Мнение

Анна Власова отвечает на вопросы журнала

Интервью Анны Власовой, начальника группы спам-аналитиков «Лаборатории Касперского», было опубликовано в январском номере журнала Хакерспец (01 (74) 2007). Мы публикуем это интервью с небольшими сокращениями.

Болезнь спама излечима или же это прогрессирующая опухоль с летальным исходом? Раньше пользователи вылавливали спам среди писем, а теперь вылавливают письма среди спама. И тенденции откровенно пугают.

— Сразу замечу, что письма среди спама вылавливают только те пользователи, которые не защищены спам-фильтрами. Пользователи защищенных серверов, наоборот, иногда недоумевают, что же это за спам такой, о котором так много говорят. Современные программы защиты вполне способны обеспечить высокий уровень фильтрации спама, отсекая более 90 «мусорных» сообщений из 100, атаковавших пользовательский ящик.

Это было небольшое отступление. По существу вопроса: болезнь под названием «спам» действительно существует. И этот факт наглядно подтверждает статистика. По данным Лаборатории Касперского, доля спама в общем потоке почтового трафика Рунета уже не опускается ниже 70% (единственное исключение – новогодние праздники, когда доля спама падает до 50-60%). Конечно, это усредненные данные по многим нашим источникам, на серверах бесплатной почтовой службы – например, Mail.ru или Yandex – доля спама будет еще выше и может превышать 90%. А на небольших корпоративных серверах может быть и ниже 70%.

Несмотря на впечатляющие цифры – семь писем из десяти являются «мусором», над доставкой, обработкой, маршрутизацией и хранением которого трудятся как «железные», так и людские ресурсы, — я бы не назвала общую тенденцию катастрофической:

  1. По сравнению с предыдущим годом не видно резкого скачка в доле спама. Похоже, произошло своеобразное «насыщение» почты спамом, и сейчас уровень спама замер на той отметке, выше которой ситуация действительно может стать критической. Конечно, это равновесие очень хрупкое и может быть нарушено в любой момент. Особенно если спамеры вложат существенные средства и ресурсы в разработку ПО, нацеленного на обход наиболее распространенных фильтров. Но ведь и антиспамеры сложа руки сидеть не будут.
  2. Защита, предоставляемая современными фильтрами, достаточно сильна. И спамеры это прекрасно ощущают. Именно поэтому они активно ищут новые рынки сбыта своих услуг, мигрируют в мессенджеры, мобильную связь.

Вывод: о летальном исходе пока говорить преждевременно. Хотя трубить победу антиспамеров тоже рано. К сожалению, защита от спама пока не стала такой же широкораспространенной, как защита от вирусов, и спамерам есть чем поживиться за счет почты без спам-фильтров.

Как избежать лавины? Использование существующих спам-фильтров отсекает определенный процент мусора, но оставшийся процент весьма относителен — чем больше общее количество спама, тем больше и количество неотсеченного мусора.

— Да, это верно. Практически все производители антиспама обещают отсечь только некоторую долю спама. И хотя планка, заданная антиспамерами, высока – около 95% фильтрации спама, — но оставшиеся 5% действительно могут выражаться в ощутимом количестве мусора, который свалится на ни в чем не повинного пользователя.

Ситуация осложняется тем, что спамеры тоже не стоят на месте. Они вкладывают средства в разработку нового ПО, специально настроенного на «пробивание» популярных средств защиты. Многие спам-рассылки тестируются спамерами на бесплатных антиспам-программах (например, на «СпамАссасин»-е) еще до того, как их начнут массово распространять по миллионам адресов.

Самый действенный способ остановить лавину – это… перестать реагировать на спам. Сделать его экономически невыгодным для спамеров.

На текущий момент спам – это целая индустрия, которая работает ради обогащения спамеров. Если пользователи перестанут покупать товары, рекламируемые в спаме, и уж тем более перестанут «вестись» на мошеннические уловки, научатся отличать фишинг от легитимных банковских сообщений и т.п., то спам отомрет сам по себе, потому что спамеры работают не ради интереса, а исключительно ради денег.

К сожалению, это решение проблемы относится к разряду утопических. Интернет постоянно растет, появляются новые пользователи и, увы, делают одни и те же ошибки, откликаясь на «нигерийские» письма, переводя деньги на «волшебные» кошельки webmoney и просто покупая дешевые, но очень соблазнительно расписанные рекламой товары. На самом деле ровно то же самое происходит и в «реальном» мире. Я лично не знаю способа убедить людей отказаться от покупки картин с березками, выложенными янтарной крошкой, малахитовых накладок на приборную панель автомобиля, универсального устройства для экономии электроэнергии, прибора для заплетания косичек, ручек с невидимыми чернилами, «вечных» фонариков, бронзовых бюстов Путина и т.п. (все это — товары, рекламируемые спамерами, но в окружающем «реальном» мире вполне можно найти их аналоги).

Что же остается? А остается упорная, отчасти нудная работа по борьбе с этой лавиной. Эта работа включает в себя не только технические средства противодействия, но и юридическое (совершенствование законодательства) и даже образовательное направление.

Что делать конечным пользователям? Какие фильтры/программы/системы на сегодня наиболее эффективны?

— Конечным пользователям – заводить почтовые ящики на защищенных от спама серверах. Если это невозможно, то использовать персональные средства защиты. Сейчас многие производители предлагают для персональных машин антивирус и антиспам «в комплекте». «Лаборатория Касперского» в этом плане не исключение: у нас есть как серверные, так и комплексные персональные решения.

Еще одна возможность — фильтрация спама как сервис. Это значит, что пользователю не надо ни возиться с установкой программ, ни менять провайдера/почтовый сервер из-за неустраивающей его системы защиты от спама (или ее отсутствия). Нет, он просто направляет свою почту через определенные сервера, на которых стоят спам-фильтры. При этом в конце концов письма оказываются в привычном пользователю ящике, но только спам будет специальным образом размечен (например, спам, прошедший через фильтры сервиса «Спамтест» «Лаборатории Касперского» получит метку [!!Spam] в теме сообщения). При этом письма не удаляются без ведома пользователя и не раскладываются принудительным образом по заранее заданным папкам (как это обычно происходит на бесплатных почтовых службах). Все, что делает сервис – это только проверка и разметка.

В силу массовости проблемы основная нагрузка по борьбе со спамом сместилась в сторону администраторов и интернет-провайдеров. Какие тенденции и практические наработки есть в этом направлении?

— Это всевозможные корпоративные решения, предназначенные для защиты почтовых серверов. Наиболее известные отечественные разработки – это «Kaspersky Anti-Spam» «Лаборатории Касперского» и «Спамоборона» компании «Яндекс». Оба продукта хорошо себя рекомендуют на рынке, в каждом используются уникальные технологии, собственные разработки. Например, в антиспаме «Лаборатории Касперского» используется более 15 методов детекции спама, среди которых есть такие уникумы как графический анализатор, умеющий отличать анимированный и «зашумленный» графический спам (спам, в котором текст сообщения не написан, а по сути нарисован на «картинке», которая приложена к сообщению как графическое вложение).

С чем связана пробуксовка? Были приняты определенные поправки к закону «О рекламе», но ситуация на рынке спам-индустрии практически не изменилась.

— В некотором смысле, мы повторяем путь, который уже пройден многими западными странами. Австралийское законодательство, направленное против спама, считается одним из самых эффективных. Законы были приняты в 2003 году, начали действовать в 2004, а первый процесс против спамеров начался в 2005. Да, государственная машина – медленная. Возможно, это не так уж и плохо.

У нас же со времени вступления в силу поправок к Закону о рекламе РФ (с 1-го июля 2006 года) прошло всего 4,5 месяца. Думаю, пока рано делать выводы о «пробуксовке» закона. Хотя работать ему действительно сложно. Внятный механизм, как именно конкретному пользователю или даже организации бороться со спамом, в законе не прописан, это верно. Кроме того, закон затрагивает только ту часть спама, которая является рекламой, а это далеко не весь спам. Да, пока большинство спамерских сообщений — это реклама, но доля криминализированного спама, который рекламой не является (фишинг, поддельные уведомления о выигрыше в лотерею, мошенническая эксплуатация SMS-сервисов и т.п.), постоянно растет. На первые 9 месяцев 2006 года криминализированный спам составляет уже 16% от всего спама. И речь идет только о явном мошенничестве. К сожалению, существенная часть оставшегося спама также тяготеет к криминалу. Например, эксперты «Лаборатории Касперского» пока не относят спам с рекламой акций различных компаний, которой изобилует осень 2006 года, к «Компьютерному мошенничеству», хотя по сути это попытка нечестной накрутки стоимости акции за счет голословных обещаний пользователям. Возможно, это еще не мошенничество с точки зрения закона, но уже очень близко к этому.

Эффективность спама в почтовых рассылках падает, и спамеры уже начали атаковать блоги, форумы, мессенджеры и другие массовые средства общения. Что дальше?

— Да, дальше объектами спамеров действительно станут блоги, форумы, мессенджеры… только это будут не эксперименты, как это происходит сейчас, а такие же массовые атаки, как и на электронную почту. Хотя спам в блогах и форумах уже поставлен на вполне профессиональную основу. Скорее всего, здесь впереди тот же путь, который прошла защита почты, вот только пройден он будет быстрее. За 2-3 года, а не за десятилетие, как это было с почтовым спамом.

Если отследить развитие технологий спамеров, то как они эволюционировали? И какие прогнозы можно дать дальнейшему их развитию?

— С развитием технологий спамеров есть интересная закономерность. Примерно каждые два года неожиданно всплывают технологии, которые спамеры уже пытались использовать, но они не прижились. Не знаю, с чем это связать. Возможно, «смена поколений» у спамеров как раз 2-3 года и составляет, и каждое новое поколение хочет самостоятельно убедиться, что рассылка спама «в звездочках» и других мелких символах (когда слова текста не написаны, а составлены из символов, набранных мелким шрифтом) не работает, т.е. не помогает пробить спам-фильтры.

2006 год практически весь прошел в спамерских экспериментах с графикой. Уже упомянутый мной бум рекламы акций тесно связан с новыми технологиями спамеров. В августе 2006 года спамеры ввели в эксплуатацию технологию анимированного спама. Анимация явилась продолжением разработок, связанных с «графическим» спамом, впервые массово атаковавшим почтовые ящики в 2004 году. Тогда появление графического вариативного («зашумленного») спама пробило серьезную брешь в антиспам-защите различных производителей, но спамеры торжествовали недолго. Через 1-2 месяца компании-разработчики антиспамового программного обеспечения нашли способ решить эту проблему.

В 2006 году спамеры снова сделали ставку на графику. Первые анимированные рассылки были зафиксированы аналитиками «Лаборатории Касперского» в самом конце августа 2006 года. И с тех пор они постоянно совершенствуются, хотя прошло всего три месяца с момента появления новой технологии.

«Изюминка» новой технологии состоит в том, что пользователь в большинстве случаев не понимает, что перед ним анимация. «Зашумленные» кадры демонстрируются десятые доли секунды, и человеческий глаз просто не успевает их воспринять. Мало того, пользователь нередко даже не замечает, что вообще имеет дело с графикой. Он видит текст и расценивает его тоже как обычный текст. Но программы, предназначенные для борьбы со спамом, «видят» все кадры анимации, и поскольку они изначально не были рассчитаны на анимированные форматы, то у них может не хватить эвристической мощности для классификации сообщения как спамерского.

Конечно, для мощных современных фильтров и такой спам особой проблемы не составит. Так анимированный спам появился в конце августа, а на текущий момент «Лаборатория Касперского» уже выпустила обновление, в которое в числе прочего вошел новый «графический» модуль, способный справляться с анимацией и варьирующими «зашумленными» спам-рассылками с графическими вложениями.

Кроме совершенствования формата спам-рассылок, спамеры в течение года вели работу над уменьшением времени отдельной спам-рассылки (новейшие спамерские технологии позволяют разослать сотни тысяч сообщений всего за несколько десятков минут), а также начали работать с текстом, успешно применяя прием маскировки спама под личное сообщение.

Современный спам «умеет» очень грамотно подделываться под личное сообщение. Пользователи предполагают, что им в ящик по ошибке попало чужое сообщение. Тем самым они не воспринимают его как рекламу, и готовы более доверчиво относиться к контенту спама.

Какой прогноз в целом на ближайшие 3 года?

— Для Интернета 3 года – это долгий срок. Тут трудно детально что-то прогнозировать. Думаю, самое главное – это то, что спам никуда не исчезнет. В любом случае пока предпосылок для его исчезновения не видно.

Что же касается направлений развития спамерских технологий, то:

  1. Спамеры будут бороться за увеличение скорости отдельной спам-рассылки, а также наращивать количество экземпляров сообщений в пределах одной рассылки.
  2. В пределах одной спам-рассылки спам станет более «умным», т.е. отдельные сообщения будут варьировать и, возможно, так или иначе приспосабливаться под нужды и стиль конкретного пользователя.
  3. Развитие технологий по-прежнему будет носить «циклический» характер, т.е. с определенной периодичностью спамеры будут пытаться вернуться к хорошо забытому старому и повторить его. Скорее всего, буду повторяться попытки рассылок «слишком хитрого» спама (например, на ярком и пестром фоне, с дублирующимися буквами и т.п.), который неэффективен, т.к. пользователю сложно его воспринимать.
  4. Антиспамеры обладают достаточными ресурсами, чтобы противостоять спамерам, и будут успешно бороться со спамом.
  5. Это, в свою очередь, вынудит спамеров активно осваивать новые плацдармы. Например, мобильную связь.
  6. Материальный ущерб от спама будет резко расти, и в связи с появлением новых плацдармов, и в связи с ростом Интернета в целом, и Рунета в частности.
  7. Спам будет становиться все более криминализированным.

Анна Власова отвечает на вопросы журнала

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике