Security Lab

Спам листами приторговывают Российские спецслужбы ?

Спам листами приторговывают Российские спецслужбы ?

Кто может контролировать весь российский трафик? Именно ВЕСЬ, а не кусками или участками. Логично предположить, что трафик в MSK-IX контролируется какими-то российскими спецслужбами (вряд ли разумно не взять контроль над этим стратегически важным узлом).

Анонимный автор

 Сначала приведем несколько цифр для размышления. За 2002 год объем спама в Рунете увеличился в 4-12 раз (это по официальным оценкам). По нашим собственным наблюдениям, полученным на основе данных спам-фильтра по трем десяткам электронных адресов, число незваных сообщений выросло за год в среднем более чем в 30 раз(!!!).

Спам становится все более значимой проблемой. В отдельные дни при просмотре результатов работы почтового фильтра обнаруживаешь, что до 90% всех пришедших сообщений было отфильтровано как рекламный мусор. Это более двух тысяч писем в день! В такие моменты  становится жалко пользователей, у которых почта не фильтруется.

Откуда берутся списки адресов электронной почты?

Кто этим занимается?

Как он это осуществляет?

На первый взгляд, это - несложные вопросы, на которые должны существовать очевидные ответы. Мы тоже так думали - в самом начале нашего исследования. В реальности же все оказалось намного сложнее.

Все началось с того, что однажды мы задумались – а как могут спамеры получать адреса электронной почты? Многочисленные объявления, которые вы можете встретить в Интернете, типа «продам базу данных из 30 тысяч адресов e-mail» или «разошлю недорого вашу рекламу по 100 тысячам адресов» и т.д. – все это говорит о масштабах в десятки и даже сотни тысяч адресов. Можно, конечно, представить себе людей, выписывающих эти данные из доступных газет и журналов. Существуют и программы, автоматически выискивающие и собирающие эти данные из сети в форумах, интернет-аукционах, сайтах знакомств и т.д. Но тут есть одно но: для этого эти адреса должны быть явно оставлены в том или ином виде. А спам приходит и на другие, малозаметные адреса. Вы можете создать адрес, послать с него одно-два письма своим самым близким и надежным друзьям, а потом проверить его через полгода. Чего там только не будет!  

Все говорит о том, что идет утечка данных. Откуда? Мы предположили недобросовестность какого-либо оператора, обслуживающего бесплатные почтовые ящики. Этот вариант кажется самым очевидным - ведь достаточно появиться недобросовестному сотруднику, имеющему доступ к базе данных, и вот  – готовые списки из тысяч клиентов и десятков тысяч контактирующих с ними адресов. Из полученных нами спам-листов объемом около 400 тысяч уникальных адресов никакого однозначного вывода сделать было нельзя. Ну, почти половина списка – это клиенты с адресами @mail.ru, @rambler.ru, @mtu-net.ru и т.п. Это вовсе ничего не значит – просто число таких пользователей действительно большое. Тем более что никакого доминирования одного из операторов не наблюдается.

Тогда в начале марта этого года мы начали эксперимент Каждый из участников зарегистрировал около десятка новых нестандартных адресов в самых различных местах (нестандартных - значит они не должны предвидеться - info@... и т.д. Пароли ко всем адресам на всякий случай были выбраны в соответствии с правилами криптографии и быстро не подбирались).

Ни один из этих адресов нигде не был «засвечен» - на форумах и т.д, вся переписка велась исключительно между ними и фиксировалась. Часть адресов так и осталась нетронутой после создания.

Результат появился уже через неделю – на пару адресов @rambler.ru пришли рекламные письма «Американского центра английского». С каждым днем число «пораженных адресов» росло, и к концу марта практически на все задействованные адреса пришел спам – где побольше, где поменьше. Что интересно – везде в числе непрошенных писем были и письма «Американского центра английского». «Молчавшие» ящики так и остались пустыми (несколько поздравлений к празднику 8 марта от самих же операторов, у которых они были зарегистрированы, можно легко объяснить и не учитывать).

Логика прослеживалась легко – если ящик «заговорил» - значит, начал получать в себя рекламный мусор. А вот оператора, у которого идет утечка, выявить таким экспериментом не удалось. Даже на адреса, открытые в далеком зарубежье, стал приходить спам, в основном – русскоязычный. Никаких разумных взаимосвязей не прослеживалось – засекались как группки в два-три адреса, общавшиеся исключительно между собой, так и более большие группы. Спамеры выявили все изолированные от внешних контактов группы адресов. Причем, даже утечкой данных у одного (и даже у всех операторов бесплатных e-mail) результат объяснить было нельзя сразу по двум причинам. Во-первых, тогда бы спам приходил и в «молчащие» ящики. А во-вторых (и что нас особенно шокировало) спам стал приходить на и другие адреса, открытые для эксперимента. Подчеркну, в этой эталонной группе контакты велись только между «своими» адресами и исключали возможность утечки у какого-либо оператора. Эта группа должна была остаться «чистой» и служить своего рода лакмусовой бумажкой, появления здесь спама мы не ожидали.

Давайте теперь немного подумаем. Не знаем, есть ли утечка у операторов или нет (надеемся, что сотрудники везде кристально честные и такой ерундой не занимаются). В любом случае, только этим фактором объяснить полученный результат нельзя. Единственный приходящий в голову вывод – идет перехват и просмотр всей переписки.

Кто может контролировать весь российский трафик? Именно ВЕСЬ, а не кусками или участками. Обратимся к теории построения сетей Интернет. Известно, что практически весь трафик и вся электронная переписка в России (до недавнего времени вообще вся) проходит так называемую точку обмена российским IP трафиком «MSK-IX (M9-IX)».

Мы не наивные дети, логично предположить, что эта точка контролируется какими-то российскими спецслужбами (вряд ли разумно не взять контроль над этим стратегически важным узлом). Кто именно – ФСБ, ФАПСИ (хотя с марта это уже тоже ФСБ) или кто-то еще – роли уже не играет. Может, и иностранные шпионы присосались к этому источнику информации – уж больно лакомое место. В общем, не наше дело кто там есть. Главное - то, что из этой структуры предположительно идет утечка различных данных.

Это мы действительно можем с большой вероятностью предположить. Приблизительная стоимость действующей базы электронных адресов на 100 тысяч человек – от 100 до 300 долларов (это нам объяснили, когда в самом начале исследования мы стремились получить для анализа спам-лист). Видимо, это слишком соблазнительные деньги для какого-то сотрудника. Какие еще данные идут на продажу – сложно даже предположить. Но, в конце концов, это не наша забота.

Итак, на первый из заданных в начале статьи вопросов ответ, похоже, найден. И оказался он несколько сложнее, чем можно было предположить в начале.

Посмотрим насчет второго вопроса – кто?

Приведены объединенные данные работы нескольких спам-фильтров в нескольких организациях за последние три месяца.

Явным лидером здесь является уже упоминавшийся в этой статье «Американский центр английского»

(кстати, именно 17 апреля нам так настойчиво предлагают позвонить и записаться на их курсы. Что если все читатели этой статьи (ну или хотя бы половина) позвонят? Во первых, их секретарши для начала просто сойдут с ума от обилия звонков. Во вторых, их курсы будут забиты желающими на многие годы вперед, что сведет с ума уже преподавателей. И в третьих, когда никто из записавшихся не придет – тут уже поедет крыша у начальства и менеджеров по рекламе)

На втором месте с большим отставанием – отфильтрованные и к тому же еще и инфицированные вирусами письма. С этими все традиционно и понятно.

Далее идет огромный ряд самых немыслимых рекламных, финансовых, религиозных, любовных и т.д. писем.

Мы даже почти все их прочитали – чего только не сделаешь ради науки.

Можно сделать один общий вывод:

НИКОГДА ХОРОШИЙ ТОВАР НЕ БУДЕТ РЕКЛАМИРОВАТЬСЯ ТАКИМ СПОСОБОМ.

Спам вызывает неприязнь сам по себе, как назойливая ТВ-реклама. И если в случае телевизора вы просто переключаете программу, то здесь просто удаляйте непонятные подозрительные письма. В лучшем случае – в них вирусы 

Как это делается?

Программ для подобной рассылки имеется множество. Отличаются они между собой незначительно. Задается, как правило, список из десятков или сотен прокси-серверов и список адресов. Всё! Далее процесс пошел.

Некоторые программы рассылки обладают подленьким свойством – указывать в письмах «от кого» (задается любой адрес по выбору, и тот, человек, которого вы по каким-то причинам очень сильно не любите, получит своеобразный «откат» - тысячи писем с сообщением в лучшем случае, что письмо доставлено/не доставлено, а в основном – с матюками).

Также встречаются рассылки через «зомби» - серверы, зараженные и управляемые «хакерами-некромантами». Это все же экзотика, хотя нам удалось выявить нескольких зомби, которых использовали для этих целей. Первое, что грозит таким серверам – всеобщее игнорирование, так как они становятся занесенными в «черный список» уличенных в спаме. Так что если ваш сервер перестал подключаться ко многим ранее доступным адресам – проверьте, а не рассылался ли с него массово какой-нибудь мусор.

Хотя «черные списки» - это не выход. Каждый день в сети появляются новые анонимные прокси-сервера и открытые почтовые релеи - за всеми не уследишь, все контакты не отрубишь. Лучшим на сегодняшний день выходом являются отлаженные и настроенные спам-фильтры, хотя и они не в 100% спасают…

Что будет дальше – непонятно. Интернет сам быстро замусоривается, а почта в нем замусоривается еще быстрее. При сохранении такого темпа роста спама вести нормальную переписку лет черед пять будет проблематично Может быть, стоит ввести уголовную ответственность за спам или даже (как предлагает Microsoft) оплачивать каждое посланное письмо...

Все это – меры, которые вряд ли общество с радостью встретит и поддержит. Других пока что в голову не приходит. А ведь делать что-то придется...

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!