Эссе по курсу "Защита информации" Московский физико-технический институт (ГУ) Елфимов Михаил

Московский физико-технический институт (ГУ)
Эссе по курсу "Защита информации"
Защита от спама
Елфимов Михаил
Студент 417 группы
Москва, 2008г
Введение
Чтобы эффективно бороться со спамом, для начало нужно четко определить, что именно мы
подразумеваем под термином «спам». Очевидно, что «бытовые» определения вроде «непрошенной
почты» или «назойливой рекламной рассылки», которые можно услышать от пользователей, не
выдерживают никакой критики.
Т.к. при фильтрации информации на предмет спама главное — не навредить получателю
информации, необходимо дать более точное определение
Общепризнанно, что спам обладает следующими свойствами:
•
Анонимность: наиболее распространены автоматические рассылки, со скрытым или
фальсифицированным обратным адресом.
•
Массовость: именно она обеспечивает притягательность спама для рекламодателя и является
корнем проблемы для пользователей. Небольшая рассылка, сделанная по ошибке человеком, не
являющимся профессиональным спамером, может быть классифицированна как ошибочная почта, но
не спам.
•
Отсутствие педварительного запроса информации: очевидно, что массовые подписные
рассылки не должны попадать в эту категорию (хотя это гарантируется условием анонимности).
Цели сперов - самые разные. Особое развитие технологии спама получили конечно же из-за
рекламной притягательности в плане дешевизны и охвата аудитории
•
Реклама Эта наиболее частый вид спама — некоторые компании, занимающиеся легальным
бизнесом, рекламируют свои товары или услуги с помощью спама. Они могут осуществлять его
рассылку самостоятельно, но покупают эту услугу у специализирующихся на этом спамерских
контор. Сюда же следует отнести рекламу незаконной продукции и антирекламу.
•
Фишинг является способом обмана, при котором осущетсвляется попытка вытащить у
получателя спама номера его кредитных карточек или другую приватную информацию. Такое письмо
обычно маскируется под официальное сообщение от администрации банкас просьбой заполнить
каую-либо анкету. Среди данных, которые требуется сообщить, присутствуют и те, которые нужны
мошенникам. Для того, чтобы получатель спама не догадался об обмане, дизайн этого сайта также
должен копировать оформление официального сайта.
•
Существует ещё несклько очевидных движущих сил распространения спам-услуг:
религиозные письма и письма счастья, различная пропаганда, не связанная с прямой рекламой,
массовая рассылка вирусов ит.д.
Массовость рассылки имеет низкую себестоимость для отправителя, однако недёшево
обходится получателям спама, которым приходится оплачивать время (или трафик), затраченное на
получение непрошеной информации. Считается, что спам может быть выгоден провайдерам, так как
приводит к повышенному трафику. На самом деле, провайдеры также несут дополнительные затраты
из-за повышения бесполезной нагрузки на каналы и оборудование. Именно провайдерам приходится
тратить ресурсы на избыточное оборудование и системы защиты от спама. Согласно общедоступной
статистике, не менее 90 % пересылаемых писем в настоящее время составляет спам. Большая часть
его отсекается почтовыми серверами во время получения. Но даже оставшейся меньшей части
достаточно для осложнения жизни пользователей.
Наибольший ущерб, таким образом, спам наносит пользователям сети, вынужденным ежедневно
тратить время на обработку бесполезных для них рекламных сообщений. Для того чтобы сократить
это время, используют противоспамные фильтры, которые зачастую могут стереть и важное
сообщение, сочтя его за спам. Но и человек, вынужденный просматривать десятки рекламных
сообщений в день, тоже легко может пропустить среди них нужное.
Технологии рассылки постоянно улучшаются, в сети появляется множество взломанных
компьютеров ,которые используются для рассылки спама, поэтому единственной анти-спам
технологии, способной решить эту проблему, не существует, необходимо сочетать несколько методов
одновременно, идеальная защита от СПАМа должна быть многоуровневой.
Рассмотрим подробно основные средства борьбы со спамом
Автоматическая фильтрация
Существует программное обеспечение (ПО) для автоматического определения спама (т. н.
спам-фильтры). Оно может быть предназначено для конечных пользователей или для использования
на серверах. Это ПО использует два основных подхода.
Первый заключается в том, что анализируется содержание письма и делается вывод, спам это или нет.
Письмо, классифицированое как спам, отделяется от прочей корреспонденции: оно может быть
помечено, перемещено в другую папку, удалено. Такое ПО может работать как на сервере, так и на
компьютере клиента. В последнем случае пользователь не видит отфильтрованного спама, но
продолжает нести издержки, связанные с его приемом, так как фильтрующее ПО получает каждое
письмо и только потом решает, показывать его или нет. С другой стороны, если ПО работает на
сервере, пользователь не несёт издержек по передаче его на свой компьютер.
Второй подход заключается в том, чтобы, применяя различные методы, опознать отправителя как
спамера, не заглядывая в текст письма. Это ПО может работать только на сервере, который
непосредственно принимает письма. При таком подходе дополнительный трафик тратится только
сервером на общение со спамерскими почтовыми программами (т. е. на отказы принимать письма) и
обращения к другим серверам (если таковые нужны) при проверке.
Существуют также специализированные online-сервисы, например, «Лаборатория Касперского»
(сервис Kaspersky Hosted Security), Outcom («СПАМОРЕЗ»), ИНКАП («Антиспам-Пост»),
предоставляющие платную защиту от спама. Изменение MX-записи в доменном имени предприятия
особым образом позволяет перенаправить почту для защищаемого домена на специализированный
почтовый сервер, где она очищается от спама и вирусов, а затем направляется на корпоративный
почтовый сервер. Метод подходит для корпоративных пользователей и не годится для обладателей
почтовых ящиков в публичных почтовых системах.
Ещё одна проблема автоматической фильтрации в том, что она может по ошибке отмечать как спам
полезные сообщения. Поэтому многие сервисы (например, Yahoo! mail, mail.ru) не стирают те
сообщения, которые фильтр счёл спамом, а помещают их в отдельную папку.
Чёрные списки
В чёрные списки заносятся IP-адреса компьютеров, о которых известно, что с них ведётся
рассылка спама. Также широко используются списки компьютеров, которые можно использовать для
рассылки — «открытые релеи» и «открытые прокси», а также — списки «диалапов» — клиентских
адресов, на которых не может быть почтовых серверов. Можно использовать локальный список или
список, поддерживаемый кем-то еще. Благодаря простоте реализации, широкое распространение
получили чёрные списки, запрос к которым осуществляется через службу DNS. Они получили
название DNSBL (DNS Black List). В настоящее время этот метод не очень эффективен. Спамеры
находят новые компьютеры для своих целей быстрее, чем их успевают заносить в чёрные списки.
Кроме того, несколько компьютеров, отправляющих спам, могут скомпрометировать весь почтовый
домен или подсеть, и тысячи законопослушных пользователей на неопределённое время будут
лишены возможности отправлять почту серверам, использующим такой чёрный список.
Кроме этого, часто встречаются списки, создатели которых проповедуют довольно радикальные
теории (например, приравнивая вирусные сообщения к злонамеренному спаму и т. п.). Также нередко
безответственное и неправильное использование чёрных списков администраторами ресурсов,
приводящее к блокированию большого числа ни в чём не повинных пользователей.
Примером неправильного использования может быть использование списков без точных
представлений того, какие адреса и каким образом в него включаются, использование почтовых
чёрных списков для web-ресурсов и т. п. Примером безответственности при использовании чёрного
списка может быть непредоставление пользователю (или администратору) заблокированного адреса
информации о списке (так как их существует великое множество) или руководствование в своих
действиях принципом презумпции виновности.
Белые списки
Проверка на вхождение в белые списки делается для предотвращения ложных срабатываний:
например, новостные рассылки производителей содержат множество ссылок и рекламных
объявлений, что делает их похожими на СПАМ. Для предотвращения подобных ложных
срабатываний администратор может добавить адрес в «белый» список, тем самым сообщение,
отправленное с этого адреса, не будет проверяться на последующих уровнях.
Серые списки
Метод серых списков основан на том, что «поведение» программного обеспечения,
предназначенного для рассылки спама, отличается от поведения обычных почтовых серверов, а
именно, спамерские программы не пытаются повторно отправить письмо при возникновении
вре?менной ошибки, как того требует протокол SMTP. Точнее, пытаясь обойти защиту, при
последующих попытках они используют другой релей, другой обратный адрес и т. п., поэтому это
выглядят для принимающей стороны как попытки отправки разных писем.
Простейшая версия серых списков работает следующим образом. Все ранее неизвестные SMTPсерверы полагаются находящимися в «сером» списке. Почта с таких серверов не принимается, но и не
отклоняется совсем — им возвращается код временной ошибки («приходите позже»). В случае, если
сервер-отправитель повторяет свою попытку не менее чем через некоторое время tg (это время
называется задержкой), сервер вносится в белый список, а почта принимается. Поэтому обычные
письма (не спам) не теряются, а только задерживается их доставка (они остаются в очереди на сервере
отправителя и доставляются после одной или нескольких неудачных попыток). Программы-спамеры
либо не умеют повторно отправлять письма, либо используемые ими серверы успевают за время
задержки попасть в чёрные списки DNSBL.
Этот метод в настоящее время позволяет отсеять до 90 % спама практически без риска потерять
важные письма. Однако его тоже нельзя назвать безупречным.
Могут ошибочно отсеиваться письма с серверов, не выполняющих рекомендации протокола
SMTP, например, рассылки с новостных сайтов. Серверы с таким поведением по возможности
заносятся в белые списки.
Задержка при доставке письма может достигать получаса (а то и больше), что может быть
неприемлемо в случае срочной корреспонденции. Этот недостаток компенсируется тем, что задержка
вносится только при посылке первого письма от ранее неизвестного отправителя. Также, многие
реализации серых списков автоматически, после некоторого периода «знакомства», вносят SMTPсервер в белый список. Есть и способы межсерверного обмена такими белыми списками. В
результате, после начального периода «запоминания», фактически задерживается менее 20 % писем.
Крупные почтовые службы используют несколько серверов с разными IP-адресами, более
того, возможна ситуация, когда несколько серверов по очереди пытаются отправить одно и то же
письмо. Это может привести к очень большим задержкам при доставке писем. Пулы серверов с таким
поведением также по возможности заносятся в белые списки.
Спамерские программы могут совершенствоваться. Поддержка повторной посылки
сообщения реализуется довольно легко и в значительной степени нивелирует данный вид защиты.
Ключевым показателем в этой борьбе является соотношение характерного времени попадания
спамера в чёрные списки tb и типичного времени задержки «серых» списков tg. При tb > tg серые
списки в перспективе бесполезны; при tb < tg серые списки труднопреодолимы для спамеров.
Авторизация почтовых серверов
Были предложены различные способы для подтверждения того, что компьютер,
отправляющий письмо, действительно имеет на это право (Sender ID, SPF, Caller ID, Yahoo
DomainKeys, MessageLevel), но они пока не получили широкого распространения. Кроме того, эти
технологии ограничивают некоторые распространённые виды функциональности почтовых серверов:
становится невозможно автоматически перенаправлять корреспонденцию с одного почтового сервера
на другой (SMTP Forwarding). Среди провайдеров распространена политика, согласно которой
клиентам разрешается устанавливать SMTP-соединения только с серверами провайдера. В этом
случае становится невозможно использовать некоторые из механизмов авторизации.
Распределенные системы обнаружения спама
Для автоматических систем обнаружения спама характерен общий приём – использование
ловушек – «засвеченных» адрессов, предназначенные только для приема спама. Также такие системы
зачастую используют голосование пользователей или просто анализ всей проходящей почты.
Анализ всей проходящей через почтовую систему почты подразумевает, что для каждого
почтового сообщения генерируются контрольные суммы, которые передаются на сервер сбора
статистики. В ответ сервер сообщает количество зарегистрированных повторов данного письма.
Начиная с некоторого количества повторов можно считать данное письмо спамом. Очевидно, что
подобная технология не будет отличать легальные массовые рассылки от спама, следовательно,
требуются "белые списки" в которые такие рассылки будут внесены.
Данная технология реализована в проекте DCC - Distributed Checksum Clearinghouse
(www.rhyolite.com/anti-spam/dcc/). Программное обеспечение DCC распространяется в исходных
кодах по очень либеральной лицензии. Пользователям доступен как клиент, который может быть
использован с имеющейся сетью DCC-серверов, так и свой сервер, который можно установить либо
независимо, либо включить в общую DCC-сеть. Включенные в DCC-сеть сервера обмениваются
данными о частотных контрольных суммах практически в реальном времени.
Система DCC поддерживает как анонимных, так и авторизованных клиентов. DCC-сервер
можно сконфигурировать так, чтобы сообщения о спаме он принимал только от авторизованных
пользователей. В системе реализован и аналог механизма голосования - отдельное сообщение (его
контрольная сумма) может быть явно помечено как "спам" или "не спам".
В системе используется сразу несколько типов контрольных сумм - четкая сумма MD5 по
всему тексту сообщения, отдельные контрольные суммы по адресам отправителя, получателей и
части заголовков письма и два типа нечетких сумм, рассчитанных на работу с меняющимся текстом
письма.
В настоящее время публичная сеть DCC обрабатывает около 40 млн. "уникальных сообщений"
в сутки (публикуемая статистика не учитывает число отдельных получателей каждого письма), но не
имея доступа к детальной информации у нас нет возможности перевести это число в привычные
единицы. Точно так же, публикуемая статистика по обнаруженному спаму - около 30% в среднем приводится в уникальных сообщениях, перевести это в "обычные проценты" без дополнительных
данных нельзя, так как. Непонятно, как выяснить долю повторяющихся писем.
Тесты, проведенные по подборке получаемого в России спама, показывают уровень
обнаружения спама в 25% (в обычных терминах) при нуле ложных срабатываний .