Фильтрация нежелательных электронных сообщений

Из уже пройденного материала известно, что одной из наиболее многочисленных групп вредоносных программ являются почтовые черви. Также известно, что львиную долю почтовых червей составляют так называемые пассивные черви, принцип действия которых заключается в попытке обмануть пользователя и заставить его запустить зараженный файл.

Схема обмана очень проста: зараженное червем письмо должно быть похожим на письма, часто встречающиеся в обычной почте:

· Письма от друзей со смешным текстом или картинкой

· Письма от почтового сервера, о том что какое-то из сообщений не может быть доставлено

· Письма от провайдера с информацией об изменениях в составе услуг

· Письма от производителей защитных программ с информацией о новых угрозах и способах защиты от них

· И другие подобные письма

При рассылке зараженных писем, червь составляет их текст по заданному автором вируса шаблону и таким образом все зараженные этим червем письма будут похожи.

Следовательно, проблема состоит в том, чтобы защитить пользователя от определенного рода нежелательных писем, похожих друг на друга. Практически аналогичным образом формулируется и проблема защиты от спама - нежелательной почты рекламного характера. И для решения этой проблемы есть специальные средства - антиспамовые фильтры, которые можно применять и для защиты от почтовых червей.

Для того чтобы на только что созданный почтовый ящик начал приходить спам, необходимо, чтобы этот новый адрес каким-либо образом попал в список рассылки злоумышленника. Поэтому факт отправки на домашний электронный адрес незапрошенных писем может означать две вещи:

· Электронный адрес каким-либо образом попал в руки компании, рассылающей спам. Это может произойти когда, например, пользователь оставил свои координаты на публичных сайтах, в форумах и чатах, при подписке на не заслуживающие доверия почтовые рассылки.

· Компьютер, на котором в каком-либо виде хранился этот e-mail (например, в адресной книге), был заражен почтовым червем, имеющим процедуру поиска электронных адресов, или трояном, ворующем конфиденциальную информацию, в том числе адреса. Это может быть машина друга, коллеги, дальнего знакомого, интернет-магазина или другого сайта, на рассылку писем с которого подписан пострадавший.

Следовательно, если пользователь имеет привычку оставлять свой адрес на различных Интернет-ресурсах, то установка антиспамового фильтра просто необходима. Если нет - то крайне желательна, поскольку застраховаться от кражи адреса с чужого компьютера, при этом не прекращая переписку с его хозяином, очень сложно.

Ряд почтовых программ содержит встроенные антиспамовые фильтры. Однако большей частью они показывают довольно слабую функциональность, поскольку их основная технология - это самообучение и иногда анализ служебных заголовков. Для полноценного же антиспама необходима фильтрация на основе регулярно обновляющихся антиспамовых баз. Поэтому установка отдельной персональной антиспамовой программы - самое оптимальное решения для домашних пользователей.

Персональная антиспамовая программа также может входить в состав антивирусного комплекса и управляться из единого интерфейса с возможностью одновременного обновления баз антиспама, антивируса и других установленных компонентов защиты.

Для фильтрации нежелательной почты в антиспамовых фильтрах применяется несколько методов:

· Черные и белые списки адресов. Черный список - это список тех адресов, письма с которых фильтр отбраковывает сразу, не применяя других методов. В этот список нужно заносить адреса, если с них постоянно приходят ненужные или, хуже того, зараженные письма. Белый список, наоборот - список адресов хорошо известных пользователю людей или организаций, которые передают только полезную информацию. Антиспамовый фильтр можно настроить так, что будут приниматься только письма от адресатов из белого списка

· Базы данных образцов спама. Как и антивирус, антиспамовый фильтр может использовать базу данных образцов нежелательных писем для удаления писем, соответствующих образцам

· Самообучение. Антиспамовые фильтры можно "обучать", указывая вручную, какие письма являются нормальными, а какие нежелательными. Через некоторое время антиспамовый фильтр начинает с большой достоверностью самостоятельно определять нежелательные письма по их похожести на предыдущий спам и непохожести на предыдущие нормальные письма

· Анализ служебных заголовков. В письме в относительно скрытой форме хранится служебная информация о том, с какого сервера было доставлено письмо, какой адресат является реальным отправителем и др. Используя эту информацию антиспамовый фильтр также может решать, является письмо спамом или нет. Например, некоторые почтовые сервера, часто использующиеся для рассылки спама, заносятся в специальные общедоступные черные списки, и если письмо было доставлено с такого сервера, вполне вероятно, что это спам. Другой вариант проверки - запросить у почтового сервера, действительно ли существует адресат, указанный в письме как отправитель. Если такого адресата не существует, значит письмо скорее всего является нежелательным

Использование антиспамовых фильтров помогает защититься и от некоторых почтовых червей. Самое очевидное применение - это при получении первого зараженного письма (в отсутствие антивируса это можно определить по косвенным признакам) отметить его как нежелательное и в дальнейшем все другие зараженные письма будут заблокированы фильтром.

Более того, почтовые черви известны тем, что имеют большое количество модификаций незначительно отличающихся друг от друга. Поэтому антиспамовый фильтр может помочь и в борьбе с новыми модификациями известных вирусов с самого начала эпидемии. В этом смысле антиспамовый фильтр даже эффективнее антивируса, т. к. чтобы антивирус обнаружил новую модификацию необходимо дождаться обновления антивирусных баз.

Заключение

Все вышеперечисленные средства, так или иначе, могут помочь в борьбе с вирусами, но ни одно из них полностью проблему не решает. Далеко не все вирусы распространяются путем атак на сетевые службы и могут быть заблокированы брандмауэрами. Многие вредоносные программы не имеют никакого отношения к электронной почте, а значит антиспамовые фильтры против них бессильны. Какими бы ни были организационные меры, люди их применяющие могут ошибаться.

Исправления

Как уже известно, вирусы нередко проникают на компьютеры через уязвимости ("дыры") в операционной системе или установленных программах. Причем чаще всего вредоносными программами используются уязвимости операционной системы Microsoft Windows, пакета приложений Microsoft Office, браузера Internet Explorer и почтовой программы Outlook Express.

Для того, чтобы не дать вирусам возможности использовать уязвимость, операционную систему и программное обеспечение нужно обновлять. Производители, как правило, раньше вирусописателей узнают о "дырах" в своих программах и заблаговременно выпускают для них исправления. Некоторые компании выпускают исправления время от времени, по мере обнаружения уязвимостей. Другие компании выпускают исправления на регулярной основе, например, компания Microsoft выпускает исправления каждый второй вторник месяца.

Для загрузки и установки обновлений в большинстве программ и систем есть встроенные средства. Например, в Windows ХР имеется специальный компонент Автоматическое обновление, параметры работы которого настраиваются в окне Свойства системы, доступном через панель управления (см. рисунок 3), в Windows 7 – Центр обновления.

 

Рисунок 3 – Настройки автоматического обновления Windows XP

 

C помощью этого компонента можно автоматически загружать исправления для операционной системы Windows XP, а также для Internet Explorer, Outlook Express и некоторые исправления для Microsoft Office по мере их появления.

В качестве альтернативы компоненту Автоматическое обновление можно использовать специальную программу - Microsoft Baseline Security Analyzer, доступную для бесплатной загрузки на сайте Microsoft. Эта программа может использоваться не только на Windows XP, но и на других операционных системах Microsoft Windows семейства NT.

Кроме проверки, все ли выпущенные исправления установлены, программа также обнаруживает слабые места в настройках операционной системы, такие как пустые или слабые пароли, открытые на запись папки общего доступа и др. Подобные слабые настройки также могут использоваться вирусами для распространения, в частности через папки общего доступа по локальной сети.

В последнее время вредоносные программы, использующие уязвимости в Windows и прикладных программах, появляются все быстрее и быстрее после выхода исправлений к этим уязвимостям. В некоторых случаях вредоносные программы появляются даже раньше исправлений. Помня об этом, необходимо своевременно устанавливать исправления и лучше всего для этого использовать средства автоматической установки, описанные выше.

Хотя большинство вредоносных программ используют уязвимости в продуктах Microsoft, существует немало и таких, которые эксплуатируют дыры в программах других производителей. Особенно это касается широко распространенных программ обмена сообщениями, браузеров и почтовых клиентов. Поэтому мало просто установить браузер, отличный от Internet Explorer, его тоже нужно обновлять по мере выхода исправления. Чаще всего, в подобных программах есть встроенные средства обновления, но для подстраховки нелишним будет следить за новостями на веб-сайтах, посвященных вопросам безопасности. Информация обо всех критических уязвимостях и исправлениях к ним обязательно попадает в новостную ленту.