Microsoft научилась выслеживать спамеров

Анонимность в интернете может быть как благом, так и проклятием – в зависимости от того, по какую сторону баррикад, разделяющих спамеров, вирусописателей и других киберпреступников и законопослушных граждан – жертв своих сетевых антиподов находится рассуждающий. Как практически любая, не только информационная, технология, возможность скрытия своего IP-адреса и других следов во всемирной паутине через анонимные прокси-серверы – это палка о двух концах. Но баланс не может сохраняться вечно, и одна из противоборствующих сторон в лице обороняющихся хакеров или вечно осмеиваемых ими спецслужб на пару с гигантами электронно-информационной индустрии должна взять верх, пусть хотя бы в виде прототипа.

В статье, планируемой к опубликованию на следующей неделе в рамках мероприятия SIGCOMM 2009 в Барселоне, Испания, трое сотрудников Исследовательского центра Microsoft (Microsoft research center), расположенного в Маунтин-Вью, Калифорния, рассматривают путь устранения анонимного барьера, заграждающего разномастных сетевых мошенников от обнаружения. Используя новое программное обеспечение, трое нарушителей спокойствия киберзлодеев смогли идентифицировать машины, ответственные за распространение вредоносного кода, пробившись даже сквозь высокую частоту смены IP-адресов хостов. Рассказывает член команды редмондской корпорации Юнглян Кси (Yinglian Xie): "Мы стремимся определить ответственный за атаки хост. Нам необходимо отследить не сами идентификаторы, но машины, с которыми они ассоциированы". Названный HostTracker, прототип системы должен помочь в построении лучшей защиты против атакующих и их спам-кампаний. Работающие в сфере информационной безопасности организации получат возможность составить более полное представление о сегментах интернета, которые лучше заблокировать. Киберкриминальные круги, в сою очередь, вынуждены будут нести существенные затраты в виде временных и финансовых ресурсов для скрытия себя под сетевым камуфляжем.

Кси совместно с коллегами, Фэнг Ю (Fang Yu) и Мартином Абади (Martin Abadi) проанализировали месячный объем данных размером в 330 Гб, источниками которых выступили провайдеры e-mail, в попытке определить точку отправки спама. Чтобы отследить его истоки, исследователи изучили более 550 млн идентификаторов (ID) пользователей, 220 млн IP-адресов и временные отметки таких событий, как отсылка сообщения и авторизация в учетной записи. Обнаружение следов сообщений требует реконструкции связей между идентификатором учетной записи и хостом, с которого пользователь подключался к сервису электронной почты. С этой целью ученые сопоставили ID, полученные с разных хостов, с определенным временным периодом. Программа HostTracker затем проанализировала данные, устраняя конфликты. Например, иногда более одного пользователя появлялись под одним IP или один пользователь имел несколько идентификаторов в перекрываемых промежутках времени. HostTracker связала данные между собой для определения прокси-серверов, через которые несколько машин появлялись под одним IP и подключались к легитимному серверу e-mail.

Исследователи также нашли путь автоматически заносить в так называемые блэк-листы (или "Черные списки") адреса, с которых идет скомпрометированный трафик. Используя методику в условиях симуляции, разработчики смогли заблокировать вредоносный трафик с погрешностью в 5%, то есть каждые 5 адресов из 100 были легитимными. Дополнительная информация для идентификации добросовестных пользователей снизила показатель до 1%. Результаты свидетельствуют, что ПО HostTracker пригодно для совершенствования защитных механизмов от атак типа DDoS (distributed denial of service, распределённая атака типа "отказ в обслуживании") и кампаний по рассылке спама, как полагает вице-президент исследований и разработок компании Damballa Гюнтер Оллманн (Gunter Ollmann). Эксперт считает, что "использование этой техники поможет находить ботнеты с большим генерируемым трафиком, в то время как против атак наподобие кражи паролей и внедрения банковских троянских программ, где усилия сконцентрированы на определенном хосте, методика будет малоэффективна".