Электронный журнал "Спамтест". Все о борьбе со спамом

Электронный журнал "Спамтест" No. 84 в этом номере: Новости Спам - статистика за период 10 - 23 января 2005 г. Спам 2004: аналитический отчет. Часть 2. Игорь Ашманов, Анна Власова, Алексей Тутубалин "Ашманов и Партнеры" Новости В России зарегистрирован первый случай заражения мобильного телефона 14.01.2005 "Лаборатория Касперского" сообщает о первом в России случае заражения сетевым червем Cabir.a мобильного телефона, находящегося в непосредственной эксплуатации. В качестве первого российского носителя сетевого червя выступил телефон Nokia 7610. Оригинальный вариант Cabir обнаружен в июне 2004 года. Поначалу сетевой червь сочли концептуальным, однако он уверенно распространяется по всему миру, инфицируя мобильные телефоны под управлением операционной системы Symbian OS. Проникновение Cabir на мобильные телефоны уже было зарегистрировано на Филиппинах, в Сингапуре, Арабских Эмиратах, Китае, Индии, Финляндии, Турции и Вьетнаме. Россия стала девятым государством, на территории которого зафиксировано заражение Cabir.a в реальных условиях. Анализ содержащейся в мобильном телефоне информации показал, что вредоносный код полностью идентичен оригинальному варианту Cabir. Червь представляет собой файла формата SIS, caribe.sis. Размер файла - 15092 байт (или 15104 байт). При запуске червь выводит на экран сообщение "Caribe" (или "Caribe - VZ/29a") и затем инсталлирует себя в различные каталоги. При каждом включении зараженного телефона червь получает управление и начинает сканировать список активных Bluetooth-соединений. Затем червь выбирает первое доступное соединение из списка и пытается передать туда свой основной файл "caribe.sis". Червь не содержит никакой побочной функциональности, кроме саморазмножения. Однако зараженный телефон может работать нестабильно из-за постоянного наличия червя в памяти и его попыток сканирования активных Bluetooth-устройств. "Лаборатория Касперского" рекомендует пользователям мобильных телефонов, функционирующих на платформе Symbian OS, не использовать систему передачи данных bluetooth в режиме "видимости для всех" и не принимать файлы от незнакомых отправителей. "Лаборатория Касперского" разработала специальную утилиту для поиска и удаления Cabir.a с зараженного мобильного устройства. Источник: "Лаборатория Касперского" Началось бета-тестирование Kaspersky Guard@Net 5.0 17.01.2004 17 января "Лаборатория Касперского" объявила о начале бета-тестирования Kaspersky Guard@Net 5.0 - первого программного комплекса, предназначенного для организации системы всесторонней защиты корпоративной сети вне зависимости от ее масштаба. Новая разработка компании базируется на технологии ASTARO Security Linux, созданной ASTARO AG, известным разработчиком решений в области IT-безопасности. Продукт позволяет создать целостную и надежную систему сетевой безопасности, способную защитить корпоративную сеть от всех современных видов электронных угроз и обеспечить контроль над доступом пользователей к ресурсам Интернета. Каждый из компонентов нового решения "Лаборатории Касперского" обеспечивает надежную защиту от определенного типа вредоносной либо нежелательной сетевой активности. Все элементы Kaspersky Guard@Net 5.0 объединены при помощи единого механизма управления. В Kaspersky Guard@Net 5.0 интегрирована система защиты от спама, основанная на уникальной технологии Спамтест и использующая все ее преимущества. Надежную защиту от спама обеспечивает многоуровневая система анализа почтового трафика, включающая, в том числе, интеллектуальную систему анализа содержания исследуемой корреспонденции, анализ графических элементов писем и сравнение исследуемого письма с широким набором лексических сигнатур - образцов спамерских писем. Антивирусная составляющая Kaspersky Guard@Net 5.0 охватывает все каналы информационного взаимодействия заказчика с внешней средой: производится антивирусная проверка трафика, поступающего в сеть по протоколам HTTP и FTP, а также входящей и исходящей электронной корреспонденции, проходящей по протоколам SMTP и POP3. Проверяются все элементы электронных писем, включая вложения. Уникальная технология сканирования позволяет обнаруживать вирусы в архивах более 700 наиболее распространенных форматов. Еще один элемент Kaspersky Guard@Net 5.0 - межсетевой экран, который предоставит полный контроль над процессом обмена данными между корпоративной сетью заказчика и Интернетом, позволяя блокировать любые попытки несанкционированного проникновения в сеть. Помимо этого, в систему защиты сети внедрен специальный элемент, который способен выявить и блокировать более 1.500 различных типов сетевых атак, попыток использования уязвимостей программных приложений и DoS-атак. В состав программного комплекса входит также специальная система контроля над доступом пользователей к ресурсам Интернета. Она базируется на методике определения прав доступа пользователей к определенным ресурсам Сети на основе заданных в соответствующем реестре категорий веб-ресурсов. Кроме того, Kaspersky Guard@Net 5.0 позволяет объединить территориально удаленные подразделения бизнес-заказчика в надежную, защищенную сеть на базе технологии VPN. Источник: "Лаборатория Касперского" "Би Лайн" начал тестирование почтового фильтра 19.01.2005 Оператор мобильной связи "Вымпелком" (торговая марка "Би Лайн GSM") запустил в опытно-коммерческую эксплуатацию систему передачи почтовых сообщений с фильтрацией спама и защитой от вирусов. Система предназначена для обработки исходящей электронной почтовой корреспонденции пользователей услуг передачи данных "Мобильный GPRS-интернет" и WLAN, а также для блокировки рассылки абонентами компании спамерских и инфицированных компьютерными вирусами сообщений. Поскольку "Вымпелком" для отправки почтовой корреспонденции предоставляет своим абонентам только доступ к SMTP-серверу, без предоставления отдельных почтовых ящиков, фильтрации подвергаются лишь отправляемые пользователями письма. При этом в будущем планируется сделать фильтрацию не только для SMTP-сервера "Вымпелкома", но и для всех исходящих сообщений независимо от того, через какой сервер они отправляются. Механизм фильтрации спама базируется на основе антиспамерской системы "Спамтест" компании "Ашманов и Партнеры". Фильтр должен обеспечить обнаружение не менее 65% спамерских писем при уровне ложных срабатываний 0,001-0,005%. Защиту от вирусов осуществляет антивирусный комплект Kaspersky Antivirus for Unix mail servers от "Лаборатории Касперского". В настоящее время фильтрация осуществляется в отношении 50% пользователей "Би Лайн" по всей стране без привязки к каким-либо конкретным регионам. Для всех абонентов компании система будет введена после проведения апробации - примерно через месяц-полтора. Хотя, по информации Cnews, некоторые конкуренты "Би Лайн" отмечают, что в настоящий момент необходимость в подобной фильтрации отсутствует, а фильтры могут доставить абонентам дополнительные неудобства, другие сотовые операторы также работают над решением задачи борьбы со спамом. Так, МТС намерен запустить антиспамерскую систему во втором квартале этого года, а московский "Скайлинк" уже проверяет исходящую почту на спам. Источник: CNews Выпущена новая версия Spamtest 2.1 20.01.2005 Компания "Ашманов и Партнеры" выпустила версию 2.1 фильтра спама Spamtest Server (корпоративная/ISP версия). Новая версия является эволюционной, каких-либо кардинальных изменений в ней нет: несколько улучшено качество распознавания спама; расширены возможности для написания собственных клиентских приложений; расширены возможности клиента Postfix; добавлены новые клиенты для Sendmail и CommunigatePro, предназначенные для случаев особо высоких нагрузок; ликвидирован ряд проблем совместимости версии 2.0. Разработчики просят пользователей обратить особое внимание на то, что версия 2.1 использует базы данных, отличные от версии 2.0. В случае стандартной установки, процедура апгрейда выполнит все изменения самостоятельно, но если пользователь получал обновления нестандартным способом, то потребуются изменения с его стороны. В основе программы лежит технология Spamtest, использующая сразу несколько способов детектирования спама (черные/белые списки, RBL, формальные правила, анализ содержания). Для распознавания спамерских писем по содержанию используется технология контентной фильтрации с обновляемыми через Интернет лингвистическими базами данных. Скачать Spamtest Server 2.1 для FreeBSD/Linux можно здесь. Получение пробной лицензии здесь (требуется регистрация). Источник: Ашманов и Партнеры Более 8% времени, проведенного в Сети, американцы тратят на спам 25.01.2005 Американцы тратят на спам более 8% времени, проведенного в Интернете. Таковы результаты исследования Стэнфордского института изучения общества - Stanford Institute for the Quantitative Study of Society (SIQSS). Исследователи выясняли, как используют Интернет жители США. Согласно результатам опроса 4839 респондентов в возрасте от 18 до 64 лет, 57% онлайн-времени американцы посвящают общению (email, чаты, ICQ и т.д.), 8,7% времени занимают игры, 6,5% тратится на бесцельный просмотр различных сайтов, 4,3% - на интернет-шоппинг. Среди прочих любопытных результатов есть и информация о том, сколько времени "съедает" у американцев спам. Выяснилось, что активный пользователь Интернета проводит в Сети в среднем три часа в день, при этом спам занимает около пяти минут из каждого часа, что составляет более 8% всего онлайн-времени. Исследователи подсчитали: при ежедневном использовании Интернета в течение 50 недель, на спам придется потратить время, соответствующее более чем 10 восьмичасовым рабочим дням. Учитывая результаты подсчетов и тот факт, что около трети онлайн-времени американцы используют в рабочих целях (пользуются Интернетом на работе), не удивителен и вывод, сделанный в отношении спама аналитиками из Стэнфорда: спам приводит к огромным потерям времени и оказывает серьезное влияние на производительность труда. Источник: SIQSS Принцип фильтрации спама Verizon вызывает критику 25.01.2005 С 22 декабря клиенты американского ISP Verizon лишены возможности получать корреспонденцию из Европы, Новой Зеландии и Китая: антиспамовые фильтры провайдера по умолчанию не пропускают практически все письма из этих регионов. В известность о принимаемых мерах провайдер своих клиентов не поставил. Представитель Verizon Дуглас Плэйс (Douglas Place) утверждает, что компания действует в рамках прежней антиспамовой политики и вовсе не блокирует целые регионы, а делает то же, что и большинство провайдеров: всего лишь не пропускает сообщения из тех сетей, откуда рассылается большое количество спама. При этом домены могут быть разблокированы в ответ на соответствующий запрос. По словам другого представителя Verizon, Джона Винсензо (John Vincenzo), подавляющее большинство из 4 миллионов dial-up- и ADSL-клиентов Verizon полностью одобряют ("are happy") политику провайдера в отношении фильтрации спама и вирусов. Однако с середины декабря клиенты Verizon жалуются на недоставку легитимной корреспонденции из Европы и Азии. The Register регулярно публикует письма пользователей Verizon, в которых они рассказывают о возникших в связи с этим проблемах. Жесткая и неразумная политика Verizon стала проблемой и для европейцев. The Register знает о ней не понаслышке, лишившись возможности рассылать новости своим подписчикам - клиентам Verizon. MessageLabs пришлось два дня ждать, пока Verizon внесет адреса европейских почтовых серверов компании в белые списки. Россия также попала в глобальный черный список американского провайдера. Джон Винсензо признал, что некоторые легитимные письма были блокированы, однако, как пишет The Register, не выказал никаких признаков того, что Verizon намерен пересмотреть свою политику. Представители Verizon утверждают, что информацию о якобы "географическом" принципе антиспамовой политики компании опубликовал один из сотрудников службы технической поддержки провайдера. За ошибочное понимание этой политики он поплатился работой, но пользователи уже были встревожены. Кроме того, поток жалоб может генерироваться и спамерами, которые пытаются таким образом добиться изменения жестких для себя условий. Это объяснение вызывает сомнения у некоторых технических экспертов. Так, Джон Левин (John R. Levine) предполагает, что Verizon решил блокировать почту от всех ISP соответствующих регионов, а затем внести в белые списки те адреса, легитимность которых подтвердят жалобы пользователей. Заметим, что если последовательно следовать "географическому" подходу в фильтрации спама, то заблокировать следовало бы прежде всего США, откуда в 2004 году рассылалась большая часть спама. Между тем, пострадавших клиентов Verizon приглашают присоединиться к коллективному иску, который подала на прошлой неделе против не в меру ретивого провайдера филадельфийская юридическая компания Kohn, Swift & Graf. Источник: The Register Источник: Washington Post Спам - статистика за период 10 - 23 января 2005 г. Ашманов и Партнеры Объем спама и тематические особенности Количество спама в Рунете постепенно увеличиливается, хотя по-прежнему остается ниже уровня конца 2004 года. Объем спама колеблется в пределах 65-70 %. В прошлом году произошел резкий рост писем, по сути, являющихся мошенничеством: попытки украсть логины, пароли или пин-коды (фишинг); просьбы о помощи в обналичке крупных сумм, заканчивающиеся тем, что мошенник получает доступ к счету доверчивого пользователя ("нигерийские" письма); поддельные уведомления о выигрыше в лотерею и т.п. Год назад доля подобных писем в общем массиве спама не превышала 2%. Сейчас она увеличилась на порядок. В связи с этим мы выделяем подобные письма в отдельную тематику "Мошенничество" (см. таблицу). Популярные тематики No Тематика Описание %% от общего объема Изменение за неделю 1 Разные товары и услуги Предложения других товаров и услуг 22% нет данных 2 Для взрослых Средства для повышения потенции (виагра и пр.), а также для улучшения физических возможностей при занятих сексом 20,5% -6,5% 3 Остальной спам   17% нет данных 4 Мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 11% нет данных 5 "Здоровый образ жизни" и "Медикаменты" Предложения сбросить лишний вес, улучшить состояние кожи, волос; приобрести правильную осанку, купить биологические добавки и т.п. Предложения приобрести лекарства в online 7% -10% 6 Образование Реклама семинаров, тренингов, курсов 7% +5% 7 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 7% -4% 8 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 3,5% -2,5% 9 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 2,5% +0,5% 10 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. менее 2% без изменений Самое массовое письмо недели, а также самое необычное предложение вы найдете на сайте Спамтест. Спам 2004: аналитический отчет Часть 2. Игорь Ашманов, Анна Власова, Алексей Тутубалин "Ашманов и Партнеры" Данные этого отчета можно без ограничений цитировать и использовать в публикациях при условии указания его названия и ссылки на ЗАО "Ашманов и Партнеры". Первая часть Отчета была опубликована в предыдущем номере Спамтест. Оглавление Часть 2. 6. Спам-машина образца 2004 года     6.1 Скоростной скачок     6.2 Технологическая цепочка рассылки спама     6.3 Сбор почтовых адресов для спамерских баз     6.4 Подготовка "точек рассылки"     6.5 Программное обеспечение для рассылки спама     6.6 Динамическое формирование текста писем         6.6.1 Внесение случайных текстов, "шума", невидимых текстов         6.6.2 Графические письма         6.6.3 Перефразировка текстов     6.7 Поиск клиентов     6.8 Разделение труда 7. Внедрение стандартов аутентификации пользователя в 2004 г.     7.1 Стандарты SPF/Sender ID от Microsoft     7.2 Стандарт DomainKeys от Yahoo 8. Прогнозы и перспективы на 2005 год 9. О компании "Ашманов и Партнеры" 6. Спам-машина образца 2004 года В 2004 году рассылка спама приобрела исключительные масштабы: ежесуточно в мире рассылаются десятки миллиардов спам-сообщений, но с точки зрения технологий революционных изменений по сравнению с предыдущим годом нет. Росли базы зараженных машин, совершенствовались методы варьирования текста писем. Существенным прорывом в спамерских технологиях стал только "скоростной скачок". 6.1. Скоростной скачок Если в 2003 году средняя скорость спамерской рассылки в несколько миллионов почтовых адресов составляла около суток, то сейчас это может быть несколько часов, а иногда и несколько десятков минут. Это означает, что спамеры стараются успеть разослать все до того, как рассылка будет замечена разработчиками фильтров, сигнатуры писем будут созданы и добавлены в базу данных фильтра, и у конечных пользователей пройдут обновления установленных фильтров. Обычно этот цикл обновлений фильтра занимает несколько часов, и "обрезать хвост" быстрой рассылке становится проблематичным. В результате скорость реакции фильтра становится главным критерием качества работы сервиса. В частности, фильтры Спамтест уже перешли на обновление раз в 20 минут. Кроме того, повысилась скорость реакции спамеров на работу антиспам-фильтров. Если рассылка спама проводится, например, на серверах Mail.ru, то спамеры в режиме реального времени контролируют степень прохождения своих тестовых писем сквозь фильтр в их тестовые ящики на Mail.ru и при необходимости быстро вносят коррективы в текст или технические параметры рассылки. 6.2. Технологическая цепочка рассылки спама Можно утверждать, что к концу 2004 года окончательно сформировалась технологическая цепочка спамерской рассылки, включающая несколько более или менее независимых этапов: Сбор (подбор) и верификация e-mail-адресов получателей. Подготовка "точек рассылки" - компьютеров, через которые будет рассылаться спам. Создание программного обеспечения для рассылки. Поиск клиентов. Создание рекламных объявлений для конкретной рассылки. Проведение рассылки. 6.3. Сбор почтовых адресов для спамерских баз Для сбора адресов используется: Подбор по словарям имен собственных, "красивых слов", частых сочетаний слово-цифра (jonh@, destroyer@, alex-2@). Метод аналогий - если существует Joe.User@hotmail.com, то вполне резонно поискать Joe.User@yahoo.com, @aol.com, @Paypal. Сканирование всех доступных источников информации - Web-сайтов, форумов, чатов, досок объявлений, Usenet News, баз данных Whois на сочетание слово1@слово2.слово3... (при этом, на конце такого сочетания должен быть домен верхнего уровня - .com, .ru, .info и так далее). Кража баз данных сервисов, провайдеров и т.п. Кража персональных данных с компьютеров пользователей посредством компьютерных вирусов и прочих вредоносных программ (уже существуют троянские программы, сканирующие диски пользователя на предмет обнаружения именно адресов электронной почты). Кража персональных данных пользователей - как адресных книг почтовых клиентов (большинство адресов в которых - действующие), так и других персональных данных, - получила распространение сравнительно недавно. К сожалению, массовые вирусные эпидемии последних лет показывают, что распространенность антивирусных средств в мире недостаточна, следовательно, распространенность данного способа сбора персональных данных будет расти. Полученные адреса нужно верифицировать, что может происходить такими способами: Пробная посылка сообщения. Как правило, это сообщения со случайным текстом, которые проходят через спам-фильтры. Анализируя ответ почтового сервера (почта принята или не принята), можно выяснить, действует ли каждый конкретный адрес из списка. Помещение в текст спам-сообщения уникальной ссылки на картинку, расположенную на WWW-сервере. При прочтении письма картинка будет загружена (во многих современных почтовых программах эта функция блокирована), а владелец сайта узнает о доступности адреса. Метод верифицирует не валидность адреса, а факт прочтения письма. Ссылка "отписаться" в спам-сообщении. Если получатель нажимает на эту гиперссылку, то никакой отписки не происходит, а его адрес помечается как валидный. Метод верифицирует активность получателя. 6.4. Подготовка "точек рассылки" На сегодняшний день профессиональная рассылка спама осуществляется тремя основными способами: Прямая рассылка с арендованных серверов. Использование "открытых релеев" и "открытых proxy" - почтовых сервисов, ошибочно сконфигурированных их владельцами таким образом, что через них можно рассылать спам. Скрытая установка на пользовательских компьютерах программного обеспечения, позволяющего несанкционированный доступ к ресурсам данного компьютера. Для рассылки с арендованных серверов необходимо иметь постоянно пополняемый набор этих серверов. Они достаточно быстро попадают в черные списки IP-адресов, соответственно, рассылать спам таким образом можно только на тех получателей, почтовые сервисы которых не используют черные списки. В любом случае, в виду введения законов о спаме и повсеместной расстановки фильтров, этот способ уходит в прошлое. Для использования открытых сервисов необходимо постоянно вести поиск таких сервисов - для этого пишутся и используются специальные программы, которые быстро сканируют большие участки адресного пространства Интернета. Наибольшую популярность на сегодняшний день имеет установка троянских компонент на компьютерах пользователей. Установка происходит следующими способами: А) Включение троянских компонент в пиратское программное обеспечение: модификация распространяемых программ, включение троянской компоненты в "генераторы ключей", "программы для обмана провайдеров" и т.п. Достаточно часто такие программы распространяются через файлообменные сети (eDonkey, Kazaa) либо через сайты с "варезом" (warez, пиратские копии программ). Б) Использование уязвимостей в программах просмотра Web-сайтов (в первую очередь, Microsoft Internet Explorer) - ряд версий таких программ содержит ошибки в проверке прав доступа, что позволяет разместить на WWW-сайте компоненты, которые будут незаметно для пользователя скачаны и выполнены на его компьютере, после чего на компьютер пользователя будет открыт удаленный доступ для злоумышленников. Такие программы распространяются, в основном, через посещаемые сайты (прежде всего, порнографического содержания). Летом 2004 года была замечена двухступенчатая схема - массовый взлом сайтов, работающих под управлением MS IIS, модификация страниц на этих сайтах с включением в них вредоносного кода, что привело к заражению компьютеров пользователей, посещавших эти ("хорошие") сайты. В) Использование компьютерных вирусов, прежде всего, распространяемых по каналам электронной почты и использующих уязвимости в сетевых сервисах Microsoft Windows: все крупные вирусные эпидемии, произошедшие за последний год, были произведены вирусами, которые могли быть использованы для удаленного доступа к пользовательскому компьютеру; интенсивность попыток использования уязвимостей Windows на сегодня просто чудовищна - подключенная к Интернету стандартная Windows XP без установленного firewall, антивируса и сервис-паков оказывается зараженной в течение нескольких десятков минут. 6.5. Программное обеспечение для рассылки спама Средняя спам-рассылка имеет на сегодня объем не менее нескольких миллионов сообщений. Эти сообщения требуется разослать за небольшое время, чтобы успеть произвести рассылку до перенастройки (или обновления базы данных) антиспам-фильтров. Быстрая рассылка большого количества почтовых сообщений является технологической проблемой, решение которой требует достаточно больших ресурсов. Как следствие, "на рынке" имеется относительно небольшое количество программ, удовлетворяющих требованиям спамеров-профессионалов. Эти программы на сегодняшний день: Умеют рассылать как через "открытые сервисы" (почтовые релеи, proxy), так и через зараженные пользовательские машины. Могут формировать динамический текст письма. Достаточно точно подделывают заголовки сообщений - распознавание спама по заголовкам становится нетривиальной задачей. Могут отслеживать валидность баз данных адресов. Могут отслеживать статус сообщения на каждый отдельный адрес - и перепосылать сообщение через другую "точку рассылки" в случае использования на приемной стороне черных списков. 6.6. Динамическое формирование текста писем На сегодняшний день простая рассылка одинаковых (или почти одинаковых) спам-сообщений является полностью неэффективной. Такие письма будут гарантированно обнаружены многочисленными фильтрами по критерию частотности (повторяемости одинаковых сообщений). Спам-сообщения сейчас - индивидуальны, каждое следующее отличается от предыдущих. Основные технологии "индивидуализации" сообщений таковы. 6.6.1. Внесение случайных текстов, "шума", невидимых текстов В начало или конец письма спамер может поместить отрывок из классического текста или просто случайный набор слов. В HTML-сообщение можно внести "невидимый" текст (очень мелким шрифтом или цветом, совпадающим с цветом фона). Эти добавления затрудняют работу нечетких сигнатур и статистических методов. В качестве ответной меры появился поиск цитат, устойчивый к дополнениям текстов, детальный разбор HTML и другие методы углубленного анализа содержания письма. Во многих случаях можно определить сам факт использования "спамерского трюка" и отклассифицировать сообщение как спам, не анализируя его текст в деталях. 6.6.2. Графические письма Рекламное сообщение можно прислать пользователю в виде графического файла, что крайне затруднит автоматический анализ. В качестве ответной меры появляются способы анализа изображений, выделяющие из них текст. Широко используются изменяющиеся графические письма. В графическое сообщение спамеры стараются внести "шум" (меняющийся фон, волнистый текст с переменной "волнистостью"), что затруднит его анализ фильтром. 6.6.3. Перефразировка текстов Одно и то же рекламное сообщение рассылается во множестве вариантов одного и того же текста (например, некоторые или все фрагменты письма заменяются на уместные синонимы). Каждое отдельное письмо выглядит как обычный связный текст и, только имея много копий сообщения, можно установить факт перефразировки. Таким образом, эффективно настроить спам-фильтры можно только после получения существенной части рассылки. 6.7. Поиск клиентов Судя по всему, основной способ поиска клиентов - это тоже рекламные рассылки (спам). Такие рекламные объявления составляют существенную долю всего спама. Таким же образом рекламируются и другие чуть более "легальные" сервисы, например, программы для рассылки и базы данных электронных адресов. 6.8. Разделение труда Все основные технологические составляющие бизнеса спамеров могут быть использованы независимо. Как следствие, в настоящее время существуют отдельные "производители" вирусов и троянских компонент, отдельные авторы программ для рассылки, отдельные сборщики адресов. Спамеры - а именно те, кто собирает с клиентов деньги и производит рассылку, - могут просто арендовать необходимые им сервисы, покупать базы данных, списки рассылающих машин и использовать их. Таким образом, вход на данный рынок является относительно дешевым. В то же время, очевидно разделение рынка на профессионалов (которые, как правило, обладают чем-то своим: базой данных адресов, или программой для рассылки, или собственным вирусом), для которых спам является основным источником дохода, и любителей, пытающихся заработать немного денег. Повсеместная установка фильтров и их возрастающее качество повышают технологический порог для вхождения на рынок, отсекая любителей, которые все делают сами, и заставляя их обращаться к профессионалам. 7. Внедрение стандартов аутентификации пользователя в 2004 году В 2004 году началось широкое продвижение и внедрение стандартов верификации отправителя письма. Аутентификация отправителя как средство борьбы со спамом предполагает проверку соответствия того домена, который "заявлен" в заголовках сообщения, и реального "физического" IP-адреса отправителя. Что же это - готовая панацея от спама или очередная ложная надежда? 7.1. Стандарты SPF/Sender ID от Microsoft Наибольшую известность получили технологии SPF (Sender Policy Framework, разработчик pobox.com), Caller ID (Microsoft) и Sender ID (объединение SPF и Caller ID), продвигаемые альянсом, в котором главную роль играет корпорация Microsoft. В течение весны-лета 2004 года многие публичные почтовые сервисы, провайдеры доступа (ISP), производители программного обеспечения объявляли о поддержке SPF (а затем - Caller ID), причем основная направленность этих объявлений была примерно такой: "ну вот теперь мы быстро покончим со спамом". Действительность оказалась куда сложнее. В конце лета - начале осени произошло сразу несколько событий: проект стандарта Sender ID был отклонен IETF; рабочая группа MARID, разрабатывавшая стандарт Sender ID, была распущена как не сумевшая достичь цели (существенный вклад в то, что члены рабочей группы переругались и не смогли продуктивно работать, внес Ричард Столлмен - идеолог открытого программного обеспечения, поднявший шум по поводу частных технологий Microsoft внутри предлагаемого стандарта). О неподдержке Sender ID объявили крупные разработчики открытого ПО (самого популярного в мире веб-сервера Apache и популярного дистрибутива Linux - Debian Linux). Выяснилось, что спамеры осваивают новые технологии куда быстрее, чем "обычные" системные администраторы, и им ничего не стоит поддержать SPF/Sender ID в своих рассылках. В результате, согласно отчету CipherTrust, осенью 2004 года спам-сообщение имело втрое большие шансы быть пропущенным "чистым" SPF-фильтром, чем обычная почта. Другими словами, активность вокруг SPF оказалась скорее "PR-технологиями": первые компании, объявившие о поддержке, надеялись, вероятно, на PR-машину Microsoft, а остальным компаниям не оставалось ничего, кроме как соответствовать правилам, вроде бы складывающимся в индустрии. До сих пор не решенная проблема с пересылкой почты также не улучшает ситуацию с распространением данного стандарта. В то же время, по нашим данным, в последние месяцы 2004 года стандарт SPF был поддержан примерно 10-12% отправителей. 7.2. Стандарт DomainKeys от Yahoo Отдельно следует остановиться на альтернативной технологии Yahoo DomainKeys (разработчик - yahoo.com). Эта технология основана на электронной подписи всего сообщения (текста и заголовков) и лишена ряда недостатков SPF, в частности, пересылки (forward) почты не нарушают валидности письма. Первым из крупных игроков рынка эту технологию внедрил Google (на почте Gmail), в настоящее время тестовая эксплуатация происходит на Yahoo, о тестировании технологии объявил Earthlink. Как и в случае SPF, спамерам не составит большой проблемы подписывать свои сообщения. В ближайшее время ожидать какого-либо значимого эффекта от подключения подобных технологий не следует, потому что потребуется их массовое внедрение, причем с перенастройкой или переустановкой программного обеспечения (почтовых серверов), что не очень реально. 8. Прогнозы и перспективы на 2005 год В 2004 году мировая общественность всерьез занялась решением проблемы спама. Об этом свидетельствуют: повышенный интерес общества к этой проблеме, резкий рост негативного отношения к спаму; ужесточение законодательства во многих странах; широкое внедрение антиспам-фильтров как на уровне провайдеров и владельцев публичных почтовых серверов, так и на уровне конечных пользователей; рост предложений интегрированных систем обеспечения безопасности почты (антивирус, антиспам и антихакер в одной системе). В совокупности эти меры должны привести к стабилизации и постепенному снижению объемов спама в 2005-2007 годах. Не нужно ждать резкого сокращения спама или его полного уничтожения, но выживут на этом рынке только спамеры-профессионалы, спамеры-любители просто не смогут "пробиться" через фильтры. Кроме того, именно любителям может не хватить знаний и умений для грамотной "маскировки" рассылающих серверов, и поэтому именно они могут стать объектами показательных процессов. Будет происходить дальнейший передел спамерского рынка, консолидация крупных спамеров. Скорее всего, в связи со стабилизацией объемов спама во входящей почте и широкой установкой фильтров в 2005 году нас ожидает новый виток развития спамерских технологий. Вполне возможно, что спамеры в очередной раз сделают ставку на графику (от чего в последнее время они стали отходить). Главным направлением развития будет борьба за скорость проведения рассылок. Очевидно, продолжится тенденция 2004 года - дальнейшая криминализация спамерского бизнеса, что будет выражаться: а) в еще более плотном сращении с хакерами и "вирусописателями", б) в тематическом дрейфе спамерского контента в сторону мошенничества (увеличение доли рекламы контрафактных товаров, мошеннических писем, попыток кражи паролей и т.п.). С другой стороны, в Рунете клиентами спамеров в 2005 году по-прежнему останутся представители малого бизнеса, т.к. для них спам - это наиболее доступное средство рекламы, оптимальное по соотношению цена/качество. Потери на имидже компании в российском бизнесе пока не расцениваются как серьезный недостаток того или иного вида рекламы. Мы не прогнозируем серьезного успеха "инфраструктурных" решений - новых стандартов электронной почты, так как на их пути стоит много препятствий, а спамеры тем временем не стоят на месте. 9. О компании "Ашманов и Партнеры" Компания "Ашманов и Партнеры" основана в 2001 году, разрабатывает лингвистические и поисковые технологии и является ведущим производителем антиспам-технологий в России. В компании работает 30 специалистов, включая 8 кандидатов наук. Лингвистическая лаборатория "Спамтест" работает круглосуточно, 365 дней в году. Фильтр Спамтест, разработанный компанией, объединяет 15 разнообразных методов фильтрации, включая лингвистический разбор текстов и математический анализ графики. На ядре Спамтест основан популярный фильтр "Kaspersky Anti-Spam". Фильтры Спамтест установлены на серверах Национальной почтовой службы Mail.ru, в Петерлинке, Ростелекоме (РТКомм), РБК, РТС, LANCK, в ведущих сотовых операторах и многих других частных компаниях. Ежедневно фильтры Спамтест обрабатывают более 50 миллионов писем, а лаборатория "Спамтест" получает и анализирует примерно 150 тысяч различных новых спамерских писем в день. Это позволяет составить достоверную, детализированную картину распределения потоков спама, его качественного и количественного состава. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) ЗАО "Ашманов и Партнеры", 2003-2004