Зачем "Яндекс" сканирует порты? [ Редагувати ]
В целях борьбы со спамом крупные почтовые системы сканируют подозрительные адреса на предмет наличия потенциальных уязвимостей. На прошлой неделе был замечен факт такого интереса к дырам со стороны "Яндекса".
Было произведено сканирование портов на сервере Securitylab с адреса, принадлежащего "Яндексу". Заметим, что схожую процедуру проделывают сотни хакеров Вов сем мире перед атакой.
Представители Securitylab получили от "Яндекса" подтверждение того факта, что робот проверяет машины на предмет "дырявости". "Полученные результаты нигде не публикуются и никому не передаются, а используются исключительно внутри Яндекса в целях защиты от спама", сообщалось в письме.
Тем не менее, "взрывоопасность" подобной информации, заставила нас обратиться в "Яндекс" за более подробной информацией. Комментирует Елена Колмановская, главный редактор www.yandex.ru.
- Подобными действиями "Яндекс" преследует ровно то, что было заявлено, а именно обнаружение открытых портов для блокирования получения с них спама.
В последнее время очень распространена технология, когда спамеры сканируют сеть на предмет открытых портов, устанавливают там программы (трояны) и рассылают спам через них. "Прозванивание" всех портов, а не только стандартных, позволяет существенно увеличить эффективность борьбы со спамом. Надо также добавить, что прозванивание портов делается по жалобе пользователя на полученный спам.
Руководитель проекта Securitylab Александр Антипов не разделяет мнение сотрудников "Яндекса":
- Мне абсолютно непонятно каким образом "обнаружение открытых портов" может помочь службе Яндекс.Почта "для блокирования получения с них спама". Как наличие открытого порта XXXXX поможет "Яндексу" бороться со спамом?
Представители "Яндекса" утверждают, что "спамеры сканируют сеть на предмет открытых портов, устанавливают там программы (трояны) и рассылают спам через них". Но какая польза спамеру от наличия "открытого порта"? С каких это пор открытый порт позволяет установить на компьютере трояны? Для этого нужно как минимум наличие уязвимой службы на открытом порту. Но уязвимость службы сканированием порта определить в большинстве случаев не возможно! (если только служба не сообщает о своей версии, о которой заранее известно, что она уязвима). Получается что кроме прозванивания, требуется еще и попытка "эксплуатации" предполагаемой дыры, используя различные способы проверки уязвимости
Выходит, что действие робота "Яндекса" ничем не отличается от действий какого-либо "сетевого червя" или хакера, использующего сканер уязвимостей типа XSpider. То есть робот "Яндекса" все-таки проводит попытку эксплуатации уязвимости на обнаруженном открытом порту. А значит, что утверждение представителей компании, что они занимаются только "прозваниванием всех портов" - ложно!
Они оправдывают свои действия тем, что прозванивание портов делается по жалобе пользователя на полученный спам. Но что значит "жалоба"? Если "пользователи пожаловались" означает нажатие кнопочки "пожаловаться на спам", то, надеюсь, вы осознаете, что ее могут нажимать по ошибке (мышкой промахнулись), по неведению (не все знают, что такое спам, и причисляют к этой категории санкционированные рассылки, на которые сами же и подписались), по злому умыслу.
Странно, что об этих "эффективных методах" "Яндекс" ни слова не сказал на недавней конференции по борьбе со спамом. Получается, что официально "способы борьбы" со спамом отличаются от реально используемых, с моей точки зрения как минимум неэтичных, а может быть и не совсем законных.