E-mail stojí na křižovatce

Problémy, které trápí e-mail, už dosáhly proporcí epidemie. Jen málo uživatelů uniklo záludnostem spamu a řada z n...


Problémy, které trápí e-mail, už dosáhly proporcí epidemie. Jen málo uživatelů
uniklo záludnostem spamu a řada z nich již padla i za oběť phishingu,
narůstající formě on-line krádeží identity. Po internetu se šíří zlomyslné
kódy, jež dokážou změnit počítač nic netušícího uživatele na zombie, která se
po spuštění stává poštovním serverem, chrlícím spamy. V následujícím textu se
ale spíše než na popis problémů zaměříme na jejich řešení.
Výše uvedených problémů se nelze snadno zbavit. Nevyřeší je ani nová verze
Microsoft Exchange, ani větší disk. Internetová komunita usilovně vyvíjí
technologie chránící před těmito hrozbami a zákonodárci se snaží využít
legislativních nástrojů k postihování původců e-mailových trestných činů.
Nevyžádaná pošta se stala takovou celosvětovou bolestí, že se uvažuje o
zavedení mezinárodních zákonů proti spamu a o vytvoření nových regulačních
institucí.
"Vidíme, že v sázce je přinejmenším ochrana a zachování internetu takového, jak
ho známe," říká Robert Shaw, poradce ITU (International Telecommunications
Union) pro internetovou strategii. Přesto se všechny zainteresované strany
shodují na tom, že zatím prakticky neexistuje žádný efektivní způsob léčby
e-mailu pouze jeho omezení.

Komunikační krize
Statistiky hovoří o problému, který jen tak nepomine. ITU odhaduje, že spam
tvoří asi 80 % ze všech e-mailů odeslaných přes internet a stojí světové
hospodářství 25 miliard dolarů ročně. Podle Anti-Phishing Working Group bylo
pouze za červenec hlášeno 1 974 jednotlivých útoků phishingu. A co je ještě
horší, nikdo neví, co číhá za dalším rohem.
Autoři spamů jsou stále o krok před vývojem ochranných technologií; dali přitom
vzniknout celému odvětví prodejců antispamových filtrů, kteří se snaží držet
krok s jejich nejnovějšími triky. Zloději identit vytvářejí e-maily a webové
stránky, které jsou prakticky identické s těmi, které karikují, a lákají i
zkušené uživatele počítačů do důmyslných léček, jejichž výsledkem je zisk
důležitých osobních údajů a hesel. Viry, které mění počítače na zombie
vysílající spamy, poškozují jméno nevinného uživatele a znemožňují určit
skutečný zdroj e-mailu.
"Když mluvíte s lidmi, kteří používají e-mail, zejména z řad spotřebitelů,
říkají, že s ním teď mají řadu potíží. Dostávají spoustu neužitečných zpráv a
některé z nich mohou být i nebezpečné," říká Greg Olson, zakladatel a předseda
společnosti Sendmail, výrobce e-mailového softwaru. "Celá služba je tím
ohrožena," dodává.
Přesto by málokdo došel tak daleko, aby tvrdil, že e-mail jako oblíbený
mechanismus komunikace skončí. Nejenže podniky investovaly příliš mnoho času a
peněz do vybudování své komunikační infrastruktury a strategie založené na
on-line vztahu se zákazníky, ale e-mail se pevně zakořenil do každodenního
stylu naší práce.
"Přivodili jsme si nesmírnou závislost na e-mailu. Proto si nemyslím, že bychom
byli v postavení, kdy lze jít zpět a říci: Začnu zase lidem telefonovat nebo
psát dopisy," říká Howard Schmidt, manažer pro informační bezpečnost u eBay a
bývalý specialista Bílého domu pro počítačovou bezpečnost. "Když se ohlédneme
za technologickým vývojem, vždy jsme překonávali problémy a postupovali dál;
toto je prostě další věc, kterou musíme zvládnout." Přesto se zdá, že dny, kdy
jsme odesílali nebo dostávali zprávy bez rizika nebo obtěžování, jsou
nenávratně ty tam.

Zastavení spamu
Jediným způsobem, jak zbavit svět spamu, je zařídit, aby se jeho posílání
ekonomicky nevyplatilo. Provozní náklady spojené s chrlením spamů po internetu
jsou tak malé, že autorům spamů stačí jen nejnižší míra odpovědí, aby si
vydělali. Kdyby uživatelé e-mailů přestali odpovídat na miliony nabídek k
refinancování svých hypoték nebo k nakupování léků na předpis, spammeři by je
přestali posílat. Další možností řešení je i zvýšení rizika pro odesílatele
prostřednictvím postavení odesílání nevyžádaných komerčních e-mailů mimo zákon.
To již činí legislativa v řadě zemí světa.
Došlápnout si na phishing, což je svým způsobem podvod, a tedy trestný čin,
znamená najít pachatele a kvantifikovat škody způsobené obětem což, jak
zjistili například již vyšetřovatelé v USA, je náročné. Mezitím hlásí Federal
Trade Commission, že nárůst krádeží identity pokračuje; agentura obdržela v
minulém roce 214 905 stížností, což je o 86 212 více než v roce 2001.
Zamezení zneužívání e-mailů se zatím zdá být nedosažitelným cílem, a tak se
technologické společnosti, průmyslové asociace, právníci, a dokonce i
mezinárodní instituce jako OSN snaží brát tento problém méně vážně. I když se
názory, jak nejlépe zabránit zneužívání, liší, zdá se, že všichni souhlasí s
tím, že bude třeba kombinovat nové technologie, silnou legislativu s vážnými
důsledky, důsledné vymáhání zákonů, vzdělávání konečných uživatelů a
mezinárodní spolupráci, aby bylo možno s problémem bojovat.

Technická taktika
Zdá se, že na technologické frontě se tvoří koalice na základně myšlenky
přidávat k e-mailu autentizaci odesilatele a nechat příjemce ověřit zdroj
zprávy. Technologie ověření odesilatele zprávy by zaplnila mezeru, která vězí v
SMTP a která umožňuje, aby byla internetová pošta ve své podstatě zcela
anonymní.
Původně nebyl internet konstruován s ohledem na autentizaci odesilatele,
protože nikdo potřebu takové ochrany nepředvídal. "Když jsem převzal v roce
1976 tehdejší internetový projekt v DARPA, neměl systém konkrétní autentizaci
pro každou zprávu. Předpokládali jsme, že uživatelská komunita je důvěryhodná.
Nyní víme, že to není pravda," říká Vint Cerf, první viceprezident pro
technologickou strategii u MCI, který je všeobecně známý jako jeden z vynálezců
technologií internetu.
Někteří puristé říkají, že přidání autentizace změní podstatu internetu, jehož
výhodou je volný tok komunikace, která překračuje ekonomické, geografické i
kulturní hranice. Většina pozorovatelů má ale praktičtější pohled při tolika
uživatelích a tolika penězích, které se zde dají vydělat, bude nutné, aby
vznikla určitá forma regulace.
"Vznik podobných problémů přichází zcela přirozeně s tím, jak narostlo
uplatnění internetu," říká Sanjay Pol, viceprezident pro antispamové iniciativy
u společnosti Cisco. "Je to ostuda, ale zároveň je to nevyhnutelný stav."

Legislativní snahy
Dokud nebudou moci být spammeři spolehlivě identifikováni, zůstávají zákony
vydané na pomoc boji proti spamu v širším rozsahu k ničemu. Americký zákon
označovaný jako Can-spam, který je účinný od 1. ledna, udělal pro zastavení
nevyžádaných zpráv málo, částečně protože vyžaduje, aby vynutitelé práva
dokázali najít narušitele. To je na internetu zapeklitý úkol; odesilatelé se
mohou snadno maskovat za někoho, kým nejsou. Navíc velký podíl spamu přichází
ze zámoří, z oblasti mimo dosah zákona.
"To je zřejmě primární problém v boji se spamem dokázat najít lidi, kteří to
posílají," říká firemní právník FTC Michael Goodman. "S e-mailem bez
autentizace je pro spammery až příliš snadné porušovat zákony, aniž by byli
dopadeni."
"Cílem Can-spam nebylo omezit počet nevyžádaných zpráv, které přicházejí do
schránek," dodává Goodman. "Jeho ustanovení o negativní volbě jež má zabránit
pracovníkům marketingu, aby posílali e-maily příjemcům, kteří zasílání odmítli
jenom činí za určitých podmínek posílání spamu nelegálním. S negativní volbou
můžete říci: Nechci o vás slyšet; ale zákon nemá příliš mnoho nástrojů, aby
snížil množství spamu," říká Goodman. "Právě tady musejí hrát největší roli
technologie," dodává.
S tím, jak přibývají incidenty s phishingem, dochází k určitým snahám věnovat
se i této formě on-line krádeže identity. V červenci například v USA představil
senátor Patrick Leahy Zákon proti phishingu, který činí z uvedené činnosti
federální přečin, který může znamenat uvěznění pachatele až na pět let.
Současné právo přitom stanoví, že phishing je zločinem pouze tehdy, byl-li
někdo podveden. Leahyův návrh by postavil mimo zákon samotný pokus oklamat
uživatele e-mailů.
Zákony jedné země samozřejmě nemají žádnou sílu vůči odesilatelům spamu a
phishingu, kteří bombardují e-mailové schránky ze zahraničí. V posledních
několika měsících upozornily mezinárodní instituce na rostoucí problém
mezinárodního zneužívání elektronické pošty a vynořilo se několik návrhů
protiakcí.

Mezinárodní účast
V červenci pořádala ITU konferenci, kde se setkali regulátoři internetu ze 60
zemí, aby diskutovali o potřebě regulace a o možnostech technologií zamezit
zneužívání e-mailu. Výsledkem byla výzva všem vládám, aby vydaly zákony proti
spamu dodnes tak učinilo přes 30 zemí a určily regulátory, kteří se budou
věnovat konkrétně nevyžádaným e-mailům. Jakmile vydá protispamové zákony více
zemí, bude se moci připravit mezinárodní memorandum, které by mohlo vést k
vynutitelnosti zákona i za hranicemi. Skupina si uvědomuje, že kromě několika
výjimek nebyly antispamové zákony nijak oslnivě účinné, ale plánuje podělit se
o zkušenosti z různých zemí, aby se zjistilo, co funguje a co ne.
Jak se dá očekávat od kterékoliv mezinárodní organizace, účinek této iniciativy
se neprojeví přes noc. Zpráva shrnující výsledky pracovní skupiny pro
doporučení proti spamu nebude uveřejněna před listopadem 2005.
V srpnu 2004 ustavila Organizace pro hospodářskou spolupráci a rozvoj (OECD)
pracovní komisi pro monitorování antispamových inciativ u 30 členských vlád a
studium souvisejících strategií. Studie bude probíhat po dobu dvou let a poté
skupina navrhne nejlepší postupy a informační kampaň pro veřejnost. V říjnu
ohlásila FTC svůj Akční plán na stíhání spamu, podepsaný agenturami z 15 zemí.
Plán, který podle FTC staví na stejných snahách jako ITU, OECD a další, vyzývá
k vytvoření mezinárodní pracovní skupiny pro spam a ke zvýšení výcviku pro
vyšetřovací orgány a k ustavení kontaktních bodů, aby každá země mohla rychle
reagovat na dotazy vyšetřovatelů.
"Sečteno a podtrženo jde o globální problém, který dopadá na spotřebitele a
obchod všude na světě a vyžádá si spolupráci všech nejvyspělejších technologií,
vlád a dokonce i spotřebitelů aby se vyřešil," říká George Webb, obchodní
ředitel skupiny pro antispamové technologie a strategii u Microsoftu. "Řešení
se neobjeví přes noc, ale společně se k němu blížíme," dodává.

Trable se spywarem
Uživatelům internetu ztrpčuje život nejen phishing a spam, ale také mnohé další
nekalé aktivity. K těm nejnepříjemnějším patří spyware.
V jedné nemocnici v USA, konkrétně v Scott & White Hospital, se spyware stal
takovým problémem, že tato organizace připravuje plány, jak drasticky omezit
přístup svých zaměstnanců na internet. "Naším největším problémem je spyware,
který pochází z podvratných webových stránek," říká Steve Raynes, ředitel IT
auditu nemocnice. Spyware totiž zahlcuje i počítače používané pro péči o
pacienty.
Personál v počtu 7 000 zaměstnanců má již nyní prostřednictvím filtru zamezen
vstup na herní a pornografické webové stránky. Raynes říká, že Scott & White
uvažuje, že k tomuto seznamu přidá i on-line nakupování. Podle vlastních slov
velmi postrádá programy proti spywaru, které by měly funkce hlášení,
automatické aktualizace, skupinových opatření, karantény a vzdálené
konfigurace, které jsou běžné u antivirových produktů.
Jared Winter, správce PC a LAN u Western United Insurance, říká, že nakonec
musel najít vhodný nástroj, když spyware srazil grafický systém jeho
společnosti na kolena. Používá PestPatrol od CA. "Některý spyware stahoval
viry," říká. "Tak jsem zjistil, že používání anti-spywaru svým způsobem pomáhá
i proti virům," dodává.
Až donedávna neexistovaly produkty proti spywaru, konstruované s ohledem na
velké sítě pouze spotřebitelský software nebo freeware pro jedno pracoviště.
Teď však spotřebitelsky orientované produkty proti spywaru od firmy Computer
Associates (která nedávno fúzovala s výrobcem anti-spywaru PestPatrol),
Tenebril a Webroot pozvedají tento druh produktů na vyšší úroveň vhodnou i pro
podnikové sítě. Také Aluria, Giant Software, McAfee a Sunbelt Software tvrdí,
že se chystají uvést na trh anti-spywarový software pro podnikové sítě.

Různé definice
I když IT manažeři jistě uvítají rostoucí možnost výběru, kupující vždy narazí
na jeden problém že totiž každý prodejce softwaru definuje spyware trochu
odlišně a prodává značně se lišící počet signatur cokoliv mezi 20 000 a 200 000
jež mají zasáhnout soubory spywaru, které na počítačích působí. To znamená, že
porovnávat tyto produkty není snadné. "V tomto oboru neexistuje společná
definice škůdce," říká Josh Blanchfield, výkonný ředitel Tenebrilu. Zdá se
však, že většina prodejců souhlasí s tím, že spyware zahrnuje kromě škodících
trojských koňů a registrátorů hesel také adware používaný pro reklamní účely.
McAfee dokonce preferuje neužívat slovo spyware, protože některé internetové
marketingové firmy včetně společnosti Claria, která dělá Gator eWallet a další
software pro cílenou prezentaci reklamy, se kvůli tomuto termínu čertí. McAfee
místo toho používá termín "potenciálně nežádoucí programy".
Anti-spywarové odvětví funguje tak, že se každý prodejce rozhodne podle
vlastního uvážení, co je dobré a co je špatné, který adware nebo trojský kůň,
jenž se dostane na počítač, musí být vymazán. Někdy se definice toho, co je
dobré a co špatné, mění ze dne na den.

Změna pohledu
Společnost Aluria, která se plánuje rozšířit za hranice spotřebitelského
anti-spywaru na firemní trh do února příštího roku, vyvolala nedávno kritiku
svým výrokem, že už nebude detekovat a ničit adware od WhenU.com, což je
adwarová společnost, která dodává spotřebitelům informace o výhodných koupích a
úsporách na internetu tak, že zkoumá klíčová slova, URL a vyhledávací slova,
kterým dávají uživatelé přednost. "Zastavili svůj ActiveX a stahování na
pozadí," vysvětluje Rick Carlson, předseda společnosti Aluria. "Přístup Alurie
spočívá v hodnocení spywaru podle vlastních norem ochrany spotřebitele," říká.
Jestliže tedy adwarová firma změní svou praxi, může být její software ze dne na
den považován za zcela legální a nepodléhající detekci a ničení. Aluria je nyní
v tak přátelských vztazích s WhenU, že spolu podepsaly marketingovou smlouvu.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.