Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Wyścig ze spamerami

Dodany 4 października 2012, 10:20 CEST
Tagi:

Kilka dni temu zostały opublikowane najnowsze wyniki testu VBSpam. W teście tym, przeprowadzonym przez Virus Bulletin w sierpniu, Kaspersky Linux Mail Security 8.0 wykrył 99,93% wszystkich użytych w teście wiadomości spamowych. Jest to nowy rekord dla firmy Kaspersky Lab, z którego jesteśmy bardzo dumni. Jewgienij Kasperski również wspomniał o tym wyniku w swoim blogu.

Ten wysoki współczynnik wykrywania nie wpłynął na jakość wykrywania – rozwiązanie wygenerowało tylko jedno fałszywe trafienie na ponad 10 000 wiadomości z kolekcji „niespamowej” użytej przez VB podczas testów.

Chociaż naprawdę cieszymy się z tych doskonałych wyników, w pewnym sensie spodziewaliśmy się ich: KLMS 8.0 jest połączeniem wszystkich nowych funkcji i technologii opracowanych ostatnio przez Kaspersky Lab. Wszystkie te nowe funkcje i technologie zostały zaprojektowane w celu umożliwienia szybszego wykrywania spamu przez nasze rozwiązanie antyspamowe.

Około roku temu spamerzy zaczęli aktywnie wykorzystywać sprawdzoną technikę. W wyścigu, w którym chodziło o wyprzedzenie analityków spamu i aktualizacji antyspamowych baz danych, zaczęli wysyłać miliony wiadomości na listy mailingowe w przeciągu bardzo krótkiego czasu – od kilku minut do pół godziny. W efekcie, część wysyłek spamowych trafiło do skrzynek użytkowników, zanim produkty bezpieczeństwa mogły otrzymać aktualizacje i zacząć blokować nowe wiadomości spamowe. Te błyskawiczne wysyłki spamowe stanowiły do niedawna główny problem rozwiązań antyspamowych.

Odpowiedzią firmy Kaspersky Lab było stworzenie nowych technologii, które weszły w skład KLMS. W rzeczywistości, reakcja Kaspersky Lab była potrójna.

Na początku 2012 r. została udostępniona nasza technologia wymuszonych aktualizacji antyspamowych baz danych w czasie rzeczywistym. Technologia ta znacznie przyspieszyła dostarczanie najbardziej krytycznych aktualizacji do produktów. W naszym Laboratorium Spamowym określamy ją jako Mobius; w produkcie nosi nazwę Enforced Anti-Spam Update Service [Usługa wymuszonych aktualizacji antyspamowych]. Dzięki tej technologii czas pomiędzy stworzeniem wpisu w bazie antyspamowej w Laboratorium Spamowym a dostarczeniem jej do produktu wynosi mniej niż minutę!

Backend serwera Mobius otrzymuje sygnatury tekstowe i obrazkowe z Laboratorium Spamowego, jak tylko analitycy dodadzą je do baz danych. Sygnatury te są najbardziej krytyczne pod względem czasu dostarczania, dlatego nasza nowa usługa pracuje z nimi. Na tym etapie bazy danych są automatycznie testowane pod kątem błędów. Po przetestowaniu aktualizacja jest dostarczana do front endu. Front end natychmiast wysyła aktualizację do klienta Mobius oraz produktu przy pomocy połączenia TCP, które jest stale utrzymywane między tymi dwoma komponentami.

Aktualizacje są publikowane praktycznie tak szybko jak szybko są wysyłane wiadomości spamowe. Pamiętacie historię o żółwiu i zającu? Zamiast próbować rywalizować z zającem, chytry żółw szuka pomocy przyjaciela. Podczas gdy jeden żółw stoi na starcie, drugi pojawia się na mecie. Tymczasem głupi zając biega od jednego do drugiego. Oczywiście, Mobius wyposażył naszego „żółwia” w dobre silniki; jednak nawet zanim usługa Enforced Anti-Spam Update Service stała się dostępna, istniała już koncepcja, która oznaczała, że nie było potrzeby dotrzymywać tempa zającowi, ale wystarczyło siedzieć w krzakach – w naszym przypadku, w chmurze – i czekać na jego przybycie!

Koncepcja ta została zaimplementowana w systemie UDS (Urgent Detection System) i z czasem ewoluowała do UDS 2. UDS2 to oparty na chmurze system bezpieczeństwa, który zapewnia dwukierunkową komunikację między użytkownikami Kaspersky Lab a ekspertami firmy. W czasie, gdy wiadomość spamowa jest przetwarzana, do bazy danych dodawana jest sygnatura, oblicza się wartość hash dla wiadomości i umieszcza ją w chmurze. Wcześniej posługiwaliśmy się 16-bajtowymi rozmytymi hashami; po wprowadzeniu UDS2 zaczęliśmy używać 4-bajtowych shingle’ów, czyli mikro-sygnatur. Shingle działają o wiele efektywniej w przypadku śmieci dodawanych do tekstu oraz gdy fragmenty tekstu są po prostu zamieniane w wiadomościach spamowych. Po stronie użytkownika shingle są tworzone dla podejrzanych wiadomości i wysyłane do tej samej chmury; w chmurze są już dostępne mikro-sygnatury, które zostały stworzone w Laboratorium Spamowym w oparciu o wiadomości spamowe. Sygnatury otrzymane od użytkownika są porównywane z tymi przechowywanymi w chmurze.

System UDS pierwszej generacji odpowiadał jedynie na pytania, czy dana sygnatura znajduje się w bazie danych. UDS2 grupuje sygnatury na podstawie ich podobieństwa, a technologia Content Reputation oparta na UDS2 oblicza dla nich reputację spamu. Pierwsza wersja tej technologii nosi nazwę Content Reputation v1 (Rescan); zasadniczo, jest to kwarantanna, która opóźnia na pewien czas (obecnie 50 minut) wiadomość, która nie jest rozpoznana jako spam, ale jest uważana za podejrzaną, ponieważ stworzone przez nią sygnatury odpowiadają klastrom o wysokiej reputacji spamu.

Zwykle wiadomości te są nieliczne: większość ruchu pocztowego zostaje wykryta jako spam albo uznana za czyste wiadomości. 50-minutowe opóźnienie daje analitykom w laboratorium antyspamowym czas na podjęcie ostatecznej decyzji odnośnie tego, czy podejrzane wiadomości są w rzeczywistości spamem czy nie. Tym samym, nie tylko przewidujemy dostawy spamu – ale również opóźniamy je!

Autoblock jest kolejną technologią opartą na UDS 2. Jeżeli sygnatura wiadomości znajduje się w klastrze o wysokiej reputacji spamu, jest automatycznie blokowana w chmurze. Dzięki tej technologii analityk może sprawdzić zablokowaną wiadomość w późniejszym czasie; jeżeli wiadomość nie zostanie uznana za spam, blokada zostanie automatycznie cofnięta.

A zatem w następnym etapie wyścigu mamy szansę prześcignąć naszych przeciwników!