Какие новые технологии появились у спамеров? Как с ними борются антиспамеры? Насколько велики темпы роста распространения спама? Об этом и многом другом «Веб-информу» рассказывает Игорь Ашманов.
Разговоры о росте числа несанкционированных рассылок в Рунете и о вреде, который они наносят, не стихают. Напротив, с каждым днем они становятся все громче. Так, недавно руководство Ассоциации документальной электросвязи заявило, что, по подсчетам их специалистов, ущерб, причиняемый распространением спама провайдерам и пользователям, в денежном выражении составляет $ 55 млн ежегодно.
О том, как в связи с началом очередного бизнес-сезона и прошедшими недавно вирусными эпидемиями изменилась общая ситуация на поле битвы со спамом, «Веб-информу» рассказывает один из главных российских антиспамеров — глава компании «Ашманов и партнеры» Игорь Ашманов.
— Правда ли, что количество спама за зимние месяцы выросло в разы? Насколько именно?
— Думаю, не в разы, а процентов на 30-40. Прошлым летом [общее количество спам-писем] можно было оценивать миллионов в пятьдесят за день. К концу года стало миллионов 70, а потом — около 100. Но мои оценки базируются на анализе видимого на поверхности трафика — в бесплатных почтовых службах «Яндекса», Mail.ru, «Рамблера» и так далее.
Объем трафика в корпоративных сетях, где письма идут от сервера к серверу, совершенно не виден. Обычный пользователь Mail.ru — может быть, тот же самый сотрудник компании, только он пишет [c Mail.ru] по личным делам, — посылает одно-три письма в день. А офисный работник может и 200 писем в день получать или отсылать.
— В связи с чем объем спама стал увеличиваться?
— Есть два объяснения. Первое, общее, таково: бизнес спамеров просто растет. Меняются их технические возможности, у них становится больше серверов, больше денег на то, чтобы нанимать программистов и платить за хостинг. Количество самих спамеров увеличивается, потому что бизнес привлекательный, растущий и туда много народу прет. А во-вторых, есть и конкретное, техническое объяснение. Дело в том, что в декабре-феврале бушевали вирусные эпидемии. Как известно, там было примерно три группировки вирусописателей, которые воевали друг с другом при помощи вирусов. Каждый приходящий на компьютер почтовый червь сначала деинсталлировал «троянца», установленного его предшественником, а потом внедрял своего.
— Для чего это делается?
— Это становится понятным из сообщений, которыми они (хакеры — прим. ред.) между собой обменивались. Писали (прямо в теле вируса) примерно следующее: «Не рушь мой бизнес, сволочь. Хочешь войны — будет тебе война», — и так далее. Либо это [игра] на публику, либо это правда, но в любом случае видно, что речь идет о бизнесе.
Захват контроля над пользовательскими машинами производится не из хулиганских побуждений, как ранее считалось, а для развития бизнеса. Хакеры продают спамерам доступ к захваченным компьютерам — для рассылки спама. Это живые деньги.
— Получается, что в спамерском бизнесе начался новый этап…
— Да.
— …характеризующийся обострением конкуренции. Раньше такого не было?
— В спамерском бизнесе довольно давно началось разделение труда. Одни добывают адреса, другие держат хостинг, третьи разрабатывают и сдают в аренду программное обеспечение для рассылки спама. Есть даже такой отдельный мелкий бизнес, как создание списков обратных адресов, которые подставляются в письма, чтобы обманывать пользователей. Тоже ведь кто-то эти списки составляет или делает программное обеспечение, которое генерит обратные адреса, и продает их спамерам.
Одно время спамеры еще занимались тем, что рассылали письма с помощью серверов, расположенных в Германии, Малайзии, Китае и так далее. А также находили открытые почтовые пересылки (open relays) и слали спам через них.
— Что это такое?
— Open relays — открытая почтовая пересылка. Знаете, как она возникает? Например, в каком-то заштатном университете на кафедре студенту сказали: «Сделай нам почтовый сервер». Он его сделал, но забыл закрыть возможность для пересылки почты кем угодно кому угодно. Сервер довольно быстро нашли с помощью специальных роботов и переслали через него 10 Гб спама. После этого он попал во все списки запрещенных, а у кафедры перестала ходить почта. Таких случаев в мире происходит не одна тысяча в день — списки известных открытых почтовых пересылок насчитывают сотни тысяч IP.
— Как именно происходит рассылка спама с чужих пользовательских машин?
— Вирус на компьютер сажает «троянца», тот рапортует в центр управления, что захватил машину. После этого он сам себя обновляет через Сеть, а также получает задания на распространение спама — забирает письмо и рассылает его. Все это время пользователь зараженной машины ничего не подозревает. Через какое-то время его IP попадает в списки запрещенных. (А захвачено, допустим, 20 тыс. таких ADSL-машин. Они между собой общаются. Причем общаются, чтобы их не вычислили, через чаты — IRC.) И стоит почтовый сервер (например, Hotmail), который пользуется этими списками запрещенных. Ему говорят: «Хочу послать тебе письмо». Он отвечает: «Ты в списке запрещенных. Не принимаю». Тогда «троянец» сообщает на остальные зараженные машины: «Ребята, Hotmail от меня не принял письмо». Тогда «троянец» с другой машины пытается это письмо на Hotmail послать. Не получилось. Так десять раз попробовали, а на одиннадцатый письмо пропустили.
У антиспамерской службы Hotmail чувство, что они очень хорошо поработали и отбили 10 атак. На самом деле они приняли ровно то самое письмо, которое им хотели послать. А захваченных пользовательских ADSL-машин много, и в списки запрещенных они попадают далеко не сразу. Поэтому они сейчас фактически перестают работать. И я думаю, что война между вирусописателями развернулась еще и потому, что на рынке уже стало тесно. Идет передел территории. Свободные машины «чайников» закончились.
— А как насчет новых технологий спама?
— Они все время появляются. Вот с лета спамеры все собирались запустить графический спам. До этого его было немного — где-то на Западе иногда проскакивало графическое письмо. Но они (спамеры — прим. ред.) всерьез (мы же читаем их форумы) собрались переходить [на эти технологии]. Сначала посылали письма, где одна буква «А» была заменена на картинку. Потом — целые слова, потом стали посылать целые графические письма. У нас, в России, мы довольно быстро подстроили систему графических распознавателей, которые такие письма идентифицировали и считали спамерскими. И мы вполне оперативно эту ветку развития обрезали.
Осенью наблюдался довольно интересный новый эффект: спамеры начали слать нечитаемые письма, то есть пожертвовали удобством восприятия. Стали удваивать буквы, писать желтым по бледно-желтому, вставлять в слова какой-то слегка видимый мусор. Это случилось впервые. Раньше спамеры никогда не рисковали снижать удобочитаемость, потому что и так отклик на их рассылки очень маленький. А так он падает еще больше. К декабрю подобных писем стало особенно много. Но сейчас их число уменьшилось.
— Почему?
— Непонятно. Видимо, они перешли на другие технологии и где-то [наши фильтры] пробивают. Мы обычно на их новые методы реагируем post factum. Мы ведь можем только предполагать, какой шаг они предпримут. Направлений атаки десять, а наступать будут только с одного [фронта], и мы не способны запрограммировать десять распознавателей, а потом использовать только один. Это будет избыточное программирование, так у нас никаких денег не хватит. Но иметь «разъемы» в технологии, которые позволят такой распознаватель быстро подключить, мы обязаны.
— А сейчас вы уже определили, какие новые технологии появились в распоряжении спамеров?
— Ну, вот в январе-феврале они слали картинки «переменного содержания». Раньше графические письма были одинаковые и сигнатурные фильтры их довольно быстро идентифицировали как массовую рассылку. То же самое делается спамерами и для текста, но его очень легко модифицировать, и это делается довольно давно.
— То есть рассылают не полностью одинаковый «мусор», а модифицированный? И из-за этого письма выглядят разными?
— Конечно. Для этого все и делается. Вот, например, удвоение букв. Если вы возьмете три спамерских письма, сгенерированных с использованием данного приема, то увидите, что в каждом «послании» буквы удвоены в разных местах. Или если между буквами вставлен невидимый текст, то он всегда будет разным и в разных местах.
— Какие существуют методы борьбы с таким спамом?
— Методов много, но есть два основных. Первый — это байесовские (то есть вероятностные) фильтры, которые самообучаются, анализируя лексику. Байесовский фильтр составляет статистику слов, которые встречаются в спамерских письмах. А потом [в зависимости от количества наиболее характерных для массовых рассылок слов] каждому письму приписывает «вероятность». Если определенное слово встретилось один раз, то вероятность того, что письмо спамерское, допустим, 0,5. Если обнаружено 10 таких слов, то эти «вероятности» по некоторой формуле суммируются. Но если вы рассылаете все время спам с разным содержанием, то это может обмануть вероятностные фильтры.
Вторая схема — сигнатурные методы, то есть детекция массовых рассылок: фильтрующая программа сидит на большом потоке и видит, что по разным адресам пошло 10 тыс. одинаковых писем. И она делает предположение, что это спам. Однако если все письма разные, то идентифицировать их как массовую несанкционированную рассылку не получается.
— И графический спам сейчас тоже начали модифицировать?
— Да. Почему раньше этого не делали? Это очень дорого по вычислительному ресурсу. Надо взять графический файл, влезть туда средством по работе с графикой, потом снова запаковать его в jpeg и отправить. Операции с картинками дороги. Но сейчас, похоже, они [спамеры] справились. Видимо, алгоритмы написали особо умные, которые изменяют графику не распаковывая и не запаковывая. Проблема еще в том, что картинку нельзя менять где попало. Ее надо трансформировать где-нибудь в уголке или на фоне, чтобы не падала читаемость. В феврале-марте пошли картинки с «муаром» на заднем плане. Серый или белый фон, и по нему серые пятнышки. Но этот «муар» в каждом письме свой.
— Можно ли улучшить качество работы ваших фильтров?
— Конечно, можно. Мы все время боремся. Например, мы применяли четыре основных метода определения спама, когда устанавливали [наше ПО] на Mail.ru, а сейчас у нас их 10. Мы не только сами методы шлифуем, но и увеличиваем количество — пучок технологий толстеет, методов становится больше, «веник» становится все шире.
Мы стараемся улучшить качество. Но ситуация будет такой, как сейчас, всегда. Вирусы пишут 25 лет. Первые антивирусы появились лет 15 назад. Лучше-то сильно не стало. То есть человек, у которого на компьютере стоит антивирус, который каждый день обновляется, относительно защищен. Но реально антивирусы поставлены примерно на 25-30% машин в мире, а уж регулярно обновляются на 5-10%. Отчего эпидемии происходят? Оттого что эти 70-75% компьютеров не защищены вообще.
— Насколько сейчас остра конкуренция между российскими и зарубежными спамерами?
— Этого я не знаю. Я не настолько хорошо разбираюсь в их делах. Могу привести пример из жизни. Я недавно был в Аризоне на конференции PC Forum, которую проводит Эстер Дайсон. Там собираются директора крупных компьютерных компаний. И мы разговаривали с людьми, имеющими свою почтовую службу, клиентов которой они защищают от вирусов и спама — продают им специальные устройства, серверы (gateways). И они говорят: «Да вы знаете, у нас только русский спам идет». Это, конечно, разговорное преувеличение, но доля правды тут есть. Почему? Потому что их местные фильтры свой спам худо-бедно фильтруют, вот и остается заметным русский спам.
— Русский спам сложнее фильтровать?
— Конечно. Западные фильтры русский спам практически не фильтруют. Представьте себе самый простой случай. Идет русский спам, в котором каждая буква «а» заменена на латинское «a». Этот прием вообразить себе разработчик английского фильтра «умозрительно» не может. Более того, он и на глаз этого не видит, ведь сам он не понимает другую кодировку, кроме английской, для него наши буквы — какие-то каракули. И то, что там слова разные, он не видит. А это только один, устаревший прием, основанный на языковых особенностях. Вообще, русский спам гораздо более разнообразен.
— Но как-то с нашим спамом на Западе борются?
— Недавно произошла одна интересная история. Есть такая фирма — Cobion, которая производит спам-фильтры. Она вышла на наш рынок, и ее здесь более-менее раскручивают. Сейчас ее купила крупная компания — Internet Security Services (ISS). Cobion предлагал фильтры от спама на нашем рынке. И западный спам они почти на 100% фильтруют, а русский — на 10%. Причем местные дистрибуторы Cobion пытались как-то улучшить ситуацию, чуть ли не свою лабораторию создать. Представьте себе — дистрибутор программного обеспечения специально создает лабораторию, которая будет улучшать продукт, который он продает. Но ничего не получилось, потому что этим надо профессионально заниматься.
— Используются ли в Рунете еще какие-либо западные фильтры?
— Есть Norton Antispam, который, в общем, внешне работает, но на деле из рук вон плохо. Он и русский спам довольно слабо фильтрует, но и с западным у него проблемы. Мы его купили и протестировали, но даже отчет писать не стали, потому что нам никто не поверил бы — мы же заинтересованная сторона. Там настолько плохая, скандальная ситуация… он теряет деловые письма. Доля ложных тревог стабильно равна 4-5%. Впрочем, практически такие же результаты — в февральском номере немецкого PC Professionell. Выбор редакции (IHateSpam) имеет количество ложных тревог около 4%, у остальных — еще хуже (в том числе и у Norton Antispam).
— А сами вы на Запад выходите со своими антиспамерскими продуктами?
— Наш эксклюзивный представитель на Западе — «Лаборатория Касперского». И там довольно много контрактов.
Игорь Ашманов: западные фильтры российский спам не фильтруют