Электронный журнал "Спамтест" No. 144 в этом номере: Новости Спам - статистика за период 17 - 23 апреля 2006 г. Технология аутентификации: пока безупречного решения нет Новости Спамеры предпочитают рассылать спам из Азии 21.04.2006 По данным компании Sophos, в первом квартале 2006 года из Азии было разослано 42,8% всего спама. На втором месте по объемам рассылаемого спама - Северная Америка, от которой немного отстает Европа. Два года назад Северная Америка была "родиной" более половины всего спама в мире. Теперь на первое место по этому показателю со значительным отрывом вышла Азия (42,8%), а с североамериканского континента рассылается 25,6% спама. Северную Америку практически догонала Европа, из которой в первом квартале 2006 года было разослано 25,0% спама. По мнению экспертов, вполне вероятно, что в ближайшем будущем спама, рассылаемого из европейских стран, станет больше, чем американского. Хотя среди стран-спамеров США по-прежнему занимают первое место (23,1%), доля спама, рассылаемого из страны, постоянно уменьшается. По данным компании Sophos, в январе-марте 2005 года из США рассылалось 35,7% спама, а два года назад на спам американского происхождения приходилось более половины всей мусорной почты в мире. Уменьшение доли спама, рассылаемого из США, эксперты объясняют действующим в тране антиспамовым законодательством и использованием ПО для защиты от спама. Спамеры предпочитают осуществлять свои рассылки из более безопасных стран. Учитывая тот факт, что большая часть спама в настоящее время рассылается с зомби-машин, перемещать источники рассылок в другие страны мира спамерам не составляет особого труда, не меняя при этом собственного места жительства. Лакомой мишенью для спамеров является Китай со множеством плохо защищенных компьютеров. Южная Корея, которая обладает развитой интернет-структурой и славится высокоскоростным Интернетом, не может не привлекать внимание создателей зомби-сетей и тех, кто эти сети использует. Не удивительно, что Китай и Гонконг заняли в первом квартале 2006 года второе место в списке стран-спамеров. За год доля спама, рассылаемого оттуда, по данным Sophos, выросла с 9,71% до 23,1%. Третья страна мира по объемам рассылаемого спама - Южная Корея (9,8%). Следующие места в непочетном списке занимают Франция (4,3%), Польша (3,8%), Испания (3,3%), Германия (3,0%), Бразилия (2,9%), Япония (2,0) и Великобритания (1,9%). Источник: CNET News.com Киберпреступность в цифрах 24.04.2006 В Москве прошла Международная практическая конференция, посвященная борьбе с киберпреступностью и кибертерроризмом. На ней, в частности, были озвучены некоторые цифры, касающиеся ситуации в России. В настоящее время в русскоязычной части Интернета действуют до сорока сайтов экстремистской направленности. Каждый четвертый из них располагается на ресурсах российских провайдеров. Такое заявление сделал начальник управления специальных технических мероприятий МВД генерал-лейтенант милиции Борис Мирошников. По словам Мирошникова, в 2005 году МВД зафиксировало около 15 тысяч преступлений в сфере высоких технологий, причем свыше 10 тысяч из них относятся к категории компьютерных. Так, за этот год было зарегистрировано 450 случаев компьютерного мошенничества. Начальник управления специальных технических мероприятий МВД также отметил, что с 2001 года количество компьютерных преступлений на территории России удваивается ежегодно. Правоохранительные органы РФ борются с мошенничеством в сфере электронных платежей, распространением вирусных программ, хищением персональных данных, распространением в Интернете детской порнографии и нарушениями авторских прав в сфере информационных технологий. Для борьбы с этими преступлениям еще в 1998 году в рамках МВД были созданы специальные подразделения, в настоящее время объединенные в рамках Управления "К". Однако усилий одних только российских правоохранительных органов для пресечения компьютерных преступлений недостаточно. "Борьба с этими явлениями, имеющими отчетливо выраженный трансграничный характер, сегодня невозможна без объединения усилий всех заинтересованных государств. В этой связи мы придаем особое значение всестороннему развитию международного сотрудничества с зарубежными партнерами", - сказал глава МВД РФ Рашид Нургалиев, который также принял участие в конференции. Для успешной борьбы с киберпреступностью обязательны три составляющих: - гармонизация национального законодательства по борьбе с компьютерной преступностью с требованиями международного права; - высокая профессиональная подготовка правоохранительных органов - от следователя до судебной системы; - сотрудничество и правовой механизм по взаимодействию правоохранительных органов различных государств. Как отмечали на конференции эксперты, ни одна страна не обладает иммунитетом к компьютерной преступности. На киберпреступности можно заработать больше денег, чем на наркоторговле. Только в 2004 году киберпреступники "заработали" 105 мллиардов долларов, и с распространением информационных технологий в развивающиеся страны мира ущерб от киберпреступности будет только возрастать. Источник: NewsInfo.ru OECD призывает к международному сотрудничеству в борьбе со спамом class=date>25.04.2006 Проблемой спама озаботилась Организация экономического сотрудничества и развития (OECD). Как сказано в заявлении OECD, государствам надо принять антиспамовые законы, наделить необходимыми полномочиями и ресурсами госструктуры, которые должны бороться со спамерами, и взаимодействовать друг с другом в борьбе с распространением почтового мусора. OECD - международная организация, объединяющая 30 стран и созданная для содействия экономическому росту и торговле. В своем заявлении она подчеркнула, что спам опасен и наносит серьезный ущерб бизнесу и пользователям. Спам нарушает нормальную работу сетей, снижает продуктивность, распространяет вирусы и все чаще используется преступниками для кражи конфиденциальной информации. Государствам-членам OECD рекомендовано включить изучение методов защиты от спама в школьные курсы по компьютерному обучению и в соответствующие программы для взрослых. Кроме того, OECD призвала частные компании не оставаться в стороне от усилий, которые предпринимают правительства их стран в борьбе со спамом, особенно в проведении образовательных антиспамовых кампаний. Частные компании, предоставляющие доступ в Интернет своим сотрудникам или пользователям, должны принять для пользователей четкие правила, касающиеся спама. Кроме того, компаниям необходимо отслеживать в Интернете фишерские сайты-фальшивки, имитирующие сайты этих компаний, а сотрудники компаний должны быть проинформированы об опасности фишинговых писем и фишинг-атак в целом. Заявление OECD вызвало одобрение Федеральной торговой комиссии США (FTC), которая активно борется со спамерами и на практике знает, насколько для эффективности этой борьбы необходимо международное сотрудничество. В заявлении FTC сказано, что Федеральная торговая комиссия США уже применяет многие из рекомендаций OECD. Источник: InfoWorld Спамеры упражняются в "черном" PR 26.04.2004 Мэр латвийского города Вентспилса Айвар Лембрегс возмущен: якобы от имени его сторонников пользователям Латвии был разослан спам. Многие пользователи России и Украины в ходе предвыборных кампаний уже столкнулись с использованием спама как инструмента "черного" PR. Теперь это неблаговидное средство политической борьбы использовали в Латвии. Несколько тысяч жителей Латвии по электронной почте получили сообщение, которое было озаглавлено "Письмо латвийского счастья". Анонимные авторы послания на русском и латышском языках призывали всех встать под знамя мэра города Вентспилса Айвара Лембергса, потому что он "мудр, прагматичен. Он обходителен и элегантен. Он чист и прозрачен. Он прекрасный спортсмен и охотник. Он уже добился многого, потому что он - настоящий отечественный производитель и можно быть уверенным, что если стране будет чего-нибудь недоставать, он исправит положение". Письмо было написано в весьма язвительном стиле. Вот еще один пассаж, который цитирует Информационный портал Даугавпилса: "Придя к власти, наш вождь подарит каждому жителю Латвии поллитровку с транзитным мазутом, фотографию побежденного им лично кабана, а также по желто-лимонному галстуку каждому мужчине, изумрудные колготки женщинам и сахарного себя на палочке детям!". Не удивительно, что мэр заявил в ответ: "Письмо с таким текстом я не в состоянии сочинить даже в разгар полнолуния!". Айвар Лембрегс призвал анонимных деятелей "выйти на свет", а правоохранительные органы - установить источник анонимного письма. Источник: DELFI $5 милллиардов в год за спамерский трюк 26.04.2006 В 5 миллиардов долларов оценила компания IronPort ежегодный ущерб, наносимый автоматическими сообщениями о недоставке писем. Львиная доля этих сообщений появляется в результате подстановки спамерами при проведении рассылок фальшивых обратных адресов. Согласно результатом исследования, проведенного компанией IronPort, автоматические сообщения о недоставке составляют 11% от всей, как сказано в отчете, "недружественной почты", к которой IronPort отнесла также спам, вирусы и фишинговые письма. При этом лишь 5% из них действительно имеют отношение к получателям, а 95% писем, о которых сообщают почтовые роботы, никогда не отправлялись с тех адресов, на которые пришли уведомления о недоставке. Столь высокий процент неверных "отлупов" обусловлен тем, что спамеры при рассылках подставляют в качестве обратных электронные адреса ни в чем не повинных пользователей. Тот же прием используется при рассылке вирусов с помощью спам-технологий. Если спамер ежедневно проводит рассылку на 2 миллиона адресов, около 20% из них, как правило, оказываются неверными. В результате адреса, подставленные в качестве обратных, могут быть засыпаны сообщениями о недоставке. С этой проблемой знакомы не только многие пользователи Интернета, но и солидные компании, адреса которых также не остаются без внимания спамеров и фишеров. По данным IronPort, более 50% корпораций, входящих в список Fortune 500, сталкивались с замедлением работы или даже выходом из строя почтовых серверов компаний из-за перегрузки сети, вызванной потоком автоматических сообщений о недоставке. Учитывая стоимость работы IT-персонала и долю автоматических сообщений о недоставке в почтовом трафике, IronPort в своем отчете оценила ущерб, который наносят "спамерские отлупы", в 50 миллиардов долларов. Как утверждается в отчете, в ходе исследования было проанализировано более 25% всего мирового интернет-трафика. Источник: Yahoo! FINANCE Спам - статистика за период 17 - 23 апреля 2006 г. "Лаборатория Касперского" Объем спама и тематические особенности Доля спама на прошлой неделе была чуть ниже уровня средних значений - 63% от общего объема почтового трафика. Во вторник доля спама снизилась на 15% и составила 53%, потом до конца недели медленно увеличивалась и в воскресенье достигла 78,5%. Тематическое распределение спама на прошедшей неделе было довольно стабильным. Самые большие изменения - около 5-6% - были зафиксированы в рубриках "Образование" и "Другие товары и услуги". Также можно отметить стабильный рост количества рассылок, посвященных отдыху и путешествиям. Логично предположить, что эта тенденция сохранится, как минимум, до лета. Кстати, стоит отметить, что в этой тематике среди предложений по туризму, бронированию авиабилетов и мест в гостинице небольшое, но стабильное место сейчас занимают реклама концертов и предложения приобрести билеты на них. Рассылки тематики "Другие товары и услуги" на прошедшей неделе были исключительно разнообразны. Конечно, не обошлось без традиционной рекламы юридических услуг, но основную массу составили краткосрочные предложения, очень многие из которых нестандартные - например, спам, посвященный продаже ракушек (к примеру, для сувениров) или железнодорожного тупика. Тема недвижимости занимает в спамовых потоках такое же прочное место, как и пресловутая виагра. На этой неделе тем, кого мучает ностальгия по былому, предлагали приобрести старый пионерский лагерь. Вообще в последнее время появляется все больше предложений купить "кусочек Родины" - земельные участки разных размеров. Конечно, Пасха также не была оставлена вниманием спамеров, хотя стоит отметить, что к ней они отнеслись с гораздо большим равнодушием, чем к прочим праздникам. Было зафиксировано только несколько рассылок с предложением помочь деньгами восстановлению храма и с религиозными притчами. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Другие товары и услуги Предложения других товаров и услуг 24,3% -5,3% 2 Образование Реклама семинаров, тренингов, курсов 15,1% -5,2% 3 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 15,1% +1,2% 4 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 12,2% +3,3% 5 Остальной спам   12,2% +5,9% 6 Медикаменты; товары/услуги для здоровья Предложения сбросить лишний вес, улучшить состояние кожи, волос; приобрести правильную осанку, купить биологические добавки и т.п. Предложения приобрести лекарства в online 8,9% Без изменений 7 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 8,3% +0,7% 8 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 2,1% +1,5% 9 Спам "Для взрослых" Средства для повышения потенции (виагра и пр.), а также для улучшения физических возможностей при занятих сексом Менее 2% Без изменений 10 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. Менее 2% -0,7% Самый массовый спам недели и самые оригинальные предложения вы найдете на сайте Спамтест. Технология аутентификации: пока безупречного решения нет Ведущие интернет-провайдеры и компании, занимающиеся интернет-безопасностью, обсудили проблему технологии аутентификации отправителя на встрече в Чикаго. Две технологии На сегодняшний день рассматриваются как основные две технологии аутентификации отправителя. Задача обеих технологий - подтверждение подлинности отправителя, но подтверждают они ее разными способами. Sender ID, основанная на решении Microsoft Caller ID и Sender Policy Framework (SPF) Мена Вонга, требует публикации так называемых SPF-записей (списка IP- адресов, используемых сервером при отправке почты) и позволяет выявлять сообщения с поддельными IP-адресами. DomainKeys Identified Mail (DKIM) объединяет разработанную Yahoo технологию DomainKeys и систему Internet Identified Mail от Cisco Systems. Технология требует создания пары криптографических ключей, публичного и личного, и публикации публичного ключа в записях DNS. Личный ключ хранится на почтовом сервере. DKIM присоединяет к каждому исходящему сообщению специальную цифровую подпись, а почтовый сервер на стороне получателя с помощью публичного ключа проверяет, действительно ли цифровая подпись была сгенерирована доменом, указанным в адресе отправителя. Полтора года назад IETF - международная группа по разработке стандартов Интернета - рассматривала возможность принять Sender ID в качестве стандарта аутентификации отправителя, однако тогда из-за проблем с патентованием, вызванных позицией Microsoft, для Sender ID история закончилась провалом. DKIM также предложена на рассмотрение IETF в качестве стандарта. Несмотря на то, что стандарт пока не принят, обе технологии уже активно используются. По данным Microsoft, в целом более 35% электронных сообщений в настоящее время аутентифицируются тем или иным способом. Компания Yahoo сообщила, что на почтовые серверы Yahoo! Mail ежедневно приходят около миллиарда сообщений, содержащих цифровую подпись. Microsoft рапортовала об успехах Sender ID. По данным Microsoft, более 2,4 миллионов доменов опубликовали SPF-записи. Из двух миллиардов писем, рассылаемых ежедневно, 3,3 миллиона соответствуют требованиям SPF. 70% ведущих компаний, входящих в список Fortune 100, начали использовать Sender ID для аутентификации своих сообщений. Менее чем за год в три раза увеличилось число компаний из списка Fortune 500, опубликовавших SPF-записи: в июле 2005 года таких компаний было 7%, в марте 2006 - 21%. Sender ID, судя по всему, значительно опередила DKIM, что не случайно. Она предполагает публикацию SPF-записей ISP, компаниями и владельцами доменов, как утверждается, проста в использовании и не требует дополнительного оборудования и дополнительных затрат. Компании, заинтересованные в подтверждении подлинности своей корреспонденции, охотно выбирают именно эту технологию аутентификации. Не все так гладко С проблемами в использовании Sender ID столкнулся Bank of America. По словам представителя банка Эрика Джонсона (Erik Johnson), использовать технологию надо с умом, а не абы как. Внедрение технологии требует постоянного внимания и активности, в противном случае компанию могут ожидать неприятные сюрпризы. "На самом деле правильно использовать аутентификацию отправителя не так легко. Если вы работаете в большой организации, вы не отделаетесь простым нажатием кнопки", - заявил Джонсон. Джонсона поддержал Дэвид Крокер (David Crocker) из Brandenburg InternetWorking. По его словам, Sender ID обходится вовсе не так дешево, как утверждается, и затраты на техническую поддержку могут быть весьма значительными. Проблема для больших международных компаний состоит в том, что письма могут приходить от разных отправителей из разных стран, и не все легитимные корреспонденты поддерживают SPF. При этом необходимо настроить все почтовые системы компании так, чтобы не было сбоев. Система должна быть достаточно гибкой. "Проблема становится особенно острой, если почтовый провайдер удаляет все письма, не прошедшие проверку на подлинность отправителя", - сказал Джонсон. Поэтому, по данным CipherTrust, больше половины компаний, опубликовавших SPF-записи, не удаляет те письма, подлинность которых невозможно подтвердить, что оставляет лазейку для спамеров и фишеров. "Мы являемся сторонниками SPF, и все наши серверы поддерживают технологию, однако мы не рекомендуем пользователям фильтровать сообщения на основе проверки подлинности отправителя, поскольку это приводит к большому числу ложных срабатываний", - сказал исполнительный директор Barracuda Networks Дин Драко (Dean Drako). Однако не все считают это серьезной проблемой. "Это действительно ограничивает эффективность технологии, но я считаю, что это просто переходный период", - заявил вице-президент компании IronPort Патрик Петерсон (Patrick Peterson). Аутентификация - это не более чем аутентификация Как бы то ни было, если технологии аутентификации будут использоваться широко, пользователи получат возможность точно знать, что письмо пришло действительно из их банка, а не отправлено мошенниками. Как уже не раз подчеркивали эксперты, проблему спама аутентификация отправителя не решит, но поможет справиться с подделкой адресов отправителей сообщений. "Аутентификация - это аутентификация, и ничего более", - сказал представитель Sendmail. - "Спамеры тоже могут использовать аутентификацию". Что, собственно, подтверждают исследования 2004 года, когда выяснилось, что спамеры активно используют Sender Policy Framework, предшественника Sender ID. Поэтому эксперты считают необходимым развивать системы репутации доменов, которые позволят отделить овец от волков, т.е. легитимных отправителей от спамеров. Хотя в настоящее время крупные ISP, через которых проходит более половины всего почтового трафика, используют технологии аутентификации, успокаиваться рано. По словам представителя Microsoft, безупречного решения сейчас нет. Но о какой бы технологии не шла речь, надо смотреть вперед, а не оглядываться назад, потому что злоумышленники будут искать новые способы атак. Использованы материалы The Register и CNET News.com ОТ РЕДАКЦИИ: следующий номер журнала Спамтест выйдет 18 мая. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005