oldi

Тенденции развития спама и средства борьбы с ним

Алексей Доля

Сегодня спама действительно стало слишком много. От бесчисленных нежелательных рассылок страдают домашние пользователи, представители бизнеса, провайдеры и вообще абсолютно все, кроме самих спамеров. Почему сегодня так много спама? Как эта угроза эволюционировала за прошедший год? Что может предложить антиспам-индустрия в ответ? С этими и многими другими вопросами мы обратились к Анне Власовой, руководителю группы спам-аналитиков «Лаборатории Касперского», и Виктору Дронову, менеджеру по развитию продуктов «Лаборатории Касперского».

КомпьютерПресс: Какие общие тенденции в развитии спама вы бы выделили за последний год?

Анна Власова: Одна из заметных тенденций — это стабилизация доли спама в почте, причем эта доля является стабильно высокой. Спама стало не просто много, а очень много. Практически сейчас семь-восемь сообщений из десяти — это спам. Также спамеры резко увеличили скорость рассылок спама: иногда вся спам-атака, нацеленная на миллионы адресов, завершается за 20-50 мин. Технологически это достигается за счет использования зомби-сетей. Кроме того, повысилась доля криминализованного спама (фишинг, нигерийский спам, фальшивые уведомления о выигрыше в лотерею и т.п.), в основном англоязычного. Наконец, спам стал применяться для политической пропаганды, а также как орудие черного PR, как способ для разрушения имиджа организации, которая упоминается в спаме.

 

Анна Власова

Анна Власова, руководитель группы спам-аналитиков
«Лаборатории Касперского»

КП: Насколько опасен спам сегодня? Какой экономический вред он наносит бизнесу?

Виктор Дронов: Если говорить о том, из чего складывается прямой ущерб бизнесу от спама, то можно выделить следующие составляющие. Прежде всего трафик: так или иначе, но если 70-90% входящей корреспонденции является спамом, то для относительно крупной компании это сотни гигабайт мусора в год. Далее — загрузка оборудования. Естественно, почтовая система, получая в день, скажем, 100 тыс. писем вместо 10 тыс. действительно полезных, должна базироваться на более мощном (а значит, и более дорогом) оборудовании. Если ИТ-департамент сочтет нужным поддерживать карантин для отфильтрованной почты (а зачастую так и происходит), то это выльется в дополнительные требования к системам хранения. Прибавьте сюда еще затраты на поддержку этого оборудования, администрирование ПО для фильтрации спама и т.д. Все это приводит к излишним инвестициям, когда получатель, по сути, вынужден оплачивать бизнес спамера. Ну и самая главная составляющая ущерба — это потеря рабочего времени и снижение производительности труда сотрудников компании. Получая в день 30-50 спамерских писем, служащие теряют немало времени на поиск среди них нужных сообщений. Вдобавок полезные письма по ошибке удаляются, пользователь раздражается и т.п. Компания «ВымпелКом», к примеру, оценила экономию от внедрения системы защиты от спама в сумму около 400 тыс. долл. в год.

 

Виктор Дронов

Виктор Дронов, менеджер по развитию продуктов
«Лаборатории Касперского»

Если же говорить о мировых показателях, то они, конечно, впечатляют. Китай оценил ежегодные потери своей экономики от спама в 756 млн долл. Исследования компании Ferris Research показали, что во всем мире ежегодно потери составляют 50 млрд долл. Цифры колоссальные... Самое печальное, что спам уже не просто назойливая реклама. Он эволюционирует в направлении мошеннических писем, фишинга, вирусных рассылок. Потери людей, попадающихся на удочку мошенников и вирусописателей, еще больше увеличивают ущерб от спамерской деятельности.

КП: Можно ли считать, что люди, рассылающие спам и зарабатывающие себе этим на жизнь, не уступают в технической подготовке и аппаратном обеспечении экспертам по борьбе со спамом?

А.В.: Люди, рассылающие спам, вообще могут не иметь особой технической подготовки, впрочем, как и серьезного аппаратного обеспечения: работающую зомби-сеть можно арендовать, базу адресов и программу для рассылки — купить. Что же касается разработчиков спамерского ПО и бот-мастеров, то здесь сложно судить. Наверное, есть люди разного уровня подготовки, но в целом не складывается впечатление, что спамом занимаются высококлассные специалисты.

КП: Почему, на ваш взгляд, некоторые компании все равно пользуются услугами спамеров? Получается, для них это тоже выгодно, следовательно, спам приносит коммерческую выгоду?

В.Д.: Точных данных о том, насколько эффективно или неэффективно применение спамерских рассылок в рекламных целях, у нас нет. Тем не менее отчетливо виден тренд — компании, использующие спам, это в основном небольшие фирмы, специфика деятельности которых позволяет приобретать одного-двух клиентов ценой ненависти миллионов, — это компании, осуществляющие перевозку, переезды, мелкие турфирмы, торговцы промышленным оборудованием... Их логика такова: если тебя никто не знает, то и негатив тебя не коснется. Известные же компании практически не вовлечены в этот процесс. Кроме того, по мере ужесточения законодательства против спама в различных странах (а с принятием новой редакции ФЗ «О рекламе» и в России) место уходящих заказчиков спама, не желающих играть в юридические кошки-мышки, занимают те, кто и так вне закона: производители контрафактных товаров, поддельных лекарств, торговцы оружием и наркотиками.

КП: Когда, на ваш взгляд, появится спам для мобильных телефонов? Насколько это актуально?

В.Д.: Считаю, что данная проблема очень актуальна. Число пользователей сотовой связи значительно превышает число пользователей ПК, к тому же телефон человек постоянно носит с тобой. Это очень желанная аудитория для спамеров. Итак, смысл рассылать спам по SMS есть, однако спамерам нужна технология. Сегодня мобильный спам отсылается через шлюз оператора: либо сама сотовая компания не гнушается продвигать свои сервисы с помощью рассылки нежелательных сообщений (речь здесь идет не только и не столько о российских операторах). Либо это делает один из ее клиентов, имеющий платный доступ к SMTP/SMPP-шлюзу (в нарушение договора о правилах рассылки, в которые, как правило, включаются положения против спама). В любом случае за отправку каждого сообщения длиной не более 160 символов нужно платить, и немало. А это вряд ли может устроить спамеров, избалованных вольницей в среде электронной почты. Пока оператор легко может не допустить распространения спама в своей сотовой сети — достаточно не рассылать его самому и жестко отслеживать немногочисленных клиентов, использующих открытые шлюзы.

Следующий шаг спамеров — это организация зомби-сети телефонов по аналогии с зомби-сетями ПК в Интернете, с которых сегодня по электронной почте рассылается 99% спама. К сожалению, уже существуют мобильные вирусы, способные, проникнув в телефон, осуществлять рассылку SMS и MMS без ведома владельца аппарата. Эти вредоносные программы работают только на смартфонах (телефонах на базе ОС Symbian или Windows Mobile), пока составляющих небольшую часть от общего числа мобильных телефонов. Однако эксперты, в частности Gartner, прогнозируют стремительный рост количества «умных» телефонов — умных, но при этом уязвимых.

Новый вид спама не только принесет мусор в мир мобильной связи, но и больно ударит как по сетям операторов, так и по карманам абонентов, ведь за рассылку спама с инфицированного смартфона платить за SMS- и MMS-трафик по-прежнему придется кому угодно, но только не спамеру...

КП: Что индустрия борьбы со спамом может предложить в ответ?

В.Д.: Конкретные решения и продукты начнут появляться, когда эта проблема перейдет (если перейдет) из разряда концептов в повседневную жизнь. Сейчас можно предположить, что очень важную роль в противостоянии SMS-спаму могут сыграть технологии детектирования массовости — на едином шлюзе сотового оператора достаточно будет просто отследить одновременную рассылку идентичных сообщений с тысяч разных телефонов. Далее спамеры, осознав свои слабости, станут видоизменять каждое сообщение, как это происходит сейчас в рассылках по e-mail. И начнется очередная гонка вооружений, противостояние ключа и отмычки...

КП: «Лаборатория Касперского» поставляет корпоративные продукты для борьбы со спамом. Между тем на рынке есть еще целый ряд конкурирующих решений как от российских, так и от зарубежных разработчиков. В чем отличие ваших продуктов?

В.Д.: Во-первых, в скорости реакции. Наша новая технология UDS позволяет в течение нескольких секунд получить информацию о начале спамерской рассылки и заблокировать ее получение. Во-вторых, мало оперативно оповестить о новой рассылке — эту рассылку надо засечь, создать ее сигнатуры, проанализировать и выявить новые спамерские трюки для обхода фильтров. Все эти операции успешно выполняются единственной в России круглосуточной лингвистической лабораторией. В-третьих, в комплексном подходе к фильтрации спама, когда решение принимается взвешенно, с учетом различных методов и техник анализа. Это позволяет поддерживать минимальный уровень ложных срабатываний, не допускать, чтобы чистые письма клиентов летели в корзину. А ведь не потерять нужное письмо — это, пожалуй, важнее, чем избавиться от спама на 99,9%! Наконец, Kaspersky Anti-Spam 3.0 имеет современный, удобный и функциональный интерфейс. Он очень стабилен и производителен, что доказывает его работа в крупнейших почтовых системах страны.

КП: «Лаборатория Касперского» часто упоминает свою лингвистическую лабораторию. Расскажите, пожалуйста, что собой представляет это подразделение и чем оно занимается?

А.В.: Это группа спам-аналитиков, которая, в свою очередь, входит в антиспам-лабораторию. Конечно, в группе есть и лингвисты, так как спам содержит текстовую составляющую на разных языках (например, в нашей коллекции спама есть экземпляры на польском, болгарском, датском языках). Кроме лингвистов, в группу спам-аналитиков входят специалисты технического профиля.

Группа спам-аналитиков — это относительно небольшое подразделение, сейчас там работает менее 20 человек. Спам-аналитики занимаются подготовкой данных для линейки антиспам-продуктов «Лаборатории Касперского». Они анализируют структурный и тематический состав спама, выявляют новые спамерские трюки и тенденции и, конечно, разрабатывают способы борьбы с новыми видами спама. Часть группы занимается постоянным (то есть круглосуточным, в режиме 24 часа 7 дней в неделю) мониторингом актуального спама и при необходимости вносит изменения в антиспам-базы и настройки фильтрующих модулей в режиме реального времени с целью остановить те немногие спамерские рассылки, которым удалось «пробить» спам-фильтр. Таких рассылок немного, но мы стремимся обеспечить нашим клиентам максимальное качество фильтрации.

КП: Правильно ли я понимаю, что поставщики решений для борьбы со спамом и крупные разработчики ПО в целом разочаровались в глобальных попытках положить конец спаму? То есть Caller ID, Sender ID и все остальное — это уже вчерашний день. Так?

А.В.: Всевозможные решения, направленные на аутентификацию отправителя, оказались недостаточно эффективными в борьбе со спамом. Во-первых, сама по себе верификация отправителя — не панацея. Это всего лишь один из способов, помогающий классифицировать конкретное сообщение как спам или как не спам. Во-вторых, крупные разработчики ПО (кроме Microsoft, которая, по сути, является идеологом и инициатором кампаний по продвижению технологий верификации) и не питали особых надежд на эти технологии. И когда их опасения в слабой эффективности подобных технологий подтвердились, они об этом громко заявили (например, не поддержали идею верификации отправителя разработчики веб-сервера Apache и популярного дистрибутива Linux — Debian Linux). Ну и последнее: невозможно обязать интернет-сообщество моментально перейти к использованию новых технологий. И пока интернет-сообщество проявляет инертность и решает, нужны ли ему Caller ID, Sender ID и т.п., спамеры уже вовсю осваивают новые технологии и обеспечивают поддержку «правильных» SPF и Sender ID в своих рассылках.

Однако не могу утверждать, что это направление — проверка отправителя — бесперспективно. Такие проверки работоспособны при некоторых условиях, только надо понимать, что все подобные верификации — это лишь дополнение ко многим другим методам фильтрации спама. В сочетании с другими методами они помогают классифицировать спам.

КП: Какова ваша личная оценка заявления Билла Гейтса двухлетней давности о том, что спаму придет конец через два года? Срок истек, а спам «и ныне там».

А.В.: Насколько я помню, Билл Гейтс не однажды обещал победить спам, и всегда за два года. Как оценивать прогноз, который не осуществился? Значит, он был неверным. Пока спам не собирается сдаваться.

КП: Можете сделать прогноз развития спамерских угроз на ближайшие два года? Чего следует опасаться?

А.В.: На два года, пожалуй, не рискну. За последние несколько лет произошло своеобразное насыщение электронной почты спамом. Сейчас доля спама в корпоративной почте не опускается ниже 60%, и эти данные справедливы для интернет-сообщества во всем мире. Во многих странах было принято антиспамерское законодательство, что постепенно приводит к оттоку законопослушных заказчиков спама и росту количества криминализованного спама. Производители ПО, в том числе крупные игроки, взялись за решение проблемы спама. Похоже, сейчас наступил своеобразный переломный период, и за два года ситуация со спамом может измениться довольно резко. Например, большая часть спама станет криминализованной или спамеры мигрируют в мобильные сети и сети интернет-пейджеров.

На ближайший год можно достаточно уверенно прогнозировать следующее. Во-первых, продолжится криминализация спама (возможно постепенная, возможно — скачкообразная, но она будет). Скорее всего, пользователи Рунета наиболее сильно ощутят на себе этот процесс, так как с 1 июля 2006 года в России вступили в силу поправки к закону «О рекламе», в соответствии с которыми рассылки, на которые не получено разрешение получателя, являются незаконными. То есть спам теперь оказался вне закона. Часть заказчиков спама примет эту информацию к сведению и будет выбирать другие способы рекламы. Во-вторых, спамеры начнут поиск новых технологических решений. Производители антиспамерского ПО сейчас выпускают продукты, которые очень хорошо фильтруют спам. Наиболее популярные технологии, «зашитые» внутри спам-фильтров, — это разнообразные виды текстового анализа, анализ заголовков сообщения, черные и серые списки, верификация отправителей. Соответственно спамеры будут развивать технологии, позволяющие так или иначе обойти фильтр, например графический спам (текст рекламного предложения не написан, а нарисован на картинке, которая приложена к сообщению в виде графического файла). Сейчас уже заметны эксперименты спамеров в этой области. В-третьих, спамеры будут осваивать новые площадки — такие, как интернет-пейджеры и мобильная связь.

КП: Что бы вы хотели сказать нашим читателям напоследок?

А.В.: Надеюсь, читатели имеют почтовые адреса на серверах, защищенных от спама, и эта проблема для них сведена к минимуму. А если нет, то мощные и современные спам-фильтры всегда в их распоряжении. Защищайтесь, пока спам окончательно не замусорил ваш ящик!

КП: Спасибо, что согласились ответить на наши вопросы. Желаем вам удачи на ниве борьбы со спамом и всего доброго!

 

В начало В начало

КомпьютерПресс 10'2006