Тема Захист від спаму Навчальний посібник Internet для користувача частина 2, НУДПСУ
« Назад3.2. Захист від спаму
3.2.1. Характеристика спаму та методи захисту від нього
Визначення спамуПри розгляді і вивченні будь-якого явища необхідно дати чітке визначення використовуваним поняттям. При розгляді проблем, пов'язаних із спамом, це особливо важливо, оскільки є велика кількість визначень, більшість з яких не розкриває суті спаму. На сьогоднішній день в українському законодавстві не існує визначення терміну "спам", тому використовується лише "повсякденне" визначення даного поняття. На думку фахівців у цій галузі найбільш повним та таким, що розкриває дане поняття, може бути наступне визначення: "СПАМ – це анонімна масова непрошена розсилка". У цьому визначенні важливе кожне включене в нього слово. Анонімна – більшість повідомлень надходить в основному саме від автоматичних розсилок, з прихованою або фальсифікованою зворотною адресою. Масова – ці розсилки саме масові і лише вони є справжнім бізнесом для спамерів і справжньої проблеми для користувачів. Непрошена – очевидно, що підписні розсилки і конференції не повинні підпадати під дане визначення. Важливими також є слова, що не були включені у дане визначення спаму. Наприклад, у визначення спаму часто включають слова "рекламна" або "комерційна пропозиція". Проте на думку фахівців, це неправильно. Річ у тому, що значна частина спаму не переслідує рекламних або комерційних цілей. Є розсилки політичного спаму, є "добродійні" спамерські листи, є шахрайські листи (так звані нігерійські листи з пропозиціями видати готівкою велику суму грошей), є "ланцюгові листи" - листи з проханням переслати знайомим ("листи щастя") і т.п. Є також вірусні листи, що містять привабливий текст і віруси під виглядом іграшок, картинок, програм ("справжня історія Білосніжки", "З Новим роком!" і т.п.). Як правило метою розсилки таких листів не є отримання комерційного прибутку. Історія виникнення спамуТермін спам походить від англійського слова spam, назви м'ясного продукту, торгової марки Hormel Foods Corporation, що було використано у скетчі англійської комікс-групи Monty Python Flying Circus. Музиканти гурту в 1972 році виспівували відвідувачам ресторану про всю красу м'ясних консервів Spam. Перша рекламна розсилка була здійснена 3 травня 1978 року представником компанії виробника комп'ютерів Digital Equipment Corporation з повідомленням про дату виходу нової моделі. Стосовно нав'язливої мережевої реклами в сучасному її розумінні термін "спам" став вживатися тільки в середині 90-х років, коли рекламні компанії почали публікувати в конференціях Usenet свої оголошення. Проте продовжувалося це недовго, оскільки технологія Usenet передбачала будь-яку фільтрацію повідомлень, і адміністратори конференцій просто видаляли спам раніше, ніж він досягав поштових скриньок. Потерпівши тут невдачу, спамери переключилися на розсилку реклами за допомогою електронної пошти по групах адресатів. Перший спам, що розсилався по каналах електронної пошти, не відрізнявся великою складністю. Один і той же лист розсилався через порівняно невелику, по сьогоднішнім міркам, кількість поштових систем, що дозволяли провести "через себе" транзитну доставку пошти довільним адресатам (open relay). Боролися з таким спамом, розміщуючи IP-адреси використовуваних спамерами поштових серверів в чорні списки. У 1997-му році з'явився перший чорний список - MAPS RBL, що використав технології DNS і BGP, що дозволяло достатньо оперативно оновлювати його. До 1998 року проблема спаму посилювалася тим, що популярний у той час поштовий сервер Sendmail при використанні настройок "за умовчанням" працював як open relay. Хоча рекомендації по усуненню цього недоліку з'явилися ще в 1996 році для Sendmail версії 8.8, проте при настройці "за умовчанням" Sendmail перестав використовувати open relay тільки з версії 8.9, що вийшла в травні 1998 року. Але і після цього знадобився час на те, щоб основний парк поштових серверів був оновлений. Іншими словами, не складало проблем знайти open relay для відправки спаму - потрібно було просто пошукати. Це робили як спамери, так і анти-спамери (наприклад, популярний свого часу сервіс ORBS.org автоматично шукав такі поштові сервіси і поміщав їх в свою базу даних). Надалі разом з open relay для розсилки спаму почали використовуватися і інші способи доступу до ресурсів чужих комп'ютерів, в першу чергу, так звані socks- і proxy-сервери, до яких був можливий неавторизований доступ. Дані сервери призначені для зведення всього інтернет-трафіку невеликих компаній до однієї єдиної машини, що має доступ в Інтернет. Для роботи вони зазвичай використовують порти, відмінні від портів для SMTP. Якщо машина допускає неавторизоване з'єднання з довільної IP-адреси, її також можуть використовувати спамери для напряму свого SMTP-трафіку. Цікаво відзначити, що балки використання socks-серверів зазвичай не ведуться, тому відстежування дійсних джерел розсилки навіть самими адміністраторами socks-серверів найчастіше неможливо. Майже відразу ж виявилося, що і стандартні відкриті http-проксі (типові порти 3128, 8080 і т.д.), що підтримують метод CONNECT, можна легко використовувати для цієї ж мети. Для цього досить в команді CONNECT вказати ім'я сервера і задати порт для передачі поштового повідомлення. Навіть "народний" Web-сервер Apache нерідко використовують як засіб розсилки поштового спаму. Як відомо, socks- і proxy-сервіси є у складі програмного забезпечення, призначеного для кінцевих користувачів, причому у багатьох випадках неавторизований доступ дозволений за умовчанням. В результаті кількість клієнтських комп'ютерів, які можуть бути використані для розсилки спаму (і інших дій під контролем третіх осіб) збільшилося разом із зростанням кількості високошвидкісних підключень до Інтернет. Протягом 2003 року технології спамерів отримали істотний розвиток, пристосовуючись до нових умов існування. Основна кількість спаму розсилалось вже не безпосередньо, а за допомогою мереж, що складаються із захоплених спамерами машин. Тепер спамери розсилають троянські програми, які, заражаючи машини користувачів, служать майданчиком для розсилки спаму. У розсилках беруть участь сотні тисяч інфікованих комп'ютерів, користувачі яких можуть навіть не підозрювати про це. Серед можливостей троянських програм є навіть самооновлення (upgrade), автоматичне розповсюдження, автоматичне переміщення на інші зламані машини і т.д. Наприклад, функція такої програми може бути наступною: сходити по HTTP на записану в нім адресу в заданий час, узяти звідти списки адрес і листів, розіслати привітання, дізнатися час і місце наступного заходу. Іноді троянські програми прослуховують канали IRC і використовують команди даної мережі, що дозволяє приховати джерело команд. На відміну від HTTP, де відкриття сайту або закачування нових файлів відстежуються досить легко, повідомлення по каналу IRC можуть передаватися через будь-який з серверів IRC-мережі, і для відстеження джерела необхідний оперативний доступ до балок всіх серверів відразу. Таким чином, є багато способів приховати розсилку спаму: використовувати нестандартні порти, мережі управління, протоколи і т.д. Наявність великої кількості таких способів приводить до різкого сплеску потоків спаму. Кількість IP-адрес, з яких потенційно можлива розсилка спаму, що постійно збільшується, зробила класичні системи антиспамові системи (RBL-системи) не дуже ефективними. У списки поміщалися тільки IP-адреси машин, які реально використовувалися для розсилки спаму. Такі списки називалися "консервативними". Щоб збільшити ефективність RBL-систем були створені "превентивні" чорні списки, в які включали цілі діапазони поштових адрес (іноді - десятки мільйонів). Серед них адреси, що належать певним ISP (Internet Service Provider - провайдер послуг мережі Інтернет ), а іноді - цілим країнам і навіть групам країн. Такий підхід, з одного боку, збільшував ефективність RBL в боротьбі із спамом, з іншого, не дозволяв доставити легальну пошту. На сьогоднішній день консервативні RBL надають можливість перехоплювати близько 30-40% спаму ціною втрат 2-3% звичайної пошти. Для "превентивних" RBL-сервісів обидва показники вище, проте велику кількість втрат легітимної пошти робить використання подібних сервісів мало прийнятним. А збільшення ефективності методу фільтрації спаму з використанням RBL-списків без зростання частки помилкових спрацьовувань є в даний час нереальним. Проблеми RBL - не дуже висока ефективність проти спаму і істотна вірогідність втрат легальної пошти - привели до появи інших способів боротьби із спамом. До них, зокрема, відносяться:
Кожний з цих методів безпосередньо після своєї появи був достатньо ефективним, проте жоден з них не є панацеєю проти спаму - технічно можливо зробити абсолютно "легальне" (з погляду даних методів) спам-повідомлення. Подальша еволюція методів боротьби із спамом привела до появи контекстної фільтрації електронної пошти і статистичних методів аналізу текстів повідомлень. Дані методи фільтрації спаму є на сьогодні найбільш ефективними і дозволяють справитися зі все зростаючим потоком спаму. Економічні передумови виникнення та розповсюдження спамуСпам існує тому, що є економічні передумови для його існування. Якщо розглядати спам як об'єкт інформаційного обміну, то між його суб'єктами встановлюються певні економічні відносини. До суб'єктів таких відносин відносяться: - Замовники. Вони зацікавлені в широкому розповсюдженні по каналах електронної пошти певної інформації. Саме замовники спочатку інвестують в спам частину своїх фінансових коштів, призначених на рекламу продуктів, рішень і послуг; - Створювачі/розповсюджувачі спаму. До них належать безпосередньо спамери, які створюють та розповсюджують спам, а також недобросовісні провайдери, які зацікавлені в збільшенні об'єму використання трафіку. У спамерів, у свою чергу, існує свій розподіл праці. Серед спамерів можна виділити дві категорії: "зломщики" і "розповсюджувачі". Зломщики проникають в будь-які доступні комп'ютери і встановлюють на них "троянські" програми, що забезпечують приховану розсилку спаму. Розповсюджувачі працюють з використанням звичайного списку. Саме вони є основними покупцями списків поштових адрес; - Споживачі спаму. Як відомо, споживачами спаму стають мимоволі. Користувачі розуміють, що частина трафіку була задіяна на транспортування спаму, і при цьому вони вимушені його оплачувати. Крім того, існує деяка суперечність в їхніх діях. З одного боку, адресати негативно ставляться до спаму, з іншого – саме вони піддаються на "домовленості" і реагують на рекламу (інакше замовники навряд чи б витрачали гроші даремно). Вирішити проблему спаму можливо тільки шляхом усунення умов його існування. По-перше, можна докласти зусиль, щоб зруйнувати економічні відносини між суб'єктами, що беруть участь у виробництві і споживанні спаму. Наприклад, виключити хоч би один суб'єкт з даного ланцюжка, адже якщо не буде замовників або споживачів, тоді робота спамерів буде не потрібна. По-друге, розвернути активну боротьбу із спамом, яка повинна вестися на всіх можливих фронтах, починаючи з кінцевих користувачів, закінчуючи державними і громадськими організаціями. В даний час існує декілька різних організаційних способів боротьби із спамом. До них відносяться: - Юридичні способи. Припускають ухвалення законів про заборону спаму, створення державних служб для виявлення і переслідування спамерів, наділ провайдерів певною відповідальністю і повноваженнями по фільтрації пошти; - Соціальні способи. Створення умов, в яких спам стає процедурно неможливим або економічно невигідним. Припускають введення нових способів обміну електронною поштою (введення платних електронних марок, підтвердження відправки листів і т.п.). Створення співтовариств і об'єднань (наприклад, провайдерів) для боротьби із спамерами; - Пропаганда. Базується на роз'ясненні негативної ролі спаму як на державному, так на суспільному рівнях; - Технічні способи. Припускають впровадження технічних засобів контролю за розповсюдженням спаму, виділення спаму з інформаційного потоку, а також його блокування. Перші три способи мають відношення скоріше до діяльності суспільства і держави по боротьбі із спамом, тому розглядатись не будуть. Розглянемо технічні способи, тобто програмні засоби, які забезпечують фільтрацію спаму на корпоративному рівні. Основна увага буде приділена технічним способам боротьби із спамом, які забезпечують фільтрацію поштового трафіку в локальних обчислювальних мережах. Ознаки спамуОзнаки, які дозволяють віднести той або інший лист до категорії "спам", умовно можна розділити на дві групи – формальні і лінгвістичні. Формальні ознаки включають: 1. Поштові адреси, IP-адреси (це дозволяє забезпечити фільтрацію за списками); 2. Відсутність адреси відправника; 3. Відсутність адреси одержувача або навпаки наявність великої кількості одержувачів; 4. Відсутність IP-адреси в системі інтернет-адреси DNS; 5. Певний розмір і формат повідомлення; 6. Шлях доставки електронної пошти і т.п. Лінгвістичні ознаки включають (розпізнавання спаму за змістом листа): 1. Слова і фрази, побудовані певним чином; 2. Евристичні ознаки; 3. Статистичні ознаки. Якщо розглядати дану проблему з технічної точки зору, то до ознак спаму також можна віднести: - одночасну розсилку на велику кількість поштових адрес або неодноразовий напрям повідомлення за однією адресою (що дозволяє зробити висновок про масову розсилку і застосувати фільтрацію за даною ознакою); - наявність текстового повідомлення (як би спамери не маскували спам, текст і адреса електронного листа завжди були б справжніми, що дозволяє здійснювати контекстну фільтрацію поштових повідомлень); - спам-повідомлення повинно бути легким при читанні одержувачем. Іншими словами, воно не може бути зашифроване, основний об'єм інформації повинен бути переданий адресатові у складі повідомлення. Кількість випадкових послідовностей ("сміття"), видимих користувачем, повинна бути невеликою. При порушенні цих правил знижується відгук на рекламу; - безадресність текстового повідомлення (можливість звернення до конкретного співробітника компанії в тілі листа дозволяє зробити однозначний висновок про те, що лист не відноситься до масової розсилки); - наявність ознак підробки адреси (що дозволяє застосувати, так звану, функцію anti-spoofing). Крім того, необхідно виділити деякі ознаки, за наявності яких неможливо однозначно визначити, чи є дане повідомлення спамом Однак, разом з вищеназваними технічними ознаками, вони допомагають переконатися в тому, що лист дійсно відноситься до категорії "спам". В першу чергу, це розмір спам-повідомлень, який в більшості випадків не перевищує 10 кілобайт. Крім того, ці повідомлення мають просту структуру. В більшості випадків листи розміром в декілька десятків кілобайт з складною структурою, до складу яких входять різні вкладення і інші об'єкти, не відносяться до спаму. Технологічні особливості розповсюдження спамуОчевидно, що в процесі формування захисту від спаму, крім іншого, слід враховувати і технологічні особливості його розповсюдження. Вказані особливості можливо використовувати як при реалізації програмних засобів захисту, так і розробці запобіжних заходів для користувачів електроної пошти Розсилка спамуНа сьогоднішній день розсилка спаму придбала виняткові масштаби - щодоби в світі розсилаються десятки мільярдів спаму-повідомлень (від 40 до 70 відсотків всієї електронної пошти). Такі масштаби вимагають істотних вкладень в технологію розсилок. При цьому розвиток технологій розсилки спаму привів до того, що на сьогоднішній день спам-пошта має ряд технологічних особливостей, а процес її створення та розповсюдження виглядає так:
Особливістю процесу є те, що кожен окремий технологічний крок може виконуватися незалежно. Розглянемо кожен етапів технологічного ланцюжка більш детально: 1. Збір адрес. Для розсилки спаму необхідно мати список адрес потенційних одержувачів. Такі списки отрималі назву "спам-баз" або e-mail database. Адреси в них можуть мати додаткову інформацію: - Регіон. - Вид діяльності компанії (або інтереси користувачів). - Список адрес користувачів конкретної поштової служби (Yandex, AOL, Hotmail і тому подібне) або конкретного сервісу (eBay, Paypal...) . Збір адрес здійснюється наступними методами: - Підбір по словниках власних імен, "красивих слів", частих поєднань слово-цифра (jonh@, destroyer@, alex-2@). - Метод аналогій - якщо існує Joe.User@hotmail.com, то резонно пошукати Joe.User@yahoo.com та @aol.com, @Paypal. - Сканування всіх доступних джерел інформації - Web-сайтов, форумів, чатів, дошок оголошень, Usenet News, баз даних Whois на поєднання слово@слово2.слово3... (при цьому, на кінці такого поєднання має бути домен верхнього рівня - .com, .ru, .info і так далі). - Крадіжка баз даних сервісів, провайдерів і т.і. - Крадіжка персональних даних користувачів за допомогою комп'ютерних вірусів і інших шкідливих програм. При скануванні доступних джерел інформації спамери намагаються визначити "круг інтересів" даного джерела, що дає можливість отримати доступ до тематичних баз даних. В випадку крадіжки баз даних провайдерів, в них досить часто міститься є додаткова інформація про користувача, яка також дозволяє провести персоналізацію. Крадіжки за допомогою шкідливих пргарм таких персональних даних користувачів, як адресні книги поштових клієнтів (більшість адрес в яких є діючими) набули массового характеру порівняно недавно. Однак великий обсяг вірусних епідемій останніх років вказує на недостатню ефективність поширених антивірусних засобів. Тому слід очікувати поширення даного способу збору персональних даних зростатиме. Верифікація зібраних адрес потенційних одержувачів спаму як правило реалізується одним із способів: - Пробна посилка повідомлення. Як правило, пробне повідомлення містить випадковий текст, які гарантовано проходить через спам-фільтри. Аналізуючи відповідь поштового сервера (пошта прийнята або не прийнята), можна з'ясувати, чи діє кожна конкретна адреса із списку. - Вставка в текст спам-повідомлення унікального посилання на картинку, розташовану на Web-сервері. При відкритті листа картинка буде завантажена (у багатьох сучасних поштових програмах ця функція блокована), а власник сайту дізнається про доступність адреси. Зазначимо, що метод верифікуе не валидність адреси, а факт прочитання листа. - Розмішення гіперпосилання "відмова в підписці" в спамі-повідомленні. Якщо одержувач натискує на це гіперпосилання, то жодної відписки не відбувається, а його адреса позначається як діюча. Метод верифікуе активність одержувача. Всі три способи верифікації адрес не є достатньо достовірними. Відповідно, в базах даних адрес одержувачів спаму є достатньо багато "мертвих" адрес. 2. Підготовка "точок розсилки". На сьогоднішній день професійна розсилка спаму здійснюється трьома основними способами: - Пряма розсилка з орендованих серверів. - Використання "відкритих релеїв" і "відкритих proxy-сервісів", помилково конфігурованих їх власниками таким чином, що через них можна розсилати спам. - Прихована установка на робочих станціях кінчевих користувачів програмного забезпечення, яке дозволяє отримати несанкціонований доступ до ресурсів даного комп'ютера і в тому числі розсилати спам. Перші два способи мають суттєві недоліки. Для розсилки з орендованих серверів та відкритих сервісів необхідно слід постійно їх змінювати, адже вони досить швидкий потрапляють в чорні списки IP-адрес. Відповідно, розсилати такими способами спам можна лише на тим користувачам, поштові сервіси яких не використовують чорні списки. Тому спамери постійно ведуть пошук таких серверів та сервісів. Для цього використовуються спеціальні програми, які швидко сканують великі ділянки адресного простору всієї мережі Internet. Однак, ефективне поповнення чорних списків швидко нівелює отримані результати. Тому, на сьогоднішній день, найбільшу популярність має установка на комп'ютерах кінцевих користувачів троянських компонент для розсилки спаму. Таким чином сучасна технологія розсилки спаму є розподіленіною. За рахунок цього велика частка спаму розсилається через устаткування, встановлене у кінцевих користувачів (будь-то окремі приватні користувачі або цілі локальні обчислювальні мережі). Як правило, окремий, призначений для користувача, комп'ютер застосовується для розсилки невеликої частки повідомлень, при цьому в розсилці беруть участь сотні і тисячі призначених для користувача машин. Крім того, крупні спамери застосовують при розсилці спаму крізний моніторинг доставки повідомлень, в результаті якого лист, заборонений при спробі доставки з однієї IP-адреси, буде відправлений заново з іншої IP-адреси. Це робить заборону на отримання пошти (reject) по RBL-списках неефективним – спроби доставки повідомлення повторяться з інших IP-адрес. Власне розподілність розсилки реалізується одним із способів: - Включення троянських компонентів в піратське програмне забезпечення: модифікація поширених програм, включення троянських компонентів в "генератори ключів", "програми для обману провайдерів" і тому подібне. Досить часто такі програми поширюються через файло-обменні мережі (eDonkey, Kazaa) або через сайти з "варезом" (warez, піратські копії програм). - Використання вразливостей в програмах перегляду Web-сайтів (в першу чергу, Microsoft Internet Explorer). Ряд версій таких програм містить помилки в перевірці прав доступу, що дозволяє розмістити на Web-сайтах компонент, які будуть непомітно для користувача інстальновані і запущені на його комп'ютері. Після цього комп'ютер користувача буде відкрито для віддаленого доступ з боку зловмисників. Такі програми поширюються в основному через популярні сайти (перш за все порнографічного вмісту). Наприклад, влітку 2004 роки була реалізована двоетапна схема:
Це призвело до масового зараження комп'ютерів користувачів, що відвідували такі ("хороші") сайти. - Використання комп'ютерних вірусів. Перш за все застосовуються віруси, які поширюються по каналах електронної пошти і використовують вразливості в мережевих сервісах Microsoft Windows. Дана методика набуває все більшого поширення. Так за останні декілька років, всі великі епідемії були скоєні вірусами, основоною метою яких було отримати віддалений несанкціонований доступ до користувача комп'ютера. Разом з тим, поширюється інтенсивність спроб використання уразливостей операційної системи Windows. Підключений до мережі Internet комп'ютер, що працює під управлінням операційної систем Windows XP, без встановленого firewall і додаткових сервісних пакетів виявляється зараженою протягом декількох десятків хвилин. При цьому, сучасні віруси та інші шкідливі компоненти постійно модифікуються та вдосконалюються. Зловмисниками прикладаються значні зусилля для ускладнення виявлення та знищення таких програм. Наприклад, шкідливі програми можуть приховувати від провайдера несанкціоновану розсилку клієнтом спаму. Також помітна багатофункціональність шкідливих програм. Багато з них можуть за допомогою Internet-браузеру, звертатись на Web-сайти зловмисників за інструкціями, що їм робити - реалізувати DoS-атаку, розсилати спам і т.і. Досить часто інструкції можуть містити вказівку про час і "місце" отримання наступних. Інший спосіб маскованого отримання команд для здійснення атаки полягає у використанні сервісу IRC. Об'єднані мережею Internet заражені комп'ютери отримали назву Boot-мереж. Великий обсяг заражених машин і досконалість технологій їх використаня, підтверджується відомими фактами здачі в оренду Boot-мереж, наприклад, для розсилки спаму. Однак вимога "продаваємості" Boot-мереж призвела до того, що шкідливі програми працюють використовуючи стандартні протоколи прикладного рівня з невеликим списком номерів мережевих портів. Це дає можливість їх використання третіми особами, але одночасно полегшує пошук заражених машин системними адміністраторами. 3. Програмне забезпечення для розсилки спаму. Середня спам-розсилка має на сьогодні об'єм не менше мільйонів повідомлень. Для того, щоб встигнути реалізувати розсилку до перенастроювання або оновлення бази даних антиспаму-фільтрів, зловмиснику потрібно ці повідомлення розіслати за досить обмежений час (одна-дві години). При цьому швидка розсилка великої кількості E-mail повідомлень є технологічною проблемою, вирішення якої вимагає досить великих ресурсів. Як наслідок, "на ринку" є відносно невелика кількість програм, що задовольняють вимогам спамерів-професіоналів. До основних характеристик цих програм відносяться: - Можливість розсилати спам, як через "відкриті сервіси" (поштові релеї, proxy-сервери), так і через заражені комп'ютери звичайних користувачів мережі Internet. - Здатність формувати динамічний текст. - Здатність підроблювати та змінювати заголовки повідомлень. По цій причині, розпізнавання спаму на основі аналізу заголовок повідомлень стає нетривіальним завданням. - Можливість відстежувати валідність баз даних E-mail адрес. - Можливість відстежувати статус повідомлення на кожну окрему адресу та перенаправлення його через іншу "точку розсилки", в випадку використання на приймаючій стороні чорних списків. Як правило, можна не тільки придбати певну реалізаціію такої програми, але й взяти її в оренду у вигляді сервісу, доступного по підписці. 4.Формування тексту листів. На сьогоднішній день проста розсилка однакових (або майже однакових) тестових спам-повідомлень вратила свою ефективність. Такі листи будуть виявлені багаточисельними фільтрами, що працюють як на основі аналізу частотності (повторюваності) однакових повідомлень, так і на основі аналізу слів, що входять то тексту листа. Тому сьогодні спам-повідомлення індивідуальні, кожне наступне відрізняється від попередніх. Основні технології "індивідуалізації" спам-повідомлень такі: - Внесення в текст листа випадкових текстів, "шуму", невидимих текстів. На початок або в кінець листа спамер може помістити уривок з класичного тексту або просто випадковий набір слів. У HTML-повідомлення можна внести "невидимий" текст, тобто текст набраний дуже дрібним шрифтом або кольором, співпадаючим з кольором фону. Ці додавання утрудняють роботу нечітких сигнатур і статистичних методів. Як відповідна міра в спам-фільтрах, з'явився пошук цитат, стійкий до доповнень текстів, детальний розбір HTML і інші методи поглибленого аналізу вмісту листа. В багатьох випадках можна визначити сам факт використання "спамерського трюку" і классифікувати повідомлення як спам, не аналізуючи його текст в деталях. - Графічні листи. Рекламне повідомлення надходить користувачеві у вигляді графічного файлу - що вкрай ускладнює автоматичний аналіз. У вигляді відповідної міри в спам-фільтрах з'являються способи аналізу зображень, що виділяють з них текст. - Графічні листи, що змінюються. У графічне повідомлення внеситься "шум", що утруднить його аналіз фільтром. - Перефразовування текстів. Одне і те ж рекламне повідомлення складається в безлічі варіантів одного і того ж тексту. Кожен окремий лист виглядає як звичайний зв'язний текст і, лише маючи багато копій повідомлення, можна встановити факт перефразовування. Таким чином, ефективно настройти фільтри можна лише після аналізу, а значить і отримання великої частини розсилки. - Схожість з легальними листами. Спамери роблять інформацію в листах, що розсилаються, максимально схожою на легальне листування. В результаті велика частина спаму легко проходить через формальні фільтри. Ці методи підтримуються безпосередньо в програмах для розсилки, тому використання конкретного методу індивідуалізації повідомлень залежить від використаного програмного забезпечення. 5. Пошук клієнтів. Соціологічні дослідження показують, що основний спосіб пошуку клієнтів для спаму це ті ж самі рекламні розсилки (спам). Такі рекламні оголошення складають істотну долю всього спаму. Відзначимо, що так само рекламуються і інші відносно легальні сервіси, наприклад, програми для розсилки і бази даних E-mail адрес. 6.Розподіл праці. Як слідує із наведеного аналізу технологічного процесу підготовки та розсилки спаму, всі основні технологічні складові бізнесу спамерів можуть бути використані незалежно. Як наслідок, в даний час існують незалежні між собою "виробники": вірусів і троянських компонент, програм для розсилки та баз даних елекронних адрес. Ті ж спамери хто збирає з клієнтів гроші і здійснює розсилку - можуть просто орендувати необхідні їм сервіси, купувати бази даних, списки розсилаючих машин і використовувати їх. Таким чином, вхід на даний ринок є відносно дешевим. В той же час, очевидне розділення ринку на професіоналів які, як правило, володіють чимось своїм: базою даних адрес або програмою для розсилки або власним вірусом, і для яких спам є основним джерелом доходу та любителів, що намагаються заробити трохи грошей. Перспективи розвитку спам технологійЗнаючи вартість спаму-розсилки (приблизно $100 за 1000000 повідомлень) і кількість повідомлень, що розсилаються в світі (десятки мільярдів за один день), нескладно оцінити грошовий зворот на цьому ринку. Він складає сотні мільйонів доларів в рік. Як показує історія у індустрії з таким оборотом повинні з'являтися "компанії повного циклу", що здійснюють весь комплекс послуг "на високому професійному рівні". Єдиною перешкодою для цього є кримінальність спам-бізнесу - поширення троянських компонент є кримінальним злочином у більшості розвинених країнах, на жителів яких і спрямовані спам-розсилки. За збір персональних даних без відома користувача теж можна отримати покарання. З іншого боку, інтегрованість дає масу безперечних технологічних переваг. Тому поява подібних компаній ще справа найближчого майбутнього. Зазначимо, що в 2008 році на Україні відкрита перша карна справа по факту розсилки спаму. Попереджувальні заходи захисту від спамуНайнадійніший спосіб боротьби із спамом — не дозволити спамерам взнати електронну адресу. Це важке завдання, але деякі запобіжні засоби можна зробити. Перерахуємо їх: - Не слід публікувати свою адресу на загальнодоступних та популярних сайтах. - Якщо по якихось причинах адресу електронної пошти доводиться публікувати, її слід закодувати на зразок «u_s_e_r_(a) _d_o_m_a_i_n_._n_e_t». Спамери використовують спеціальні програми для сканування сайтів і збору поштових адрес, тому навіть таке маскування адреси може допомогти. Проте слід пам'ятати, що в найпростіших випадках «закодовану» адреса зможе розпізнати і програма. До того ж, це створює незручності не лише для спамерів, але і для звичайних користувачів. - Багато служб для нерозголошування адрес надають для зареєстрованих користувачів можливість відправити повідомлення по імені. Реальна адреса підставляється сервером з профілю користувача, залишаючись для інших користувачів невидимою. - Адресу можна представити у вигляді картинки. Існують онлайн-служби, що роблять це автоматично, крім того, можна це зробити в будь-якому графічному редакторові, або просто написати електронну адресу від руки і сфотографувати. - Не потрібно без повної гарантії не розголошування, реєструватися на інтернет-сайтах. Можна завести спеціальний ящик для таких випадків і не використовувати його для звичайної роботи. Існують навіть служби, що видають одноразові адреси спеціально для того, щоб вказувати їх в сумнівних випадках. Найвідоміша з них - mailinator.com. - Ніколи не слід відповідати на спам або переходити по посиланнях, що містяться в нім. Така дія підтвердить, що електронна адреса активно використовується, а значить призведе до збільшення кількості спаму. - Вибираючи адресу електронної пошти, слід, по можливості, використати довге і незручне для вгадування ім'я. Так, є менше 12 мільйонів імен, що складаються не більше ніж з 5 латинських букв. Навіть якщо додати цифри і символ підкреслення, кількість імен менша ніж 70 мільйонів. Спамер може відправити пошту на всі такі імена і відсіяти ті, з яких йому прийшла відповідь «адресата не існує». Таким чином, бажано, щоб ім'я було не коротшим 6 символів, а якщо в ньому немає цифр - не коротше 7 символів. Бажано також, щоб ім'я не було словом в будь-якій мові, включаючи поширені імена власні, а також записані латиницею російські слова. В цьому випадку адреса може бути вгадана шляхом перебору слів і комбінацій по словнику. - Можна час від часу міняти свою адресу. Одна, це пов'язано з очевидними труднощами: потрібно повідомити нову адресу людям, від яких хотілося б отримувати пошту. - Компанії часто не публікують свою адресу, замість цього, для зв'язку з користувачами, використовують CGI-сервіси. У всіх методик приховування адреси є принциповий недолік: вони створюють незручності не лише передбачуваним спамерам, але і реальним адресатам. До того ж, в багатьох випадках адресу опублікувати просто необхідно - наприклад, якщо це контактна адреса фірми. Технічні способи боротьби із спамомФільтрація спаму здійснюється виходячи з вищеперелічених ознак і особливостей електронних листів. Вона проводиться автоматично за допомогою спеціалізованих технічних засобів. Як правило, це програмні засоби, які виділяють спам із загального потоку повідомлень і забезпечують певні дії над ним (блокування, архівацію, додаткову обробку і т.п.). В даний час існує безліч різних технічних засобів боротьби із спамом. Вони розрізняються за технологіями, які застосовують для виділення спаму. Застосування тієї або іншої технології фільтрації спаму залежить від різних чинників, проте визначальним є те, в якому місці мережі застосовуються анти-спам фільтри. Перерахуємо місця розташування фільтрів: 1. Фільтрація на стороні провайдера; 2. Фільтрація на корпоративному сервері; 3. Фільтрація на стороні клієнта. Розглянемо фільтрацію спаму на стороні провайдера. Стрімко зростаюча кількість спаму вимушує крупні інтернет-сервіси упроваджувати нові технології фільтрації пошти. Посилюється боротьба із спамом на Hotmail, Yahoo! і MSN, які упроваджують нові технології фільтрації. У Рунеті запущений безкоштовний фільтр спаму Spamtest.ru. На найбільшому російському поштовому сервісі Mail.ru упроваджений "Антиспам Касперського", Yandex оголосив про запуск власного сервісу "Самооборона". Поштовий сервіс порталу KM.RU упровадив захист від спаму "Карантин". "Корбіна Телеком" оголосила про впровадження власного фільтру спаму, побудованого на безкоштовному програмному забезпеченні Spamassassin. Провайдери можуть фільтрувати спам для клієнтів, які тримають у них свої поштові скриньки. Звичайно це домашні користувачі, що використовують доступ по телефонній лінії, або користувачі виділених ліній. Серед них також є деяка кількість корпоративних користувачів. Це характерно тільки для компаній, у яких не створена власна поштова система, і вони тримають пошту виключно у провайдера. В деяких випадках це досить зручно і не вимагає великих витрат. Проте для компаній, у яких створена своя поштова система, такий спосіб фільтрації не застосовний з наступних причин:
Для фільтрації спаму провайдери використовують наступні методи фільтрації спаму: - З використанням RBL-сервісів (за поштовими адресами); - Розподілені методи виявлення спаму. Кожний із способів має свої переваги і недоліки. Розглянемо фільтрацію спаму з використанням сервісів RBL. Фільтрація по RBL-списках є найбільш стандартним методом виявлення спаму, що легко реалізовується. Тому цей метод зараз домінує серед провайдерів. Сервіси RBL (Realtime Blackhole List) були першим ефективним засобом боротьби із спамом. Ці сервіси влаштовані однаково – є списки поштових адрес відомих спамерів, адрес відкритих поштових пересилок (open relay), використовуваних спамерами епізодично або регулярно. Також є списки діапазонів адрес тих мереж, які не борються із спамерами або дуже до них ліберальні. Доступ до даних списків здійснюється в реальному часі по протоколу DNS. Поштові сервери, використовуючи RBL, у момент прийому чергового повідомлення запрошують сервіс (або декілька RBL-сервісів) про те, чи є поштова адреса відправника листа "поганою". Тоді на підставі відповіді RBL або приймають, або відкидають лист. Простота ідеї має і очевидний недолік – повідомлення приймається або відкидається тільки на підставі адреси посилаючої сторони (користувача або іншого поштового сервера). В результаті, якщо якийсь поштовий сервер потрапив в RBL-список, то вся пошта (як спам, так і "не спам") з цього сервера вже прийматися не буде. А це не завжди "погані" сервери. У ці списки можуть бути помилково внесені і "хороші" сервери, наприклад, дружніх Вам провайдерів. RBL-сервіси в даний час широко використовуються інтернет-провайдерами, поштовими службами і організаціями. У багатьох випадках якість RBL оцінюється по єдиному параметру – кількості спаму, який проходить через поштовий сервер. Якщо кількість спаму вдається зменшити, даний RBL-сервіс вважається "хорошим". В той же час є і інша, не менш важлива характеристика – кількість "нормальних" листів, які не потрапили до одержувачів. Тут йдеться про проблему помилкових спрацьовувань. Помилковим спрацьовуванням (False Positive) прийнято вважати той випадок, коли "нормальний" лист (яке одержувач не порахував би спамом) до одержувача не дійшов. Сам одержувач про це зазвичай не дізнається, або дізнається по інших каналах зв'язку, тому проблема у багатьох випадках залишається непоміченою. В результаті проведених досліджень в мережі Рунета було встановлено, що відсоток помилкових спрацьовувань при фільтрації спаму з використанням RBL-списків в середньому складає 2,1%. Іншими словами, середньостатистичний користувач (який активно використовує електронну пошту в бізнес-процесах) втратив би кожен 40-60-й лист, що приблизно складає одно-два важливих листи в день. При цьому анти-спам засоби, що використовують RBL-списки, здатні фільтрувати не більше 30-40% спаму. А це говорить про те, що цей метод фільтрації в даний час не є ефективним засобом боротьби із спамом. Розглянемо розподілені методи виявлення спаму. Ці методи використовують в основному провайдери, але тільки великі, оскільки аналіз і ухвалення рішення здійснюється на основі інформації, що отримується з крупних поштових систем з мільйонами користувачів. Сенс розподілених методів виявлення спаму полягає в зборі даних про спам-пошту з максимально можливої кількості точок мережі. Ці дані обробляються і робляться доступними для всіх зацікавлених учасників інформаційного обміну в мережі. В даний час реалізовані наступні способи збору даних про розсилки спаму:
На підставі зібраних даних, які виглядають як "такий-то лист прийнятий в світі стільки-то раз", або "на такий-то лист поскаржилися стільки-то раз", будуються списки масових на даний момент часу розсилок, які стають доступними учасникам системи в реальному часі. Поштові системи, прийнявши та проаналізувавши лист, або класифікують його як спам, або передають одержувачу. До недоліків розподілених методів фільтрації спаму відноситься, перш за все, можливість компрометації даних систем. Як приклад можна привести випадок, коли до рук спамерів потрапляє частина списків "пасток". В результаті вони "завалюють" пастки легітимною поштою, що приводить до збільшення кількості помилкових спрацьовувань. Зниження якості роботи системи, як правило, відбувається у випадках, коли спам в ці "пастки" перестає поступати. Якість роботи систем з голосуванням користувачів безпосередньо залежить від активності користувачів. Впливати на таку активність практично неможливо, а скомпрометувати систему легко. Достатньо спамерам стати голосуючими учасниками і голосувати "проти" легітимних розсилок. Крім того, серйозною проблемою для описаних методів детектування масових розсилок є унікальність кожного окремо узятого спам-повідомлення – кожен сучасний спамерський лист існує у величезній кількості варіантів з незначними відмінностями в тексті. На сьогоднішній день жодна з розподілених систем повністю вирішити дану проблему не здатна. Друга проблема пов'язана з помилковими визначеннями легальних розсилок як спаму. Ця проблема характерна як для методів, що аналізують всю пошту, так і для систем з голосуванням користувачів. В даний час більшість публічних поштових сервісів (Hotmail, Lycos, Mail.ru, Yandex) активно використовують ті або інші технічні засоби, що дозволяють відмітити факт масової розсилки на поштові скриньки, зареєстровані в системі. Даний спосіб розпізнавання спаму доступний тільки публічним поштовим службам з великою кількістю користувачів. Проте насправді він розпізнає не спам, а саме масові розсилки, зокрема санкціоновані користувачами (підписні). За наявними оцінками, штатні засоби фільтрації публічної пошти поки не зовсім ефективно справляються з своєю роботою. Ці системи дозволяють забезпечувати блокування тільки 50% спаму. Крім того, істотною проблемою до цих пір залишаються помилкові спрацьовування. Поштовий сервер провайдера характеризується великим потоком листів. На ньому можна забезпечити гарантовану продуктивність, так як поштовий сервер провайдера має постійний зв'язок з іншими серверами в мережі. Проте саме із-за масового характеру надходження пошти на стороні провайдера практично непридатні в чистому вигляді алгоритми, що здійснюють фільтрацію по смисловому вмісту тексту листа. У корпоративного клієнта абсолютно інша картина. Поштовий потік не такий масовий, як у провайдера. Крім того, неможливо або дуже дорого постійно "закачувати" масиви листів або IP "чорних дірок". Зате, дуже точно можна відрізнити чужі листи, вони завжди не схожі на ваші по сенсу: стиль одного користувача (групи користувачів) виявити нескладно. Корпоративному користувачеві необхідні системи, які мають можливість працювати з текстом листа і не просто визначати його вміст, а уміти відносити даний лист до певної категорії, призначеної для тієї або іншої групи користувачів. Саме алгоритми фільтрації, засновані на розборі і аналізі тексту, здатні сьогодні забезпечити ефективне визначення спаму. Вони мають можливість проводити гнучкішу фільтрацію і персоналізувати процес обробки пошти. Технічно здійснити рішення даної задачі можливо шляхом забезпечення фільтрації спаму на корпоративному сервері. Розглянемо фільтрацію спаму на корпоративному сервері. Більшість середніх і крупних компаній мають свій корпоративний поштовий сервер, встановлений в офісі компанії. Це означає, що засоби фільтрації провайдера в даному випадку непридатні. Для таких компаній існує категорія спеціального серверного програмного забезпечення – продуктів, що дозволяють фільтрувати спам на корпоративному поштовому сервері до розсилки його по робочих місцях співробітників. Такі поштові сервери, як Microsoft Exchange, Sendmail, Postfix, зазвичай включають засоби для забезпечення фільтрації змісту поштових повідомлень (спаму і вірусів). При цьому адміністраторові поштової системи пропонують самостійно створювати і настроювати правила фільтрації. Цей підхід працює не дуже добре, оскільки для фільтрації спаму потрібна гнучка політика, множина правил, які постійно оновлюються і корегуються. Сучасний ринок інформаційної безпеки пропонує багато продуктів, що забезпечують фільтрацію спаму на корпоративному сервері. Це можуть бути як комерційні, так і безкоштовні продукти, поширювані на умовах ліцензії GPL (General Public License) або подібних до неї. Найбільш відомий безкоштовний фільтр – Spamassassin. Це вельми ефективна програма, що фільтрує 90-95% спаму. Spamassassin поставляється з постійно оновлюваною базою правил фільтрації як за формальними ознаками листа, так і за змістом (ключовими словами). Недоліки цього фільтру полягають в тому, що він не має локальної прив'язки до мов і регіонів, орієнтуючись в основному на англомовний спам. Набір правил Spamassassin дуже великий і непрозорий (зрозуміти, яке правило спрацювало можна, але важко передбачити, до чого приведе його відміна), що дуже ускладнює настройку. Засоби фільтрації спаму, що реалізується на корпоративному сервері, пропонують багато виробників. Складність полягає у виборі продукту, який найбільш підходить для вирішення завдань контролю використання електронної пошти компанії. В даний час на ринку анти-спам систем представлено два основні типи фільтрів:
Ці обидва фільтри здійснюють контекстну фільтрацію електронної пошти, тобто зміст листа для них є одним з найважливіших критеріїв, по якому його можна віднести до спаму. Проте традиційні фільтри володіють досить серйозними недоліками. Неякісне розділення спаму і звичайних листів обумовлене деякою "однобокістю" традиційних фільтрів. При аналізі листів враховуються "погані" ознаки і не враховуються "хороші", характерні для ділового листування. Цих недоліків позбавлений метод побудови анти-спам фільтрів, запропонований американським програмістом і підприємцем Полом Гремом. Метод Грема дозволяє автоматично набудувати фільтри згідно особливостям індивідуального листування, а при обробці враховує ознаки як "поганих", так і "хороших" листів. Такий метод фільтрації спаму називають статистичним або імовірнісним. Статистичний метод ґрунтується на теорії ймовірності і використовує для фільтрації спаму статистичний алгоритм Байеса. Кожному слову, що зустрічається в електронному листуванні, або тегу привласнюється два значення: вірогідність його наявності в спамі і вірогідність його присутності в листах, дозволених для проходження. Баланс цих двох значень і визначає вірогідність того, що лист є спамом. Як справедливо відмітив Пол Грем в своїй статті "A Plan for Spam", "...ахілесова п'ята спамерів – їх повідомлення. Вони можуть подолати будь-який бар'єр, який ви встановите... Але вони повинні доставити своє повідомлення, яким би воно не було. Якщо послане ними повідомлення із-за вимушеного застосування не зрозуміле для читача, то смислу від такої розсилки абсолютно немає. Читати між рядків покупець не буде. Отже, вони все-таки повинні написати в листі щось зрозуміле, що закликає нас до якоїсь дії..." Ось ця ознака спам-повідомлення і є основою для роботи фільтрів, заснованих на статистичних алгоритмах Байеса. Для обчислення вірогідності спаму використовуються таблиці вірогідності, створені в процесі навчання фільтра. А саме беруться як мінімум два списки слів різних категорій листів (наприклад, "дозволених" і "заборонених") і передаються на обробку програмі навчання. Вона обчислює частотні словники для кожної категорії повідомлень – скільки разів яке слово зустрічалося в листах цієї категорії (в даному випадку спаму). Коли словники заповнені, обчислення вірогідності приналежності конкретного нового листа до того або іншого типу проводиться по формулі Байеса для кожного слова цього нового листа. Підсумовуванням і нормалізацією вірогідності слів отримують вірогідність для всього листа. Як правило, вірогідність приналежності електронного листа до однієї з категорій на порядок вище, ніж до інших. До даної категорії і слід відносити повідомлення. Відразу після початкового "навчання" фільтра точність визначення спаму цим методом досягає значної величини – 97-99% і продовжує упевнено рухатися до 100% після проведення подальших корегувань фільтру. Корегування фільтру полягає в обробці випадків неправильної класифікації листів – фільтру указується, до якої категорії слід надалі відносити ці листи, і він додає слова з цих листів у відповідні таблиці вірогідності. Адміністраторові не доводиться вручну аналізувати лист і поповнювати на основі проведеного аналізу списки правил фільтрації, як це робиться в традиційних фільтрах. Досить додати лист в архів листів даної категорії, наново запустити процес "навчання" фільтру. Практично байесовський фільтр замінює всі ті лінгвістичні лабораторії, які здійснюють аналіз спаму, що знов поступає. Приведемо основні відмінності статистичної технології фільтрації від технології фільтрації на основі ознак, властивих спаму: 1. Особливість статистичної технології полягає в можливості індивідуальної автоматичної настройки фільтру. А це є важливою перевагою, оскільки різні люди або ж компанії використовують в електронному листуванні різну лексику. Настройка фільтру проводиться за наслідками статистичного аналізу наявного архіву електронної пошти або вибірки, отриманої за певний період часу. Такий аналіз дає можливість накопичити достатньо інформації для ефективної фільтрації електронної пошти; 2. І у тому, і в іншому випадку результатом оцінки є, так звана, "вага" листа. Проте при застосуванні методу з використанням ознак спаму "вага" листа обчислюється тільки на основі "поганих" ознак, що приводить до "звинувачувального ухилу" фільтру, і, як наслідок, з'являються помилкові спрацьовування; 3. У алгоритмі Байеса набори ознак визначаються не суб'єктивно, а в результаті статистичного аналізу реальних підбірок листів. Набори ознак, що виходять, виявляються вельми нетривіальними і ефективними. Наприклад, як "погана" ознака може з'явитися рядок "0xffffff" – яскраво червоний колір. А як "хороша" ознака – Ваш номер телефону. І дійсно, лист, що містить Ваші персональні дані, у будь-якому випадку слід прочитати. За наявними оцінками, статистичний метод боротьби із спамом є вельми ефективним. Так, в процесі випробування через фільтр було пропущено 8 000 листів, половина з яких була спамом. В результаті система не змогла розпізнати лише 0,5% спам-повідомлень, а кількість помилкових спрацьовувань фільтру виявилася нульовою. Найважливіша перевага байесовського фільтру полягає в тому, що він надійно виключає помилкові спрацьовування. Адже процес ухвалення рішення (відноситься лист до спаму чи ні) здійснюється відповідно до особливостей індивідуального листування, а при обробці враховуються ознаки як "поганих", так і "хороших" листів. Саме за рахунок балансу цих ознак і вдається звести до мінімуму кількість помилкових спрацьовувань фільтру. Іншою перевагою методу Байеса є можливість його використання для класифікації будь-яких текстів листа по будь-яких категоріях, і тому він має більш широке застосування, ніж тривіальна фільтрація спаму. Наприклад, для побудови політики використання електронної пошти, мова про яку піде в наступних розділах. Таким чином, в даний час найбільш ефективним і оптимальним для корпоративних користувачів є системи, засновані на статистичних (імовірнісних) методах фільтрації спаму. Сучасна статистика спамуНа сьогодні частка спаму в Рунеті складає від 70% до 80%. Мінімальне значення частки спаму (44,1%) було зафіксоване 4 січня 2006 року, максимальне (91%) - 26 листопада 2006 року. Більше всього спаму розсилається на адреси користувачів Рунета з Росії, США і Китаю. 2007 рік - рік "графічних" технологій в спамі. Cпамери продовжують маскувати спам- повідомлення під особисте листування, щоб примусити користувача уважно прочитати отримане повідомлення і відреагувати так, як потрібно спамеру (подзвонити по телефону, кликнути по посиланню і т.п.). Спам на різних мовах має відмінності:
Юридичні послуги і аудит - нова тематика в російськомовному спамі. Криміналізація спаму посилюється. Спамери Рунета експлуатують SMS-сервіси. За даними "Лабораторії Касперського", частка спаму складає не менше 70% від загального поштового трафіку (за винятком декількох днів новорічних свят, а також епізодичних одноденних спадів). Безумовно, це усереднені дані. На серверах безкоштовних поштових служб, які є улюбленими мішенями спамерів, частка спаму може бути і вище, а на окремих корпоративних поштових серверах - нижче. Але нижче 50% від всієї пошти частка спаму вже не опускається. Це високий відсоток, і як відзначають аналітики "Лабораторії Касперського", аналогічна картина спостерігається як в Рунеті, так і в західному сегменті Інтернету. Мінімальне значення частки спаму в Рунеті - 44,1% - було зафіксоване 4 січня 2006 року. Максимум склав 91% і був зафіксований 26 листопада 2006 року. В цілому графік пайового розподілу спаму в 2006 році виявився більш плавним, ніж в 2003-2005 роках - він практично не містить яскраво виражених підйомів і спадів тривалістю більше 1-2 дні. Єдиний помітний спад на графіку - це новорічні свята. Графіки спам-трафіку показано на рис.3.1. Картина пайового розподілу спаму в 2007 році наступна:
Проаналізуємо розмір спамових листів. Відповідна діаграма показана на рис. 3.2. І у спамі, і в легітимній пошті більше всього листів (близько 35% ) - це повідомлення, розмір яких становить від 1 до 5 КБ. Крім того, на діаграмі видно другий яскраво виражений пік (28,4%) - спам, розмір якого потрапляє в інтервал від 10 до 20 КБ. У легітимних листів такого піку немає. Велике число спамових листів, розмір яких від 10 до 20 КБ, зв'язане з розсилками "графічного" спаму. Розмір абсолютної більшості спамових листів (95,6%) потрапляє в інтервал від 5 до 40 КБ. У спамі значно менше, чим в легітимній пошті, як "легких" листів, розмір яких не перевищує 1 КБ (1% в спамі, 13,7% - в легітимній пошті), так і "важких" повідомлень, розмір яких перевищує 80 КБ (3,4% в спамі, 16,3% - в легітимній пошті). Сучасні спамерські технологіїПроаналізуємо основні технології генерації і розсилки спамерських повідомлень в 2006-2007роках. Для розсилки спамерських повідомлень в основному використовувалися керовані зловмисниками заражені персональні комп'ютери, що переважно знаходяться в домашньому використанні. Прийоми обходу антиспамерського програмного забезпечення, як і раніше, складаються з автоматичної генерації тексту за наперед підготовленим шаблоном. Використовуються засоби HTML для заховання від користувача спеціального тексту, призначеного для обходу спам-фільтрів, і розміщення рекламного тексту на картинках, вкладених в лист. На діаграмі, відображеній на рис.3.3 показаний розподіл заражених комп'ютерів, виявлених фахівцями "Лабораторії Касперського", по таких країнах як США, Китай, Росія, Германія, Великобританія, Франція. По числу виявлених так званих "зомбі-машин", з яких розсилався спам на адреси користувачів Рунета, Росія поступається США і Китаю. Можливо, це пов'язано з тим, що в Росії широкосмуговий доступ в Інтернет поки доступний тільки жителям великих міст. А спамерам невигідно використовувати для розсилки спаму домашні комп'ютери користувачів, що не мають в своєму розпорядженні "швидкого" Інтернету. Хоча в 2007 році не з'явилося принципово нових спамерськіх технологій, без новинок не обійшлося: спамери істотно удосконалили техніку розсилки спаму у вигляді графічних вкладень. Сама по собі ідея розміщувати текст спамерського послання на "картинці", а не у вигляді власного тексту, не нова. Технологія графічного спаму, що модифікується, була випробувана в 2003-2006 роках і тоді ж була фактично заморожена, в основному із-за браку обчислювальних ресурсів на генерацію різних картинок в ході однієї розсилки. Тоді спамери достатньо швидко повернулися до використання засобів мови HTML. У 2005-2006 роках спамери в основному прагнули обійти спам-фільтри за рахунок збільшення швидкості розсилки спаму. Проте в 2007 році велика частина антиспам-модулів стала реагувати на спам швидше, чим раніше. З цієї причини спамерам, які вже не мали можливості принципово збільшувати швидкість розсилок, довелося відроджувати і розвивати старі прийоми по унікальній зміні кожного поштового повідомлення. У 2007 році спамери знову зробили ставку на графіку. 2007 рік навіть називають роком "графічного" спаму. Найбільш успішними при використанні "графічного" спаму виявилися дві технології:
Окрім вдосконалення формату спам-розсилок, спамери протягом року все ж таки вели роботу над зменшенням часу окремої спам-розсилки. Новітні спамерські технології дозволяють розіслати сотні тисяч повідомлень всього за декілька десятків хвилин. Також спамери продовжили працювати з текстом, успішно маскуючи спам під особисті повідомлення. Уявлення про основні тематичні групи спамерських повідомлень дає діаграма, представлена на рис. 3.4. Лідируючі поз иції в російськомовному спамі займають наступні тематичні групи:
2007 рік показав, що в технологічному плані антиспам-розробники вже зуміли протиставити спамерам надійний захист. Але об'єм і частка спаму не скорочуються, і проблему спаму рано оголошувати закритою. Тенденція розвитку сьогоднішньої ситуації із спамом очевидна:
ФішингВ останні роки, серед спаму все частіше з'являється "фішинг" (phishing). Під цим терміном спочатку розуміли лише поштові розсилки, які виконують зловмисники від ім'я фінансових та торгівельних структур з метою отримання конфіденційних платіжних даних користувачів. В 2004 році об'єм таких повідомлень різко підскочив, кількість потерпілих досягла вражаючих масштабів. Тоді ділові співтовариства взялись за розробку заходів протидії. Але це не дозволило навіть уповільнити темпи зростання такої загрози. Сам термін "phishing" розшифровується як "phone fishing". Спочатку під цим терміном розумілося шахрайство з телефонними акаунтами AOL. Вперше термін "phishing" прозвучав на мюнхенській конференції Virus Bulletin Conference в 1998 році. Тут мова йшла про захищеність поштових сервісів AOL від троянських атак. Однак несподівано спеціалісти зустрілись з іншим кримінальним явищем, яке коротко можна описати так. Користувачі отримували листи від робітників техпідтримки AOL, в яких останні розповідали історії про збої у роботі обладнання чи системи управління базами данних, вибачалися та просили невідкладної допомоги. Користувачу пропонували негайно ввести пароль, при цьому залякували знищенням акаунту. У подальшому фішинг модифікувався тільки у технічному плані, а психологічна основа залишилась такою самою. руський Пізніше з крадіжок AOL-акаунтів шахраї перейшли на збір номерів кредитних карток та розповсюджували свою діяльність на якусь солідну фінансову установу. Так з’явилась така модифікація фішингу, як спуфінг. Від класичної схеми цей варіант відрізнявся тим, що у листі жертву просили перейти на сайт банку чи компанії для заповнення форми вводу ідентифікаційних даних, включаючи ім’я користувача та пароль. Ті, хто "клюнув" та кликнув, заходили на спеціальну веб-сторінку, яка повторює дизайн сайту оригінальної компанії, і там вводили данні. Сьогодні шахраї не просять користувача самому вбивати пароль і PIN-код у форми, а використовують трояни. Задача в такому випадку спрощується - достатньо заставити користувача перебратись на фішерський сайт і "підчепити" програму, яка самостійно знайде на вінчестері жертви все, що необхідно. Також сьогодні використовуються так звані кейлогери. Це є шпигунські утіліти, які відстежують натискання клавиш, загружають на компьютери жертв підставні сайти. В кінці 2004 року Websense кожний тиждень виявляла по парі нових кейлогерів і п’ятнадцять сайтів, що їх розповсюджували. А вже в середині 2005 року ці показники виросли до десятка і сотні відповідно. Ще одним прикладом фішингу є шахрайське використання мобільного зв’язку. При цьому користувач отримував SMS-повідомлення з текстом, в якому була спроба переконати користувача продиктувати коди активації для експрес-карток. Абонентам писали, що факт їх підключення до сервісу знайомств підтверджується та нагадували, що щоденна оплата становить декілька доларів. До повідомлення додавалось посилання на сайт сервісу, по якому користувачі переходили на фішерський сайт і замість очікуваного результату отримували троян. Атака здійснювалась з території Іспанії, розсилка проводилась на телефони Nokia 60. Згідно з даними організації, що займається безпекою, збитки, нанесені фішерами світовій економіці в 2003 році, складали $14 млрд., а вже у 2004 році - $44 млрд. В 2004 році фільтри компанії Symantec щотижня блокували до 9 млн. листів з фішинговим контентом. А через рік блокувалося вже 33 млн. листів. Організація APWG (Anti-Phishing Working Group) підрахувала, що число підставних сайтів у мережі Інтернет у другому півріччі 2004 року збільшилося у чотири рази і перевищило 2,5 тисячі. У Росії першими постраждали від фішингу клієнти "Сітібанку", які отримували листи з проханням уточнити дані своїх пластикових карток, які начебто загублені у результаті збою в банківській системі. При переході по посиланню, вказаному у повідомленні, клієнт попадав на сторінку, де йому пропонували ввести номер карти і PIN-код. У травні 2004 року банк розповсюдив заяву про свою непричетність до розсилок подібних повідомлень. До того часу фішерська діяльність, яка була направлена на клієнтів "Сітібанку", вже тривала три місяці. Президент банку пообіцяв, що при отриманні повідомлень про втрату грошей банк буде діяти в інтересах клієнта, оцінюючи кожний випадок в індивідуальному порядку. Хоча таку порядність зустрінеш не часто, оскільки фінансові транзакції з використанням PIN-коду не підлягають перегляду, і відповідальність за їх проведення цілком і повністю лежить на власнику картки. Але користувачі вважають захист від фішингу обов’язком бізнесу. Отже банкам і компаніям, які працюють в е-комерції, слід зайнятися розробкою додаткових заходів захисту від фальсифікації своїх онлайн-представництв. 96% участників проведенного в рамках дослідження опитування відмітили необхідність створення компаніями способу безпомилкової аутентифікації електронного листа і сайтів. У липні 2006 року була зафіксована рекордна кількість створених фішерами підставних сайтів - 14191. Причому на 1850 знайдених сайтах були відмічені спроби завантажити на комп’ютер користувача троян. Середній час життя такого сайту складав 5–7 діб. Але методи, за допомогою яких користувачі залучаються на фальшиві ресурси, вже змінюються. Тепер жертву вже не обов’язково переконувати робити ті чи інші дії, а достатньо просто інфікувати комп’ютер. У результаті такого інфікування користувач, якій намагається зайти на реальний сайт банку чи іншого сервісу, автоматично перенаправляється на підробну сторінку. Для того, щоб користувач попадав на реально існуючий сайт, шахраї створили так званий "розумний редиректор". Для цього створюється мережа підставних ресурсів, розміщених на різних серверах. URL-адреса сайту, яка вказується фішерами у листах, направляє жертву на єдиний сервер, де встановлений редирект-скрипт. Редирект-скрипт перевіряє доступність фальшивих сайтів та перенаправляє користувача на один з реально існуючих. На конференції HITB (Hack In The Box Security Conference) 2007 року говорилося про ще одну загрозу, яка може доставити багато неприємностей фінансовим компаніям. Мова йде про поступовий перехід банків та інших організацій на VoIP-зв’язок. Проникнувши у банківські мережі шахраї зможуть працювати з телефонними каналами. В результаті клієнт, подзвонивши у свій банк, може стати жертвою фішингу, оскільки лінія вже буде контролюватися хакерами. Користувача попросять повідомити ідентифікаційні дані для зв’язку з клієнтською службою підтримки, а після цього зловмисники зможуть отримати доступ до банківського рахунку. Сьогодні шахраї експлуатують в першу чергу людську психологію. Але вже другий рік активно розробляються технічні засоби безпеки, перш за все плагіни для популярних браузерів. Для більшості з них плагіни необхідно скачувати додатково. Така можливість вже реалізована у стандартній комплектації браузерів Microsoft Internet Explorer 7.0 та Opera 8.0. У 2007 році представники компанії Mozilla, офіційно пообіцяли, що у складі наступної версії браузеру Firefox з'єявиться антифішинговий модуль. Відповідну захисну систему розробники Firefox розробляють у співробітництві з Google. Суть захисту полягає в блокуванні сайтів, які попали у так звані "чорні списки" шахрайських ресурсів. Але існуючих методів боротьби з фішингом явно недостатньо. Наступним кроком захисту може стати система генерації одноразових паролей для інтернет-доступу до банківських рахунків і акаунтів в платіжних системах. А також це може бути застосування додаткових рівнів захисту за рахунок комбінації вводу пароля з використанням апаратного USB-ключа та мобільного підтвердження (відправка SMS з телефону клієнта). Ці методи вже використовуються деякими банками. Аналітичні компанії, які спеціалізуються на дослідженнях комп’ютерної злочинності, констатують, що мережевий кримінал змінився не тільки кількісно, але й якісно. Це пов’язане не тільки з фішингом чи з іншим видом віднімання грошей у користувачів, а ще й з розповсюдженням бездротового доступу та мобільних пристроїв. Онлайн-кримінал перетворився в організований бізнес з інноваціями, інвестиціями, транснаціональною структурою. З повагою ІЦ “KURSOVIKS”! |