Билет № 2



1) Спам. Риски, связанные с распространением Спама.



Спам (англ. spam) — рассылка коммерческой и иной рекламы или иных видов сообщений лицам, не выражавшим желания их получать.



В общепринятом значении термин спам в русском языке впервые стал употребляться применительно к рассылке электронных писем. Незапрошенные сообщения в системах мгновенного обмена сообщениями (например, ICQ) носят название SPIM (англ.)русск. (англ. Spam over IM).



Доля спама в мировом почтовом трафике составляет около 80 % (2011)



Риски и проблемы из-за спама

Провайдеры хостинга предоставляют коммерческие услуги электронной почты, а значит, несут определенную ответственность за качество таких услуг в соответствии с законодательством, регулирующим отрасль связи. Снижение качества этих услуг ведет к определенным рискам для провайдера. К таким рискам, которые, в частности, возникают из-за наличия проблемы спама, можно отнести чрезмерные нагрузки на почтовые сервера и замедление доставки почты; потерю части легитимной почты из-за использования ошибающихся систем защиты от спама; попадание в различные черные списки из-за клиентов-спамеров и, как следствие, потерю части почты и так далее. Рассмотрим риски подробнее.

Риски: лишний трафик на сеть провайдера и чрезмерная нагрузка на почтовые сервера

Еще один серьезный риск для провайдера - это заметный входящий трафик на сеть провайдера. Принимая спам для своих клиентов, провайдер платит за тот трафик, который создается этим спамом. У крупных провайдеров это сотни гигабайт 'мусорных' данных ежемесячно. Возможно, для крупных провайдеров это и незаметный объем данных, но, мы знаем, копейка рубль бережет.

К тому же получаемый спам приходится хранить на жестких дисках почтовых серверов. По нашей собственной статистике, спам составляет 90-95 процентов от общего объема почты. То есть только одна десятая почты, которая хранится у провайдера, это то, что нужно пользователю. Остальные 90% хранимых данных - это спам, который пользователю не нужен. Для его хранения нужны диски, за диски надо платить, а удовлетворенность пользователя от работы с услугой заметно снижается. Диски в почтовых серверах дорогие, так как серьезный сервер - это серьезная нагрузка, в первую очередь, именно на диски, и нам приходится использовать для хранения почты дорогие дисковые массивы.

Получается, что провайдеры платят огромные деньги за хранение огромного количества спама. Мне известны случаи, когда дисковая подсистема почтового сервера провайдера стоит около 100 тысяч долларов, и на ней хранится: спам. Расходы на оказание услуг электронной почты из-за этого возрастают, на это отвлекаются значительные финансовые средства. Это серьезный риск для провайдера.

Кроме того, для приема огромного потока почты нужны очень серьезные мощности (процессоры и память) самих серверов. Количества спама растет, приходится покупать новые сервера. Это тоже деньги, отвлекаемые от основной деятельности хостинг-провайдера.

Риски: необходимость создания службы ABUSE

Для того чтобы обрабатывать жалобы клиентов на недоставляющуюся почту, нужно создать соответствующую службу - ABUSE. Это отдельный сотрудник или группа сотрудников, которые занимаются разбором жалоб клиентов, контактами с администрацией серверов, которые не принимают от провайдера почту, урегулированием других подобных ситуаций, имеющих отношение к спаму. Как правило, перечисленные функции выполняет отдел технической поддержки.

Нужно тратить время и деньги на обучение сотрудников, оплачивать то время, которое они тратят на разбор жалоб. Это несколько часов в день. Соответственно, зная средние зарплаты технического персонала, можно подсчитать примерные расходы на службу ABUSE. Для крупных провайдеров это четырехзначные цифры в долларах ежемесячно. Опять же, эти деньги расходуются далеко не на основную деятельность.

Риски: клиенты-спамеры

Клиенты, рассылающие спам, представляют серьезную угрозу для провайдера. Во-первых, результатом такой деятельности клиентов является попадание провайдера в различные черные списки. Как правило, работа с клиентом заключается в проведении 'профилактической' беседы, так как почти все такие клиенты, а их немного, рассылают спам по причине того, что не имеют представления о цивилизованных и нецивилизованных методах рекламы в Интернете. Обычно после одной беседы проблем с клиентом нет.

Другую, гораздо большую проблему представляют клиенты, которые используют для рассылки спама не сервера провайдера, а услуги профессиональных спамеров. В этом случае в письме указывается адрес веб-сайта клиента, который размещается на технических мощностях провайдера, а непосредственно рассылка происходит через множество взломанных компьютеров по всему миру.

По закону невозможно закрыть рекламирующийся таким способом сайт, так как причины, по которым можно приостановить предоставление услуг, четко оговорены в законе, и жалоба третьей стороны, которая получила спам, разосланный без использования мощностей провайдера и ссылающийся на размещенный у него ресурс, не является основанием для закрытия сайта. Риски, которые тут возможны, это то, что на провайдера 'обидятся' самые 'экстремальные' антиспамеры и сервера провайдера попадут в самые 'неправильные' черные списки.

Далее возникают сложности по удалению IP-адресов провайдера из таких списков. Что касается работы с клиентом по таким случаям, то, как правило, хватает устной беседы, как и в случае с рассылкой через SMTP-сервер провайдера, и рассылка спама прекращается.

Нельзя предоставлять качественную услугу без защиты от спама

Сейчас невозможно себе представить серьезную почтовую систему без защиты от спама. Это так, хотя бы потому, что клиенты, недовольные огромным количеством мусора в ящике, ищут 'где лучше' и легко меняют провайдера по этой причине. Предложений на рынке огромное количество, и многие провайдеры декларируют, что они защищают почту от спама. В нашей практике есть сотни случаев, когда нашу компанию выбирали именно из-за серьезных возможностей защиты от спама.

Отсутствие грамотной системы защиты от спама - реальная потеря денег. Равно как и в случае с использованием неграмотной системы защиты - клиенты наверняка сменят провайдера, когда по его вине пропадет несколько важных деловых писем. Этому существует масса примеров из практики.



2) Выявление уязвимостей КС. Классификация уязвимостей.



Классификация уязвимостей

Уязвимостью (vulnerability) я называю любую характеристику информационной системы, использование которой нарушителем может привести к реализации угрозы. При этом неважно, целенаправленно используется уязвимость или это происходит ненамеренно. В качестве нарушителя может выступать любой субъект корпоративной сети, который попытался осуществить попытку несанкционированного доступа к ресурсам сети по ошибке, незнанию или со злым умыслом.

Проблема уязвимостей и их обнаружения исследуется очень давно, и за время ее существования предпринимались различные попытки классифицировать уязвимости по различным критериям. Например, американские проекты Protection Analysis Project и RISOS, исследования лаборатории COAST или компании Internet Security Systems и т.д. Каждая организация приводила и обосновывала свою классификацию. Однако ни одна классификация не может быть категоричной. Например, уязвимость, использование которой для ОС Unix (например, переполнение буфера демона statd) может иметь самые плачевные последствия (самый высокий приоритет), для ОС Windows NT может быть вообще не применима или иметь очень низкую степень риска. Кроме того, существует неразбериха и в самих названиях атак и уязвимостей. Например, одна и та же атака, может иметь совершенно различные наименования у разных производителей (Таблица 1).

В процессе практической деятельности я разработал свою классификацию, отражающую этапы жизненного цикла любой информационной системы (Таблица 2).

Таблица 2. Категории уязвимостей

Этапы жизненного цикла ИС

Категории уязвимостей ИС



Проектирование ИС

Уязвимости проектирования



Реализация ИС

Уязвимости реализации



Эксплуатация ИС

Уязвимости конфигурации



Наиболее опасны уязвимости проектирования, которые обнаруживаются и устраняются с большим трудом.

Смысл уязвимостей второй категории (уязвимости реализации) заключается в появлении ошибки на этапе реализации в программном или аппаратном обеспечении корректного с точки зрения безопасности проекта или алгоритма. Яркий пример такой уязвимости - "переполнение буфера" ("buffer overflow") во многих реализациях программ, например, sendmail или Internet Explorer. Кстати, приведенный выше пример с ракетой Ariane 5 относится именно к этой категории уязвимостей.

Последняя причина возникновения уязвимостей - ошибки конфигурации программного или аппаратного обеспечения. Наряду с уязвимостями реализации они являются самой распространенной категорией уязвимостей. Существует множество примеров таких уязвимостей. К их числу можно отнести, например, доступный, но не используемый на узле сервис Telnet, использование "слабых" паролей или паролей менее 6 символов, учетные записи (accounts) и пароли, остановленные по умолчанию (например, SYSADM или DBSNMP в СУБД Oracle), и т.д. Обнаружить и исправить такие уязвимости проще всего (Таблица 3).

Таблица 3. Возможности по обнаружению и устранению уязвимостей

Категория уязвимости

Обнаружение Устранение



Уязвимости проектирования

Трудно и долго Трудно и долго (иногда невозможно)



Уязвимости реализации

Относительно трудно и долго Легко и относительно долго



Уязвимости конфигурации

Легко и быстро Легко и быстро



Реальным примером использования такой уязвимости явился взлом базы данных компании Western Union, специализирующейся на денежных переводах, которая 8 сентября 2000 г. объявила о том, что из-за "человеческой ошибки" неизвестному злоумышленнику удалось скопировать информацию о кредитных карточках около 15,7 тысяч клиентов ее Web-сайта. Представитель Western Union сообщил, что взлом произошел, когда во время проведения регламентных работ были открыты системные файлы, доступ к которым во время штатной работы сайта имеют только администраторы. Western Union настаивала, что это не проблема архитектуры системы защиты, это была ошибка персонала.