Спам и кролики.

Previous Entry Поделиться Next Entry
23 января, 2012
e_kaspersky
Кролики - это не только ценный мех, но и три, четыре килограмма легкоусвояевомого мяса!
(c) Моисеенко & Данилец
Да, предыдущий опрос был риторическим. Действительно 250 млрд. – это именно столько каждый день рассылается спам-писем.

А теперь спросите себя и соседа в чём опасность спама? Ну? Ага, скорее всего – виагра и прочая назойливая хрень, которая забивает почтовые ящики и не даёт нормально работать. Так вот: спам – он как кролики. Это не только ценный мех… тьфу, - это ни разу не только всякая реклама. Реклама – это только вершина айсберга. Спам - часть огромной киберпреступной экосистемы. И его видимая невинность – типичная иллюзия, которую я сейчас буду развенчивать :)

Техническая основа этой экосистемы – т.н. ботнеты или зомби-сети. Это сети компьютеров, зараженных зловредами (ботами), с помощью которых кибернегодяи удалённо управляют этими компьютерами без ведома их владельцев.

Экономика тут довольно проста. В ботнет «вербуются» компьютеры и потом их мощности монетизируются разными способами: ддос-атаки, рассылка рекламы, фишинг, кража данных и пр. Примерно как показано ниже:




И в чём же тут душераздирающая роль спама? А вот в чём: на самом деле тут происходит мощнейшее перекрёстное опыление – спам является главным источником «вербовки» компьютеров в ботнеты! Он же ведёт юзеров на фишинг-сайты и зараженные сайты для незаметной «инъекции» вредоносов при помощи техники drive-by-download.  Копнём глубже. Какой самый распространённый способ целевых (targeted) атак на бизнес и правительства? Спам. Как происходят атаки при помощи эксплойт китов типа BlackHole? Спам. Продолжать?

Так что снова вернёмся к кроликам. Спам – это не только реклама, но и а) один из главных каналов распространения вредоносов, б) инструмент промышленных/государственных кибератак, в) средство реализации других типов угроз, г) самый распространённый инструмент сетевого мошенничества. Можно сказать, что это такой киберкриминальный Доктор Зло, ловко скрывающийся за антуражем назойливой, но в целом безобидной рекламы. Сравнивая с реальной жизнью, это если бы директ мейл, который доставляет нам в обычные почтовые ящики рекламные листочки и газетки бонусом добавлял в них сибирскую язву.

С другой стороны, винить спам во всех тяжких и называть его основой и первопричиной всех траблов в Интернете тоже неправильно. Нет, они тут все хороши. Все повязаны и одного без другого не было бы. Разослать спам «ручками» без ботнета – долго, дорого, неэффективно. Создать ботнет без спама – то же самое. Провести ддос без ботнета – можно, но это уже уровень государственных военных программ с соответствующим финансированием. Киберкриминал – это единая экосистема, где спам играет ключевую роль.

К чему я это веду? Ну да – к методам борьбы со спамом. Так вот – само определение «метод борьбы со спамом» не совсем правильное. Это всё равно, что лечить один из симптомов сложной болезни. Да, технически борьба со спамом подразумевает специальные технологии выявления и предотвращения (об этом поговорим в следующих постах), но как угроза – это часть большой, объёмной проблемы, которая требует комплексных, всеобщих усилий. Тут играют роль и понимание ситуации самими юзерами, и действия на стороне провайдеров (а для некоторых из них спам – это бизнес), и архитектурные новации в сети, и, конечно, защитные технологии. Вот о них подробнее.

Бывает меня спрашивают – нафига мы вообще развиваем доморощенную антиспам технологию, держим кучу разработчиков, аналитиков, отдельную лабораторию? Кругом полным-полно бесплатных и приличных решений! В конце-концов, лицензировали бы у кого-нибудь, сократили издержки и повысили прибыльность. Ну, так-то оно так, но только с точки зрения «продвинутого МБАшника», рассуждающего терминами купи-продай, причём без понимания, что будет завтра.

Если посмотреть «глубже и немного правее», то всплывает вот какая интересная технологическая штука. Без собственной антиспамовой экспертизы трудно бороться с малварой и, как следствие с киберугрозами в целом. Пример: супер-пупер новая малвара использует никому не известный и никем не детектируемый зиродей. Даже в таком, казалось бы, фатальном случае угроза может быть проактивно блокирована благодаря антиспам фильтру, который отловит письмо с малварой, но совсем по другим признакам. В этом как раз и есть основной (и для кое-кого потаённый) смысл комплексных решений класса internet security. Когда в одном продукте живёт сразу много защитных технологий (в том числе антиспам!) от всяких разных напастей, но вместе они намного эффективнее защищают как от каждой из них в отдельности, так и от кибернегодяев в целом.

Кроме того, антиспам технологии дают нам очень много интересной статистики и поводов для развития других, смежных технологий.

Вот, вкратце о спаме и его скрытой роли в киберпреступности. Для дальнейшего развития в плане этой проблематики рекомендую читать:
Ну и немного продакт плейсмента :)

А в следующих постах более конкретно поговорим о наших антиспам технологиях.
Метки: , ,
Previous Entry Поделиться Next Entry
(Удалённый комментарий)
Эээ.. не очень понял.. Вернее - совсем не понял.
Можно конкретнее и с примерами?

(Удалённый комментарий)
Урюпинск - это "наше всё" :)
Мега-проект. Взрыв мозга. И так далее.
Что именно не понравилось?

(Удалённый комментарий)
Пожалуйста - дайте цитату (или несколько) и Ваши варианты написания этой цитаты. Без линков. Например:
Вы опубликовали: "Я самый великий и могучий...".
Надо было бы так: "Величие и могучесть наше никто не оспаривает..."

Или как-то похоже. А то я туплю.

Нобелевская лекция по стилю и слогу )

Спасибо, Евгений.

Если честно - пост готовился не один день. И не только я его готовил, да! У меня отличная команда :)

теперь в голове уложилась схема

Подумалось...

muzzlee

2012-01-23 14:04 (UTC)

Так-то оно все верно,только есть одно НО,компьютерная грамотность так же как и интернет грамотность в нашей стране хромает и очень сильно,в школах не понять какие компьютеры,доступ в глобальную сеть это нечто заоблачное,а как тогда приучить человека с "пелёнок" к основным принципам "можно/нельзя и хорошо/плохо"?Все ложиться на плечи самих пользователей,если ещё в корпоративной среде этим занимаются специалисты(хотя тоже бывают индивиды троечники =) ).
Иногда мнение владельцев компании идёт немного вразрез с компьютерной безопасностью и грамотностью в пользу экономии,хотя по факту экономия сомнительная,о подобных вещах чаще всего задумываются только в крупных компаниях.
А дома все по другому,в лучшем случаи антивирус установил Вася сосед или умница сынок,прописал краденый ключ,а когда он заблокировался и обновления перестали происходить,все об этом благополучно забыли/забили,а про обновления операционной системы стоит ли вообще говорить?Так же как и о покупке последних...
Провайдеры стараются это как-то регулировать,то сервис обновления бесплатный для семейства оконных,то служба спасения в виде мальчиков эникейщиков,которые починят,обновят,настроят,т.к в пору безлимитов на трафике уже не поживиться,а вот понизить нагрузку на каналы которую могут создавать зомби машины,да и прочий сетевой мусор который доставляет неприятности локальным операторам + снизить нагрузку на тех.поддержку с вопросами "что делать??не работает интернет!!ВСЕ ПРОПАЛО!!"
Только вот популярность соц.сервисов растёт и желания людей попасть во всемирную патину тоже,а это только на руку,ведь такой пользователь лёгкая наживка,сам все нажмёт,сам все сделает,надо только направить =)
Поэтому мне кажется спасёт только некая культура и просвещение в области компьютерных систем,а также интерес государства к обучению молодого поколения,без этого это все как мертвому припарка.
Либо как вариант,интеграция комплексной защиты в операционную систему,чтобы работало и обновлялось "из коробки",но это уже вопрос денег,выгоды,бизнес-соглашений и маркетинга,тут как повезет.

Насколько я понимаю, Google использует сигналы от отдельных пользователей для улучшения фильтров для всех, но у них есть все возможности для этого, поскольку интерфейс работы с электронной почтой тоже их. Вопрос получаете/используете ли для улучшения фильтров сигналы от пользователей вы и как пользователь их (сигналы) может подать? По идее, такие сигналы должны быть очень полезны для скорейшего обнаружения нового спама.

Другой аспект этого всего, я сам, например, помечаю как спам письма от организаций, которые не предлагают возможности или игнорируют попытки отказаться от их рассылок. Для таких организаций полезной фичей могло бы быть уведомление о том, что их домен был включен в черный список. Возможно, такие уведомления стоит слать только тем организациям, которые сами захотят получать их и для этого подпишутся. В данных по чёрным спискам могут быть заинтересованы правозащитники и организации ставящие своей целью открытость и в случаях если самому виновнику начихать, его могут поругать другие. В целом это должно в лучшую сторону поменять ситуацию со непредумышленным спамом.

?

Log in

No account? Create an account