Заметки на полях сражений. Часть 2
АрхивВторой день всероссийской антиспам-конференции был посвящен техническим методам борьбы со спамом, существующим технологиям противодействия, их сильным и слабым сторонам.
Второй день всероссийской антиспам-конференции, о которой я начал рассказывать в прошлом номере «КТ», был посвящен техническим методам борьбы со спамом, существующим технологиям противодействия, их сильным и слабым сторонам.
Оружие
Николай Федотов (РТКомм.Ру) поведал леденящую кровь историю о черных списках. Черный список (black-list, RBL) представляет собой базу данных IP-адресов компьютеров (это могут быть серверы открытых релеев, proxy- или socks-серверы и даже взломанные ПК пользователей), с которых были зафиксированы спамерские рассылки. По крайней мере, так должно быть в идеале. В действительности же существует целый класс блэклистов, в которых записываются не отдельные IP, а целые диапазоны, принадлежащие провайдерам, которые, по мнению держателя списка, способствуют спаму. Если в ответ на действия спамера использовать «наступательные» RBL, могут пострадать невинные люди, что напоминает взятие заложников. «Обычные» черные списки — вещь тоже не совсем безопасная, допускающая ложные срабатывания (примерно 2% от всей почты); к тому же большая часть «профессионального» спама сейчас рассылается только с незасвеченных IP-адресов. В общем, способ бесперспективный.
Виктор Литвиненко поведал о технологии аутентификации отправителя challenge-response, на которой основана его разработка WinAntiSPAM. Напомню вкратце суть метода: письма, приходящие от неизвестных корреспондентов, складываются в «карантинную зону», а отправителю высылается сообщение с просьбой подтвердить, что он это письмо действительно посылал — например, путем ответа по почте или посещением определенной ссылки. Несмотря на то что такое решение кажется идеальным, оно имеет свои подводные камни: плохие отношения подобной антиспам-системы с роботами (скажем, уведомляющими о новых сообщениях в форумах), возможность «зацикливания» двух систем в случае отправки письма с одного защищенного адреса на другой и т. д. На мой взгляд, все эти проблемы могут быть решены, и использование challenge-response — единственный реальный выход. По крайней мере, я успешно применяю именно этот метод уже в течение года и не могу понять, почему подобным технологиям уделяется так мало внимания.
Вспомнили на конференции и о распределенных методах идентификации спама, которые прочились в «победители спама» еще год назад. Эти системы делятся на три класса по методу сбора спама: с помощью адресов-ловушек, голосования пользователей и просто на основе анализа всей проходящей корреспонденции (в последнем случае любые крупные массовые рассылки могут быть идентифицированы как спам). После того, как заведомо спамерское письмо попадает в систему, вычисляется его сигнатура (контрольная сумма) и в дальнейшем все сообщения с той же сигнатурой блокируются. Недостатки очевидны: уже сейчас почти все спамерские сообщения уникальны — содержат случайные последовательности символов, невидимые окончания слов и т. д., и, несмотря на попытки применения «нечетких сигнатур» и других подобных технологий, перспективы борьбы на этом пути весьма туманны.
Это же относится к очень близким способам, используемым на Яндекс.Почте. У Яндекса богатый опыт поиска похожих документов, но спамеры постоянно совершенствуют методы рандомизации текстов своих сообщений, и вряд ли здесь есть естественные барьеры, которые позволят когда-либо разработать действительно эффективный алгоритм детектирования массовых рассылок с достаточно низким коэффициентом «ложных срабатываний». К тому же Илья Сегалович (Яндекс) в своем докладе упомянул проблему, которую он назвал «полуспамом»: порядка 30% писем разными людьми могут быть оценены по-разному — либо как спам, либо как полезная информация. И вот это — очень серьезная трудность в централизованной фильтрации спама.
Есть попытка справиться с ней на стороне конечного пользователя, и имя ей — байесовские методы фильтрации. Докладов по этой теме не было, но в кулуарах она обсуждалась. Некоторое время назад один умный человек по имени Пол Грэхем (Paul Graham) напомнил всем, что есть такая наука, как математическая статистика, имеющая дело с косвенными измерениями различных величин, и предложил использовать ее для идентификации спама. Было сделано предположение, что можно собрать информацию о частоте употребления различных слов в спамерских письмах и обычной корреспонденции, а затем на ее основе, используя пару несложных формул, эффективно фильтровать спам. Сделали — заработало. Достаточно некоторое время обучать такой фильтр на своей почте, чтобы он стал достаточно корректно отличать спам от не-спама. Более того, многие специалисты и даже сами спамеры считают, что это — единственный работающий метод фильтрации для пользователя. В то же время, способы борьбы с ним также довольно очевидны — уже сейчас в спаме встречаются куски осмысленных текстов (цитаты из Шекспира, анекдоты), дезориентирующие подобные фильтры.
Свои решения в области защиты от спама представила и компания Microsoft. Как стало известно, в последних версиях ее почтовых программ (MS Outlook, MS Exchange) появилось множество методов борьбы с нежелательной корреспонденцией — даже такие достижения, как управляемые пользователем черные и белые списки, фильтрация по настраиваемым ключевым словам и предустановленным (и, видимо, необновляемым) методам контент-анализа, а также подключение внешних плагинов. Насколько эффективно все это будет работать на практике — сказать пока сложно.
Несмотря на то, что второй день работы конференции был посвящен техническим вопросам, на заключительном круглом столе обсуждалось в основном определение спама. Действительно, почему бы после двух дней разговоров не попытаться определить, о чем все-таки была речь?..
Реакция спамеров
Люди с противоположной стороны баррикад, как несложно догадаться, ситуацию с возрастанием антиспамерской активности отслеживают. Интересный факт: за несколько дней до конференции в ящики многих пользователей упало рекламное предложение… призывающее от имени Коалиции посетить эту самую конференцию! На специализированных форумах сообщество «профессиональных спамеров» осуждало эту выходку, называя ее бессмысленной тратой времени и денег. В то же время один человек зачем-то ее совершил. Зачем? Испугался?
Может, и так. Вряд ли у мелких спамеров найдутся ресурсы для противодействия всем тем барьерам, которые выставляют против них провайдеры, бесплатные почтовые службы и простые пользователи. В то же время те, кто занимается рассылками профессионально, смотрят на всякие попытки помешать им, мягко говоря, скептически — по крайней мере, в публично-доступных форумах. Рассыльщики откровенно веселились и бравировали своими возможностями, опережающими, по их словам, возможности спамоборцев на год. Любая фильтрация всегда будет находиться в позиции догоняющего, и спамеры это прекрасно понимают.
Правовые проблемы их тоже пока не занимают — до принятия и запуска в действие соответствующего законодательства пройдет еще неизвестно сколько времени, а пока можно спокойно работать — лишь бы хостинг был надежный, да канал широкий. Впрочем, и изменений в законах они не боятся, считая, что сумеют спрятаться от правосудия и продолжать свое дело. Свою деятельность рассыльщики не считают незаконной или неэтичной: «бизнес есть бизнес».
Более того: в дискуссиях они замечают, что антиспамеры — отнюдь не меценаты и точно так же зарабатывают деньги, просто прикрываясь благородными целями борьбы с «всенародным бедствием» и создавая помехи «профессионалам», приносящим реальную выгоду своим клиентам (последнее, однако, под большим вопросом: прибыль, полученная за счет дешевой рекламы, — штука временная, а испорченная репутация — постоянная).
Некоторые выводы
Общее впечатление от конференции сложилось, увы, неутешительное. Да, то, что о проблеме, существующей уже много лет, начали говорить и пытаться ее как-то решать — хорошо, с этим сложно спорить. В некотором смысле мероприятие прошло успешно: участники обсуждали возможные совместные действия, делились планами и договаривались о сотрудничестве в этой нелегкой борьбе.
Однако результаты широкого внедрения всевозможных фильтров, а также анализ их идей показывают, что действительно эффективного технического решения господа антиспамеры предложить пока не могут (кроме, пожалуй, challenge-response). Формальные признаки можно подделать, контентный и статистический анализ всегда будет на шаг позади передовой спамерской мысли, а попытка блокировки массовых рассылок наткнется на богатые возможности «рандомизации» сообщений, с которыми невозможно справиться при сохранении низкого уровня «ложных тревог».
Впрочем, так ли уж он низок сейчас? На конференции можно было услышать интересные истории о том, как после установки антиспам-системы в одной фирме ее собственная информационная рассылка стала попадать в каталог «спам». Или про то, как при попытке отправить жалобу на спам в службу abuse одного из провайдеров письмо не прошло, поскольку было отсеяно фильтром. А Сергей Курьянов («Поликом Про»), представивший на конференции систему «Барьер» как успешный опыт по интеграции Антиспама Касперского в корпоративную сеть, заметил, что его компания планирует договариваться со своими партнерами и клиентами о взаимном включении друг друга в «белые списки» — так, на всякий пожарный. За что тогда платить производителям антиспамерского софта, если приходится вручную защищать свою переписку от его посягательств?
Нельзя забывать и про такой фактор, как приватность. Оставив в стороне вопросы о том, «имеют ли роботы право читать чужую переписку» (вроде бы, никто не протестовал против «чтения» чужой почты smtp-серверами), замечу, что конкретные методы и параметры фильтрации (базы сигнатур и эвристик, статистические данные и т. д.) являются информацией по определению закрытой (если ее открыть, задача обхода фильтра сильно упростится) — и мы не знаем, что они там фильтруют! Вот здесь уже можно говорить о вторжении в частную жизнь — компании-производители антиспамерского ПО при этом приобретают никем не контролируемую власть над информационными потоками пользователей. Конечно, смахивает на паранойю — но, на мой взгляд, это здоровая правозащитная паранойя, без которой можно вдруг обнаружить, что киберпанковские антиутопические картины с тотальной властью корпораций являются реальностью.
Возможно, что введение строгих законов снизит уровень шума в Сети, однако вряд ли удастся «отловить и посадить» всех спамеров — особенно учитывая международный характер явления.
«Сделать спам экономически невыгодным» — такие призывы тоже звучали на конференции, однако в результате принимаемых сейчас мер цены на услуги спамеров если и возросли, то не очень сильно, и когда использовать их станет невыгодно — неизвестно.
Можно было услышать и другие предложения: например, сделать так, чтобы спамеры «задушили друг друга», а с оставшимися крупными конторами как-то договориться. Или подождать, когда на рынок придут мошенники и полностью его дискредитируют. Или создать глобальный список отписки, а за рассылку по адресам, в нем находящимся, сажать на много лет. Или просто потерпеть — быть может, когда количество спама превысит некий психологический барьер, пользователи перестанут обращать на него внимание — рекламный эффект исчезнет, а с ним канет в Лету и сама проблема.
Однако думается мне, что все будет проще: антиспамеры будут фильтровать почту и собирать за это денежку с пользователей. спамеры будут периодически прорывать фильтры, рассылать рекламу и собирать за это денежку с рекламодателей. Антиспамеры будут оправдываться тем, что «сейчас вводятся новые технологии», рисовать страшные картины многократного увеличения объема спама в случае снятия фильтрации и снова собирать за это денежку. Письма будут теряться, но провайдеры будут кивать на возросшую спамерскую активность и тоже требовать денежку на борьбу со спамом…
А вы что хотели? На войне жертвы среди мирного населения — дело обычное.