атаки будущего

Алексей Викторович Лукацкий

Спецвыпуск: Хакер, номер #070, стр. 070-008-3

[спам]

Спам – это проблема, которая раздражает большинство из нас. И, несмотря на это, ни один из производителей не смог предложить рынку решение, «убивающее» спам раз и навсегда. Связано это с тем, что спамеры не останавливаются на достигнутом и всегда изобретают новые методы обхода систем защиты от спама: преднамеренное использование ошибок в словах («спицеальна для ваз»), пробелы в словах («с п е ц а к ц и я»), чередование строчных и заглавных букв, использование символов-разделителей («с*п*е*ц*а*к*ц*и*я»), преобразование текста в графический файл и т.д.

Сталкиваясь с различными системами защиты от спама, можно выделить два недостатка (которые, кстати, есть и у других средств контроля вредоносного контента - антивирусов, систем обнаружения атак и т.п.): ложные срабатывания и несрабатывания. В первом случае система блокирует сообщения, которые не являются спамом. Яркий пример - проект «Проверь здоровье своей сети» (www.freescan.ru). После регистрации на сайте пользователю, желающему протестировать защищенность своих интернет-ресурсов, приходит уведомление по e-mail. Но часто случалось, что уведомление воспринималось как спам и не доходило до адресата. Во втором случае системы пропускали спам, считая его безобидным электронным сообщением.

Рекламные рассылки на русском языке представляет собой еще большую проблему для антиспамовых систем, что связано с нашей морфологией. Даже разработанные в России системы блокирования спама, использующие лингвистические, графические, сигнатурные и иные методы идентификации нежелательных массовых рассылок, к сожалению, не справляются с этой проблемой. Согласно проведенному в 2005 году тестированию российских систем «Спамтест» и «Спамооборона», они не полностью решают проблему спама (www.ifap.ru/as/050524d1.pdf). Чего уж говорить о западных решениях. По словам Евгения Альтовского, координатора проекта «Антиспам», «фильтры могут использоваться как временная мера для снижения остроты проблемы спама, однако настоящий заслон на его пути может поставить только закон и негативное отношение к спаму со стороны общества».

Но так ли уж нерешаема данная проблема? Есть метод, который позволит существенно снизить объем спама. Перенос оборонительных рубежей с линии отдельной компании на уровень оператора связи. Конечно, такой перенос должен сопровождаться и сменой методов обнаружение спама, ведь применение ключевых слов, белых и черных списков в данном случае также будет не столь эффективным. Вспомни, как рассылается спам. Это делается спамерами не со своих собственных компьютеров, а через заранее взломанные узлы. И число сообщений с таких узлов ежедневно измеряется сотнями. Будет ли обычный пользователь отправлять каждый день столько писем? Вряд ли. Поэтому можно попробовать контролировать поток почтового трафика с каждого узла и, в случае превышения некоторого порогового значения, предпринимать определенные действия: автоматически блокировать трафик, уведомлять администратора и т.п. По такому принципу действует, например, система Cisco Service Control Engine. Разумеется, в данном случае существует проблема ложных срабатываний, но она решается гораздо легче, чем в случае с традиционными методами защиты от спама.