Борьба со спамом: основные подходы, классификация, примеры, прогнозы на будущее

Алексей Плешков,
начальник отдела защиты информационных технологий, "Газпромбанк" (Открытое акционерное общество)

С каждым годом число пользователей глобальной сети Интернет по всему миру растет. Разработанные с целью популяризации Интернета технические сервисы предоставляют условия и инструменты для общения в режиме реального времени, невербального обмена большими объемами информации, ведения информационных хранилищ и архивов и т.п. С самого ее сотворения в виртуальнойй среде стали появляться социальные предпосылки для ведения бизнеса. Электронные магазины, выставки, аукционы - Интернет является огромной сложнокон-тролируемой торговой площадкой для ведения различного рода бизнеса, эффективность которого напрямую связана с привлечением клиентов. Оптимальным инструментом информирования потенциальных потребителей является реклама. С целью повышения эффективности продаж некоторые "бизнесмены" среднего и низшего звена идут на высокоинтеллектуальные ухищрения и технические уловки при распространении рекламы в сети. Это становится возможным вследствие недостаточно жесткого регулирования со стороны надзорных органов экономической деятельности субъектов в глобальной сети.

Интернет - явление международное и трансграничное. Распространение материалов рекламного характера в глобальной сети не имеет четко определенной юридической базы и зачастую основывается на псевдодоговорных отношениях между лицами, обладающими минимальной информацией друг о друге. Наиболее простым, дешевым и поэтому понятным и экономически оправданным способом ведения рекламной деятельности в Интернете является распространение спама.

Кто пользуется услугами спамеров?

Спамеры в большинстве своем обладают широким кругом знаний в области Интернет-технологий и/или опытом работы с сервисами онлайн- и оффлайн-общения между пользователями сети. Для повышения эффективности профессиональные спамеры стараются работать в сообществах (офшорные компании, виртуальные кланы и т.д.), создавая тем самым развитую инфраструктуру, и привлекать специалистов из других областей  (компьютерный взлом/сетевые атаки, маркетинг, юриспруденция).

Ни одна крупная компания не будет связывать свое чистое имя с рассылкой спама и продвижением своего товара через распространение недоброкачественной рекламы в Интернет. Прошли времена, когда каждый счастливый обладатель электронной почты, получивший письмо от неизвестного отправителя с предложением сделать или купить что-либо, спешил потратить свои деньги или время в соответствии с прилагаемой инструкцией.

Услугами спамеров пользуются следующие категории лиц:

1. Физические лица:

• создатели Интернет-порталов сомнительного содержания, привлекающие посетителей и клиентов;
• частные предприниматели, предлагающие мелкие партии товара к реализации и/или услуги;
• агитаторы и пропагандисты (политические, социальные, религиозные);
• злоумышленники (подготовка к проведению сетевых атак, рассылка программ с потенциально опасными последствиями, продажа технических средств, украденных реквизитов карт, учетных записей, программных продуктов);
• спамеры, предлагающие собственные услуги по рассылке спама.

2. Юридические лица:

• представители малого бизнеса (монтаж мебели, организация переездов, английский язык, сауна и т.д.);
• компании-посредники.

Получателем  спама  может стать любой пользователь, подключенный к Интернету, через каналы и сервисы которого происходит распространение спама (AOL, ICQ, e-mail, социальные сети, форумы и т.д.). Вместе с тем спам, в зависимости от заказчика рассылки, можно разделить на целевой (предназначенный группе пользователей в определенное время, в определенной стране, в определенной организации, на определенном сервере и т.д.) и массовый. Спамеры формируют структуру сообщения, выбирают язык, определяют тематику и направляют письмо через заранее созданную транспортную инфраструктуру к конечным получателям.

Так ли безобиден спам?

Рассмотрим основные угрозы, связанные с рассылкой спама:

• распространение программ с потенциально опасными последствиями, способных привести к нарушению работоспособности внутренней инфраструктуры получателя;
• увеличение паразитной нагрузки на программно-аппаратные компоненты инфраструктуры получателя, что влечет за собой угрозу нарушения непрерывности функционирования всех компонентов;
• попадание учетных данных получателя в базу рассылки спамеров и дальнейшее несанкционированное владельцем использование этого адреса;
• использование спам-рассы-лки как части "социальной инженерии" (phishing) с целью получения учетной информации и персональных данных получателя спама;
• распространение заведомо ложной информации с целью формирования общественного мнения и/или получения единовременной прибыли.

Требования к защите

При выборе технологического решения по защите от спама вне зависимости от типа защищаемого объекта (персональный ли это почтовый ящик или почтовый сервер крупной организации) рассматриваются следующие основные требования, которым должна удовлетворять современная система защиты от спама.

1.  Комплексная защита. В состав средств защиты должны входить:

• фильтры содержимого;
• сигнатурный анализ;
• проверка по черным спискам;
• проверка по серым спискам;
• байесовские фильтры;
• эвристический анализ;

2.  Интегрированный комплекс антивирусной защиты.

3.   Высокая производительность аппаратной платформы (интерфейсы и шины с пропускной способностью от 1 Гбит/с) и программных компонентов (разбор не менее 10 сообщений в секунду).

4.  Постоянная поддержка решения производителем и автоматическое обновление сигнатур, фильтров в режиме, близком к режиму реального времени.

5.  Наличие обратной связи с получателем сообщения (возможность просмотра карантина, изменения персональных параметров фильтрации, информирование пользователя о наступлении событий в системе и т.д.).

6.  Возможность дополнительной адаптации системы в соответствии с особенностями инфраструктуры организации.

Для примера рассмотрим схему организации защиты от поступления спама через каналы электронной почты (см. рисунок).

Рубежи защиты

На каждом этапе прохождения электронного письма от отправителя до получателя должны быть предусмотрены проверки структуры и содержимого электронного сообщения. Первым рубежом защиты является внешний почтовый сервер, зачастую опубликованный в DNS как MX-запись для принадлежащего организации домена в Интернете. При условии, что внешний почтовый сервер работает в режиме почтового перекладчика (mail relay), средняя нагрузка на него не превышает нескольких десятков писем в единицу времени. Это позволяет дополнительно использовать незадействованные на 100% мощности аппаратной платформы для выполнения проверок входящих сообщений антивирусными средствами, фильтрации SMTP-потока на предмет соответствия стандартам, ведения высокоуровневого журналирования. Здесь же принимается решение об отнесении почтового сообщения к классу спама. В случае выявления паразитного почтового трафика фильтр внешнего сервера не пропускает сообщение дальше во внутренний сегмент, а помещает его в карантин, из которого любой подключенный пользователь сможет извлечь это письмо.

Дополнительные проверки почтовых сообщений выполняются и на внутреннем почтовом сервере, расположенном во внутреннем сегменте сети. Двойная проверка призвана минимизировать количество писем, содержащих программы с потенциально опасными последствиями.

В свою очередь средства фильтрации, расположенные на рабочих станциях и серверах, позволяют отслеживать и фильтровать последствия запуска и распаковки заархивированных вложений в электронные сообщения в случае их прохождения через предыдущие средства фильтрации.

Ситуация сегодня

В настоящее время на российском рынке нет единого универсального решения, гарантирующего 100% защиты от спама. Развитие технологий массовой рассылки всегда на несколько шагов опережает развитие инструментов и средств фильтрации (наблюдается полная аналогия со средствами антивирусной защиты). Все эксперты по безопасности сходятся во мнении, что защита от спама -это сложная задача, подходы к решению которой должны быть комплексными. При этом у производителей решений по защите от спама присутствует четкое

понимание следующих положений:

- от спама нельзя защититься на 100% - количество приходящих спам-писем можно только уменьшить;
- определить принадлежность письма к классу спама со 100%-ной вероятностью может только его получатель;
- привлечь спамера к юридической ответственности за рассылку спама в Российской Федерации нельзя.

Анализируя статистику распространения спама в российском сегменте глобальной сети, можно прийти к выводу о том, что спам-рассылка - это явление, напрямую связанное с политическими, экономическими и социальными событиями, происходящими в конкретной стране и в мире. При этом до того момента, пока подобного рода события происходят, услуги спамеров будут востребованы.

В качестве примера можно привести текущую ситуацию с международным экономическим кризисом. С одной стороны, сокращение и оптимизация затрат на информационные технологии в организациях вызывает сокращение программно-аппаратных платформ, которые могут быть несанкционированно использованы спамерами, а также отключение от сети Интернет сегментов бот-сетей. Это влечет за собой уменьшение объема спама, попадающего в сеть. С другой стороны, экономический кризис стал в настоящее время самой важной темой для обсуждения и формирования содержимого электронных сообщений. "Скорое получение наличных денежных средств без залогов и поручителей", "Оказание помощи в получении кредитов у банков по всему миру", "Предложения о работе" - электронные сообщения с подобным содержанием заполонили российский сегмент глобальной сети.

Технологии и инструменты рассылки спама прогрессируют с каждым днем. Традиционно основным способом рассылки является использование каналов электронной почты. При этом появление новых Интернет-сервисов открывает для спамеров новые ранее неизвестные и неиспользуемые просторы для рассылки.