Мнение

Как создатель SPF стал лучше понимать политиков

В 2003 году 29-летний Мен Вонг (Meng Wong) вместе со своим другом придумал SPF. Движим он был отнюдь не жаждой наживы, а осознанной необходимостью спасать электронную почту, заполоненную спамом и эксплуатируемую всяческими мошенниками. Поэтому свою программу Вонг сделал доступной всем желающим.

Технология SPF, созданная Вонгом, позволяет выявлять поддельные адреса и, таким образом, бороться с фишингом и спамерами, которые предпочитают прятать концы в воду и подставляют фальшивые адреса в качестве обратных.

Электронная почта, как и Интернет, была создана без учета того, что ее возможностями воспользуются злоумышленники. Однако со времени ее возникновения ситуация изменилась — и не в лучшую, с точки зрения безопасности, сторону. Кое-кто заговорил даже о конце Интернета и электронной почты.

«Из маленького городка, в котором вы можете оставить дверь незапертой, Интернет превратился в мегаполис, в котором у вас больше не возникает желания разговаривать с незнакомцами на улице. В ситуации, когда вы не хотите знать своих соседей, необходимо найти способ, который позволит людям нести ответственность друг перед другом», — говорит Вонг.

Идея использовать в качестве защиты электронной почты от мошенников систему аутентификации отправителей пришла в голову не только Вонгу. Аналогичными разработками занималась корпорация Microsoft. Еще дюжина компаний, включая Yahoo и Cisco Systems, также пытались искали возможности сделать электронную почту более надежной.

В этой ситуации в 2004 году Microsoft приложила немало усилий, чтобы получить согласие малоизвестного компьютерного инженера из Пенсильвании на объединение созданной им технологии и разработки Microsoft.

Вонг в течение многих лет был сторонником бесплатных программ open-source, так что переговоры продвигались туго. В мае 2004 года в одной из гостиниц Вонг встречался сразу с тремя представителями Microsoft, двое из которых, по свидетельству очевидцев, большую часть времени проводили в коридоре, эти самые закрытые двери охраняя. В результате, согласие Вонга было все же получено: стороны договорились объединить две технологии аутентификации и совместно продвигать гибридную технологию, получившую название Sender ID.

Sender ID была предложена на рассмотрение Internet Engineering Task Force (IETF) — группе, в которую входят добровольцы из сотен компаний, академических институтов и правительственных организаций. Хотя IETF не обладает официальными полномочиями заставить кого-либо принять свои решения, авторитет и степень влияния у нее очень высокие.

В ходе жаркого обсуждения Sender ID Вонг сохранял спокойствие и объяснял, что технология не является «серебряной пулей» в борьбе со спамом. Не лишенный воображения программист сравнивал Sender ID с мукой, которая сама по себе — продукт не съедобный, но хлеб из нее испечь можно — надо только добавить некоторые ингредиенты и поработать, как следует.

Отшлифовка Sender ID продвигалась довольно быстро и к концу прошлого года технологию, по мнению специалистов, вполне можно было принимать в качестве стандарта. И тут грянул гром: Microsoft попыталась запатентовать Sender ID.

Реакция последовала незамедлительно — Microsoft обвинили в использовании процесса стандартизации для проталкивания корпоративных интересов. И хотя Microsoft объясняла свои действия благими намерениями (технологию надо запатентовать, чтобы никто другой ее не присвоил), доверие общественности было потеряно — слишком хорошо игроки IT-рынка помнили времена, когда Microsoft диктовала всем свои условия.

Вонгу пришлось оправдываться перед своими соратниками из open-source. По его словам, он понятия не имел о планах Microsoft. Однако и Microsoft он поддержал, заявив, что доверяет корпорации.

Технологии Sender ID как стандарт аутентификации отправителя e-mail была отклонена. Справедливости ради заметим, что, помимо проблем с патентами, у Sender ID были и есть некоторые технических недостатки — в частности, проблемы возникают при пересылке сообщений. Как бы то ни было, IETF распустила рабочую группу MARID (MTA Authorization Records In DNS), и на некоторое время разговоры об аутентификации стихли.

Судя по реакции Вонга, его провал Sender ID не очень расстроил. Вонг вернулся к внесенному ранее на рассмотрение MARID и забытому из-за Sender ID предложению Unified SPF. Это сеть, которая может поддерживать одну и более систем аутентификации отправителя в зависимости от настроек системного администратора.

Вонг вообще считает, что разнообразие — это преимущество, а не предмет для войны стандартов. «Говорить, что мы должны стандартизировать одну систему аутентификации — все равно, что настаивать на том, что все бензоколонки должны продавать исключительно высокооктановый бензин и совсем не продавать дизельное топливо», — сказал Вонг и отметил, что сторонникам тех или иных стандартов аутентификации Unified SPF даст возможность их использовать.

Затишье в обсуждении возможных стандартов аутентификации по определению было временным: стремительно растущая угроза фишинга требует решений. Судя по всему, настала пора возобновления дискуссий. На днях Sender ID и SPF получили «экспериментальный» статус, а Yahoo и Cisco представили на рассмотрения IETF объединенную технологию DKIM.

Что касается Вонга, то, по его словам, период, когда он был проповедником аутентификации, научил его по-новому смотреть на политиков и политику.

«В некотором смысле я был вынужден из программиста превратиться в политика. Могу себе представить, каково настоящим политикам, когда они пытаются сделать что-то, не пользующееся единодушным одобрением», — говорит Вонг.

Как создатель SPF стал лучше понимать политиков

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике