Электронный журнал "Спамтест" No. 198 в этом номере: Новости Спам - статистика за период 30 июля - 5 августа 2007 г. Современные системы аутентификации отправителя: SIDF и DKIM Новости Пользователям электронной почты следует быть более бдительными при получении писем с PDF-вложениями 06.08.2007 Спамеры продолжают активно использовать вложения в формате PDF. По оценке компании MessageLabs, в июле доля PDF-спама составила около 20% от общего числа графического спама, что на 10% больше по сравнению с июнем. При этом, по данным компании, доля графического спама составляет около 22% всего спама. Согласно предположениям специалистов компании, подобный выбор спамеров обусловлен тем, что спам с PDF-вложениями сравнительно легко обходит антивирусную защиту и спам-фильтры. "Алгоритмы детектирования спама, применяемые по отношению к созданным в Word, PowerPoint и Excel документам, оказываются малоэффективными в случае с PDF-файлами", - говорит Эндрю Антал (Andrew Antal), директор по маркетингу MessageLabs. К тому же, по словам Антала, многие пользователи электронной почты склонны доверять PDF-вложению, даже если отправитель письма им не известен. По их мнению, произвести изменения в PDF-файле гораздо сложнее, нежели в DOC, PPT и XLS, а потому больше гарантии, что файл прислан в первоначальном виде и безопасен. При этом большая часть PDF-спама представляет собой рекламу дешевых акций (реализация схемы накачки и сброса) и сомнительных препаратов "для здоровья". Что касается вредоных программ, то PDF-вложения могут также быть опасны, хотя внедрить какую-либо вредоносную программу непосредственно в PDF-файл - так, чтобы она запускалась при его открытии, - задача для злоумышленников весьма сложная. Чаще всего рассылаемый PDF-документ включает замаскированную ссылку, ведущую на веб-сайты, содержащие зараженный код. По мнению экспертов, появление PDF-спама свидетельствует о том, что корпоративные сети нуждаются в более серьезной, "многослойной" защите - на уровне и шлюзов, и серверов, и почтовых клиентов. А пЫользователям следует быть столь же бдительными в отношении PDF-файлов, как и при открытии вложений других форматов. Источник: ZDNet Четверть всего спама рассылается в виде вложений 07.08.2007 По данным копании Marshall, спам, содержащий вложения в форматах pdf, excel, txt и zip, составляет почти 25% от всего объема спама. В то же время количество лидирующего ранее графического спама снизилось до 6%. По мнению Эда Хоулея (Ed Howley), главы технических продаж компании Marshall, если спамеры усовершенствуют используемые ими методы социальной инженерии, Великобритания может столкнуться с кризисом в защите от опасного спама. Cпамеры способны разузнать о своих адресатах достаточно много и проводить таргетированные рассылки, заманивая новые жертвы убедительным содержанием писем. "Это называется целевым фишингом", - объясняет Хоулей. - "Вы пребываете в полной уверенности, что вложенный документ относится к вашему бизнесу - и попадаетесь на удочку". Источник: ComputerWeekly.com Владелец интернет-аптеки приговорен к 30 годам тюремного заключения 07.08.2007 Федеральный судья штата Миннесота приговорил Кристофера Вильяма Смита (Christopher William Smith) к 30 годам заключения по многочисленным обвинениям в незаконной онлайн-торговле фармацевтическими препаратами. Смит, получивший прозвище Rizler, известен как один из самых злостных спамеров мира и "прославился" проведением миллиардных рассылок, рекламирующих традиционные спам-товары: Виагру, порно, дешифраторы для кабельного ТВ и препараты для увеличения полового члена. В 2006 году служба AOL выиграла гражданский иск против Смита и добилась возмещения им убытков на сумму $5,3 млн. за использование ресурсов AOL при рассылке спама. Впервые Смит был арестован в 2005 году, когда после запрета вести торговлю на территории США переместил свой интернет-бизнес XPress Pharmacy в Доминиканскую Республику. Объем продаж интернет-аптеки Смита составил порядка $24 млн. В рамках дела об онлайн-продажах фармацевтических препаратов в прошлом году федералы уже продали 17 автомобилей Смита на аукционе, выручив за них более $1,6 млн. Адвокат Смита заявил, что за 20 лет практики ни разу не слышал, чтобы срок давали за интернет-аптеки. Однако, хотя Федеральный закон Controlled Substances Act запрещает распространение без рецепта только некоторых категорий лекарств, в последние годы законодатели ввели ряд поправок, позволяющих применять этот закон и к интернет-продажам. Источник: CNET NEWS.com Спамеры тоже любят Симпсонов 08.08.2007 Выход в свет полнометражной версии знаменитого анимационного сериала "Симпсоны" не остался без внимания спамеров. Используя спамовые письма, имитирующие опрос будущих зрителей нового фильма, спамеры собирают адреса для последующих рассылок. В письме с вложенным изображением Гомера Симпсона в нижнем белье пользователя спрашивают, собирается ли он смотреть фильм "Симпсоны". Для участия в опросе необходимо заполнить форму и указать свой электронный адрес, который в результате попадает в базу рассылки спама. Для большего эффекта участникам опроса обещан розыгрыш призов. Практика использования любых информационных поводов, способных привлечь внимание получателей, обычна для спамеров. Они ищут возможность поживиться на любом нашумевшем событии, будь то премьера нового фильма, перестрелка в вирджинском Технологическом колледже или стихийное бедствие, повлекшее многочисленные жертвы. Источник: InfoWorld Фотографии животных могут помочь в борьбе со спамом 08.08.2007 Фотографии кошек и собак могут помочь бороться со спамом. С таким заявлением выступил Кевин Ларсон (Kevin Larson), один из исследователей компании Microsoft. Многие почтовые сервисы используют систему безопасности HIPs (Human Interactive Proofs), позволяющую блокировать автоматическое создание почтовых аккаунтов ботами. Чтобы зарегистрировать новую учетную запись, пользователю необходимо распознать символы на искаженной картинке и ввести их в специальное поле. Сама Microsoft применяет данную технологию в течение 5 лет. Система была достаточно результативна: в первый день использования Hotmail HIPs число зарегистрированных почтовых аккаунтов сократилось на 20%. Однако проблема в том, что спамеры уже научились обходить ее. Идея Ларсона заключается в замене картинки с символами на 16 или более чередующихся фотографий, предназначенных для идентификации пользователями объектов. В частности, речь идет об изображениях прыгающего по комнате котенка. Правда, в этом случае для специалистов Microsoft может стать проблемой создание и поддержка в актуальном состоянии огромного каталога фотографий. В качестве альтернативы предлагается использование коротких видеороликов с теми же животными. Учитывая, что в мире ежедневно рассылается около 90 миллиардов спамовых писем, такие компании, как Yahoo, Google и Microsoft, предлагающие бесплатные почтовые услуги, заинтересованы в блокировании спама. Если метод Ларсона будет реализован на практике и окажется эффективным, он может стать серьезным препятствием на пути спам-ботов. Источник: TECHWORLD Спам - статистика за период 30 июля - 5 августа 2007 г. "Лаборатория Касперского" Объем и тематические особенности спама Доля спама в общем почтовом трафике Рунета за последнюю неделю составила в среднем около 79,6%. Прошедшая неделя примечательна исключительно массовой спамерской рассылкой, содержащей письма со случайными последовательностями цифр в теме и теле сообщений. Другого контента в них не было. Обычно подобные <бессодержательные> спам-рассылки являются тестовыми и идут недолго, но активно. Так было и в этот раз. Тематическое распределение спама на прошедшей неделе не претерпело серьезных изменений. Наиболее значительно увеличилась доля тематики "Услуги по электронной рекламе" (+5,6%), в результате реклама спамерских услуг составила 12,3% всего спама. Рубрика <Остальной спам> обязана своими высокими показателями в первую очередь рассылкам, содержащим предложения вакансий. Услугами спамеров воспользовалась одна ремонтно-строительная организация, распространившая таким образом объявление о наборе отделочников. Одной из самых массовых рассылок на этой неделе было предложение, адресованное владельцам дач. Этот спам рекламировал интернет-магазин, специализирующийся на продаже электротоваров для дома и дачи. (Пример такого письма можно увидеть ниже.) Одним из самых оригинальных предложений на прошедшей неделе оказался спам, предлагающий скачать программу для чтения смс-сообщений на чужих мобильных телефонах. Если верить утверждениям злоумышленников, для чтения смс достаточно скачать эту программу и указать интересующий телефонный номер. Сама по себе эта идея не нова, подобные рассылки уже имели место. Как и в предыдущих случаях, при ближайшем рассмотрении обнаруживается, что по ссылке, содержащейся в спамовом письме, располагается не исполняемый файл чудо-программы, а вредоносная программа Backdoor.Win32.IRCBot. Спамерами был использован испытанный метод социальной инженерии: любопытство и желание приоткрыть завесу чужих тайн побуждает пользователя заглянуть во вложение, что в итоге приносит вред ему самому. Популярные тематики No Тематика Описание Доля тематики Изменения за неделю 1 Медикаменты; товары/услуги для здоровья Предложения приобрести лекарственные препараты, БАД-ы и т.п. в online. Предложения медицинских и оздоровительных услуг, а также сопутствующих товаров. 22,8% +1,3% 2 Другие товары и услуги Предложения других товаров и услуг 17,0% -2,8% 3 Услуги по электронной рекламе Предложения организовать спамерскую рассылку, программы для рассылок, базы электронных адресов и т.п. 12,3% +5,6% 4 Образование Реклама семинаров, тренингов, курсов 11,9% +4,3% 5 Компьютеры и Интернет Предложения приобрести ПО, компьютерную технику, расходные материалы; также предложения для владельцев сайтов (хостинг, обмен баннерами и т.п.) 8,8% -3,0% 6 Компьютерное мошенничество Фишинг, "нигерийские" письма, поддельные извещения о выигрыше в лотерею и пр. попытки мошенничества 8,2% +1,5% 7 Остальной спам   7,5% +5,1% 8 Отдых и путешествия Предложения туристических поездок, а также организации и проведения различных развлекательных мероприятий. 6,9% -3,7 9 Недвижимость Предложения сдать/снять недвижимость, строительство, риелторские услуги и пр. Менее 2% -0,9% 10 Спам "Для взрослых" Предложения скачать/получить/ознакомиться с контентом "для взрослых". Знакомства и т.п. Менее 2% Без изменений 11 Личные финансы Предложения по страхованию, уменьшению кредитной задолженности, выгодным условиям займов и т.п. В подавляющем большинстве англоязычные письма. Менее 2% -1,6% 12 Полиграфия Визитки, календари, печать, услуги типографии и пр. Менее 2% -1,5% Образчики самого массового и самого оригинального спама вы найдете на сайте Спамтест. Современные системы аутентификации отправителя: SIDF и DKIM Татьяна Никитина Возникновение идеи установления подлинности отправителя онлайн-корреспонденции, использующего каналы электронной почты, было обусловлено беззащитностью протокола SMTP в условиях расширения масштабов интернет-угроз. Умышленная подмена или модификация адреса отправителя стали излюбленным приемом спамеров и фишеров, стремящихся уйти от юридического преследования и ограничительных мер со стороны интернет-провайдеров. По экспертным оценкам, в настоящее время более 95% фишерских сообщений препровождаются фальсифицированным адресом отправителя. Распространению спама невольно способствует и принцип работы МХ-серверов, которые обязаны принимать корреспонденцию от любого клиента в Сети и доставлять ее обслуживаемым клиентским системам. По данным IETF, в современном Интернете насчитывается более 70 миллионов доменов, а число пользовательских адресов в значительной мере превышает эту цифру. В подобной ситуации гарантировать подлинность источника электронных сообщений может надежный механизм аутентификации. SIDF Разработанная Microsoft технология аутентификации Sender ID Framework (SIDF) требует публикации в DNS так называемых SPF-записей. SPF-запись вносится интернет-провайдером или владельцем домена в свой файл зон DNS-сервера и представляет собой текстовую запись всех IP-адресов серверов исходящей почты с указанием домена. Принимающий сообщение SMTP-сервер запрашивает наличие SPF-записи в соответствующем файле в DNS. При наличии записи производится проверка IP-адреса отправляющего сервера по списку авторизованных к рассылке IP-адресов. Механизм SIDF предусматривает проверку адреса отправителя не только на уровне SMTP, но и адресов, указанных в теле письма в строке "From" ("Отправитель"). По окончании проверки письмо соответствующим образом помечается (сервисы Hotmail и MSN отражают результаты проверки в особом окне), и SIDF разрешает серверу получателя провести анализ сообщения на основе репутации, контента и прочих критериев, установленных местным регламентом. Использование SIDF, по заверениям разработчиков, не требует изменения инфраструктуры, обновления программного обеспечения и не зависит от программного обеспечения клиента и сервера. Как показала практика, внедрение данной технологии в корпоративный обиход требует постоянного внимания и активности, а при наличии обширной потенциальной клиентуры, не всегда обеспеченной поддержкой SIDF, приходится затрачивать определенные усилия на настройку бесперебойной работы корпоративного почтового сервера и сохранение легитимных писем, не прошедших проверку на подлинность отправителя. Кроме того, SIDF страдает от проблем с пересылкой сообщений и неудобна для пользователей мобильной связи, использующих различные SMTP-серверы. "Обкатка" SIDF показала, что ее использование обходится вовсе не так дешево, как изначально предполагалось, и затраты на техническую поддержку могут быть весьма значительными. По экспертному мнению, наличие лицензионных ограничений на использование спецификаций SIDF в значительной мере замедлило темпы ее внедрения. Когда же Microsoft открыла неограниченный доступ к этой технологии, некоторые организации выразили несогласие с рядом формулировок, содержащихся в бесплатном лицензионном соглашении. По оценке Microsoft, SIDF защиoftn более 8 миллионов доменов; технологию используют такие компании как Alt-N, Barracuda, Cloudmark, Exchange Hosted Filtering, Iconix Message Systems, Port25 Solutions, Secure Computing, Sendmail, Sonic Wall, Strongmail, Symantec и Tumbleweed. Тем не менее, по данным MediaPost, только 43% легитимной почты сертифицируется Sender ID, а open-source сообщество пока предпочитает обходиться собственными решениями. DKIM Технология DKIM, объединяющая спецификации Yahoo DomainKeys и Cisco Internet Identified Mail (IIM), не только обеспечивает верификацию отправителя, но и гарантирует целостность доставленного электронного послания. Механизм DKIM предусматривает сопровождение писем шифрованной цифровой подписью, добавляемой в служебный заголовок письма и невидимой конечному получателю. Легитимность электронной подписи автоматически проверяется на стороне получателя, после чего прошедшее DKIM-проверку письмо подвергается штатной обработке и/или направляется конечному адресату. Если указанный источник сообщения не был уполномочен производить рассылку, письмо может быть идентифицировано (по усмотрению интернет-провайдера) как спамовое или фишинговое сообщение. Политика принимающей стороны может запрещать прием писем без DKIM-подписи из поддерживающих DKIM источников. Технология DomainKeys работает как стандартная криптосистема. Для каждого сервера генерируется одна или несколько пар ключей для асимметричного шифрования. Открытый ключ публикуется в DNS и вносится в запись txt-ресурса политики субдомена domainkey. Закрытый (приватный) ключ "привязан" к политике и загружается поддерживающим DKIM почтовым ПО. В связи с возможностью модификации электронных сообщений в процессе пересылки они по мере необходимости преобразуются согласно требованиям SMTP-стандарта (7-бит MIME), то есть обретают форму, в которой и будут представлены адресату. Сервер-отправитель (или пользовательский почтовый агент) затем с помощью закрытого ключа генерирует шифрованную подпись, которая отражает информацию, взятую из заголовков письма. Во избежание злоупотреблений DKIM-подпись должна обязательно включать данные из читаемых адресатом полей From ("От"), Sender ("Отправитель"), Subject ("Тема"), Date ("Дата"), To ("Кому"). DKIM-подпись ставится отдельным заголовком к письму и предваряет все прочие заголовки. Заголовок DKIM может выглядеть следующим образом: DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws; s=s1024; d=yahoo.com; h=Message-ID:Received:Date:From:Subject:To: MIME-Version:Content-Type:Content-Transfer-Encoding; b=o3PMxZIlFKjVfLJUugi1uubwjHnE0IIu1tsDG/ c6SwXYfW842s1df01fR+UF0QmnVhVCaTa3x NiGZZeqSITw6oLLNv5zvdCqd6BrkkkuucPPxvTV/ VuM9Uhw5R9bNU50Fg+B89/ RmkciPJkluHEX+RLaZ3d/P1adg+edL1Pwxbo= Поддерживающее DKIM ПО принимающей стороны удостоверяет легитимность шифрованной подписи, извлекает из нее имя домена и запрашивает открытый ключ и записи txt-ресурса у сервера DNS. С помощью считанного из DNS ключа система-реципиент генерирует DKIM-подпись и сравнивает ее с полученной, фиксируя результат. При подтверждении полномочий заявленного в письме отправителя письмо доставляется адресату в соответствии с местным регламентом; не прошедшая проверку корреспонденция сбрасывается, отклоняется или отправляется в карантин. Поскольку открытый ключ в любой момент может быть заменен или отозван отправителем, рекомендуется производить верификацию своевременно. В отличие от Sender ID, DKIM при верификации отправителя опирается на имя домена, так как разработчики данной технологии считают, что оно стабильнее IP-адреса и точнее идентифицирует реального адресата. Эта технология исключает проблемы с переадресацией сообщений, присущие SIDF. DKIM не нарушает инфраструктуру современного почтового сервиса, ее ключи могут храниться в любом формате вне зависимости от типа сервера, а заголовки совместимы с SMTP-стандартом, не требуют MIME-поддержки и могут генерироваться как на уровне SMTP-сервера (MTA, MSA/MDA), так и на уровне пользователя (MUA). Верификацию могут производить и промежуточные MTA, добавляя в письмо соответствующий заголовок, что упрощает фильтрацию почты на уровне MUA, настраиваемых пользователями. В принципе DKIM автоматически функционирует в серверном звене, ничего не требуя от пользователя. В отличие от SIDF, использование данной технологии подразумевает проведение определенных модификаций программного обеспечения почтовых серверов и клиентов. Необходимость поддержки DKIM обеими сторонами - отправителем и получателем - рассматривается специалистами как серьезный недостаток. Кроме того, использование DKIM требует дополнительных накладных расходов на обработку почтовых сообщений, более частых просмотров записей DNS, что увеличивает нагрузку на вычислительные ресурсы почтовых серверов и отражается на количестве обрабатываемых ими сообщений. Процедура обновления ПО упрощается, если сервер уже поддерживает прототип DKIM - DomainKeys. В настоящее время разработаны DKIM-плагины для многих популярных MTA. DomainKeys успешно используется в почтовых сервисах Yahoo и Google (Gmail). Поддержка проверки отправителя по технологии DomainKeys имеется в SpamAssassin начиная с версии 3.1. Спецификации DKIM предложены IETF к публичному обсуждению и оценке в качестве проекта стандарта аутентификации RFC 4871. Публикация формального проекта и его официальное утверждение, после которого можно будет стандартизировать новый заголовок в качестве расширения SMTP, будет способствовать более широкому внедрению данной технологии. Аутентификация и проблема спама Стоит еще раз подчеркнуть, что использование механизма аутентификации само по себе не решает проблему спама, оно только ограждает от подделки адреса отправителя и предоставляет информацию для принятия решений. В комбинации с другими политиками безопасности этот механизм может дать более высокий эффект. Системы аутентификации осваивают не только легальные пользователи, но и спамеры. Компьютерные мошенники нередко прибегают к законной регистрации доменных имен, схожих с именами распространенных онлайн-сервисов (например, verify-paypal.com). Легальные организации, в свою очередь, могут просто не внести соответствующие записи и ключи в DNS и стать жертвами фальсификаторов. Рассылать спам могут и зомби-компьютеры - "подлинные" отправители, с точки зрения SIDF и DKIM. Тем не менее, возможность проследить нелегитимную рассылку до IP-адреса или домена позволяет принять надлежащие меры и повышает вероятность поимки ее инициаторов. Насколько обе рассмотренные технологии приближены к идеалу, покажет их проверка в реальных условиях эксплуатации. В настоящее время большая часть писем, циркулирующих в почтовом трафике, не имеет цифровой подписи. Если же подтверждающие полномочия заголовки войдут в обиход, то их отсутствие либо рассылка писем из авторизованных источников с плохой репутацией помогут точнее классифицировать входящую корреспонденцию как нежелательную. В принципе технологии SIDF и DKIM комплементарны и могут использоваться совместно. Создатель SPF Мен Вонг (Meng Wong) разработал проект сети Unified SPF, поддерживающей одну и более систем аутентификации отправителя в зависимости от настроек системного администратора. Вонг уверен, что разнообразие - это преимущество, а не предмет для войны стандартов. Написать письмо Прислать статью редактору Мнение редакции не всегда совпадает с мнением авторов материалов. Редакция оставляет за собой право не публиковать присланную статью без объяснения причин. Присланные статьи не рецензируются. (C) "Лаборатория Касперского", 1997 - 2005