Марк Железняк Современный спам обычно рассылается далеко не с единственного компьютера. Изощренная хакерская мысль давно освоила технологию подчинения своей воле чужих компьютеров, подключенных к интернету.
Бывший домашний (а равно и офисный) компьютер превращается в дикого зомби, исполняющего чужие команды: раскрыть конфиденциальные данные (номера кредиток, пароли доступа, адреса партнеров), атаковать чужой сайт или разослать спам. Причем зомби-машины объединяются хакерами в сеть, способную нанести заметный ущерб самым мощным серверам или очень быстро разослать миллионы спамерских писем.
Рекомендация здесь одна: не быть беспечным.
Выяснилось, что большая часть мусора приходит с одних и тех же адресов (это были IP-адреса первых спамеров). Казалось, достаточно отвергать почту с этих адресов – и наступит счастье. Как бы не так┘
Во-первых, спамер довольно просто может сменить свой адрес. Во-вторых, адрес отправителя можно подменить, исказить. В-третьих, появляются новые спамеры, на новых адресах. В-четвертых, все чаще стали использовать сети зомби-машин. И хотя контроль адреса отправителя (своеобразные «черные списки», RBL) не стал панацеей, а иногда даже вредит делу (нормальное письмо с «плохого» адреса считают спамом), его все же используют довольно широко – вместе с другими методами, основанными на формальных и лингвистических признаках спама.
Раскрытие всех этих признаков было бы проявлением беспечности: идет тайная война, и как только некий признак спамовости рассекречивается – спамеры принимают меры, чтобы его больше не было. Поэтому о прочих признаках поговорим на примере широко известной борьбы с одним российским спамером.
Его первые письма с призывом изучать иностранный язык раздражали массовостью и скоростью рассылки. Системные администраторы не успевали среагировать – а их подопечные уже получили десяток-другой идентичных призывов.
Важно, что идентичных, – и бдительные системщики заблокировали назойливые призывы. Тогда спамер стал готовить индивидуальный вариант письма для каждой следующей рассылки, сохраняя неизменными, конечно, свои координаты. Системщики перешли к блокированию писем, в которых содержался телефон спамера. В ответ спамер стал варьировать способ записи номера: через дефисы, через звездочки и т.п. Системщики и с этим справились.
Короче говоря, в течение последних двух лет перед глазами наблюдательных пользователей электронной почты шла – с переменным успехом – борьба щита и меча. Одним из шедевров спамерского меча была замена текста его изображением в каком-либо популярном формате (jpg и т.п.). Наши же защитники дополнили антиспамовские фильтры модулями распознавания графических файлов, и спамера не спасло даже то, что он в течение одной (!) рассылки автоматически менял картинку (размер шрифта, цвет фона и т.п.).
Нельзя не упомянуть еще один разряд бойцов невидимого фронта: лингвистов. О технологии их работы известно примерно столько же, сколько о технологии контрразведки, да и функции в каком-то смысле схожи. Лингвисты анализируют письма, прошедшие имеющиеся фильтры (до 100 тысяч писем в сутки), и каждые 20 минут (!) выдают рекомендации по изменению настройки фильтров, чтобы они задерживали только спам.
Впрочем, у спама есть еще один очень важный признак: его массовость. Если одно и то же письмо пришло на несколько десятков адресов, контролируемых антиспамерами, его тут же заносят в базу данных, и все следующие экземпляры письма получат метку «спам».
Кстати об этой метке. Почтовый сервер, оснащенный антиспамерским программным обеспечением, как бы возвращает клиентов этого сервера на несколько лет назад, когда спам был очень редким явлением. При правильной настройке фильтров (это задача системных администраторов, а прежде – финансистов: эффективные антиспамерские системы далеко не бесплатны), до клиентов добирается едва ли 5% спама. Кроме того, сокращаются затраты и на трафик, потому что явный спам даже не принимается сервером.
Какие-то элементарные приемы фильтрации спама закладывают даже в почтовые программы, то есть этот сервис достается практически бесплатно. Есть защита от спама и на крупнейших бесплатных почтовых серверах. А среди платных сервисов у цены практически нет верхней границы. Предельный случай – замена протокола электронной почты. Интересно, что его не нужно изобретать: протокол X.400 принят Международным союзом электросвязи 20 лет назад и все это время успешно обслуживает нужды банков, телеграфных и телексных сетей, крупных корпораций. Правда, стоимость всеобщего перехода на новый-старый почтовый протокол трудно даже представить.
Дарья Гармоненко 