Все новости от 3 февраля 2005 г. Новый трюк с зомбированными ПК ведет к взрывному росту спама
Эксперты предупреждают, что спамеры придумали новый маневр, значительно затрудняющий борьбу с ними.
Британская компания SpamHaus Project, которая специализируется на составлении черных списков спамеров и блокирует по 8 млрд писем в день, предупреждает о появлении нового вида злокачественного ПО. Оно зомбирует персональные компьютеры, которые затем используются для рассылки спама через почтовый сервер интернет-сервис-провайдера, обслуживающего этот ПК. В результате письма приходят якобы от ISP, что значительно затрудняет их блокировку.
До сих пор зомбированные ПК сами применялись в качестве почтовых серверов, рассылая спам непосредственно получателям.
«Троянец может заставить прокси-серверы направлять спам своему ISP», — говорит директор SpamHaus Стив Линфорд.
Он уверен, что этот троянский конь создан теми же людьми, которые пишут спамерское ПО.
Возможно, что американские ISP уже задействованы по этой схеме. «Мы наблюдали резкий всплеск спама, исходящего от крупных ISP. Теперь от почтовых серверов всех ISP поступает очень большое количество спама», — говорит Линфорд.
Это создаст серьезные проблемы для инфраструктуры e-mail, так как блокировать почту по именам доменов крупных ISP не имеет смысла. Линфорд прогнозирует, что в ближайшую пару месяцев ISP зафиксируют рост объема получаемой и рассылаемой ими почты, а уровень спама в течение года увеличится с 75% всех электронных сообщений до примерно 95%.
«Инфраструктуру e-mail начинает заклинивать, — предупреждает Линфорд. — Готовьтесь к гигантским задержкам при доставке e-mail и отказам серверов. Это начало краха системы электронной почты».
Чтобы взять проблему под свой контроль, ISP должны действовать быстро. «Им нужно ограничить число электронных писем, поступающих от пользователей ADSL. Им нужно срочно начать отфильтровывать входящие вирусы. У ISP слишком много спама и слишком мало людей, чтобы обзванивать пользователей и сообщать им, что их машины зомбированы. Тем более, что никто не понимает, о чем вы толкуете».
Антиспамерская компания MessageLabs подтвердила слова Линфорда.
«Таким способом спамеры затрудняют ведение черных списков, — говорит главный технолог MessageLabs Марк Саннер. — Это делает ISP в большей степени заинтересованными в фильтрации своего трафика».
Американские ISP, опрошенные News.com, говорят, что до краха электронной почты еще далеко. Но инженеры некоторых крупнейших компаний признали, что такая проблема существует и что аналогичные эксплойты появлялись и раньше. Многие, но не все ISP в США заблокировали порты open relay, такие как порт 25, чтобы пресечь распространение спамерами сообщений с домашних серверов. Такая блокировка помогла некоторым широкополосным ISP ограничить распространение зомби-спама, но они заметили, что злокачественное ПО принимает новые формы.
Time Warner Cable, вторая по величине компания кабельного телевидения в стране, обеспокоена этим «векторным» спамом, как она его называет, и разработала механизмы для борьбы с ним. Ее ISP-подразделение Road Runner установило определенные ограничения на исходящую почту, но представитель компании отказался объяснить, как именно она решает эту проблему.
Компания Earthlink, которая предоставляет услуги dial-up и широкополосного доступа, фиксирует постепенный рост объема спама, исходящего от ее почтовых серверов, с начала 2004 года. Earthlink приняла защитные меры, такие как проверка подлинности пользователей SMTP-серверов и изменение маршрута легитимной e-mail.
«В целом путем маршрутизации потоков и установки ограничителей нам удалось постепенно уменьшить количество спама, исходящего из нашей сети», — сказал главный технолог Earthlink Трип Кокс. По его словам, благодаря этим мерам уровень спама снизился с 30% от общего объема электронной почты, проходящей через ISP, до 2%.
Предыдущие публикации:
В продолжение темы:
|
|
| Коляныч - kolanychmail.ru 3 Feb 2005 11:00 AM |
будете париться и дальше, пока радикальных мер не предпримете, хотя бы типа тех, которые мс предлагает |
|
| * 3 Feb 2005 3:08 PM |
ISP на спаме зарабатывают, т.к. их клиенты платят за входящий извне трафик. Чем больше клиенту будет приходить писем, тем его провайдер будет богаче. Я вообще думаю что ISP и спамеры неплохо дружат :) |
|
| Alexander S. 3 Feb 2005 4:33 PM |
Только не в Америке. В Америке ISP на спаме теряют, так как клиент за траффик напрямую не платит. Клиент платит, скажем, 40 долларов в месяц за канал, и всё. Чем больше клиенту будет приходить писем, тем меньше денег из этих 40 долларов останется его провайдеру. |
|
| dimav 3 Feb 2005 5:19 PM |
колянычу - и чем предлагамемы MS меры помогут против MS-вских же дыр в софте в том числе и в предназначеном для улучшения безопастности ? |
|
| Fobj 4 Feb 2005 9:36 AM |
Вот вам и халатное отношение к Производству Операционных Систем. |
|
| Dandy 4 Feb 2005 12:57 PM |
RBL как метод защиты не есть первое (лучшее) решение. IMHO использование RBL резко повышает вероятность не принятия корреспонденции (ошибочное не принятие) ведь сессия завершается еще на этапе HELO, MAIL-FROM. Гораздо более эффективно работает свзяка: SPF + YDK + специализированный спам-фильтр (тот же Байесов метод фильтрации). Сейчас достаточно ПО для фильтрации спама даже для таких потоков, как у ISP было бы желание...
|
|
| уних world - s999999999rambler.ru 4 Feb 2005 4:25 PM |
Я не въехал, а какие же ещё могут быть адреса , как не имя@имя_домена ? А насчет трафика Alex прав. При ежемесячных платежах, чем меньше клиент в инете чего либо делает тем IP провайдеру лучше. |
|
| Alexander S. 4 Feb 2005 7:07 PM |
По-моему, происходящее из той поговорки: "прежде чем станет лучше- будет хуже". Я бы воспринял эту статью с оптимизмом. До сих пор спам был неконтролируем: персональный компьтер рассылал миллионы писем напрямую, подписываясь любыми адресами, пользуясь недостатками дряхлого протокола SMTP. С помощью костылей, настроек и заплаток морально устаревший SMTP-протокол слегка доводится до более-менее пристойного уровня. Что и упоминается в статье: старые методы массовой рассылки спама пресекаются- и до конца этого года будут пресекаться ещё активнее. Ну нельзя разрешать компьютеру Васи Пупкина посылать письмо напрямую на Yahoo.com, подписанное адресом из AOL.com. Посылай, Вася, письма через почтовые сервера AOL. Наконец, вопреки стандарту протокола SMTP, нааучились пресекать такого Васю. Итак, пугает на статья, теперь имеем компьютер Васи который стал посылать спам через своего провайдера- и это якобы плохо. А если подумать, почему он раньше этого не делал? Да потому, что с таким спамом бороться легче: Во-первых, в письме как минимум должен быть указан домен отправителя. Раз плюнуть любому ISP не пропускать через себя почту юзеров, которые подписываются другим доменом. Так что vasya@aol.com может послать письмо подписанное petya@aol.com - но никак не petya@mail.ru Вы, страдалец от спама, теперь можете надёжно фильтровать почту по домену. Скажем, вся почта с aol.com- спам.:) Во-вторых, при аутентикации пользователя (что делают некоторые ISP- а значит могут делать и все) спаммеру придётся указать ПОЛНЫЙ правильный адрес отправителя. Если ваш почтовый клиент соединился с сервером вашего isp.com, обозначил себя как user1 с паролем password1, то серверу очень просто запретить вашему клиенту посылать письма от user2@isp.com, и разрешать только письма подписанные user1@isp.com В результате можно будет фильтровать письма по юзеру. На самом деле, как показывают исследования, 10-20 тысяч инфицированных компьютеров посылают 90% спама. Не так уж и много. Более того, поскольку спам теперь ходит через сервера того ISP, что невольно обслуживает спаммеров- спам становится проблемой ISP, а уж ISP её решит быстро. Так что не унывайте, как бы ни пугала вас статья- а смысл в ней на самом деле тот, что спам всё более и более контролируем. |
|
| A 6 Feb 2005 11:57 PM |
> Раз плюнуть любому ISP не пропускать через себя почту юзеров, которые > подписываются другим доменом. Совсем не так уж это и просто, как кажется. Например, у меня фиксированный реальный ip-адрес (dial-up или выделенка - не важно). Я зарегистрировал на него кучу разных доменов через кучу разных регистраторов. Соответственно, я могу использовать любой этот домен в качестве обратного. Вопрос - откуда в таком случае пров узнает, какие домены можно пускать а какие нет ? Касательно "в письме как минимум должен быть указан домен отправителя" - какой из них ? То, что пишется в поле From не обязателен. Впрочем, само поле тоже. Письмо вместе со всеми заголовками, если таковые вообще присутствуют, по протоколу отдается одним блоком после команды DATA. Проверять значения команды "MAIL FROM", так этого никто, кроме MTA-релея не видит и нарисовать туда что-нибудь правильное - никаких проблем. Имена и пароли для авторизации, а так же адрес для "MAIL FROM" легко получить от почтовой программы. Конечно, если пользователь сам не вводит пароль каждый раз, но таких единицы. > Более того, поскольку спам теперь ходит через сервера того ISP, что невольно > обслуживает спаммеров- спам становится проблемой ISP, а уж ISP её решит быстро. Тоже не факт :) Дело в том, что клиенты, которые создают намного больше исходящего траффика, чем входящего, еще и зарабатывают на этом. Соответственно, пров вместе с ними. То есть, главная задача прова - как можно больше создать и как можно меньше потребить траффика. При этом главное не попасть в черные списки из-за на спама, но это решается использованием открытых релеев. В результате, если мы определили, что это спам, соединяемся с одним из открытых релеев и отдаем ему письмо. С этого момента это письмо становится уже его проблемой. И пров нагрелся на исходящем траффике :) |
|
| Alexander S. 7 Feb 2005 8:39 PM |
2 A, Какая всё-таки гадость этот ваш протокол SMTP.:) >Касательно "в письме как минимум должен быть указан домен отправителя" - какой из них ? То, что пишется в поле From не обязателен. Впрочем, само поле тоже. Однако отказываться получать письма без поля From: вполне можно. Нет никаких трудностей закодировать такое. >Проверять значения команды "MAIL FROM", так этого никто, кроме MTA-релея не видит и нарисовать туда что-нибудь правильное Алгоритм: 1. Проверить MAIL FROM. Не брать письмо если подписано чужим доменом. 2. Проверить наличие поля From: в тексте письма (после кодамны DATA). Не брать письмо если это поле отсутствует. 3. Проверить совпадение значений полей From: и MAIL FROM. Не брать письмо если значения этих полей не совпали. Такой алгоритм отсечёт 100% всех зомби-компьтюеров, пытающихся выслать email через ISP их обслуживающего, с левым адресом. >Имена и пароли для авторизации, а так же адрес для "MAIL FROM" легко получить от почтовой программы. Алогритм: проверить логин юзера (его email адрес), сравнить с тем что указано в поле MAIL FROM и From:. Не принимать письмо если логин юзера не совпадает с этими полями. >При этом главное не попасть в черные списки из-за на спама, но это решается использованием открытых релеев. Статья эта о том, что спаммеры вынуждены отказываться от испольования открытых релеев. Вы прочтите внимательно статью-то. >Например, у меня фиксированный реальный ip-адрес (dial-up или выделенка - не важно). Я зарегистрировал на него кучу разных доменов через кучу разных регистраторов. Соответственно, я могу использовать любой этот домен в качестве обратного. Вопрос - откуда в таком случае пров узнает, какие домены можно пускать а какие нет ? Если ваш провайдер разрешает вам транзит писем через его почтовые сервера с вашего фиксированного IP подписываясь любыми доменами- то ваш провайдер подпадает под определение открытых релеев. Разве не так? |
|
| Павел 17 Feb 2005 12:36 PM |
2 Alexander S.: >Какая всё-таки гадость этот ваш протокол SMTP.:) А уж TCP/IP - полный отстой! И адресов мало, и бродкаст плохо работает и маршрутизация. И в случае затыки канала в одном месте повторная передача пакета присходит по всему маршруту вместо маленького "проблемного" участка. Все таки непонятно о чем думали эти исследователи из DARPA - небось о том, как бы создать сеть, которая будет работать даже в случае ядерного взрыва. Простите за оффтоп, не удержался. Наш протокол? Или "их" протокол? Я так понимаю Alexander S., Вы пытаетесь отождествить протокол SMTP с бесплатными программами потому что он тоже "бесплатен"? И доказать этим самым, что все бесплатное плохое? Ну лично я согласен, что линукс - отстой, но как же быть с математикой, физикой и литературой? Куда сдать деньги за использование E=mc^2?
|
|
|