virii-smap

итоги прошлого года или\\ стратегия выживания разработчиков антивирусов\\ (!!!*черновик*!!!)

крис касперски, ака мыщъх

вот сейчас мыщъх будет писать, а его будут бить, а потом травить. яду мне, яду… творится полный беспредел и кое-кто пытается сделать вид, что наводит порядок, машет метлой, сражается с невидимыми врагами и разводит прочую активность, являющуюся основой его бизнеса. но с норы мыщъха, вырытой среди холмов северного кавказа все видится слегка по другому, о чем мыщъх и решил написать.

Начнем со статистики. То есть из далека. Воздвиг как-то мыщъх свой собственный http сервер и после нескольких десятков тысяч заходов полез в статистику. Поинтересоваться так скачать на чем к нему ходят. Приятно удивило изобилие Лиса и Оперы, а IE… оказался где-то в хвосте со своими жалкими 3%. И это при том, что принято считать, что IE традиционно отхватывает себе лучших кусок пирога, а остальные браузеры делят между собой крохи со стола….

Вот такая, значит, статистика «точная» наука. Все зависит от того, _кто_ будет считать. И дело туту вовсе не в фальсификации фактов, а в… том банальном факте, что наше общество неоднородно, а раздробленно на множество групп, стратифицируемых, например, по профессиональному признаку. Ко мне в нору заходят в основном IT-специалисты, многие из которых вообще сидят на LINUX и xBSD, где про IE в лучшем случае что-то слышали. Дескать, есть где-то такая штука, ориентированная на домохозяйку, и дырявая как ведро без дна. Естественно, на сетевых ресурсах, заточенных под «домохозяек» расклад будет совершенно иной и там _действительно_ IE резко вырвется вперед, подмяв под себя и Лиса и Рыся и Оперу.

Отсюда: не бывает «статистики вообще». Красивые графики, диаграммы и таблицы ничего не стоят, если методы расчетов остались за кадром. А теперь самое важное. Ознакомившись с данными пресс-конференции «Вирусные итоги», окученной Лабораторией Каспеского в 30 января 2007 года в городе Москве, мыщъх склонен расценивать ее как очередной PR, но отнюдь не как серьезное статистическое исследование.

Судите сами. Сотрудники лаборатории предоставили подборку (цитирую): «наиболее любопытного и отчасти остроумного спама 2006 года, рекламирующего различные товары и услуги», но _ни_ одного из этих сообщений в течении года мыщъх не получал!!! Ни на ящики с антиспаммерскими фильтрами (типа mail.ru), ни на мело корпоративные сервера (без каких бы то ни было фильтров вообще), ни еще куда. Странная подборка, однако, получается. Причем, сплошь состоящая из _непрофессионального_ спама, рассылаемого неспециалистами в области рекламы/маркетинга. В чем смысл подобной коллекции? И как на счет авторских прав? Шутка, конечно, но юридически, спам — это литературное произведение, опубликованное автором, и без его разрешения оно не может быть использовано, тем более в искаженном виде, прошедшим «цензуру». Но ладно, это уже философия и придирки. Поговорим лучше о глобальных тенденциях в целом.

Находясь в сети уже более десяти лет (срок не такой уж маленький) и ощущая все глобальные тенденции на своей локальной шкуре, мыщъх заметил, что с удешевлением трафика и расширением пропускной способности каналов, поток спама сначала стремительно возрос (поскольку, теперь каждый владелец DSL мог рассылать миллионы писем в день, не пользуясь услугами внешнего SMTP), но затем… начал падать.

Качественно составленных рекламных объяснений в общем потоке кустарного спама встречается очень мало. Оно и неудивительно, никакая серьезная фирма не захочет рекламировать себя подобным образом, поскольку, понятия «престижа» никто не отменял, а конкурирующих решений со сходными (если даже не идентичными характеристиками) на рынке десятки.

Борцы со спамом выдают за верх литературного творчества, письма написанные в «личном» стиле, но рассылаемые миллионом. При этом та же простая статистика показывает, что выбираемые имена (типа Света/Драздрапера/Яна), _не_ являются самыми распространенными!!!! И опять-таки все они написаны дилетантами. Однажды из одной такой анти-спаммерской лаборатории (название которой говорить не буду, вы ее все равно не знаете), ко мне поступила просьба: «а как бы я составил такой спаммерское письмо?» Чисто в научно-экспериментальных целях, не отрываясь от докторской колбасы, политой кетчупом мыщъх, накатал последние следующего вида: «Лебединое перышко!!!! бла-бла-бла привет из глубины одиночества! у меня с ним те же самые проблемы! зажало оно со всех сторон, а ведь время идет… годы уходят словно песок из рук, хочется чтобы кто-то был рядом со мной, тот с кем можно улыбаться жизни и держаться друг за друга в бурю, непогоду и шторм бла-бла-бла, вот адрес моего сайта http://shitty-fitm.net, с подробной информацией обо мне». Естественно, данная телега была адресована женской части населения, озабоченной поисками принца на белом Мерседесе. А вот какое послание составила моя коллега по цеху Tineliana: «…и снова одна средь холодных и мрачных стен. Одна, а вокруг только пепел и тлен. Одна, в уголке умирает любовь, Одна, а с запястья струей бежит кровь… Неужели в этом мире нет ни одно настоящего мужика? Если есть, то я жду вас здесь http://shitty-fitm.net».

Спам, разосланный в собственной локальной сети, антиспаммероской компании (а это очень нехилая сеть) дал очень нехилый эффект, практически достигнув отметки 69% хитов, это это при том, что большинство сотрудников были уже женатые/замужные, а мыщъх с Tinelian'ой никогда не составлял спамерские сообщение до этого. Так сказать, первый опыт боевого крещения… Но опыт вполне успешный.

Какой из этого следует вывод? Спам не развивается. Он агонирует, поддерживая свою жизнедеятельность лишь за счет расширения Сети, в которую вовлекаются все новые и новые массы лохов, верящих в сказки.

Мыщъх часто слышит, что «доля спама в Интернете составляет такой-то процент». Очень полезная информация. Прямо откровение от Иоанна Богослова. Методика подсчета где?! Если нежелательное сообщение было успешно доставлено адресату, то оно, очевидно, этой статистикой не учитывается (процент пользователей, пожаловавшихся на спам относительно невелик). Нежелательные сообщения, выловленные фильтрами, блокируются и не доставляются, а потом должны быть изъяты из статистики (но ведь не изымаются!!!). Теоретически, более или менее правдоподобную статистику можно построить на основе флагом «возможно спам», доставляемых адресату, но отправленных в Junk, но… лично у меня в Junk чаще всего отправляются полезные письма, а бесполезные идут во входящие.

Методик «честного» подсчета «доли спама» до сих пор не разработано и потому говорить об изменении тенденций на спамовой арене можно только в рамках выбранной _модели_ статистических методик. Тот факт, что спам осваивает новые территории, такие как InstantMessenger'ы (типа ICQ), сотовые телефоны (SMS и проч. типы сообщений), а так же надвигается на формы и блоги, не должен никого удивлять. Равно как и пугать. Во всех этих случаях как раз таки от него легко защититься. В IM достаточно запретить получить сообщения от неизвестных нам людей (в IM даже не сколько спам изматывает, а идиотские сообщения в стиле: ты кто? а что ты сейчас делаешь? а погода у вас какая?), форумы давно затоплены ламерскими сообщениями и реально выживают либо моделируемые форумы, либо «клубы по предварительному приглашению», тоже самое относится и к блогам. Распространенная практика. Прежде, чем получить возможность оставлять свои комментарии, человек должен послать владельцу блока свой первый комментарий мылом или через всю ту же форму на блоге, после чего ему будет выдан специальный код (типа пароля), или… кое-кто окажется посланным куда подальше.

Реальной _угрозы_ от спама нет, чтобы об этом не говорили. Конечно, нежелательная корреспонденция крайне раздражает и пожирает трафик, но эти потери не в счет с теми убытками, которые создает не доставленная корреспонденция, задушенная агрессивно настроенными анти-спаммерсими фильтрами, стоящими где-то на транзитных узлах, или, что еще хуже — невозможность связаться с человеком, поскольку почтовый сервер отправителя (или один из промежуточных серверов) занесен в back-лист.

Короче, кончаем философствовать, и плавно переходим к подведению итого. Спам жив и жить еще буде долго. Для борьбы с ним придуманы многочисленные методики защиты (базы черных списков, сигнатурные фильтры и т.д.), вынуждающих спамеров совершенствовать методики рассылки корреспонденции, что в свою очередь заставляет разработчиков фильтров дописывать новые порции кода… Вот такое колесо Судьбы получается, вращающееся по кругу. В целом оно движется довольно плавно, но иногда спамеры совершают неожиданный прорыв (как, например, случилось с графическими сообщениями), к которому разработчики фильтров не были готовы (а «контрразведка» на что? а отдел анализа или предсказания?) и пока они там занимались программированием, нежелательные сообщения сыпались рекой, но, как только новые фильтры встали в строй, спамерная река вернулась в свои берега…

Говорить о будущем спама просто смешно. В долгосрочной исторической перспективе у спама нет будущего, а в краткосрочной… любой обиженный пионер, едва научившийся программировать, направит на ваш ящик шторм сообщений, который потом придется разгребать в лучшем случае часами…

Общаясь со своими зарубежными коллегами и часто оставляя мыло на различных форумах, мыщъх получает тонны свежевыпеченного спама, кстати, не фильтруемого отечественными фильтрами. По личным данным (еще раз подчеркиваю, по _личным_ а не глобально-статистическим) мыщъх имеет приблизительно следующий расклад.

Первое место занимают письма с предложением работы в Канаде и других странах. Причем предложения о работе вполне реальные (специально звонил по указанным телефонам и проверял), _никаких_ предварительных «взносов» платить не нужно, компания обязуется взять все расходы на себя, предоставив жилье, полный социальный пакет и прочую жизненно важный stuff. И все вроде бы ничего, да вот… Аналогичную работу (только с гораздо более высокой зарплатой можно найти и в России). Эти «предложения» мыщъх'а так задолбили, что стало колбасить по полной программе. Прямо иди и сдавайся на мясокомбинат. К счастью, такие послания распознаются с первого взгляда, ибо в левом вернем углу находится типичная для официальных бумаг колонка с информацией о северных оленях. <DEL> таким оленям, однозначны!

Второе место крепко держат всевозможные разновидности «нигирийский писем», типа вот я тут такая богатая принцесса, ищу лося с банковским счетом для перевода нескольких миллионов, не, ну миллионов это конечно мало будет, миллиардов долларов вот!!! Или… мы тут с товарищами откопали золото/алмазы и сейчас думаем, как бы все это богатство добыть и поделить по братски. Тут один карьерный грузовик чего стоит… А у нас в кармане ни шиша, так что давайте по хорошему — вы вкладываете в нас деньги, а мы львиную долю прибыли отдает вам. К письму прилагается куча ссылок на документы, заверяющие: а) право владения на землю отправителем письма и б) заключение независимых «экспертов» о стоимости месторождения. Документы, насколько мне поведали знакомые юристы, вполне подлинные, вот только… как бы так сказать…. «эксперты» были или бухие в стельку или…. В общем, земля есть, месторождение есть (!), но… один маленький момент — его разработка в силу тех или иных экономических обстоятельств неоправданна.

Третье место приходится на письма в стиле «ах заберите меня такую красивую из этой дыры, я буду вашей верной женой всего за 350 евро-енотов или около того». Иногда «по честному» пишут, что находятся на грани выживания и простят переслать хоть что-то (сколько душе не жалко), прилагая вполне нормальные фотографии самих себя и своего окружения.

Заметили разницу? Зарубежный спам порядка на два профессиональнее нашего и рассылается с вполне конкретной целью, несомненно дающей результаты. С одной из таких девушек, просившей денег на вылет, я даже встречался. Очень симпатичной и образованной оказалось. Тот факт, что она не захотела жить в моей норе и мы расстались — ничего не меняет. Письмо было _честным_ в отличии от них «разводных», где от имени девушки пишет усатых брюхастый пионер, убитый пивом, не читавший УК и не представляющий, что в один прекрасный день его могут упечь за мошенничество только так. Со свистом навозной пули.