μια σαφή βελτίωση<br />
προσέφεραν τα φίλτρα περιεχοµένου, τα οποία µπορούν να<br />
συνταχθούν χειροκίνητα όταν αναγνωριστεί ένα σύνολο ιδιοτήτων<br />
που περιγράφουν ανεπιθύµητα µηνύµατα. Αυτά τα<br />
φίλτρα µπορούν να περιγραφούν µε το γενικό όρο ευρετικά<br />
φίλτρα (heuristic filters) και µερικές δηµοφιλείς εφαρµογές ό-<br />
πως το SpamAssasin, τα χρησιµοποιούν εκτενώς. Φίλτρα περιεχοµένου<br />
µπορούν επίσης να δηµιουργηθούν µε τεχνικές<br />
Μηχανικής Μάθησης βάσει ενός συνόλου προ-αξιολογηµένων<br />
µηνυµάτων, δηλαδή µηνυµάτων που έχουν αξιολογηθεί<br />
ήδη από ανθρώπους και έχουν επιβεβαιώσει αν πρόκειται για<br />
νοµότυπα µηνύµατα ή spam. Τα φίλτρα που βασίζονται σε<br />
µπαγεσιανή ανάλυση και χρησιµοποιούνται ευρέως σε e-mail,<br />
είναι ιδιαίτερα ακριβή και µπορούν να εφαρµοστούν σχετικά<br />
εύκολα και στα SMS µηνύµατα. Σε κάθε περίπτωση απαιτείται<br />
καλή εκπαίδευση του συστήµατος, µε αρκετά προ-αναγνωρισµένα<br />
µηνύµατα, ώστε να επιτευχθούν καλές επιδόσεις.<br />
Το βασικό µειονέκτηµα των φίλτρων περιεχοµένου είναι ό-<br />
τι εµφανίζουν αυξηµένες εσφαλµένες θετικές αναγνωρίσεις<br />
(false positives) σε νοµότυπα µηνύµατα, που απλά περιέχουν<br />
κάποιες ύποπτες λέξεις. Το πρόβληµα αντιµετωπίζεται µερικώς<br />
µε τη χρήση κάποιων ερωτήσεων - προκλήσεων που α-<br />
πευθύνονται στον αποστολέα, ώστε να διαπιστωθεί αν πρόκειται<br />
για άνθρωπο ή κάποιο αυτοµατοποιηµένο πρόγραµµα<br />
αποστολής spam, καθώς µόνο κάποιος άνθρωπος θα µπορούσε<br />
να απαντήσει σωστά. Προφανώς αυτή η λύση µπορεί<br />
να εφαρµοσθεί µόνο σε SMS που αποστέλλονται µέσω του<br />
∆ιαδικτύου, ενώ εισάγει και φόρτο στον αποστολέα του µηνύµατος,<br />
όντας πολλές φορές ενοχλητική διαδικασία. Ορισµένοι<br />
τηλεπικοινωνιακοί φορείς όπως η AT&Τ στις ΗΠΑ,<br />
παρέχουν στους χρήστες τους anti-spam µέτρα, επιτρέποντάς<br />
τους να διαβιβάσουν στο µεταφορέα τυχόν µηνύµατα<br />
που θεωρούν ως spam. Επίσης δηµιουργούν διευθύνσεις µε<br />
ψευδώνυµο, που χρησιµοποιούνται αντί του πραγµατικού α-<br />
ριθµού του τηλεφώνου. Τα µηνύµατα που προορίζονται για<br />
τη διεύθυνση µε ψευδώνυµο, παραδίδονται στον αντίστοιχο<br />
χρήστη, αλλιώς απορρίπτονται. Υπάρχουν επίσης περιπτώσεις<br />
όπου ο διαχειριστής προσφέρει σε εξαιρετικές περιπτώσεις<br />
τη δυνατότητα πλήρους απενεργοποίησης όλων των υπηρεσιών<br />
γραπτών µηνυµάτων για ένα συγκεκριµένο τηλεφωνικό<br />
αριθµό. Ωστόσο, αυτό είναι ικανοποιητικό για ένα πολύ µικρό<br />
ποσοστό των συνδροµητών τους. Μια παραλλαγή αυτής<br />
της δράσης είναι να εµποδίσει ένα υποσύνολο των µηνυµάτων<br />
που ικανοποιούν ορισµένα κριτήρια. Για παράδειγµα, η<br />
T-Mobile, η AT&T και Verizon Wireless στις ΗΠΑ προσφέρουν<br />
τη δυνατότητα να εµποδίσει ο χρήστης εντελώς τη λήψη<br />
οποιουδήποτε SMS αποστέλλεται µέσω του ∆ιαδικτύου<br />
- και όχι από ένα άλλο κινητό. Σε διοικητικό-κανονιστικό ε-<br />
πίπεδο, πρόσθετη στήριξη κατά του SMS spam περιλαµβάνει<br />
το anti-spam πρόγραµµα-δράση της GSM Association<br />
(GSMA), καθώς και τα πρότυπα της Open Mobile Alliance<br />
(OMA) για την αναφορά-καταγγελία περιπτώσεων spam στα<br />
κινητά τηλέφωνα. Εξάλλου, στις Ηνωµένες Πολιτείες οι παραλήπτες<br />
SMS spam έχουν το δικαίωµα να υποβάλουν καταγγελία<br />
στην Οµοσπονδιακή Επιτροπή Επικοινωνιών (FCC). Από<br />
τα παραπάνω είναι ξεκάθαρο πως οι διοικητικές-κανονιστικές<br />
λύσεις απαιτούν την ενεργή συµµετοχή των χρηστών, µέσα<br />
από καταγγελίες και άλλες χρονοβόρες και επίπονες διαδικασίες.<br />
Από την άλλη πλευρά, τα υπάρχοντα τεχνικά µέτρα<br />
που έχουν υιοθετηθεί από την επιστήµη υπολογιστών και την<br />
αντιµετώπιση του spam στην ηλεκτρονική αλληλογραφία, δεν<br />
µπορούν να αντιµετωπίσουν το φαινόµενο επαρκώς. iT<strong>Security</strong><br />
security | 29
Change language