;

Těžký život spamových filtrů

16. 4. 2008
Doba čtení: 8 minut

Sdílet

Asi nejlepší způsob, jak otevřít téma spamu, je statistika. Ta říká (v závislosti na zdroji a způsobu měření), že zhruba 75 až 90 procent veškeré e-mailové komunikace na internetu tvoří nevyžádané zprávy - spam.

Asi nejlepší způsob, jak otevřít téma spamu, je statistika. Ta říká (v závislosti na zdroji a způsobu měření), že zhruba 75 až 90 procent veškeré e-mailové komunikace na internetu tvoří nevyžádané zprávy - spam.

Na každý legitimní e-mail tedy připadají přinejmenším tři nevyžádané zprávy. Objemy spamu jsou ohromující a navíc i nadále rostou, byť některé specifické formy či typy mohou být více či méně populární.

Druhý zajímavý statistický údaj, který před časem zveřejnila společnost Message Labs, říká, že zaměstnanci firem s méně než čtyřiadvaceti uživateli obdrží měsíčně v průměru přibližně 600 spamových zpráv. To je přibližně pětinásobné množství spamu ve srovnání se zaměstnanci firem s deseti tisíci a více uživateli. Jak Message Labs uvádí, není to pochopitelně tím, že by spammeři primárně útočili na poštovní servery menších firem, ale prostě proto, že velké korporace mívají mnohem efektivnější spamové filtry. To jistě není světoborný objev, pouze to potvrzuje mou osobní zkušenost. Filtrování nevyžádané pošty není něco, co by stačilo jednou nastavit a na vše zapomenout. Antispamový systém, který dnes efektivně funguje, začne postupně ztrácet na účinnosti, neboť spammeři se neustále učí, jak obcházet existující filtrovací techniky - výtečným příkladem může být vlna spamu s PDF přílohami, která nedávno kulminovala.
Nedávno jsem měl možnost pohovořit se specialisty na spam ve společnostech MessageLabs a Postini. Zajímalo mne, co bude v nadcházejícím roce podle jejich názoru pro spamové filtry nejtěžším úkolem - zejména s ohledem na to, že spam má do značné míry cyklickou povahu a tento životní cyklus do značné míry odráží mnohé z přetrvávajících bezpečnostních problémů.

EKONOMIKA BOTŮ

Většina spamu doručeného do vaší poštovní schránky je odesílána boty - běžnými domácími či kancelářskými PC, která nejsou zvláštní ničím, vyjma rychlého internetového připojení, a která byla ovládnuta třetí stranou za účelem rozesílání nevyžádáné pošty (k němuž jsou navíc často zneužity kontakty uložené v těchto počítačích). Podle různých odhadů je ve světě jeden až sto milionů takto nakažených počítačů. Není mi sice jasné, jak jsou tyto odhady vytvářeny, zda jsou spolehlivé a co vlastně znamenají - je ale jisté, že na síti je mnoho počítačů infikovaných boty a jejich existence je důkazem selhání současných přístupů k nasazování antivirů a antispywarových programů. Dalším prvkem životního cyklu spamu jsou pochopitelně e-mailové servery adresátů. Ty dnes již standardně filtrují prakticky veškerý e-mailový provoz ještě před tím, než zprávy dorazí do vaší schránky. Při filtrování jsou prováděny nejrůznější testy, zahrnující analýzu obsahu a přiřazování - snahou je zjistit, kdo je skutečný odesílatel, co je jejím skutečným obsahem, následně se pak zjišťuje, zda se odesílatel nenachází na černé listině známých spammerů.

Kruh spamu pak uzavírá jeho vlastní nelegální ekonomika. Ta se stará o rekrutování nových sítí botů - pro některé rozesílatele spamu tuto činnost zajišťují specialisté, tzv. pasáci botů. Toto "pastevectví" zahrnuje rozesílání speciálních infekčních programů pomocí e-mailu či zasílání adres webových stránek, které jsou navrženy tak, aby zneužívaly bezpečnostní díry v prohlížečích. Tyto techniky i nadále fungují, neboť uživatelé jsou prostě hloupí či neinformovaní a otevírají neznámé programy v poště či brouzdají internetem s nezáplatovanými verzemi Internet Exploreru a Firefoxu.
Spammeři mají bohužel v tomto životním cyklu navrch. Díky velké úspěšnosti pasáků při získávání nových botů mají spammeři k dispozici větší výpočetní výkon i přenosovou kapacitu než i ti největší poskytovatelé antispamových řešení. Spam navíc vytváří okamžitou zpětnou vazbu ve chvíli, kdy uživatel na odkaz klikne, což usnadňuje jeho "optimalizaci". Rozesílatelé spamu nemusejí ze svých nezákonných zisků platit daně, mohou si dovolit experimentovat, neboť jediným rizikem je, že jejich zprávy nebudou rozeslány či doručeny. Vývoj účinnějších forem spamu je pochopitelně motivován snahou o zisk - jedná se o jednoduchý a bohužel dobře fungující tržní ekonomický model. Podle různých odhadů pochází největší část nevyžádané pošty ze zemí bývalého Sovětského svazu. Jak říká Matt Sergeant, Senior Antispam Technologist v MessageLabs: "Je velmi pravděpodobné, že existují specializované týmy programátorů, testerů a dalších zaměstnanců, které se specializují na vytváření a zdokonalování spamu - intenzivně pracují na tom, jak se dostat přes poštovní filtry a jak se vyhnout zařazení na blacklisty." Jedním z nejobtížněji filtrovatelných spamů jsou "tipy" na nákup bezcenných akcií, neboť neobsahují žádnou konzistentní značku, telefonní číslo či webovou adresu. Opakované studie přitom prokázaly, že takto propagované akciové tituly skutečně na několik dní zvýší svou hodnotu, a spammeři tak mohou během krátké doby vydělat tisíce až desetitisíce dolarů na každém "mailingu".

OBCHÁZENÍ BLACKLISTŮ

Jedním ze způsobů, jak se lze vyhnout černým listinám, je mnohem selektivnější způsob rozesílání spamu. Například namísto rozesílání milionu zpráv z jediného PC mohou spammeři využít tisíc počítačů, z nichž každý rozešle tisíc zpráv. Problém je o to složitější, že stejná PC často rozesílají i legitimní poštu a není neobvyklé, že rozesílání spamu probíhá přes poštovní servery jejich poskytovatelů připojení. Podle Sergeanta je jedním z největších problémů velké množství malých a nekvalitně spravovaných ISP v rozvojových zemích. Dalším problémem je, že zprávy nevyžádané pošty jsou dnes často individuálně pozměňovány, a vzájemně se tak mohou značně lišit. "To, jak se snažíme držet krok s postupy pozměňování těchto zpráv, jsou doslova závody ve zbrojení," říká Scott Petry, zakladatel a CTO společnosti Postini. Boj se navíc přesouvá na nová území, a dodavatelé antispamu tak již dnes nabízejí řešení pro instant messaging. Nedávno se objevily první případy spamu ve veřejně přístupných webových kalendářích - někdo prostě přidal opakující se akci inzerující hypotéky.

Message Labs a Postini nabízejí ochranou formou služby. Jejich zákazníci - předplatitelé - nastaví své name servery tak, aby byla příchozí pošta směřována na jejich datová centra, kde je filtrována, případně archivována a následně přeposlána původnímu příjemci. Výhodou takového modelu je, že spam k zákazníkům nikdy nedorazí, není tedy třeba mít výkonné servery, pevné disky a přenosovou kapacitu schopnou pojmout nejen regulérní poštu, ale i spam. Obrovskou nevýhodou takového řešení ale je, že spam uložený do karantény včetně zpráv, které byly nesprávně označeny jako nevyžádané, je obvykle po třiceti dnech smazán.

FALEŠNÉ POPLACHY

Vůbec největším nedostatkem současných protispamových filtrů je množství falešných poplachů, které generují - tedy zpráv, jež nejsou spam, ale přesto jsou systémem označeny jako nevyžádané. Při nedávném prohlížení své složky s nevyžádanou poštou jsem nalezl prosbu o recenzi textu na jistou konferenci (následovanou několika jízlivými e-maily s dotazy, proč neodpovídám), tucet zpráv z webové stránky, k níž jsem ztratil heslo (marně jsem opakovaně klikal na tlačítko pro zaslání nového) či e-mail od mého mobilního operátora.

Pokouším se minimalizovat dopad špatně vyhodnocených zpráv tím, že archivuji i složku se spamem. Ačkoliv budu asi muset tento přístup přehodnotit, pokud by podíl spamu v mé poště dosáhl devadesáti procent, prozatím mohu s klidem říci, že velikosti pevných disků rostou rychleji než množství spamu, který dostávám. Mnoho důležitých e-mailů bylo v mém případě nesprávně označeno jako spam a já je posléze musel po týdnech či měsících dohledávat.

Autor článku