Электронный журнал "Спамтест". Все о борьбе со спамом

Электронный журнал "Спамтест" No. 35 в этом номере: Новости Mydoom сражается с пользователями интернета Ответы на вопросы читателей Анонсы Новости Очередная провокация спамеров Спамеры, до последнего времени прикрывавшиеся спасительными лозунгами "мы не делаем ничего незаконного" и "даешь свободу расспространению информации" в январе очередной раз перешли грань закона и предприняли ряд атак на ведущие IT компании. Если сайт Microsoft подвергся DOS - атакам со стороны зараженных спамерскими вирусами компьютеров, то против компании "Ашманов и Партнеры" использовалась уже проверенная осенью 2003 года тактика - провокационная спамерская рассылка якобы от имени компании, предлагающая различные услуги и содержащая ссылки на ведущие сайты компании. По нашим оценкам, было разослано несколько крупных партий спама, в том числе и на английском языке, в которых предлагались различные услуги в области IT-технологий (от фильтрации собственно спама до продвижения сайтов в поисковых системах). Любопытно отметить некоторые последствия этой "медвежьей услуги". -На различные адреса компании поступило более 500 писем от недовольных получателей спама, как русскоязычных, так и англоязычных. -Несколько десятков возмущенных пользователей не поленилось найти телефоны компании и позвонить, чтобы высказать то, что цитировать здесь не представляется возможным -Пришло чуть меньше десятка ЗАКАЗОВ на те или иные услуги (всем заказчикам пришлось отказать, так как пользоваться результатами непрошенной рассылки мы не считаем возможным). -Большинство корреспондентов, в том числе западных, с пониманием отнеслось к нашим объяснениям, которые были опубликованы на сайтах компании на страницах, рассказывающих о наших услугах ( http://www.optimization.ru/, http://www.ashmanov.com/inet/serv/ ). Многие выражали слидарность, некоторые предлагали помощь. -Самый короткий "отлуп" был получен от соотечественника с текстом "ПНХ" - на самом деле коротко и по существу. -Самый подробный ответ был получен из Европы с комментариями по поводу стиля письма (спамеры написали его на корявом английском), рекомендациями по улучшению оного, маркетинговыми советами по выходу продукции и услуг на западный рынок и предложениями помощи в локализации продуктов. -Любопытны также различия в реакции наших и зарубежных "пострадавших". Если на русском языке в основном приходили ругательства и угрозы, то на английском около половины писем были с лаконичными просьбами удалить адрес из списка рассылки, некоторые авторы разъясняли, что "спам - это плохо и с ним надо бороться", были также предупреждения, что в случае повтора получатели будут пересылать копии писем провайдерам с просьбой "принять меры". Однако общий стиль и тональность англоязычных ответов разительно отличались от русскоязычных писем. Основным же выводом из событий последних недель стало понимание, что спамеры не брезгуют самыми грязными методами, прибегают к прямым нарушениям закона и кибер-терроризму. Обнаглевшие от безнаказанности, они бросают открытый вызов всем, кто противодействует их незаконной деятельности. Источник: www.ashmanov.com Системным администраторам всех стран предложили защитить свои серверы. Правительство США предупредило системных администраторов, чтобы они защищали свои серверы. Начиная с четверга Федеральная торговая комиссия (FTC) и ее аналоги в 26 других странах рассылают по email предупреждения десяткам тысяч людей, которых считают ответственными за серверы open relay и open proxy, используемые спамерами в качестве широковещательных узлов для массовой рассылки непрошеной почты. Эта акция говорит о том, что FTC, в мае прошлого года первый раз предупредившая операторов более чем 1000 серверов open relay, наращивает усилия по их закрытию. Новая кампания гораздо шире, сказал юрист FTC Дон Блументаль: "В прошлом году мы нацеливались в основном на open relays, а теперь еще и на open proxies". Open relay - это почтовый сервер, сконфигурированный таким образом, что любой желающий может использовать его в качестве отправной точки для отправки корреспонденции в любой адрес. До конца 90-х такие серверы были обычным явлением в Интернете. Но когда спамеры начали злоупотреблять ими, это стало проблемой. Open proxies работают аналогичным образом - часто это неправильно сконфигурированные веб-серверы - и позволяют рассылать спам анонимно. В разосланном по email предупреждении FTC "Secure Your Server" говорится: если получатель не предпримет мер, "сетевые каналы окажутся забиты трафиком, увеличатся затраты на администрирование, а интернет-провайдер может прекратить обслуживание". Серверы для рассылки взяты из существующих черных списков спамеров, таких как Open Relay Database и Open Proxy Database. Сообщения направляются владельцам групп интернет-адресов, занятых серверами open proxy или open relay. В среду Блументаль поместил сообщение о начале информационной кампании в популярный дискуссионный список рассылки spam-l. В некоторых ответах выражается подозрение, что непрошеная массовая рассылка FTC сама напоминает спам. "Это похоже на выброс спама", - говорится в одном из постингов. "Существует много разных определений спама, - сказал Блументаль в интервью в четверг. - Can-Spam Act, конечно же, направлен против коммерческой рассылки. Эту акцию мы с полным основанием считаем учебной. Будем надеяться, что она приведет к сокращению спама". В число других стран, участвующих в кампании, входят Великобритания, Канада, Австралия, Сингапур, Япония, Швейцария и Южная Корея. Источник: zdnet.ru Microsoft готовится к атаке Компьютерный вирус MyDoom вывел в воскресенье из строя веб-сайт небольшой софтверной фирмы SCO Group Inc., http://www.sco.com, завалив его потоком зараженных данных, сообщила SCO. Подобной атаки на этой неделе ожидает и крупнейший мировой разработчик программного обеспечения Microsoft Corp. В начале вирусной атаки SCO пыталась применить защиту, однако затем была вынуждена полностью свернуть функционирование сайта. "Вместо того, чтобы продолжать пытаться бороться, мы почувствовали, что более благоразумно вывести сайт из действия...", - сказал пресс-секретарь SCO Блейк Стоуэл. SCO Group Inc. судится с IBM по поводу пользования кодом доступа к операционной системе Linux. Компания навлекла на себя гнев многих пользователей Linux из-за заявлений о том, что в ОС Linux содержатся защищенные авторскими правами коды из ОС Unix. SCO и Microsoft предложили каждая по $250.000 за информацию, которая поможет поймать разработчика вирусной программы MyDoom. Microsoft заявила, что готовится к атаке разновидности этого "червя" под названием MyDoom.B. Эксперты предрекают атаку завтра. Скорость действия и разрушительная сила вируса в отношении сайта SCO удивила экспертов, хотя о других случаях выхода из строя или замедления работы систем в сети не сообщалось. Специалисты предупреждают, что вирус автоматически распространяется по миллионам электронных адресов во всем мире, представляя большую угрозу для компьютеров. "Учитывая это, людям следует не терять бдительности, осознавая, что вирус все еще распространяется", - сказал Винсент Галлото, вице-президент компании-разработчика антивирусного программного обеспечения Network Associates Inc. СТАНЕТ ЛИ ХУЖЕ? Другой вариант вируса MyDoom - MyDoom.A, известный также как Novarg и Shimgapi, дал о себе знать на прошлой неделе, начав распространяться через электронную почту в виде спама с вложенным в него приложением. Компьютер заражается после открытия этого приложения. Причиненный вирусом ущерб называется самым значительным с минувшего лета, когда в Интернете распространялись вирусы Blaster и SoBig. MyDoom был запрограммирован таким образом, чтобы проникнуть и незаметно остаться в компьютерах ничего не подозревающих пользователей, а уже оттуда предпринять атаку на сайт SCO. Атака вируса была назначена на 19.09 МСК в воскресенье. Однако из-за того, что на множестве компьютеров неверно установлено время, "инфицированные" машины начали выбрасывать опасные данные на SCO.com на несколько часов раньше, говорит Микко Хиппонен из финской компании-разработчика антивирусных программ F-Secure. "Со временем ситуация для SCO только ухудшится", - добавил он. По оценкам специалистов, MyDoom.A поразил более миллиона ПК. Версия MyDoom.B, также запрограммированная на поражение SCO, распространялась не столь быстро, как MyDoom.A. Эксперты советуют пользователям удалять подозрительные электронные сообщения с приложениями, приходящие от "Mail Administrator" и других адресатов, которые выглядят как официальные. Источник: dn.kiev.ua ФБР обнаружило авторов червя Крупнейший червь в истории Интернета атаковал вчера вечером сайты компаний Microsoft и SCO. Если службы Microsoft медленно, но все же грузились, то адрес www.sco.com был недоступен. Крупнейший червь в истории Интернета наполовину задачу выполнил. Но похоже, что 250 тысяч долларов от SCO за поимку создателей червя так и не будут выплачены. ФБР нашло его авторов в главном офисе этой же компании. Microsoft назначил награду за информацию о вирусописателе - 500 тысяч долларов. Но это не помогло. Вчера сайт SCO был недоступен, а microsoft.com грузился дольше обычного. Кому выгодно распространение этой заразы? Существовала версия, что компьютерных червей создали сами борцы с вирусами. Антивирусная компания "Лаборатория Касперского" в ответ на это обвинение заявила, что даже если бы она этим занималась, у нее сейчас не было бы времени на разработку новых вирусов: раньше появлялось примерно 25 "зараз" в день, а теперь - 80! "В России и без нас хватает людей, которые пишут вирусы", - заявили представители лаборатории на пресс-конференции под названием "Компьютерный терроризм: как с ним бороться". Впрочем, вчера появилась информация о том, что ФБР задержало нескольких менеджеров компании SCO после обыска в головном офисе компании. По неофициальной информации, агенты, проанализировав географию распространения червя, вышли на источник заражения - программистов, работавших в SCO. Источник: www.gzt.ru Интернет-инженеры планируют уничтожить непрошенную рекламу Техническая команда, ответственная за развитие интернет-стандартов, работает в направлении обуздания бесконтрольных навязчивых рассылок непрошенной рекламы. Новые стандарты должны сделать возможным проверить, является ли адрес с которого пришла электронная почта, подлинным. Это должно предотвратить использование подложных адресов спамерами. Группа Исследования противоспамных технологий (ASRG) и подгруппа IRTF (Исследования интернет-технологий), в настоящее время работают над новыми техническими стандартами, которые могли бы перекрыть потоки спама. Объем спама вырос в течение прошлого года до критических размеров, больше чем половина всей электронной почты - спам. Широко распространенное использование фильтров и блокирующего ПО не сумело остановить повышающийся поток. Одна из ключевых проблем - то, что текущий стандарт, управляющий посылкой и получением электронной почты - SMTP, не включает никаких защитных технологий и не может распознать поддельных адресов электронной почты. "Корень проблемы - SMTP-протокол", - говорит Стив Линфорд, глава британской anti-spam группы Spamhaus. Главный объект надежд коалиции - исследуемое ASRG изменение системы доменных имен и DNS, чтобы идентифицировать компьютеры, действующие как серверы рассылки. DNS сервер обычно только связывает имя вебсайта с определенным IP адресом, что и позволяет нам запоминать названия, а не последовательности цифр. Но DNS сервер мог бы и проконтролировать IP адреса всех почтовых серверов, используемых каждым сайтом. Почтовые программы тогда могли бы безошибочно определить, откуда прибыла электронная почта. Источник: news.proext.com Новости подготовил Сергей Кошкин "Ашманов и Партнеры" Mydoom сражается с пользователями интернета Алекс Экслер www.exler.ru оригинал: hostinfo.ru Утром 27 января многим пользователям стало понятно, что в Интернете началась новая вирусная эпидемия. Все приметы были налицо - в почтовые ящики сыпалась всякая дрянь, перемежаемая ложными сообщениями от антивирусов, некоторые ящики вообще не отвечали или отвечали с большими задержками, до некоторых серверов вообще не удавалось достучаться. К сожалению, это уже стало печальной традицией - в реальном мире свирепствуют различные штаммы гриппа, в виртуальном мире свирепствуют различные штаммы продуктов жизнебездеятельности вирусописак. Мы сейчас не будем пылко рассуждать о том, что вообще движет вирусописаками, которые просто так, играючись, наносят ущерба на миллиарды долларов и создают проблемы миллионам людей во всем мире. Мы также не будем говорить о том, что нужно сделать с этими вирусописаками, если их удастся вычислить и поймать. Наша задача на данный момент - выяснить, что это за вирус и как он действует, кто от него может пострадать больше всего, а главное - что нужно сделать, для того чтобы затормозить распространение этой заразы, ибо проблем она доставляет массу. Итак, что это за вирус? Назвали данную модификацию MyDoom или Novarg. Для своего взрывообразного распространения по всему миру вирус использовал технологию, которая применялась в знаменитом почтовом черве Sobig.F - сначала вирус аккуратно внедрялся на компьютеры пользователей, подготавливая, так сказать, плацдарм для распространения, а когда количество зараженных компьютеров достигло определенной величины, по ним была разослана команда "Novarg" (давшая название вирусу), и началось мгновенное распространение этого вируса по всему миру. Обратите внимание на тот факт, что вы могли и не подозревать о том, что вирус уже сидит на вашем компьютере и готовится к атаке на Сеть, потому что до определенного момента он никак не давал о себе знать. Что делает вирус, попав на ваш компьютер и активизировавшись? Сначала он открывает "Блокнот" (Notepad), в котором показывается произвольный набор символов (если вы на своем компьютере видели что-то подобное, значит, ваш компьютер уже заражен). Затем создает некоторые выполняемые файлы и обеспечивает передачу управления себе при перезагрузке компьютера. Ну, а далее - схема довольно типичная: он сканирует файлы на вашем компьютере (расширения dbx, tbb, adb, pl, wab, txt, htm, sht, php, asp), выцепляет оттуда e-mail адреса и рассылает по ним и от их имени письма, к которым приложен замаскированный вирус. Достаточно на компьютере получателя открыть приложенный к письму файл - и машина получателя также будет заражена! Кроме того, вирус для распространения использует знаменитую файлообменную сеть KaZaA, копируя себя в публичный каталог для обмена файлами, маскируясь при этом под какую-нибудь из популярных программ. Как выглядят рассылаемые письма? По-разному. Идентифицировано примерно десять вариантов темы письма: test, hi, hello, Status и так далее. В теле письма содержится или случайный набор символов, или строка на английском языке, имитирующая служебное сообщение. К письму прикреплен файл с одним из следующих расширений: pif, scr, exe, cmd, bat, zip. Если попытаться открыть приложенный файл - компьютер заражается, и вирус получает управление. Кому приходят эти письма? Учитывая механизм распространения, письма приходят тем пользователям, чьи адреса в тех или иных видах содержатся на зараженных компьютерах (не только в адресной книге Outlook'а, кстати). Если ваш адрес (адреса) есть на многих компьютерах - значит, вас может ожидать довольно бурный поток все этой дряни. Если ваш адрес мало у кого есть, а кроме того, компьютеры этих пользователей не заражены - радуйтесь, вам может вообще ничего не прийти. Мне, например, в течение всего дня 27 января каждую минуту (!) приходило по 20-50 писем. Причем 50 писем тянули на полтора мегабайта, так что все это было достаточно весело. Кроме того, вирус подделывает исходящие адреса поля "От кого", подставляя туда все те же e-mail'ы, полученные с локального компьютера, поэтому несчастные получатели большого количества писем с вирусами также получают не меньшее количество ложных писем от всяких антивирусов, которые гордо сообщают, что, цитирую, "ваш компьютер, возможно, заражен вирусом". Как бороться с письмами? Сначала он открывает "Блокнот", в котором показывается произвольный набор символов Если их приходит мало, тогда у вас одна задача - немедленно их удалять и ни в коем случае не пытаться открыть приложенные файлы. А вот если писем приходит много, тогда перед вами встает вопрос, каким образом их фильтровать, чтобы можно было прочитать остальную корреспонденцию... К сожалению, фильтровать по теме письма эту дрянь нельзя - слишком общие слова, а уж "hi" и "hello" могут содержаться в каких угодно письмах. Можно, конечно, фильтровать по одной из трех строчек, содержащихся в теле письма, однако для этого письма все равно придется скачивать с сервера, а кроме того, часть писем приходит со случайным набором символов и подобной фильтрации не поддается. Таким образом, единственный, хотя и далеко не идеальный вариант фильтрации в том случае, когда эти письма идут мегатоннами - убивать все письма, размер которых больше 30 килобайт (письма с вирусами имеют размер где-то от 32 до 35 килобайт). Конечно, при этом можно грохнуть и какую-то нужную почту, однако лично у меня другого выхода вообще не было, потому что 50 писем в минуту, общим объемом в полтора мегабайта - это уж слишком... Что еще делать? К сожалению, фильтровать по теме письма вирус нельзя Прежде всего, абсолютно всем нужно немедленно скачать обновления к своему антивирусу и тут же прошерстить компьютер от первого до последнего файла. Потому что - еще раз подчеркиваю - даже если нет никаких внешних проявлений, ваш компьютер может быть заражен и спокойно рассылает от вас вирусы, используя собственный встроенный протокол SMTP. Если вас не волнуют окружающие - подумайте о себе: вирус, получивший управление на компьютере пользователя, открывает один из портов, через который можно получить почти полный доступ к этому компьютеру и использовать его для хищения конфиденциальной информации, запуска каких-то программ и так далее. А вам оно нужно? Поэтому провериться - обязательно. Не откладывая. Что происходит сейчас? В настоящий момент (на вечер 27 января) масштабы распространения этого бедствия создают огромную нагрузку на интернетовские каналы. В результате этого у многих крупных провайдеров и хостеров наблюдаются задержки в хождении почты и в быстроте доступа к определенным ресурсам и сервисам. Вирусы распространяются в невиданных количествах, иногда практически парализуя некоторые направления. Поэтому бессмысленно сейчас теребить провайдеров и требовать от них мгновенно решить возникшие проблемы - они этого сделать не в состоянии чисто физически, потому что именно пользователи, чьи компьютеры заражены вирусом, забивают каналы. Хотя, конечно, провайдеры как могут стараются ограничить распространение троянов. Что будет дальше? Даже если нет никаких внешних проявлений, ваш компьютер может быть заражен Как обычно, в течение ближайших двух-трех дней вирус будет бушевать по полной программе, а потом, когда народ все-таки сподобится проверить компьютеры и вычистить заразу, начнет стихать. Обычно пик активности подобных вирусов приходится на первый день, на следующий день атаки потихоньку начинают спадать, дня через три активность падает на порядок, а где-то через неделю идут единичные всплески от наиболее тормозных пользователей, на компьютере которых вирус по-прежнему делает свое черное дело. Какие сделать выводы? Ничего сверхъестественного. Все то же самое: никогда не открывать выполняемые приложения, подозрительные письма тут же убивать на месте, не забывать скачивать обновления антивируса, компьютер шерстить антивирусом в хвост и гриву как можно чаще. Ну и плюс - обязательно устанавливать на компьютер файрволл! Но самое главное - действительно делать это, а не считать, что раз предупрежден - значит, вооружен. Тут предупреждения не помогут, тут надо действовать. Запомните, практически все известные вирусные эпидемии возникали почти исключительно из-за беспечности пользователей. Так что все в ваших руках. Ответы на вопросы читателей Вопрос: Хотел вам задать такой вопрос, возможно наивный: почему нельзя сделать Интернет полностью не анонимным? Ведь тогда решаться многие проблемы (спам, распространение вирусов). Объясните пожалуйста, какие есть проблемы, почему нельзя так сделать? Ответ: Видимо, у многих людей есть желание (и причины) скрываться за никами. Возможно, именно благодаря анонимности и чуть большей свободе, чем в реальной жизни, Интернет и стал так популярен. Многие не хотели бы превратить его в слепок нашей обычной жизни с засильем бюрократии и тотальным контролем. Не хотелось бы заставлять всех получать интернет-паспорта, интернет-прописку, превратить Интернет в место, где без штампа человек будет считаться неполноценным. Вы не представились и скрываетесь за ником - ведь на это есть какие-то причины? Они есть у многих. Свобода - одно из важных преимуществ Интернета, жаль только, что некоторыми это воспринимается как возможность творить беспредел (рассылать спам, вирусы, заниматься мошенничеством). Уверены, мы научимся с этим бороться, не прибегая к "поголовной переписи" интернет-населения со снятием отпечатков пальцев и сетчатки глаза. С уважением, Сергей Кошкин. Вопрос: Добрый день! Давно читаю Вашу рассылку и всё не могу понять: с чем Вы боретесь? А реклама на телевидении Вас не раздражает? А щиты на улицах, которые портят вид города? А реклама в газетах, которая занимает 50% печатной площади? Всё это никто из нас не заказывал, поэтому тоже можно считать спамом. Вы скажете - Закон о рекламе, но там нет ни одного слова о спаме. К тому же Конституция даёт право любому человеку распространять информацию любыми доступными средствами. Вы боретесь против Основного закона? Как журналист, могу с полной ответственностью заявить - за этой борьбой стоит заказ. Заказ от воротил большого рекламного бизнеса, которые не могут прибрать к рукам этот вид малобюджетной рекламы (вот правильное название этих электронных рассылок). Я знаю, что говорю, ибо подробно занимался этой проблемой и нарыл таких фактов, от которых становится не по себе. Уверен, что и за вашей "борьбой" стоит хорошо оплачиваемый заказ. Если бы это было не так, то вас больше волновали проблемы действительно серьёзные: пьянство, наркомания, коррупция, проституция, старики и дети, которые никому не нужны. Извините за резкий тон. Всего доброго. Удачи в борьбе с ветряными мельницами. Александр. Ответ: Александр, давайте отвечу по порядку: а) С чем мы боремся? Очень просто - с переполнением наших почтовых ящиков незапрошенными письмами. Это всем неприятно, мешает, отнимает время и силы. Что тут непонятного? б) Почему мы не боремся с рекламой на телевидении? Потому что мы\ работаем в Интернете, занимаемся интернет-технологиями и боремся за чистоту своей среды обитания. Если Вы, Александр, имеете возможность и рычаги для борьбы с засильем рекламы на телевидении и в почтовых ящиках - пожалуйста, сделайте это, мы будем очень благодарны. У нас самих такой возможности нет. в) Есть заказ на борьбу со спамом? Вероятно, вы более информированы, чем мы. Если действительно на нашу деятельность есть заказ, скажите нам, где мы могли бы получить деньги? Кроме шуток: цинизм вида "да там всё куплено, да все преследуют свои шкурные интересы" - слишком дешёвое средство делать "проницательные" высказывания. А если я буду комментировать Ваше письмо в духе того, что вы спамер или вам спамеры заплатили за защиту их интересов? Кому полезен такой уровень дискуссии? Не знаю, чего там на самом хотят воротилы рекламного бизнеса, но объём рынка спама в России около 3 миллионов долларов (по очень оптимистичной оценке). Объём рекламного рынка РФ - миллиарды долларов. Разница минимум на три порядка! Кому он нужен, этот спам - уж точно не рекламным воротилам. Они даже баннерной рекламой не интересуются - объёмы малы. Так что вряд ли тут есть экономическая почва для заговора, хотя без него, конечно, не так интересно. г) Почему мы не занимаемся бездомными детьми или проституцией? Ну как вы себе это представляете - бросить свою технологическую профессию и начать бороться с проституцией? По-моему, это у Вас был риторический вопрос. Вообще, полемический приём эскалации и доведения до абсурда "а, ты поднял бумажку на улице, чистюля нашёлся, так пойди вымой мне подъезд" - не для серьёзной дискуссии. Короче говоря, мы - электронные мусорщики, вот мы и боремся с электронным мусором, а улучшением нравов людей и уничтожением социального неравенства каждый из нас занимается в свободное от работы время, по мере сил и желания. С уважением, Игорь Ашманов. Анонсы: В следующих номерах журнала СПАМТЕСТ: Новости Статьи Читатели пишут Ответы на вопросы читателей Анонсы Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) ЗАО "Ашманов и Партнеры", 2003