Весь этот спам: современный уровень угроз и технологии защиты

Спам буквально преследует пользователей – в почте, в мессенджерах, в блогах и поисковых системах. Горы электронного мусора захламляют каналы связи и затрудняют процессы коммуникации. Но, пожалуй, больше всех страдает электронная почта и ее пользователи. Что современная ИT-индустрия может противопоставить спаму? Как защитить свои почтовые серверы?

Об авторе

Анна Власова – начальник группы спам-аналитиков ЗАО «Лаборатория Касперского». В проектах, связанных с разработкой спам-фильтров и аналитикой незапрошенного почтового трафика, работает около пяти лет – до 2005 года в компании «Ашманов и Партнеры», затем – в «Лаборатории Касперского».

«Наш спам достанет вас и ваших клиентов» (цитата из спама)

С каждым годом почтового мусора становится все больше. Всего 5–6 лет назад его было не более 30% от всей почты, но после взрывного роста объемов корреспонденции в 2003–2004 годах доля спама в общем почтовом трафике взлетела до 60–85% и снижаться пока не собирается. Почему так много? Такова стратегия, которую изначально избрали его производители. Они сделали ставку на массовость. В спаме не существует таргетинга – выбора целевого объекта рассылки. Письма рассылаются всем, кого только можно достать – в надежде, что кто-то перейдет по ссылке в письме, купит товар, позвонит по телефону.

Над рассылкой спама трудятся целые команды. Идет сбор почтовых адресов, пишутся специализированные программы для быстрой анонимной рассылки, арендуются зомби-сети, идет поиск заказчиков спам-рассылок. С 1994 года – даты рождения нежелательной корреспонденции, спам превратился в мощную индустрию с разветвленной инфраструктурой. В этом бизнесе вращаются серьезные денежные средства. Логично предположить, что параллельно с нею развиваются и системы защиты. К нашему времени они уже выросли в отдельное направление в разработках по ИT-безопасности.

Вред от спама

Почему со спамом нужно бороться? Начав с относительно скромных по масштабам рекламных рассылок, он постепенно вырос в серьезную техническую, экономическую и даже социальную угрозу.

1. Нагрузка на коммуникации. Нежелательная корреспонденция замусоривает каналы связи, создает трафик, оплачивать который приходится либо провайдеру, либо пользователю (самому или работодателю, если речь идет о рабочем почтовом ящике). Еще три года назад президент Ассоциации документальной электросвязи Александр Иванов оценил ущерб от спама операторов сети Интернет в 55 млн. долл. И это только затраты на трафик, а ведь есть еще физические мощности – почтовые серверы, принимающие и обрабатывающие этот мусор. Есть специалисты, которые эти серверы обслуживают. Эта инфраструктура тоже стоит денег.

2. Потеря времени. Если спам добрался до конечного почтового ящика, то его владелец будет вынужден вручную вычищать мусор из почты. Сотрудник, читающий в день 10–20 нужных по работе писем, вместе с ними может получить 160–180 спамерских сообщений. Время, потраченное на его удаление (5–6 ч в месяц), потеряно для рабочего процесса, будучи оплаченным из кармана работодателя.

3. Раздражение и недовольство. Удаляя спам, пользователь, по сути, работает электронной уборщицей. Это не может его не раздражать, порождая еще один негативный фактор – эмоциональный.

4. Случайная потеря нужного письма в пачке нежелательных. Комментарии излишни – с этой проблемой сталкивался каждый.

5. Криминализация спама. С каждым годом спам теряет свою рекламную составляющую и все больше криминализируется. Предпосылкой этого процесса служит анонимность рассылок, что создает иллюзию полной безнаказанности.

Широко известны такие виды криминализированной почты, как нигерийские письма и фишинг. Спамеры проявляют редкую активность в изобретении новых объектов атак и «приманок» для пользователя. Российские спамеры ведут настоящую охоту за логинами-паролями к ящикам бесплатных почтовых служб – Яндекс.Почта и Mail.ru.

Эксперты оценивают суммарные убытки от спама в несколько десятков миллиардов долларов ежегодно. В результате защита от нежелательных рассылок оказалась не просто желательной, а остро необходимой.

В современном мире защита от спама – такая же необходимая составляющая общей системы ИT-безопасности, как и антивирусная защита.

Технологии защиты

Современная спам-рассылка распространяется в сотнях тысяч экземпляров всего за несколько десятков минут. Чаще всего письма идут через зараженные вирусами пользовательские компьютеры – зомби-сети. Что можно противопоставить этому натиску? Современная индустрия ИT-безопасности предлагает множество решений, ниже перечислены только наиболее известные и распространенные.

Черные списки

Они же DNSBL (DNS-based Blackhole Lists). Это одна из наиболее старых антиспамовых технологий, которая подразумевает блокировку почты, идущей с IP-серверов, перечисленных в списке.

• Плюсы: черный список на 100% отсекает почту из подозрительного источника.
• Минусы: дают высокий уровень ложных срабатываний, поэтому применять следует с осторожностью.

Контроль массовости (DCC, Razor, Pyzor)

Технология предполагает выявление в потоке почты массовых сообщений, которые абсолютно идентичны или различаются незначительно. Для построения работоспособного «массового» анализатора требуются огромные потоки почты, поэтому эту технологию предлагают крупные производители, обладающие значительными объемами почты, которую они могут подвергнуть анализу.

• Плюсы: если технология сработала, то она гарантированно определила массовую рассылку.
• Минусы: во-первых, «большая» рассылка может оказаться не спамом, а вполне легитимной почтой (например, Ozon.ru, Subscribe.ru тысячами шлют практически одинаковые сообщения, но это не спам). Во-вторых, спамеры умеют «пробивать» такую защиту с помощью интеллектуальных технологий. Они используют ПО, генерирующее разный контент – текст, графику и т. п. – в каждом спамерском письме. В итоге контроль массовости не срабатывает.

Проверка интернет-заголовков сообщения

Спамеры пишут специальные программы для генерации своих сообщений и их мгновенного распространения. При этом они допускают ошибки в оформлении заголовков, в результате их рассылки далеко не всегда соответствуют требованиям почтового стандарта RFC, описывающего формат заголовков. По этим ошибкам можно вычислить спамерское сообщение.

• Плюсы: процесс распознавания и фильтрации спама прозрачный, регламентированный стандартами и достаточно надежный.
• Минусы: спамеры быстро учатся, и ошибок в заголовках становится все меньше. Использование только этой технологии позволит задержать не более трети всех рассылок

Контентная фильтрация

Также одна из старых, проверенных технологий. Спамерское сообщение изучается на наличие специфических слов, фрагментов текста, картинок и других характерных черт. Контентная фильтрация начиналась с анализа темы сообщения и его частей, содержащих текст (plain text, HTML), но сейчас спам-фильтры проверяют все части, включая графические вложения.

В результате анализа может быть построена текстовая сигнатура или произведен подсчет «спамерского веса» сообщения.

• Плюсы: гибкость, возможность быстрой тонкой настройки. Системы, работающие на такой технологии, легко подстраиваются под новые виды спама и редко ошибаются с разграничением «зерен и плевел»
• Минусы: обычно требуются обновления. Настройкой фильтра занимаются специально обученные люди, иногда – целые антиспам-лаборатории. Такая поддержка дорого стоит, что сказывается на стоимости фильтра. Спамеры изобретают специальные трюки для обхода этой технологии: вносят в спам случайный «шум», затрудняющий поиск патогномоничных характеристик сообщения и их оценку. Например, используют в словах небуквенные символы («vi_a_gra», «vi@gr@»), генерируют вариативный цветной фон в изображениях и т. п.

Контентная фильтрация: байес

Статистические байесовские алгоритмы также предназначены для анализа контента. Они не нуждаются в постоянной настройке. Все, что им требуется, – это предварительное обучение. После этого фильтр подстраивается под тематику писем, типичную для данного конкретного пользователя. Тем самым, если пользователь работает в системе образования и проводит тренинги, то лично у него такие сообщения не будут распознаваться, как спам. У тех, кто предложения посетить тренинг встречает только в нежелательной рассылке, статистический фильтр отнесет такие сообщения к спаму.

• Плюсы: индивидуальная настройка.
• Минусы: лучше всего действует на индивидуальном потоке почты. Настроить «байес» на корпоративном сервере с разнородной почтой – сложная и неблагодарная задача. Главное, что конечный результат будет намного хуже, чем для индивидуальных ящиков. Если пользователь ленится и не обучает фильтр, то технология не сработает. Спамеры специально работают над обходом байесовских фильтров, и это у них получается.

Грейлистинг

Временный отказ в приеме сообщения. Отказ идет с кодом ошибки, который понимают все почтовые системы. Спустя некоторое время они повторно присылают сообщение.

• Плюсы: да, это тоже решение.
• Минусы: задержка в доставке почты. Для многих пользователей такое решение неприемлемо.

«Серебряная пуля»

Универсального решения просто не существует. Большинство современных продуктов объединяет в себе набор нескольких технологий, иначе эффективность продукта будет невысока. В конечном итоге пользователь выбирает не столько технологию, сколько продукт. Исключение составляют черные списки, которые одновременно представляют собой и отдельную технологию, и самостоятельный продукт, который может быть подключен в любой почтовой системе.

Проблема выбора

На российском рынке представлено сразу несколько типов решений для защиты от спама.

Программные решения

Коммерческие и open source. Это решение для тех, кто хочет встроить антиспам в свою почтовую инфраструктуру, т. е. максимально контролировать процесс фильтрации писем. Антиспам может встраиваться в программный шлюз или интегрироваться с используемым почтовым сервером. Преимущества коммерческих продуктов в том, что они легко устанавливаются, начинают эффективно работать без дополнительных настроек (эти настройки в них предусмотрены) и обеспечивают дальнейшую поддержку фильтра данными и обновлениями. Продукты open source подходят для тех, кто готов долго (на самом деле – постоянно) возиться с настройками фильтра под конкретную среду и ситуацию, но зато дают возможность самостоятельно «держать руку на пульсе» спама – изменять и даже создавать свои правила фильтрации.

Из этой категории решений в России популярны: Kaspersky Anti-Spam, Trend Micro InterScan, Symantec Brightmail, SpamOborona, Spam Assassim (продукт open source).

Аппаратные решения

Подходят для тех, кто больше доверяет «железу». Покупатель получает некий «черный ящик», который тем не менее убедительно справляется со своей задачей.
В действительности, покупатель получает некий сервер с предустановленной усеченной версией ОС и антиспамерским ПО. В комплект также входят средства дистанционного управления. Настройки минимальны, встраивание в почтовую инфраструктуру простое. Однако из-за менее гибких настроек вероятны проблемы со специфическим локальным (например, русскоязычным) спамом.

В России представлены Barracuda Networks, BorderWare, CipherTrust, Proofpoint.

Сервисы

Сервис минимизирует ресурсные затраты покупателя. Спам (а также сообщения с вредоносным ПО) фильтруются не на серверах покупателя, а не серверах компании, предоставившей сервис. Там же он хранится и архивируется. Если вспомнить объемы спама, то преимущества такого решения очевидны. При выборе сервисного решения входящий почтовый трафик организации вначале направляется на сервер сервис-провайдера, там проверяется различными фильтрами, а затем «чистая» почта поступает в почтовую инфраструктуру организации-клиента. Крупнейшие поставщики подобных услуг: Message Labs, Postini, Exchange Hosted Services, Kaspersky Hosted Security.

Черные списки как продукт

Черные списки как самостоятельный сервис предоставляют Spamcop.org, Spamhaus.org, Trend Micro RBL+ и другие вендоры. Здесь существуют как коммерческие, так и бесплатные решения. Подходят они для тех, кто вообще не хочет приобретать отдельный спам-фильтр – ни как программное, ни как аппаратное, ни как сервисное решение. Если использовать только черные списки, то периодическая потеря легальной почты практически гарантирована и качество фильтрации будет низким. На текущий момент списки – это, скорее, вспомогательное средство фильтрации. В качестве основного оно не работает.

Идеальное решение... существует?

Идеальный фильтр должен задерживать (или размечать специальным образом) весь спам, и никогда не ошибаться с нормальной почтой. Но это утопия. Вряд ли такое решение вообще будет когда-нибудь создано. Поэтому при выборе оптимального решения надо учесть все интересующие вас факторы. Например, количество ложных срабатываний (ситуаций, когда фильтр ошибочно размечает как спам легальное письмо). Если компания – производитель фильтра в своих рекламных проспектах скромно умалчивает об этом показателе, то, скорее всего, он выше разумного уровня. Важно наличие настроек под локальный спам, например под специфичные для Рунета виды рассылок, регулярность обновлений, бесплатной техподдержки.

Не мешает задуматься над тем, на какое время компания приобретает антиспам-решение. Сейчас рынок еще не установился окончательно, на нем много вендоров. Идут процессы слияния и поглощения, а приобретенный у небольшой компании-разработчика продукт может не поддерживаться через несколько лет, если компания сольется с более крупной.

Нежелательные рассылки становятся все более изощренными. Наличие у разработчика фильтра собственного исследовательского отдела – это сильный плюс, поскольку такое подразделение гарантирует своевременный выход инноваций, способных противостоять современному уровню угроз.

При выборе ПО от одного из ведущих производителей отрасли пользователь гарантированно получает сочетание нескольких технологий фильтрации спама и минимизированный уровень ложных срабатываний, хотя цена такого решения может оказаться довольно высокой. При выборе ПО менее известных фирм он чем-то рискует, зато выигрывает в цене. Так что выбор – за вами. Главное, что есть из чего выбирать.

Кто и зачем изучает спам?

В компаниях, выпускающих софт для защиты от спама, есть специальные люди, которые анализируют поток нежелательной почты, определяют основные тенденции его развития, разрабатывают технологии и алгоритмы защиты. Группа спам-аналитиков «Лаборатории Касперского» готовит данные для обновлений спам-фильтра Kaspersky Anti-Spam. В группе всего 18 человек, а справляются они с миллионом писем ежедневно, конечно, с помощью автоматизированной системы обработки, а не вручную. Источником анализируемого спам-трафика служат специальные ящики-«ловушки» и срезы различных по содержанию и объему почтовых потоков.

Что такое спам?

В России нет законодательного определения спама, поэтому создателям антиспамерского ПО приходится пользоваться рабочим определением. Впрочем, его вполне достаточно. Спам – это почтовые сообщения, отвечающие трем критериям:

• массовые. Сообщение с одним и тем же содержанием одновременно рассылается на десятки миллионов адресов;
• незапрошенные. Спам нарушает личное пространство пользователя. Пользователь не собирался его получать, когда заводил почтовый ящик, он на него не подписывался.
• анонимные. Спамера очень сложно, практически невозможно вычислить. Поэтому пользователь не может предъявить ему претензии и потребовать, чтобы ему перестали слать разный мусор.

Нигерийские письма

Это – разновидность спама, в которой автор письма представляется родственником известного политического деятеля, банкира и просит помочь ему обналичить деньги на семейном счету. Суммы озвучиваются просто фантастические – 20, 30, 50 млн. долл., а за помощь обещаются проценты от этой суммы (до 25%). Естественно, излишне доверчивый пользователь электронной почты, клюнувший на приманку, этих денег не увидит. Мошенники добиваются от него on-line-доступа (логинов и паролей) к его собственному счету или же хотят вытянуть относительно небольшую сумму в пару тысяч долларов под любым предлогом.

Самая большая зомби-сеть, использовавшаяся для рассылки спама, – более 1,5 млн. зомбированных машин. Ее организаторы – двое молодых голландцев 20 и 29 лет – были вычмслены и приговорены к тюремному заключению.

Обсуждение статьи

Логин: Пароль: Регистрации на сервере не требуется. Если у вас есть форумный логин, вы можете использовать его. Если нету, то вы можете зарегистрироваться на forum.itspecial.ru Обсуждение этой статьи на forum.itspecial.ru Для отправки сообщения введите код, указанный на картинке Заголовок Сообщение Guest guest@gameland.ru Отправлено: 11.10.2010 4:37:16 RE: Весь этот спам: современный уровень угроз и технологии защиты Along with painting become time pets, all kinds of high quality oil painting receive a kind welcome in the market. Oil painting reproductions also took the eye of collectors rapidly, even strive with Original painting. kobe016 zhuang016@sohu.com Отправлено: 13.01.2011 9:17:53 RE: Весь этот спам: современный уровень угроз и технологии защиты <p>For these <b><a href="http://www.beatsbydre-outlet.com//"> monster beats </a></b>which mainly for health. Definitely can be found in the <b><a href="http://www.beatsbydre-outlet.com//"> beats by dre headphones </a></b> shop. And amog them the <b><a href="http://www.beatsbydre-outlet.com//"> dre beats headphones </a></b> that also come with high qaulity so that when you use the products to be much more comfortable. As well as these new arrived <b><a href="http://www.beatsbydre-outlet.com//"> monster beats by dre headphones </a></b> For some one who have used the products that all say the products that come with excellent design so people all would like to own the <b><a href="http://www.beatsbydre-outlet.com/lady-gaga-headphones-c-4.html">lady gaga headphones</a></b> as well as the <b><a href="http://www.beatsbydre-outlet.com/sennheiser-c-2.html">sennheiser</a>. </b></p> kobe016 zhuang016@sohu.com Отправлено: 13.01.2011 9:19:15 RE: Весь этот спам: современный уровень угроз и технологии защиты <p>For these <b><a href="http://www.beatsbydre-outlet.com//"> monster beats </a></b>which mainly for health. Definitely can be found in the <b><a href="http://www.beatsbydre-outlet.com//"> beats by dre headphones </a></b> shop. And amog them the <b><a href="http://www.beatsbydre-outlet.com//"> dre beats headphones </a></b> that also come with high qaulity so that when you use the products to be much more comfortable. As well as these new arrived <b><a href="http://www.beatsbydre-outlet.com//"> monster beats by dre headphones </a></b> For some one who have used the products that all say the products that come with excellent design so people all would like to own the <b><a href="http://www.beatsbydre-outlet.com/lady-gaga-headphones-c-4.html">lady gaga headphones</a></b> as well as the <b><a href="http://www.beatsbydre-outlet.com/sennheiser-c-2.html">sennheiser</a>. </b></p> kobe016 zhuang016@sohu.com Отправлено: 13.01.2011 9:20:05 RE: Весь этот спам: современный уровень угроз и технологии защиты chanel handbags chanel bags chanel purses chanel outlet chanel online chanel online store Chanel 2.55 bags Guest guest@gameland.ru Отправлено: 16.09.2011 18:16:36 RE: Весь этот спам: современный уровень угроз и технологии защиты почти все нужные данные легко и быстро можно почерпнуть из родной сети. Во многих сетях, к сожалению, присутствует лишь пара десятков основных пользователей, стремящихся к постоянному расширению и улучшению своего файл-сервера. http://www.amerisleep.com/ Guest guest@gameland.ru Отправлено: 29.11.2011 19:05:31 RE: Весь этот спам: современный уровень угроз и технологии защиты http://www.itspecial.ru search Страницы: << 1 >>

Теги: защита, спам

Keywords: zPOSTz zSECURITYz z10128z
Для Авторов: edit delete