Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems
Это очень распространенный миф, который почему-то опровергается реалиями сегодняшнего дня. Ни один из производителей не смог предложить рынку решений, решающих проблему спама раз и навсегда. Связано это с тем, что спамеры не останавливаются на достигнутом и всегда изобретают новые методы обхода систем защиты от спама - преднамеренное использование ошибок в словах («спицеальна для ваз»), пробелы в словах («с п е ц а к ц и я»), чередование строчных и заглавных букв, использование символов-разделителей ("с*п*е*ц*а*к*ц*и*я"), преобразование текста в графический файл и т.д.
Сталкиваясь с различными системами защиты от спама, могу сказать, что у них есть два недостатка (которые, кстати, есть и других средств контроля вредоносного контента - антивирусов, систем обнаружения атак и т.п.) - ложные срабатывания (false positive) и несрабатывания (false negative). В первом случае система блокирует сообщения, которые не являются спамом. Яркий пример - проект «Проверь здоровье своей сети», который был запущен компанией Cisco и российской компанией Positive Technologies. После регистрации на сайте пользователю, желающему протестировать защищенность своих Интернет-ресурсов, приходит уведомление по e-mail с целью активизации учетной записи. Но нередки были ситуации, когда такое уведомление воспринималось, как спам и не доходило до адресата. С другим примером часто сталкиваются организаторы различных мероприятий. Рассылка благодарственного письма об участии в конференции или семинаре часто блокируется антиспам-решениями. Во втором случае, системы пропускали спам, считая его безобидным электронным сообщением.
Рекламные рассылки на русском языке представляет собой еще большую проблему для антиспамовых систем, что связано с нашей морфологией. Даже разработанные в России системы блокирования спама, использующие лингвистические, графические, сигнатурные и иные методы идентификации нежелательных массовых рассылок, к сожалению не справляются с этой проблемой. Согласно проведенному в 2005 году тестированию российских систем «Спамтест» и «Спамооборона», они все-таки не полностью решают проблему спама. Чего уж говорить о западных решениях, не имеющих своих представительств на территории бывшего Советского Союза. По словам Евгения Альтовского, координатора проекта «Антиспам»: «фильтры могут использоваться как временная мера для снижения остроты проблемы спама, однако настоящий заслон на его пути может поставить только закон и негативное отношение к спаму со стороны общества».
Ситуация становится еще хуже, когда спамеры начинают применять знание работы человеческого мозга, который даже буквосочетание «зрплт» или «крзс» «переводит» в понятные всем слова «зарплата» и «кризис». А вот антиспам-решения таким мозгом не обладают и будут в массе своей пропускать письма, использующую данную технику.
Среди других методик, используемых спамерами, можно назвать:
· Внесение «шума», случайного текста или символов
· Использование невидимого текста (белые буквы на белом фоне)
· Перефразирование одного и того же сообщения
· Графический спам.
Вся это борьба «брони и снаряда» заставляет компании, специализирующиеся на борьбе со спамом, содержать целый штат аналитиков, которые день за днем анализируют сообщения электронной почты и выискивают новые признаки спама, которые добавляются в антиспам-базу. И качество антиспам-решения будет определяться не количеством используемых в нем механизмов анализа, и не числом поддерживаемых кодировок, и даже не возможностью централизованного управления, а именно эффективностью работы спам-аналитиков. Именно поэтому производители активно автоматизируют их деятельность. Одним из таких примеров можно назвать сеть SenderBase компании IronPort, через которую проходит около 25% мирового почтового трафика и в которой анализ спама осуществляется как вручную, так и с помощью автоматического инструментария. Стоит аналитикам прекратить свою работу и эффективность антиспам-решений падает многократно.
Но так ли уж нерешаема данная проблема? Есть метод, который позволит существенно снизить объем спама. Речь идет о переносе оборонительных рубежей с линии отдельной компании на уровень оператора связи. Конечно, такой перенос должен сопровождаться и сменой методов обнаружение спама - ведь применение ключевых слов, белых и черных списков, а также интеллектуального анализа в данном случае будет еще менее эффективным, чем в случае с защитой отдельного предприятия. Вспомним, как рассылается спам. Это делается спамерами не со своих собственных компьютеров, а через заранее взломанные узлы. И число сообщений с таких узлов ежедневно измеряется сотнями или тысячами. Будет ли обычный пользователь отправлять каждый день столько писем? Вряд ли. Поэтому можно попробовать контролировать поток почтового трафика с каждого узла и в случае превышения некоторого порогового значения предпринимать определенные действия (автоматически блокировать трафик, уведомлять администратора, в чьем ведении находится зомбированный компьютер и т.п.). По такому принципу действует, например, система Cisco Service Control Engine. Разумеется, и в данном случае существует проблема ложных срабатываний, но она решается гораздо легче, чем в случае с традиционными методами защиты от спама. Но у данного подхода есть и ограничение - мы вынуждены полагаться на Интернет-провайдера, полностью сложив с себя полномочия по защите своей компании от банка.
Возможно со временем ситуация существенно улучшится, но пока приходится констатировать, что спамеры более изобретательны, чем их оппоненты, которые следуют за злоумышленниками, а не предвосхищают их действия. Спам исчез бы сам, если бы мы, рядовые пользователи, перестали бы покупать рекламируемые товары, а законодательная и судебная система поставила бы надежный заслон на пути спамеров. Но пока этого не происходит. А в условиях кризиса, интерес к спаму только усилился ;-(
