Интернет загубят АнтиВирусы?
Открытое письмо ко всем «людям доброй воли» (в первую очередь, к имеющим доступ к администрированию почтовых серверов и антивирусов :)
Незамысловатый, казалось бы, почтовый червь Sobig.f побил в прошлом году все рекорды по распространению. Не успел начаться 2004 год — нас порадовали новым, еще более незамысловатым с точки зрения распространения, вирусом Mydoom. Пользователи, еще не оправившиеся от предыдущей эпидемии, выстраиваются в очередь за антивирусами, а провайдеры и просто люди с большим кругом общения хватаются за голову. Потому что возросшее количество антивирусов угрожает функционированию почтовых служб Internet. Уже отмечены многочисленные сбои почтовых служб и проблемы в почтовом обмене между провайдерами. А причина кроется не столько в самом вирусе, сколько в антивирусных программах.
Как так? Все очень просто. Как ведет себя квалифицированный пользователь при получении подозрительного письма? Тихо и спокойно его удаляет. В то время как большая часть антивирусных программ начинает громко кричать о найденном вирусе, посылая грозные письма на адрес отправителя, адрес получателя (да еще и на адрес системного администратора). Администратор виноват сам. Получатель письма будет уведомлен, что к нему с благословения администратора не прошел страшный вирус. Но в чем провинился несчастный, адрес которого был взят вирусом случайно с зараженного компьютера и подставлен в качестве адреса отправителя? Он, бедный, может получить пару сотен тысяч писем от злобных почтовых антивирусных роботов с уведомлением, что он, подлец такой, рассылает вирусы. Хотя он этого не делал. Честно-честно. Причем, в отличие от самого вируса, выявить и отфильтровать такие вирусные квитанции будет крайне сложно, т.к. каждый производитель антивирусов и каждый администратор почтового сервера очень любит, чтобы его антивирус ругался в определенной, присущей только ему манере, зачастую не соблюдая никаких стандартов. И абсолютно не заботясь о том, что эта ругань дойдет до человека, который ни при чем. А может быть и не дойдет, т.к. адрес окажется нерабочим (или уже заблокированным из-за обилия сообщений). В результате другой робот ответит первому, что такого адреса не существует, или что превышен объем почтового ящика... А в итоге каналы, почтовые серверы и почтовые ящики забиты мусором, не несущим смысловой нагрузки.
Что делать? Можно слать или не слать уведомление получателю письма, но есть замечательное правило — никогда не отвечать на спам (кстати, очень часто забываемое разработчиками антиспам-программ и системными администраторами, настраивающими почтовые фильтры. В результате спам все равно доходит, но только в виде почтовой квитанции человеку, от чьего имени он был разослан). Если в письме содержится червь, оно должно быть тихо удалено. Если есть сомнения (например, это зараженный вирусом документ) — можно уведомить получателя сообщения. Генерация автоматических ответов отправителю в антивирусной программе является ошибкой конфигурации, вредящей абсолютно невинным людям. Это должны учитывать как производители антивирусных программ (многие из которых делают опцию ответа отправителя включенной по умолчанию) так и те, кто их устанавливает и настраивает (или не настраивает).
К той же категории проблем можно отнести и автоответы. "Меня сейчас нет, я прочитаю ваше письмо позже" или "Ваше сообщение получено службой поддержки". Ах, как это информативно! Человек, хоть раз посылавший письмо по списку рассылки (например в Bugtraq или в Ntbugtraq) знает, каково это — получать пару дюжин таких ответов в минуту.
Люди! Если мы хотим выжить, МЫ ДОЛЖНЫ ЗАСТАВИТЬ РОБОТОВ МОЛЧАТЬ!
3APA3A, SECURITY.NNOV
Александр Антипов, SecurityLab.ru
Александр Дилевский, dil@yandex-team.ru
Дмитрий Леонов, BugTraq.Ru
Илья Медведовский, Digital Security
Владислав Мяснянкин, BugTraq.Ru
Алекс Экслер, Exler.Ru
Сетевые решения. Статья была опубликована в номере 01 за 2004 год в рубрике мнение