Информационная безопасность
[RU] switch to English


Интернет загубят АнтиВирусы?

3APA3A (security.nnov.ru)
Дмитрий Леонов (bugtraq.ru)
Алекс Экслер (exler.ru)
Александр Дилевский (yandex.ru)
Александр Антипов (securitylab.ru)
Илья Медведовский (dsec.ru)
Владислав Мяснянкин (BugTraq.Ru)
  Незамысловатый, казалось бы, почтовый червь Sobig.f побил все рекорды по распространению. Пользователи, еще не оправившиеся от предыдущей эпидемии msblast выстраиваются в очередь за антивирусами, а провайдеры и просто люди с большим кругом общения хватаются за голову. Потому, что возросшее количество антивирусов угрожает функционированию почтовых служб Internet. Уже отмечены многочисленные сбои почтовых служб и проблемы в почтовом обмене между провайдерами. А причина кроется не столько в самом вирусе, сколько в антивирусных программах.

  Как так? Все очень просто. Как ведет себя квалифицированный пользователь при получении подозрительного письма? Тихо и спокойно его удаляет. В то время, как большая часть антивирусных программ начинают громко кричать о найденном вирусе, посылая грозные письма на адрес отправителя, адрес получателя (да еще и на адрес системного администратора). Администратор виноват сам. Получатель письма будет уведомлен, что к нему с благославления администратора не прошел страшный вирус. Но в чем провинился несчастный, адрес которого был взят вирусом случайно с зараженного компьютера и подставлен в качестве адреса отправителя? Он, бедный, может получить пару сотен тысяч писем от злобных почтовых антивирусных роботов с уведомлением что он, подлец такой, рассылает вирусы. Хотя он этого не делал. Честно-честно. Причем, в отличие от самого вируса, выявить и отфильтровать такие вирусные квитанции будет крайне сложно, т.к. каждый производитель антивирусов и каждый администратор почтового сервера очень любит, чтобы его антивирус ругался в определенной, присущей только ему манере, зачастую не соблюдая никаких стандартов. Абсолютно не заботясь о том, что эта ругань дойдет человеку, который не причем. А может быть и не дойдет, т.к. адрес окажется не рабочим (или уже заблокированным, из-за обилия сообщений). В результате другой робот ответит первому, что такого адреса не существует, или что превышен объем почтового ящика... А в результате каналы, почтовые сервера и почтовые ящики забиты мусором, не несущим смысловой нагрузки.

  Что делать? Можно слать или не слать уведомление получателю письма, но есть замечательное правило - никогда не отвечать на спам (кстати, очень часто забываемое разработчиками антиспам-программ и системными администраторами, настраивающими почтовые фильтры. В результате спам все равно доходит, но только в виде почтовой квитанции человеку от чьего имени он был разослан). Если в письме содержится червь, оно должно быть тихо удалено. Если есть сомнения (например это зараженный вирусом документ) - можно уведомить получателя сообщения. Генерация автоматических ответов отправителю в антивирусной программе является ошибкой конфигурации, вредящей абсолютно невинным людям. Это должны учитывать как производители антивирусных программ (многие из которых делают опцию ответа отправителя включенной по-умолчанию) так и те, кто их устанавливает и настраивает (или не настраивает).

  К той же категории проблем можно отнести и автоответы. "Меня сейчас нет, я прочитаю ваше письмо позже" или "Ваше сообщение получено службой поддержки". Ах, как это информативно. Человек, хоть раз посылавший письмо по списку рассылки (например в Bugtraq или в Ntbugtraq) знает, каково это - получать пару дюжин таких ответов в минуту.

  Люди... Если мы хотим выжить, МЫ ДОЛЖНЫ ЗАСТАВИТЬ РОБОТОВ МОЛЧАТЬ!
О сайте | Условия использования
© SecurityVulns, 3APA3A, Владимир Дубровин
Нижний Новгород