Škodlivý kód má celou řadu podob, dokáže nás otravovat v různých variantách a mutacích. Dnes již samozřejmě své cesty hromadné nákazy nevolí prostřednictvím disket (i když alternativně přes USB zařízení ano), plně si vystačí s Internetem. Právě na současná nebezpečí a jejich přesné statistiky posbírané přímo na webu se staly náplní nedávné zprávy společnosti Symantec MessageLabs Intelligence Report, jejíž kompletní text je volně k dispozici na domovských stránkách www.messagelabs.com. Pojďme si řeč čísel odtajnit a prozkoumat ty nejožehavější hrozby.
Kdo podrobně sleduje statistiky světa bezpečnosti, již nejspíš tuší, že celkový objem nevyžádané pošty opět atakoval hranici devadesáti procent, kolem níž se vždy pohybuje. Tentokrát však v srpnu došlo k výraznějšímu nárůstu, celkový podíl činil 92,2 %. V praxi to tedy znamená, že méně než jedna zpráva z deseti má svého korektního odesilatele a příjemce. Ve srovnání s červencem došlo ke zvýšení o více než tři procenta v měřítku všech e-mailů.
Nechá se ještě někdo nalákat?
Citovaná analýza navíc odhaluje, že podíl nevyžádané pošty odeslané z robotických sítí se zvýšil na 95 % veškeré nevyžádané pošty. Nejvíce dominantní robotickou sítí rozesílající nevyžádanou poštu zůstala robotická síť Rustock, která odpovídá za většinu nevyžádané pošty odeslané z robotických sítí. V srpnu na ni připadalo 41 %, což je zvýšení oproti 32 % v dubnu, ale počet botů, která má pod kontrolou, se v srpnu snížil na 1,3 mil. z 2,5 mil. v dubnu.
Vývoj podílu spamu zasílaného prostřednictvím botnetů. Zdroj: Symantec
„Celkově se oproti minulým kvartálům množství rozesílané nevyžádané pošty mírně snížilo, protože se snížil počet botů ve většině robotických sítí,“ řekl Paul Wood, MessageLabs Intelligence Senior Analyst, Symantec Hosted Services. „Jedinou výjimkou je robotická síť Rustock, která má sice méně botů, ale vyšší objem. Objem nevyžádané pošty odeslané každým botem za minutu se více než zdvojnásobil, takže u této sítě došlo ke zvýšení každodenního počtu nevyžádaných e-mailů o 6 %.“
Existuje-li uživatel Internetu, který nikdy nepřišel do přímého styku se spamem, pak se jedná o velkého šťastlivce. Pokud totiž kdekoliv na webu umístíte svou e-mailovou adresu, můžete očekávat větší či menší záplavu nevyžádané pošty. Šíření spamu často využívají nejrůznější firmy jako cestu rychlé a levné reklamy na své produkty, výjimkou však bohužel nejsou ani spamové zprávy slibující vysokou výhru (dědictví, podíl, …) za relativně malý „manipulační poplatek“ – netřeba zdůrazňovat, že se jedná o podvodný tahák na peníze naivních důvěřivců.
Spameři využívají nejrůznějších technik pro získání e-mailových adres, generováním náhodných variant počínaje a obchodu s již existujícími databázemi konče. Někde mezi tím se nacházejí různé další varianty, například populární roboti pro hledání klíčových slov na webu a dolování dostupných adres. V praxi tak takovýto robot automatizuje hledání například slova sex v Googlu a následné projití stránek. Jakmile narazí na tvar odpovídající e-mailové adrese (v pro nás nejhorším případě rovnou plný odkaz mailto), přidá výsledek do generovaného seznamu.
Desítky let nežádoucí evoluce
Z uvedeného schématu vychází známé pravidlo, že by se e-mailové adresy neměly jen tak publikovat, nejde o soukromí, ale obranu před podobnými automaty. Problém však nastává v tom, co dělat se spamem. Koncové uživatele zpravidla nevyžádaná pošta zas až tolik netrápí, jelikož stávající filtry ji v drtivé většině případů správně zahodí do spamové složky. Jde však o potlačení následků problému, nikoliv jeho vyřešení. Důležitým milníkem se při rozesílání pošty v minulosti stalo právě systematické zneužití botnetů. Dříve testované metody DDoS útoků, kdy síť dobrovolně spojených počítačů odstavila hlavní zdroje rozesílání, by postihly i nic netušící uživatele, jejichž stroje se „jen“ staly hračkou ovládanou na dálku.
Podíl jednotlivých botnetů na celkovém objemu nevyžádané pošty. Zdroj: Symantec
Zvláštní pozornost z technického hlediska zasluhuje výše zmíněný botnet Rustock, který se bohužel dočkal většího dopadu. Jak zpráva MessageLabs Intelligence Report uvádí, jedním z důvodů zvýšení je to, že tato robotická síť přestala používat při odesílání nevyžádané pošty šifrování TLS a tím se zvýšila rychlost připojení. V době svého maxima v březnu tvořila nevyžádaná pošta šifrovaná pomocí protokolu TLS 30 % nevyžádané pošty ze všech zdrojů a až 70 % nevyžádané pošty ze sítě Rustock. Nyní, když se použití protokolu TLS při odesílání nevyžádané pošty snížilo, připadá na něj méně než 0,5 % veškeré nevyžádané pošty.
„Protože šifrování v rámci protokolu TLS zpomaluje připojení kvůli zvýšeným nárokům na zpracování při odesílání nevyžádaných e-mailů, lidé, kteří mají tuto robotickou síť pod kontrolou, si pravděpodobně uvědomili, že tato taktika omezuje jejich možnosti rozesílání nevyžádané pošty,“ řekl Wood. „Výsledkem je, že síť Rustock nikdy nedosahovala vyšší dominance. Počet nevyžádaných zpráv, které každý její bot odešle za minutu, se více než zdvojnásobil z 96 nevyžádaných e-mailů na 192.“
I na tomto příkladu je vidět, že útočníci jen tak neusínají na vavřínech, spíše se naopak snaží vymýšlet nové techniky pro větší efektivitu svých zákeřných taktik. Na začátku článku byly zmíněné klasické viry, jež za sebou mají desítky let vývoje, a také proto nás neustále straší. Ani spam již v žádném případě není nebezpečným novorozencem, a tak se útočníci snaží jeho ostří stále brousit.
Podíl spamu s využitím TLS. Zdroj: Symantec
Mozek jako nejlepší filtr
Proč je vlastně kolem spamu tolik povyku? Jedním z důvodů je samozřejmě fakt, že nás může otravovat, nicméně hlavní problém je s jeho zneužitím v podobě přístupové cesty do milionů počítačů. Spam totiž nesmíme chápat jen jako otravnou reklamu, ale jako opravdu hromadně rozesílanou poštu, jež se stává prostředníkem pro šíření virů a balamutění uživatelů. V tomto je hlavní nebezpečí nevyžádané pošty především u začínajících uživatelů, kteří ve svém mozku ještě nemají patřičně vytrénovaný pudový Bayesův filtr. Globální podíl e-mailů napadených virem v e-mailovém provozu z nových a dříve neznámých závadných zdrojů byl v srpnu jeden z 327,6 e-mailů (0,31 %), což je od července pokles o 0,02 procentního bodu. 21,2 % škodlivého kódu šířeného e-mailem obsahovalo v srpnu odkazy na nebezpečné webové servery, což je od července zvýšení o 4,1 procentního bodu. Tyto dva ukazatele taktéž naznačují trend opravdu nebezpečné nevyžádané pošty, a sice ústup od přikládání virů k většímu zneužití podvodných odkazů.
Jedním z důvodů může být větší osvěta uživatelů, že opravdu nemají klikat na přiložený soubor EXE s příslibem fotek nahé Anny Kurnikovové, dále pak samozřejmě větší blokace podobných zpráv již na cestě k nim. Spustitelné soubory nebo podezřelé přílohy totiž filtry většinou odříznou, mnohem hůře si však vedou v blokaci falešných odkazů, které jsou na stálém vzestupu. Ať už se nás útočníci a podvodníci budou snažit nalákat nejrůznějšími praktikami, vždy se spoléhejme hlavně sami na sebe a své rozhodnutí, nikoliv software, který by to měl udělat za nás. Ten může bez problémů nastoupit až jako reaktivní obrana, proaktivní složka by měla spadat především na naše bedra. Nejlepším filtrem je totiž náš vlastní mozek a jeho správné použití v kritických okamžicích.