100 Мифы и заблуждения информационной безопасности Лукацкий
Вид материала | Документы |
СодержаниеМиф №39 "Спам легко обнаружить"13.05.2009 00:00 |
- Аннотация, 418.67kb.
- Е. А. Свирский Рассматриваются вопросы работы курсов повышения квалификации по информационной, 67.93kb.
- Система менеджмента информационной безопасности, 205.89kb.
- Теоретические основы информационной безопасности автоматизированных систем, 26.65kb.
- Содержание курса. Урок, 902.96kb.
- Обеспечение информационной безопасности организации как метод антикризисного управления, 54.18kb.
- Мифы Древней Греции Мифы Древней Индии Мифы древних славян Мифы североамериканских, 33.93kb.
- «Комплексные системы информационной безопасности», 260.23kb.
- Вопросы по информационной безопасности, 268.68kb.
- Рекомендации по обеспечению информационной безопасности Заключение, 358.69kb.
Миф №39 "Спам легко обнаружить"13.05.2009 00:00
Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems
Это очень распространенный миф, который почему-то опровергается реалиями сегодняшнего дня. Ни один из производителей не смог предложить рынку решений, решающих проблему спама раз и навсегда. Связано это с тем, что спамеры не останавливаются на достигнутом и всегда изобретают новые методы обхода систем защиты от спама - преднамеренное использование ошибок в словах («спицеальна для ваз»), пробелы в словах («с п е ц а к ц и я»), чередование строчных и заглавных букв, использование символов-разделителей ("с*п*е*ц*а*к*ц*и*я"), преобразование текста в графический файл и т.д.
Сталкиваясь с различными системами защиты от спама, могу сказать, что у них есть два недостатка (которые, кстати, есть и других средств контроля вредоносного контента - антивирусов, систем обнаружения атак и т.п.) - ложные срабатывания (false positive) и несрабатывания (false negative). В первом случае система блокирует сообщения, которые не являются спамом. Яркий пример - проект «ссылка скрыта», который был запущен компанией ссылка скрыта и российской компанией Positive Technologies. После регистрации на сайте пользователю, желающему протестировать защищенность своих ссылка скрыта, приходит уведомление по e-mail с целью активизации учетной записи. Но нередки были ситуации, когда такое уведомление воспринималось, как спам и не доходило до адресата. С другим примером часто сталкиваются организаторы различных мероприятий. Рассылка благодарственного письма об участии в конференции или семинаре часто блокируется антиспам-решениями. Во втором случае, системы пропускали спам, считая его безобидным электронным сообщением.
Рекламные рассылки на русском языке представляет собой еще большую проблему для антиспамовых систем, что связано с нашей морфологией. Даже разработанные в ссылка скрыта системы блокирования спама, использующие лингвистические, графические, сигнатурные и иные методы идентификации нежелательных массовых рассылок, к сожалению не справляются с этой проблемой. Согласно проведенному в 2005 году ссылка скрыта российских систем «ссылка скрыта» и «Спамооборона», они все-таки не полностью решают проблему спама. Чего уж говорить о западных решениях, не имеющих своих представительств на территории бывшего Советского Союза. По словам Евгения Альтовского, координатора проекта «Антиспам»: «фильтры могут использоваться как временная мера для снижения остроты проблемы спама, однако настоящий заслон на его пути может поставить только закон и негативное отношение к спаму со стороны общества».
Ситуация становится еще хуже, когда спамеры начинают применять знание работы человеческого мозга, который даже буквосочетание «зрплт» или «крзс» «переводит» в понятные всем слова «зарплата» и «кризис». А вот антиспам-решения таким мозгом не обладают и будут в массе своей пропускать письма, использующую данную технику.
Среди других методик, используемых спамерами, можно назвать:
· Внесение «шума», случайного текста или символов
· Использование невидимого текста (белые буквы на белом фоне)
· Перефразирование одного и того же сообщения
· Графический спам.
Вся это борьба «брони и снаряда» заставляет компании, специализирующиеся на борьбе со спамом, содержать целый штат аналитиков, которые день за днем анализируют сообщения электронной почты и выискивают новые признаки спама, которые добавляются в антиспам-базу. И качество антиспам-решения будет определяться не количеством используемых в нем механизмов анализа, и не числом поддерживаемых кодировок, и даже не возможностью централизованного управления, а именно эффективностью работы спам-аналитиков. Именно поэтому производители активно автоматизируют их деятельность. Одним из таких примеров можно назвать сеть ссылка скрыта компании IronPort, через которую проходит около 25% мирового почтового трафика и в которой анализ спама осуществляется как вручную, так и с помощью автоматического инструментария. Стоит аналитикам прекратить свою работу и эффективность антиспам-решений падает многократно.
Но так ли уж нерешаема данная проблема? Есть метод, который позволит существенно снизить объем спама. Речь идет о переносе оборонительных рубежей с линии отдельной компании на уровень оператора связи. Конечно, такой перенос должен сопровождаться и сменой методов обнаружение спама - ведь применение ключевых слов, белых и черных списков, а также интеллектуального анализа в данном случае будет еще менее эффективным, чем в случае с защитой отдельного предприятия. Вспомним, как рассылается спам. Это делается спамерами не со своих собственных компьютеров, а через заранее взломанные узлы. И число сообщений с таких узлов ежедневно измеряется сотнями или тысячами. Будет ли обычный пользователь отправлять каждый день столько писем? Вряд ли. Поэтому можно попробовать контролировать поток почтового трафика с каждого узла и в случае превышения некоторого порогового значения предпринимать определенные действия (автоматически блокировать трафик, уведомлять администратора, в чьем ведении находится зомбированный компьютер и т.п.). По такому принципу действует, например, система Cisco Service Control Engine. Разумеется, и в данном случае существует проблема ложных срабатываний, но она решается гораздо легче, чем в случае с традиционными методами защиты от спама. Но у данного подхода есть и ограничение - мы вынуждены полагаться на Интернет-провайдера, полностью сложив с себя полномочия по защите своей компании от банка.
Возможно со временем ситуация существенно улучшится, но пока приходится констатировать, что спамеры более изобретательны, чем их оппоненты, которые следуют за злоумышленниками, а не предвосхищают их действия. Спам исчез бы сам, если бы мы, рядовые пользователи, перестали бы покупать рекламируемые товары, а законодательная и судебная система поставила бы надежный заслон на пути спамеров. Но пока этого не происходит. А в условиях кризиса, интерес к спаму только усилился ;-(