06.12.2004 Автор: Г.І. Рузайкін

Під такою назвою в кінці жовтня в Москві пройшла друга національна конференція. Її організаторами виступили російські компанії - члени Національної коаліції проти спаму «Ашманов і Партнери», «Лабораторія Касперського», Mail.ru, «Рамблер», «Яндекс» і Subscribe.ru, а серед учасників були представники і інших фірм, що розробляють продукти для електронної пошти або надають послуги з її доставки. Як і на першій конференції, виступи та обговорення концентрувалися на наступних проблемах спаму: ставлення до нього в суспільстві і інтернет-співтоваристві, правові питання боротьби з ним, технологічне протидія йому, зокрема, з боку постачальників інтернет-сервісів, нарешті, ПО для боротьби зі спамом в корпораціях і у приватних користувачів.

Підводячи підсумки річного протистояння зі спамерами, І. Ашманов констатував, що «з побічного дратівної фактора спам перетворився в великомасштабну загрозу електронній пошті». З наведених їм даних слід: на осінь 2004 року в публічних поштових службах Рунета спам склав близько 80% від обсягу всієї вхідної кореспонденції. Таким чином, небажані поштові відправлення, або спам, стали не тільки проблемою для користувачів Мережі, але і серьзно загрозою для бізнесу в цілому. У наведеній І. Ашманова характеристиці ситуації, заснованої на інформації від компанії AOL, найбільшого провайдера в США, повідомляється про блокування приблизно 80% всієї пошти як UCE (Unsolicited Commercial E-Mail, незапрошенние комерційні повідомлення) і Scam (незаконні пропозиції, шахрайство). Російські компанії приводять схожі дані. Це означає, що майже три чверті дискового простору і процесорної потужності, які обслуговують поштові потоки, насправді витрачається на обслуговування бізнесу спамерів, що веде до великих прямим і непрямим видатках легального бізнесу. До того ж розсилка спаму несе різні ризики - технічні і юридичні. Наприклад, витрати (пов'язані з паразитних трафіком і завантаженням персоналу), загрозу стабільності (у вигляді пікових навантажень в мережах), небезпека, що залежить від змісту листів (віруси, трояни, заборонені матеріали), і юридичні ризики (можливі позови від клієнтів і конфлікти з властями).

Доповідь І. Ашманова представляє достатній інтерес для всіх, кого хвилює проблема спаму, тому відішлемо їх за подробицями до його тексту на сайті, де представлені матеріали конференції http://www.spamtest.ru .

Про кримінальному спам-бізнесі і його вплив на суспільство, точніше, про оцінку збитку, що наноситься їм, розповів у своїй доповіді А. Нікішин з «Лабораторії Касперського». Тлумачачи спам як «анонімну масову небажану розсилку (комерційну і некомерційну)», він вибудував модель подібного бізнесу і охарактеризував шкоду, яку завдають їм світовій економіці. Далі він зупинився на тому, що суспільство вже приступило до боротьби зі спамом, спираючись на організаційні заходи та створюючи відповідні юридичні норми. Так, створена Антіспаммерская коаліція, а Московська міська дума прийняла в першому читанні документ постанови «Про проект федерального закону« Про внесення змін до деяких законодавчих актів Російської Федерації в частині протидії масовому розсиланні повідомлень електрозв'язку рекламного характеру ». У нижню палату російського парламенту в липні 2004 р були внесені пропозиції щодо законопроекту, спрямованого на боротьбу з масовими рекламними розсилками (спамом) через Інтернет.

І. Ашманов, коментуючи ці факти в своїй доповіді, вважає, що разом з відзначенням технічними засобами фільтрацією поштових повідомлень подібні заходи приведуть до помітного зниження обсягу спаму вже в 2005--2006 рр. З повідомленнями про досвід законодавчої діяльності виступили Е. Бекещенко, юрист фірми «Бейкер і Макензі», який розповів про практику в США і Європі, і А. Страх з «Грант Торнтон Трід», який торкнувся тлумачення поняття «спам» і перспектив правозастосування тих юридичних норм , що виникнуть на основі поправок до Адміністративного та Кримінального кодексів, які готуються в Державній думі і Московській міській думі.

Особливий інтерес викликали доповіді Н. Федорова з компанії «Рткомм.РУ», що висвітлюють проблеми: спам і таємниця зв'язку; можливість компромісу з спаммерами.

У першому виступі він зупинився на питанні глибини контролю за листуванням, а в другому висловився за легалізацію спаму в рекламному бізнесі, точніше, за доцільність пошуку подібного шляху в зв'язку з загальним скепсисом щодо можливості перемоги над спамом технічними засобами. Розуміючи, що проблема доставки пошти і її якість з точки зору наявності в ній спаму є комплексом технічних і юридичних питань, Н. Федотов пропонує взаємодіяти двом відповідним групам фахівців, але «бажано під загальним керівництвом фінансиста або управлінця».

Основа союзу зі спам-бізнесом бачиться Н. Федотову в «екологічної» його організації, в результаті якої обсяг розсилок скорочується в обмін на рейтингування. При цьому буде складатися глобальний отпісних лист, натомість рекламодавець отримає цільову аудиторію, а доставка реклами буде здійснюватися за гроші (оплачувана спам). Добровільну позначку про спам в кореспонденції можна, на думку який запропонував цю ідею, супроводити передачею фільтрації на розсуд отримувача.

Представник компанії Subscribe.ru К. Чистов в своєму виступі звернув увагу учасників конференції на те, що при використанні сервісу Direct-Marketing в електронній пошті виправданий відмова від послуг спамерів. Перш за все в силу наявності більш тісних зв'язків з цільовою аудиторією у легальних компаній, що працюють з доставки інформації на основі послуг, що надаються за передплатою. У цьому випадку клієнти компанії, що поставляє пошту, можуть розраховувати не тільки на регулярний (а не випадковий) характер її доставки, а й на більш повне використання можливостей ІТ, зокрема корпоративних CRM-систем, не кажучи про етичну і правову сторону відносин з корпоративними клієнтами.

П. Діденко з компанії «Мастерхост» виступив з повідомленням про досвід вироблення практики в поштовій системі провайдера, спрямованої на зменшення ризику, пов'язаного зі спамом. При використанні «чорних списків» як засіб боротьби зі спамом великий ризик того, що очікувана пошта не буде доставлена ​​клієнту, якщо обсяг списків великий, тому потрібна значна робота з упорядником подібного списку по зниженню ступеня такого ризику. Інші ризики пов'язані зі зростанням навантаження на поштові сервери через зайву трафіку в мережі провайдера, що відбивається на його «кишені», з необхідністю створення служби ABUSE (займається з'ясуванням відхилень в службі експлуатації пошти), знову-таки збільшує його витрати. Нарешті, клієнти, що розсилають спам, створюють реальну загрозу для провайдера створюють реальну загрозу, підриваючи його бізнес. П. Діденко бачить наступний вихід: компанія-провайдер повинна мати чітку політику щодо протидії спаму і вживати заходів щодо захисту від нього поштових серверів.

Технологічним прийомам боротьби зі спамом був присвячений ряд доповідей, серед яких аналіз SPF (Sender Policy Framework), автоматичні методи детектування спаму, доступні великим поштових систем, і огляд технологій, реалізованих в продуктах компаній Sybari і Sophos. А. Тутубалин, керівник проекту «Спамтест» компанії «Ашманов і Партнери», аналізуючи SPF, виходив з розуміння спаму, як анонімних масових розсилок електронної пошти, що мають рекламний характер. Ось короткі висновки, до яких він прийшов. Ефективність SPF як механізму фільтрації спаму на сьогодні вкрай невелика. З точки зору трудомісткості його впровадження доповідач зазначив: «Публікація SPF-політики домену (для вихідної пошти) в простому випадку не є трудомісткою, не вимагає додаткового ПЗ і особливої ​​подальшої підтримки. У складному випадку (великої корпорації, провайдера інтернет-доступу, поштового сервісу зі значним навантаженням) може знадобитися установка і впровадження додаткового ПЗ. Впровадження підтримки SPF при прийомі пошти вимагає модифікації ПО поштових серверів, але для більшості популярних серверів це вже реалізовано ». Ризики від впровадження SPF оцінені наступним чином. Публікація SPF-політики для домену, якщо вона тільки «роздільна», не несе додаткових ризиків, але забороняє прийом пошти з деяких адрес може призводити до втрати пошти при пересиланні. У разі врахування рекомендацій політики відправника пошти при її прийомі в даний час є небезпека втрати пошти або пропуску спаму.

Серед інших проблем, що виникають при користуванні SPF, А. Тутубалин зазначив її несумісність з пересилкою (forward) пошти на сьогоднішньому рівні реалізації опції, а також обмежене довіру до SPF-політиці довільного домену; крім того, її ізольоване застосування без додаткового аналізу повідомлення недоцільно.

Доповідь І. Сегаловіча, технічного директора компанії «Яндекс», був присвячений автоматичним методам детектування спаму, в основі яких лежить лінгвістичний аналіз. Деякі з них вже реалізовані на корпоративному порталі в службі «Яндекс.Спамооборона». Механізми аналітичного виявлення спаму працюють за алгоритмами, обчислює сигнатури, стійкі до слабких змін у тексті листа, не позначається істотно на його утриманні. Вельми цікавим був зроблений І. Сегаловіч огляд сучасних способів обчислення сигнатур. Також було розказано про сумісне застосування кількісних оцінок сигнатур і інших ознак листів (чорних списків, SPF-записів) поряд з прийомами «відбілювання» листів, тобто віднесення їх до легальних розсилок, грунтуючись на механізмі автоматичного обчислення «білих» списків, який в свою чергу використовує аналіз соціальної мережі. В технології виявлення спаму застосовуються «білі» списки декількох видів: індивідуальні, загальні, конкретних поштових адрес, хостів і IP-адрес. Ефективність антиспамової фільтрації наявних чотирьох російських систем, в тому числі на основі запропонованого методу, І. Сегаловіч продемонстрував на прикладі тримісячних спостережень за конкретним поштовою скринькою з використанням 2,2 тис. Листів і аналізу вручну.

Про взаємодію антиспамових і антивірусних технологій на конференції говорив С. Антимонов, голова ради директорів компанії «ДиалогНаука», звернувши увагу присутніх на продукти фірм Sybari і Sophos. Крім нього про спільне використання коштів для боротьби з вірусами і спамом говорили і інші доповідачі, зокрема А. Нікішин з «Лабораторії Касперського», який пропонував кошти для ряду ринкових ніш (корпоративної, інтернет-сервісу провайдерів і призначеної для користувача), Н. Іонов з « антивірусного центру », який розглянув можливості продуктів компанії Trend Micro (для захисту корпоративної пошти на рівні шлюзу, що використовують простий протокол пересилання електронної пошти, SMTP), і П. Савич з Associates, який зробив упор на програмі McAfee SpamKiller (многоуровнего а захист корпоративних мереж).

Звичайно, на конференції були повідомлення від компаній Mail.ru і Rambler, в яких В. Габрієлян і М. Дунін розповіли про їх рішеннях, спрямованих на боротьбу зі спамом. Так, в Mail.ru для забезпечення ефективності фільтрація спаму здійснюється в чотири етапи. На першому повідомлення перевіряється на приналежність IP-адреси до чорного списку і на наявність у нього деяких ознак. На другому проводиться аналіз змісту листа (на присутність вірусів і відповідність шаблонами спаму по базі зразків спам-листів, обнавляемой кілька разів на годину співробітниками лабораторії компанії «Ашманов і Партнери»). На третьому і четвертому етапах, найбільш витратних, проводиться побудова сигнатури і контент-аналіз листи. Сигнатура обчислюється не тільки по тексту листа, але і з урахуванням графічних вкладень, а це дозволяє засобам боротьби реагувати на «спам в картинках». В ході контент-аналізу перевіряється присутність в листі ознак спам-повідомлення, при цьому фільтр «Спамтест» обробляє не тільки текст листа, але і його вкладення. Використання зворотного зв'язку при перевірці пошти дозволяє зупиняти її і на попередньому етапі, а також враховувати реакцію користувачів.

Короткий огляд про систему захисту пошти в компанії Rambler під назвою «Вибране», запропонований М. Дудіна, стосувався лише проблеми блокування пошти з заражених комп'ютерів. Це пов'язано з тим, що останнім часом «вирусописатели» ставлять собі за мету перетворення користувальницьких комп'ютерів в анонімні проксі-сервери, що використовуються в подальшому для розсилки спаму. Але тим не менше в цьому полягає підказка для блокування ПК, на яких вірус себе «виявив». Тому технологія, розроблена в компанії Rambler, дозволяє поліпшити процедуру формування чорного списку і тим самим підвищити ефективність боротьби зі спамом.

Завершити огляд матеріалів конференції слід згадкою про двох виступах. Перше зробила А. Власова з компанії «Ашманов і Партнери». Вона розповіла про приклад боротьби зі спамерських розсилкою, яка запрошує вчитися англійській мові. Ця захоплююча історія, названа автором «Еволюція тематичних способів обходу антіспаммерскіх фільтрів, або Як перемогти Центр американської англійської», за жанром схожа на пригодницький і пов'язана з контентно «трюками», до яких вдаються спамери. Що ж пропонують розробники антиспамових засобів і в чому бачать надію на успіх?

Ось цитата з доповіді А. Власової: «Фундаментальні властивості (такі як масовість, особливості поширення) спаму майже не змінюються при появі нових механізмів його поширення. При спробі обійти перевірку на будь-якої ознака спаму спамер приречений на «прокол» за іншою ознакою. Наприклад, збільшення кількості прихованого тексту ускладнює детектування масовості, але при цьому спрацьовують ознаки, засновані на підрахунку кількості паразитного інформації в листі. І навпаки, «легкий» спам, без html, картинок і сміттєвого тексту, простіше з точки зору детектування масовості ». Як вважає А. Власова, «система, що працює на достатній кількості різнорідних ознак, має запас міцності по відношенню до нових типів спаму і спроб обходу захисту».

Другий виступ П. Зав'ялова, менеджера проекту «Яндекс.Пошта», було присвячено практичній реалізації автоматичного детектування спаму за формальними і статистичними ознаками. Як приклад він розглянув систему «Спамооборона», що використовує безліч різнорідних ознак. Вважаючи ознаки ідеальними, поганими і хорошими, доповідач запропонував їх стратифікована. Виходячи з того, що потік повідомлень електронної пошти має досить стабільні характеристики, проте для конкретного користувача або групи користувачів і навіть невеликої організації можна виділити ознаки, індикатори спаму. Доповідач пропонує користуватися для цього вибірковим аналізом на потоці пошти. Далі, щоб набір ознак працював ефективно, слід вибирати його з надлишком, що принаймні ускладнювало б спаммерам підробку добре виділяють спам ознак. Як метрик відмінності ознак спаму в доповіді розглядалися: характеристика масовості (шингли), порівняння з вибірками - результатами навчання (оцінки Байєса), статистики активності по IP-адресами, властивостей тексту (співвідношення видимого і прихованого текстів) і властивостей оформлення. П. Зав'ялов навів приклади ефективності поєднання SPF з використанням інших ознак. Він зазначив, що і А. Власова в своїй доповіді, що якщо кількість формальних ознак спаму досить велике, то це гарантує ефективну боротьбу зі спамом.

Проведені на конференції круглі столи були присвячені проблемі підтримки боротьби зі спамом на законодавчому рівні. Крім того, розробники засобів для боротьби зі спамом ите, хто їх застосовує, обмінялися думками про те, як бути далі?

Найбільш повні матеріали про конференцію викладені на сайті http://www.spamtest.ru .