Спам и кролики.

Кролики — это не только ценный мех, но и три, четыре килограмма легкоусвояевомого мяса!

(c) Моисеенко & Данилец

Да, предыдущий опрос был риторическим. Действительно 250 млрд. – это именно столько каждый день рассылается спам-писем.

А теперь спросите себя и соседа в чём опасность спама? Ну? Ага, скорее всего – виагра и прочая назойливая хрень, которая забивает почтовые ящики и не даёт нормально работать. Так вот: спам – он как кролики. Это не только ценный мех… тьфу, — это ни разу не только всякая реклама. Реклама – это только вершина айсберга. Спам — часть огромной киберпреступной экосистемы. И его видимая невинность – типичная иллюзия, которую я сейчас буду развенчивать :)

Техническая основа этой экосистемы – т.н. ботнеты или зомби-сети. Это сети компьютеров, зараженных зловредами (ботами), с помощью которых кибернегодяи удалённо управляют этими компьютерами без ведома их владельцев.

Экономика тут довольно проста. В ботнет «вербуются» компьютеры и потом их мощности монетизируются разными способами: ддос-атаки, рассылка рекламы, фишинг, кража данных и пр. Примерно как показано ниже:

И в чём же тут душераздирающая роль спама? А вот в чём: на самом деле тут происходит мощнейшее перекрёстное опыление – спам является главным источником «вербовки» компьютеров в ботнеты! Он же ведёт юзеров на фишинг-сайты и зараженные сайты для незаметной «инъекции» вредоносов при помощи техники drive-by-download.  Копнём глубже. Какой самый распространённый способ целевых (targeted) атак на бизнес и правительства? Спам. Как происходят атаки при помощи эксплойт китов типа BlackHole? Спам. Продолжать?

Так что снова вернёмся к кроликам. Спам – это не только реклама, но и а) один из главных каналов распространения вредоносов, б) инструмент промышленных/государственных кибератак, в) средство реализации других типов угроз, г) самый распространённый инструмент сетевого мошенничества. Можно сказать, что это такой киберкриминальный Доктор Зло, ловко скрывающийся за антуражем назойливой, но в целом безобидной рекламы. Сравнивая с реальной жизнью, это если бы директ мейл, который доставляет нам в обычные почтовые ящики рекламные листочки и газетки бонусом добавлял в них сибирскую язву.

С другой стороны, винить спам во всех тяжких и называть его основой и первопричиной всех траблов в Интернете тоже неправильно. Нет, они тут все хороши. Все повязаны и одного без другого не было бы. Разослать спам «ручками» без ботнета – долго, дорого, неэффективно. Создать ботнет без спама – то же самое. Провести ддос без ботнета – можно, но это уже уровень государственных военных программ с соответствующим финансированием. Киберкриминал – это единая экосистема, где спам играет ключевую роль.

К чему я это веду? Ну да – к методам борьбы со спамом. Так вот – само определение «метод борьбы со спамом» не совсем правильное. Это всё равно, что лечить один из симптомов сложной болезни. Да, технически борьба со спамом подразумевает специальные технологии выявления и предотвращения (об этом поговорим в следующих постах), но как угроза – это часть большой, объёмной проблемы, которая требует комплексных, всеобщих усилий. Тут играют роль и понимание ситуации самими юзерами, и действия на стороне провайдеров (а для некоторых из них спам – это бизнес), и архитектурные новации в сети, и, конечно, защитные технологии. Вот о них подробнее.

Бывает меня спрашивают – нафига мы вообще развиваем доморощенную антиспам технологию, держим кучу разработчиков, аналитиков, отдельную лабораторию? Кругом полным-полно бесплатных и приличных решений! В конце-концов, лицензировали бы у кого-нибудь, сократили издержки и повысили прибыльность. Ну, так-то оно так, но только с точки зрения «продвинутого МБАшника», рассуждающего терминами купи-продай, причём без понимания, что будет завтра.

Если посмотреть «глубже и немного правее», то всплывает вот какая интересная технологическая штука. Без собственной антиспамовой экспертизы трудно бороться с малварой и, как следствие с киберугрозами в целом. Пример: супер-пупер новая малвара использует никому не известный и никем не детектируемый зиродей. Даже в таком, казалось бы, фатальном случае угроза может быть проактивно блокирована благодаря антиспам фильтру, который отловит письмо с малварой, но совсем по другим признакам. В этом как раз и есть основной (и для кое-кого потаённый) смысл комплексных решений класса internet security. Когда в одном продукте живёт сразу много защитных технологий (в том числе антиспам!) от всяких разных напастей, но вместе они намного эффективнее защищают как от каждой из них в отдельности, так и от кибернегодяев в целом.

Кроме того, антиспам технологии дают нам очень много интересной статистики и поводов для развития других, смежных технологий.

Вот, вкратце о спаме и его скрытой роли в киберпреступности. Для дальнейшего развития в плане этой проблематики рекомендую читать:

Ну и немного продакт плейсмента :)

А в следующих постах более конкретно поговорим о наших антиспам технологиях.