Интервью

Андрей Каролик

Хакер, номер #074, стр. 056

(andrusha@real.xakep.ru)

Анна Власова - начальник группы спам-аналитиков, "Лаборатория Касперского" (www.kaspersky.com). Специалист в области автоматической обработки и классификации текстов, прикладной лингвистике. В сфере IT работает с 1994 года. Разработкой систем фильтрации спама занимается с 2002 года, вначале в компании "Ашманов и Партнеры", теперь - в "Лаборатории Касперского".

СПЕЦ:

Болезнь спама излечима или же это прогрессирующая опухоль с летальным исходом? Раньше пользователи вылавливали спам среди писем, а теперь вылавливают письма среди спама. И тенденции откровенно пугают.

Анна Власова:

Сразу замечу, что письма среди спама вылавливают только те пользователи, которые не защищены спам-фильтрами. Пользователи защищенных серверов, наоборот, иногда недоумевают, что же это за спам такой, о котором так много говорят. Современные программы защиты вполне способны обеспечить высокий уровень фильтрации спама, отсекая более 90 «мусорных» сообщений из 100, атаковавших пользовательский ящик.

Но болезнь под названием «спам» действительно существует. И этот факт наглядно подтверждает статистика. По данным Лаборатории Касперского, доля спама в общем потоке почтового трафика Рунета не опускается ниже 70% (единственное исключение – новогодние праздники, когда доля спама падает до 50-60%). Конечно, это усредненные данные по многим нашим источникам, на серверах бесплатной почтовой службы – например, Mail.ru или Yandex – доля спама будет еще выше и может превышать 90%. А на небольших корпоративных серверах может быть и ниже 70%.

Несмотря на впечатляющие цифры — семь писем из десяти являются «мусором», над доставкой, обработкой, маршрутизацией и хранением которого трудятся как «железные», так и людские ресурсы, - я бы не назвала общую тенденцию катастрофической:

1. По сравнению с предыдущим годом не видно резкого скачка в доле спама. Похоже, произошло своеобразное «насыщение» почты спамом, и сейчас уровень спама замер на той отметке, выше которой ситуация действительно может стать критической. Конечно, это равновесие очень хрупкое и может быть нарушено в любой момент. Особенно если спамеры вложат существенные средства и ресурсы в разработку ПО, нацеленного на обход наиболее распространенных фильтров. Но ведь и антиспамеры сложа руки сидеть не будут.

2. Защита, предоставляемая современными фильтрами, достаточно сильна. И спамеры это ощущают. Именно поэтому они активно ищут новые рынки сбыта своих услуг, мигрируют в мессенджеры и мобильную связь.

Вывод: о летальном исходе пока говорить преждевременно. Хотя трубить победу антиспамеров тоже рано. К сожалению, защита от спама пока не стала такой же широкораспространенной, как защита от вирусов, и спамерам есть чем поживиться за счет почты без спам-фильтров.

СПЕЦ:

Как избежать лавины? Использование существующих спам-фильтров отсекает определенный процент мусора, но оставшийся процент весьма относителен - чем больше общее количество спама, тем больше и количество неотсеченного мусора.

Анна Власова:

Да, это верно. Практически все производители антиспама обещают отсечь только некоторую долю спама. И хотя планка, заданная антиспамерами, высока – около 95% фильтрации спама, - оставшиеся 5% действительно могут выражаться в ощутимом количестве мусора, который свалится на ни в чем неповинного пользователя. Ситуация осложняется еще тем, что спамеры не стоят на месте, они вкладывают средства в разработку нового ПО, специально настроенного на «пробивание» популярных средств защиты. Многие спам-рассылки тестируются спамерами на бесплатных антиспам-программах (например, на «СпамАссасин»-е) еще до того, как их начнут массово распространять по миллионам адресов.

Самый действенный способ остановить лавину – это... перестать реагировать на спам. Сделать его экономически невыгодным для спамеров. На текущий момент спам – это целая индустрия, которая работает ради обогащения спамеров. Если пользователи перестанут покупать товары, рекламируемые в спаме, и уж тем более перестанут «вестись» на мошеннические уловки, научатся отличать фишинг от легитимных банковских сообщений и т.п., то спам отомрет сам по себе, потому что спамеры работают не ради интереса, а исключительно ради денег.

К сожалению, это решение проблемы относится к разряду утопических. Интернет постоянно растет, появляются новые пользователи и, увы, делают одни и те же ошибки, откликаясь на «нигерийские» письма, переводя деньги на «волшебные» кошельки webmoney и просто покупая дешевые, но очень соблазнительно расписанные рекламой товары. На самом деле ровно то же самое происходит и в «реальном» мире. Я лично не знаю способа убедить людей отказаться от покупки картин с березками, выложенными янтарной крошкой, малахитовых накладок на приборную панель автомобиля, универсального устройства для экономии электроэнергии, прибора для заплетания косичек, ручек с невидимыми чернилами, «вечных» фонариков, бронзовых бюстов Путина и т.п. Все это - товары, рекламируемые спамерами, но в окружающем «реальном» мире вполне можно найти их аналоги.

Что же остается? А остается упорная, отчасти нудная работа по борьбе с этой лавиной. Эта работа включает в себя не только технические средства противодействия, но и юридическое (совершенствование законодательства) и даже образовательное направление.

СПЕЦ:

Что делать конечным пользователям? Какие фильтры/программы/системы на сегодня наиболее эффективны?

Анна Власова:

Конечным пользователям – заводить почтовые ящики на защищенных от спама серверах. Если это невозможно, то использовать персональные средства защиты. Сейчас многие производители предлагают для персональных машин антивирус и антиспам «в комплекте». «Лаборатория Касперского» в этом плане не исключение: у нас есть как серверные, так и комплексные персональные решения.

Еще одна возможность - фильтрация спама как сервис. Это значит, что пользователю не надо возиться с установкой программ и менять провайдера/почтовый сервер из-за неустраивающей его системы защиты от спама (или ее отсутствия). Он просто направляет свою почту через определенные сервера, на которых стоят спам-фильтры. При этом, в конце концов, письма оказываются в привычном пользователю ящике, но только спам будет специальным образом размечен (например, спам, прошедший через фильтры сервиса «Спамтест» «Лаборатории Касперского», получит метку [!!Spam] в теме сообщения). При этом письма не удаляются без ведома пользователя и не раскладываются принудительным образом по заранее заданным папкам (как это обычно происходит на бесплатных почтовых службах). Все, что делает сервис – это только проверка и разметка.

Если же спам все-таки попал в Inbox, то посоветовать можно только соблюдать элементарные «правила гигиены»:

1. Не открывай вложения и не переходи по ссылкам (URL) в сообщениях от неизвестных отправителей. Спам нередко используется как инструмент для распространения троянов и прочих зловредных программ. Да и с известными отправителями лучше проявлять осторожность. Если сообщение написано в непривычном для адресата стиле – например, слишком фамильярно, или, наоборот, как-то официально - не спеши делать вывод, что твой друг встал не с той ноги. Вполне возможно, что это автоматически сгенерированное спам-сообщение, целью которого является реклама сайта, рассылка вирусов и т.п. А на твой адрес он пришел только потому, что у кого-то из твоих друзей зловредными программами была украдена адресная книга, и теперь по ней производится рассылка спама.

2. Бесплатный сыр пока еще существует только в мышеловках. Если ты не регистрировался в лотерее и не покупал лотерейный билет, то тебе не может прийти сообщение о выигрыше в эту лотерею миллиона долларов. И Билл Гейтс не склонен раздавать лотерейные призы лично. Не надо обольщаться мифическим призом и расценивать несколько сотен долларов, которые, возможно, потребуют спамеры «в счет уплаты налогов», как мелочевку по сравнению с миллионом. Миллион так и останется мифом, а вот вполне реальные сбережения уйдут в никуда.

3. Подумай, прежде чем покупать удивительно дешевые товары/услуги. Да, интернет-магазину не нужно помещение и толпа продавцов, но значит ли это, что лекарства там могут стоить на порядок (а то и несколько порядков) дешевле, чем в аптеке? В спаме часто рекламируются контрафактные, контрабандные товары, а также товары сомнительного качества. Ко всему прочему спамеры могут дешево перепродавать товары, купленные по украденным кредиткам. Ты хочешь в этом участвовать?

4. Не отвечай спамеру. Либо твой ответ попадет к ни в чем не повинному пользователю, так как спамеры умело фальсифицируют заголовки сообщений и случайным образом подставляют в поля «From» и «To» адреса из одной и той же базы. Либо спамер узнает, что ты пытался ответить, и пометит твой адрес как «активный». Тогда ты рискуешь получить еще больше спама, чем раньше. В любом случае, спамер никак не отреагирует ни на угрозы, ни на ругань. Для него это просто работа.

5. Не оставляй везде один и тот же почтовый адрес. Для регистрации на форумах и т.п. желательно иметь отдельный e-mail, которые можно относительно безболезненно удалить, как только он окажется «заспамленным».

СПЕЦ:

В силу массовости проблемы основная нагрузка по борьбе со спамом сместилась в сторону администраторов и интернет-провайдеров. Какие тенденции и практические наработки есть в этом направлении?

Анна Власова:

Это всевозможные корпоративные решения, предназначенные для защиты почтовых серверов. Наиболее известные отечественные разработки – это «Kaspersky Anti-Spam» «Лаборатории Касперского» и «Спамоборона» компании «Яндекс». Оба продукта хорошо себя рекомендуют на рынке, в каждом используются уникальные технологии, собственные разработки. Например, в антиспаме «Лаборатории Касперского» используется более 15 методов детекции спама, среди которых есть такие уникумы как графический анализатор, умеющий отличать анимированный и «зашумленный» графический спам (спам, в котором текст сообщения не написан, а по сути нарисован на «картинке», которая приложена к сообщению как графическое вложение).

СПЕЦ:

С чем связана пробуксовка? Были приняты определенные поправки к закону "О рекламе", но ситуация на рынке спам индустрии практически не изменилась.

Анна Власова:

В некотором смысле, мы повторяем путь, который уже пройден многими западными странами. Австралийское законодательство, направленное против спама, считается одним из самых эффективных. Законы были приняты в 2003 году, начали действовать в 2004-м, а первый процесс против спамеров начался в 2005. Да, государственная машина – медленная. Возможно, это не так уж и плохо.

У нас же со времени вступления в силу поправок к Закону о рекламе РФ (с 1-го июля 2006 года) прошло всего 4,5 месяца. Думаю, пока рано делать выводы о «пробуксовке» закона. Хотя работать ему действительно сложно. Внятный механизм, как именно конкретному пользователю или даже организации бороться со спамом, в законе не прописан, это верно. Кроме того, закон затрагивает только ту часть спама, которая является рекламой, а это далеко не весь спам. Да, пока большинство спамерских сообщений - это реклама, но доля криминализированного спама, который рекламой не является (фишинг, поддельные уведомления о выигрыше в лотерею, мошенническая эксплуатация SMS-сервисов и т.п.), постоянно растет. На первые 9 месяцев 2006 года криминализированный спам составляет уже 16% от всего спама. И речь идет только о явном мошенничестве. К сожалению, существенная часть оставшегося спама также тяготеет к криминалу. Например, эксперты «Лаборатории Касперского» пока не относят спам с рекламой акций различных компаний, которой изобилует осень 2006 года, к «Компьютерному мошенничеству», хотя по сути это попытка нечестной накрутки стоимости акций за счет голословных обещаний пользователям. Возможно, это еще не мошенничество с точки зрения закона, но уже очень близко к этому.

Наиболее наглядный пример криминилизированного спама — автор письма уговаривает пользователя перевести деньги на некий «волшебный» кошелек Webmoney, обещая, что все деньги вернутся обратно с прибылью. Думаю, можно не объяснять, что на самом деле произойдет с этими деньгами. Они не вернутся никогда, а так и останутся в кошельке спамера.

СПЕЦ:

Эффективность спама в почтовых рассылках падает и спамеры уже начали атаковать блоги, форумы, мессенджеры и другие массовые средства общения. Что дальше?

Анна Власова:

Да, дальше объектами спамеров, действительно, станут блоги, форумы, мессенджеры... только это будут не эксперименты, как это происходит сейчас, а такие же массовые атаки, как и на электронную почту. Хотя спам в блогах и форумах уже поставлен на вполне профессиональную основу. Скорее всего, впереди тот же путь, который прошла защита почты, вот только пройден он будет быстрее. За 2-3 года, а не за десятилетие, как это было с почтовым спамом.

СПЕЦ:

Если отследить развитие технологий спамеров, то как они эволюционировали? И какие прогнозы можно дать дальнейшему их развитию?

Анна Власова:

С развитием технологий спамеров есть интересная закономерность. Примерно каждые два года неожиданно всплывают технологии, которые спамеры уже пытались использовать, но они не прижились. Не знаю, с чем это связать. Возможно, «смена поколений» у спамеров как раз 2-3 года и составляет, и каждое новое поколение хочет самостоятельно убедиться, что рассылка спама «в звездочках» и других мелких символах (когда слова текста не написаны, а составлены из символов, набранных мелким шрифтом) не работает и не помогает пробить спам-фильтры.

2006 год практически весь прошел в спамерских экспериментах с графикой. Уже упомянутый бум рекламы акций тесно связан с новыми технологиями спамеров. В августе 2006 года спамеры ввели в эксплуатацию технологию анимированного спама. Анимация явилась продолжением разработок, связанных с «графическим» спамом, впервые массово атаковавшим почтовые ящики в 2004 году. Тогда появление графического вариативного («зашумленного») спама пробило серьезную брешь в антиспам-защите различных производителей, но спамеры торжествовали недолго. Через 1-2 месяца компании-разработчики антиспамового программного обеспечения нашли способ, как решить эту проблему. В 2006 году спамеры снова сделали ставку на графику. С начала года было сделано несколько попыток совершенствования технологий, использующих элементы графического представления спама. Это были замены отдельных букв в тексте их изображениями, использование на «картинках с текстом» редких шрифтов (например, готического), наклон «картинки» в спамерском сообщении на несколько градусов и многое другое. Судя по всему, они не имели большого успеха, поэтому и широкомасштабного продолжения не последовало. Однако анимированный спам оказался наиболее успешной находкой спамеров.

Первые анимированные рассылки были зафиксированы аналитиками «Лаборатории Касперского» в самом конце августа 2006 года. И с тех пор они постоянно совершенствуются, хотя прошло всего три месяца с момента появления новой технологии. Спамеры используют GIF-анимацию, так как она распознается и автоматически воспроизводится всеми популярными браузерами. Первые анимированные рассылки содержали от 2 до 4 кадров, из которых только один кадр являлся значимым, то есть содержал информационную составляющую. Именно на этом кадре был воспроизведен текст спамерского предложения. Остальные кадры содержали фон или прочие элементы рисунка, не несущие смысловой нагрузки. Значимый кадр демонстрировался пользователю до 10 минут (в разных спам-рассылка это время существенно варьировалось от нескольких секунд до 10 минут), а вспомогательные – всего десятые доли секунды. Потом изображение ротировалось.

«Изюминка» новой технологии состоит в том, что пользователь в большинстве случаев не понимает, что перед ним анимация. «Зашумленные» кадры демонстрируются десятые доли секунды, и человеческий глаз просто не успевает их воспринять. Мало того, пользователь нередко даже не замечает, что вообще имеет дело с графикой. Он видит текст и расценивает его тоже как обычный текст. Но программы, предназначенные для борьбы со спамом, «видят» все кадры анимации, и поскольку они изначально не были рассчитаны на анимированные форматы, то у них может не хватить эвристической мощности для классификации сообщения как спамерского. Конечно, для мощных современных фильтров и такой спам особой проблемы не составит. Так анимированный спам появился в конце августа, а на текущий момент «Лаборатория Касперского» уже выпустила обновление, в которое в числе прочего вошел новый «графический» модуль, способный справляться с анимацией и варьирующими «зашумленными» спам-рассылками с графическими вложениями.

Кроме совершенствования формата спам-рассылок, спамеры в течение года вели работу над уменьшением времени отдельной спам-рассылки (новейшие спамерские технологии позволяют разослать сотни тысяч сообщений всего за несколько десятков минут), а также осваивали психолингвистические методы воздействия на читателей спама. Другими словами, спамеры начали работать с текстом, успешно применяя прием маскировки спама под личное сообщение. Современный спам «умеет» очень грамотно подделываться под личное сообщение. Пользователи предполагают, что им в ящик по ошибке попало чужое сообщение. Тем самым они не воспринимают его как рекламу и готовы более доверчиво относиться к контенту спама. Вот пример такой подделки под личное сообщение:

ЛИСТИНГ

Привет!

Как делишки? Скоро 8-е Марта. Думала - думала, чем своих тетенек удивить, так ничего и не придумала. Решила полистать сайты. Наткнулась на сайт N-STUDIO.ru. Кстати очень даже.

Масса сувениров на любой вкус и цвет. Зайди, посмотри, наверное, тоже не знаешь, что подарить? Какие планы на 8-е? Может сгруппируемся?

Удачи тебе

Пока-чмоки

На связи

Р.s. Кстати, своему пусику на 23-е в {LINK} заказала Vip-сувенир с дарственной надписью.

Думаю мой пусик будет доволен

СПЕЦ:

Какой прогноз в целом на ближайшие 3 года?

Анна Власова:

Для Интернета 3 года – это долгий срок. Тут трудно детально что-то прогнозировать. Думаю, самое главное – это то, что спам никуда не исчезнет. В любом случае, пока предпосылок для его исчезновения не видно. Что же касается направлений развития спамерских технологий, то:

1. Спамеры будут бороться за увеличение скорости отдельной спам-рассылки, а также наращивать количество экземпляров сообщений в пределах одной рассылки.

2. В пределах одной спам-рассылки спам станет более «умным», то есть отдельные сообщения будут варьироваться и, возможно, так или иначе приспосабливаться под нужды и стиль конкретного пользователя.

3. Развитие технологий по-прежнему будет носить «циклический» характер, то есть с определенной периодичностью спамеры будут пытаться вернуться к хорошо забытому старому и повторить его. Скорее всего, буду повторяться попытки рассылок «слишком хитрого» спама (например, на ярком и пестром фоне, с дублирующимися буквами и т.п.), который неэффективен, так как пользователю сложно его воспринимать.

4. Антиспамеры обладают достаточными ресурсами, чтобы противостоять спамерам, и будут успешно бороться со спамом.

5. Это, в свою очередь, вынудит спамеров активно осваивать новые плацдармы. Например, мобильную связь.

6. Материальный ущерб от спама будет расти, в связи с появлением новых плацдармов и в связи с ростом Интернета в целом и Рунета в частности.

7. Спам будет становиться все более криминализированным.