PCR: Veľký spamový útok

Na poli spamu sa dejú neustále nové veci. Môžete sa o tom presvedčiť sami po kontrole e-mailovej schránky. Okrem vírusových hrozieb sledujeme aj spamovú problematiku a tu nastáva posun k ďalším technikám a spôsobom, ako nalákať používateľov na návštevu rizikových stránok alebo kúpu niektorého z ponúkaných produktov. V súčasnosti sú najčastejšie rôzne ponuky na nákup liekov, čo nepredstavuje lokálny, ale celosvetový problém. Do e-mailových schránok prichádzajú ponuky na Viagru od rôznych výrobcov, akcie a, samozrejme, záruky na príslušný liek alebo prípravok. Vzhľadom na to, že väčšina spamu je v anglickom jazyku, nie je problém pre našinca ignorovať podobné správy a veľmi rýchlo sa v nich zorientovať. Samozrejme, platí to len vtedy, ak nepracujete vo firme s globálnym postavením na trhu a relevantné e-mailové správy v anglickom jazyku sú pre vás na dennom poriadku.

Ironport exkluzívne pre PC REVUE
O tom, že producenti spamu nezaspali dobu a využívajú dostupné moderné technológie, sme sa mohli porozprávať s popredným špecialistom spoločnosti Ironport pánom Hrvoje Doganom, ktorý vo firme pracuje ako systémový inžinier a inštruktor („nami monitorovaná lokalita www.smapit.com je ako Amazon pre spamerov“). Pre bežných používateľov nie je firma taká známa, no svetové aj slovenské spoločnosti ju veľmi dobre poznajú. A ešte lepšie ju poznajú spameri, ktorí sa doslova „trasú“ pred jej antispamovými on-line riešeniami.

Softvérové a hardvérové riešenia
Keďže domáci používatelia používajú rôzne antispamové nástroje pracujúce v drvivej väčšine na princípe bayesovského filtrovania pošty, zaujímalo nás, či je tento spôsob skutočne taký efektívny alebo ide skôr o koncept, ktorý volia predovšetkým výrobcovia softvéru. Predovšetkým si treba uvedomiť, že tento filter pracuje so vzorkami, ktoré na počítač stiahne a potom ich analyzuje. Ak vynecháme nevyhnutný počet vzoriek na „naučenie“ antispamového nástroja, zostáva tu základný fakt. Správy treba najprv stiahnuť, potom sa roztriedia. To predstavuje vo veľkých firmách podstatnú nevýhodu pre veľké dátové prenosy a zaťažovanie kapacít e-mailových schránok a výpočtového výkonu serverov alebo prenosového pásma. Vo takýchto firmách je toto riešenie neúčinné. Jeho účinnosť sa často zlepšuje vlastnými algoritmami na rozpoznanie neželaných správ, takže sa môžeme stretnúť aj s aplikáciami, ktoré používajú dve skenovacie jadrá na zisťovanie relevantnosti korektných správ.

 

Riešením je použitie hardvérových antispamov, ktoré sú vysoko účinné pri obrovskej záplave nežiaducich e-mailov a ochrane infraštruktúry firmy. Firma Ironport používa vlastný operačný systém AsyncOS, ktorý je niekoľkonásobne rýchlejší ako použitie štandardných unixových serverov s nainštalovaným antispamom SpamAssassin. Nejde ani tak o výkonnosť hardvéru ako o špecializované funkcie a návrh operačného systému AsyncOS na konkrétny účel. Účinnosti sa môže líšiť v závislosti od nasadenia v konkrétnych prostrediach a veľkosti firiem, no ako príklad môže poslúžiť zredukovanie 68 serverov spoločnosti Dell so spomínaným antispamom na osem špecializovaných antispamových hardvérových modulov Ironport. Z dátovej prevádzky e-mailových serverov bol počet správ denne 26 miliónov z toho 25,5 milióna predstavoval spam.

Nové formy spamu
Spomedzi ďalších mechanizmov, ktoré využívajú spameri na zahltenie našich schránok a vyžiadanie pozornosti, treba spomenúť novodobú formu, označovanú ako MP3 spam. Používateľ dostane do e-mailovej schránky prílohu v podobe súboru MP3, čo u mnohých zníži ostražitosť. Zväčša ide o súbor veľký niekoľko desiatok kilobajtov, ktorý sa vydáva za hudobnú skladbu známeho interpreta, navyše prípona MP3 nie je zatiaľ taká obávaná ako iné. Používateľovi teda svedomie príliš nebráni otvoriť takýto súbor, no po jeho prehratí zistí, že nejde o hudobnú skladbu, ale o reklamu. Keďže v prípade hovoreného slova na jednoduché účely nie je potrebná vysoká úroveň vzorkovania, súbor MP3 má logicky menšiu veľkosť. Už dávno rozšírené sú aj obrázkové spamy, horšie však je, že spameri prichádzajú „na chuť“ novým formátom, napríklad dokumentom PDF.

 

Generátory spamu
Pri súčasnom množstve spamu a jeho obmien je logické, že existujú špecializované generátory spamových e-mailov. Nie je výnimočné nájsť na internete program vytvárajúci spamové e-maily pre používateľov schránok poštovej služby Yahoo! Mail alebo GMail. Odosielateľ spamu si v programe môže nadefinovať vzhľad, prípadne dopísať vlastné texty s tým, že dostáva kompletnú šablónu na rýchle použitie v praxi. Nemusí sa zaťažovať výzorom e-mailu ani inými detailmi. Do tejto kategórie patria aj programy, ktoré majú za úlohu vytvárať e-mailové kontá na rôznych serveroch.

Spamové databázy
Na boj proti spamerom existuje vo svete niekoľko databáz na filtrovanie spamu a zber vzoriek nežiaducich e-mailov. Fungujú na podobnom princípe ako tzv. honey pot servery na nalákanie vírusov. Sú však dobre chránené a namiesto nákazy sa tam vírus zachytí v karanténe, kde ho antivírusoví špecialisti môžu ďalej preskenovať. Servery zbierajúce údaje do on-line databázy SenderBase pod správou Ironportu prefiltrujú asi 30 % celosvetového e-mailového toku, pričom dáta pochádzajú aj od zákazníkov spoločnosti. Samozrejmé sú automatizované mechanizmy, takže sa netreba obávať straty súkromia. Skenovacie rozhrania sledujú v e-mailových správach viac ako 90 parametrov a 40 pre web. Jednotlivé parametre netvoria len štatistiku, ale vytvárajú aj hodnotený rebríček, napríklad najrizikovejšie adresy IP. Štatistická úspešnosť odchytávania spamov je 1:1 000 000, teda len jedna z milióna správ by mala byť identifikovaná nesprávne ako spam. Pravidlá v tejto databáze sú vytvárané automaticky strojmi, v sporných prípadoch ich vytvárajú špecialisti na spam. Databáza existuje v 26 jazykoch, pričom pribúdajú definície pravidiel aj pre nové jazyky. V prípade použitia hardvérového riešenia je aktualizácia integrovaného operačného systému tak ako pri antivírusoch pre domácich používateľov úplne automatická.

 

Chráňte svoje údaje
O tom, že špecializované riešenia na všestranné zabezpečenie počítača sú úspešné, niet pochýb. Štatistiky hovoria jasne: Najväčší záujem zo strany používateľov je o riešenia umožňujúce kompletnú ochranu pred spywarom, vírusovými kódmi alebo aplikáciami obsahujúcimi adware.

Smerovanie je teda zrejmé – zabezpečiť počítač a pridať ešte pár funkcií navyše, napríklad v podobe zobrazovania korektných stránok počas internetového surfovania. No na trhu sú aj samostatné aplikácie na zabezpečenie len v určitej oblasti. Nainštalovať si samostatný firewall alebo program na odchytávanie spywaru je vhodné pre používateľov, ktorí si ochranu chcú skombinovať cez rôzne aplikácie sami. Výrobcovia preto stále poskytujú riešenia pre rozličné úrovne zabezpečenia. A hoci tvrdia, že ich produkty sú jednoduché na spravovanie alebo konfiguráciu, nie každý ich víta s nadšením.

Čo sa týka konfigurácie, nemožno jednoznačne tvrdiť, že komplexné balíky sú systémovo náročnejšie ako špecializované programy od rôznych výrobcov. Skôr tu hrá úlohu akési pohodlie, keďže je jednoduchšie nainštalovať jeden ucelený balík ako postupne jednotlivé programy na spyware, ochranu pre adwarom, vírusmi, firewall, antispam alebo rodičovskú kontrolu. Navyše je tu záruka zo strany výrobcu, že komponenty uceleného balíka budú bez komplikácií spolupracovať. Zatiaľ čo pri samostatných riešeniach sa dajú nájsť jednotlivé programy zadarmo, za komplexný balík treba zaplatiť.

Lavasoft Anti-Virus Helix
Slovo antivírus v názve tejto aplikácie nevystihuje všetky jej možnosti. Disponuje totiž viacerými modulmi na zachytávanie hrozieb vrátane skenovania systému na prítomnosť rootkitov alebo vyhľadávanie škodlivých kódov v e-mailových správach.

Okno programu zobrazuje základné informácie o aktívnych prvkoch antivírusu, aktuálnosti vírusovej databázy a čase posledného skenovania. Za výhodu považujeme aj zobrazenie udalostí priamo v okne, pričom medzi jednotlivými položkami sa používateľ prepína v ľavom menu. Takto netreba zobrazovať ďalšie samostatné okno. Okrem toho sa dajú udalosti filtrovať, ľahko teda zobrazíme informácie z modulu WebGuard alebo plánovača a zistíme, či udalosti prebehli v poriadku. Samozrejmá je rezidentná ochrana, no pre tých, ktorí chcú preskenovať pevné disky manuálne, je funkcia dostupná jednoduchým výberom konkrétnych adresárov. Rezidentný skener zobrazuje svoju aktivitu takisto v hlavnom okne, vďaka čomu sa dajú sledovať aktuálne preskenované súbory. Pre používateľa to zrejme nebude podstatné, no informáciu táto funkcia postačí.

Skenovanie pošty sa dá nastaviť samostatne pre port POP3 a SMTP s možnosťou definovania účinnosti heuristického skenovania. To sa dá samostatne nastaviť aj na bežné skenovanie súborov alebo automatickú kontrolu na pozadí cez modul Guard. Ocenili sme aj možnosť nadefinovať počet úrovní komprimovaných archívov.

Počas testovania sme ocenili nízke systémové nároky aj na slabších zostavách, takže tento programu bude vhodný aj pre používateľov s pomalším pevným diskom a procesorom. Vhodný je aj na nasadenie do netbookov.

 

Hodnotenie:
+ Jednoduché ovládanie, podpora mnohých komprimačných archívov, vhodné pre slabšie zostavy
- Žiadne podstatné

Zaťaženie systému: 2/5
Rýchlosť skenovania: 4/5

Link: www.lavasoft.com
Cena: 17,27 EUR/520, 30 Sk

ZoneAlarm Internet Security Suite
Priaznivci freewarovej verzie programu ZoneAlarm Free Firewall si obľúbia aj tento program, ktorý poskytuje kompletnú ochranu počítača. Už pri letmom zhliadnutí funkcií niet pochýb o tom, že ide o program z „tej istej rodiny“. Ovládanie, schéma rozhrania a rozmiestnenie prvkov či dôverne známe vlastnosti svedčia o tom, že program uspokojí náročných používateľov.

Nastavenie firewallu umožňuje využívať pravidlá pre všetky dostupné sieťové adaptéry v počítači s možnosťou každý z nich definovať do zabezpečenej alebo internetovej zóny. Prv než sme firewall podrobili testom pri rôznych sieťových pripojeniach, zisťovali sme základné nastavenia tohto modulu. Blokovanie potenciálnych útokov na definovanom pásme portov NetBIOS-u je vopred nastavené, rovnako aj niektoré pravidlá na prijímanie paketov zo siete cez rôzne protokoly. Samozrejme, netreba sa obávať znefunkčnenia internetového pripojenia nesprávnou manipuláciou s pravidlami, ako to bývalo v raných verziách ZoneAlarm Free Firewall. Po inštalácii si totiž program sám preskenuje systém a rozpozná bezpečné a známe aplikácie a procesy. V našom testovacom počítači ich bolo vyše 2000. Nemôže sa stať, že program zobrazí dopyt na proces vyžadujúci prístup k sieťovému protokolu a používateľ ho omylom zablokuje.

 

Počas testov sa počítač úspešne „skryl“ v sieti a hlásil pokusy o pripojenie k systému iným počítačom. Skrývanie v sieti je výhodné najmä pri Wi-Fi hotspotoch, no agresivita nielen firewallu, ale aj antivírusového modul sa dá nastaviť jednoduchými posuvníkmi s tým, že program v skratke informuje o zmene vlastností pre konkrétny modul.

Ochrana používateľa je zabezpečená aj pri surfovaní internetom a využívaní protokolu HTTP alebo sťahovaní e-mailových správ. Ocenili sme kooperáciu antivírusu a firewallu pri kontrole odosielanej pošty. Nielenže používateľ nepošle zo svojho počítača infikovaný e-mail, ale s touto aplikáciou znižuje riziko, že sa stane nechceným spamerom, keďže sa dá nastaviť množstvo odoslaných e-mailov za určitý čas. Štandardné nastavenie 5 e-mailov za 2 sekundy neobmedzí takmer nikoho, funkcia sa však dá zmeniť aj vypnúť.

Popri antivírusovom module je prítomný aj samostatný skener na spyware. V súčinnosti oboch modulov v rezidentnej ochrane je používateľ chránený pred nebezpečným kódom počas surfovania na internete. Samozrejmosť je ochrana proti rootkitom, ochrana identity pred nepovoleným odosielaním osobných údajov z počítača. Hráčom je určený Game Mode, ktorý minimalizuje výskyt varovných hlásení na nevyhnutné minimum.

 

Hodnotenie:
+ Špičková výbava firewallu, antivírus a antispyware, ochrana identity, detailné možnosti konfigurácie
- Slabá konfigurovateľnosť AV modulu
Zaťaženie systému: 4/5
Rýchlosť skenovania: 4/5

Link: www.zonealarm.com
Cena: 49,95 EUR/1504,80 Sk

Riešenia zadarmo
Ak si chcete sami „poskladať“ zabezpečenie počítača, môžete využiť niektoré programy distribuované zadarmo. AVG Anti-Virus Free 8 (free.grisoft.com) poskytuje základnú ochranu počítača spolu s rezidentným modulom. Výrobca dáva túto verziu zadarmo, pričom jej funkčné jadro je postavené na komerčnej verzii antivírusu 7. Spomedzi antispywarových programov je účinný Lavasoft Ad-Aware na stránke www.lavasoft.com, nedisponuje však rezidentnou ochranou.

Používateľom akejkoľvek verzie operačného systému Microsoft Windows Vista jednoznačne odporúčame nahradiť integrovaný firewall iným riešením, pričom navrhujeme Sunbelt Personal Firewall (www.sunbeltsoftware.com) aj Outpost Firewall Free (www.agnitum.com), ktoré poskytujú dobrú konfigurovateľnosť a možnosti prispôsobenia.

Záver
Spam, vírusy, škodlivé skripty sú tu a budú nás naďalej sprevádzať. Autori škodlivých kódov majú neustále motiváciu vytvárať nové a nové formy útokov na zraniteľné miesta operačného systému alebo samotného používateľa. Prakticky neexistuje používateľ, ktorý by bol stopercentne odolný sociálnemu inžinierstvu a nástrahám, ktoré na neho číhajú v bežnom aj virtuálnom svete. Virtuálny svet predstavuje navyše riziko, na ktoré mnohí používatelia nie sú zvyknutí. Ide o sklon dôverovať všetkému, čo je na obrazovke, a zníženú schopnosť vnímania nástrah.

O autorovi

Michal Reiter pracuje v PC REVUE 4 roky a venuje sa multimediálnym zariadeniam, inteligentným telefónom, ale jeho pozornosti pri testovaní neuniknú ani podstatne väčšie zariadenia ako napríklad tlačiarne.

Zdroj: PCR Redakcia