Una mejor forma de eliminar el spam

El nuevo software desarrollado en el Instituto de Tecnología de Georgia puede identificar el spam antes de que llegue al servidor de correo. El sistema, conocido como SNARE (Motor de reputación automático a nivel de red espacio-temporal), califica cada correo electrónico entrante en función de una variedad de nuevos criterios que se pueden obtener de un solo paquete de datos. Los investigadores involucrados dicen que el sistema automatizado ejerce menos presión sobre la red y minimiza la necesidad de intervención humana mientras logra la misma precisión que los filtros de spam tradicionales.





Separar el spam del correo electrónico legítimo, también conocido como ham, no es fácil. Eso se debe en parte al gran volumen de mensajes que deben procesarse y en parte a las expectativas del correo electrónico: los usuarios quieren que su correo electrónico llegue minutos, si no segundos, después de que se envió. Analizar el contenido de cada correo electrónico puede ser un método confiable para identificar el spam, pero lleva demasiado tiempo, dice Nick Feamster , profesor asistente en Georgia Tech que supervisó la investigación de SNARE. Dejar que el spam fluya hacia nuestras bandejas de entrada sin filtrar tampoco es una opción sensata. De acuerdo a un reporte publicado por la empresa de seguridad de correo electrónico MessageLabs , el spam representó el 90,4 por ciento de todo el correo electrónico enviado en junio.

Si no le preocupa el correo no deseado, le sugiero que apague el filtro de correo no deseado durante aproximadamente una hora y vea qué sucede, dice Sven Krasser, director senior de investigación de minería de datos en McAfee. La empresa de Santa Clara, CA, proporcionó datos sin procesar para que los analizara el equipo de Georgia Tech.

El equipo analizó 25 millones de correos electrónicos recopilados por TrustedSource.org , un servicio en línea desarrollado por McAfee para recopilar datos sobre tendencias en spam y malware. Con estos datos, los investigadores de Georgia Tech descubrieron varias características que podrían extraerse de un solo paquete de datos y usarse para identificar de manera eficiente el correo basura. Por ejemplo, su investigación reveló que el radioaficionado tiende a provenir de computadoras que tienen muchos canales o puertos abiertos para la comunicación. Los bots, sistemas automatizados que se utilizan a menudo para enviar grandes cantidades de spam, tienden a mantener abierto solo el puerto de correo electrónico, conocido como puerto del Protocolo simple de transferencia de correo.

Además, los investigadores encontraron que al trazar la distancia geodésica entre las direcciones de Protocolo de Internet (IP) del remitente y el receptor, medida en la superficie curva de la tierra, podían determinar si el mensaje era basura. (Al igual que cada casa tiene una dirección, cada computadora en Internet tiene una dirección IP, y esa dirección se puede asignar a un área geográfica). Los investigadores encontraron que el spam tiende a viajar más lejos que el jamón. Los spammers también tienden a tener direcciones IP numéricamente cercanas a las de otros spammers.

Dean Malmgren, un candidato a doctorado en la Universidad de Northwestern cuyo trabajo incluye la identificación de nuevos métodos para identificar el spam, dice que encuentra la investigación interesante. Pero se pregunta qué tan robusto será SNARE una vez que su metodología sea ampliamente conocida. Las direcciones IP, señala, son fáciles de falsificar. Entonces, si los spammers se enteraran de cómo funciona SNARE, podrían, por ejemplo, usar una dirección IP falsa cercana a la del destinatario.

Los investigadores de Georgia Tech también observaron el número de servidor autónomo (AS) asociado con un correo electrónico. (Se asigna un número AS a cada red operada de forma independiente, ya sea un proveedor de servicios de Internet o una red de campus). Sabiendo que un porcentaje significativo de spam proviene de un puñado de números de servidores autónomos, los investigadores decidieron integrar esa característica en SNARE. también.

El resultado final fue un sistema capaz de detectar spam el 70 por ciento del tiempo, con una tasa de falsos positivos del 0,3 por ciento. Feamster dice que es comparable a los filtros de spam existentes, pero señala que cuando se usa en conjunto con los sistemas existentes, el proceso debería ser mucho más eficiente.

Considere a SNARE como una primera línea de defensa, dice Shuang Hao , estudiante de doctorado en ciencias de la computación en el Instituto de Tecnología de Georgia e investigador de SNARE. Cada una de las características del sistema SNARE contribuye a la puntuación general de un correo electrónico. Hasta ahora, SNARE se ha implementado solo en un entorno de investigación, pero si se usa en un entorno corporativo, el administrador de la red podría establecer reglas sobre lo que sucede con el correo electrónico en función de su puntuación de SNARE. Por ejemplo, el correo electrónico que obtenga una puntuación baja podría descartarse incluso antes de que llegue al servidor de correo. Hao dice que esto puede ahorrar recursos considerables, ya que muchas empresas tienen una política que requiere que retengan una copia de cada correo electrónico que llega al servidor, sea o no basura. Los mensajes con puntuaciones mediocres podrían evaluarse más a fondo mediante filtros de contenido tradicionales.

Actualmente, Hao está ayudando a Yahoo a mejorar su filtro de spam, basándose en lo que aprendió al desarrollar SNARE. Dice que Cisco también ha expresado interés en el trabajo.

Es bastante inteligente en la forma en que combinan un montón de datos que son baratos de usar, dice John Levine , presidente de la Coalición contra el correo electrónico comercial no solicitado y un asesor técnico senior del Grupo de trabajo de mensajería contra el abuso , un consorcio de empresas involucradas en la lucha contra el spam. Por otro lado, creo que algunas de sus conclusiones son demasiado optimistas. Los spammers no son tontos; siempre que tenga un plan popular [para identificar el spam], lo eludirán.

El equipo de investigación presentará su trabajo sobre SNARE en la Conferencia de Seguridad de Usenix el próximo mes en Montreal. En el futuro, Feamster espera poder aplicar sus hallazgos a otros problemas de seguridad informática, como los correos electrónicos de phishing, en los que el remitente finge ser de una institución confiable para convencer a los destinatarios de que divulguen sus contraseñas.

esconder