מי יוריד את הזבל?

ההגנה על רשת המחשבים מפני שוחרי רעה הפכה למשימה שלא מפסיקה להטריד ארגונים. רשימת המפגעים רק הולכת ומתארכת: וירוסים, תולעים, סוסים טרויאנים, Phishing, ספאם ועוד. אם פעם חשבנו שמספיק לשים "פלדלת" בפתח בצורת פיירוול, הרי שהיום – יודעים בארגונים – אין בכך די. מרכז התעבורה העמוס ששמו אי-מייל הוא גם צומת של צרות לא מעטות, וצריך להגן עליו בקפדנות: בשנת 2006 הוכפל מספר האיומים מבוססי-המייל יחסית לשנה הקודמת. ועל-פי כל התחזיות, המגמה הזאת תימשך גם בשנה הבאה.

בראש רשימת האיומים על מערכת המחשוב הארגונית צועדים לא הווירוסים והתולעים – כפי שניתן היה לצפות - אלא דווקא דואר הזבל. אם בתיבת הדואר הפרטית שלנו אנחנו רואים זאת כהטרדה כשאנחנו מקבלים מיילים בלתי קרואים על מסיבות, ויאגרה ואג"חים זבל - אז כשמדובר בארגונים קיימת בעיה מורכבת הרבה יותר, עם השלכות כלכליות רציניות.

ספאם יכול לחסום את הרשת הארגונית; הוא מבזבז את זמנם היקר של העובדים שלך, מאיים על "בריאות" מערכת המחשוב ועשוי לגרום לקריסתה, והוא גם עלול לחשוף את הארגון לתביעות, במקרה שעובד שלך יחליט להעביר הודעה כזו או אחרת לגוף שלישי. על-פי הערכות, יותר מ-75% מתעבורת הדואר הנוכחית הממוצעת היא ספאם. בארגונים מסוימים, מגיע שיעור דואר הזבל ל-95% מנפח התעבורה.

אם עד לפני שנתיים-שלוש נשלח הספאם בעיקר על-ידי משווקים ופרסומאים כאמצעי שיווק כמעט לגיטימי (כמו משלוחי פרחים, שידוכים וכדומה), הרי שכיום השתלטו פושעים וגורמי פשע מאורגן על הזירה, והם ששולחים את מרבית הספאם המועבר בדואר האלקטרוני. אלה עושים שימוש בווירוסים וברוגלות כפלטפורמת ההפצה של הספאם, חודרים וחוטפים עמדות מחשב, ומבצעים מעשי הונאה בדואר אלקטרוני. לגורמים העבריינים הללו מוטיבציה גבוהה להצליח, והם אינם בוחלים בשום דרך לקידום העסקים שלהם, הכוללים – לרוב - שיווק אגרסיבי של תרופות, הימורים ופורנוגרפיה. הם אף מכשירים את הדרך לסוחרי סמים ולגורמים המבצעים הונאות ברשת.

אוזלת ידו של החוק

נעשו מאות ניסיונות חקיקה בעשרות מדינות במטרה למגר או אפילו לצמצם את התופעה, ואולם נראה, כי חקיקה אינה יעילה: כמויות הספאם הולכות ומתעצמות באין מפריע. בארה"ב, למשל, נחקקו חוקים מחמירים, כמו ה-AN-SPAM act ב-2004, המגדירים פעילות הפצת וירוסים וספאם כעבירה פדרלית, שדינה עד שבע שנות מאסר. אף אחד מהחוקים לא הביא לצמצום אמיתי בכמויות הספאם. אחת הסיבות לכך היא הקושי להבחין בין הודעות ספאם לבין הודעות שיווק לגיטימיות הנשלחות דרך הדואר האלקטרוני. חקיקה "גסה" מדי תפגע בעסקים ובפעילויות לגיטימיים ברשת.

סיבה נוספת לאוזלת היד של החוקים היא העדר הגבולות של רשת האינטרנט. הספאם מדלג באין מפריע ממדינה למדינה וכדי לבלום אותו נדרש "כוח משטרה גלובלי", שירדוף את הפושעים בכל מדינה בעולם. אין כזה. הסיכויים להשיגו – אם כן - נמוכים מאוד: תמיד יימצאו מדינות שיאפשרו להם לבצע את פעילותם באין מפריע.

אז איך נלחמים בתופעה בכל זאת? מרבית השיטות הקיימות אינן יעילות במיגור הספאם, שכן הן מבססות את תהליך סינון הספאם על תוכן ההודעה: מילות מפתח ומנועים היוריסטים המשערכים את ההסתברות שההודעה היא ספאם. שיטות אלו הן בעלות חיי מדף קצרים, שכן הספאמרים – מונעים בכוחה של מוטיבציה כלכלית גבוהה – מגלים גמישות רבה ומצליחים במהירות להערים על כל מכשול ולהסוות את "זבליות" ההודעות שלהם. גם "רשימות שחורות" הוכחו כבלתי יעילות, עם הסוואת מקור המשלוח, כמו גם שימוש בכתובות בדויות.

ישנם גופים בלתי תלויים העוקבים אחר קצב שליחת ה"חתימות" על ידי חברות האנטי-וירוס הגדולות בעולם. הנתונים המדאיגים מלמדים, כי רובם ככולם נכשלים פעם אחר פעם בניסיון לשגר את המענה בזמן, כך שהמתקפות מסתיימות הרבה לפני שמגיעות החתימות. המשמעות היא שלמעלה מ-90% מהמשתמשים בעולם נחשפו לסוג זה או אחר של וירוס, לרוב רוגלה או סוס טרויאני, ללא כל הגנה.  

הדרך היחידה להתמודד עם איומים אלה היא באמצעות פיתוח טכנולוגיות המסוגלות למנוע מהספאם והווירוסים להגיע ליעדם – תיבות הדואר של משתמשים תמימים. שם המשחק הוא מהירות התגובה. המתקפות מתחילות ומסתיימות בתוך שעות בודדות. רק טכנולוגיה שיכולה להבטיח זיהוי וחסימה מיידיים של ספאם תוכל לשרוד בסביבה הדינאמית והמשתנה של האיומים.

 תחכומם של ה"זבלנים"

ברור היום, כי טכנולוגיה המתבססת על ניתוח פרטני של תוכנה של כל הודעה לא יכולה להיות יעילה מספיק כדי לעצור את המתקפות בזמן. לקטגוריה זו נופלים כל הפתרונות המבוססים על ניתוח תוכן. במקום זה נדרשות טכנולוגיות בעלות ראיה רחבה, המסוגלות לנטר ולשלוט בתעבורת המיילים ברשת. מדובר בטכנולוגיות שיכולות בתוך דקות - ואפילו שניות - לזהות ברמת אמינות גבוהה הודעות ספאם ולבלום אותן בטרם יופצו במיליוני עותקים. לשם כך יש צורך בטכנולוגיות שיודעות לזהות מאפיינים קבועים ואמיתיים של ההודעה, ולא כאלה המשתנים מדי יום.

המלחמה אינה פשוטה. הספאמרים מתוחכמים מאוד. הם יודעים שרוב תיבות הדואר אינן מאובזרות עדיין בטכנולוגיות החדישות ביותר, תוצרת כחול לבן. והם מוצאים – חדשות לבקרים – שיטות חדישות כדי להילחם בטכנולוגיה הקיימת. איך הם עושים את זה? כך, למשל, הם משתילים מלים "רציניות" בגוף המייל, כמו שמות של אישים ידועים, שמות מדינות וכולי. תוכנת חסימה מבוססת-תוכן "חושבת" שמדובר באי מייל רציני שמדסקס את ענייני היום ושולחת אותו הישר לתיבת האי-מייל שלנו. מה עושים? שולחים הודעות דואר עם מלים כאלה הישר לפח?

זה לא כל כך פשוט. צריך לנהוג בספאם בעדינות. לא די שיש פיתרון שחוסם את הרעות החולות, צריך גם להבטיח שלא חוסמים מיילים תמימים וחיוניים בארגון. כמעט לכל "תרופה" שפותחה כדי להילחם בספאם נמצא "חיידק" שעמיד לה תוך זמן קצר. זאת ועוד: לעתים "התרופה" חזקה מדי ופיתרון האנטי-ספאם מסנן גם הודעות חיוניות לארגון.

וזה עוד לא הכל. כדי להילחם במנועי האנטי-ספאם מבוססי התוכן, המציאו הזבלנים שיטה חדשה, שגורמת כאב ראש לא קטן למשתמשים הסופיים וגם לחברות האנטי-וירוס בשנה האחרונה. על פי סקרים, כ- 40 אחוז מהודעות הזבל הנשלחות היום כוללות תמונות. השימוש בתמונות בדואר זבל אינו חדש. כבר לפני שנים שלחו הספאמרים תמונות במייל, בדרך כלל מדובר היה בתמונות פורנוגרפיות או תמונות של תרופות.

אלא שבמהלך 2006 "נולד" שימוש חדש בתמונות בדואר האלקטרוני: במקום לשלוח טקסט בגוף המייל, המאפשר למנועים מבוססי-תוכן לחסום נפח מסוים של ההודעות, התחכמו הספאמרים והחלו לשתול טקסט בתוך קבצי תמונה. במלים אחרות, כשמדברים על image-based spam הכוונה היא לקובץ מסוג תמונה המושתל בגוף הידיעה. אין הוא מכיל בהכרח צילום או ציור. להיפך – בדרך כלל הוא פשוט "צילום" או "תמונה" של טקסט.

שיעור הספאם מבוסס התמונות מגיע בימים אלה ל-25%-45% מהנפח הכולל של תעבורת דואר הזבל. בעיה נוספת שנגרמת על ידי המייל המבוסס-תמונות היא נפחן הגדל והולך של הודעות הספאם. אם הודעת טקסט ממוצעת "שוקלת" 8 קילובייט, הרי שהודעת ספאם עם תמונה שוקלת בממוצע 60 קילובייט. הקורא אינו מבחין בהכרח בהבדל, אבל זה הופך את רוב מנועי האנטי-ספאם לעיוורים לגמרי לתוכן ההודעה ואלה אינם מצליחים לסווג אותה כהלכה. ההודעות מבוססות התמונות הופכות, אם כן, את המנועים מבוססי-התוכן לחסרי תועלת, שכן המחשב אינו מסוגל "לקרוא" את תוכן ההודעה.

רוב שיטות הסינון מטילות גם עומס יתר על המערכת ותובעות משאבי מחשוב יקרים. הדבר מטיל עומס עצום הן על מערכת התעבורה והן על מערך האחסון הארגוני. על-פי חברת פיינאפ הישראלית, שפיתחה פיתרון כולל להגנה מפני דואר זבל, עשויה רמת דואר הזבל בשיאה, בזמן נתון, להגיע לכ-30% מנפח התעבורה. בעתות כאלה גדלות דרישות רוחב הפס והאחסון בארגונים בשיעור חד של 70%.

פיתרון כחול-לבן

דווקא אצלנו, בארץ הקודש, הומצאה שיטה, הכובשת אט-אט את העולם. מדובר בשילוב של מספר מנועי אנטי-ספאם מסוגים שונים, ביניהם מנוע המבוסס על בקרה של תעבורת הדואר האלקטרוני בעולם וזיהוי של תבניות חוזרות בגוף ההודעה. הטכנולוגיה הזאת בודקת התאמת תבניות החוזרות על עצמן בהודעות מייל, יודעת לזהות מתקפות ספאם אלו ללא קשר לתוכן, השפה, גם אם נעשה שימוש בתמונות ואפילו אם משתנה נוסח רוב ההודעה. במלים אחרות, אם המנוע מבחין בפרץ של הודעות שעונות לקריטריונים מסוימים, הוא חוסם אותן.

כדי להילחם בתופעת הספאם (ובעוד רעות חולות אחרות שמקורן בתיבת הדואר האלקטרוני) פיתחה חברת פיינאפ את Mail-SeCure – מכשיר אבטחה המגן על ארגונים מכל הגדלים מאיומים הקשורים באי-מייל – הן אלה המכוונים להרע לארגון ספציפי והן כאלה שאינם מכוונים אליו דווקא, אך עשויים להזיק לו, כמו וירוסים וספאם. פיינאפ מצליחה לתת הגנה מלאה למערך הדואר הארגוני על-ידי שילוב של חמישה מנועי אנטי-וירוס ו-11 מנועי אנטי-ספאם, המשלבים שיטות שונות של סינון ומעניקים לארגון הגנה מקסימלית. המערכת גם מעניקה למנהלי המחשוב יכולות שליטה מתקדמות במערכת, הכוללות אכיפה של מדיניות האבטחה של הארגון ואפשרויות לניהול תעבורת הדואר האלקטרוני.

תוכנת האנטי-ספאם של פיינאפ מאתרת וחוסמת 98.5% מכל תנועת דואר הזבל הנכנס, כולל דואר מבוסס-תמונות. כאשר מופעל מודול האנטי-ספאם המתקדם של ה-Mail-SeCure עם מנוע ה-RPD של קומטאץ', כל הדואר הנכנס עובר ניתוח סטטיסטי ו-pattern detection. הדואר הנחשד כספאם נחסם או מושמת לו תווית של דואר זבל. מנהל הרשת שולט בהגדרות: מי מוגדר כשולח דואר זבל ומי לא. בשורה התחתונה: פיתרון מהודק ומשתלם, שנקנה על ידי יותר ויותר גופים בעולם, כולל בנקים, חברות תעשייתיות, מוסדות ציבור ועוד.

רונית גפן.

פורסם במגזין "סטטוס – הירחון לחשיבה ניהולית"