Непрошеные гости: методы борьбы со спамом

 | 14.04

"Телеком. Коммуникации и сети" 6/2008, с. 58

Технический прогресс в информационных технологиях настолько быстро внедряется в бизнес-процессы, что вчерашняя фантастика сегодня становится обыденным явлением. И в настоящее время крайне трудно представить себе успешный бизнес без сервисов электронной почты, систем обмена сообщениями, веб-приложений. Однако внедрение новых технологий не только облегчает нормальное течение бизнес-процессов любой компании, но и существенно усложняет работу служб безопасности предприятий. Ведь появление сервиса электронной почты предоставило в руки злоумышленника дешевое средство для электронной рекламы и легитимные каналы для доставки вредоносных кодов в атакуемую информационную систему. Работая с электронной почтой, мы постоянно сталкиваемся с огромным количеством нежелательных сообщений, противостоять которым не всегда по силам даже самым изощренным многоуровневым средствам защиты от спама.

Неприятная статистика

Рост спама за последнее время достиг невиданных размеров, и, по оценкам разных аналитических компаний, составляет от 70 до 90 % всей электронной корреспонденции. Только на протяжении сентября-октября 2007 года его объем увеличился на 59 %, что уже приводит к существенной перегрузке почтовых серверов, захламлению даже широкополосных каналов связи, а совокупные прямые потери оцениваются в 39 млрд евро в мировом масштабе. В частности, по данным исследования Японской Ассоциации передачи информации, только японским компаниям спам обходится в более чем в $7 млрд США в год. Ситуация в данной области признана настолько серьезной, что к ее решению подключились не только отдельные компании, но и государственные и международные организации. Например, в Украине на сегодня финансовые потери от спама на одного работающего с электронной почтой уже достигли $20 в месяц, и эта цифра постоянно растет. При отсутствии почтовых фильтров среднестатистический пользователь сети за прошлый год мог бы получить в общей сложности 36 тыс. спам-писем, или около 100 сообщений в день, что на 57 % больше, чем в 2006-м.

Вредоносное ПО — враг №1

Одним из наиболее опасных видов спама являются системы доставки вредоносного кода, который чаще всего применяется для создания бот-сетей с целью организации дальнейшей спам-рассылки. К сожалению, подобная активность часто оказывается абсолютно незаметной для конечных пользователей на протяжении длительного периода времени, однако может быть выявлена сторонними лицами (например, интернет-провайдерами) с последующим занесением отправителя в черный список, что приводит к блокированию всей его почты или полному отключению от Интернета. Впрочем, по информации независимых аналитических центров, примерно 0,81 % обнаруженных нежелательных сообщений содержат вредоносное ПО. В целом в данном секторе отмечается снижение активности, которое аналитики связывают прежде всего с тем, что эти письма выявляются на нескольких уровнях как антиспамовыми фильтрами, так и антивирусным ПО. Однако спамерские технологии тоже не стоят на месте.

Как спамеры обманывают антиспам-фильтры

Итак, какие же технологии используют спамеры для преодоления антиспам-фильтров? Прежде всего это намеренное искажение текста письма. В эту группу спамерских приемов входят различные варианты написания ключевых слов, по наличию которых часто производится фильтрация спам-писем. Часто в начало и конец спамерского письма добавляются отрывки случайным образом выбранных текстов или наборы символов, разделенные пробелами. Такие вставки затрудняют работу антиспам-фильтров, основанных на байесовских технологиях фильтрации спама.

Используются и возможности языка html: случайный текст оформляется очень мелким шрифтом либо цветом, совпадающим с цветом фона сообщения. Такая уловка помогает обходить антиспам-фильтры, не сильно снижая при этом читабельность письма. Кроме того, иногда в текст вставляются изображения, содержащие смысл письма. Собственно суть сообщения (название рекламируемого товара, скажем) отображается посредством вложенного в письмо рисунка. Его оформление часто производится уникальным для каждого получателя стилем, что затрудняет распознание такого типа спама.

Также в последнее время весьма активно применяется техника обхода фильтров путем рассылки спама почтовыми вложениями в форматах, которые не анализируются антиспам-фильтрами, например спам в PDF-документах, в электронных таблицах и даже аудиоспам.

Спаму — бой!

По своему разнообразию технические методы борьбы со спамом не уступают ему самому, потому в рамках данной статьи мы рассмотрим только наиболее распространенные современные методы.

1. Метод составления черных списков, куда заносятся IP-адреса компьютеров, о которых известно, что с них производится рассылка спама. Основными недостатками этой технологии являются необходимость частого обновления списков на клиентском компьютере и довольно высокая вероятность ошибочного занесения легитимных отправителей в такие списки. Например, в ноябре 2006 года был случай, когда в черный список попала вся доменная зона .RU. К тому же спамеры находят новые машины для рассылки быстрее, чем их успевают заносить в списки. Сходный с предыдущим метод составления «серых списков» в которые заносятся все непроверенные почтовые сервера. Его недостаток в том, что может привести к значительной задержке в доставке писем.

2. Статистические фильтры Байеса. Для эффективной работы этих фильтров их необходимо «обучить» на вручную отсортированной почте. Эта процедура занимает достаточно много времени и в то же время не гарантирует отсеивания всех спамерских писем. После «обучения» на достаточно большой выборке удается отсечь до 95—97 % спама. Метод хорошо работает только с сообщениями в виде простого текста или html. Для распознавания текста на изображениях требуются дополнительные системы. Кроме того, в последнее время участились случаи рассылок бессмысленных писем, то есть писем, не содержащих рекламы и не приносящих непосредственного дохода отправителю. Единственная их цель — порождение сбоев в работе обучаемых антиспам-фильтров.

3. Использование онлайн-сервисов. Идея состоит в том, что система сканирования встраивается в цепочку доставки почтовых сообщений и осуществляет проверку всей проходящей корреспонденции клиента до того, как вирусы и спам попадут на почтовый сервер клиента.

4. Сбор данных о рассылках. Можно использовать несколько методов для определения факта рассылки: прием спама в специальные «ловушки», голосование пользователей — клиент, получивший спам, информирует об этом систему сбора данных, предоставляя образец спама. Эта информация может использоваться для «обучения» фильтров или для занесения адресов в черные списки.

Впрочем, ни один из перечисленных методов (да и ни один из ныне существующих) не дает 100 % гарантии фильтрации нежелательных сообщений. Большинство специалистов не видят иного выхода из сложившейся ситуации, кроме изменения стандартов электронной почты.

Предполагаемые изменения стандартов

Итак, начнем со стандартов. Сегодня работа почты регламентируется несколькими десятками международных свободных документов IETF RFC, которые определяют все основные аспекты работы электронной почты — передачу сообщений от отправителя серверу, межсерверное взаимодействие и передачу от конечного сервера получателю. Разумеется, во время начала разработки большего числа этих документов спам во внимание не принимался (по причине практически полного его отсутствия в то время). И потому ставится под сомнение адекватность этих стандартов сегодняшним реалиям.

В разное время было предложено довольно много улучшений, изменений и надстроек над существующими стандартами (в первую очередь это касается стандартов SMTP и DNS). Все эти предложения можно разделить на две основные группы: предложения, которые более точно выявляют спамеров и блокируют их деятельность на корню (например, путем юридического преследования) и предложения, призванные сделать деятельность спамеров экономически невыгодной.

Первая группа предложений содержит в основном улучшения систем взаимной идентификации почтового сервера и клиента-отправителя сообщений с помощью криптографических методов. К ней можно отнести протоколы МХ-серверов (предположительная замена SMTP), Designated Mailers Protocol (система управления правами на отправку электронной почты) и др. Сюда же относится проект внедрения системы идентификации доменов DomainKeys, основанной на электронных цифровых подписях доменов и препятствующей подделке адреса отправителя сообщения.

Практически все предложения второй группы сводятся к введению некоторой оплаты услуг электронной почты — это превращает спамерский бизнес в нерентабельный. Предлагаются такие варианты, как обязательная оплата каждого сообщения (естественно, весьма дешево, порядка 0,1—0,2 цента за сообщение) либо оплата по желанию получателя, то есть если получатель считает письмо спамом, то он может нажать в своем почтовом клиенте на кнопку «Спам» и тем самым наложить определенную пеню на отправителя.

Разумеется, экономические методы не способны работать без методов идентификации отправителя, а «чистая» идентификация неэффективна без экономических и юридических санкций. Но все предложения по изменению стандартов объединяет то, что они являются довольно сложно реализуемыми и дорогостоящими.

Организационные методы борьбы

На данный момент в Украине отсутствуют какие-либо нормативные документы, регулирующие борьбу со спамом. Правила предоставления и получения телекоммуникационных услуг, утвержденные постановлением КМУ №720 за 2005 год, весьма условно запрещают заказывать, предлагать услуги по распространению и рассылке спама.

В отличии от нас во многих  странах данный процесс регулируется не только на законодательном уровне: создаются государственные программы по разработке методов борьбы с ним. Так, во Франции внедряется система, которая упрощает процесс уведомления пользователями интернет-провайдеров при получении через их сети нежелательных сообщений. Французское правительство также финансирует разработку бесплатного плагина к почтовым программам Outlook компании Microsoft и Thunderbird компании Mozilla Corp, посредством которой пользователи смогут сообщать о спаме.

Для повышения технической грамотности конечного пользователя и совершенствования законодательной базы для борьбы со спамом создан целый ряд организаций, в том числе StopSpamAlliance, в который входят Международный союз по телекоммуникациям, рабочая группа по телекоммуникациям и информационным технологиям Азиатско-Тихоокеанского экономического сотрудничества (APEC), Международный альянс London Action Plan и другие известные сообщества.

Таким образом, борьба со спамом только началась и ее исход во многом зависит не только и не столько от технологий, сколько от умения применить комплексные меры противодействия ему — от организационных мер до эффективных программно-аппаратных решений.

Центр технической поддержки «Доктор Веб»

Robo User
Robo User
Web-droid editor