От автора:

                Настоящая заметка представляет собой перепечатку моей работы, опубликованной в 2000 году в Новостях ИИ (Новости искусственного интеллекта, Российская ассоциация искусственного интеллекта, N 1-2, 2000, С. 102-103), сделанную по просьбе редактора сайта ИИ.

                Идеи этой статьи не устарели, но получили дальнейшее развитие в области борьбы со спамом, который тогда, в 2000 году, только еще возникал. В частности, в 2004 году автором была зарегистрирована в Роспатенте за N 2004611258 компьютерная программа индивидуальной борьбы со спамом "Mirror" (Зеркало).

                В отличие от повсеместно распространяемых сегодня программ пассивной фильтрации, опирающихся на использование черных, белых и серых списков адресов и поэтому всегда сталкивающихся со старой кибернетической дилеммой "ложной тревоги или пропуска цели" , программа "Mirror" осуществляет активную фильтрацию. Такая активная фильтрация полностью избавляет пользователя от спама, не теряя при этом ни одного полезного корреспондента.

                Интересующиеся вопросами активной фильтрации могут обратиться  по адресу 

s t e f a n u k @ i i t p . r u

Советы бывалых

В.Л.Стефанюк

ПРОФИЛАКТИКА ЗАРАЖЕНИЯ ВИРУСОМ ЧЕРЕЗ ЭЛЕКТРОННУЮ ПОЧТУ [1]

В последнее время участились случаи получения вируса вместе с почтовыми отправлениями. Обычно это происходит тогда, когда обладатель почтовой программы открывает прилагаемый к письму файл (attachment).

При этом создатель вируса, учитывая психологию пользователя, старается как-то заинтересовать корреспондента в открытии такого файла. Среди наиболее популярных способов известны два: указать в разделе Subject письма интересующую пользователя тему, или тему достаточно нейтральную. При этом пользователь может открыть прилагаемый файл просто из любопытства.

Другой прием состоит в том, что создатель вируса с помощью простых приемов выявляет список корреспондентов пользователя, так что наш пользователь получает письмо, присланное якобы одним из его коллег. В этом случае резко возрастает вероятность того, что прилагаемый файл будет непременно открыт.

В обоих случаях пользователь редко вспоминает о рекомендации не открывать неизвестный ему файл «а вдруг там содержится что-нибудь полезное!»

Популярные антивирусные программы типа AVP и другие излечивают от многих вирусов, и мощность таких программ возрастает с каждым новым вирусом. Но к сожалению, и размер этих программ также стремительно растет, забивая диски памяти компьютера. Поскольку идеи таких программ почти всегда на шаг отстают от идей злоумышленников разработчиков вирусов, то эта «война» между ними, видимо, никогда не кончится. Очевидно, сложившееся положение дел устраивает обе стороны. Но оно не может устраивать рядовых пользователей электронной почты.

Известно, что профилактика - это более правильный путь борьбы с заболеваниями. Человек обычно старается не заболеть гриппом, принимая профилактические меры, а не рассчитывает на то, что все равно грипп будет вылечен теми или иными лекарствами.

Ниже предлагается простой рецепт такой профилактики. Получив письмо, содержащее приложение (Attachment), при малейшем подозрении на возможность получения вируса, получатель письма должен послать назад короткое письмо с просьбой подтвердить факт посылки данного письма обычным текстом, используя для этого команду Reply почтовой программы. Поскольку новое письмо и ожидаемый ответ на него уже не содержат приложения, то это приведет к незначительной дополнительной нагрузке на почтовую сеть.

Только получив подтверждение, можно рисковать открыть приложение. («Рисковать», потому что вирус, тем не менее, может в нем содержаться, если, например, автор этого письма не знает, что его компьютер уже давно заражен и вирус автоматически включается в каждую подходящую для этого посылку.)

Успех описанного алгоритма основан на том факте, что рассылка вирусов обычно идет с адресов, которые немедленно после рассылки закрываются (и тогда в ответ на ваш «reply» придет письмо от сервера, что такой-то адрес не существует).

Как легко видеть, описанный алгоритм носит опережающий характер: вирус не будет скопирован в компьютер, каким бы совершенным он ни был. К достоинствам указанного профилактического приема следует отнести и то, что он будет отбраковывать и так называемый «спам» - безобидную, но отвлекающую от дела рекламу, рассылаемую массовым образом.

В заключение отметим, что подобный образ действий может быть реализован прямо оператором на почтовом сервере, что было бы весьма удобным для пользователя. При этом большой процент вируссодержащих писем просто не поступал бы к пользователю.

С другой стороны, предлагаемый алгоритм прост и может применятся пользователем сразу же по прочтении данной заметки.



[1] © Стефанюк, Институт проблем передачи информации РАН, stefanuk@iitp.ru

Работа выполнена при финансовой поддержке РФФИ (проект № 99-01-01152)

//Новости искусственного интеллекта N 1-2, 2000