«Хуже, чем бесполезная» аутентификация

Пока IETF принимает решение о том, какую из технологий аутентификации принять в качестве стандарта, эксперты обсуждают преимущества каждого предложения и последовательность действий при вводе стандарта. Как правило, при всей разности взглядов, все сходятся на том, что стандарт аутентификации необходим.

Однако нашелся человек, который решительно не согласен с тем, что аутентификация пользователя эффективна. На прошедшей в Дублине конференции он заявил, что утверждения о том, что аутентификация поможет в борьбе со спамом, исходят от людей с «неправильными головами».

В результате разгорелся жаркий спор. Зачинщиком был новозеландский эксперт Ник Фицджеральд (Nick Fitzgerald), консультант по безопасности Computer Virus Consulting.

Фицджеральд вообще высказывался достаточно жестко. По его словам, аутентификация отправителя может оказаться «хуже, чем бесполезной» в предотвращении распространения потоков спама.

Нарекания Фицджеральда вызвала, в основном, «широко разрекламированная» как решение проблемы аутентификации технология SPF.

Фицджеральд считает, что информации о том, что письмо соответствует требованиям SPF, не достаточно, чтобы понять, кто на самом деле отправил сообщение, и является ли письмо спамом.

«Как мера по защите от спама технология SPF взломана еще до ее внедрения, и она не просто поддается взлому — взломать ее тривиально», — сказал Фицджеральд. (Отметим, что оппоненты Фицджеральда утверждали, что информации о взломе спамерами SPF нет, несмотря на заверения эксперта в обратном.)

Хуже всего, по мнению Фицджеральда, то, что ботнеты — сети зомби-машин, находящиеся под контролем хакеров — легко справятся с системой аутентификации. По словам Фицджеральда, хотя в настоящее время спам-рассылки с ботнетов не нацелены на обход систем аутентификации, злоумышленникам не составит труда добавить пару строк в коды, чтобы добиться желаемых результатов.

Для этого спамеры могут, управляя зараженными машинами, прочитать установки их почтовых программ, например, установки почтовых серверов ISP, а потом сами их использовать. В результате спам будет рассылаться в соответствии с требованиями SPF, выполняемыми провайдером, и спам-письма будут выглядеть как легитимные сообщения.

О возрастающих объемах спама, рассылаемого с зомби-машин через почтовые серверы их ISP, в марте этого года сообщали MessageLabs и SpamHaus, так что опасения Фицджеральда могут оказаться не беспочвенными.

Представитель антивирусной компании FRISK считает, что SPF, по крайней мере, позволит провайдерам выявлять зараженные машины. Новозеландец же убежден, что подобная идентификация обойдется провайдерам слишком дорого и потому не может использоваться для массовых операций по лечению машин.

С Фицджеральдом были готовы поспорить и другие участники конференции, которые настаивали на том, что SPF сыграет значительную роль в борьбе с мусорными письмами.

Однако менее горячие оппоненты Фицджеральда согласились с тем, что сама по себе аутентификация не решит проблемы спама. Напомним, что об этом неоднократно говорил и Мен Вонг, создатель SPF. Однако сторонники аутентификации надеются на то, что с ее помощью удастся справиться с такой напастью как фишинг, а это дорогого стоит.