Российский народный Интернет попадает в спам-листы

Олег Татарников

Негативные последствия расширения Интернета

Железный занавес

Вместо заключения

Не жги над головою крыши, чтобы избавиться от мыши.

Английская пословица

Интернет во всем мире неуклонно увеличивает свою аудиторию и становится все более доступным для широких слоев населения. Стабильно растет и его российская часть. По данным экспертов, недельная российская интернет-аудитория к концу прошлого года приблизилась к 15-миллионной отметке. Как прогнозируют аналитики, ее прирост будет и дальше происходить быстрыми темпами, особенно если провайдеры скорректируют ценовую политику так, чтобы к Интернету могли без особого труда подключаться в регионах люди с невысоким достатком (сегодня доля интернет-пользователей в Москве и Петербурге растет уже медленнее, чем в регионах).

Аналитики также отмечают, что с середины прошлого года в Сети начался и до сих пор продолжается необычайно быстрый рост количества сайтов. Эта общемировая тенденция характерна и для России. Например, ведущий регистратор доменных имен — компания RU-CENTER сообщила, что количество доменов в зоне .RU превысило значение в полмиллиона еще в апреле 2006 года, хотя, по предыдущему прогнозу компании, это должно было случиться лишь к осени. Сейчас в российском национальном домене зарегистрировано свыше 600 тыс. имен.

Рост количества сайтов в мире, по мнению экспертов, обусловлен двумя причинами: во-первых, популярностью сервисов, предоставляющих место под персональные блоги (онлайновые дневники), а во-вторых — разгорающейся битвой между Google и Microsoft в сфере онлайновых сервисов.

Заметное влияние на общее количество сайтов оказывают и другие бесплатные хостинговые сервисы, постоянно привлекающие новых пользователей. За первые пять месяцев прошлого года в мире в среднем прибавлялось по 2,75 млн новых хостов в месяц, однако начиная с июня их число удвоилось, достигнув отметки в 5,4 млн. Вместе с тем аналитики подчеркивают, что увеличилось количество удаляемых из сети старых сайтов, в первую очередь вследствие окончания срока регистрации домена или договора с хостером.

По статистике, количество сайтов на бесплатных хостингах сегодня превышает количество платных сайтов, то есть не только доступ в Интернет, но и его наполнение становится все более «народным».

При этом, по данным опроса, проведенного в 16 странах континента компанией H&H Webranking, сайты российских компаний были признаны худшими в Европе — на их страницах содержится минимум полезной информации. При этом очевидно, что с расширением аудитории Интернета качество его наполнения не улучшится.

Из тенденций российского Интернета стоит отметить сокращение доли доменных имен, принадлежащих юридическим лицам, а также доли имен, зарегистрированных жителями Москвы. Уже к началу 2006 года «доля Москвы» составляла менее половины от общего количества доменных имен в российской зоне (.RU).

Кстати, если обратиться к технической стороне (веб-серверам, доменам и интернет-сервисам), то по состоянию на конец прошлого года всего в Сети насчитывалось более 100 млн хостов, из них активными (то есть с периодическими обновлениями данных) была ровно половина — около 50 млн.

Для двух основных веб-сервисов — Apache и Microsoft IIS — распределение сайтов на осень 2006 года почти не изменилось. Apache потерял 0,9%, в то время как IIS набрал 1,1%. Таким образом, к осени 2006 года на Apache приходилось 62,52% сайтов, а на IIS — 30,13%. Две другие платформы — Zeus и Sun — удерживают по 0,56 и 0,37% соответственно.

Негативные последствия расширения Интернета

Все началось с того, что в прошлом году у многих российских пользователей внезапно оборвалась переписка с иностранными коллегами. Проблема оказалось более чем серьезной: один из крупнейших зарубежных борцов со спамом — сервис Spamhaus (http://www.spamhaus.org) — заблокировал крупнейшего российского оператора услуг Интернета RTComm, внеся весь диапазон его IP-адресов в так называемый стоп-лист.

Отметим, что Spamhaus — это очень уважаемый в мире сервис, спам-листами которого пользуется не только подавляющее большинство американских почтовых серверов, но и значительная часть европейских, а также многие российские.

А ведь RTComm — это крупнейший российский оператор связи, к услугам которого прибегают многие российские интернет-провайдеры. Я, например, пользуюсь дома услугами доступа «Стрим» провайдера MTU-Intel, который, в свою очередь, является клиентом RTComm. И теперь все мы: RTComm, «Стрим» и я, а заодно и большая часть Рунета — в одночасье стали спамерами (ведь в спам-лист Spamhaus попал не заурядный спамер, а оператор услуг). Это было ужасно: зарубежная почта возвращалась непрочитанной, а в какой-то момент и российский Яндекс не допустил меня до поиска, мотивировав отказ тем, что такими IP-адресами, как у меня, пользуются только злобные хакеры. Вот это вызвало у меня уже настоящий шок!

Между тем, по данным американской компании Sophos, совсем не Рунет, а США являются главным распространителем спама в Интернете. Причем в рейтинге распространителей спама США лидируют с заметным отрывом — на эту страну приходится 21,6% электронного мусора, за Америкой следует Китай — 13,4%, а замыкает тройку лидеров Франция с 6,3% от общемирового потока спама. Россия же в спамерском списке Sophos вообще не фигурирует.

Впрочем, на момент написания статьи наша ситуация немного улучшилась — сегодня, например, мои адреса находятся в Spamhous все-таки уже не в Spam Block List (SBL), а в Policy Block List (PBL), что дает хотя бы какое-то послабление в использовании Интернета. Однако строгие американские серверы по-прежнему общаться со мной через провайдера MTU-Intel не желают (приходится отказываться от протокола SMTP и вместо специализированной почтовой программы для отправки сообщений пользоваться онлайновыми веб-сервисами, что, конечно же, неудобно).

Любой желающий может по ссылке http://www.spamhaus.org/lookup.lasso посмотреть, где находится его IP-адрес (и вообще ознакомиться с диапазоном адресов его провайдера).

И IP-адрес, и даже Default IP Gateway оказались в спам-листах сервиса Spamhaus —
полноценный Интернет стал недоступен

Железный занавес

Сегодня нет более популярного слова в интернет-сообществе, чем «спам». Поэтому и борются со спамом с полной самоотдачей, иной раз столь жестоко, что полностью пресекают почтовое сообщение между целыми сетевыми сегментами.

Если говорить о технической стороне этой борьбы вкратце, то защита от спама так или иначе упирается в фильтрацию почтового трафика. И первое, что приходит в голову борцам-администраторам, — это просто заблокировать получение почты от определенного источника. А чтобы самому не заниматься составлением списков таких источников, полагаются на энтузиастов, централизованно собирающих подозрительные IP-адреса. Так появляются различные Domain Name Service Blocking List (DNSBL), Real-time Blackhole List (RBL) и прочие стоп-листы и спам-списки.

Причем сегодня принято разделять подобные черные списки (Block List) на технические и политические. Первые составляются роботами и содержат адреса тех SMTP-серверов, которые работают с ошибками, неправильно сконфигурированы или нарушают определенные правила (например, туда помещаются так называемые открытые прокси — open proxy). Соответственно после устранения нарушений такой сервер автоматически покидает черный список.

А вот политические списки (типа того же Policy Block List от Spamhous) составляются администраторами базы вручную на основании их личных мнений и предпочтений. Столь же субъективен и подход к исключению из списков (желающие могут сами пообщаться с администраторами на эту тему — большинство из них при обсуждении данного вопроса становятся совершенно невменяемыми).

И чем меньше борьба со спамом приносит реальных результатов, тем абсурднее становятся методы ее ведения. Например, в статье Николая Федотова из RTComm (//www.spamtest.ru/document.html?context= 15928&pubid=11) справедливо замечено, что в черные списки вносятся уже не только и не столько серверы, с которых, собственно, рассылается спам, сколько серверы, где располагаются ресурсы, рекламируемые спамом, затем подсети, где эти серверы находятся, а также (в случае, если провайдер отказался немедленно удалить рекламируемые сайты) все сети провайдера, все сети его аплинка (провайдера более высокого уровня) и т.д. Отдельные радикалы отключили уже целые страны — якобы за то, что в них не ведется борьба со спамом. Иными словами, ищут не там, где потеряли, а где светлее.

Конечно, грамотный администратор может выбрать источник, проводящий разумную политику занесения и исключения из стоп-листов, которая, как известно, является весьма простым и сравнительно эффективным средством борьбы со спамом. Однако столь же хорошо известно, сколько бед может натворить недостаточно грамотный и уравновешенный системный администратор с юношеским максимализмом и болезненным желанием продемонстрировать свою власть, одержимый идеей искоренения спама без санкции и даже ведома своих руководителей. Причем зачастую руководители компаний, где работают такие администраторы, в технических вопросах вовсе не разбираются либо не интересуется ими. А на одного грамотного системного администратора приходятся десятки неграмотных, и фильтры, поставленные последними, очень быстро начинают приносить вред, а не пользу.

Между тем, несмотря на запреты, количество спама не уменьшается, так как профессиональные рассыльщики уже давно не используют для рассылки спама свои адреса — мусорные письма обычно рассылаются с помощью так называемых ботнетов, то есть сетей компьютеров-«зомби» (спам-роботов) — домашних компьютеров, которые инфицированы вирусом и рассылают спам по команде от хозяина такой бот-сети. В спамерской среде ботнеты считаются очень ликвидным товаром, активно продаются и покупаются.

Чем больше компьютеров инфицировано, тем выше уровень спама в Интернете. В настоящее время, по оценкам специалистов, спамерские ботнеты включают около 3-4 млн ПК. И это лишь спамерские боты, а ведь существуют аналогичные сети, занимающиеся выполнением DDoS-атак, — они тоже состоят из миллионов «зомбированных» машин. Эти системы задействуются, если владельцы какого-то сайта отказываются платить мошенникам за «обеспечение безопасности».

Содержание ботнета — чрезвычайно выгодный бизнес, который является главным источником дохода современных киберпреступных группировок. Так, израильский специалист по ботнетам Гади Эврон (Gadi Evron) в прошлом году оценил доходность ботнетов в 2 млрд долл. Эти деньги были получены главным образом от фишинга, путем заманивания людей на фальшивые сайты через спам. Забавно, что трафик от пользователя к фишинговому сайту иногда тоже проходит через ботнет, чтобы обмануть антифишинговые системы в современных браузерах. Как вариант, логины и пароли можно собирать не на фальшивых сайтах, а прямо на компьютерах пользователей.

Ботнеты увеличили свою численность за счет того, что в 2005-2006 годах было обнаружено как никогда много дыр в программном обеспечении. Например, в 2006 году только Microsoft выпустила 97 «критических» патчей для своих программ, из них 14 так называемых патчей нулевого дня (zero day), закрывающих дыры, о существовании которых Microsoft узнала уже после того, как киберпреступники начали их успешную эксплуатацию. Для сравнения: в 2005 году компания Microsoft выпустила всего 37 «критических» патчей. В последнее время хакеры стали расширять свои ботнеты с помощью дыр не только в браузере, но и в текстовом редакторе, медиаплеере и в электронных таблицах. Вирусы стали проникать в компьютеры пользователей даже через рекламные баннеры.

Кстати, часто подобными ботнетами становятся и локальные сети тех или иных учреждений, плохо защищенные нерадивыми системными администраторами, которые в то же время могут быть активными борцами со спамом и подписчиками на все возможные стоп-листы.

В результате любой достаточно крупный оператор рано или поздно обязательно попадет в спам-листы. При этом чем шире будет интернет-аудитория и чем больше там окажется неграмотных и плохо защищенных от «зомбирования» пользователей, тем выше будет вероятность появления спамеров или «зомби» среди клиентов любого интернет-провайдера, а следовательно, попадания в черные списки скоро не удастся избежать никому.

Между тем железный занавес защиты от спама становится все выше и плотнее и уже раздаются призывы к тому, чтобы вообще отменить электронную почту (раз уж все равно ничего не работает). Исторически так сложилось, что протоколы для электронной почты (прежде всего — SMTP) строились для наибольшей надежности доставки сообщений и не были рассчитаны ни на спам (его в те времена просто не существовало), ни на другие появившиеся позже угрозы. В результате спам чувствует себя там как рыба в воде, успешно плодится и размножается, а все средства противодействия ему, напротив, носят характер чужеродных «заплаток» и не слишком хорошо уживаются с программным обеспечением или же вообще ограничивают пересылку почты, то есть приносят больше вреда, чем пользы. Причем к настоящему времени Интернет настолько разросся, что сменить почтовый протокол очень трудно, хотя некоторые и предлагают столь радикальный вариант.

Вместо заключения

По данным «Лаборатории Касперского» (http://www.kaspersky.ru), к настоящему моменту произошло своеобразное насыщение спамом почтовых потоков во всем мире. Доля спама стабилизировалась на уровне 80-90% от всего почтового трафика, причем эти показатели уже слабо подвержены влиянию каких-либо внешних факторов и средств противодействия, так как технологии, применяемые спамерами, становятся все более изощренными.

В конце прошлого года уровень спама зашкалил за 90% от всего почтового трафика (по статистике американской компании Postini и британской фирмы SoftScan), причем злоумышленники успешно освоили несколько новых технологий, позволяющих им обходить средства борьбы со спамом (например, широкое распространение получила рассылка графического спама с вариациями контента, а начиная с августа 2006 года все более популярным становится анимированный спам, в том числе с использованием GIF-анимации, являющийся неким продолжением графического спама). Кстати, применение анимации в спаме еще больше повышает его шансы на прохождение фильтров.

В Рунете, по данным «Лаборатории Касперского», большая часть спама (порядка 23,5%) связана на данный момент с рекламой мелких производителей и продавцов, предлагающих самую разнообразную продукцию: от фонариков до бюстов президента РФ. В отличие от других тематических категорий несанкционированной рассылки рекламы (за исключением рекламы образовательных услуг), спам здесь в основном русскоязычный. Помимо этого излюбленными темами спамеров остаются реклама медикаментов (реклама виагры и прочих таблеток — 16,9%), компьютерное мошенничество (фишинг, нигерийские письма — 16,6%), образование (реклама семинаров и тренингов — 13,1%), компьютеры и интернет (реклама дешевого софта — 8,5%), отдых и путешествия — 7,2%, личные финансы (предложение купить акции по баснословно низкой цене — 7,0%).

Недавно некоторые крупные организации во всем мире объединили усилия с целью борьбы со спамом, сформировав альянс StopSpamAlliance. Туда входит рабочая группа по телекоммуникациям и информационным технологиям Азиатско-Тихоокеанского экономического сотрудничества (APEC), Международный союз по телекоммуникациям, группа Меморандума о взаимопонимании и сотрудничестве, Международный альянс London Action Plan (членом которого является британское Управление законной торговли), Федеральная торговая комиссия США и некоторые другие организации.

Основной задачей StopSpamAlliance станет координация действий, направленных на борьбу с массовыми рассылками по электронной почте. Дело в том, что спамеры зачастую проживают в одной стране, а свою деятельность осуществляют в другой. Это затрудняет их поимку и привлечение к ответственности. StopSpamAlliance как раз и должен решить эту проблему, а заодно, будем надеяться, и проблему отключения от мировой электронной почты целых стран и регионов.

Кроме того, на сайте нового альянса будут размещены информация, касающаяся законодательных способов борьбы с массовыми рассылками, календарь событий, рекомендации для пользователей Интернета, а также информация о ходе антиспамовых кампаний. Участники StopSpamAlliance намерены активно обмениваться друг с другом любым опытом по борьбе со спамом.

Да, спам, безусловно, вреден. Однако обычный средний пользователь от спама реально страдает мало. Возможно, для кого-то и два-три спамерских письма в день являются трагедией, но, по большому счету, это не повод для скандала. В мой почтовый ящик ежедневно приходят десятки спамерских посланий, несмотря на применение всевозможных антиспамерских средств и фильтров. Но, во-первых, мой адрес очень старый, а во-вторых, он указан во многих открытых источниках, из которых, естественно, давно попал во все спамерские базы. Однако значительно большим неудобством на деле оказался не спам, а невозможность общения с друзьями и коллегами за рубежом, к чему привела столь глобальная борьба со спамом.

Очевидно, что с расширением возможностей постоянного доступа к Интернету, появлением муниципальных беспроводных сетей, новых смартфонов с Wi-Fi, раскручиваемых 3G-сервисов и внедрением других прогрессивных нововведений количество спамерских ботнетов будет только расти. Но, как бы там ни было, от борьбы с киберпреступностью рядовые пользователи страдать не должны.

КомпьютерПресс 2'2007