[linux-l] RFCs und Vorschlaege...

[Steffen Dettmer]

* Oliver Bandel wrote on Thu, Oct 02, 2003 at 16:52 +0200:
> On Wed, Oct 01, 2003 at 10:31:06AM +0200, Steffen Dettmer wrote:
> > * Oliver Bandel wrote on Tue, Sep 30, 2003 at 14:29 +0200:
> > >   Aber eine Liste einschlägiger Body-md5sum's vorzuhalten dürfte
> > >   trivial und gut handlebar sein. (Evtl. auch md5sum nur auf
> > >   möglicherweise mitgeschickte Attachements).
> > 
> > Oft steht ja ein "Dear <recipient>" am Anfang, damit ist die
> > Prüfsumme stets anders. Ein Zufallswort reicht ja schon aus, das
> > zu umgehen.
> 
> Naja, ok, dann müsste man die md5sum's auf das "eigentliche" Attachement
> anwenden, also z.B. nur das MIME-zeugs etc., das letztlich in Binaries
> umgewandelt wird.

Was ist das "eigentliche" Attachement? Ich krieg hier oft HTML
Spam mit "Dear <recipient>" drin (IIRC); also immer anderer MD.

>  1) md5sum auf alle Attachements, wobei die reinen MIME-Daten gemeint
>     sind und Namen für Dateinamen, Boundary-Bezeichner etc.
>     ignoriert werden.

Na, spätenstens, wenn das jeder Newsserver machen würde, würde
jede Spam-Software einfach eine 8 Byte Zufallszahl an das
Attachment anhängen. Ich denke, bei den meisten Dateiformaten
funktioniert das, wenn man einfach hinten was dranhängt, ohne das
das stört. 

>  2) Die md5sum wird vom Server berechnet und nicht vom Versender
>     der Nachricht in den Header eingetragen (damit man Hintergehbarkeit
>     umgeht).

Na ja, die sollte einfach einmal geprüft werden, oder? Sonst
wird's ja aufwendig. Kriegt ein Newsserver ein Header mit MD5SUM,
muß er neurechnen, es sei denn, es ist "seine". Na ja, ein
Detailunterschied.

> > Bei Mail wird das ja oft gemacht, um Spamfilter zu umgehen.
>
> Hat jemand vor, zu spammen, oder wie es derzeit bei dem
> SWEN-Würmchen läuft, einfach das Interesse daran, sich
> möglichst weit zu verbreiten, und viele Leute zu nerven...
> ...dann wäre eine md5sum auf die eigentlichen Attachements
> sinnvoll.

Ja, bloß viel zu einfach zu umgehen. Viren schützen sich teils
gut gegen aufwendige heuristische Verfahren, Attachments basteln
heutzutage gern mal aus Javascript-Code (sehr einfach zu
randomisieren) das Payload zusammen. Also sind selbst diese
westenlich mächtigen Verfahren kaum ausreichend, was soll da ne
einfacher MD helfen?

> S.o.: Eindeutige Identifizierung vom Wurm-/Viren-Krempel bei
> destruktiven Ansinnen, 

Na gut, gerade die kriegt man so nicht.

> aber auch das Auseinanderhalten von gleichen Inhalten bei
> unterschiedlichen Message-IDs bei garnicht mal bösen, sondern
> sogar guten Absichten... (statt Crossposting, mehrere
> einzel-Mails).

Wer soll das ausrechnen? Da muß man ja jede Nachricht mit jeder
vergleichen. Und was macht man, wenn ein Attachment gleich ist,
aber der Header anders? Einen Fehler melden?

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.