НОВОСТИ: Старые мысли на новый лад
Автор: Илья Щуров Voyager
Прогресс — страшная сила. Его неумолимая поступь доносится отовсюду: из телевизионной рекламы, со страниц прайс-листов, из окна браузера. Обновление программ, выход новых моделей железок, новости о перспективных научных исследованиях — все говорит о постоянном движении вперед. Впрочем, порой кажется, что на некоторых особо сложных участках прогресс то ли буксует, не в силах справиться с инертностью человеческого мышления, то ли начинает двигаться кругами. Такова, например, ситуация со спамом.
Надо сказать, что спаму как явлению я многим обязан: в свое время написал про него несколько статей, включая свой первый репортаж (а теперь еще и первую «13-ю комнату»). Тем не менее особой любви к этому стихийному бедствию не испытываю — и если попадание в почтовый ящик непрошенного письма вызывает лишь рефлекторное нажатие на кнопку «Delete» без подключения сознания и каких-либо эмоций, то периодические потери сообщений в спам-фильтрах иногда доводят до белого каления. Особенно если речь идет о письме с важными правками, отправленное за полчаса до сдачи номера в печать.
Всевозможные «спамодавы», основанные на анализе содержимого, не полюбились мне с самого начала — причем, кажется, это было взаимно. Прогресс прогрессом, но не должен какой-то там алгоритм, пусть даже сто тысяч раз «эвристический» и натасканный по миллионной базе сообщений, решать, какое письмо доставить, а какое выкинуть в пропасть только потому, что ему что-то там показалось. Он, в конце концов, всего лишь алгоритм — может и ошибаться.
Другое дело — альтернативные подходы, подразумевающие изменение способа отправки писем. Еще в далеком 2002 году мы писали о концепции «электронных почтовых марок» (см. статью Ярослава Давыдовского «Интернет без спама: утопия или реальность?» в «КТ» #428), идея которой до смешного проста: прикреплять к каждому сообщению небольшую сумму денег, возвращаемую по воле получателя, — в качестве залога того, что письмо окажется как минимум небесполезно для адресата. Идея имеет свои тонкие места — но все же складывается впечатление, что ее повсеместная (и грамотная) реализация привела бы к полному решению этой проблемы. Ключевое слово: повсеместная. То есть почти одновременное изменение протоколов, почтовых клиентов, серверного ПО и, главное, пользовательских привычек. В общем, весьма маловероятное событие.
Попытки частичной реализации подобного подхода в виде различных challenge-response-систем, автоматически отправляющих ответ с требованием не денег, а выполнения каких-то действий (нажатия на ссылку, ответа на запрос и т.д.), тоже не завоевали особого успеха: подобные технологии сами тут же были объявлены «спамерскими». И, откровенно говоря, на то были основания: из-за использования подложных обратных адресов в спам-корреспонденции большинство писем-запросов уходило не по адресу, досаждая законопослушным пользователям требованиями подтвердить доставку корреспонденции, которую они не отправляли. По той же причине во многих случаях пришлось отключить отправку «отлупов» даже в контентных фильтрах, окончательно уничтожив всякие намеки на надежность e-mail: отныне ушедшее письмо могло сгинуть бесследно, даже без сообщения об ошибке.
Как ни странно, но именно этот факт сейчас воскрешает, казалось бы, забытую идею «почтовых марок». Правда, в менее приятном для пользователя варианте. Буквально на днях стало известно, что компании Yahoo! и AOL предложили довольно необычную услугу: платную доставку письма, гарантирующую, что оно не попадется в сети антиспам-фильтров этих служб (см. новость на стр. 3). По сути — те же марки, только без возврата их отправителю.
Если новый сервис окажется востребованным, его вполне могут взять на вооружение и другие компании, предоставляющие почтовые или антиспамовые услуги. Ситуация получается почти анекдотическая: с получателя берем деньги за фильтрацию почты, а с отправителя — за ее отсутствие.
И вот теперь (и только теперь!) становится возможен плавный, мягкий переход на новую концепцию хождения почты. Хочешь уверенности — плати за каждое письмо. Не хочешь — не плати, а после каждого отправления стучись в «Аську» или звони по телефону с привычным вопросом: «Ну что там, дошло?» Ну а борцы со спамом, получив в свое распоряжение новый источник дохода, могут почувствовать себя посвободнее и чуточку ужесточить правила отбора нежелательных сообщений, а на возмущение пользователей ложными срабатываниями молчаливо кивать на новую строчку в прайс-листе. А потом и вовсе отключить контентные фильтры. За ненадобностью.
С буквой на медной бляшке
Похоже, навязшие в зубах разговоры о том, чтобы ударить по спамерам длинным долларом, начали в кои-то веки претворяться в жизнь: засучив рукава, за дело взялись два крупнейших мировых почтовика — Yahoo! и AOL. Обе компании обещают порадовать своих клиентов системой платного «мыла», в которой отправка сообщений будет стоить от четверти до одного цента за штуку.
Как уверяют письмоносцы, предложенный ими «наложенный платеж» позволит заметно расчистить почтовые ящики от рекламного мусора. Несмотря на небольшие расценки, при массовом масштабе рассылок общие расходы могут оказаться внушительными: так, выкладывать по десять тысяч «зеленых» за одну отправку в миллион адресов по карману далеко не каждому рекламщику. При этом новая инициатива отнюдь не отменяет старой доброй бесплатной почты: решение «платить или не платить» будет принимать сам отправитель. Правда, кинув монетку в карман почтовиков, он избавит свою депешу от пропускания сквозь частое сито спам-фильтров, а также через цензорские ножницы, вырезающие из тела письма подозрительные изображения и веб-ссылки.
Платная рассылка может быть использована только по отношению к тем адресатам, которые согласились принимать почту от данного конкретного отправителя, и не разрешена для спам-кампаний (под страхом полного отлучения от интернет-сервисов). Некоторые фирмы, часто использующие электронную почту для общения с клиентами, надеются, что платный e-mail станет надежным отличительным признаком «немусорной» корреспонденции и поможет выделять действительно важные письма из нескончаемого потока спама.
Диссонансом к победным реляциям AOL и Yahoo! звучит разноголосый хор критиков, по мнению которых нынешний план вовсе не является абсолютной «спамацеей». Ведь, представляя собой некоторый заслон против кустарей-одиночек, он вряд ли поможет в борьбе с массовыми рассылками компаний-гигантов, для которых нынешние поборы — все равно что дробинка для слона. К тому же, взимая плату с отправителя, «почта» негласно подписывает обязательство по доставке письма, гарантировать выполнение которого в киберпространстве весьма проблематично. Ворох судебных исков со стороны разгневанных пользователей по поводу оплаченных и потерянных в дороге писем — вот во что, по мнению скептиков, выльется нынешний проект. При этом лишние стрессы почтовиков вряд ли окупятся: с учетом всепобеждающей любви обитателей Сети к халяве, перспектива заработка на новом сервисе довольно туманна.
Несмотря на доводы критиков, «коммерческие мыловары» не откладывают дело в долгий ящик, работая над техническим воплощением затеи. Для своих нужд AOL и Yahoo! избрали систему сертификации электронных сообщений, предложенную калифорнийской компанией с символичным названием Goodmail. Станет ли «период quartercento» началом обещанной эпохи Возрождения в истории электронной почты, можно будет убедиться довольно скоро: на осуществление этой идеи у почтовиков уйдет несколько месяцев. — Д.К.
Течь в паспорте
Голландское телевидение решило просветить население своей страны относительно новых электронных паспортов с биометрией и RFID-чипами. Дата начала их всеобщего ввода в Нидерландах — август 2006 года — неуклонно приближается, а народ в массе своей очень смутно представляет, что означают технологические новинки в одном из важнейших идентификационных документов. Поэтому информативной телепередаче о том, как просто похитить персональные данные человека в новых условиях, похоже, удалось наконец привлечь подобающий интерес общества к нововведению.
В сюжете голландской ТВ-программы Nieuwslicht специалисты компании Riscure (г. Делфт), специализирующейся на безопасности смарт-карт и мобильной телефонии, наглядно продемонстрировали, как из паспорта, предъявляемого на контрольном пункте, можно незаметно с расстояния десять метров перехватить всю выдаваемую RFID информацию. А затем, хоть эта информация в голландских паспортах защищена криптографией системы BAC («базовый контроль доступа»), все шифрование вскрывается за два часа работы обычного ПК. В результате потенциальным злоумышленникам становится доступна не только стандартная информация, вроде даты рождения владельца паспорта, но и его биометрия — файлы цифровой фотографии лица и отпечатка пальца. Столь вопиющая слабость защиты объясняется неудачным выбором структуры для секретного ключа, призванного обеспечивать безопасность передаваемых в эфир данных. Формально этот ключ, генерируемый на основе машиночитаемых строк в паспорте, обладает достаточной длиной для противостояния быстрым лобовым атакам, но на самом деле значительный фрагмент ключа легко предсказуем, поэтому для перебора на машине остается всего 35 бит.