image

Sudoku puzzels nieuwste wapen tegen spam

dinsdag 20 november 2007, 12:09 door Redactie, 16 reacties

Volgens Australische onderzoekers kunnen wiskundige puzzels zoals Sudoku een zeer effectieve bescherming tegen spam bieden. Het probleem met huidige spamfilters is dat ze niet accuraat zijn, zegt Paul Gardner-Stephen van de Flinders Universiteit in Adelaide. De onderzoeker wil daarom bestaande filters aanvullen met een geautomatiseerd systeem dat mailservers eerst een wiskundige puzzel laat oplossen voordat ze het bericht mogen afleveren.

De mailserver die het bericht ontvangt bepaalt eerst via een bestaand spamfilter hoe groot de kans op spam is. Als het een verdachte e-mail betreft, stuurt de mailserver automatisch een wiskundige puzzel naar de versturende mailserver, die het eerst moet oplossen voordat het bericht in kwestie wordt afgeleverd. Hoe duidelijker is dat het om spam gaat, des te moeilijker de puzzel is. Het kan in sommige gevallen zelfs een uur duren voordat de puzzel is opgelost.

"Als iemand probeert te spammen, moeten ze veel puzzels oplossen, dus kunnen ze relatief maar een paar berichten per dag versturen, aldus Gardner-Stephen. Het "proof-of-work" plan gaat ervan uit dat de versturende mailserver het bericht belangrijk genoeg vindt om er rekenkracht aan te besteden.

"Sudoku is een goed voorbeeld van dit soort puzzels. Het is eenvoudig te controleren, maar niet eenvoudig op te lossen." Het systeem bestaat nog alleen in theorie, maar de onderzoeker hoopt volgend jaar met testen te beginnen. Als alles goed gaat, zou het zeker nog vijf tot tien jaar kunnen duren voordat de puzzels overal geïmplementeerd zijn.

Reacties (16)
20-11-2007, 12:20 door Anoniem
mmmm,
en dan constant de mailservers plat liggen.

Lijkt me dus geen oplossing.
20-11-2007, 12:23 door Anoniem
Leuk idee, maar naar mijn idee door spammers eenvoudig op te lossen
door extra capaciteit neer te zetten. Hardware kost toch niet veel meer
tegenwoordig.
20-11-2007, 13:12 door raboof
Wordt tegenwoordig de meeste spam niet gewoon door zombies
verstuurd? Daartegen helpt dit idee (wat overigens
voortbouwt op veel oudere bevindingen, zie de references) natuurlijk niet. Mailinglists en (caching) mailservers (bij providers) zullen er een zware
dobber aan hebben - hoewel je met whitelisting misschien nog een aardig eindje kunt komen.

Ik zie er iig nog niet zo'n heil in...
20-11-2007, 13:29 door Anoniem
Dat is niet de oplossing. Het enige wat je daarmee oplost is een mate van
email spoofing, dat de ontvanger de mail zelf verstuurd heeft.

Een sudoku is in 0,01 seconde automatisch op te lossen, dus ik zie niet in
waardoor dit helpt. Volgens mij heeft een sudoku verslaafde dit verzonnen
ofzo.
20-11-2007, 13:42 door [Account Verwijderd]
[Verwijderd]
20-11-2007, 14:03 door raboof
Het enige wat je daarmee oplost is een mate van
email spoofing, dat de ontvanger de mail zelf verstuurd
heeft.
Ook dat lost het volgens mij helemaal niet op.
Een sudoku is in 0,01 seconde automatisch op te
lossen
Er staat niet voor niets 'wiskundige puzzels zoals Sudoku' -
dat is maar bij wijze van spreken om het voor de gemiddelde
lezer begrijpelijk te maken, in een implementatie zou
natuurlijk een andere puzzel/berekening gepresenteerd worden
(bijvoorbeeld priemfactorontbinding: makkelijk te genereren
en checken, (relatief) moeilijk uit te rekenen).
20-11-2007, 14:14 door Anoniem
Zelden zulke flauwekul gehoord. Geen mail server zal dit gaan
ondersteunen: einde verhaal.

Hashcash is dan een beter (maar nog altijd onwerkbaar) alternatief. Dan
ligt het initiatief bij de verzender, niet bij de ontvanger.
20-11-2007, 14:50 door raboof
Hashcash is dan een beter (maar nog altijd
onwerkbaar) alternatief. Dan
ligt het initiatief bij de verzender, niet bij de
ontvanger.

Het voorstel van Gardner-Stephen is een uitbreiding op
HashCash (uit 1997!): hij verwijst er ook netjes naar. De
'verbetering' die hij erop voorstelt is dat hij eerst kijkt
of een bericht spam lijkt, en op spam lijkende berichten een
moeilijkere challenge geeft dan berichten die niet op spam
lijken. Daar zit wel wat in, maar het concept an sich lijkt
me inderdaad al twijfelachtig.
20-11-2007, 15:08 door Erik Loman
20-11-2007, 16:02 door Anoniem
Door Erik Loman
Voor meer informatie over Hashcash zie http://www.surfright.nl/nl/caretaker/antispam/background#bla

Waarom zou ik naar jouw site gaan om iets over hashcash te lezen?

Dit is de officiële hashcash site: http://www.hashcash.org/
En nog een: http://en.wikipedia.org/wiki/Hashcash
20-11-2007, 16:39 door Anoniem
Door raboof
Hashcash is dan een beter (maar nog altijd
onwerkbaar) alternatief. Dan
ligt het initiatief bij de verzender, niet bij de
ontvanger.

Het voorstel van Gardner-Stephen is een uitbreiding op
HashCash (uit 1997!): hij verwijst er ook netjes naar. De
'verbetering' die hij erop voorstelt is dat hij eerst kijkt
of een bericht spam lijkt, en op spam lijkende berichten een
moeilijkere challenge geeft dan berichten die niet op spam
lijken. Daar zit wel wat in, maar het concept an sich lijkt
me inderdaad al twijfelachtig.

Nogmaals, Hashcash is een ander systeem met een andere opzet
(initiatief ligt bij de verzender en niet zoals bij dit voorstel bij de ontvanger).
Dit is dus geen uitbreiding van Hashcash en dat staat ook niet in het artikel.

Geen van beide systemen vormt een substantieel probleem voor de
spammer, er is ruim voldoende processorcapaciteit aanwezig in bots en
mail servers die open staan voor relaying zullen het ook niet verhinderen.

Een groot nadeel zijn de hoge kosten en het milieu. Processoren
verbruiken veel meer als ze moeten werken en er zijn er meer van nodig.

Voor Gardner's systeem alle andere verzendende mail servers dit systeem
a priori ondersteunen. Die situatie is er niet en zal er ook nooit zijn.
Daardoor is een (vroeg)tijdige dood van dit idee gegarandeerd. Hashcash
had dat probleem niet.

Een ander fundamenteel probleem in Garnder's methode is de aanname
dat anti-spam een dom scoring systeem bevat. Moderne, intelligente anti-
spam systemen gebruiken exacte identificatie.

Mijn conclusie is dat Gardner wel wat verouderde literatuur heeft
geraadpleegt, maar onvoldoende kennis heeft van huidige
spamproblematiek en van de mail server markt.
20-11-2007, 19:42 door Anoniem
Door Erik Loman
Voor meer informatie over Hashcash zie http://www.surfright.nl/nl/caretaker/antispam/background#hashcash1

Hey bedankt leest wat makkelijker dan de engelse versies. Goed duidelijk
verhaal.

Wordt het wel gebruikt door servers op internet want zeker niet alle of bijna
geen server die ik ken gebruikt/herkend HashCash?
20-11-2007, 21:07 door Erik Loman
Door Anoniem

Waarom zou ik naar jouw site gaan om iets over hashcash te lezen?

Dit is de officiële hashcash site: http://www.hashcash.org/
En nog een: http://en.wikipedia.org/wiki/Hashcash

Omdat dit een goed en duidelijk in Nederlands geschreven stuk tekst is.
Maar als je bezwaar hebt dat het op mijn site staat mag je ook gewoon hier
kijken http://www.security.nl/article/16241/1/Maakt_digitale_postzegel_einde_aan_spam%3F.html en scrollen naar beneden.
20-11-2007, 22:12 door raboof
Hashcash is een ander systeem met een andere opzet
(initiatief ligt bij de verzender en niet zoals bij dit
voorstel bij de ontvanger).
Het meest recente
[url="http://www.hashcash.org/papers/hashcash.pdf"]Hashcash-artikel[/url]
beschrijft zowel een interactieve als een non-interactieve
variant.

Dit is dus geen uitbreiding van Hashcash en dat staat
ook niet in het artikel.
De tweede zin van het abstract van
[url="http://aps.arxiv.org/pdf/0710.5327"]het artikel[/url]
verwijst naar Hashcash. Vervolgens wordt verwezen naar een
artikel dat beweert dat Hashcash eigenlijk niet kan werken,
en de rest van het artikel beschrijft de `oplossing' die hij
verzonnen heeft.
Geen van beide systemen vormt een substantieel
probleem voor de spammer
Eens. Bovendien worden voor Gardner's systeem niet alleen de
2 'endpoints' belast met de verantwoordelijkheid iets met
spam te doen, maar ook alle tussenliggende mailservers. Dat
gaat niet werken.
Voor Gardner's systeem (moeten) alle andere
verzendende mail servers dit systeem a priori
ondersteunen.
Het is wel backwards-compatible (hoofdstuk 3 van het artikel), maar als niet de hele ketting tussen verzender en ontvanger iets met spam doet kun je inderdaad niet van het systeem profiteren.
Een ander fundamenteel probleem in Garnder's methode
is de aanname dat anti-spam een dom scoring systeem bevat.
Moderne, intelligente anti-spam systemen gebruiken exacte
identificatie.
Als dat waar zou zijn dan zou het spam-probleem de wereld
uit zijn, toch? Mijn inbox bestrijdt dat :).
20-11-2007, 23:46 door Anoniem
@Raboof:

Hashcash zoals het algemeen gebruikt wordt is niet interactief. Gardners
systeem is geen uitbreiding van Hashcash.

Backwards compatible betekent dat er geen reden is voor mail servers om
deel te nemen, want wat is er makkelijker dan het niet te ondersteunen?
Gardner heeft daar aan gedacht en komt met een
voorspelbare "oplossing" die erger is dan het probleem. De zelf opgelegde
wachttijd zal door gebruikers ervaren worden als onzinnig - en dat is het
ook. Die stemmen met hun voeten. De postmaster zal vriendelijk worden
verzocht een normale mail server te gebruiken of anders plaats te maken
voor iemand die e.e.a. wel kan laten werken zoals het hoort.

Elke anti-spam "oplossing" die voorstelt om gewenste mail te weigeren
(zoals Gardner doet) is direct gediskwalificieerd. Het is een erkenning van
onvermogen.

De opmerking over je inbox kan ik niet volgen aangezien ik geen verband
kan ontdekken met wat ik schreef.
21-11-2007, 09:24 door Anoniem
IMHO de enige 2 oplossingen voor niet virus gerelateerde Spam:
- massaal reageren, naar de website gaan: bandbreedte
afsnoepen en
- overheidsmatig bestellingen plaatsen. Follow the money en
je hebt de daders te pakken
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.