Автор: Пользователь скрыл имя, 03 Октября 2011 в 00:13, доклад
В последние годы специалисты в области информационной безопасности начали заниматься, казалось бы, несвойственной им задачей: бороться со спамом – массовыми рассылками, которые в большинстве своем носят рекламный характер. А происходит это потому, что такие рассылки наносят серьезный ущерб информационным системам.
1.Спам и борьба с ним.
В последние
годы специалисты в области
специалистов в конце 2002 года спам составлял 30_40% от общего числа электронных писем в мире, то уже в 2003 году доля спама превысила отметку 50%. По сведениям ведущих провайдеров России, на начало 2004 года спам составляет около 75_80% всей входящей корреспонденции в публичных почтовых службах Рунета.Убытки от спама, на первый взгляд незначительные для отдельного пользователя, в масштабах всей индустрии и даже отдельной крупной компании выглядят впечатляюще. По разным оценкам, на спаме компании теряют от $50 до $200 в год в расчете на одного офисного сотрудника. В результате в 2003 году ущерб от спама по порядку величины стал сравним с потерями, которые нанесли мировому сообществу компьютерные вирусы и хакеры. По данным из
европейских источников, ущерб от спама во всем мире составляет $10 миллиардов ежегодно. В России этот ущерб оценивается в $200_250 миллионов.
Немного истории…
Борьба со спамом в настоящее время напоминает реальные военные действия, имеющие свою историю и своих “героев”. Первая рекламная рассылка была выполнена 3 мая 1978 года представителем компании производителя компьютеров Digital Equipment Corporation с сообщением о дате выхода новой модели. Применительно к навязчивой сетевой рекламе в современном ее понимании термин “спам” стал употребляться только в середине 90_х годов, когда рекламные компании начали публиковать в новостных конференциях Usenet свои объявления. На счастье подписчиков таких групп новостей продолжалось это недолго, так как технология Usenet предусматривала любую фильтрацию сообщений, администраторы конференций просто удаляли спам ранее, чем он достигал почтовых ящиков. Потерпев здесь неудачу, спамеры переключились на рассылку рекламы с помощью электронной почты по группам адресатов. Первый спам, рассылаемый по каналам электронной почты, не отличался большой сложностью. Одно и то же письмо рассылалось через сравнительно небольшое, по сегодняшним меркам, количество почтовых систем, позволяющих произвести “через себя” транзитную доставку почты произвольным адресатам (open relay). Боролись с таким спамом, помещая IP_адреса используемых спамерами почтовых серверов в черные списки. В 1997_м году появился первый черный список – MAPS RBL, использовавший технологии DNS и BGP, что позволяло достаточно оперативно обновлять его. До 1998 года проблема спама усугублялась тем, что популярный в то время почтовый сервер Sendmail при использовании настроек “по умолчанию” работал как open relay. Хотя рекомендации по устранению этого недостатка появились еще в 1996 году для Sendmail версии 8.8,
однако при настройке “по умолчанию” Sendmail перестал использовать open relay только с версии 8.9, вышедшей в мае 1998 года. Но и после этого понадобилось время на то, чтобы основной парк почтовых серверов был обновлен. Другими словами не составляло проблем
найти open relay для отправки спама – нужно было просто поискать. Это делали как спамеры, так и анти_спамеры.
Борьба со спамом
Массовые рассылки рекламного характера получили свое название от английского слова
Spam (далее _ спам),
которое в настоящее время известно практически
всем пользователям Интернета. Оно ведет
свое происхождение от старого скетча
английской комик_группы Monty Python Flying Circus,
музыканты которой в 1972 году распевали
посетителям ресторана о всех прелестях
мясных консервов Spam. В меню этого ресторана
многие блюда состояли из их содержимого.
Все было бы хорошо, но у посетителей не
брали заказ до завершения выступления
группы.
Свое время сервис ORBS.org автоматически искал такие почтовые сервисы и помещал их в свою базу данных). И RBL, и спамерские списки машин для рассылки стали пополняться автоматически. В дальнейшем вместе с open relay для рассылки спама начали использоваться и другие способы доступа к ресурсам чужих компьютеров, в первую очередь, так называемые, socks_ и proxy_серверы, к которым был возможен неавторизованный доступ. Данные серверы предназначены для сведения всего интернет_трафика небольших компаний к одной единственной машине, имеющей доступ в Интернет. Для работы они обычно используют порты, отличные от портов для SMTP. Если машина допускает неавторизованное соединение с произвольного IP_адреса, ее также могут использовать спамеры для направления своего SMTP_трафика. Инте_
ресно отметить, что логи использования socks_серверов обычно не ведутся, поэтому отслеживание истинных источников рассылки даже самими администраторами socks_серверов чаще всего невозможно.
Почти сразу же обнаружилось, что и стандартные открытые HTTP_прокси (типичные порты 3128, 8080 и т.д.), поддерживающие метод CONNECT, можно легко использовать для этой же цели, достаточно в команде CONNECT указать не только имя сервера, но и задать порт для передачи почтового сообщения. Даже любимый всеми “народный” Web_сервер Apache, собранный с модулем mod_proxy и неправильно настроенный, не_
редко используют как средство рассылки почтового спама.
К несчастью, socks_ и proxy_ сервисы имеются в составе программного обеспечения,
предназначенного для конечных пользователей, причем во многих случаях неавторизованный доступ разрешен по умолчанию. В результате количество клиентских компьютеров, которые могут быть использованы для рассылки спама (и прочих действий под контролем третьих лиц) увеличилось вместе с ростом количества высокоскоростных подключений к Интернет. В течение 2003 года технологии спамеров получили существенное развитие, приспосабливаясь к новым условиям существования. Основное количество спама рассылалалось уже не напрямую, а с помощью сетей, состоящих из за_
хваченных спамерами пользовательских машин. Теперь спамеры рассылают “троянские”
программы, которые, заражая машины пользователей, служат площадкой для рассылки спама. В рассылках участвуют сотни тысяч зараженных компьютеров, пользователи которых могут
даже не подозревать об этом.
Среди возможностей “троянских” программ есть даже самообновление (upgrade), автоматическое распространение, автоматическое перемещение на другие взломанные машины и т.д. Например, функция такой программы может быть следующей: сходить по HTTP на записанный в нем адрес в заданное время, взять оттуда списки адресов и писем, разослать почту, узнать время и место следующего захода. Иногда “троянские” программы прослушивают каналы IRC и используют команды данной сети, что позволяет скрыть источник команд. В отличие от HTTP, где открытие сайта или закачка новых файлов отслеживаются довольно легко, сообщения по каналу IRC могут передаваться через любой из серверов IRC_сети, и для отслеживания источника необходим оперативный доступ к логам всех серверов сразу. Таким образом, есть много способов скрыть рассылку спама: использовать нестандартные порты, сети управления, протоколы и т.д. Наличие большого количества таких способов приводит к резкому всплеску потоков спама.
Постоянно увеличивающееся количество IP_адресов, с которых потенциально возможна
рассылка спама, сделало классические системы RBL не слишком эффективными. В списки помещались только IP_адреса машин, которые действительно могут быть использованы для рассылки спама, либо реально использовались для этого. Такие списки назывались “консервативными”. Чтобы увеличить эффективность RBLсистем были созданы “превентивные” черные списки, в которые включали целые диапазоны
почтовых адресов (иногда – десятки миллионов): среди них адреса, принадлежащие определенным ISP (Internet Service Provider _ провайдер услуг сети Интернет ), а иногда – целым странам и даже группам стран. Такой подход, с одной стороны, увеличивал эффективность RBL в борьбе со спамом, с другой, не позволял доставить легальную почту. На сегодняшний день консервативные RBL предоставляют возможность улавливать около 30_40% спама ценой потерь 2_3% обычной почты. Для “превентивных” RBL_сервисов оба показателя выше, однако большое количество потерь легитимной почты делает использование подобных сервисов мало приемлемым. А увеличение эффективности метода фильтрации спама с использованием RBL_списков без роста доли ложных срабатываний является в настоящее время нереальным.
Проблемы RBL – не слишком высокая эффективность против спама и существенная вероятность потерь легальной почты – привели к появлению других способов борьбы со спамом.
К ним, в частности, относятся:
• DNS_проверки – проверяется соответствие данных, сообщаемых в SMTP_сессии. В реальности речь идет о данных, сообщаемых в SMTP HELO.
• Анализ заголовков
сообщения. В частности массовые рассылки
спама могут быть обнаружены по содержимому
заголовков электронной почты.
Каждый из этих
методов непосредственно после своего
появления был достаточно эффективным,
однако ни один из них не является панацеей
против спама – технически возможно сделать
абсолютно “легальное” (с точки зрения
рассматриваемых методов) спам_сообщение.
Дальнейшая эволюция методов борьбы со
спамом привела к появлению контекстной
фильтрации электронной почты и статистических
методов анализа текстов сообщений. Данные
методы фильтрации спама являются на сегодня
наиболее эффективными и позволяют справиться
со все возрастающим потоком спама.
Экономика спама
Спам существует потому, что имеются экономические предпосылки для его существования. Если рассматривать спам как объект информационного обмена, то между его субъектами устанавливаются определенные экономические отношения. К субъектам таких отношений относятся:
1. Заказчики. Они заинтересованы в широком распространении по каналам электронной
почты определенной информации. Именно заказчики первоначально инвестируют в
спам часть своих финансовых средств, предназначенных на рекламу продуктов, решений и услуг.
2. Создатели/распространители спама. К ним принадлежат непосредственно спамеры, которые производят и распостраняют спам, а также недобросовестные провайдеры, которые заинтересованы в увеличении объема использования трафика. У спамеров, в свою очередь, существует свое разделение труда: среди них можно выделить две категории: “взломщики” и “рассылочники”. “Взломщики” проникают в любые доступные компьютеры и устанавливают на них “троянские” программы, обеспечивающие скрытую рассылку спама. “Рассылочники” работают с использованием обычного списка. Именно
они явлются основными покупателями списков почтовых адресов.
3. Потребители спама. Самое ужасное, что потребителями спама становятся поневоле.
Мы получаем спам вне зависимости от нашего желания. Мы понимаем, что часть трафика была задействована на транспортировку спама, и при этом вынуждены его оплачивать. Кроме того, существует некоторое противоречие в наших действиях. С одной стороны, мы резко выступаем против спама, с другой – иногда поддаемся на “уговоры” и реагируем на рекламу (иначе заказчики вряд ли бы тратили деньги впустую). Разрешить проблему спама возможно только путем устранения условий его существования. Во_первых, можно постараться разрушить экономические отношения между субъектами, участвующими в производстве и потреблении спама. Например, исключить хотя бы один субъект из данной цепочки. Представьте, если не будет заказчиков или потребителей, тогда создатели спама “вымрут” как таковые. Вовторых, развернуть активную борьбу со спамом, которая должна вестись на всех возможных фронтах, начиная с конечных пользователей, заканчивая государственными и общественными организациями.
В настоящее время существует несколько различных организационных способов борьбы
со спамом. К ним относятся:
• Юридические способы. Предполагают принятие законов о запрещении спама, создание государственных служб для выявления и преследования спамеров, наделение провайдеров определенной ответственностью и полномочиями по фильтрации почты.
• Социальные способы. Создание условий, в которых спам становится процедурно невозможным или экономически невыгодным. Предполагают введение новых способов обмена электронной почтой (введение платных электронных марок, подтверждение отправки писем и т.п.). Создание сообществ и объединений (например, провайдеров) для борьбы со спамерами.
• Пропаганда. Предполагает разъяснение негативной роли спама как на государственном, так и общественном уровнях.
• Технические
способы. Предполагают внедрение технических
средств контроля за распространением
спама, выделение спама из информационного
потока, а также его блокировка.
Первые три способа не будут рассматриваться, поскольку они имеют отношение скорее к деятельности общества и государства по борьбе со спамом. Речь пойдет о “средствах индивидуальной защиты”организации, то есть программных средствах, которые обеспечивают фильтрацию спама на корпоративном уровне. Основное внимание будет уделено техническим способам борьбы со спамом, которые обеспечивают фильтрацию
почтового трафика в локальных вычислительных сетях.
Определение спама
При рассмотрении и изучении какого_либо явления необходимо дать четкое определение используемым понятиям. При рассмотрении проблем, связанных со спамом, это особенно важно, так как имеется большое количество различных определений, многие из которых не раскрывают сути спама, являются слишком расплывчатыми и не применимыми для практического использования. На сегодняшний день в Российской Федерации определения термина “спам”, закрепленного в рамках федерального законодательства, не существует, поэтому используется лишь “обиходное” определение данного понятия.
Итак, мы рассматриваем спам, распространяемый по каналам электронной почты*. С нашей точки зрения, наиболее полным и раскрывающим данное понятие является слеюдущее определение:
“Спам – это анонимная безадресная массовая незапрошенная рассылка почтовых сообщений”.
При этом: