Все имеет положительные и отрицательные стороны. Взять, к примеру, электронную почту. Какие потрясающие возможности открывает это дешевое, мгновенное и массовое средство связи! Но, увы! Эти достоинства оценили не только простые пользователи, но и ловкие коммерсанты, которым очень нравится новый способ практически бесплатно рассылать свою рекламу тысячам и даже миллионам потребителей. В результате наши с вами электронные почтовые ящики заполонили ненужные послания, а рассылка рекламы по электронной почте достигла таких масштабов, что угрожает снизить и без того небольшую пропускную способность Интернета и наносит огромный материальный ущерб.
Как все начиналось
В прошлом году спаму исполнилось 25 лет. История Интернета гласит, что первая массовая рассылка рекламного сообщения произошла в 1978 г., когда Сеть еще носила старое название — ARPAnet. Она соединяла научные центры, университеты и государственные организации в США и, согласно своему кодексу, использовалась лишь в некоммерческих целях. Но в один прекрасный день представитель компании Digital Equipment разослал всем пользователям ARPAnet объявление о демонстрации новых моделей компьютеров, которое вызвало шквал негодования компьютерной общественности.
Однако слово «спам» в лексиконе пользователей Интернета появилось позднее. В переводе с английского spam — колбасный фарш, в одном популярном юмористическом скетче его подавали посетителям ресторана с каждым блюдом. Из скетча слово «спам» перекочевало в Интернет-терминологию. Так стали называть рекламные объявления, которые в 1993 г. начали появляться в новостных конференциях Usenet. К счастью, эту атаку спамеров удалось легко остановить, так как технология Usenet предусматривает фильтрацию сообщений, и администраторы конференций просто удаляли спам до того, как он достигал большого числа людей. Потерпев неудачу здесь, спамеры переключились на рассылку рекламы по электронной почте. И добились в этом потрясающих «успехов».
Этому способствовали несколько факторов. Во-первых, из-за анонимности пользователей Интернета автора сообщения невозможно установить, если он сам того не захочет. Во-вторых, базовые протоколы Интернета обеспечивают возможность широковещательной рассылки — любимое орудие спамеров. И в-третьих, серверы электронной почты могут служить открытыми ретрансляторами (open relay), которые пересылают почту и другие данные по Сети, стирая при этом исходные адреса, позволяющие установить настоящий источник посланий. До последнего времени практически все серверные программы по умолчанию были открытыми ретрансляторами. Они и стали основным инструментом для спамеров.
Пугающая ситуация
В результате в последнее время спам стал настоящим проклятием Интернета. С ним знакомы все пользователи Сети — от мала до велика. А его объем растет с такой быстротой, что уже напоминает лавину.
По оценке компании Radicati Group, в середине прошлого года число ненужных электронных писем уже превысило количество полезной информации, пересылаемой всеми пользователями Всемирной паутины. По данным фирмы MessageLabs, которая специализируется в области компьютерной безопасности, в 2003 г. спама стало на 77% больше, чем в 2002 г. В мае половину корпоративной почты составили несанкционированные сообщения, а в декабре — более двух третей (!). В MessageLabs подсчитали, что в конце прошлого года в день отправлялось порядка 15 млрд. таких писем, а в 2006 г. их станет 20 млрд. В Radicati Group считают, что спам-посланий будет еще больше.
Это серьезно сокращает пропускную способность сетей и вынуждает сотрудников предприятий тратить немало рабочего времени на удаление мусора из почты, приводя к огромным финансовым потерям. Согласно подсчетам американской компании Basex, предприятие теряет из-за спама 600—1000 долл. в год на одного сотрудника. При этом учитывались снижение производительности труда, нагрузка на каналы связи, стоимость дополнительного дискового пространства на почтовых серверах и программ защиты от спама, а также оплата труда технических специалистов и затраты на обучение пользователей. Потери растут по экспоненте. Так, по оценке Basex, за последний год ущерб от спама в мировом масштабе вырос вдвое и составил 20 млрд. долл. Для сравнения: вирусы причинили в прошлом году гораздо меньший урон — 12,2 млрд. долл. (данные Computer Economics).
Но на самом деле убытки от спама еще больше, так как некоторые потери трудно учитывать. Например, если спамер обманом использовал чужой адрес для своих рассылок, этот адрес попадает в «черный» список, и отправленные с него письма никогда не дойдут до адресата. Кроме того, как ни конфигурируй программу против спама, все равно вместе с мусором она удалит одно или два нужных сообщения.
Пользователи, наученные горьким опытом, не знают, кому можно доверять и боятся сообщать свои электронные адреса. Из-за этого компании также несут финансовые потери, так как не могут связаться с потенциальными потребителями.
Но это еще не все пороки спама. Он раздражает не только частотой появления в почтовом ящике, но и характером содержащейся информации. По данным Федеральной комиссии по торговле США, 66% рекламных писем содержат ложные сведения о предлагаемых товарах и услугах.
Спам трудно победить, так как он очень дешев (порядка одной сотой цента за письмо). Например, рассылка 10 тыс. посланий стоит примерно 10 центов, а если придет хотя бы один заказ, это с лихвой окупит все затраты, которые компании платят спамерским фирмам, занимающимся массовой рассылкой рекламы по заказу клиентов. Поэтому бизнес, связанный с несанкционированной рекламной рассылкой через Интернет, растет не по дням, а по часам.
В настоящее время спам становится все более криминальным. Вначале его использовали лишь предприимчивые коммерсанты, а теперь за дело взялись злоумышленники. В прошлом году были отмечены две очень опасные тенденции.
Во-первых, спам начал сращиваться с вирусами. Сближение происходит с обеих сторон — создатели спама включают вирусы, а вирусописатели стараются воспользоваться «троянцами» для спамовских рассылок. Например, именно к этому типу относится червь Sobig.F, который заражает компьютер и тайно устанавливает на нем открытый ретранслятор, через который спамеры шлют свои послания, причем владелец компьютера об этом даже не подозревает.
Во-вторых, спамеры изобрели новый трюк. Они рассылают по электронной почте письма, очень похожие на сообщения известных торговых или финансовых компаний (например, eBay, Best Buy или Citibank), чтобы заставить пользователей зайти на специально созданный фиктивный сайт и оставить там секретную личную информацию (PIN-коды, номера кредитных карточек, счета в банке или карточки социального обеспечения).
Что же делать? Прежде всего стоит воспользоваться простыми житейскими правилами: заполняя регистрационные формы, указывать не основной, а запасной электронный адрес, не оставлять адрес на хорошо посещаемых сайтах (например, на тех, где можно скачивать бесплатную музыку, фильмы), не «светиться» на популярных Интернет-форумах, не отвечать на несанкционированные письма, не сообщать свой адрес в чате.
Однако и эти очевидные правила не всегда уберегают. Профессиональные спамеры применяют изощренные методы: программы-роботы, скачивающие адреса электронной почты с серверов или особые «словарные» программы, которые генерируют десятки тысяч всевозможных комбинаций букв и цифр, содержащихся в почтовых адресах. Но самый дешевый и быстрый способ — покупка готовых списков. В США можно купить 100 млн. электронных адресов всего за 100 долл., а в России пакет из 100 тыс. электронных адресов стоит от 50 до 100 долл.
Поэтому одной житейской мудростью не обойдешься. Требуются более серьезные меры. В настоящее время существуют два основных способа борьбы со спамом — технологический и законодательный.
Технологии с трудом держат оборону
Программные продукты против спама представляют собой фильтры для электронной почты и бывают трех типов: для провайдеров, предприятий и индивидуальных пользователей. Все они имеют преимущества и недостатки.
Так, практически все провайдеры фильтруют спам, но, по оценке компании Spamsoap, сокращают его объем лишь на 30—50%.
Клиентские фильтры трудно установить и настроить. Кроме того, они работают только с программой электронной почты (Outlook или Outlook Express) и не фильтруют сообщения, поступающие через Web-почту или беспроводную связь.
Эти проблемы можно решить с помощью корпоративного фильтра, установленного на выделенном сервере — он управляется централизованно, настраивается в соответствии с требованиями предприятия и сортирует почту, приходящую из любых источников (включая Web-сайты и беспроводные линии). Но такое решение стоит недешево и требует наличия специалистов для обслуживания.
Для фильтрации спама применяются различные методы. Один из них — проверка адреса отправителя по «черным» спискам (например, RBL, Real-time Black Lists, Open Relay Database), которые в разных странах ведут провайдеры и общественные организации.
Письма, поступающие с этих адресов, игнорируются и не доходят до адресата. Этот метод удобен, но не лишен недостатков. Доверяя посторонним право решать, какую почту принимать, а какую — нет, предприятия рискуют, так как нередко в эти списки попадают не спамеры, а вполне добропорядочные компании (например, такой казус недавно произошел с корпорацией British Telecom). Причем случайные жертвы могут об этом даже не знать, так как авторы «черных» списков посылают уведомление уже после включения в список (или вообще не посылают). Кроме того, спамеры уже давно научились обходить «черные» списки, отправляя свои послания с чужих адресов.
Поэтому применяются и другие способы борьбы, такие как интеллектуальный анализ формальных признаков писем, эвристические алгоритмы и лексическая проверка на наличие словосочетаний, характерных для спама. К сожалению, все они не исключают ложных срабатываний, из-за которых вместе с мусором выбрасываются важные сообщения.
Но даже такая изощренная защита не помогает. По мнению аналитиков из MessageLabs, причина в том, что традиционные методы борьбы способны лишь реагировать на деяния злоумышленников, т. е. они как бы следуют за спамерами. Полезнее были бы превентивные средства, которые способны самостоятельно обучаться и обновляться и поэтому предотвращать не только известные атаки, но и новые способы нападения. Но пока в этом направлении лишь ведутся исследовательские работы.
Возможно, остановить спам могло бы устранение основы его распространения — перечисленных выше недостатков почтовых и интернетовских технологий. Такие попытки уже предпринимаются. В октябре прошлого года в составе комитета Internet Research Task Force организована рабочая группа Anti-Spam Research Group, задача которой — согласовать различные протоколы, позволяющие проверить, является ли отправитель электронного письма тем, за кого себя выдает. Группа рассмотрит протоколы Sender Permitted From (SPF), Designated Mailers Protocol (DMP), Reverse Mail Exchange (RMX) и выработает на их основе единый стандарт. Идея в том, чтобы внести изменения в систему доменных имен (Domain Name System) и позволить почтовым серверам публиковать свои IP-адреса. Тогда провайдеры смогут быстро проверять подлинность источника электронных писем, а спамеры лишатся возможности вести рассылки с чужих адресов.
Три ведущих американских провайдера — America Online, Yahoo и Microsoft — пошли другим путем и заключили союз с целью изменения технологии электронной почты. Они заявили, что будут поддерживать создание соответствующих стандартов и технических руководств, а также помогать потребителям и предприятиям бороться со спамом.
Любопытно, что общая угроза объединила даже таких ожесточенных конкурентов, как эти три компании. Кроме того, Microsoft обещает включить более мощные антиспамовые технологии в будущие версии почтовых программ.
Законодатели спешат на помощь
Не в силах справиться со спамом самостоятельно, индивидуальные и корпоративные пользователи на Западе давно требовали помощи от государственных органов. И получили ее, по крайней мере, в некоторых странах.
Так, в прошлом году Евросоюз запретил рассылку несанкционированной электронной почты. В принятой директиве содержатся общие для всех стран ЕС нормы защиты конфиденциальности электронных почтовых адресов. Например, теперь компания не имеет права продать список адресов своих клиентов без их согласия, а владелец сайта — предоставить рекламному агентству данные о посетителях.
В декабре в Великобритании вступил в силу закон по борьбе со спамом, по которому отправитель почтового мусора может быть оштрафован на 5 тыс. фунтов стерлингов (8 тыс. долл.). Все те, кто рассылает незапрашиваемые электронные или SMS-сообщения, должны в обязательном порядке заранее получить согласие получателей. Однако под этот закон не подпадает рассылка нежелательной почты на корпоративные адреса.
Потери от спама растут по экспоненте — за последний год ущерб в мировом масштабе вырос вдвое и достиг 20 млрд. долл. Если в мае 2003 г. несанкционированные сообщения составляли половину корпоративной почты, то в декабре — уже более двух третей.
В Италии пошли еще дальше — с сентября прошлого года спамера можно оштрафовать на сумму до 90 тыс. евро или посадить за решетку на срок до трех лет, если будет доказано, что несанкционированная рассылка проводилась с целью получения прибыли.
В США теперь тоже будут штрафовать или сажать в тюрьму за спам. Отдельные штаты и раньше принимали меры по борьбе с этим злом, а с 1 января 2004 г. вступил в силу единый федеральный закон с длинным названием Controlling the Assault of Non-Solicited Pornography and Marketing Act (CAN-Spam), предусматривающий наказание для частных лиц и компаний, посылающих нежелательные сообщения адресатам, которые перед этим оповестили отправителей, что не хотят впредь получать такие письма. При этом закон не налагает полного запрета на спам, однако вводит жесткие ограничения на методы его рассылки и разновидности рекламируемых товаров и услуг. Так, рекламные сообщения обязательно должны содержать в строке «Тема» аббревиатуру ADV.
Закон вызвал неоднозначную реакцию. Сторонники одобрили его, считая важным появление национального стандарта на маркетинг по электронной почте. А противники заявили, что он не только не улучшит, но даже ухудшит ситуацию, поскольку фактически узаконит тот спам, который соответствует основным критериям. Например, теперь любая компания или человек имеет право послать по крайней мере одно нежелательное сообщение, и оно не считается спамом, поскольку получатель еще от него не отказался. Но все согласны с тем, что лучше хоть такой закон, чем никакого. Сейчас еще рано судить о его эффективности.
К сожалению, никакие национальные законы не могут победить спам, поскольку он не признает государственных границ. В Европе и Америке большинство почтовых серверов сконфигурированы так, что не могут стать основой для незаконной рассылки рекламы. Поэтому около 70% мусорных сообщений приходит в США из Азии (в основном из Китая) и Латинской Америки, где борьба с этой напастью еще не начиналась.
Заключение: помоги себе сам
Как следует из всего сказанного, против спама не существует единого простого средства. Учитывая его интернациональный характер, бороться с ним нужно сообща. Для этого все страны должны заключить соглашение, например, такое, которое уже давно регулирует работу обычной почты. Но пока до этого еще далеко, нужно применять другие способы.
По мнению аналитиков, для решения проблемы требуется сбалансированная комбинация мер, включающая совершенствование технологий, законодательные акты, а также просвещение пользователей и предпринимателей. Кроме того, многое зависит от провайдеров и предприятий. Первые должны предложить индивидуальным и корпоративным абонентам качественные услуги по фильтрации спама, а вторые — внедрить эффективные решения для защиты своих сетей.
Спамеры должны платить
По мнению компании Forrester Research, никакие законодательные и технологические меры не остановят спам, пока не устранят его основу — спамеры почти ничего не платят за свои рассылки, а все расходы несут получатели — провайдеры, предприятия и потребители. Поэтому аналитики предлагают решать проблему экономическими методами — сделать электронную почту платной. Это можно реализовать различными способами.
Во-первых, организовать структуру по типу сети Visa, включающей эмитентов кредитных карт, их держателей и торговые предприятия. Для такой структуры нужно выработать стандарты и установить правила платы за рассылку рекламы.
Во-вторых, можно использовать технический подход и разработать систему определения истинных отправителей электронных посланий, например, идентификатор пользователя, по которому провайдер будет подсчитывать количество отправленных писем и выставлять счет. При этом стоимость не должна быть высокой — даже цена в четверть цента за письмо разрушит спам-бизнес.
Кроме того, считают аналитики, стоит вводить плату только за крупные рассылки, а для индивидуальных пользователей, посылающих не более тысячи сообщений в месяц, почта может оставаться бесплатной.