Еще совсем недавно, такие понятия, как спам и вирус были между собой связаны лишь только тем, что они являлись неотъемлемой частью такого устройства, как компьютер. Теперь же наступило время, когда эти 2 самых страшных явления объединились для того, чтобы парализовать всемирную сеть. Неплохое начало для Матрицы 4

Страшно? Все правильно, так и должно быть. Когда-то, в те светлые недалекие времена, когда Windows был еще 98, а Photoshop существовал под номером 6, я получал на свой почтовый ящик всего лишь несколько писем в день с предложением выучить английский язык и купить какой-нибудь тренажер, а для того, чтобы заполучить вирус на свой компьютер, приходилось еще его поискать в сети. Теперь же ситуация изменилась в корне и помимо обычных писем, которые предлагают мне что-нибудь купить, в почтовый ящик постоянно, со скоростью, которой позавидовал бы Альберт Эйнштейн, сваливаются различные письма с вложенными файлами-вирусами. далее....

До тех пор, пока я не включил у своего провайдера антивирусную защиту, таких писем мне в день приходило по 200-300 штук, и я проклинал вирусописателей теми словами и фразами, которые часто пишут на заборах, вероятно, такие же пользователи, как и я. И что же мы сейчас видим? По сути дела происходит вообще, какая-то непонятная борьба между теми, кто рассылает спам и пишет вирусы и теми, кто пишет программы, которые блокируют распространение спама и вирусов - антивирусы и спам-фильтры. Мы же, пользователи компьютеров и Интернета, остаемся как бы в стороне и только страдаем от этой напасти. Поскольку остается много вопросов, связанных с проблемой спама, я и решил проконсультироваться у одной из сторон этой непрекращающейся борьбы. К сожалению, спамеры интервью давать не захотели (в ответ на мою просьбу, они прислали мне еще пару сотен рекламных предложений), по понятным соображениям, а вот сторона, которая им противодействует, согласилась ответить на мои вопросы и прокомментировать сложившуюся ситуацию. На вопросы отвечает Игорь Ашманов - генеральный директор ЗАО "Ашманов и партнеры", разработчик поисковой машины Rambler и сервиса фильтрации спама "Spamtest".

Скажите, а кто рассылает спам? Кому это выгодно?

Спам рассылают несколько сотен человек в России, несколько тысяч в мире. Это молодые, энергичные, материально обеспеченные и технически грамотные профессионалы. Вот им спам и выгоден. В этой индустрии уже сложилось распределение труда, так что есть ещё те, кто "подносят патроны" - ищут клиентов, добывают и продают адреса, разыскивают открытые почтовые сервера, пишут вирусы для захвата пользовательских компьютеров и рассылки с них спама. Им всем спам также выгоден, естественно. Выгоден он и тем представителям малого бизнеса, кто заказывает рассылки. Обычно у них хороший отклик, приток клиентов. Невыгоден - нам всем, поскольку он не только отнимает время, но и причиняет ущерб.

И насколько же сильно сейчас спам причиняет ущерб людям и организациям?

Для частных лиц спам в первую очередь - вторжение в личное пространство, агрессия. Кроме того, люди с обширной перепиской сейчас испытывают реальные трудности с разгребанием почты и вышелущиванием нормальных писем, а также со скачиванием спама по телефонному соединению. Для организаций же это - прямая угроза бизнесу. Если 75-80% почты в крупных организациях и публичных почтовых сервисах - это спам, то значит, 3/4 системных администраторов и серверов обслуживают не свой собственный бизнес, а бизнес спамеров. Кроме этой явной "ренты", есть ещё риски: спам поступает крайне неравномерно, "пачками" (например, перед рассветом) и создаёт пиковые нагрузки, которые могу обрушивать почтовые сервера, а также несёт опасное и недопустимое содержание (вирусы, порно, пропаганду и прочее).

А что такое открытый почтовый сервер, и чем он нам может "насолить"?

Почтовый сервер - это программа, которая устанавливается на "железный" сервер, чтобы пересылать почту. Их устанавливают частные компании, университеты, провайдеры, государственные организации и т.п. Почтовый сервер себе может установить и частное лицо, если не хочет зависеть от провайдера. Есть как платные почтовые сервера (MS Exchange и др.), так и бесплатные (Sendmail, Postfix и другие). Большинство используемых почтовых серверов в мире - бесплатные. Так вот, при настройке почтового сервера нужно задать список адресов, с которых через него можно посылать почту. Зачастую этого не делается (по нехватке квалификации или от лени) и с нового почтового сервера может послать почту кто угодно и кому угодно. Этим и пользуются спамеры - находят такие сервера специальными программами и шлют через них почту, пока сервер не попадёт в чёрные списки. Типичный пример - студенту на кафедре велели поставить кафедральный почтовый сервер. Он поставил, забыв закрыть пересылку для всех внешних адресов. Спамеры вычислили этот сервер, послали через него миллионы писем. Сервер был замечен, внесён в чёрный список как спамерский, и у кафедры вообще перестала уходить почта. Спамеры отправились искать других неумех.

Почему объем спама, приходящего в наши ящики стал заметно увеличиваться, примерно с начала 2004 года?

В январе-феврале 2004 года спамеры перешли на новые технологии рассылки - стали использовать десятки тысяч заражённых пользовательских машин. Вирусописатели продают спамерам списки этих машин. Именно поэтому в феврале было 12 невиданных вирусных эпидемий - вирусописатели стараются заработать. При этом ранее использовавшиеся многими системными администраторами и хоть сколько-то эффективные чёрные списки перестали работать. Сейчас, каждый день в мире появляется несколько десятков тысяч новых заражённых машин, которых нет ни в одном чёрном списке.

Что такое черный список?

Это списки IP-адресов, с которых в прошлом рассылался спам или вообще подозрительных с точки зрения спама. Называются они также RBL (Real-time Black Lists). Ведут списки RBL обычно независимые организации - как сервис для внешних пользователей. Списки, как правило, бесплатные, но бывают и платные. Вы можете "подписать" ваш почтовый сервер на такие списки, и тогда, при запросе от другого почтового сервера на передачу письма, прежде чем принять письмо с этого адреса, он будет обращаться к этим сервисам, и проверять адрес по спискам. И если обнаружит адрес отправителя в тех или иных чёрных списках - откажется его принимать, то есть письмо даже не будет скачиваться. Плюс чёрных списков - то, что подозрительные письма даже не скачиваются, то есть не создаётся паразитный трафик. Минусов же много - во-первых, невысокая степень обнаружения спама - 15-30% (открытые почтовые пересылки хорошо покрываются чёрными списками, а вот заражённые компьютеры пользователей сейчас попадают в чёрные списки не очень быстро), во-вторых - много ложных тревог, когда "хорошие" письма блокируются. Чёрные списки бывают двух родов - технические (адреса источников спама) и политические (адреса организаций, якобы толерантных к спаму). Вторые, безусловно, вредны и дают много ложных тревог.

Значит, в настоящий момент, существует несколько группировок вирусописателей, которые пишут вирусы. Между ними существует конкуренция?

Существует. При заражении компьютера вирус не только старается удалить известные ему антивирусы, но и троянские программы своих предшественников, чтобы компьютер рассылал спам не для "коллег по цеху", а для своего хозяина. Иногда вирусы просто не отличают другие вирусы от обычных программ и заражают их тоже, но это процесс случайный и менее интересный, чем сознательная борьба вирусописателей друг с другом за компьютеры пользователей.

Расскажите, пожалуйста, принцип действия вируса, захватывающего компьютер.

Коротко - вирус (почтовый червь) приезжает в виде приложения к письму, которое по разным причинам запускается пользователем, такие причины называются социотехникой - это набор психологических приёмов, побуждающих пользователя открыть приложение к письму. При этом вирус а) рассылает себя дальше от имени пользователя компьютера (или от других имён), б) устанавливает на компьютер "троянского коня" - невидимую для пользователя программу, которая имеет внутри себя маленький почтовый сервер, средства общения с "центром управления" (хозяином вируса) и так далее. Далее троянский конь при наличии соединения с Интернетом незаметно для пользователя рассылает спам, скачивает обновления, получает команды хозяина и так далее.

А где, как правило, располагаются эти центры? Т.е. откуда к нам в основном приходит спам, где физически расположены сервера, которые пересылают почту и откуда идет атака?

Где центры - неизвестно. Спамеры давно уже не используют сервера для рассылки открыто. Сервера рассылки могут быть по всему миру, особенно это касается заражённых машин. Что касается источников атак и спама, то, хотя есть специально развиваемая мифология об опасности русских хакеров, Восточной Европы и Китая, на самом деле, в среднем 60-80% всех атак, хакерских, вирусных и спамовых, исходит с территории США. Просто там больше сетей, компьютеров и квалифицированных людей, располагающих свободным временем.

Понятно, что от спама можно защититься, используя "черные списки" и различные фильтры и антивирусы на почтовом сервере. А как защититься пользователю, от заражения таким вирусом, чтобы его компьютер не превратился в машину для рассылки писем? Не открывать подозрительные вложенные файлы - это одно, но вот если компьютер заражен? Что делать, и как можно обнаружить вирус?

Только с помощью антивируса. И до заражения - тоже. Никаких других, "ручных", способов не существует.

Но ведь антивирус установлен далеко не у всех, да и антивирусные базы не все обновляют регулярно. Выходит, что спам будет только "процветать" и избавится от него, нам никак не удастся? Неужели нет избавления от этой "эпидемии"?

Нужно ставить спам-фильтры. Так же, как антивирус защищает от вирусов, спам-фильтры защищают от спама на 90-95%, а падение количества мусора в 20 раз очень заметно. Нужна элементарная гигиена. Мытьё рук и фруктов перед едой может не защитить от преднамеренного отравления со стороны злоумышленника или от выстрела из пистолета, но от элементарных расстройств желудка и дизентерии защищает достаточно надёжно.

Сейчас не существует так называемого "закона о спаме". И спамер, даже пойманный, что называется, за руку, может уйти от наказания. Как вы считаете, когда этот закон может быть принят, и ведется ли вообще его разработка? Какое наказание может грозить виновнику?

Разработка ведётся в Национальной коалиции против спама, и он может быть принят этой осенью. Наказание административное (штраф) и уголовное. Точные данные по суммам и срокам наказаний сейчас дать не могу. А спамеров ловить можно и сейчас - за ненадлежащую рекламу, чёрный нал, уклонение от налогов, несанкционированный доступ к чужим компьютерам и данным.

Услугами спамеров пользуются в основном представители малого бизнеса. Выходит, что президентская программа по развитию малого бизнеса, таким образом, косвенно является и программой развития спамерского бизнеса? Замкнутый круг какой-то.

Да, это так, пока спам не станет уголовно наказуемым деянием.

В последнее время в наших ящиках появляется, так называемый "графический спам", т.е. спам, в котором текст написан на графической картинке. Как он распознается "семантическим методом"?

Семантическим методом - не распознаётся, а разнообразные способы работать с графикой, в том числе несколько графических сигнатур у нас имеется. Подробнее объяснять не могу по очевидным соображениям.

Русский спам уходит на запад? И вообще, какую часть среди всего мирового спама, занимают спам-письма на русском языке?

Небольшую, несколько процентов. Однако, после фильтрации своим, "родным" спам-фильтром, у западного пользователя свой "родной" спам сильно убавляется и тогда русский спам может быть довольно заметен. А русский спам западные фильтры распознают плохо. В Рунете русскоязычного спама примерно половина.

Как вы считаете, возможно, создание абсолютно нового протокола вместо уже привычного pop3 и smtp, который сможет решить проблему спама? Ведутся ли какие-либо разработки по его созданию? И вообще реально ли это?

Разработки ведутся, создание реально. В частности, Microsoft, AOL и Yahoo пытаются договориться об идентификации отправителей. Вопрос в другом - реально ли внедрение? Сейчас электронной почтой пользуются в сотне государств, более 600 миллионов человек. Среднего системного администратора ничем не заставишь поставить заплатку к известной дыре в почтовом сервере, не то, что новый протокол внедрить. Поэтому процесс внедрения любых новаций будет долгим.

И напоследок. Чтобы вы посоветовали читателям журнала и пользователям компьютеров в частности, для защиты от спама? Какие элементарные меры стоит принять, чтобы защититься от спама?

Для домашней почты использовать почтовые ящики у тех провайдеров и на тех публичных почтах, где установлены фильтры спама (Mail.ru, Yandex.ru, Hotbox.ru, Rambler.ru). А в своей компании убедить руководство купить и установить спам-фильтры на входной почтовый сервер. Советы типа "не засвечивать адрес", "менять адрес почаще", "не давать адрес компании на сайте", "включить такие-то слова в правила фильтрации Аутлука", "повозиться самому и настроить почту против спама", "дать команду сисадмину, чтобы этого больше не было", и так далее - не работают. Сейчас борьба со спамом - дело профессиональное и никакие доморощенные средства не помогают. А адреса ваши спамеры подбирают словарным перебором, так что никакая скрытность также не поможет. Ну и обязательно поставить антивирус и обновлять его почаще (несколько раз в день).

Ну вот, разговор окончен, за окном темнеет, а тревожный осадок все-таки остался. Из всего вышесказанного, я могу сделать вывод о том, что в ближайшее время нам с вами не удастся полностью избавиться от этой проблемы, хотя уменьшить ее в разы мы все же можем. Возможно, окончательное избавление от спама мы сможем получить лишь тогда, когда начнется внедрение нового почтового протокола, который будет жестко фиксировать адрес и месторасположение удаленного компьютера, рассылающего письма. Но это произойдет еще не скоро, ведь для этого придется "перекроить" весь Интернет. А пока - соблюдаем правила гигиены!

(с) Александр Наумов