> Электронный журнал "Спамтест" No. 176
>
> ФТК будет преследовать спамеров за пределами США
>
> 16.01.2007
>
> В конце декабря 2006 года президент США Джордж Буш подписал
> Закон о контроле за применением законодательства по борьбе со
> спамом, шпионским ПО и мошенничеством во взаимодействии с
> иностранными правоприменительными органами (Undertaking Spam,
> Spyware, And Fraud Enforcement With Enforcers Beyond Borders
> Act), или Закон о безопасности Сети в США (U.S. SAFE WEB
> Act), который позволит Федеральной торговой комиссии США
> (ФТК) преследовать досаждающих американцам
> киберзлоумышленников за пределами страны.
>
> Новый закон предоставляет ФТК полномочия оказывать содействие
> в борьбе с киберпреступностью другим государствам и
> обмениваться с ними релевантной информацией. Закон о
> безопасности Сети предусматривает конфиденциальность
> запрашиваемой информации и защиту неофициальных источников
> информации, представляющих ее на добровольной основе.
>
> Три года Федеральная торговая комиссия США добивалась
> расширения своих правомочий в борьбе с киберпреступностью. За
> последние годы деятельность киберкриминальных структур вышла
> за пределы национальных границ; ее инициаторов, скрывающихся
> на территории государств с менее жестким законодательством,
> стало трудней обнаружить и предать справедливому возмездию.
>
> В 2005 году ФТК зарегистрировала 44310 случаев мошенничества
> с использованием Интернета и телефонной связи, направленного
> против граждан США, - в четыре раза больше, чем в 2002 году.
> По мнению экспертов ФТК, этот показатель намного ниже
> реального, так как американские пользователи далеко не всегда
> имели возможность подать официальную жалобу, не будучи
> уверены, что ответчик находится на территории США, а не в
> Восточной Европе, Юго-Восточной Азии или в Африке.
>
> Источник: SPAMfighter
> <
> 118100623/n/m4696343/-/www.spamtest.ru/click?_URL=
pamfighter.com/News-7376-US-Government-Licenses-FTC-to-Pursue->
Overseas-Spammers.htm>
>
>
> Источник: pandasoftware.com
> <
> 118100623/n/m4696343/-/www.spamtest.ru/click?_URL=
andasoftware.com/about/press/viewNews.htm?noticia=8098&ver=21>
&pagina=&numprod=&entorno=&sitepanda=particulares>
>
> Новый комплект для фишера-новичка эксперты считают опасным орудием
>
> 16.01.2007
>
> Подразделением компьютерной безопасности RSA компании EMC
> Software Inc. обнаружен демонстрационный образец
> универсального фишерского комплекта, позволяющий
> автоматизировать процесс создания поддельного веб-сайта
> произвольного финансового онлайн-сервиса и отъема
> конфиденциальной информации у пользователей в режиме
> реального времени.
>
> Комплект Universal Man-in-the-Middle Phishing Kit
> предлагается для бесплатного пробного прогона на одном из
> форумов, посещаемых криминальными кругами Интернета, и
> оценивается в 1000 долларов. Фишерский комплект имеет
> онлайн-интерфейс, предназначенный для создания поддельного
> URL по собственному выбору. После введения данных
> сайта-мишени и хостинга поддельной страницы комплект
> автоматически воспроизводит динамическую РНР-страницу с
> контентом атакуемой организации на выбранном фишером
> веб-узле. В дальнейшем поддельный сайт в реальном времени
> производит необходимые обновления, когда они появляются на
> целевом легитимном сайте.
>
> Потенциальная жертва получает стандартное фишерское послание,
> снабженное ссылкой, которая ведет на мошеннический сайт.
> Поскольку в поддельный URL импортируется контент с
> легитимного сайта, деятельность злоумышленников скрыта от
> пользователей атакуемого сервиса, а последние уверены, что
> зарегистрировались и работают на легитимном сайте. В руки
> мошенников попадают не только логин и пароль, как в случае со
> статическими поддельными сайтами, но и любые другие
> персональные данные. Фишеры имеют возможность вести
> мониторинг регистрации пользователей, проверяя валидность
> похищаемой информации и отбраковывая некорректный ввод.
>
> Специалисты RSA склонны считать новый фишерский комплект
> опасным орудием, так как он универсален и позволяет самым
> неискушенным в криминальном бизнесе лицам проводить целевые
> атаки на любую легальную организацию и завладевать любой
> конфиденциальной информацией ее клиентов. Убедительность и
> скрытность работы подделанного с помощью этого комплекта
> веб-сайта защищает его от внесения в черные списки. Эксперты
> RSA считают, что в ближайший год-полтора новый инструмент
> фишеров получит дальнейшее распространение.
>
> Источник: CNET News.com
> <
> 118100623/n/m4696343/-/www.spamtest.ru/click?_URL=.
com.com/New+tool+enables+sophisticated+phishing+scams/2100-1029_>
3-6149090.html?tag=cd.top>
>
>
>
> Рынок антиспам-решений ждут слияния и поглощения
>
>
> Виктор Дронов, "Лаборатория Касперского",
> cтатья была опубликована на сайте CNews
> <
> 118100623/n/m4696343/-/www.cnews.ru/reviews/free/software2006/
> articles/spam.shtml>
>
> Рынок средств защиты от спама сегодня напоминает антивирусный
> - образца начала 90-х. Множество игроков, множество
> технологий, все новые старт-апы. При этом даже наиболее
> крупным поставщикам пока не удалось занять здесь более 10%. В
> контексте подобного уровня дифференциации рынка, очевидно,
> следует ждать нарастания волны слияний и поглощений.
>
> Количество рассылаемого спама, несмотря на все большее
> количество антиспам-продуктов и сервисов, меньше не
> становится. По данным антиспам-аналитиков "Лаборатории
> Касперского", доля незапрошенных массовых рассылок в общем
> почтовом трафике Рунета колеблется в области 80%, а на
> популярных почтовых службах, таких как, например, Mail.Ru,
> зашкаливает за 90-95%. В подобной ситуации уже для каждой
> компании остро стоит вопрос: сможет ли она защитить себя от
> этой лавины мусорной почты, блокирующей один из основных
> каналов деловой коммуникации, и каким способом. Вопрос же
> целесообразности мер защиты от спама как таковых уже давно
> стал риторическим - обойтись без них практически нереально.
>
> Определенную сложность в данной ситуации представляет обилие
> различных предложений по фильтрации почтового трафика,
> отсеивания спамерской корреспонденции. Рынок средств для
> защиты почтовых систем от спама похож на антивирусный образца
> начала 90-х. Множество игроков, множество технологий, все
> новые стартапы - еще пару лет назад редкая неделя проходила
> без анонса очередного "окончательного решения проблемы
> спама". Сходство с антивирусным рынком упомянуто не случайно.
> Во-первых, трансформация спамерского сообщества привела к
> тесному его переплетению с вирусописателями. Спамеры
> рассылают вирусы, заражают новые ПК, создают "зомби-сети", а
> вирусописатели поддерживают их новыми вредоносными
> программами. Естественно, на взаимовыгодной основе. Таким
> образом, для борьбы с, казалось бы, сторонней проблемой
> понадобился именно антивирусный экспертный опыт.
>
> Во-вторых, большинство потенциальных покупателей
> антиспам-продуктов предпочитают всеобъемлющие решения от
> одного вендора, защищающие сеть и от спама, и от хакерских
> атак, и от вирусов. Порой даже в ущерб качеству той или иной
> компоненты. Неудивительно, что в этой ситуации у каждой
> крупной антивирусной компании найдется в рукаве и собственное
> антиспам-решение.
>
> Ажиотаж переполненного рынка
>
>
> Сейчас рынок антиспам-решений переполнен, игрокам все труднее
> идентифицировать себя на фоне конкурентов. Многие из них
> находятся в активном поиске дополнительных ниш и
> дополнительного функционала, востребованного клиентом.
> Начинается консолидация - в мире уже прокатилась череда поглощений.
>
> Так, Brightmail, одна из наиболее успешных антиспам-компаний,
> как технологически, так и коммерчески, поглощена Symantec в
> 2004 году. Сумма сделки составила 370 млн.долл., т.е. более
> доллара за каждый защищаемый к тому времени продуктом
> Brightmail почтовый ящик. Годом спустя, компания Kelkea
> куплена Trend Micro, и теперь разработанный ею сервис RBL+
> дополняет антиспам-продукты в линейке японской корпорации.
> Ведущий российский антиспам-проект "Спамтест" тем же летом
> 2005 года был куплен "Лабораторией Касперского". Теперь
> российский вендор успешно продвигает собственный продукт
> Kaspersky Anti-Spam 3.0. Сумма приобретений в последних двух
> случаях не разглашалась, однако можно предположить, что
> Brightmail остался несомненным рекордсменом.
>
> Тогда же, в 2005 г. отметилась на поприще поглощений
> антиспам-компаний и Microsoft - теперь "уже почти де-факто"
> антивирусный и антиспам-вендор. В 2005 г. редмондский гигант
> объявил о покупке нью-йоркской компании Sybari, в составе
> которой ей доставалась еще одна технология фильтрации спама.
> В июле того же года стало известно о покупке крупного
> поставщика messaging security сервисов - компании
> FrontBridge. Недолго медлив, Microsoft объявила о том, что
> новые продукты и сервисы неплохо дополнят новое поколение ее
> почтового продукта Exchange.
>
> Об объемах антиспам-рынка и доле того или иного вендора
> говорить достаточно сложно, так как разные исследовательские
> компании предоставляют порой противоречащие друг другу
> результаты. Однако, что вызывает доверие - так это факт, что
> даже самые крупные игроки не занимают более 10% рынка (по
> данным исследовательской группы Radicati). Рынок все еще
> значительно дифференцирован и нас ждут новые слияния и поглощения.
>
> "Технологический минимум"
>
>
> Эффективность того или иного продукта для борьбы со спамом во
> многом базируется на используемых методах и подходах. При
> выборе конкретного средства нелишне обратить внимание на то,
> какие именно технологии заложены в его основу, за счет чего
> определяется спам во входящем почтовом потоке и
> обеспечивается сохранность "нормальной" почты.
>
> Одним из старейших методов блокирования спама по праву
> считаются DNSBL-списки, блокирующие IP-адреса с которых
> рассылается спам. DNSBL (DNS-based Block Lists; типичные
> примеры - Spamhaus, Spamcop и др.) хороши тем, что
> осуществляют заслон спаму еще на уровне начала SMTP-сессии -
> и тем самым разгружают почтовые сервера, экономят трафик, не
> принимая письма отнесенные к спамерским. Побочный же эффект -
> высокая доля ложных срабатываний, блокирование легальных
> сообщений, которые при этом даже нельзя позднее найти в
> карантине - ведь они даже не приняты сервером.
>
> Еще один пример работы со спамом на этапе "до приема письма"
> - это так называемый gray listing, "серый список". При
> получении письма от неизвестного отправителя, которого нет ни
> в черном, ни в белом списках, данный метод ставит письмо в
> очередь, отвечая серверу-отправителю "подожди несколько
> минут". Добропорядочный сервер, на основе известного ПО, как
> правило, должен спокойно воспринять этот тайм-аут и
> попытаться переслать письмо через указанный промежуток
> времени. Спамерское же ПО "заточено" под максимально быстрое
> "пропихивание" рассылки, и ему не до тайм-аутов - скорее
> всего оно сразу же попытается послать письмо снова. На этом
> основании отправитель и будет заблокирован и автоматически
> внесен в черный список.
>
> Для борьбы с "быстрыми рассылками" все чаще применяют
> средства детектирования массовости сообщений (такие как DCC,
> Razor, Pyzor), доступные крупным провайдерам или
> антиспам-вендорам. Сообщения в "быстрых рассылках" либо
> идентичны, либо отличаются друг от друга крайне
> незначительно. Это позволяет достаточно быстро определить
> аномалию - одновременную рассылку множества условно
> одинаковых писем с тысяч разных ПК по всему миру - и
> заблокировать прием этой почты. С другой стороны, существует
> множество легальных рассылок, которые нельзя относить к
> спаму, поэтому слабым местом подобных систем является их
> способность отличить "большую и легальную" рассылку от
> спамерской рассылки. Также они бессильны против полярно
> противоположного типа рассылок - длящихся очень долго, но
> каждое письмо в которых специально модифицировано (шум в виде
> текста, графики, и т.д.), чтобы не быть идентичным с предыдущими.
>
> Вендорские антиспам-лаборатории - достаточно мощное оружие в
> борьбе со спамом. Такие службы (как правило, круглосуточно)
> отслеживают ситуацию со спамом в интернете, обновляют
> продукты, установленные у пользователей сигнатурами
> обнаруженного спама или лингвистическими эвристиками,
> постоянно анализируют новые спамерские технологии с тем,
> чтобы совершенствовать способы противостояния им. Примерами
> использования таких служб можно назвать Symantec и
> "Лаборатория Касперского".
>
> Существует и противоположный подход к постоянном анализу
> спамерских сообщений - основанный на том, что этот процесс
> должен быть полностью автоматическим. Его демонстрируют
> продукты, основанные на алгоритме Байеса. Такие продукты
> проходят первичное "обучение" - когда на вход программе
> подаются определенные как спам сообщения. Это обучение может
> осуществляться как пользователем, так и вендором - с
> использованием накопленных баз спама. После первичного
> обучения продукт создает "словари", учитывающие какие слова,
> с какой частотой, с какой вероятностью и находясь в каких
> частях письма, - указывают на то, что письмо является спамом.
>
> Применение байесовских алгоритмов позволяет отказаться от
> "черных списков" и постоянного обновления ПО. Однако
> эффективность таких решений достаточно нестабильна - они
> могут удовлетворительно фильтровать на одних потоках спама,
> работая из рук вон плохо на других. Также обучение ПО гораздо
> лучше работает в персональных продуктах, где легко выявляются
> закономерности - что конкретный пользователь считает спамом,
> а что нет. В серверных же продуктах, обслуживающих многих
> получателей, данные алгоритмы могут давать серьезные сбои.
>
> Лингвистические методы - хороший пример технологии
> контентного анализа письма. Эти методы используют алгоритмы
> поиска по телу сообщения типичных спамерских терминов, фраз,
> выражений, а также большие базы данных подобных терминов.
> Такие базы данных должны постоянно обновляться вендором.
> Также немалую часть успеха данных методов определяет и то,
> насколько сбалансированы "очки" начисляемые за каждое слово,
> чтобы в итоге сделать вывод о том, спам это или нет. Ведь не
> каждое письмо со словом "виагра" - спам.
>
> Ну и, конечно же, очень важно знать, как часто выбранный
> продукт получает обновления от вендора, с новыми сигнатурами,
> правилами, алгоритмами анализа почты. У присутствующих на
> рынке решений этот интервал времени реакции колеблется от
> нескольких часов до 20-30 минут. Но постепенно становится
> стандартом де-факто реагирование на спам в режиме реального
> времени, как, например, в продукте Kaspersky Anti-Spam 3.0,
> который мгновенно получает информацию о начале новых рассылок.
>
> Общее правило при первом обзоре и выборе нескольких
> альтернативных продуктов - комплексность, сочетание
> нескольких методов лучше ставки на одну технологию. Пусть
> даже и называемую самыми лестными эпитетами в маркетинговых
> брошюрах вендора.
>
> Если компания решает провести "боевое" сравнительное
> тестирование ряда наиболее привлекательных для себя
> альтернатив, необходимо помнить несколько простых правил
> подобного сравнения - для того, чтобы получить объективный
> результат и сделать верный выбор.
>
> Во-первых, чтобы понять, как продукт фильтрует спам, надо
> фильтровать спам. Но ни в коем случае нельзя использовать те
> или иные "спам-коллекции", например, почтовый массив, из
> папки, куда спам пересылался вместе с жалобами пользователей.
> Каждый антиспам-вендор стремится, чтобы его решение
> блокировало спам, рассылаемый именно сейчас. Никого не
> интересует эффективность против прошлогоднего спама, который
> уже никогда не придет получателю снова. Исходя из этого,
> проще всего направить на тестируемые продукты "живой"
> почтовый трафик, например, с нескольких почтовых ящиков
> корпоративной сети.
>
> Во-вторых, продукты логично поставить в идентичные условия.
> Фильтруемый трафик должен быть одним и тем же. Скорость
> обновлений, по возможности, должна быть выставлена
> одинаковая. Если один из продуктов не использует DNSBL по
> умолчанию, а другой включает его сразу, логично также
> привести настройки к общему знаменателю, и т.д.
>
> В-третьих, еще до начала выбора конкретного продукта или
> решения, важно понимать, что ни одно современное средство не
> способно избавить от спама на 100%. Лучшие образцы отрасли
> демонстрируют отсеивание 90-95% спама во входящей почте, и
> это, пожалуй, максимум, при условии, что отсутствуют ложные
> срабатывания, что нужные письма не летят в корзину, будучи
> признаны "спамом".
>
> Типы решений для защиты от спама
>
>
> Коммерческое ПО. Лидирующие программные продукты для защиты
> от спама, как правило, характеризуются сочетанием нескольких
> технологий фильтрации незапрошенной корреспонденции, что
> позволяет более взвешенно определять статус каждого сообщения
> (спам - не спам). Также чаще всего антиспам-продукты требуют
> частых обновлений своих баз данных - известного спама,
> IP-адресов спамеров, правил анализа сообщений и т.д. При
> этом, если чем выше частота обновлений - тем лучше, при
> прочих равных (в том числе если обеспечивается обмен данными
> с вендором в режиме реального времени), то большой объем
> обновлений свидетельствует о недостаточной оптимизации и,
> возможно, неверной архитектуре продукта.
>
> Цены на антиспам-продукты разнятся достаточно сильно.
> Зачастую это связано и с тем, что некоторые вендоры (такие,
> как например Clearswift) позиционируют свои продукты не как
> "антиспам-фильтр", но как "всеобъемлющую систему контентной
> фильтрации" - а это понятие включает также и антивирусное
> сканирование, и контроль над утечками конфиденциальной
> информации и др. В целом же, защита 1 почтового ящика
> обходится компаниям в сумму от 1,5 до 50 долл. в год - в
> зависимости от функционала системы, качества и известности
> продукта, а также масштаба внедрения.
>
> Многие антиспам-продукты разработаны для *nix платформ. Это
> объясняется с одной стороны популярностью и безопасностью, в
> частности, Linux - как платформы для почтового шлюза. С
> другой стороны, целый ряд клиентов, использующих гомогенную
> серверную платформу на базе Windows и не желающих
> поддерживать несколько ОС, либо вынуждены выбирать из
> ограниченного круга Windows-продуктов, либо обращают свои
> взоры в сторону аутсорсинга защиты от спама или аппаратных решений.
>
> На российском рынке шире всего представлены отечественные же
> разработки - Kaspersky Anti-Spam 3.0 (работает в крупнейших
> почтовых системах и провайдерских сетях России) и
> "Спамооборона" от Яндекс (опирается на статистику
> Яндекс.Почты). Во многом это связано с региональной и
> лингвистической спецификой российского спама. Российские
> продукты, что немудрено, гораздо больше информации получают
> от местных провайдеров, почтовых служб и т.д., что позволяет
> реагировать в том числе и на сугубо локальные рассылки.
> Определенную активность на рынке проявляют также Trend Micro,
> Barracuda Networks, и другие западные вендоры.
>
> Messaging Security Services. Доводы провайдеров сервисов
> защиты почтового трафика в пользу своих услуг просты и
> убедительны. Вы не инвестируете в оборудование и не
> поддерживаете его. Вы не покупаете ПО и не конфигурируете
> его. Вам не нужно дополнительно обучать ИТ-персонал и
> затрачивать его усилия на поддержание системы защиты от спама
> (вирусов и т.д.) в действии. Кроме этого, как правило,
> утверждается, что специализированная организация способна
> обеспечить более высокий уровень надежности и устойчивости сервиса.
>
> Модель работы сервиса - перенаправление входящего почтового
> трафика организации таким образом, чтобы вначале он поступил
> на сервера сервис-провайдера, был проверен (на спам, вирусы,
> spyware и пр.) и лишь затем, будучи "чистым", трафик поступил
> на сервера организации-клиента. Учитывая то, что приведенные
> выше преимущества являются далеко не умозрительными,
> стоимость сервисов ощутимо превышает цены на коммерческое ПО
> как альтернативу. Тем не менее, если учесть экономию на
> аппаратной части и затратах на ИТ-персонал - игра может стоить свеч.
>
> Из крупнейших мировых игроков в этой сфере можно отметить
> Message Labs, Postini, BlackSpider, а также FrontBridge в
> своей новой реинкарнации после продажи компании Microsoft -
> Exchange Hosted Services.
>
> В России на поприще аутсорсинга защиты почтовых систем
> отметились Data Fort, а также "Лаборатория Касперского"
> запустившая в 2006 году сервис Hosted Security.
>
> Аппаратные решения. Примерно теми же аргументами, что и
> сервис-провайдеры, манипулируют производители аппаратных
> антиспам-шлюзов: низкая стоимость владения, простота
> настроек, легкое встраивание в существующую почтовую инфраструктуру.
>
> Только в этом случае, в роли "волшебной палочки" выступают не
> сервера провайдера, а аппаратное решение. По сути, это некий
> сервер, с предустановленной усеченной версией ОС (как правило
> Linux), предварительно настроенным антиспамерским ПО и
> средствами дистанционного управления. От системных
> администраторов он требует одного - перенаправить входящий
> трафик организации через него, с тем, чтобы выдавать на
> выходе почту без спама (или, если точнее, почти без спама) и вирусов.
>
> Поставщики - BorderWare, CipherTrust, Proofpoint и
> представленный в России системным интегратором "Техносерв
> А/С" Barracuda Networks.
>
> "Черные списки". Черные списки IP-адресов, с которых
> рассылается спам (DNSBL, DNS-based Block Lists) -
> традиционный и, одновременно, один из наиболее противоречивых
> инструментов борьбы со спамом. В связи с достаточно высоким
> уровнем ложных срабатываний и невозможностью восстановления
> потерянной почты, на данный момент DNSBL можно рассматривать
> только как вспомогательный инструмент, "один из барьеров" в
> системе фильтрации спамерского трафика.
>
> На рынке присутствуют как платные сервисы, такие как Trend
> Micro RBL+, так и бесплатные альтернативы - Spamcop.org,
> Spamhaus.org. Собственные черные списки широко применяются
> крупными онлайновыми почтовыми службами (такими как Mail.ru).
>
> Open source проекты. Open source сообщество конечно же не
> могло остаться в стороне от столь острой проблемы, как спам.
> Наиболее известный из всех проектов - SpamAssassin,
> предлагает комплекс методов проверки почты и гибкость,
> позволяющая встраивать его в стороннее ПО и оборудование. Код
> этого проекта взят за основу коммерческого продукта McAfee
> SpamKiller.
>
> Тем не менее, с финансовой точки зрения "бесплатность"
> открытых антиспам-продуктов, и SpamAssassin, в частности,
> быстро нивелируется высочайшей квалификацией (читай -
> размером зарплаты) требуемой для его поддержки и настройки, а
> также трудоемкостью этих настроек. Так, например, на
> прошедшей недавно 4-ой конференции "Проблема спама и ее
> решения" своим опытом защиты корпоративной почты без
> использования коммерческих решений делился системный инженер
> одного из крупных издательских домов. Он сам же признавал,
> что в конечном итоге любая подобная экономия нивелируется
> высокими зарплатами сотрудников ИТ, вовлеченных в этот
> проект, а также рисками, когда с уходом одного человека весь
> подобный опыт может быть потерян.
>
> ________________________________
>
> (C) "Лаборатория Касперского"
> <
> 118100623/n/m4696343/-/www.kaspersky.ru> , 1997 - 2005
>
>
