V dob∞ psanφ tohoto Φlßnku ot°ßsß sv∞tov²m internetem vrchol infekce virem SoBig.F. Tento virus se od v∞tÜiny p°edchozφch liÜφ tφm, ₧e byl napsßn specificky za ·Φelem podpory Üφ°enφ nevy₧ßdanΘ komerΦnφ poÜty (spamu).
Pro typickΘho koncovΘho u₧ivatele internetu p°edstavujφ viry a spam pouze nep°φjemnost: nutnost mazat z e-mailovΘ schrßnky mno₧stvφ zprßv, p°φpadn∞ platit za jejich stahovßnφ. OvÜem pro provozovatele e-mailov²ch systΘm∙, zejmΘna t∞ch velk²ch, p°edstavujφ viry a spam problΘm zcela zßsadnφ. A vyhlφdka na jejich vzßjemnou podporu a symbi≤zu hrozφ a₧ problΘmy existenΦnφmi. M∙₧e se stßt, ₧e spoleΦn²mi silami viry a spam zahubφ svΘho hostitele: e-mail, nejpou₧φvan∞jÜφ slu₧bu internetu na poΦßtku 21. stoletφ.
Trocha historie
Standardy, kterΘ dnes pou₧φvajφ tΘm∞° vÜechny internetovΘ poÜtovnφ servery, loni oslavily dvacet let existence. Protokoly SMTP a formßt poÜtovnφch zprßv vznikly v dob∞, kdy nikdo neoΦekßval, ₧e by poΦet zasφ¥ovan²ch poΦφtaΦ∙ a jejich u₧ivatel∙ mohl dosahovat dneÜnφch hodnot. A jakkoliv se brßnφm tomu, oznaΦit je za ÜpatnΘ, je to na nich vid∞t. P∙vodnφ nßvrhy nepoΦφtaly s posφlßnφm jinΘho typu obsahu ne₧ prostΘho textu a poΦφtaly s tφm, ₧e formßt by m∞l b²t v zßsad∞ "lidsky Φiteln²". èlo v podstat∞ o drobnΘ rozÜφ°enφ unixovΘ vnit°nφ poÜty v rßmci jednoho systΘmu.
Zßsadnφ zm∞nu do elektronickΘ poÜty p°inesl a₧ formßt MIME (Multipurpose Internet Mail Extensions), definovan² p∙vodn∞ v RFC1341, nynφ v RFC2045-RFC2049. Jeho omezenφ si byli v∞domi i sami auto°i, kdy₧ napsali: "N∞kterΘ z mechanism∙ popsan²ch v tΘto sad∞ dokument∙ mohou po prvnφm p°eΦtenφ p∙sobit divn∞, a₧ zbyteΦn∞ p°ebujele. Je d∙le₧itΘ poznamenat, ₧e kompatibilita s existujφcφmi standardy a soulad s praktikami pou₧φvan²mi v souΦasnosti (nestandardizovan²mi pozn. aut.) byly dv∞ nejvyÜÜφ priority, se kter²mi auto°i tyto dokumenty vytvß°eli. Jinak °eΦeno, v₧dy jsme up°ednost≥ovali kompatibilitu p°ed elegancφ." Jako Φlov∞k, kter² proÜel martyriem psanφ odpovφdajφcφho parseru, z celΘho srdce - a se z°eteln∞ slyÜiteln²m sk°φp∞nφm zub∙ - souhlasφm.
Standard MIME umo₧≥uje posφlßnφ jin²ch ne₧ Φist∞ textov²ch dat - HTML formßtovan²ch zprßv s vlo₧en²mi obrßzky, attachment∙ a podobn∞. Vzhledem k implementaΦnφ volnosti (na stran∞ odesφlatele) a slo₧itosti (na stran∞ p°φjemce) vytvß°φ sluÜn² prostor pro chyby, kter²ch vyu₧φvala p°edchozφ generace e-mailem se Üφ°φcφch vir∙.
ProblΘm: viry
Prvnφ generace e-mailem se Üφ°φcφch vir∙ vyu₧φvala hlouposti u₧ivatele. Druhß generace vyu₧φvala chyb v e-mailov²ch klientech. T°etφ se s ·sp∞chem vrßtila k osv∞dΦenΘ hlouposti, pouΦena poznßnφm, ₧e je to spolehliv∞jÜφ.
Z hlediska sprßvce poÜtovnφho serveru je vlastnφ projev viru (nap°φklad smazßnφ urΦit²ch soubor∙) nezajφmav²: to je problΘm u₧ivatele. NicmΘn∞ virus se sna₧φ dßle Üφ°it, a to u₧ pro sprßvce problΘm je, proto₧e jeho systΘm se musφ vyrovnat s obrovsk²m mno₧stvφm zprßv, kterΘ jest zßhodno n∞jak zpracovat.
AntivirovΘ programy
Poslednφ dobou zaΦφnßm dospφvat k zßv∞ru, ₧e antivirovΘ programy jsou spφÜe problΘmem ne₧ °eÜenφm - zejmΘna v tΘ "domßcφ" verzi, jsou-li nasazeny na poΦφtaΦi klienta. Dßvajφ u₧ivateli faleÜn² pocit bezpeΦφ: "Kdy₧ to proÜlo antivirem, je to v po°ßdku." ╚asto ale nejsou schopny reagovat na virovΘ nebezpeΦφ dostateΦn∞ rychle (i v °ßdu jednotek hodin). Domßcφ u₧ivatel nenφ schopen si systΘm aktualizovat dostateΦn∞ Φasto - jednou t²dn∞, dokonce ani jednou denn∞ nemusφ staΦit. Ale i v tom nejlepÜφm p°φpad∞ jde pouze o ΦßsteΦnΘ °eÜenφ: virus bude zneÜkodn∞n, ale a₧ u u₧ivatele. P°edtφm musφ projφt e-mailov²m systΘmem a b²t cel² sta₧en na klientsk² poΦφtaΦ.
Smyslupln∞jÜφ variantou, vyskytujφcφ se bohu₧el v souΦasnosti tΘm∞° v²hradn∞ na serverech v∞tÜφch firem, je antivirov² filtr p°φmo na serveru. VirovΘ databßze takov²ch filtr∙ b²vajφ aktualizovßny v podstat∞ v reßlnΘm Φase, tak₧e majφ dobrou ·sp∞Ünost. Zavirovan² e-mail odmφtnou jeÜt∞ p°edtφm, ne₧ se v∙bec dostane k dalÜφmu zpracovßnφ. Ochrßnφ tedy systΘm p°φjemce zprßvy.
P°φpad viru SoBig.F ovÜem dokßzal, ₧e antivirovΘ systΘmy mohou zp∙sobovat v∞tÜφ problΘmy ne₧ virus samotn². Naprostß v∞tÜina jich toti₧ poÜle na adresu uvedenou jako odesφlatel zprßvy pom∞rn∞ obsßhlou zprßvu o tom, ₧e e-mail nebyl doruΦen, proto₧e byl vyhodnocen jako zavirovan². N∞kterΘ obzvlßÜt∞ stupidnφ systΘmy k tomu p°ilo₧φ i kompletnφ p°edm∞tnou zprßvu. Tak₧e zatφmco mi nedorazila jedinß kopie viru jako takovΘho - ty odchytila moje vlastnφ content gateway -, byl jsem obÜ¥astn∞n tisφci zprßv o tom, ₧e moje zprßva nemohla b²t doruΦena. P°itom vÜechny nov∞jÜφ viry adresu odesφlatele podvrhujφ, tak₧e ten, kdo je jako odesφlatel uveden, nemß se zprßvou nic spoleΦnΘho.
A jsme op∞t u protokolu SMTP, kter² nejen ₧e umo₧≥uje snadnΘ podvr₧enφ adresy odesφlatele, proto₧e si ji ₧ßdn²m zp∙sobem neov∞°uje, ale navφc ani nijak nekodifikuje formßt chybov²ch zprßv. Nenφ tedy mo₧nΘ zajistit, aby u₧ivatel dostßval informace pouze o t∞ch chybßch, kterΘ se t²kajφ zprßv, je₧ skuteΦn∞ odeslal.
ProblΘm: spam
Spam mß s viry spoleΦnΘ problΘmy, je₧ zp∙sobuje: velkΘ mno₧stvφ zprßv, kterΘ zahlcujφ poÜtovnφ servery, p°enosovΘ trasy a mailboxy u₧ivatel∙. èpatnΘ je, ₧e se podstatn∞ h∙°e detekujφ a p°i jejich automatizovanΘ detekci je v∞tÜφ pravd∞podobnost faleÜnΘho poplachu. V souΦasnΘ dob∞ jsou nejefektivn∞jÜφmi zp∙soby blokace spamu kombinace IP blacklistingu a heuristickΘ anal²zy.
IP blacklisting
V∞tÜina spam∙ je Üφ°ena prost°ednictvφm nedostateΦn∞ zabezpeΦen²ch SMTP server∙ - open relay. K tomu existuje n∞kolik systΘm∙ (nap°. www.ordb.org, www.spamcop.net), naz²van²ch RBL - Realtime Blackhole List. Do nich jsou zapisovßny IP adresy server∙, kterΘ jsou nedostateΦn∞ zabezpeΦenΘ nebo kterΘ ji₧ byly zneu₧ity k posφlßnφ spamu. P°ijφmajφcφ mailserver si pak m∙₧e ov∞°it, zda poΦφtaΦ, se kter²m komunikuje, nenφ na "blacklistu", a zachovat se podle toho. N∞kterΘ poÜtovnφ servery majφ tuto funkΦnost vestav∞nu p°φmo v sob∞ (nap°. XMail Server, www.cz.xmailserver.org), do jin²ch se dß po°φdit pat°iΦn² plug-in, p°φpadn∞ tyto databßze um∞jφ vyu₧φvat i n∞kterΘ antivirovΘ programy a content gateways (nap°. Symantec AntiVirus for SMTP Gateways).
V²hodou blacklistingu je nφzkΘ procento faleÜn²ch poplach∙, nev²hodou to, ₧e spame°i nynφ Φasto pou₧φvajφ sofistikovan∞jÜφ metody, jako nap°φklad open proxy nebo r∙znΘ trojany.
Heuristickß anal²za
Tato metoda je zalo₧ena na syntaktickΘ a sΘmantickΘ anal²ze obsahu e-mailu: specializovan² program prohledßvß zprßvu a hledß znaky, kterΘ by mohly naznaΦovat, ₧e jde o spam (pou₧itφ urΦit²ch slov, slovnφch obrat∙ Φi technologiφ), nebo ₧e tomu tak nenφ (pou₧itφ PGP signatury a podobn∞). Na zßklad∞ t∞chto p°φznak∙ poΦφtß sk≤re a p°i dosa₧enφ urΦitΘ hodnoty zprßvu oznaΦφ za spam.
Pravd∞podobn∞ nejrozÜφ°en∞jÜφm zßstupcem tΘto technologie je open-source SpamAssassin. Obdobnß technologie je implementovßna i v novΘ verzi MS Office Outlook 2003. Tato metoda mß pom∞rn∞ vysokou ·sp∞Ünost, ale je zde sluÜnΘ nebezpeΦφ, ₧e i nevinnΘ e-maily budou odmφtnuty jako spam.
Smrtφcφ symbi≤za: p°φpad Sobig.f
SouΦasnou hv∞zdou virovΘ scΘny je virus Sobig. Prvnφ varianta (Sobig.a) se objevila v lednu 2003. Smyslem existence tohoto viru je podpora Üφ°enφ spamu: virus se sna₧φ instalovat na napadenΘ poΦφtaΦe trojskΘho kon∞, kter² umo₧nφ pou₧itφ poΦφtaΦe jako proxy pro Üφ°enφ spamu. PodobnΘ technologie vy°adφ RBL sφt∞ ze hry a bude zßviset Φist∞ na anal²ze obsahu.
V d∙sledku 11. zß°φ 2001 je dnes za "terorismus" oznaΦovßno cokoliv nepohodlnΘho. Ve sv∞tle mo₧nosti °ßdovΘho nßr∙stu obtφ₧n∞ filtrovateln²ch spam∙ kombinovan²ch s viry se zaΦφnßm i jß p°iklßn∞t k nßzoru, ₧e oznaΦenφ "kyberterorismus" je pro tuto Φinnost vφce ne₧ na mφst∞.
╪eÜenφm je zm∞na
Jedin²m trvale udr₧iteln²m °eÜenφm situace s viry a spamem je podle mΘho nßzoru implementace nov∞jÜφho a schopn∞jÜφho poÜtovnφho protokolu. Nßstupce SMTP by m∞l °eÜit zejmΘna tyto dva jeho hlavnφ problΘmy:
Zamezenφ nebo alespo≥ ztφ₧enφ podvr₧enφ odesφlatele e-mailu. Mo₧nostφ je implementace kryptografick²ch technik na bßzi elektronickΘho podpisu, co₧ bude ovÜem narß₧et na problΘmy technologickΘ i etickΘ. PostaΦujφcφm °eÜenφm by bylo urΦit poÜtovnφ servery oprßvn∞nΘ odesφlat poÜtu za danou domΘnu.
V souΦasnΘ dob∞ jsou pomocφ MX zßznam∙ v DNS definovßny servery pro p°φjem poÜty (mail exchangery). Pokud by bylo mo₧no urΦit a ov∞°it servery, kterΘ majφ oprßvn∞nφ poÜtu za danou domΘnu odesφlat, ztφ₧ilo by to mo₧nost falÜovßnφ adresy odesφlatele.
AutomatizovanΘ °eÜenφ problΘmov²ch stav∙. Protokol SMTP p°enßÜφ v maximßlnφ mφ°e zodpov∞dnost za °eÜenφ problΘmov²ch stav∙ na u₧ivatele. Neexistence standardizovan²ch a poΦφtaΦem zpracovateln²ch informacφ o chybßch znamenß, ₧e nelze problΘmy s chybami °eÜit n∞jakou automatickou nebo alespo≥ automatizovanou cestou. Nenφ tedy mo₧nΘ zajistit ani tak trivißlnφ funkΦnost, jakou je jistΘ navßzßnφ chybovΘho hlßÜenφ na konkrΘtnφ zprßvu. Nßstupce protokolu SMTP by se mohl inspirovat nap°φklad u X.400, kter² tyto stavy °eÜφ celkem uspokojiv∞, by¥ za cenu podstatn∞ vyÜÜφ slo₧itosti.
Bohu₧el je velmi nepravd∞podobnΘ, ₧e se takovΘ zm∞ny doΦkßme v brzkΘ dob∞. Firmy ji₧ investovaly do vybudovßnφ poÜtovnφ infrastruktury tak vysokΘ Φßstky, ₧e se nedß p°edpoklßdat, ₧e by cht∞ly stßvajφcφ °eÜenφ opustit a investovat do n∞Φeho jinΘho. Dß se tedy oΦekßvat, ₧e elektronickß poÜta bude nßsledovat p°φkladu IPv4, resp. nezavedenΘho IPv6: vÜichni v∞dφ, ₧e stßvajφcφ technologie nestaΦφ, ale nemajφ penφze na novou.
