SPAM Se spamem na věčné časy

Většina ICT hrozeb přichází a odchází. Respektive neodchází úplně, ale jejich nebezpečnost v čase klesá. Máme tu však stálici: spam, nevyžádanou elektronickou poštu. Parazituje na nás již mnoho let a její příval přes všechna organizační, technická či legislativní opatření neslábne.Proč to funguje…
Skoro by se chtělo říci, že je to naopak. Že sílí a že si své pozice upevňuje, a to jen tím, že jej začínáme považovat za nedílnou součást kybernetického prostoru. Je přitom lhostejné, zda podíl spamu v elektronické poště činí 71 procent (podle Symantecu), 80 procent (McAfee), 89,4 procenta (Message Labs) či 90 procent (Microsoft). Tato čísla kolísají v závislosti na použité statistické metodě, vyhodnocovaném období, definici spamu – nicméně dají se zobecnit do konstatování, že spam představuje na celkové elektronické poště velmi výrazný podíl.
Spam tady prostě už nějaký pátek je a ještě nějaký čas bude. A bude tady tak dlouho, dokud se bude jeho posílání rozesílatelům vyplácet. Náklady na jeho distribuci jsou minimální, naproti tomu zisky mohou být enormní. U tzv. králů spamu (spam kings) se pohybují v milionech dolarů ročně – někteří (třeba na Ukrajině) tyto sumy (spíše jejich část…) dokonce otevřeně uvádějí ve svých daňových přiznáních. Pro úplnost dodáváme, že spamových králů je na světě zhruba dvě stě – ale mají na svědomí devadesát procent nevyžádané pošty. To jsou veřejně známé údaje a těžko říci, proč se na jejich základě nepodnikne nějaké „protiopatření“.
Ekonomické propočty ukazují, že rozesílání spamu se obecně vyplatí ve chvíli, kdy bude získána odpověď na každý dvacetimiliontý e-mail. Ano, čtete dobře – na každý dvacetimiliontý! Těžko si představit, že by podobný byznys fungoval v klasickém světě s dopisy frankovanými poštovními známkami.
Přitom třeba v USA připouští každý pátý uživatel internetu, že někdy v minulosti lákavé nabídky ze spamu využil. A analýzy ukazují, že v dnešní době se rozesílatelé spamu dočkají odpovědi zhruba na každou dvoumiliontou zprávu. Čili se jejich aktivita bohatě vyplatí.
Teď si možná někteří ze čtenářů vzpomněli na klasickou frázičku, kterou s oblibou přidávají do e-mailů zvláště Američané: „Just my two cents.“ (Jen mé dva centy.) To je oficiálně vyčíslená hodnota jednoho e-mailu, ovšem na jejím základě by při kadenci dvacet miliónů zpráv na jednoho zákazníka vyšly náklady na jeho získání na 400 tisíc dolarů. Situace by nebyla o mnoho lepší ani v případě, že budeme počítat s odpovědí na každé dva miliony e-mailů. Což je posun pouze o řád, tedy 40 tisíc dolarů investovaných do jednoho zákazníka. To vám krabička zaručeně pravé viagry či balík skoro legálního softwaru těžko zaplatí.
Skutečnost je taková, že spammeři nemají náklady ve výši dvou centů na jednu zprávu, ale výrazně nižší. Ceníky, nedávno zveřejněné bezpečnostní firmou Panda Software, hovořily o tom, že pokud si u hackera objednáte rozesílku deseti milionů e-mailových zpráv, zaplatíte kolem pěti set dolarů. Podotýkáme, že jde o cenu tržní, nikoliv o skutečné náklady – v této ceně je pochopitelně kalkulováno riziko i zisk. Stále se sice náklady na získání jednoho zákazníka mohou jevit vysoké, ale už nedosahují tak závratných částek jako v předchozí kalkulaci.
Spammeři ale dokáží své náklady srazit o několik řádů níže. Nejčastěji využívají služeb tzv. zombie počítačů. Podrobněji se jim věnujeme v rámečku, takže jen stručně: jde o unesené počítače, nad nimiž hacker získal neoprávněně kontrolu. Na ně se instaluje specializovaný software, podstrčí se mu databáze e-mailů, a následuje lavina spamu mířící z tohoto stroje vesele do světa. Spammer neplatí za komunikační kapacitu, za hardware, neriskuje, že jej někdo přímo odhalí… Jeho náklady jsou minimální – vlastně jen počáteční nabourání se do systému. A pokud se toto děje pomocí automatizovaných nástrojů, pak jeho jedinou finanční a časovou investicí bylo kdysi na počátku vytvoření těchto nástrojů. (Jistě, existují náklady na jejich správu a údržbu – ale s několikasettisícovým příjmem v dolarech měsíčně, navíc nezdaněným, nebude problém za zlomek této částky najít někoho, kdo bude nad systémem dnem i nocí bdít.)
Spam tedy existuje prostě proto, že se svým rozesílatelům vyplácí.
 
 
…a proč to fungovat nebude
Existuje ale jedna ekonomická teorie, která tvrdí, že spam s námi nemůže být z podstaty věci věčně. Bude zajímavé sledovat, zda se i v případě spamu tato jinak obecně uznávaná teorie potvrdí.
Řeč je o tzv. Coaseho teorému, který vyslovil Ronald Coase (nositel Nobelovy ceny za ekonomii za rok 1991). Tento teorém hovoří o neefektivní ekonomické činnosti – tedy o takové činnosti, která není schopná pokrýt vlastní náklady. Ta je – podle Coaseho teorému – nebezpečná pro celou společnost, protože její náklady musí někdo nést. A ten „někdo“ je v daném případě právě celá společnost.
Takovýto ekonomicky nebezpečný jev pochopitelně nezanikne sám od sebe – nemá k tomu důvod. Jeho zánik musí nějakým způsobem iniciovat společnost, která na něj ekonomicky i jinak doplácí: protože náklady ostatních subjektů na spam vysoce převyšují jeho přínos (ten je prakticky nulový). Potírání této společensky nebezpečné záležitosti se tak může dít ekonomicky (zpoplatnění odesílání e-mailů) či legislativně (zákaz spamu, tvrdé postihy, jejich vymahatelnost). Společensky lze postihovat spam těžko: každý ho odsuzuje (alespoň autor těchto řádků nezná ze svého okolní nikoho, kdo by byl záplavou spamu nadšen), vždy se však najde někdo, kdo lákavým nabídkám prostě neodolá.
Pro názornější pochopení Coaseho teorému můžeme vycházet z toho, že spam ročně celosvětově stojí 75 mld. dolarů (alespoň to tvrdí průzkum provedený organizací Ferris Research). Podle Nucleus Research zase průměrný uživatel elektronické pošty dostane denně 13 spamových zpráv, jejichž zpracováním stráví 6,5 minuty denně. Další průzkumy hovoří o tom, že spam představuje pro firmu zbytečné náklady ve výši deseti dolarů denně na zaměstnance… Ať zvolíme tu či onu metodiku, vždy nám v globálním měřítku vyjdou na straně nákladů závratná čísla – ale ty jdou jen z naprosto zanedbatelného procenta z kapsy těch, kdo mají jako jediní ze spamu ekonomický přínos. Tedy z kapes spammerů.
Kéž by se pan Coase v tomto případě nemýlil!
 
Škodná jménem spam
Nevyžádaná elektronická pošta škodí v několika rovinách. V první řadě musíme pochopitelně zmínit nároky na lidskou práci spojenou s jeho ostraňováním (podotýkáme, že tato náročnost není jednorázová, ale jedná se o kontinuální činnost – tedy ekonomickými měřítky o kontinuální výdaj).
Pokud bychom za bernou minci vzali kterýkoliv průzkum nákladů na spam z předchozího odstavce, pak s přehledem dospějeme k závěru, že uživatelé tráví jedno až dvě procenta svého času bojem se spamem. Je to zanedbatelné procento? Pak uvažte, že organizace zaměstnávající sto osob platí jednu až dvě z nich zcela zbytečně. Prostě jsou zde jen proto, aby od rána do večera mazali lavinu spamu.
Často je pro názornou ilustraci nebezpečí spamu používán tzv. sekundový přepočet, který vychází z předpokladu, že člověk potřebuje na identifikaci a odstranění spamu jednu jedinou sekundu. (Což je mimochodem VELMI optimistický předpoklad, protože praxe ukazuje, že ve skutečnosti je zapotřebí sekund deset až třicet.) Prostým vynásobením průměrného denního počtu spamových zpráv počtem zaměstnanců a následně počtem pracovních dní dostaneme číslo vyjadřující roční časovou ztrátu organizace v sekundách.
Mnohem impozantnější číslo dostaneme, pokud budeme hovořit o spamu v celosvětovém kontextu. Každý den je podle střízlivých odhadů odesláno zhruba sto miliard zpráv nevyžádané elektronické pošty (plus minus nějaká ta miliarda, pochopitelně). Což při „sekundovém přepočtu“ znamená, že na likvidaci tohoto marastu potřebujeme denně sto miliard sekund lidské práce. Přepočítáno na roky to představuje zhruba 3 200 let času. Při přepočítání na lidské životy (od narození do smrti neděláte nic jiného než každou sekundou smažete jeden e-mail) zjistíte, že vypořádání s tímto přívalem vyžaduje každý den lidskou práci odpovídající 45 životům (při referenční délce života 70 let).
Jistě, tuto metodiku lze napadnout, jako ostatně každou metodiku. Ne každý spam dorazí do cílové schránky, ne každá schránka je aktivní atd. Na druhé straně: ona symbolická sekunda je hluboce podhodnoceným údajem.
Kromě této časové náročnosti na lidskou práci zde máme i další nepříjemné důsledky spamu. Jde především o obtěžování uživatelů, kteří se nemohou plně soustředit na svoji práci, čímž jejich produktivita klesá. Dále pak existuje možnost smazání důležité zprávy v záplavě spamu. Nejde jen o hromadné mazání většího množství spamu – ale i o skutečnost, že při nasazení jakéhokoliv spamového filtru zde podobné riziko prostě bude.
Z principu věci má každý filtr spamu nenulové hodnoty false positive a false negative. False positive (v praxi se lze setkat se zkratkou FP) je situace, kdy je korektní zpráva označována jako spam. False negative (alias FN) je zase stav, kdy je spam považován za korektní zprávu. Platí přitom nepřímá úměra: pokud FP roste, FN klesá. A naopak. Samozřejmě každý filtr spamu má jinou kvalitu, takže i výchozí hodnoty jsou jiné – ale nepřímá úměra v konečném důsledku platí vždy.
Ekonomický dopad spamu jsme naznačili již výše – jde např. o snižování produktivity práce nebo o nutnost hradit za rozesílatele spamu náklady spojené s tímto fenoménem. Tyto náklady přitom nejsou zanedbatelné: denně je zapotřebí „postarat se“ o sto miliard spamových zpráv. Tyto je potřeba přenášet, ukládat, zpracovávat, kontrolovat, třídit apod. Názorně to ukazuje konstatování, že celkový objem nevyžádané pošty na světě v roce 2006 představoval 3,5 exabytů (tedy 3,5 miliard GB). Pokud má soudobý průměrný disk 100 GB, znamená to, že celoroční objem spamu by se vešel na disky třiceti pěti milionů běžných počítačů!
Do ekonomických škod je zapotřebí započítat třeba i škody nepřímo způsobené třetím stranám – třeba zneužitím jejich jmen, poškozením jejich práv apod. Značkové hodinky běžně k dostání za tisíce dolarů a nabízené za sumu několika desítek dolarů budou asi stejně „zaručeně pravé“ jako třináctá Mona Lisa Rudolfa II. v nesmrtelném snímku Císařův pekař, pekařův císař.
 
 
Starý problém, nové triky
Čím dál tím větší problém ovšem představuje spam z hlediska bezpečnostního. Na prvním místě jmenujme nebezpečí spojení spamu s počítačovými viry a dalšími škodlivými kódy. Dnešní epidemie už nemají podobu virů šířících se víceméně chaoticky světem. Antivirové firmy se dokázaly dostat na velmi solidní časy ve vydávání aktualizací, takže dokáží likvidovat epidemie už v zárodku, což přimělo útočníky změnit taktiku. Dnes jsou škodlivé kódy distribuovány třeba tak, že ohromné množství je rozesláno najednou pomocí elektronické pošty – přičemž už se dále nešíří. Takže ve chvíli, kdy je vydána aktualizace, je fakticky po epidemii: škodlivé kódy už jsou ve schránkách příjemců.
Spam lze využít i pro zneužívání bezpečnostních chyb rozesíláním speciálních skriptů v e-mailech, k posílání odkazů na infikované stránky, což představuje v rukách útočníků nesmírně silný nástroj. A to zvláště ve spojení s metodami sociálního inženýrství – jde o to, přimět pod nějakou záminkou uživatele k návštěvě stránky obsahující nebezpečný kód, schopný překonat nastavené bezpečnostní procedury. A právě spam je nosičem informace s odkazem na dotyčný web, kde se nebezpečí skrývá.
Opravdový boom zažívají spamové zprávy označované jako „Pump and Dump“. Jde o podvody, jejichž princip je jednoduchý. Hackeři se zaměří na nějaké extrémně levné akcie, které se téměř neobchodují. V takovém případě lze několika málo obchody jejich cenu „upravit“ (zvýšit) podle potřeby. Pak už jen stačí oslovit spamem co nejvíce lidí s tím, že „máme zaručené zákulisní informace o úžasných a dosud nezveřejněných kontraktech dotyčné firmy“. Pro zvýšení důvěryhodnosti je zpravidla nabídnuta i ukázka – zítra poskočí cena akcií o tolik a tolik procent. Pozítří o tolik a tolik. Pokud vás toto přesvědčí, nabízíme vám prodej akcií za určitou cenu (která je nižší než tržní, ale rozhodně vyšší než reálná pořizovací).
Samozřejmě, že všechny „dokazovací“ skoky jsou předem připravené. Jak už jsme uvedli, u akcií obchodovaných za několik centů není nejmenší problém s cenou manipulovat – a i mírný pohyb vyjádřený v procentech vypadá atraktivně. (Popsaný scénář je samozřejmě zjednodušený, v praxi je to trochu složitější. Nicméně princip je stejný: vnutit někomu akcie za výrazně vyšší částku, než za jakou byly koupené.)
Tato metoda útoku pomocí spamu má pro agresora několik výhod. Především: spam může být totálně anonymní. Což u jiných nabídek neplatí, protože pokud chcete prodat třeba medikamenty, musíte uvést nějaké kontaktní údaje, kde lze zanechat objednávku. V případě obchodu s akciemi podvodník i podvedený spolu vůbec nemusí přijít do styku. Další výhodou je zhodnocení „investice“ v řádu desítek procent během několika dní. Navíc se tento podvod velmi špatně prokazuje, protože vlastně jde o špatnou investici – prostě investor zakoupí akcie, jejichž cena následně poklesne (na nákupu za nízkou cenu a prodeji za vyšší vydělá podvodník). Samozřejmě, že burza podobné lživé informování zakazuje, ale na druhé straně se rozdíl mezi vyslovenou lží a nesprávnou informací velmi špatně prokazuje. Jinak řečeno: v případě tohoto podvodu musíte prokazovat vazbu v trojúhleníku podvedený-prodejce-informátor. V případě běžného spamu je to jen vazba podvodník-podvedený. V praxi se opravdu špatně prokazuje spojení mezi těmi, kdo akcie prodávají, a mezi těmi, kdo o jejich hodnotě zkresleně informují.
K dalším typickým spamovým podvodům patří tzv. nigerijské dopisy. Tedy e-maily slibující provizi v řádu desítek procent za pomoc s převodem závratných sum ve výši desítek milionů dolarů, obvykle doplněné nějakým zajímavým, leč neověřitelným příběhem. Zpravidla se ozve někdo, kdo se vydává za účetního, jehož nadřízený zemřel/zahynul, nemá dědice a na nějakém zapomenutém účtu leží neuvěřitelná suma v dolarech, librách nebo podobně zajímavé měně. Po vás se chce jen maličkost: pomoci s převodem těchto prostředků do zahraničí a v kapse budete mít tučnou provizi ve výši desítek procent…
Že jde o promyšlené a pečlivě připravené podvody, to jistě není potřeba zdůrazňovat: navzdory tomu se ale na světě každým rokem nechají tisíce lidí zaslepit vidnou bohatství a mnoho z nich končí zcela ožebračeno. S podvodníky není radno si začínat – žádné miliony na tajných kontech neexistují. Mnoho obětí „podvodu 419“ (jak se tato záležitost jmenuje – podle příslušného paragrafu nigerijského zákona) spáchalo sebevraždu, bylo uneseno (když se vydali do příslušné země, aby tam dojednali podmínky transakce) nebo dokonce zavražděno. Jen pro úplnost: tyto podvody jsou v Nigérii třetím nejvíce ziskovým „sektorem ekonomiky“!
A ještě jedno riziko zde musíme zmínit: spam může agresorům posloužit ke shromažďování informací o vašem systému před provedením útoku. Informace lze shromažďovat třeba technicky (poslat v e-mailu spyware, analyzovat odmítnutou poštu apod.), nebo pomocí sociálního inženýrství („za vyplnění dotazníku vám pošleme tričko“).
To jsou všechno důvody, proč brát spam vážně a proč s ním bojovat.
 
 
Řešení jménem whitelist
V případě spamu se postupně dostáváme do zajímavého kolotoče, který bychom mohli popsat jako efekt „sněhové koule“. Naše antispamové filtry jsou stále dokonalejší a kvalitnější, takže se do e-mailových schránek dostává čím dál tím méně spamu (z celkového odeslaného množství). Aby rozesílatelé spamu docílili kýženého efektu (aby se zpráva dostala k adresátovi a nebyla odchycena nějakým filtrem), musí odesílat stále větší a větší množství elektronických zpráv.
Asi nejúčinnější metodou boje proti spamu je vytvoření tzv. whitelistů – tedy seznamů odesílatelů zpráv, od kterých jsme ochotni e-maily akceptovat. Další e-maily buď automaticky odmítáme, nebo je ošetřujeme jinak. Jak takový princip whitelistů v praxi vypadá, to nám může ukázat iniciativa kalifornské start-upové firmy Boxbe. Ta vymyslela následující koncept: příjemce akceptuje pouze e-mailové zprávy od svých přátel, kolegů, od rodiny (prostě od těch, kdo by se objevil v jeho sezna-
mu). A kdokoliv jiný by mu chtěl napsat, musel by zaplatit určitou částku. Koncept byl prodávaný pod heslem „nechte si za spam zaplatit“. Podotýkáme ale, že neúspěšně.
Dokážete si představit třeba zákazníky internetových obchodů, kteří by za své dotazy měli platit? (Protože by je internetový obchodník neměl na svém whitelistu…) Lidi odpovídající na inzeráty na internetu, kteří by za své odpovědi měli platit? Úřady, které by požadovaly poplatek za to, že se budou bavit s občany? (To je ještě tak z těchto představ nejreálnější, ale zkuste si to otočit: platil by úřad za to, že může zaslat informaci do schránky některého občana?) Nápad je, jako celá řada dřívějších, sice zajímavý, leč neživotaschopný.
Pokud se podíváme na tento i na celou řadu dalších nápadů a technik, tak nám vychází, že jedinou opravdu fungující technologií zastavení spamu je jeho filtrace. (Prevence typu „nesdělujte svoji adresu“ je dobrá tak pro domácí uživatele, ale těžko pro komerční firmy či státní organizace.)
Whitelist je bez diskuse nejúčinnější metodou filtrování elektronické pošty, ale bohužel není řešením pro všechny situace. V praxi se málokdy spoléhá jen na jednu jedinou metodu, ale na jejich soubor. Velcí výrobci se pyšní tím, že pro filtraci používají desítky metod, jejichž společný výsledek poskytuje poměrně jasnou představu o tom, zda jde či nejde o spam (nebo zda je zpráva v tzv. šedé zóně, tudíž podezřelá).
Samozřejmostí dnes přitom je, že programy jsou schopné se „učit“ (z vlastních chyb, z velkých souborů e-mailů apod.), protože vnímání spamu je v různých organizacích různé. Jinými slovy: těžko lze blokovat e-maily s bankovním obsahem v bance nebo lékařská slovíčka v nemocnici. Velkého úspěchu lze proto dosáhnout s Bayesovou metodou učení programu (pokud je správně implementována, pochopitelně). Reverend Thomas Bayes (1702–1761) dokázal matematicky popsat, jak se dá pravděpodobnostní očekávání upravit ve světle nových důkazů s tím, že každý další vzorek přispívá k bližšímu učení. Výsledky metody se tak na základě vzrůstajícího množství vzorků vylepšují.
Velké naděje byly vkládány do technologií Sender ID a Sender Policy Framework (SPF), které měly pomoci eliminovat spam. Pracovaly by na jednoduchém principu: označovaly by korektní poštu. Nešlo by ale o nějaké whitelisty, ale o celý systém. Aby měl odpovídající účinnost, muselo by do něj být zapojeno co nejvíce uživatelů a serverů. Paradoxně obě metody vzbudily největší zájem mezi spammery… Pokud by totiž splnil určité podmínky, byl by spam technologicky považovaný za korektní poštu a mohl by legálně procházet přes filtry. Kvůli nedostatkům v architektuře i kvůli dalším skutečnostem se obě technologie příliš neujaly. A podle společnosti MX Logic z Denveru bylo v červnu 2005 plných 84 procent zpráv ověřených technologií SPF spamem. Sender ID dopadl o něco lépe: zde bylo spamem jen 83 procent e-mailů.
Každopádně smutným faktem zůstává, že třídění elektronické pošty na spam a regulérní zprávy zůstává jedním z největších oříšků současné doby.
 
 
Pomocnice legislativa
Je spam legální nebo není? Musíme si uvědomit, že odpověď na tuto otázku není vůbec jednoduchá. Nejprve je zapotřebí definovat spam – a potom teprve můžeme o legálnosti rozhodovat.
Hned při definici přitom narazíme, protože jiná je definice technická a jiná je definice legislativní. V Česku např. z hlediska práva jsou zcela košer e-maily od politických stran či náboženských organizací (nebo sekt), protože nejde o sdělení obchodního charakteru. Pokud jde ale o zprávy nevyžádané a masově rozesílané, pak z technického hlediska jde jednoznačně o spam.
Aby to se spamem a jeho legálností nebylo jednoduché: musíme brát v úvahu také překotný rozvoj světa ICT v posledních desítkách let. Ten neuvěřitelně rychle předběhl dlouhá staletí budovaný právní systém a vše, co s ním souvisí. Přitom se na obzoru možnost nápravy tohoto stavu nerýsuje, protože radikální změna v právním systému jen kvůli internetu by všechny ostatní části práva mohla uvrhnout do chaosu.
Díky internetu padly geografické hranice a objevily se nové způsoby zločinu. Přitom vymahatelnost práva je nesmírně obtížná. Ostatně dnes a denně se setkáváme se situací, kdy spam přijde do e-mailové schránky v zemi A, ale je odeslaný ze země B, kde má server firma sídlící v zemi C, jejíž majitel je ze země D a fyzicky se nachází v zemi E (kdybychom situaci chtěli ještě více zamotat, vložíme do hry více majitelů, pronájem serveru apod.). Přitom za jednotlivé proměnné nedosazujte tzv. západní státy, ale země jako je Pákistán, Kajmanské ostrovy, Dominikánskou republiku, státy bývalého SSSR apod. Shromažďovat důkazy, provádět jakékoliv šetření či dokonce vznášet obvinění v takové situaci je noční můrou vyšetřovatelů, právníků i soudců.
Navíc prokazování čehokoliv je díky anonymitě internetu extrémně obtížné. Adresa bill.gates@microsoft.com rozhodně neznamená, že by odesílatelem byl skutečně zakladatel společnosti Microsoft. Krom toho dříve k rozesílání spamu sloužily dedikované servery, dnes jsou to spíše sítě „hacknutých“ počítačů čekajících na svůj úkol (zombie). Tyto jsou v příslušném okamžiku aktivovány, díky čemuž je ovšem vystopování skutečného pachatele tvrdým oříškem. Stopa zpravidla končí u nešťastníka se špatně zabezpečeným počítačem.
V současné době má více než třicet států světa spam nějakým způsobem ve svém zákonodárství ošetřeno. Někde jsou tyto právní podklady účinné více, někde méně. Úspěšná byla třeba Austrálie, kde za opakované prohřešky v oblasti spamu hrozí pokuta až 1,1 mil. australských dolarů za každý den porušení zákona! Tyto tvrdé sankce způsobily, že rozesílatelé spamu usoudili, že jednodušší než soudit se (a riskovat tvrdou a drahou porážku) je přesunout svoji činnost do jiných zemí. Což sice problém spamu v globálním měřítku neřeší, ale zároveň ukazuje, že i proti nevyžádané poště lze nasadit zbraně, před nimiž se rozesílatelé spamu musí sklonit.
Zákonodárství se v zásadě rozděluje podle dvou základních přístupů. Prvním z nich je opt-out, což znamená, že můžete dostávat elektronickou poštu až do doby, než ji vysloveně odmítnete. Princip opt-in zase umožňuje posílat elektronickou poštu jen těm, kdo s tímto úkonem vyslovili souhlas.
Zásada opt-out je přitom značně kontroverzní, protože pro rozesílatele spamu není nic jednoduššího, když se uživatel odhlásí z jednoho seznamu, přeřadit ho automaticky do druhého. Člověk se tak může zbláznit a spamu chodí čím dál více. Navíc tento princip ani neřeší, kde rozesílatel spamu k e-mailovým kontaktům přišel. Jen výjimečně se podaří někoho „přistihnout“, jak nedodrží (jinak snadno splnitelné) podmínky, a z něj se pak stane exemplární příklad. Nicméně se jedná jen o pověstnou špičku ledovce.
Právě opt-out je princip americké legislativy (proto jsou také Spojené státy rájem rozesílatelů spamu). Úprava se nazývá Controlling the Assault of Non-Solicited Pornography and Marketing Act a platná je od 1. ledna 2004. Zákon je označován jako CAN-SPAM, což se dá přeložit jako „zapouzdřit spam“ nebo také uštěpačně „můžeš spamovat“.
Evropská unie naproti tomu prosazuje princip opt-in, deklarovaný Direktivou o ochraně soukromí a elektronické komunikaci (č. 2002/58/EC – Directive on privacy and electronic communications). Jenomže ještě nikdo nepřišel na princip, jak vymáhat toto evropské právo na americké půdě.
V České republice pak spam řeší Zákon č. 480/2004 Sb., o některých službách informační společnosti. Vychází z principu opt-in a doslova se v něm uvádí: „Fyzická či právnická osoba může využít podrobnosti získaného elektronického kontaktu pro potřeby šíření obchodních sdělení pouze za předpokladu, že zákazník dal předem prokazatelný souhlas k takovémuto využití svého elektronického kontaktu a má jasnou a zřetelnou možnost jednoduchým způsobem, zdarma nebo na účet této fyzické nebo právnické osoby odmítnout souhlas s takovýmto využitím svého elektronického kontaktu i při zasílání každé jednotlivé zprávy.“
Pokud se vrátíme zpět ke kontroverznímu americkému zákonu CAN-SPAM, musíme konstatovat, že na konci roku 2005 pouhých sedm procent spamových zpráv v USA splňovalo tímto zákonem dané restrikce. Což je hodně málo, ale pořád je to úspěch: o rok dříve to byly jen tři procenta! A proč nás právě Spojené státy tak zajímají? Protože tato země je bezkonkurenčně největším rozesílatelem spamu na světě.
Už sice existují právoplatně odsouzení na základě tohoto zákona, ale zatím jsou to jen ojedinělé případy a výjimky potvrzující pravidlo. Klec spadla např. pro jistého Petera Moshu (37) z Auburndale na Floridě. Ten byl odsouzen ke dvanáctiměsíčnímu vězení a pokutě 120 tisíc dolarů za rozesílání nevyžádané elektronické pošty. Rozeslal miliony kopií spamu, v nichž inzeroval finanční služby, přičemž modifikoval adresu odesílatele, takže bylo obtížné zjistit, odkud zpráva vlastně pochází.
V září 2005 zase FBI vnikla do domu jistého Alana Ralskyho. Cílem prohlídky bylo především počítačové vybavení, z něhož Ralsky odesílal denně přes 100 milionů e-mailů. Je totiž podezřelý z vyžívání mnoha virů a dalších nelegálních nebo přinejmenším neetických technik pro svoji činnost. Ralsky měl údajně získávat i přístup do cizích počítačových systémů. Navíc i on modifikoval hlavičky e-mailů a dalšími technikami skrýval skutečného odesílatele e-mailů – a to v USA legální není.
Velmi špatně kvůli spamu skončil pan James McCall z Floridy, který byl odsouzený k neuvěřitelné pokutě 11,2 miliardy dolarů! Ač z Floridy, páchal své nekalé skutky ve státě Iowa. A podle zdejších platných zákonů státu má poškozený poskytovatel služby (v daném případě firma CIS Internet Services) dostat 10 dolarů za každý e-mail neodeslaný v souladu se zákonem (protože zprávy měly podvrženou adresu odesílatele). McCall totiž používal falšovanou doménu cis.net. aby neprozradil svoji skutečnou identitu.
Společnost CIS Internet Services připustila, že je nepravděpodobné, že někdy uvidí jakékoliv peníze z rozsudku, ale nicméně ho označila za velké vítězství. Pro rozesílatele spamu totiž znamená „ekonomickou smrt“, neboť do konce života mu budou veškeré vydělané/získané peníze nad životní minimum strhávány. Podle tiskového mluvčího CIS by se tento případ měl stát pro další šiřitele spamu varováním. (Byť mu na paty šlape Čína.)
Ve chvíli, kdy se začala stahovat smyčka kolem Scotta Richtera z New Yorku, rozhodl se dotyčný raději pro mimosoudní dohodu. Richter, označovaný jako král spamu, patřil mezi tři největší šiřitele nevyžádaných zpráv na světě. Rozhodl se ale dobrovolně zaplatit sedm milionů dolarů společnosti Microsoft, která na oplátku svoji žalobu stáhla. Navíc se musel zavázat, že všechny další e-maily budou odesílané jen v souladu s legislativou CAN-
-SPAM.
Richter spravoval síť pěti set počítačů, přičemž už před touto dohodou s Microsoftem urovnal mimosoudně jinou žalobu od státního zástupce. Zde dopadl výrazně lépe: stálo ho to „pouze“ padesát tisíc dolarů.
Další rozesílatel spamu naproti tomu odešel z oboru zcela dobrovolně. Jde o ženu přezdívanou Spam Queen (Královna spamu), civilním jménem Laura Berrerlyová. Ta rozesílala kolem šedesáti milionů nevyžádaných zpráv měsíčně. V jistém časopise oznámila svůj záměr skončit ve článku „Je rok 2005: e-mail je mrtvý“. Uvádí v něm, že už nebude používat „e-mailový marketing“, protože procento odpovědí je nesmírně malé. Což je pravda – a aby byl absolutní počet získaných zakázek zajímavý, musí být odesíláno čím dál tím více zpráv.
Navzdory technickým i legislativním opatřením je spam fenoménem, se kterým se setkáváme dnes a denně. A rozhodně je jednou z nejnepříjemnějších bezpečnostních výzev dnešní doby… 07s0039/jp o
 
 
Odkud proudí spam?
 
Stejně jako se spam špatně počítá a kvantifikuje, špatně se určuje, kdo je vlastně jeho původcem. Protože třeba informace o tom, odkud spam přišel, nemusí mít s místem jeho původu zhola nic společného. Podle Security Curve pochází nejvíce spamu (27 procent) z USA, následuje Čína (26 procent). Na dalších místech pomyslného žebříčku naleznete Brazílii, Francii, Indii, Rusko, Jižní Koreu a Velkou Británii. Bezpečnostní firma Sophos nabízí jiná čísla. I podle ní jsou největším spammerem Spojené státy, od nichž proudí pětina světového spamu (přesně 19,6 procenta). S větším odstupem následují Čína (8,4 procenta) a Jižní Korea (6,5 procenta).
 
 
Největší oběť spamu: rozvojové zeměm
 
Přestože nevyžádaná elektronická pošta (spam) představuje celosvětový problém, není to problém pro každého stejný. Pro někoho je větší, pro někoho menší. Nejhůře postižené spamem jsou podle OECD rozvojové země.
Zpráva OECD vypracovaná Sureshem Ramasubramanianem totiž konstatuje, že mnoho zemí v Asii a Africe nemá znalosti, technologii a peníze na efektivní boj se spamem. Problém nevyžádané elektronické pošty se pak v těchto neradostných podmínkách přenáší přímo na uživatele v podobě nedostupnosti spojení nebo jeho nízké spolehlivosti. A to v vede k nedůvěře v internet. Tyto faktory pak v konečném důsledku způsobují stále větší rozevírání ekonomických „nůžek“ mezi bohatým a chudým světem.
Díky spamu se tak místní omezené komunikační linky stávají prakticky
nepropustnými, místní ISP přicházejí o drahocenné (v daných podmínkách) místo na disku apod. Administrátoři se pak musí věnovat zbytečným otáz-
kám (souvisejícím se spamem). A uživatelé? Když se po několika marných pokusech připojí k vytáčenému internetu, dlouho stahují jen nevyžádanou elektronickou poštu. A to je pochopitelně stojí nemalé prostředky.
Celá situace pak připomíná efekt „sněhové koule“. Místní uživatelé či poskytovatelé si nemohou dovolit antispamová řešení, čímž se stávají lákavým cílem pro další a další útoky. Jediným výsledkem pak je, že množství spamu v rozvojových zemích neutěšeně narůstá.
Kompletní zprávu OECD si lze stáhnout a přečíst na internetové adrese www.oecd.org/dataoecd/5/47/34935342.pdf
 
Počítače zombie: domov pro spam
 
Spojit desítky, stovky či tisíce samostatně stojících počítačů do jedné velké sítě s možnostmi superpočítače je myšlenka zajímavá a vůbec není nová. Nicméně dnes je tato veskrze pozitivní idea zneužívána hackery, kteří napadají počítače a následně je (pochopitelně bez vědomí právoplatných majitelů) spojují do rozsáhlých sítí. Tyto „počítače dvou pánů“ označujeme jako zombie.
Jak vlastně dojde k tomu, že se z počítače stane zombie? Útočník musí získat přístupová práva, pak už mu nic nebrání v ovládání inkriminované stanice nebo serveru. Práva získá nejčastěji instalací speciálního programu, který mu umožní vzdálenou komunikaci (v podstatě jistou formu administrátorského přístupu). Tento program se do počítače instaluje třeba společně s jinou aplikací (jako trojský kůň), třeba jako škodlivý kód ve formě appletu nebo skriptu ve webové stránce, pomocí e-mailového červa nebo třeba prostřednictvím peer-to-peer sítí. Nepoměrně vzácnější jsou pak přímé hackerské útoky, kdy se nezvaný host dokáže dostat do počítače a ten si následně překonfiguru-
je k obrazu svému.
Přitom útočný kód nemusí být kdovíjak rozsáhlý: stačí, aby měl několik jednoduchých funkcí (velmi často je v základním repertoáru příslušného programu blokování antivirové ochrany nebo firewallu) a následně se dokázal připojit k mateřskému serveru, počítači nebo webové stránce, odkud si stáhne potřebné komponenty nebo získá další informace.
Co zombie dělají, resp. k čemu jsou využívané? Obecně se dá říci, že k provádění prakticky jakýchkoliv neetických nebo rovnou nelegálních aktivit – nejčastěji ovšem právě k rozesílání spamu.
Jakmile se určitý počítač dostane do spárů útočníka (v daném případě označovaného jako zombie master), je automaticky zařazen do hierarchie určité sítě. Manuální kontrola nebo zařazování nejsou v případě rozsáhlých sítí z pochopitelných důvodů možné. Tyto sítě jsou přitom někdy obdivuhodně sofistikované, což svědčí mj. o tom, že jejich autory nejsou programátoři druhé nebo třetí třídy. Často se lze setkat třeba i s několikaúrovňovým řízením, protože jeden stroj by těžko dokázal obsloužit desítky či stovky tisíc koncových zařízení. Hlavní počítač by se tak buď sám stal cílem DDoS útoku dotazujících se „podřízených“, nebo by je prostě nezvládal obsluhovat.
Obsluha zombie probíhá různými způsoby, nejčastěji však pomocí technologie IRC na portu 6667 (nemusí to být pravidlem, protože tento port lze poměrně snadno změnit – jeho prosté blokování nestačí). IRC je ostatně náchylné i k dalším útokům, takže ho bezpečnostní experti nevidí příliš rádi ani v regulérní podobě.
Velmi často se přitom lze setkat s počítači zombie, které jsou zapojené i do několika různých sítí. Důvodem je fakt, že ne všechny počítače jsou stále potřebné, takže si hackeři navzájem vypomáhají zapůjčováním či výměnou získaných strojů. A nesmíme zapomenout ani na skutečnost, že nedostatečně chráněný počítač je samozřejmě vystavený různým útokům, takže je vysoce pravděpodobné, že pokud se stane kořistí jednoho útočníka, může se stejně snadno stát i obětí jiného.
První generace zombie se před několika lety rekrutovala prakticky výhradně z počítačů korporátního sektoru. Důvod byl víceméně jednoduchý. Jedině firemní stroje měly dostatečnou kapacitu komunikačních linek a byly stále on-line. Kromě toho se na bezpečnost příliš nehledělo (tedy rozhodně ne tolik jako dnes). Ne že by na tom domácí uživatelé byli s bezpečnostní lépe, ale k internetu se připojovali jen na krátké (leč o to intenzivnější) chvíle a jejich linky měly velmi malou kapacitu.
Současný trend je přitom přesně opačný: orientace na domácí počítače. Tyto disponují relativně silnými komunikačními kanály i značnými (nadbytečnými) výkony, linky i počítače jsou zbytečně ponechávané on-line a především prakticky bez jakéhokoliv zabezpečení. Navíc jsou domácí uživatelé neproškolení a v případě problémů se nemají s kým poradit, takže pokud jejich situace není vyloženě kritická, raději se na specializovanou firmu neobracejí (technickou podporu zdarma má k dispozici málokdo).
Nicméně i tak se lze stále ještě setkat s velkým množství zombie právě v podnikových sítích, kde představují velké bezpeč-
nostní riziko. Zarážející by už měl být sám o sobě fakt, že se cizí software dokáže dostat do lokální sítě a může se zde uchytit nebo dokonce vykonávat nějakou činnost.
 
 
Nesplněný slib
 
V lednu 2004 slíbil v rámci Světového ekonomického fóra v Davosu zakladatel Microsoftu Bill Gates: „Za dva roky bude problém spamu vyřešen.“ V té době činil podíl spamu na elektronické poště kolem padesáti procent, dnes je to sedmdesát až devadesát procent.
 
 
Spam, spam, spam, všude kam se podívám
 
Jako odvozenina ze slova spam se pak v poslední době začínají objevovat i termíny spim a spit. První je zkratkou ze SPam Instant Messages a označuje nevyžádané zprávy v tomto komunikačním prostředí. Spit je zase SPam over Internet Telephony, nevyžádané zprávy v internetové telefonii. Je nepochybné, že o spimu i spitu ještě hodně uslyšíme, protože jejich šíření nenaráží prakticky na žádné technické bariéry a filtrování těchto zpráv bude obtížnější než u spamu.


Komentáře