Икономически университет – Варна

Център „Магистърско обучение”

Тема:

Spam – определение, класификация и защита от Spam

Изготвил:

Деян Стефанов Петров,

спец. „Информатика”, V курс,

ф. № 9470

Проверил:

Доц. д-р Стефан Дражев

За да се запознаем с проблема спам, преди това трябва да разберем

спецификата на мейл-услугата. Електронната поща се заражда чрез

взаимодействието между потребител и и-мейл клиент, наречен “Mail User

Agent”. Това всъщност е програмата, с която изпращаме пощата. Самата

поща може да има повече от един получател. Преди да стигне до

адресата, съобщението минава през Mail Transport Agent или наречено на

кратко мейл сървър. Той анализира първият ред на съобщението, където

са записани адресантите, и прави списък на получателите. Тези, които са

локални, се изпращат на Mail Delivery Agent, който доставя съобщението

до потребителите, които от своя страна го прочитат чрез POP3 или IMAP

протокол. Останалите, които не са локални, се изпращат до съответния им

сървър и той решава какво да прави с тях.

Още от самото начало на въвеждането на и-мейл услугата, се

появява един добре известен списък с оплаквания от него. Спамът е едно

от тях. Една от основните дефиниции за спам е: да изпращаш много

еднакви имейли на различни хора, по такъв начин, че те да нямат друг

избор, освен да го получат. Това може да са реклами, търговски оферти,

съобщения с неприлично или агресивно съдържание, или каквото и да е

друго, което е непредназначено за получателя и нежелано от него. В

съединените Щати има точен юридически термин – нарича се UCE

(unsolicited commercial email) или в превод – непоискани търговски

съобщения по електронната поща, и се преследва от Закона.

Спам всъщност е запазена марка на американската компания за

консервирани храни "Хормел Фуудз Корпорейшън". Спам е просто марка

консервиран месен продукт, нещо като нашенското Русенско варено.

Консерви със "Спам" и до ден днешен се продават в Щатите и дори са част

от бойната готовност на Американската армия. Понятието Спам обаче

придобива смисъла, за който говорим, след един скеч на Монти Пайтън, в

който се осмива досадният начин, по който тази храна се рекламира. От

този момент, и особено в епохата на Интернет, понятието Спам вече има

един единствен смисъл - досадна реклама, изпращана чрез електронна

поща до хора, които не я желаят.

Задаваме си въпроса – защо възниква нежеланата поща в Интернет?

Най-честата причина е чисто и просто търговска. Много писма съдържат

реклами на най-различни продукти. Други имат за цел да заразят

компютъра ни с вируси и да се опитат да съберат информация за банкови

карти, пароли, лични данни и прочие. Има и такива, които го правят без

определена причина, просто за удоволствие, като по този начин ни губят

времето, а то струва пари в Интернет.

Защо спамът е толкова опасен? Изпращането на реклами по пощата

винаги е било характерно за пазарната икономика и развитата търговия.

Преди епохата на Интернет обаче, това явление не е застрашавало никого,

просто защото за изпращането на едно рекламно писмо по обикновената

поща са се изисквали средства. Най-малкото - за хартия, плик и пощенска

марка. От друга страна, човекът, който го е получавал, е можел просто да

го хвърли в коша за боклук. Това не е изисквало средства от негова страна.

В епохата на Интернет нещата вече са коренно различни. Хората,

изпращащи такива нежелани реклами, могат само с едно натискане на

клавиша да изпратят досадното си съобщение до стотици хиляди, дори

милиони нищо не подозиращи интернет потребители. От своя страна,

нещастните потребители са принудени да изтеглят тези съобщения от

Мрежата (което им струва пари за достъп) или трябва непрекъснато да

"почистват" своите онлайн пощенски кутии, за да не се задръстят, което

също им струва пари и нерви.

С други думи, спамът е зараза, която придобива все повече и повече

публичност. Независимо от изключително вредните последици, до които

води, все още се практикува от много рекламодатели и рекламни агенции.

Това, което трябва да се разбере съвсем ясно е, че спамът вреди и внушава

отрицателни нагласи на публичността.

Кога едно съобщение е и съдържа СПАМ? Според Елена Фокнър,

юрист и интернет експерт, спамът се дели на четири основни категории:

1. Изпращане на рекламно съобщение до дори и един интернет

потребител, който не е изрично пожелал това. Всъщност, ако една глупост

задръства пощата ви, надали за вас ще има значение дали сте сам, или

има още сто хиляди като вас.

2. Изпращане до потребители на рекламни съобщения и поща със

съдържание, различно от това, за което те са заявили че искат да

получават. Ако например дадете и-мейл адреса си за да получавате

новини за нови книги, а вместо това получавате и реклами за нови порно

сайтове, това отново е спам.

3. Изпращане до потребители на рекламни съобщения и поща с честота,

различна от обявената. Ако например се абонирате за месечна

информация, а получавате рекламни съобщения ежедневно, спамът

отново е налице.

4. Включване на случайни хора в мейлинг листове, като им се предоставя

"възможността" да се отпишат. Това е най-досадния и нагъл тип спам. Тъй

като в Щатите, при условие че на жертвата е предоставена възможност да

се отпише от списъка, спамът не се преследва, някои хора използват това

за да ви тормозят "законно". Те не само че най-нахално ви включват в

списъците на жертвите си, но и "законно" изискват от вас да предприемате

стъпки (т.е. да губите време и нерви) за да се отписвате.

Борбата срещу „спам епидемията” изглежда като безкрайна битка.

Изпращането на спам се превърна в печеливш бизнес и работа на пълен

работен ден за много хора. Спамът процъфтява, защото спамърите

разработват и усъвършенстват много нови технологии, които побеждават

или заобикалят съществуващите анти-спам приложения. Тук ще

разгледаме някои от най-новите спам технологии и ще поясним начините,

които Secure Computing използва в борбата с тази постоянно растяща

заплаха. Също ще обсъдим и TrustedSource, първата и единствена

глобална репутационна база данни, достатъчно мощна да предпазва

организации не само срещу сегашните, но и срещу бъдещите спам атаки.

Спамът коства на бизнеса милиарди долари от гледна точка на

изгубената производителност, дължаща се на – неволно изтриване на

легитимни електронни писма заедно със спама, кражба на лични данни,

кражба на финансови средства, загуби от интелектуална собственост,

ненужно изразходвани ресурси, претоварване на интернет канала, вируси

и други malware, измами, лъжливи и подвеждащи реклами.

Историята на спама започва през 70-те години на миналия век. От

тогава той се е променил от елементарен начин за изместване на текста на

останалите потребители извън екрана, до най-модерни технологии като

картинния спам.

За да има спам, спамърите имат нужда от и-мейл адреси, на които

да го изпращат. Те могат да се сдобият с тях по следните начини:

- Жътва или събиране в мрежата – това е техника на събиране на

всичко, което изглежда като и-мейл адреси.

- Събиране от директории, справочници, указатели – това е техника на

пробите и грешките. Спамърите изпращат спам на всички възможни

комбинации инициали, имена и фамилии, които са по-широко

разпространени. За несъществуващите адреси те получават

съобщение за грешка, за останалите се смята, че са реални, валидни

адреси и спам съобщението е доставено.

- Купуване на и-мейл адреси – най-лесният начин за сдобиване с и-

мейл адреси е купуването от компании или частни лица, които

продават своите и-мейл адреси на спамъри.

Нововъведенията са ключът към продължаващия успех на спам

индустрията. Спамърите имат допълнително предимство срещу анти-

спам технологиите, които по принцип имат доста подробна

документация. Те лесно могат да променят определен параметър и да

надхитрят защитното решение. Ранните анти-спам решения са

съставени основно от текст базирани филтри. Те търсят „подозрителни”

речникови думи и блокират съобщението, което ги съдържа. За да ги

избегнат, спамърите трябва да заместят тези думи с нещо, което е

видимо за човешкото око, но е невидимо за компютър. Тази цел била

постигната като се пропускали букви в думата или се замествали букви

с цифри или символи.

Съществуват няколко вида спам:

Спам с картинки – появява се през 2006 година и довежда до

огромно увеличение на спам и-мейлите. Той разчита на това, че

колкото и интелигентен да е компютърът, той все още не вижда.

Компютърът проглежда благодарение на Оптичното Разпознаване

на Символи (Optical Character Recognition – OCR). Това разпознаване

може много лесно да бъде победено с помощта на най-различни

объркващи техники като: неясен или размазан текст, изграждане на

изображението чрез наслагване на няколко слоя, използване на

случайно количество „цветен шум” в изображението, използване на

файлови разширения за анимирани картинки или създаване на

вълнообразни шрифтове. Най-новата тенденция в спама с

изображения е използване на сайт за хостване на изображения.

Всичко, което трябва да се направи е спам съобщението да съдържа

линк към определено изображение, което се зарежда автоматично

при отваряне на и-мейла.

Спам-реклами – това са друга често срещана спам технология. Те

представляват комбинирана заплаха, съставена от няколко фази.

Първата фаза е създаването на лъжлив сайт, в който има реклами на

различни комерсиални продукти. Втората фаза е да се вдигне

рейтинга на тази страница в търсачките. Това става по няколко

начина, най-лесният е на страницата да има често търсени в

търсачките думи. Друг начин е посредством специален софтуер,

който търси в Интернет страници, които подлежат на редактиране.

Когато намери такава, софтуерът вмъква линк към спамърски сайт.

През 2006 година бе наблюдавано огромно увеличение на зомби

машините, които в повечето случаи са домашни компютри.

Заразеният със специални вируси и троянски коне компютър,

започва да изпраща милиони спам съобщения често дори без

знанието на собственика. От 50% до 80% от общия спам се генерира

от такива „бот-нет” мрежи от зомби машини.

Спам чрез чат клиенти – те са най-бързо развиващата се медия. Това

е известно на спамърите, които измислиха спам, чрез чат клиенти.

Повечето от чат клиентите предоставят някакво количество

информация за потребителите, което обикновено е достъпно за

всички. Спамърите се възползват от тази информация, за да

изпращат спам съобщения, насочени към определени групи,

организирани по различни критерии. Чат спамът все още не е

толкова широко разпространен като и-мейл спама например, затова

и ранното адаптиране на анти-спам решенията може да предотврати

превръщането му в поредната спам епидемия.

„Изпомпване и Изхвърляне” – друг много разпространен тип на

спам-рекламата обхваща промотирането на евтини акции.

Спамърите купуват евтини акции на произволна компания и

започват да изпращат огромни количества спам преиначавайки

информацията за тях. Най-често лъжливата информация е свързана с

рязко увеличаване на цената на тези акции. Според анализаторите

има хора, които попадат в клопката. Спамърите им продават своите

акции и цената спира да се увеличава. Печалбата им възлиза на 5-6%

от инвестираните пари в рамките на два дни.

Измамни бюлетини – в днешно време информационните бюлетини

са спам за едни и важна информация за други. Спамърите откриват

нови начини да превърнат тези бюлетини в спам. Един от начините е

да се открадне легитимен бюлетин и дадено изображение да се

замести със спам такова. Спам бюлетинът изглежда напълно

нормално, той е на организация, която познавате или сте абониран

за нея, но когато се отвори се вижда спамът. Не всички спам

бюлетини съдържат спам изображения, в някои например е

подменен линкът най-отдолу на бюлетина или статията, който

изглежда като линк към страницата на издателя или продължение

на статията, а всъщност ви отвежда към сайт със спам реклами.

PDF спам – след появата на спама с изображения, Secure Computing

предсказа, че спамърите скоро ще пробват и други формати.

Предположението се потвърди с появата на PDF спама.

Предимствата му са: по-големите възможности при форматирането;

PDF компресиращият алгоритъм прави невъзможното за анти-спам

филтъра да прочете съдържанието, ако не засича PDF формат.

Сплог – Спам Блог Спам блоговете са легитимни блогове, създадени

с цел да рекламират спам сайтовете. Целта обикновено е да

увеличат ранга на спам сайта в търсачките, да генерират приходи

чрез постване на рекламни банери, за които се плаща на кликване,

да предоставят евтино рекламно място за различни продукти, да

генерират приходи посредством предлагане на членство. Спам

блоговете не само хабят напразно ценни ресурси, като дисково

пространство и Интернет достъп, но освен това променят

резултатите на търсачките.

Цената, която плащат потребителите – при нормални

обстоятелства, компютрите не могат да направят разликата между

спам съобщенията и обикновените, важните съобщения, този вид,

който ние искаме. Всяко съобщение, без значение дали е спам или

обикновено, се обработва внимателно и бързо се отнася към

съответната му дестинация. На един спамър може да му отнеме от 5

до 10 минути да програмира компютъра си да изпрати милион

съобщения за един уикенд. Вярно е, че всяко от тези съобщения

може да бъде изтрито само с един клик на мишката, което отнема не

повече от 3-4 секунди – няколко секунди да определим, че

съобщението е наистина спам и секунда за да натиснем „Изтрий”. Но

тези секунди се калкулират бързо и може да определим, че когата

един милион хора извършат тази процедура, това е приблизително

равно на едномесечна загуба на човешка активност. Или погледнато

по друг начин, ако получаваме по 6 спам съобщения всеки ден,

губим по около 2 часа годишно за да ги изтриваме. Цената, която

потребителят плаща за спам се увеличава, ако включим и цената на

организациите, които управляват компютъра, който държи вашата

електронна поща. Тези компютри, наречени мейл сървъри, изискват

постоянна връзка с Интернет. Цената на връзката се определя от

части от размера на данните, които могат да се пренасят. Ако такава

фирмена Интернет връзка бъде залята от спам, тази компания ще

бъде принудена да изхарчи повече пари за по-бърза връзка за да се

справи с останалата част от и-мейл трафика си. Също така, от

компанията ще бъдат принудени да купят по-бързи компютри и

повече твърди дискове. Тези разходи в крайна сметка ще бъдат

прехвърлени върху крайните потребители.

Цената, която администраторите плащат – това обикновено е

загубата на времето им. Системата за електронна поща на Интернет за да

направи по-трудно губенето на и-мейл съобщения: когато компютърът не

може да достави съобщение до дадения получател, той прави най-

доброто от себе си за да го върне обратно на подателя. Ако не успее да

върне съобщението на подателя, той го връща на главната поща на

компютъра, защото нещо трябва да е било сгрешено сериозно, ако и-мейл

адресите и на изпращача и на получателя са неправилни. В добронамерен

характер Интернет мейл софтуерът става позитивна отговорност, когато се

появят спамърите. При типичен обемен мейлинг, от няколко стотин до

десетки хиляди и-мейл адреси може да бъдат невалидни. При нормални

условия тези и-мейл съобщения ще бъдат върнати обратно на изпращача.

Но спамърът не иска да му бъдат връщани. За да се избегне огромния

наплив на съобщенията, много често спамърите изпращат съобщения с

невалидни обратни адреси. Резултатът е следният: и-мейл съобщенията

попадат в пощенските кутии на Интернет системните администратори.

Тези от тях, които администрират големи сайтове получават от стотици до

хиляди върнати спам съобщения всеки ден. За жалост, всяко от тези

съобщения трябва да бъде внимателно проверено, защото смесено с

другите може да се окаже случайно върнато от неправилно конфигуриран

компютър, който трябва да се оправи. Като резултат, спамът създава

огромен административен товар.

Цената, която наблюдателите плащат – в опитите си да

разпространяват рекламите си и да избягват оплаквания, спамърите често

извършват измами или системни злоупотреби. Друга техника, която

спамърите използват за да изпращат и-мейли е да предават своите

послания чрез други компютри в Интернет, често без знанието или

съгласието на собствениците на тези компютри. Тази практика

представлява кражба на услуга. Това също може да доведе до проблеми

за нищо неподозиращия потребител, тъй като хората погрешно смятат, че

именно той е спамър.

След като се запознаем със спам проблемите, естествено се появява

и въпросът за начини за борба срещу вредното явление. Хубаво е да

имаме реален поглед върху нещата и да разберем, че универсално спам

лекарство все още не съществува. Има по-добри, по-лоши, по-приемливи,

по-предпочитани, но идеални няма.

Не е трудно да се предскаже, че за в бъдеще спам индустрията ще

продължи да съществува и да расте. Затова IT-отделите трябва да

разгръщат все по-добра анти-спам защита, която да бъде способна да

предпазва от минали, настоящи и бъдещи спам заплахи. Secure Computing

описва как се справя с тази задача: предлагат се цялостни анти-спам

решения, които предоставят ефективна защита срещу всички видове спам

чрез:

- IronIM – продукт за чат (IM) сигурност;

- IronMail – продукт за и-мейл сигурност;

- Webwasher – продукт за Интернет сигурност;

- Edge – сигурност в периметъра на мрежата.

Всички тези продукти, заедно с глобалната репутационна система

TrustedSource, предпазват организации от чат спам, блог спам, и-мейл

спам, уеб спам и чат сайтове.

Много организации използват и разчитат единствено на анти-спам

решения, сканиращи само текстово съдържание, но бумът в количеството

на спам съобщенията означава, че за анализиране на всяко такова са

нужни все повече време и хардуерни ресурси. Корпоративните мрежи са

атакувани всекидневно от огромно количество нежелани съобщения,

които трябва да се обработят преди да са успели да напълнят пощенския

сървър. Голямото количество на нови видове спам доказват, че

сканирането на текст и съдържание далеч не е достатъчно. По всестранен

подход към спам съобщенията е анализирането, както на съобщенията,

така и на историята за досегашното държание на изпращача. Така може да

се даде по детайлна картина за намеренията на изпращача и да се

определи неговата легитимност.

Борбата за надмощие между спамърите и анти-спам приложенията

ще продължи до тогава, докато не се открие ефикасен начин да се

филтрира спама. Добре ще е за спамърите да знаят, че съществува

TrustedSource, решение което може да ги блокира независимо от

техниката на спам, която използват.

TrustedSource като виртуална кредитна агенция определя

репутацията на изпращача и след това го класифицира като добър, лош

или подозрителен. Класифицирането се базира на задълбочен анализ на

стотици характерни свойства за всеки изпращач. TrustedSource е първата, и

за сега единствена репутационна система, която комбинира анализ на

трафична информация, бели листи (добре изпращачи), черни списъци и

мрежови характеристики.

Комбинирайки години проучвания с ненадминати способи в

изследване на спам съобщенията, Secure Computing направи ключови

открития. Всеки месец TrustedSource анализира стотици милиарди

съобщения, събрани от глобалната мрежа от сензори на Secure Computing,

разположени в много организации и правителствени институции.

Репутационните точки на изпращача в TrustedSource се базират на

поведението на изпращача и на характеристиките на съобщението.

Репутация се задава на следните обекти – IP, URL, съобщение,

изображение и домейн.

Устройствата на Secure Computing по целия свят изпращат сведения

до TrustedSource, давайки реална представа за фактически целия трафик в

Интернет. Всяко отклонение от нормалния модел на изпращане се

анализира от TrustedSource и репутационните точки се осъвременяват.

Тези резултати стават незабавно известни и достъпни за всички останали

устройства на Secure Computing. Това води до:

- увеличена ефективност – ако известен на системата спамър се

опитва да изпраща спам посредством нова техника, устройствата на

Secure Computing го разпознават и блокират спама, независимо от

съдържанието на съобщението. Анти-спам решенията, които нямат

репутационна система за изпращача често са неспособни да спрат

новите видове спам.

- управление на количеството спам – чрез идентифицирането и

блокирането на известните на системата „лоши” IP адреси,

TrustedSource може да намали количеството на спама с до 80%. Това

е особено важно на фона на постоянно увеличаващото се количество

спам.

Комбинацията от най-напредналата репутационна система

използвана от TrustedSource заедно с останалите спам профилиращи

техники, които работят в локалните устройства (IronMail, IronIM, Edge и

Webwasher) осигуряват на клиентите на Secure Computing значителни

предимства. И по-важното, те имат предимства при появата на каквито и

да е нови начини за изпращане на спам. Интеграцията на TrustedSource

във всички хардуерни защитни стени на Secure Computing осигурява най-

високо ниво на защита за организациите и превръща тези продукти в

истинското анти-спам оръжие днес и за в бъдеще.

Използвани източници:

1. http://oreilly.com/catalog/spam/chapter/ch01.html

2. http://www.isoc.org/oti/articles/0599/everett.html

3. http://www.bgpro.com/articles/spam.php

4. http://www.mediatimesreview.com/november/Milennovember.php