Názory k článku Crackeři & spammeři: konvergence

proc napadat tisice stroju? zbytecne velka namaha. staci jeden napadeny vykonny *nixovy box na rychle lince na kterem se promazou logy, cerstvy seznam nekolika tisicovek otevrenych proxy serveru, poradny multithread mailer, a da se odeslat radove desitky milionu mailu denne. ackoliv nepatrim mezi spammery, vim ze tohle je mezi nimi asi nejpouzivanejsi postup.

Pekne. A bohuzel je to vcelku pravda, diky podobnym kretenum brzy vetsina provideru zablokuje kde co. Ale to uz je zivot :)

> Hezkým protispamovým řešením by byl třeba DNS záznam omezující adresy oprávněné odesílat poštu s určitou adresou odesílatele...

Takových věcí se tedy upřímně děsím. A obecně všech řešení znemožňujících rozjet si doma SMTP server a dělat si s ním, co chci (podotýkám, že nejsem spammer).

Snad jedině filtrování portu 25 a nutnost odesílat maily přes SMTP poskytovatele je přijatelná -- s tím, že jediné, co poskytovatel dělá s mými maily, je, že u sebe nahodí antispam + monitorování, takže se spam nedostane ven z jeho subnetu (nezávisle na tom, zda ho odesílá zombie nebo spammer osobně) a může varovat a následně odstřihávat ty, co ho posílají.

Nutnou podmínkou pro to, abych něco nazval řešením, je, že musí stále umožňovat využívat připojení smysluplně, znefunkčnit něco všem s tím, že se to tak znefunkční i spammerům je laciné ,řešení`.

Jedno z reseni je nastaveni nektereho routeru, aby pro port 25 pouzival nejaky postovni server jako transparentni proxy. Uzivatel nic nepozna a ISP ma plnou kontrolu.

Pokud mi ovsem takovou sluzbu prodal a ja s tim souhlasil. Pokud mi prodal IP konektivitu, pak chci, aby mi ji i dodal a to bez proxyn apod. - nebojte, ono to jde jednoduse poznat...

Na vseobecne podminky vetsiny operatoru se da naroubovat cokoli... Ostatne, takove chovani ISP vadi mene nez 1% klientu, ti ostatni jsou spokojeni, ze maji antispamove a antivirove filtry.

Posilani pres proxy server providera se mi teda moc nelibi. Lokalni mail server pouzivam primarne prave proto, ze postu posila primo na server adresata, a ja se tak okamzite dozvim, kdyz je neco spatne. Posilani pres poskytovatele je sice hezky a rychly, ale to potvrzeni dostanu taky treba az za par dni, nebo ho nedostanu vubec, protoze si zase prislusnej admin hral a pulka mailu sla do /dev/null

Vcelku prijatelny by mi pripadalo, kdyby antispam na SMTP adresata proste povazoval primy poslani (ne pres SMTP poskytovatele) za pritezujici okolnost, takze by moje maily mely vetsi pravdepodobnost, ze budou identifikovany jako spam. A kdyz uz k tomu dojde, je dulezity, ze se to hned dozvim a muzu na to nejakym zpusobem zareagovat.

Nevidim velky rozdil mezi tim, ze si SMTP server (vlastni) mohu rozjet jen se souhlasem ISP, ktery ho da najevo formou nastaveni firewallu (ktery jinak neco takoveho nedovoluje a nuti uzivatele pouzivat server ISP) nebo jestli si ho mohu rozjet jen se souhlasem ISP, ktery tento souhlas da najevo vlozenim nejakeho zaznamu v reverzni zone ...

A neni rozdil v tom, ze ISP nema jednoduchy nastroj na zablokovani osobnich odesilacich SMTP serveru? Kdyz SMTP odesila mail, tak se tak deje z libovolneho portu, takze pripadne zablokovani 25 je na nic. Toto by reverz resil... (ale kdo by rucil za to, ze ten reverz je nastaveny dobre, ze ;-)

Ale ma... iptables -I FORWARD -p tcp --dport 25 -s VASE_IP -j DROP

To sice ano, ale jedna proxyna a DS zaznam ci smart relay (ejhle, ony to umi i komercni MTA...)...:-) - pokud povazujeme "efektivni" zpusob za stejny, pak plati, ze efektivni zpusob v dzungli Internetu neexistuje...

Ten port "25" neni zdrojovy ale cilovy ...

Takových věcí se tedy upřímně děsím. A obecně všech řešení znemožňujících rozjet si doma SMTP server a dělat si s ním, co chci (podotýkám, že nejsem spammer).

Omezení ip adres, ze kterých lze posílat poštu s nějakou SMTP FROM adresou, vypadá celkem logcky. SMTP si doma rozjet můžete, dělat si můžete co chcete, jenom pokud si např. držitel domény nbu.cz nebude přát, abyste odesílal poštu s adresou reditel@nbu.cz, váš SMTP server neuvede jako oprávněný, a budete mít problémy takovou poštu odesílat.

Naopak, pokud si chcete provozovat domácí SMTP, měl byste být přiznivcem tohoto řešení. Snadno si můžete pořídit doménu a ve vlastní doméně svůj SMTP server definovat jako oprávněný. Bez spolupráce providera. Naopak v případě firewallů a nebo reverzních záznamů budete muset provdera přesvědčovat.

Bohužel všechna řešení s povolenými mailservery pro doménu znamenají problémy budˇpro některé způsoby přesměrování pošty, nebo mailinglisty, nebo "cestující uživatele" nebo doručování bounces.

Myslím že by úplně stačilo zpřísnit tresty za spam (v rovině trestněprávní) a důsledně případy spamu postihovat. Takové tři roky na tvrdo pro pár spamerů a zbytek už sí dá pozor...hlavně takoví ti amatérští spameři. (Jo jasně, vím že je těžké rozlišit co je spam a co ne atd. ale myslím že je to také cesta)

Jenze to jaksi je podmineno tim ze
a) ho policie musi najit (nepravdepodobne)
b) musi mit policie jednoznacne dukazy (temer nemozne)
c) musi byt policie schopna toho cloveka zavrit - spammer z bolivie bude mit z nasi policie smich a tak sem (prakticky do celeho EU) muze spamovat jak chce a naopak.

To by se spam musel povysit na mezinarodni zlocin.

Připravuje se zákon, který alespoň za obchodní spam umožňuje ukládat tvrdé sankce (až do deseti milionů korun), a místo často odborně nekompetentních ŽÚ bude rozhodovat ÚOOÚ. Proti "amaterským spamerům" by to mohlo pomoci. Ostatně je to převod evropské právní normy, jinde v EU už obdobné zákony platí, a spamu z EU mi chodí minimum.

Původ většiny světového spamu by šlo najít v USA. Nový americký zákon sice také zavádí tvrdé sankce, ale na druhou stranu v mnoha ohledech spam povoluje, takže jestli situaci pomůže nebo zhorší asi dosud nikdo neví.

No a proti vysloveně kriminálním skupinám, o kterých píšu v článku, protispamové zákony velmi pravděpodobně nic nezmohou. Stejně se pohybují daleko za hranicí zákona, a jestli jim kromě vysokých trestů za podvody s platebními kartami a zneužití cizích počítačů budou hrozit ještě tresty za spam je asi celkem jedno.
Spamer se usadí v jurisdikci nějakého bananistánu, packety několikrát obletí zeměkouli s mezipřistáním na cracknutých strojích třeba v Číně a Brazilii - a na výsledky pátrání třeba naší policie bych byl zvědav.

Jaja, dnes mi prisel velmi hezky spam, zajiste vas taky zaujme... Myslim, ze naplnuje vsechny prestavy o moderni digitalni kriminalite:

Subject: Citibank Email Verification
Date: Sun, 14 Dec 2003 07:01:49 -0600
From: security@citibank.com <security@citibank.com>
Reply-To: security@citibank.com

Dear Citibank Member,


This email was sent by the Citibank server to verify your e-mail
address. You must complete this process by clicking on the link
below and entering in the small window your Citibank ATM/Debit
Card number and PIN that you use on ATM.
This is done for your protection because some of
our members no longer have access to their email addresses and
we must verify it. This is to prevent any type of online fraud .
Citibank is made to protect your identity online.

To verify your e-mail address and protect your Citibank account,
click on the link below. If nothing happens when you click on the
link (or if you use AOL), copy and paste the link into
the address bar of your web browser.

www.citibank.com/signon/popup <http://69.93.110.19/citibank/verify.html&gt;
- ---------------------------------------------
~ Thank you for using Citibank!
- ---------------------------------------------

Na druhou stranu, na strance citibank.com mate dole e-mail fraud a tam varovani... na coz by se nase banky vys***

Detekce SPAMu podle obsahu neni stoprocentni.
Perzekuce spammeru ze strany ISP take stoji a pada na soukromopravnich smluvnich vztazich (= na vode).
Proto mi dovolte par radek utopickeho orwellovskeho fantazirovani.

Podle meho by proti SPAMu mohla pomoci jednoznacna identifikace odesilatele pomoci digitalniho podpisu. Presneji receno, jeji masove nasazeni a dusledne uplatnovani. Hmm... co treba kriminalizovat veskery nepodepsany SMTP provoz? :-)

Kvuli parazitum by take bylo zapotrebi dusledne pouzivat HTTPS a overene serverove certifikaty. Vnitrnimu zabezpeceni operacniho systemu bych moc neduveroval - lokalni exploity jsou nejsnazsi. Pokud by nekdo koupil parazita, ktery by zneuzil jeho privatni klic k falsovani identity odesilatele v mailu, vystavil by se trestnimu postihu za SPAM. Hmm... co treba kriminalizovat veskery nepodepsany HTTP provoz? :-)

Nevyhody:
- vzniknou mocne instituce (velci bratri, ourady) zvane Certifikacni Autority
- problem s overovanim totoznosti se pouze presune na bedra certifikacnich autorit (bude s tim ourad, pujde podvadet)
- celosvetove plosne a dusledne uplatneni je neprilis realne.

No ale na druhou stranu, pokud bych mel moznost spolehnout se na funkcni legislativni a technologicky system elektronickeho podpisu u odesilatelu ve vyspelych zemich Evropy a Ameriky, asi bych ozelel odesilatele z "neduveryhodnych" zemi a proste bych filtroval podle pritomnosti ci absence duveryhodneho certifikatu...

Technicka infrastruktura kolem standardu PKI je k dispozici.
Zeby nam nakonec SPAMmeri pomohli vseobecne prosadit digitalni podpis? To by byla od nich opravdu laskavost :-)))

Je to hodne orwellovska vize - uz jenom ta predstava, ze vsechen e-mail muze byt pozdeji pouzit proti mne, a ze za nezabezpecene browseni muzu celit prinejmensim antispamove zalobe, pripadne i prestupkovemu/trestnimu rizeni za samotne pouziti nezabezpeceneho spojeni...

Ale obcanske prukazy a rodna cisla uz koneckoncu mame, po padu komunismu je nikdo nezrusil (prestoze v anglosaskem svete takovou vec nepouzivaji), takze jako Cech bych si na buzeraci digitalnim podpisem asi i zvykl.

Delam si srandu.
Prestoze na verejny e-mail dostavam uz pres 100 SPAMu denne.

proti SPAMu mohla pomoci jednoznacna identifikace odesilatele pomoci digitalniho podpisu

To spis tezko. Pokud nechcete zabranit znacnemu mnozstvi lidi komunikovat, musi byt takove certifikaty snadno dostupne (napriklad levne). A pokud jsou levne pro normalniho uzivatele, budou levne i pro SPAMera. Ano, malinko se tim cena rozesilani SPAMu zvedne, ale stale to bude zdaleka nejlacinejsi zpusob reklamy. A to nemluvim ani o tom, ze sice mluvite o jednoznacne identifikaci odesilatele, ale nejsem si jist, zda si uvedomujete, ze takovou jednoznacnou identifikaci poskytuje kazdy certifikat samostatne - jinymi slovy - u dvou certifikatu nelze trivialne zjistit, zda oba dva jednoznacne identifikuji tutez osobu ci nikoliv.

Jak by pomohlo dusledne vyzadovani certifikatu na serveru take neni jasne. Nebylo by to prilis jasne ani v pripade, ze bych si myslel, ze slo o prehmat a myslel jste na dusledne pouzivani certifikatu SMTP klienty (a ne servery).

Jesteze si delate jen srandu - protoze za navrh reseni se to vazne povazovat neda, ani teoreticky ...

Teoreticky by to možné bylo - pokud by existoval jakýsi celosvětový ekvivalent rodného čísla resp. IČO a tento identifikátor fyzické/právnické osoby by musel být položkou certifikátu pro podepisování pošty. Ale asi je jasné, že to je čiré fantazírování. I kdyby se to podařilo zvládnout organizačně (jako že tomu moc nevěřím), určitě by to neprošlo přes různé organizace pro ochranu osobních údajů. Nehledě na to, že skutečně masovým spammerům by se mohlo vyplatit si průběžně zavádět nové a nové právnické osoby.

>> proti SPAMu mohla pomoci jednoznacna identifikace odesilatele
>> pomoci digitalniho podpisu

> To spis tezko. Pokud nechcete zabranit znacnemu mnozstvi
> lidi komunikovat, musi byt takove certifikaty snadno
> dostupne (napriklad levne). A pokud jsou levne pro normalniho
> uzivatele, budou levne i pro SPAMera. Ano, malinko se tim cena
> rozesilani SPAMu zvedne, ale stale to bude zdaleka nejlacinejsi
> zpusob reklamy. A to nemluvim ani o tom, ze sice mluvite
> o jednoznacne identifikaci odesilatele, ale nejsem si jist,
> zda si uvedomujete, ze takovou jednoznacnou identifikaci
> poskytuje kazdy certifikat samostatne - jinymi slovy - u dvou
> certifikatu nelze trivialne zjistit, zda oba dva jednoznacne
> identifikuji tutez osobu ci nikoliv.
>
strojove prostym porovnanim retezcu asi nikoli,
ovsem pro soud, napr. pri hromadne antispamove zalobe, by drobna
odchylka napr. v adrese bydliste asi nehrala takovou roli.

Podstatnou nalezitosti skutecne duveryhodneho certifikatu, vydaneho
nejakou solidni CA, je podle meho prave ta vlastnost, ze osoba,
ktera s nim podepise nejakou zpravu, nemuze poprit, ze tuto
zpravu napsala. (tzv. non-repudiation of origin?)
Pripoustim, ze v prostredi konkurence komercnich CA se muze
problem presunout do roviny "posouzeni duveryhodnosti CA, ktera
vystavila certifikat".

Rozumim, ze by slo nechavat si vystavit stale nove a nove certifikaty. Ono to dokonce jinak nejde ani pri naprosto "pocestnem" zivote - certifikat je typicky vazan napriklad na e-mailovou adresu a prijmeni, coz jsou udaje, ktere se mohou menit. Presto si myslim, ze napriklad chodit opakovane k notari pro overeni zadosti o nove a nove certifikaty vyzaduje notnou davku drzosti a nejspis i hlouposti.
Jak rikate, take by slo retezove zakladat fiktivni firmy, nebo pouzivat bile koniky. Osoba, ktera takovou vec organizuje, ale podle meho nechava za sebou o dost vic smradu, nez kdyz jenom zfalsuje odesilatele v SMTP obalce a hlavicce. A kdyz uz se nejaky dobromyslny bily konik napali, neni pro nej preci problem zaradit znehodnoceny certifikat na CRL a pozadat o novy, ne?

> Jak by pomohlo dusledne vyzadovani certifikatu na serveru take
> neni jasne. Nebylo by to prilis jasne ani v pripade, ze bych
> si myslel, ze slo o prehmat a myslel jste na dusledne pouzivani
> certifikatu SMTP klienty (a ne servery).
>
ano, v pripade SMTP jsem skutecne myslel end-to-end podepisovani.
Podpisy by pouzivali a overovali klienti, nikoli SMTP transport.
Ze mi nekdo po SMTP transportu posle zpravu s neoveritelnym
podpisem, to mne netrapi - takovou na klientu odfiltruji.

Kdyz jsem mluvil o serverech, mel jsem na mysli web. Protoze
podle meho soudu malokdo by si dovolil distribuovat parazity
a jeste se na ne podepisovat svym duveryhodnym certifikatem - viz
vyse ma predstava o duveryhodnosti :)
Takze pokud by lidi browsovali jenom po webech, ktere se nemaji
za co stydet, daleko mene by riskovali nakazeni parazitem, ktery
by zkousel nejaky lokalni exploit na privatni klic certifikatu.

> Jesteze si delate jen srandu - protoze za navrh reseni
> se to vazne povazovat neda, ani teoreticky ...
>
teoreticky podle meho ano :)
Jde jenom o jednu moznou aplikaci zakladnich principu elektronickeho podpisu ve spojeni se systemem certifikacnich autorit.
Ze se elektronicky podpis zatim masove neuchytil, to je jina vec.

drobna odchylka napr. v adrese bydliste

Bez urazky - vy patrne nemate prilis prehled, jake udaje jsou v certifikatu typicky uvedeny. Ano, nekdo tam treba bydliste ma. Jiny tam dava SSN, jiny jmeno a rok narozeni, dalsi jen jmeno, platne jsou dokonce i certifikaty, ktere v sobe zadne jmeno nemaji, jen emailovou adresu. A vsechnu zajistuji, jak spravne pripominate, ze zajistovat maji, "non-repudiation".

Ja mel ale dojem, ze nam nejde o prokazani autorstvi u jedne zpravy (coz soud za spoluprace CA z podepsaneho dopisu urci), ja mel dojem, ze se bavime o braneni spamu. Naprosto zapomente, ze by tento system mohl slouzit ke strojovemu blokovani - pokud ano, tak jedine dalsich dopisu podepsanych stejnym klicem, ale v zadnem pripade nikoli k blokovani dopisu podepsanych jinymi klici stejne osoby (samozrejme predpokladam, ze tyto jine klice jsou vystaveny k ruznym jinym emailovym adresam teze osoby - jinak by to slo na zaklade shody emailu).

Ano, mate pravdu, ze soud by, zkoumanim vsech prislusnych zprav, dospel k zaveru, ze je odeslala jedna osoba. Nejprve to ale patrne nekdo bude muset zazalovat - a jak to zjisti ten ?

Presto si myslim, ze napriklad chodit opakovane k notari pro overeni zadosti o nove a nove certifikaty vyzaduje notnou davku drzosti a nejspis i hlouposti. Jak rikate, take by slo retezove zakladat fiktivni firmy, nebo pouzivat bile koniky.

Nic takoveho jsem nerikal. Neni duvod postupovat takhle komplikovanym zpusobem. Jen proste jako jedna (je jedno jestli pravnicka nebo fyzicka) osoba mam hromatu adres - a od hromady CA, jak jich spousta existuje (a proc vlastne ne od jedne ?), si nechavam ke kazde vystavit certifikat. A pak jen rozesilam a rozesilam ...

Mimochodem, je evidentni, ze pocitate, ze klic uzity ke spamovany bude zrusen zarazenim na CRL - to je dost vazny pozadavek. Predpokladate, ze CA se stanou arbitrem toho, kdo je a kdo neni SPAMerem - a to se, obavam, chcete vic, nez je realne dosahnout. Rozhodne nelze ocekavat, ze to budou delat CA obecne - a mam vazne pochybnosti, ze k tomuto ucelu vzniknou CA specialne se zabyvajici touto problematikou - navic celosvetove rozsirene (nechcete preci vyradit nejakou cast sveta z komunikace jen proto, ze tam v okoli nebude prislusna CA).

Cela predstava je malo realna proto, ze je soucasne zalozena na predstave, ze klic je snadno dostupny pro kazdeho (aby kazdy mohl komunikovat), ale soucasne pozadujete, aby to bylo neco vzacneho a tezko dostupneho, ceho nemuze mit kazdy na kazdem prstu tucet. A tyto dva pozadavky jsou vzajemne zcela neslucitelne. A proto nemuze byt reseni na nich zalozene funkcni. Ani teoreticky.

>> drobna odchylka napr. v adrese bydliste
> Bez urazky - vy patrne nemate prilis prehled,
> jake udaje jsou v certifikatu typicky uvedeny.
>
bez urazky, nemam :)

Zil jsem v klamnem presvedceni, ze solidni CA spolcene
s Verisignem a Microsoftem budou trvat na jakesi minimalni
mnozine udaju, ktere certifikat musi obsahovat - a na
"out-of-band autentikaci" pri zrizovani certifikatu.
Zivou zkusenost mam jenom s CA provozovanou blahe pameti
KPNQwestem.

> Ano, nekdo tam treba bydliste ma. Jiny tam dava SSN,
> jiny jmeno a rok narozeni, dalsi jen jmeno, platne jsou
> dokonce i certifikaty, ktere v sobe zadne jmeno nemaji,
> jen emailovou adresu. A vsechnu zajistuji, jak spravne
> pripominate, ze zajistovat maji, "non-repudiation".
>
nojo :)
Takovy certifikat na mailovou adresu ovsem garantuje jenom
tolik, ze zpravu odeslala osoba, drzici dany certifikat
- a nic o tom, kdo tou osobou je :)
To pochopitelne nema uroven.

> ... ja mel dojem, ze se bavime o braneni spamu.
> Naprosto zapomente, ze by tento system mohl slouzit ke
> strojovemu blokovani - pokud ano, tak jedine dalsich
> dopisu podepsanych stejnym klicem, ale v zadnem pripade
> nikoli k blokovani dopisu podepsanych jinymi klici stejne
> osoby
>
to jsem nerekl.
Ja to myslel tak, ze budu zahazovat jenom nepodepsane
zpravy a zpravy s neoveritelnym podpisem (certifikat
na CRL, vydavajici CA nepotvrdila platnost, vydavajici
CA neexistuje, pripadne vydavajici CA neni duveryhodna).

Kombinovano s whitelistem by to mohlo byt docela spolehlive
- hloupe je, ze na overovani podpisu je potreba konektivita,
verejne klice se ovsem daji cachovat atd.

Filtrovat spammery podle seznamu jejich platnych
a duveryhodnych certifikatu, to jsem rozhodne nemel na mysli.
Moje prakticka zkusenost je, ze spammeri se za svou cinnost
stydi, resp. "stydi" - tj. snazi se v nejvyssi mozne mire
zakamuflovat svoji skutecnou identitu, aby nebyli napadnutelni
(at uz soudne nebo jinak). Jde to tak daleko, ze spammer
od sveho ISP nezridka zada zaneseni falesnych udaju do
RIPE databaze. Duveryhodny certifikat je jaksi v primem
rozporu s touto potrebou kamuflaze.

> Ano, mate pravdu, ze soud by, zkoumanim vsech prislusnych
> zprav, dospel k zaveru, ze je odeslala jedna osoba.
> Nejprve to ale patrne nekdo bude muset zazalovat - a jak
> to zjisti ten ?
>
zalobcem by mohla byt napriklad nejaka instituce nebo
nadace na ochranu spotrebitelu. Ta by mohla jednat na
podnet opruzenych uzivatelu mailu, kteri by ji posilali
vzorky spamu. Myslim, ze by take nebyl problem zkorelovat
podle obsahu jeden spam, ktery prisel z vic adres - a
potazmo pouzite certifikaty. Technologicky by to nemusel
byt vetsi problem nez dnesni blacklisty (RBL).

Nemam tuseni kdo byl zalobcem v jiz probehlych
antispamovych procesech - nejake uz byly.

>> [ ad fiktivni firmy a bili kone ]
> Nic takoveho jsem nerikal.
>
mate pravdu, nerikal. Zakladani fiktivnich firem navrhl
nekdo jiny, zneuzivani cizich certifikatu je muj napad.

> Jen proste jako jedna osoba mam hromatu adres
> [...] a pak jen rozesilam a rozesilam ...
>
s tim nemam problem.
Ale kdyz budu pouzivat solidni certifikaty, lze mne
"chytit za ruku pri cinu". Kdyz budu pouzivat pochybne
certifikaty (nebo zadne), budu odfiltrovan.

> Mimochodem, je evidentni, ze pocitate, ze klic uzity ke
> spamovany bude zrusen zarazenim na CRL - to je dost vazny
> pozadavek. Predpokladate, ze CA se stanou arbitrem toho,
> kdo je a kdo neni SPAMerem - a to se, obavam, chcete vic,
> nez je realne dosahnout.
>
nenene. Predpokladam, ze certifikat na CRL v pripade zneuziti
zaradi sam jeho vlastnik - ktery bude upozornen, ze s pouzitim
jeho certifikatu byl rozesilan spam a jake z toho mohou plynout
pravni dusledky. Trochu osvety k tomu a uzivatele se ke spamovani
nebudou propujcovat. (idealismus, ja vim :)
CA rozhodne nema sanci ani pravo posuzovat, kdo je spammer
a kdo ne. O tom at rozhoduji soudy na zaklade zaloby.

> Cela predstava je malo realna proto, ze je soucasne zalozena
> na predstave, ze klic je snadno dostupny pro kazdeho (aby kazdy
> mohl komunikovat), ale soucasne pozadujete, aby to bylo neco
> vzacneho a tezko dostupneho, ceho nemuze mit kazdy na kazdem
> prstu tucet.
>
At si spammer udela certifikatu, kolik bude chtit.
Pokud budou duveryhodne, budou vsechny ukazovat na jeho osobu.
Pokud nebudou duveryhodne, budou odfiltrovany.

Mate pravdu v tom, ze pro laika je to slozite jak autobus
a ve finale aby se prase vyznalo v tom, ktery certifikat je
duveryhodny a ktery nikoli.
Pro koncoveho uzivatele je instalace "bodovaciho" filtru
hodnoticiho obsah zajiste mnohem jednodussi.

Hlavni slabinu cele teorie vidim v tom, ze predpoklada urcite
"kolektivni uvedomeni" a potrebu problem resit. A navrhovany
system by fungoval jedine v pripade, ze by si lidi zodpovedne
chranili svoje certifikaty a vsudypritomne je pouzivali - takze
par pitomcu, kteri si nechaji certifikat ukrast parazitem
a je jim to jedno, by celou vec uplne pokazilo. Jak rikate,
filtrovat jednotlive certifikaty je nerealne, zrovna tak jako
zarazovat je na CRL "z moci ouredni" kvuli spamu. Tak daleko
spolecnost nedospela.

Ano, kazda CA ma nejakou mnozinu udaju, ktere v certifikatu byt musi - jenze kazda jine. Mimochodem, vase predstava, ze to, co certifikat garantuje se lisi podle toho co obsahuje (certifikat na mailovou adresu ovsem garantuje jenom tolik, ze zpravu odeslala osoba, drzici dany certifikat) je mylna. Co certifikat garantuje je (v podstate) napsano v prislusne certifikacni politice prislusne CA. Je-li tam napsano, ze drzitel certifikatu je levak, tak to znamena, ze CA pred podepsanim zadosti overi, ze zadatel je levak a jinemu to nevyda. Co pri te prilezitosti je obsahem certifikatu neni relevantni. Z nej je (mirne zjednoduseno) klicove jen seriove cislo a podpis vydavajici CA ... Jeste stoji za pripomenuti, ze jedna CA muze mit libovolne mnozstvi RUZNYCH certifikacnich politik (kazda musi mit svuj vlastni podepisovaci klic) - takze pojem "duveryhodna CA" sam o sobe, bez znalosti toho, podle ktere konkretni politiky je certifikat podepsan, nema valny smysl.

V zbytku slo o castecne nepochopeni - mel jste, evidentne, na mysli zaloby zalozene na jednom konkretnim SPAMu - ja uvazoval az o souhrnne zalobe pri vetsim poctu SPAMu teze osoby. Tim samozrejme pada nutnost porovnavat certifikaty. Na druhou stranu, podat zalobu (nebo cokoliv jineho ji podobneho - treba stiznost na nejaky urad) neco stoji. A tato cena je obvykle o mnoho radu vyssi nez skoda, ktere muze jeden SPAM jednomu prijemci zpusobit. Proto bych nepocital, ze se SPAM podari vyresit timto mechanismem ...

Vlozil bych se jeste s jednou pripominkou.
CRL vypada jako rozumny napad, ale ve skutecnosti vyzaduje nezanedbatelne mnozstvi konektivity.
Predstavte si CRL Verisignu, ktery vydal hezkych par milionu certifikatu. Pri kazdem prijeti nebo odeslani e-mailu komukoliv z techto lidi bude tedy server Verisignu pozadan o CRL, respektive dotazan, zda se na CRL nenachazi prave tento certifikat. Troufam si odhadnout, ze miliarda konexi za jeden den nemusi byt nic nerealneho. Ze se to napadne podoba DDos attacku, je asi patrne. Postavit sit serveru na takove urovni, aby se s timhle dokazala vyrovnat, je drahe, a mensi CA na to nebudou mit cash.
Pokud vim, v soucasne dobe treba browsery obsahuji jistou preddefinovanou sadu certifikatu, certifikaty od dalsich CA se ani neobtezuji overovat a stejne tak se neobtezuji s kontrolou nejakych CRL. Nejspis to bude z vyse zmineneho duvodu (?)

Jinak, pekne pocteni od Gutmanna: http://www.govis.org.nz/insecurity/p-gutmann.pdf

No, CRL neni mechanismus urceny pro "on-line" overovani platnosti certifikatu - od toho jsou zde on-line protokoly, napriklad OCSP. CRL je urceno pro "batchovou" praci ...

a stejne tak se neobtezuji s kontrolou nejakych CRL

Mozilla umožňuje načíst CRL a umožňuje zapnout používání OCSP (buď pro certifikáty, které obsahují informaci o OCSP službě, nebo pro všechny). Co víc byste si představoval?

Většina spamů chodí z několika velkých FREEMAILOVÝCH serverů, typicky třeba z Yahoo.com, tiscali, netscape a pod.

Nejjednodušší a nejlepší řešení je ZRUŠIT všechny free mailové a webhostingové služby. Prostě zabránit tomu, aby někdo mohl používat SNADNO používat e-mail bez toho, že by jeho účet byl zpoplatněn a tudíž vázaný na plátce a konkrétní účet v bance.

To je v drtivé většině případů omyl. Spamy nechodí z uvedených serverů, ty adresy jsou jen uvedeny ve From: (Od:) hlavičkách a SMTP FROM:. Do uvedených hlaviček lze podvrhnout libovolnou adresu, z yahoo.com stejně jako infojet.cz. Buďte rád, že tam spameři podvrhují yahoo.com...

Skutečný odesílatel mnoha spamů se dá stopovat jedině podle hlaviček Received: - viz třeba mů článek http://www.krypta.cz/articles.php?ID=244

Chřipka v letech 1918-1920 vyhladila několikanásobně víc lidí, než první světová válka za 4 roky svého trvání.
To přirovnání je díky tomu dost chmurné :-(