Konsumenci i zombie - trzeba walczyć z plagą spamu

Urząd Ochrony Konkurencji i Konsumentów przyłączył się do prowadzonej przez amerykańską Federalną Komisję Handlu międzynarodowej inicjatywy, mającej na celu przeciwdziałanie wykorzystywania komputerów konsumentów do rozsyłania niechcianej korespondencji elektronicznej. Chodzi o komputery zombie.

W komunikacie prasowym UOKiK czytamy: "36 instytucji rządowych odpowiedzialnych za zwalczanie niechcianej korespondencji wysyłanej drogą elektroniczną (spam) podjęło inicjatywę mającą na celu przeciwdziałanie praktykom przejmowania kontroli nad komputerami konsumentów przez podmioty masowo wysyłające niezamówionych listów elektronicznych. Wykorzystując luki w systemie bezpieczeństwa komputerów spamerzy instalują ukryte oprogramowanie, które przekształca komputer konsumenta w serwer pocztowy lub tzw. serwer proxy. Po przejęciu kontroli nad urządzeniem masowo wysyłają za jego pośrednictwem korespondencję elektroniczną, maskując jednocześnie prawdziwe źródło jej pochodzenia".

Opis projektu na stronacha Amerykańskiej Komisji Handlu. Na tej sptrnie dostępny jest również specjalny list do dostawców usług (przygotowany w języku polskim (PDF)). Czytamy tam: "Zwracamy się do Państwa w imieniu międzynarodowej grupy zrzeszającej właściwe agencje rządowe z prośbą o przyłączenie się do ogólnoświatowej inicjatywy przeciwdziałania praktykom przejmowania przez podmioty wysyłające masowo niechcianą korespondencję (tzw. Spamerów) kontroli nad komputerami konsumentów i wykorzystywania ich jako tzw. "spam zombie". Grupa ta zrzesza organy administracji rządowej, które zgodnie ze swoją kompetencją są odpowiedzialne za zwalczanie spamu poprzez egzekwowanie przepisów prawa, prowadzenie badań technologicznych, prowadzenie działalności edukacyjnej skierowanej do konsumentów oraz przedsiębiorców opracowywanie polityk, jak również inicjowanie oraz wspieranie tworzenia ram współpracy organów administracji z sektorem prywatnym (partnerstwo publiczno-prywatne)..."

Widać, że problem spamu nadal jest postrzegany jako bardzo istotny. Przejmowanie maszyn użytkowników internetu ma obecnie coraz bardziej merkantylny wydźwięk. Za pomocą przejętych maszyn istotnie prowadzi się działania spamerskie na gigantyczną skalę, jednocześnie wykrada się poufne dane, lub przechowuje sie na maszynach zombie zasoby, których przechowywanie jest z punktu widzenia poszczególnych systemów prawa nielegalne.

W Przedstawionym powyżej liście adresowanym do dostawców usług internetowych wskazano kilka możliwych działań zmierzających do walki z tą plagą.

Mowa tam o blokowanie portu 25, "za wyjątkiem wychodzących żądań SMTP pochodzących od autoryzowanych użytkowników serwerów poczty przeznaczonych do przekazu poczty klientów. Proponuje się rozważenie wdrożenia procedury uwierzytelnienia SMTP na porcie 587 dla klientów obsługujących własne serwery poczty wychodzącej. Komisja proponuje wprowadzenie kontroli ograniczenia ilości tranzytu wiadomości pocztowych, identyfikację komputerów wysyłających nietypowe ilości wiadomości pocztowych i podjęcie odpowiednich kroków w celu ustalenia, czy komputer jest wykorzystywany jako spam zombie. W razie konieczności zarządzenie kwarantanny zaatakowanego komputera do czasu usunięcia przyczyny problemu...

Trzeba też budować świadomość użytkowników.

Na marginesie dodam, że na świecie toczy się również debata dotycząca standardów identyfikacji uczestników elektronicznej komunikacji. Udało się nawet ustalić pewne rozwiązanie, które zainteresowane rozwojem internetu organizacje (działające w ramach the Internet Engineering Task Force - IETF) mogłyby uznać za standard (Purported Responsible Address in E-Mail Messages oraz Sender ID: Authenticating E-Mail), a które dotyczy przeciwdziałania podszywania się pod istniejące lub nieistniejące adresy poczty elektronicznej. Problem w tym, że okazało się, iż na zaproponowane i negocjowane rozwiązanie firma Microsoft złożyła wniosek patentowy (jeszcze nie uzyskała patentu). I teraz: Firma, która nie ma jeszcze patentu postanowiła, iż zaprezentuje licencję dotyczącą stosowania rozwiązania mogącego się stać standardem komunikacyjnym. W skrócie i pewnym uproszczeniu chodzi o to, że każdy kto używałby tego rozwiązania (o ile zostanie przyznany na nie amerykański patent) jednocześnie zobligowywałby się do niedochodzenia od firmy roszczeń, gdyby ta wykorzystała jakikolwiek patent przysługujący osobie korzystającej z rozwiązania. Mówimy o korzystaniu z poczty elektronicznej... AOL zrezygnował ze wspierania technologii Sender ID, stąd - trudno dalej prowadzić prace uznając, że opatentowana (w tym przypadku - potencjalnie opatentowana, gdyż wnioski jeszcze nie są gwarantowane) przez kogoś "metoda" może stać się powszechnym standardem

W tym kontekście nowego znaczenia nabiera przypis autorów listu do providerów, w którym ostrzegają, iż przypadku zastosowania się do przedstawioinych tam zaleceń, należy upewnić się, iż "nie stoją one w sprzeczności z powszechnie obowiązującymi przepisami prawa miejsca prowadzenia przez Państwa działalności, w tym: prawem ochrony danych osobowych, prywatności lub bezpieczeństwa informacji, lub z jakimikolwiek innymi wymaganiami lub obowiązkami natury prawnej".

Wszystko wskazuje, że społeczeństwo informacyjne jakie rozwijamy - będzie społeczeństwem powszechnej identyfikacji jego uczestników. W takim społeczeństwie prywatność będzie musiała nabrać nowego znaczenia...