новости с анти-спаммерского фронта
Правда ли, что количество спама за зимние месяцы выросло в разы? Насколько именно?
Думаю, не в разы, а процентов на 30-40. Прошлым летом общее количество спам-писем можно было оценивать миллионов в пятьдесят за день. К концу года стало миллионов 70, а потом — около 100. Но мои оценки базируются на анализе видимого на поверхности трафика — в бесплатных почтовых службах "Яндекса", Mail.ru, "Рамблера" и так далее.
Объем трафика в корпоративных сетях, где письма идут от сервера к серверу, совершенно не виден. Обычный пользователь Mail.ru — может быть, тот же самый сотрудник компании, только он пишет c Mail.ru по личным делам, — посылает одно-три письма в день. А офисный работник может и 200 писем в день получать или отсылать.
В связи с чем объем спама стал увеличиваться?
Есть два объяснения. Первое, общее, таково: бизнес спамеров просто растет. Меняются их технические возможности, у них становится больше серверов, больше денег на то, чтобы нанимать программистов и платить за хостинг. Количество самих спамеров увеличивается, потому что бизнес привлекательный, растущий и туда много народу прет. А во-вторых, есть и конкретное, техническое объяснение. Дело в том, что в декабре-феврале бушевали вирусные эпидемии. Как известно, там было примерно три группировки вирусописателей, которые воевали друг с другом при помощи вирусов. Каждый приходящий на компьютер почтовый червь сначала деинсталлировал "троянца", установленного его предшественником, а потом внедрял своего.
Для чего это делается?
Это становится понятным из сообщений, которыми они (хакеры — прим. ред.) между собой обменивались. Писали (прямо в теле вируса) примерно следующее: "Не рушь мой бизнес, сволочь. Хочешь войны — будет тебе война", и так далее. Либо это игра на публику, либо это правда, но в любом случае видно, что речь идет о бизнесе.
Захват контроля над пользовательскими машинами производится не из хулиганских побуждений, как ранее считалось, а для развития бизнеса. Хакеры продают спамерам доступ к захваченным компьютерам для рассылки спама. Это живые деньги.
Получается, что в спамерском бизнесе начался новый этап...
Да.
...характеризующийся обострением конкуренции. Раньше такого не было?
В спамерском бизнесе довольно давно началось разделение труда. Одни добывают адреса, другие держат хостинг, третьи разрабатывают и сдают в аренду программное обеспечение для рассылки спама. Есть даже такой отдельный мелкий бизнес, как создание списков обратных адресов, которые подставляются в письма, чтобы обманывать пользователей. Тоже ведь кто-то эти списки составляет или делает программное обеспечение, которое генерит обратные адреса, и продает их спамерам.
Одно время спамеры еще занимались тем, что рассылали письма с помощью серверов, расположенных в Германии, Малайзии, Китае и так далее. А также находили открытые почтовые пересылки (open relays) и слали спам через них.
Как именно происходит рассылка спама с чужих пользовательских машин?
Вирус на компьютер сажает "троянца", тот рапортует в центр управления, что захватил машину. После этого он сам себя обновляет через Сеть, а также получает задания на распространение спама - забирает письмо и рассылает его. Все это время пользователь зараженной машины ничего не подозревает. Через какое-то время его IP-адрес попадает в черные списки. (А захвачено, допустим, 20 тыс. таких машин, постоянно подключенных к сети по, скажем, ADSL. Они между собой общаются, например через IRC.) И стоит почтовый сервер (например, Hotmail), который пользуется этими черными списками. Ему говорят: "Хочу послать тебе письмо". Он отвечает: "Ты в черном списке. Не принимаю". Тогда "троянец" сообщает на остальные зараженные машины: "Ребята, Hotmail от меня не принял письмо". Тогда "троянец" с другой машины пытается это письмо на Hotmail послать. Не получилось. Так десять раз попробовали, а на одиннадцатый письмо пропустили.
У антиспамерской службы Hotmail чувство, что они очень хорошо поработали и отбили 10 атак. На самом деле они приняли ровно то самое письмо, которое им хотели послать. А захваченных пользовательских машин много, и в черные списки они попадают далеко не сразу. Поэтому они сейчас фактически перестают работать. И я думаю, что война между вирусописателями развернулась еще и потому, что на рынке уже стало тесно. Идет передел территории. Свободные машины "чайников" закончились.
А как насчет новых технологий спама?
Они все время появляются. Вот с лета спамеры все собирались запустить графический спам. До этого его было немного — где-то на Западе иногда проскакивало графическое письмо. Но спамеры всерьез (мы же читаем их форумы) собрались переходить на эти технологии. Сначала посылали письма, где одна буква "А" была заменена на картинку. Потом — целые слова, потом стали посылать целые графические письма. У нас, в России, мы довольно быстро подстроили систему графических распознавателей, которые такие письма идентифицировали и считали спамерскими. И мы вполне оперативно эту ветку развития обрезали.
Осенью наблюдался довольно интересный новый эффект: спамеры начали слать нечитаемые письма, то есть пожертвовали удобством восприятия. Стали удваивать буквы, писать желтым по бледно-желтому, вставлять в слова какой-то слегка видимый мусор. Это случилось впервые. Раньше спамеры никогда не рисковали снижать удобочитаемость, потому что и так отклик на их рассылки очень маленький. А так он падает еще больше. К декабрю подобных писем стало особенно много. Но сейчас их число уменьшилось.
Почему?
Непонятно. Видимо, они перешли на другие технологии и где-то наши фильтры пробивают. Мы обычно на их новые методы реагируем post factum. Мы ведь можем только предполагать, какой шаг они предпримут. Направлений атаки десять, а наступать будут только с одного фронта, и мы не способны запрограммировать десять распознавателей, а потом использовать только один. Это будет избыточное программирование, так у нас никаких денег не хватит. Но иметь "разъемы" в технологии, которые позволят такой распознаватель быстро подключить, мы обязаны.
А сейчас вы уже определили, какие новые технологии появились в распоряжении спамеров?
Ну, вот в январе-феврале они слали картинки "переменного содержания". Раньше графические письма были одинаковые и сигнатурные фильтры их довольно быстро идентифицировали как массовую рассылку. То же самое делается спамерами и для текста, но его очень легко модифицировать, и это делается довольно давно.
То есть рассылают не полностью одинаковый "мусор", а модифицированный? И из-за этого письма выглядят разными?
Конечно. Для этого все и делается. Вот, например, удвоение букв. Если вы возьмете три спамерских письма, сгенерированных с использованием данного приема, то увидите, что в каждом "послании" буквы удвоены в разных местах. Или если между буквами вставлен невидимый текст, то он всегда будет разным и в разных местах.
Какие существуют методы борьбы с таким спамом?
Методов много, но есть два основных. Первый — это байесовские (то есть вероятностные) фильтры, которые самообучаются, анализируя лексику. Байесовский фильтр составляет статистику слов, которые встречаются в спамерских письмах. А потом, в зависимости от количества наиболее характерных для массовых рассылок слов, каждому письму приписывает "вероятность". Если определенное слово встретилось один раз, то вероятность того, что письмо спамерское, допустим, 0,5. Если обнаружено 10 таких слов, то эти "вероятности" по некоторой формуле суммируются. Но если вы рассылаете все время спам с разным содержанием, то это может обмануть вероятностные фильтры.
Вторая схема — сигнатурные методы, то есть детекция массовых рассылок: фильтрующая программа сидит на большом потоке и видит, что по разным адресам пошло 10 тыс. одинаковых писем. И она делает предположение, что это спам. Однако если все письма разные, то идентифицировать их как массовую несанкционированную рассылку не получается.
И графический спам сейчас тоже начали модифицировать?
Да. Почему раньше этого не делали? Это очень дорого по вычислительному ресурсу. Надо взять графический файл, влезть туда средством по работе с графикой, потом снова запаковать его в jpeg и отправить. Операции с картинками дороги. Но сейчас, похоже, спамеры справились. Видимо, алгоритмы написали особо умные, которые изменяют графику не распаковывая и не запаковывая. Проблема еще в том, что картинку нельзя менять где попало. Ее надо трансформировать где-нибудь в уголке или на фоне, чтобы не падала читаемость. В феврале-марте пошли картинки с "муаром" на заднем плане. Серый или белый фон, и по нему серые пятнышки. Но этот "муар" в каждом письме свой.
Насколько сейчас остра конкуренция между российскими и зарубежными спамерами?
Этого я не знаю. Я не настолько хорошо разбираюсь в их делах. Могу привести пример из жизни. Я недавно был в Аризоне на конференции PC Forum, которую проводит Эстер Дайсон. Там собираются директора крупных компьютерных компаний. И мы разговаривали с людьми, имеющими свою почтовую службу, клиентов которой они защищают от вирусов и спама — продают им специальные устройства, серверы (gateways). И они говорят: "Да вы знаете, у нас только русский спам идет". Это, конечно, разговорное преувеличение, но доля правды тут есть. Почему? Потому что их местные фильтры свой спам худо-бедно фильтруют, вот и остается заметным русский спам.
Русский спам сложнее фильтровать?
- Конечно. Западные фильтры русский спам практически не фильтруют. Представьте себе самый простой случай. Идет русский спам, в котором каждая буква "а" заменена на латинское "a". Этот прием вообразить себе разработчик английского фильтра "умозрительно" не может. Более того, он и на глаз этого не видит, ведь сам он не понимает другую кодировку, кроме английской, для него наши буквы — какие-то каракули. И то, что там слова разные, он не видит. А это только один, устаревший прием, основанный на языковых особенностях. Вообще, русский спам гораздо более разнообразен.
По материалам "Веб-информ".
Сетевые решения. Статья была опубликована в номере 04 за 2004 год в рубрике sysadmin