Электронный журнал "Спамтест" No. 165 в этом номере: Новости Спам - статистика за период 02 - 08 октября 2006 г. Кирилл Зоркий: "Мы реализовали большинство задумок. На очереди новые" Новости Профессионально-ориентированный спам 10.10.2006 В сводном отчете за сентябрь и третий квартал 2006 года компания MessageLabs сообщает о росте в последнее время числа спам-рассылок, ориентированных на профессионалов, работающих в IT-секторе. Эта разновидность спама получила название "geek spam" - "спам для компьютерных фанатов". Учитывая, что IT-профессионалы часто используют байесовские фильтры, спамеры вставляют в текст письма профессионализмы типа .NET, cpan, xss, Java. Наличие подобных ключевых слов, разбросанных в тексте письма, должно создавать "шум" для байесовских фильтров. В результате фильтры могут пропустить такие письма, отнеся "спам для компьютерных фанатов" к категории легитимных сообщений технического характера - например, к сообщениям об ошибке. Специалисты MessageLabs полагают, что, в случае успешного дебюта, возможна дальнейшая разработка этого спамерского приема с использованием в качестве мишеней представителей других профессий. Cледующей мишенью целенаправленных атак "профессионально-ориентированного" спама, вероятно, станут финансовые структуры, которые уже несут большие убытки от возрастающей активности фишеров. Источник: MessageLabs Игры фишеров 11.10.2006 Интернет-мошенникам, ворующим личные данные пользователей, стало мало конфиденциальной информации жертвы. Объектом их корыстных поисков стало золото и артефакты, добытые другими в честном интерактивном бою. Продажа виртуальных сокровищ и артефактов победителями в онлайн-играх на популярных сайтах типа eBay стала реальным бизнесом. Этот рынок и начал осваиваться мошенниками. Новое поколение троянцев атакует пользователей. Эти троянцы ориентированы на конкретную игру и могут регистрировать нажатие клавиш при вводе с виртуальной клавиатуры. Распространяются вредоносные программы, как правило, в спамовых письмах. Еще один способ заражения компьютеров пользователей с поддельных веб-сайтов, предлагающих алгоритмы ведения игры и жульнические трюки. Украденные личные данные используются для регистрации новых аккаунтов в игре, как в недавнем случае с участниками игры Lineage в Корее, когда жертвами аферы стали 175000 человек. Регистрация нового участника этой игры предусматривает неоплачиваемый испытательный срок в одну неделю и производится простым введением ID в поле онлайн-формы. Этим и воспользовались злоумышленники. По предварительным оценкам, афера с Lineage принесла авторам более 10 млн. долларов. Фирма-разработчик игры Ncsoft ужесточила правила регистрации участников игры. В Корее введены более суровые санкции для кибермошенников, специализирующихся на хищении личных данных: увеличена сумма штрафа, для похитителей ID предусмотрено наказание в виде тюремного заключения на три года. Изначально большинство атак вредоносных программ, ворующих персональные данные онлайн-игроков, была нацелена на китайских пользователей, среди которых оналайн-игры особенно популярны. Однако сейчас, по данным компании Trend Micro, угроза распространяется по всему миру. Источник: smh.com.au Фишинг по-русски 11.10.2006 Российские интернет-мошенники, судя по всему, не желают отставать от своих западных "коллег". Если ранее фишинг в Рунете были представлен, в основном, англоязычными сообщениями, то теперь фишинговые письма все чаще появляются на русском языке. Эксперты "Лаборатории Касперского" отмечают, что у фишинга по-русски есть свои особенности. Западный фишинг - это умелые подделки, для которых характерны наличие картинок, точно копирующих, например, реальные уведомления банков, "хитрые" ссылки, имитирующие ссылки на ресурсы легитимных организаций, и прочие приемы, которые должны ввести в заблуждение получателя. В результате всех этих ухищрений пользователю зачастую легко поверить в подлинность письма-подделки и попасться на удочку мошенников. В отличие от своих иностранных "коллег", "наши" фишеры не утруждают себя техническими сложностями, а действуют просто, незамысловато и нагло. В качестве примера фишинга по-русски можно привести одно из писем, рассылка которого была зафиксирована специалистами "Лаборатории Касперского" на прошлой неделе. В письме с темой "!!!Произошла критическая ошибка в системе Web Money Transfer!!!" мошенники от имени Российского Отделения WEB MONEY TRANSFER TECHNOLOGY сообщают о якобы произошедшем сбое в базе данных системы, в связи с чем пользователям WebMoney предлагается срочно выслать их номера и пароли на указанный в сообщении адрес. Кроме того, наглые фишеры просят доверчивых получателей передать эту информацию всем знакомым, - видимо, чтобы те не упустили свой шанс отдать мошенникам свои деньги. Письмо рассылалось с одного из аккаунтов WebMoney вручную, без использования спамерского ПО. Адреса рассылок также вставлялись вручную. Своим потенциальным жертвам фишеры предлагали пересылать конфиденциальную информацию на тот же адрес, с которого рассылалось письмо. В настоящее время кошельки пользователя, рассылавшего фишинговые письма, заблокированы администрацией WebMoney. Доля мошеннических писем в спаме в третьем квартале 2006 года составила 12,8% от всего спама в Рунете. И все больше таких писем ориентировано на русскоязычных пользователей. Несмотря на наглую прямолинейность фишерских атак, которая, вроде бы, позволяет легко распознать мошенничество, многие пользователи Рунета, как правило, не искушенные в фишерских приемах, могут легко попасться на удочку мошенников. А российские интернет-мошенники, безусловно, не остановятся на достигнутом иначнут усложнять используемые ими методы. Эксперты "Лаборатории Касперского" рекомендуют быть внимательными и осторожными во всех случаях, когда в полученном письме под тем или иным предлогом требуется раскрытие персональных данных и другой конфиденциальной информации. Не стоит также доверять предложеням "легких" денег, которое чаще всего является ловушкой для доверчивых пользователей и оборачивается для них финансовыми потерями. Источник: "Лаборатория Касперского" Российские почтовые сервера не продают адреса своих пользователей спамерам 11.10.2006 Рабочая группа Проекта "АнтиСпам" опубликовала результаты исследования российских публичных почтовых сервисов на предмет защищенности баз адресов электронной почты их пользователей от спамеров. Согласно полученным данным, пятерка сервисов-лидеров не причастна к передаче адресов пользователей спамерам. В эксперименте, проводившемся с января по октябрь 2006 г., участвовали Новая почта (hotmail.ru, newmail.ru, nm.ru и nightmail.ru), Почта.ру (fromru.com, front.ru, hotbox.ru, krovatka.net, land.ru, mail15.com, mail333.com, pisem.net, pochta.ru, pochtamt.ru, pop3.ru, rbcmail.ru и smtp.ru), Почта Яндекса (narod.ru, ya.ru, yandex.ru), Mail.ru (bk.ru, inbox.ru, list.ru и mail.ru) и Rambler-почта (rambler.ru). Тест проводился на специально заведенных с этой целью почтовых ящиках с именами из 14 символов. Антиспам-фильтрация входящих сообщений была отключена. При этом, как утверждается, были приняты все возможные меры предосторожности, чтобы соответствующие адреса не могли попасть в базу спамеров иначе, как в результате злонамеренных действий или халатности администрации почтовых серверов. В итоге за весь период было получено лишь два письма, да и те от администрации Mail.ru. Одно - с приветствием нового пользователя, другое - с сообщением о новой версии программы Mail.Ru Agent. Как заявил координатор проекта "АнтиСпам" Евгений Альтовский, можно считать доказанным тот факт, что в этом году пятерка крупнейших российских публичных почтовых сервисов не подвергалась взломам и не передавала своих баз адресов спамерам. Это, по мнению Альтовского, опровергает популярную в народе "теорию заговора", согласно которой администрация почтовых серверов может быть причастна к передаче баз данных пользователей спамерам. Источник: CNews Новая open-source утилита для борьбы с фишингом 11.10.2006 Компания TippingPoint, являющаяся подразделением корпорации 3Com, выпустила утилиту для борьбы с фишингом. Продукт с открытым исходным кодом получил название Monkeyspaw. С его помощью пользователь может выяснить, кто является владельцем сервера с фишинг-ресурсом, какую этот сервер имеет конфигурацию, и где он находится физически. Кроме того, собранная информация передается в сетевую службу CastleCops фирмы Computer Cops LLC, абонентами которой являются около 50 различных ведомств во всем мире, включая ФБР, Антифишинговую рабочую группу (APWG), корейское Агентство информационной безопасности и Группу компьютерной "скорой помощи" Австралии (AusCERT). Администраторы сетей могут использовать Monkeyspaw для блокирования фишинг-сайтов, ориентируясь на IP-адреса их серверов. С помощью этой программы можно также проводить тесты на уязвимость при экспертной оценке веб-сайтов. Утилита предназначена для использования во взаимодействии с другими продуктами класса open-source, такими как браузер Firefox корпорации Mozilla. Новая утилита создана для профессионалов в области информационной безопасности и призвана облегчить и ускорить решение исследовательских задач, повышая надежность результатов. "Для исследования фишинг-сайта обычно необходимо пользоваться командной строкой, а тут речь идет об одном клике", - так описывает простоту использования Monkeyspaw автор, ведущий инженер TippingPoint Тод Бирдсли (Tod Beardsley). В отличие от антифишинговых браузерных панелей, предлагаемых некоторыми фирмами для обнаружения и регистрации эксплойтов, Monkeyspaw позволяет получить и техническую информацию об источниках конкретных фишинг-угроз. Создатели программы допускают возможность противоправного использования Monkeyspaw, но в руки злоумышленников в этом случае попадут только HTTP-хедеры. Поскольку Monkeyspaw - программа с открытым исходным кодом, авторы призывают open-source сообщество развивать и дополнять своими наработками этот рамочный вариант, совершенствуя систему регистрации, анализа и координации данных по фишингу. Объединение усилий в борьбе с этим явлением будет эффективным ответом на вызов со стороны ищущих обогащения компьютерных мошенников. Источник: eWeek Spamhaus грозят неприятности 12.10.2006 Федеральный окружной суд штата Иллинойс, США, намерен приостановить использование доменного имени добровольной организации по борьбе со спамом Spamhaus Project за неподчинение судебному решению и неуплату штрафа в 11,7 миллионов долларов. Ответственными за исполнение судебного предписания назначены некоммерческая организация ICANN, отвечающая за стабильность работы Интернета, и фирма Tucows Inc., зарегистрировавшая адрес Spamhaus.org. Решением суда от 13 сентября 2006 года Spamhaus должна вывести название фирмы E360Insight LLC, занимающейся рекламированием дешевых товаров, из своей базы данных, куда она была занесена как спамерская организация, и уплатить фирме компенсацию за убытки. Spamhaus игнорирует постановление, заявляя, что ее штаб-квартира находится в Лондоне, а в Великобритании решение американского суда не имеет законной силы. Упомянутое предписание суда штата Иллинойс еще не оглашено, но исполнителей могут обязать подчиниться как резидентов США. Это не первый иск такого рода, поданный против Spamhaus Project в американский суд. Ее официальные представители даже не появляются в судах, и за неявкой приговор бывает нелицеприятным. Юрисконсульты Spamhaus неоднократно ставили организации, занесенные ею в черный список, в известность, что они должны подавать иск в английские судебные инстанции, но без видимого эффекта. Деятельность таких организаций зачастую не выходит за рамки американского законодательства, но противоречит английским законам в этой области. Кроме того, по английским законам иностранцы, проигравшие дело, оплачивают судебные издержки истца. Представители Spamhaus утверждают, что если Spamhaus на этот раз проиграет, пострадают в первую очередь пользователи электронной почты, поскольку усилиями организации Spamhaus, по ее подсчетам, ежедневно блокируется от 8 до 10 млн. спамерских сообщений. Ее услугами пользуется 650-миллионная аудитория по всему миру, включая персонал Белого дома, Европейского парламента и личный состав армии США. В случае проигрыша на процессе спам-фильтры Spamhaus продолжат работать, но для доступа к сайту придется вводить переадресацию. Организация собирается подать апелляцию в назидание всем спамерам, пытающимся использовать американскую судебную систему в своих интересах. Однако, вопреки мрачным прогнозам Spamhaus, эксперты не склонны считать, что в случае ее проигрыша весь мир захлебнется в небывалой волне спама. Черный список Spamhaus широко доступен в Сети, веб-сайт никто не закрывает; можно просто выбрать другое доменное имя или работать без имени. Кроме того, маловероятно, что предписание будет запущено, так как этому могут воспротивиться организации и компании, в ведении которых находится вся система доменных имен (DNS) и которые не участвуют в процессе. Отметим, что в черный список Spamhaus неоднократно попадали и ни в чем не повинные домены, в том числе российские. Источник: Computerworld Спам - статистика за период 02 - 08 октября 2006 г. "Лаборатория Касперского" Объем и тематические особенности спама Объем спама в период 02 - 08 октября в среднем составил 72,3%. Тематическое распределение спама на прошедшей неделе продолжало радовать нас своей удивительной стабильностью. Относительно серьезные изменения произошли только в рубрике "Медикаменты", доля которой уменьшилась чуть больше, чем на 6%. На прошедшей неделе продолжилось спрогнозированное в прошлом обзоре развитие темы отдыха и путешествий. Уже появились первые рассылки с предложениями о проведении корпоративного Нового Года. Также стоит отметить, что кроме уже давно ставших привычными предложений туристических поездок, стабильную нишу занял спам про дешевые театральные билеты. Если в прошлый раз нами было отмечено обилие "милитаристических" рассылок, то на прошедшей неделе было зафиксировано обилие предложений, предлагающих удовлетворить нематериальные потребности человека, и предложений, связанных с магией. Практикующие маги наперебой предлагают помочь с материальным положением - кто за 500 рублей, кто и вовсе по доброте душевной (примеры писем см. ниже). Психологи же предлагают разобраться с взаимоотношениями, выйти из стрессовых ситуаций, скорректировать межличностные отношения или даже обучить премудростям психологического мастерства. Удивительно, но, несмотря на осеннее похолодание, которое, казалось бы, не способствует романтическому настроению, тема личных отношений вновь становится особо актуальной. Ей посвящены многочисленные рекламируемые семинары, как для женщин ("Стратегия хищницы: как завоевать и удержать мужчину и вернуть любимого"), так и для мужчин ("Система тотального подчинения женщины"). Для представителей сильной половины человечества рекламируются еще и сайт "Самоучитель по соблазнению и знакомству", и книга аналогичного содержания с простым суровым названием "Мужская книга". Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Другие товары и услуги Предложения других товаров и услуг 26,1% +3,3% 2 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 17,2% -6,2% 3 Образование Реклама семинаров, тренингов, курсов 14,0% +1,7% 4 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. 10,3% +1,1% 5 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 8,6% -1,2% 6 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 7,2% -0,7% 7 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 6,9% Без изменений 8 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 4,9% +1,1% 9 Остальной спам   3,4% -0,6% 10 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. Менее 2% +0,4% Образчики самого массового и самого оригинального спама недели вы найдете на сайте Спамтест. Кирилл Зоркий: "Мы реализовали большинство задумок. На очереди новые" Мы встретились с Кириллом Зорким, руководителем антиспам-направления "Лаборатории Касперского", чтобы поговорить о разработке ПО, антиспамерском ремесле и об экспансии российских технологий защиты от спама на Запад. Кирилл, продукт, над которым ваша команда работала последние 2 года - Kaspersky Anti-Spam 3.0 - появился на рынке. Довольны тем, что получилось в итоге? — Да, продукт в итоге вышел таким, каким его ждали наши партнеры и клиенты - более "умным" в плане определения спама, более производительным, причем кардинально, более гибким и удобным в настройке. За плечами команды уже был опыт выпуска нескольких версий продукта, очень крупных внедрений - к тому времени наш продукт уже защищал миллионы почтовых ящиков. Первая версия собственно продукта "Лаборатории", Kaspersky Anti-Spam 1.0 вышла весной 2003. Было это время настоящего пика, когда спам посыпался в невероятных количествах. Спам наш серийный продукт фильтровал успешно, но, признаться честно, был крайне сложен в установке и настройке, так же как и последовавший продукт версии 1.5, к которому были "прикручены" дополнительные методы распознавания спама. Мы стали писать новый конфигуратор, параллельно шлифовали лингвистический движок. Вылилось это в Kaspersky Anti-Spam 2.0, который до августа сего года и стал флагманским продуктом "Лаборатории Касперского" для борьбы со спамом. Теперь его сменила новая версия 3.0. По сути - апогей многолетних трудов и изысканий. Было множество идей - что можно улучшить, что нужно переписать заново, как сделать работу администратора с продуктом более удобной... Поэтому, стараясь не отказываться от качества в угоду срокам, мы и реализовали большинство этих задумок. На очереди новые. Можно ли в нескольких словах описать суть работы продукта? Как он встраивается в почтовую систему? Как выявляет спам в потоке почты? — Kaspersky Anti-Spam устанавливается на почтовом сервере или на шлюзе на входе в сеть. Это продукт для платформ Linux и FreeBSD, работает он как плагин почтового сервера (одного из 5 совместимых - Sendmail, Postfix, Exim, Qmail или Communigate Pro). При поступлении нового сообщения почтовый сервер как "черному ящику" передает его нашему спам-фильтру. Пройдя ряд проверок, сообщение возвращается обратно почтовому серверу с итоговым статусом - "чистое", спам, возможно спам и т.д. В зависимости от конкретных настроек дальше помеченные как спам сообщения удаляются, сохраняются в отдельной папке или доставляются получателю. Для проверки писем мы используем комплекс методов, каждый из которых "смотрит" на отдельную часть или аспект сообщения. В комплексе, вердикты всех методов и формируют итоговый статус письма. Вначале продукт, грубо говоря, "задается вопросом" - кто прислал? Осуществляется проверка IP-адреса отправителя по внешним подключаемым "черным спискам", DNSBL - либо рекомендованных в продукте по умолчанию, либо тех, которые подключил системный администратор по своему усмотрению. Использовать DNSBL в чистом виде для защиты от спама уже давно дурной тон, это приводит к слишком большому количеству ложных срабатываний, потерям легальных писем. А вот как один из методов, подтверждающий или опровергающий вердикты остальных проверок, он годится. Также по поводу вопроса "кто прислал?" продукт "консультируется" с системой меток авторизации отправителя - SPF, Sender Police Framework. Вопрос, действителен ли адрес отправителя в пришедшем письме, очень актуален при фильтрации почты - большая часть спамерских посланий содержит "подставной" обратный адрес, и, к сожалению, протокол SMTP это позволяет. А еще продукт анализирует типичные спамерские уловки с техническими заголовками письма - пустые поля From: и To: и т.д. В содержание письма заглядывает еще одна внешняя служба - SURBL, некий "черный список" другого типа, который сравнивает не IP-адрес отправителя ("кто прислал?") со своими данными, а ссылки в теле сообщения с уже известными линками на спамерские сайты ("кого в письме рекламируют?"). После этих первичных проверок в действие вступает "тяжелая артиллерия" - лингвистический разбор письма на основе обновляемых правил анализа и словарей спам-лексикона, сигнатуры текстов обнаруженных антиспам-лабораторией рассылок, сигнатуры графического спама и наша новая технология Urgent Detection System. Лингвистический блок проводит анализ того, как часто, в каком сочетании, в каких частях текста встречаются типичные для спама слова, фразы, предложения. Используются специализированные лингвистические данные (база контентной фильтрации), которые каждые 20 минут автоматически обновляются через Интернет. База составляется антиспам-лабораторией и содержит данные трех типов: рубрикатор (иерархический список категорий спама); семантические образы категорий; сигнатуры сообщений-образцов. Рубрикатор спама включает около 500 рубрик, соответствующих различным категориям спама, в том числе "Зайди на сайт", "Для взрослых", "Купи виагру", "Купи софт", "Увеличь то или это", "Горящие путевки", "Посетите семинар", "Обучение английскому", "Заработок в Интернете", "Обеспечь себе финансовую независимость", "Снизь налоги" и т.п. Каждая рубрика содержит свой семантический образ - набор терминов (словосочетаний) с заданным определенным весом. Есть там точные термины, имеющие вероятность 100% ("это не спам", "ваш адрес получен из открытых источников", "чтобы больше не получать этого письма"), есть вероятностные - словосочетания, которые с определенной вероятностью указывают на то, что письмо является спамом, например, "посетите наш сайт", "Nigeria", "unsubscribe". Наша база фильтрации содержит более 50000 терминов, которые постоянно обновляются и ротируются. Сигнатуры же текстов позволяют сравнить, не встречалось ли такое (или "почти такое") письмо уже в ранее рассылавшемся спаме. Причем, если сопоставить идентичные тексты достаточно тривиально, то мы идем дальше - формат сигнатур позволяет "ловить" и модифицированные тексты, которые несут то же содержание, но перефразированы, "зашумлены" бессмысленными текстовыми вставками для обхода спам-фильтров и т.д. В последнее время рассылается все больше графического спама, и самого разного - со ссылкой в виде картинки, с текстом на картинке, который в каждом письме повернут на определенный угол и т.д. С такими письмами борются наши технологии детектирования графического спама. А технология Urgent Detection System, о которой вы упомянули? — Это одно из главных нововведений в новом Kaspersky Anti-Spam 3.0 и большой шаг вперед в вечной гонке "спамеры против антиспамеров". Здесь нужно сделать небольшой экскурс в область того, как рассылается спам сегодня. Раньше основная масса рассылок шла через открытые релеи - неверно настроенные почтовые сервера в Интернете, через которые каждый мог анонимно послать что угодно и кому угодно. Спам через открытые релеи рассылался массово, но достаточно медленно. Большие рассылки могли длиться даже сутками - ведь производительность одного сервера ограничена. Все спохватились и начали в срочном порядке с этими релями бороться, в итоге доля спама, рассылаемого с открытых релеев, упала почти до нуля. Благо выявлять открытые релеи научились быстро и эффективно. Спамеры перешли к более технологичной (и гораздо более опасной для рядовых пользователей) тактике. Появились так называемые зомби-сети, когда вредоносной программой заражается очень большое число ПК в Интернете, вплоть до сотен тысяч хостов, и контроль над ними переходит злоумышленнику. Тот в свою очередь начинает эти сети сдавать в аренду - другим хакерам для проведение DDoS атак или спамерам. Владельцы же ПК могут ни о чем не подозревать, в то время как с их компьютера рассылаются тысячи сообщений в день. Сегодня зомби-сети - самая большая беда, более 95% спама рассылается именно с них. При этом спамеры научились координировать тысячи "захваченных" ПК таким образом, чтобы каждое письмо несло в себе некую модификацию, "шум", который бы не позволял его идентифицировать с другими письмами из той же рассылки, посланными с других зомби-компьютеров. Такие рассылки тоже проходят медленно, по нескольку часов. Другие же типы зомби-сетей рассылают действительно идентичные письма, но максимально быстро. Например, несколько миллионов сообщений за 1 час. Цель - "протолкнуть" рассылку, пока на нее еще не отреагировали антиспамерские организации. И вот здесь нам есть что сказать. Мы реагируем на такой спам уже через секунду после его обнаружения спам-аналитиком (даже если спамеру удалось "обмануть" все остальные методы, что весьма нетривиально). Технология Urgent Detection System работает следующим образом. Если письмо не было отнесено к спаму всем комплексом методов (и, возможно, это просто "чистое" письмо), продукт запрашивает специальный отдельный сервер - "а не рассылается ли прямо сейчас в Интернете точно такое же сообщение?". Данные на этом UDS-сервере пополняются спам-аналитиками. Если несколько секунд назад рассылка была замечена, продукт получит от сервера ответ - "это спам" - и заблокирует сообщение. Таким образом, по сути, мы используем 2 типа обновлений, один из которых функционирует в режиме реального времени. Еще раз подчеркну, что основа нашего продукта - это отлаженная работа круглосуточной службы, спам-лаборатории, обеспечивающей нашу скорость и качество реакции, а также скорость доставки продукту обновленной информации о новых рассылках и методах борьбы с ними, комплексность методов оценки сообщений. Расскажите, как работает антиспам-лаборатория "изнутри", как готовятся обновления. — Группа спам-анлитиков занимается мониторингом спамерской активности, выявлением новых признаков спама и правил анализа сообщений, подготовкой баз обновлений. Работа ребят в лаборатории крайне важна и неотделима от самого продукта. По сути, если установленный у клиента Kaspersky Anti-Spam - это мотор, то обновления баз от антиспам-лаборатории - его бензин. Сейчас группа спам-аналитиков включает 17 человек, постоянно появляются новые люди, специалисты по новым языкам. Это специалисты с высшим лингвистическим образованием, с опытом работы в области прикладной лингвистики и искусственного интеллекта. Их работа - это непрерывный анализ спама, рассылаемого "прямо сейчас". Анализируется спам, поступивший из расставленных в Интернете ловушек для спама, а также присланный клиентами как нераспознанный. Лингвисты проверяют всю эту массу модулем фильтрации и отделяют новые письма, то есть те, которые не распознаются по текущей базе. Затем они классифицируют письма, пропущенные фильтром: отделяют "чистые" письма (такие в потоке присланного спама иногда попадаются), затем раскладывают спам по рубрикам. Во-первых, в базу сразу же добавляются сигнатуры (образцы) всех нераспознанных писем. Это помогает распознаванию "повторных" писем или писем, присланных второй раз, но несколько модифицированных. Во-вторых, информация о письме сразу же попадает в базу UDS-сервера. Затем спам-аналитики начинают тонкий анализ: выделяют в письмах новые термины, назначают им веса и добавляют их в семантические образы. Это подготовка данных для следующего этапа - работы эвристического анализатора. ПО лингвиста позволяет делать все это очень быстро и эффективно: выделил мышкой, перетащил в рубрику, кликнул по стрелочке - назначил вес. Встроенные средства контроля позволяют сразу проверить качество распознавания: улучшилось ли, не ухудшилось ли для других писем, не появляются ли ложные срабатывания. Помимо этого, спам-аналитики параллельно занимаются анализом "конверта" письма, то есть его формальных признаков (отправитель, получатель, путь следования и т.п.) и созданием новых правил для распознавания по этим признакам. Группа работает круглосуточно (24х7х365), обновления антиспам-баз выкладываются строго каждые 20 минут, а данные для системы UDS выкладываются в режиме реального времени. Бытует мнение, что российский спам хорошо ловится только российскими программами, а, скажем, англоязычный -западными. Что Вы думаете по этому поводу? — Какие бы методы для отсева спама не использовались, ясно, что спамеры не сидят на месте, и эти методы требуют постоянной подстройки, модификации. Чтобы понять, как их модифицировать для поддержания должного уровня детектирования, нужно те или иные аспекты спама анализировать - вручную ли, автоматически ли. А вот какого спама? Того, который приходит на адреса в США? В Европе? Или в России? Какие-то рассылки адресуются исключительно американским аккаунтам, какие-то - исключительно российским. И рассылки эти отличаются значительно - содержательно и технически. Поэтому, чтобы бороться со спамом приходится анализировать как глобальные рассылки, так и точечные, географически локальные. Естественно, что у российских вендоров для российского спама это получается лучше, чем у западных. Просто больше внимания этому уделяется. Но сказать, что при этом русские продукты не фильтруют западный спам - неверно. Тот же самый англоязычный спам интернационален, его можно найти в любой стране. Мы также поддерживаем лингвистику для немецкого, французского, испанского. И не забывайте о методах распознавания, которые вообще к языку не привязаны! Наш Kaspersky Anti-Spam трудится и у крупных восточноевропейских провайдеров, в Германии, Франции, Италии, Австралии, Японии. Трудится на совесть. Во всех этих странах еще есть, куда шагать, пока мы там еще маленькие и незаметные. Но это уже задача для наших продавцов и маркетологов. А мы пока продолжим совершенствовать продукт. И круглосуточно следить за спамом. Интервью провел Виктор Дронов Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005