Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Электронный журнал "Спамтест". Все о борьбе со спамом


Информационный Канал Subscribe.Ru

Ашманов и ПартнерыSubscribe.ru
Электронный журнал "Спамтест" No. 92

в этом номере:


Новости

Японские компании будут сообща бороться со спамом техническими методами

16.03.2005

30 японских компаний, среди которых - ведущие производители компьютеров и мобильных телефонов, провайдеры и операторы мобильной связи, объединились для борьбы со спамом.

В заявлении созданной группы - Japan E-mail Anti-abuse Group - говорится, что Япония отстает от США в исследовании и внедрении технологии авторизации отправителя и других технологий, которые блокируют источники спама.

Новая организация, в отличие от существующих в Японии объединений, которые боролись с проблемой спама юридическими методами, намерена противостоять спамерам на техническом уровне

В проекте примут участие компании NEC, IBM Japan, ведущие интернет-провайдеры, такие как Yahoo! Japan, Nifty и Softbank BB, а также четыре крупнейших оператора мобильной связи.

Источник: AFP (Yahoo!)

Украинский спамер может лишиться свободы

17.03.2005

На Украине возбуждено первое уголовное дело против спамера. Подозреваемому грозит штраф в размере от 500 до 1000 необлагаемых налогом минимумов доходов или лишение свободы на срок до трех лет.

В этом году вступили в силу изменения в Уголовный и Уголовно-процессуальный кодекс Украины. Теперь за препятствование работе компьютеров, автоматизированных систем, компьютерных сетей и сетей электросвязи путем массового распространения сообщений на Украине предусмотрена уголовная ответственность.

Первым почувствовать на себе силу закона может спамер, осуществлявший рассылки на территории Донецкой области.

В Управление по борьбе с экономической преступностью УМВД Донецкой области обратился представитель одного из интернет-провайдеров с информацией о том, что электронные сообщения от неизвестного лица блокируют работу его сети.

Следователям удалось "вычислить" спамера. Если подозреваемого признают виновным, его ждет штраф в размере от 500 до 1000 необлагаемых налогом минимумов доходов либо лишение свободы на срок до трех лет.

Это первое уголовное дело в стране о вмешательстве в работу компьютерной сети путем массового распространения сообщений электросвязи.

Источник: Медиа-Объектив

Опасные сети

18.03.2005

Число зараженных машин-зомби, включенных в ботнеты, в настоящее время превышает миллион. С захваченных машин преступники тайком от владельцев рассылают спам, осуществляют DDoS-атаки, распространяют шпионское ПО и плодят новых "зомби". Большинство взломанных компьютеров - машины с Windows XP и 2000.

Немецкая некоммерческая организация Honeynet Project, объединившая специалистов по защите информации, для исследования методов взлома машин пользователей и механизмов эксплуатации ботнетов использовала специальные сети-ловушки, открытые для атак. Чтобы проследить все действия злоумышленников, специалисты Honeynet Project разработали ПО, регистрирующее все, что происходит с компьютером, подключенным к Сети. Кроме того, отслеживались также IRC-каналы, используемые для контроля ботнетов.

В ходе исследования в период с ноября 2004 года по январь 2005 года было выявлено более 100 активных ботнетов, размеры которых варьировали от нескольких сотен до 50000 машин. Исходя из полученных результатов, исследователи посчитали, что в настоящее время число зараженных машин, включенных в ботнеты, превышает миллион.

В руках преступников такая армия "зомби" представляет серьезную опасность. Объединение возможностей нескольких тысяч зомбированных машин позволяет мгновенно вывести из строя практически любой сетевой ресурс или сеть. За три месяца исследования Honeynet Project отследила 226 DDoS-атак, нацеленных на 99 различных мишеней. С машин ботнетов рассылаются спам и вирусы и распространяется шпионское ПО. Судя по всему, криминальные структуры начали использовать ботнеты для кражи паролей и персональной информации. В частности, для этого на зомби-машинах размещают поддельные веб-сайты, имитирующие сайты банков. Кроме того, с помощью существующих ботнетов "зомбируются" новые машины.

Как показало исследование, захват машин в открытых сетях-ловушках происходил пугающе легко и занимал от нескольких секунд до нескольких минут. Для расширения ботнетов используются хорошо известные уязвимости операционной системы Window. С этой целью могут также рассылаться зараженные вирусами электронные письма.

Подавляющее большинство компьютеров, образующих ботнеты, это машины под управлением Windows XP и 2000, имеющие широкополосный доступ в Интернет. Самыми уязвимыми портами оказались TCP 445 (используется для создания общего доступа к файлам), TCP 139 (используется для подключения к общедоступным файлам), UDP 137 (ищет информацию на других компьютерах), TCP 135 (удаленно выполняет программы).

После заражения новые "зомби", как правило, связываются по каналам чатов с IRC-серверами и ждут инструкций от хакеров, управляющих сетью, в которую попала машина.

Ботнетами могут управлять как одиночки (даже малоопытные новички), так и хорошо организованные преступные группировки. Владельцы ботнетов могут продавать сети или сдавать их в аренду. В ходе исследования был отмечен случай кражи, когда "хозяин" одной сети перехватил управление другой сетью у конкурента.

В отчете подчеркивается, что созданные хакерами сети машин-зомби даже в неумелых руках являются грозным оружием.

Полный текст отчета Honeynet Project здесь.

Источник: BBC

Источник: Honeynet Project

Рейман против запрета на рассылку рекламы по электронной почте

22.03.2005

Министр информационных технологий и связи РФ Леонид Рейман высказался против введения жесткого запрета на рассылку рекламы по электронной почте.

Выступая на заседании президиума Российской академии наук в Москве, министр сказал: "Я против запрета на регулирование Интернета при распространении рекламы в Сети. Не совсем правильно вводить жесткие запретительные меры, которые отрезали бы рассылку рекламной информации".

Вместе с тем, по словам министра, для борьбы со спамом нужны доступные программы, которые каждый пользователь персонального компьютера может легко установить на ПК, и которые будут ограничивать поступление нежелательной информации к пользователю.

Леонид Рейман отметил, что необходима пропаганда таких программ.

Источник: ИНТЕРФАКС

5600000001-й способ написать слово Viagra

22.03.2005

Почти забытую технологию псевдографики с помощью символов ASCII начали использовать некоторые спамеры. Искажение или маскировка слов для обхода спам-фильтров - распространенный спамерский прием. Эксперты Sophos составили список слов, которые чаще всего "прячут" спамеры.

Псевдографические изображения с использованием символов ASCII появились еще в те времена, когда мониторы не могли отображать графику, а отображали только текст. Для создания изображения необходимо разместить текстовые символы определенным образом, при этом для создания большинства ASCII-изображений нужны шрифты постоянной ширины.

В настоящее время некоторые спамеры используют псевдографику в своих письмах для рекламы товаров. На такие письма обратили внимание эксперты компании Sophos. (Недавно мы опубликовали в примерах статистики образец такого спамерского письма, рекламирующего медикаменты, - в частности, надоевшую всем Виагру.)

Разумеется, возврат спамеров к забытому искусству создания ASCII-изображений при помощи тщательно расположенных и случайно выбранных символов вызван отнюдь не любовью к ретро-стилю. По словам Грэма Клули (Graham Cluley), старшего консультанта по технологическим вопросам компании Sophos, спамеры надеются, что этот трюк поможет их письмам проскочить антиспамовые фильтры, которые отлавливают спам по наиболее часто встречающимся в рекламных письмах словам.

"Это хитрый трюк, так как в подобных письмах рекламируются товары и медикаменты, такие как Виагра или Сиалис, без использования самих слов. Тем не менее, современные антиспамовые программы распознают подобный спам и не пропустят его в корпоративную сеть", - сказал Клули.

Псевдографика - не единственный трюк, используемый спамерами для маскировки в рекламных письмах слов, на которые реагируют спам-фильтры. Спамеры специально искажают слова, внося орфографические ошибки, заменяя буквы на символы, близкие по начертанию и т.д. По утверждению Sophos, антиспамовое ПО Sophos PureMessage различает более 5600000000 способов, которыми может быть написано слово "Viagra" в спамовых письмах.

Эксперты Sophos составили список слов, которые чаще всего маскируют спамеры в своих письмах. "Горячая десятка" выглядит следующим образом:

  1. cialis
  2. orgasms
  3. viagra
  4. shipping
  5. milf
  6. valium
  7. pharmacy
  8. xanax
  9. increase
  10. vicodin

Всего же в списке 258 слов.

Источник: Сnews

Источник: Sophos

Семинар "Защита Вашего присутствия в Интернете от вирусов и спама"

Принять участие в семинаре, который состоится 12 апреля 2005 года, Вас приглашает Учебный центр МИКРОИНФОРМ.

Это первый из серии семинаров, на которых ведущие российские и зарубежные специалисты по выбранной тематике поделятся своим видением состояния рассматриваемой проблемы, тенденциями ее развития и предлагаемыми решениями.

Компьютерная преступность, вирусы, хакерские атаки, спам-рассылки, кража информации, кибертерроризм. Как противостоять всему этому? Что надо предпринять, чтобы сохранить уверенность в безопасности своего присутствия в Интернете? Как избавиться от массы ненужных сообщений в почтовом ящике электронной почты? Каковы основные тенденции и перспективы успешного разрешения проблемы? Над чем работают ведущие российские и зарубежные специалисты данной области в настоящее время?

На эти и многие другие вопросы Вы сможете получить ответы, посетив семинар, на котором с докладами выступят такие признанные специалисты и эксперты в своей области, как Евгений Касперский (компания "Лаборатория Касперского"), Игорь Ашманов (компания "Ашманов и Партнеры"), представители ведущих зарубежных компаний Computer Associates и Symantec.

Семинар будет интересен в первую очередь руководителям и ведущим специалистам ИТ-подразделений, а также служб информационной безопасности крупных компаний, банков, промышленных предприятий. Активные пользователи услуг Интернета также почерпнут для себя много полезной информации из докладов и их обсуждений.

На круглом столе докладчики ответят на вопросы участников семинара.

Семинар состоится 12 апреля в московской гостинице "Варшава" (Ленинский просп., 2/1, ст. метро Октябрьская).

Полную информацию о программе семинара и условиях участия Вы найдете здесь.

Источник: МИКРОИНФОРМ


Спам - статистика за период
14 - 20 марта 2005 г.

Ашманов и Партнеры

Объем спама и тематические особенности

Уровень спама удерживается на отметке 80-85% от общего почтового трафика Рунета. Продолжает расти доля предложений тематики "Товары и услуги". Спектр предлагаемых спамерами товаров широк: от нефтяных вышек и трубопроводов до тренажеров и устройства "антисон" для водителей.

Популярные тематики

No Тематика Описание %% от общего объема Изменение за неделю
1 Разные товары и услуги Предложения других товаров и услуг 36% +7%
2 Остальной спам   29% +14%
3 Образование Реклама семинаров, тренингов, курсов 9% -5%
4 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 8% Без изменений
5 Мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 7% -4%
6 Для взрослых Средства для повышения потенции (виагра и пр.), а также для улучшения физических возможностей при занятих сексом 6% -4%
7 "Здоровый образ жизни" и "Медикаменты" Предложения сбросить лишний вес, улучшить состояние кожи, волос; приобрести правильную осанку, купить биологические добавки и т.п. Предложения приобрести лекарства в online 3% -2%
8 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 3% +1%
9 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 3% Без изменений
10 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 3% Без изменения

Самый "нечитаемый" спам

Комментарий лаборатории "Спамтест": строго говоря, это не собственно спамерское сообщение, а "заготовка". На позиции, отмеченные символом "процент" (%) спамерская программа при рассылке сообщений автоматически подставляет (или генерирует) случайный текст. В результате сбоя программы или ошибки спамера генерация текста письма не произошла, и пользователям были разосланы такие вот "заготовки".

Message subject

%CHILL
%DICK

%CONTACT {LINK}

%BYE
%ASSHOLE a

Самый массовый спам недели - "РЕШЕНИЕ ЛЮБЫХ КОМПЬЮТЕРНЫХ ПРОБЛЕМ п" -
и самое оригинальное предложение подарка для настоящего мужчины (авторы письма считают, что это могут быть только сувениры с настоящими пулевыми отверстиями) Вы найдете на сайте Спамтест.


Антиспам Касперского для корпораций, ISP и индивидуальных пользователей
Часть 2

Андрей Никишин
"Лаборатория Касперского"

Kaspersky® Anti-Spam

Методы фильтрации

Определившись с параметрами идеального спам-фильтра, рассмотрим один из продуктов, представленных на рынке, - Kaspersky Anti-Spam - и посмотрим, насколько он близок к идеальному продукту. В линейке продуктов Лаборатории Касперского есть 3 продукта - для ISP, для предприятий и для домашних пользователей, поэтому рассматривать мы будем семейство продуктов для фильтрации нежелательной корреспонденции.

Все продукты семейства Kaspersky Anti-Spam используют одно и тоже ядро, то есть обладают практически одинаковыми возможностями, за исключением того, что персональная версия продукта не использует RBL, однако использует байес-фильтр. В дальнейшем будет описано собственно ядро фильтрации, без деления на продукты.

Kaspersky® Anti-Spam для распознавания спама использует как известные "формальные" методы, так и методы контентной фильтрации, благодаря которым осуществляется распознавание сообщений по их содержанию на основе эвристического поиска ключевых терминов и нечеткого сравнения с письмами-образцами.

Kaspersky Anti-spam использует несколько основных методов:

  1. Списки. Письмо проверяется на вхождение e-mail адреса и IP-адреса отправителя в RBL. Администратор системы может также вести свои черные и белые списки ("списки друзей"), от которых почта принимается всегда.
  2. Формальные признаки письма. Отсутствие адреса отправителя, отсутствие или слишком много получателей, отсутствие IP-адреса в системе интернет-адресов DNS и т.п. Также производится фильтрация по размеру, формату сообщения.
  3. Содержание письма. Проверяется наличие в письме признаков спамерского содержания: определенного набора и распределения по письму специфических словосочетаний и слов. При этом фильтр Kaspersky Anti-Spam анализирует не только текст самого письма, но и вложения.
  4. Сигнатуры (образцы). По каждому спамерскому письму может быть автоматически или аналитиками вручную создана так называемая лексическая сигнатура, позволяющая распознать это письмо даже с небольшими модификациями.
  5. Графические сигнатуры (GSG-2). Не секрет, что спамеры стали использовать вместо обычного текста картинки. Технология GSG позволяет определять спам именно в картинках. Данная технология также позволяет очистить картинку от мусора, нормализовать цвета, а затем получить сигнатуру. "Нормализованная" сигнатура сравнивается с образцами. Аналогично лексическим сигнатурам, сравнение ведется таким образом, что незначительно отличающиеся письма опознаются правильно.

Существенной особенностью программы является возможность распознавания нежелательных сообщений путем анализа их содержания. Фильтр осуществляет автоматическую рубрикацию сообщений на более чем 500 рубрик, то есть отнесение входных сообщений к одной или нескольким категориям на основе смыслового анализа их текста. Заметим, что анализу подвергается не только тело письма, но и все вложения.

Результатом работы фильтра Kaspersky Anti-Spam для конкретного сообщения является список категорий, к которым данное сообщение может быть отнесено, с указанием степени достоверности для каждой категории.

По результатам проверки каждое письмо получает специальную метку, соответствующую уровню его принадлежности к спаму. Письмо, прошедшее фильтрацию и отнесенное к той или иной категории, может быть доставлено по назначению, перенаправлено на какой-либо определенный адрес или удалено.

Обновляемая база данных и анти-спам лаборатория

Лингвистическая лаборатория - это специалисты, которые непрерывно занимаются анализом спама. Это профессиональные лингвисты, с высшим лингвистическим образованием, с опытом работы в области прикладной лингвистики и искусственного интеллекта.

Вот как они работают:

В Лингвистическую лабораторию поступает входной поток спама из расставленных по миру ловушек для спама. Лингвисты проверяют входной поток модулем фильтрации и отделяют новые письма, то есть не распознанные по текущей базе. Затем они классифицируют это множество писем, пропущенных фильтром, - отделяют "нормальные" письма (такие в потоке присланного спама иногда попадаются), а затем раскладывают спам по рубрикам.

Как было сказано выше, категорий спама всего около 500, но из них показываются пользователю всего примерно 20 "верхних" категорий, в том числе "Сходи на сайт", "Для взрослых", "Купи виагру", "Купи софт", "Увеличь то или это", "Горящие путевки", "Посетите семинар", "Обучение английскому", "Заработок в Интернете", "Обеспечь себе финансовую независимость", "Снизь налоги" и т.п.

В первую очередь лингвисты добавляют в базу сигнатуры всех нераспознанных писем, чтобы они уже сразу начали распознаваться. Это помогает распознавать "повторные" письма или слегка модифицированные, пришедшие повторно.

Затем лингвисты начинают тонкий анализ - выделяют в письмах новые термины, назначают им веса и добавляют их в семантические образы. Это подготовка данных для работы другого метода - эвристического анализатора.

Внутренние средства контроля позволяют сразу проверить качество распознавания:

  1. на новых письмах (улучшилось ли),
  2. на эталонной базе спамерских писем (чтобы не было ухудшения).
  3. на эталонной базе обычных писем (чтобы не было ложных срабатываний).

Специальный аналитик параллельно занимается анализом "конверта" письма, то есть его формальных признаков (отправители, получатели, путь следования и т.п.) и созданием новых правил для распознавания по этим признакам.

Несколько раз в день (если быть точным, то более 20 раз в день) лингвисты формируют и выкладывают дневное обновление базы, и происходит обновление базы фильтрации - правила эвристики, сигнатуры, образцы писем и новые формальные правила - выкладываются на серверы обновлений и доступны для скачивания клиентам компании. В случае же клиентов ISP возможны так называемые push-обновления, когда обновление выкладывается напрямую клиенту и не происходит неизбежных задержек.

Бизнес-логика

Правила бизнес-логики могут включать удаление, пересылку, разметку письма (добавление метки в заголовок), архивирование его в указанных папках, отсылку уведомления администратору или пользователю.

Настройка бизнес-логики фильтрации производится администратором почтового сервера через web-интерфейс при помощи специальной программы - Конфигуратора. Наряду с общими правилами фильтрации, применяющимися для всех писем, проходящих через Kaspersky Anti-Spam, существует возможность задать индивидуальные правила для конкретного получателя (группы получателей).

К письмам, в которых обнаружены признаки спама, могут применяться, в частности, следующие схемы бизнес-логики:

  1. Не принятие почты. Спамерская почта данной категории не принимается почтовым сервером, как если бы адрес получателя не существовал (отправитель получает об этом уведомление - то есть происходит обман спамера);
  2. Удвоение. Спамерская почта данной категории уничтожается (отправитель не получает никаких уведомлений);
  3. Архивирование. Спамерская почта данной категории перенаправляется на некоторый архивный адрес и не доставляется адресату (отправитель при этом может либо получать соответствующее уведомление, либо не получать никаких уведомлений);
  4. Пересылка с разметкой. Спамерская почта данной категории пересылается адресату, при этом каждому сообщению приписывается дополнительный заголовок (например, Spam/Porno) на основании которого производится сортировка почты на уровне клиентской почтовой программы (например, правилами Outlook).

Перечисленные схемы обработки письма - наиболее типичные, но далеко не единственно возможные. Администратор, используя возможности настройки программы, может задавать практически любые схемы и варианты бизнес-логики.

Схема работы программы Kaspersky® Anti-Spam

Дополнительные возможности

Лингвистическая поддержка для немецкого, французского и испанского языков. Для работы с письмами на разных языках фильтр Kaspersky Anti-spam использует встроенные модули лингвистической поддержки. В настоящее время Kaspersky Anti-spam обеспечивает лингвистическую поддержку для русского, английского, немецкого, французского и испанского языков.

Заметим, что отсутствие лингвистической поддержки для какого-либо европейского языка не означает невозможность работы с сообщениями на этом языке. Для таких сообщений алгоритмы распознавания будут работать, но с меньшей точностью. В частности, метод сигнатур и пользовательские термины могут работать с любыми европейскими языками.

Kaspersky Anti-spam работает не только с текстом письма, но и с вложениями. Обрабатываются вложения в почтовые сообщения в следующих форматах:

  1. Обычный текст (ASCII),
  2. HTML,
  3. Microsoft Word (версии 6.0, 95/98/2000/XP)
  4. RTF.

Разбор перечисленных выше форматов осуществляется с качеством, достаточным для целей контентной фильтрации. Основная задача - выделить текст, при этом нет необходимости полностью анализировать "сложные" объекты - таблицы, графику и т.п.

Качество работы и ложные срабатывания

Как уже указывалось, главным показателем качества работы фильтра является не распознавание максимального количества спамерских писем, а отсутствие ложных обнаружений, то есть писем, по ошибке занесенных в категорию спамерских.

В настоящее время фильтр позволяет отсеивать 85-95% спамерских писем при уровне ложных обнаружений в 0,01-0,05% (1-5 писем на 10 000). Повышение уровня распознавания спамерских писем выше указанного уровня нежелательно именно в связи с недопустимостью ложных обнаружений.

Нужно сказать, что ложные тревоги обычно вызывают не деловые письма, а пресс-релизы и рассылки с преобладанием рекламной лексики.

Значительно снизить риск ложных срабатываний позволяет так называемый белый список, то есть "список друзей", в который администратор фильтра может добавить всю адресную книгу компании, в том числе всех сотрудников, деловых партнеров, прессу, пр.

Заключение

Перед описанием Анти-спама Касперского мы привели свойства идеальной программы для фильтрации нежелательной корреспонденции. Насколько Лаборатория Касперского приблизилась к этому идеалу, судить нашим клиентам. В заключение хотелось бы привести один пример внедрения Kaspersky Anti-Spam ISP Edition.

Пример использования Kaspersky® Anti-Spam ISP Edition в компании Mail.ru

Компания Mail.ru является одной из крупнейших европейских ISP-компаний и обслуживает более 10 миллионов почтовых ящиков, из которых порядка 4 миллионов - активные почтовые ящики. В день компанией осуществляется 15 -17 тысяч регистраций и пересылается около 12 миллионов писем. При этом до 70% писем являются спамом.

В компании была применена комбинированная система защиты от спама, состоявшая из черных списков компании Mail.ru (разработка компании Mail.ru, использовавшаяся до внедрения Kaspersky® Anti-Spam ISP Edition) и Kaspersky® Anti-Spam ISP Edition. Суть комбинированной системы защиты заключается в следующем. Сначала поток почты фильтруется на основании черных списков Mail.ru; при этом отфильтровывается 30-40% спама. Далее почта обрабатывается Kaspersky® Anti-Spam ISP Edition. Продукт отфильтровывает 90-95% оставшегося спама. Такая схема фильтрации позволяет максимально эффективно использовать имеющиеся средства борьбы со спамом и оптимизировать распределение нагрузки на почтовые серверы. Результатом является попадание в почтовый ящик конечного пользователя не более 3-5% от первоначального количества спама, посланного пользователю. То есть если до внедрения Kaspersky® Anti-Spam ISP Edition конечный пользователь получал до 50 писем в день, характеризуемых как спам (количество спама зависит от активности спамеров), то теперь пользователь получает не более 3-5 спамерских писем в день.

Таким образом, применение комбинированной защиты, основанной на Kaspersky® Anti-Spam ISP Edition и включающей в себя черные списки Mail.ru, позволяет отфильтровать 95-97% спама.

 




Написать письмо

Прислать статью редактору

Мнение редакции не всегда совпадает с мнением авторов материалов.
Редакция оставляет за собой право не публиковать присланную статью без объяснения причин.
Присланные статьи не рецензируются.

(C) ЗАО "Ашманов и Партнеры", 2003-2004


http://subscribe.ru/
http://subscribe.ru/feedback/
Подписан адрес:
Код этой рассылки: inet.safety.spamtest
Отписаться

В избранное