垃圾邮件,网络钓鱼和其他侵犯威胁要破坏互联网的信心。怎样才能解决危机之前已经太迟了吗?
电子邮件可以说是最普遍的应用程序在互联网上,但它是受到攻击的冲击侵蚀的滥用它的实用性。如果不控制,这些威胁可能会改变我们所知道的互联网的本质。
一般问题困扰的电子邮件和互联网了燎原之势。很少有用户逃的阴险的性质垃圾邮件,更多的牺牲品网络钓鱼,越来越多的在线身份盗窃。病毒经常携带恶意代码能够把一个毫无防备的用户的电脑变成“僵尸”,当召唤,成为spam-blasting邮件服务器。
发送方身份验证打击路障
这些不是问题,新版本的Microsoft Exchange或可以解决一些额外的磁盘空间。互联网社区努力发展技术应对这些威胁,而美国监管机构寻求使用他们所得到的一些立法工具来打击犯罪的电子邮件。不需要的电子邮件已成为全球头痛,国际组织正在率先努力跨国反垃圾邮件法律和监管机构。
“我们看到什么是利害攸关的保护和保存不少于我们所知道的互联网,”罗伯特·肖说,互联网与国际电信联盟战略和政策顾问。
然而所有这些当事人同意,没有实际治疗滥用电子邮件,只有遏制。
通信危机
统计数据告诉的故事,一个不会消失的问题。国际电信联盟估计,垃圾邮件占80%的所有电子邮件在互联网上发送和全球经济每年花费250亿美元。1974年7月,独特的网络钓鱼攻击被报道,根据反钓鱼工作组为更多的统计数据(见图表)。
更糟的是,没有人知道什么是潜伏在拐角处。垃圾邮件发送者已经众所周知能够保持领先一步的技术和后创造了整个行业的垃圾邮件过滤供应商努力跟上最新的技巧。钓鱼者创建电子邮件和网站,几乎是相同的那些他们欺骗、引诱甚至精通电脑的用户身份盗窃陷阱。把电脑变成垃圾邮件发送的僵尸的病毒伤害一个无辜的用户的声誉,让它无法确定电子邮件的真正来源。
在电子邮件的世界里,施虐者发号施令,和技术产业正在由鼻子周围。
“如果你使用电子邮件的人说话,当然在消费者行列,他们说现在太多的麻烦了,有太多的垃圾,它太危险,”格雷格•奥尔森说电子邮件软件制造商Sendmail的创始人兼董事长。“整个事情是处于危险之中。”
然而很少有人会走这么远来表示电子邮件将不再是一个受欢迎的通信机制。不仅有企业投入太多的时间和金钱在构建他们的消息传递基础设施和在线客户关系策略,但电子邮件已经成为根植于美国人的工作和生活方式。
“我们建立这样一个巨大的依赖电子邮件,我不认为我们是在一个位置我们会回去,说“我要开始叫人或再次写信,”“霍华德•施密特说,在eBay首席信息安全官和前白宫网络安全问题特别顾问。“我们看技术的进化,我们已经克服和推进;这是另一件事来克服。”
不过,发送和接收消息的日子没有风险或妨害似乎消失了。
阻止垃圾邮件
清除垃圾的世界的唯一方法是让发送不是经济可行的。爆破垃圾邮件在互联网上的开销是如此之低,垃圾邮件发送者只需要最窄的反应率来赚钱。如果电子邮件用户停止回应无数提供再融资抵押贷款或购买处方药,垃圾邮件发送者将停止发送。
短的发送不请自来的商业性电子邮件索取非法的攻击——控制色情和营销行为(- spam),但只有在特定的条件下——似乎没有阻止垃圾邮件的方法。
打击网络钓鱼,更严重的虐待,被认为是一种欺诈行为,因此联邦进攻,意味着必须找到罪犯和量化损害他们的受害者——联邦机构已经发现有挑战性。与此同时,美国联邦贸易委员会(Federal Trade Commission)报告说,身份盗窃持续增长;该机构在2003年收到214905宗投诉,从86212年的2001。
根除的滥用电子邮件一个不能得到的目标,技术公司、行业协会,议员们甚至国际机构,如联合国已经盯上了电子邮件的问题不太严重。
虽然意见不一的最好方法减少滥用,每个人似乎都同意需要新技术的组合,强大的立法严重后果的,强有力的执法,终端用户教育与国际协调问题。
技术策略
在技术方面,该行业似乎是围绕发送方身份验证添加到电子邮件的想法,让收件人验证消息的来源(见“发送方身份验证设置路障”)。通过验证消息的发送方(或最受欢迎的建议,消息发送)的领域,这种技术将关闭漏洞敞开SMTP允许Internet邮件是匿名的。
互联网并不是最初设计时考虑到发送方身份验证,因为没有人预测这样一个保障的必要性。“当我把互联网项目在DARPA 76年,系统没有一个特定的身份为每条消息。我们假设[用户]社区是可信赖的。现在我们知道这不是真的,”Vint Cerf说,技术战略的高级副总裁MCI,他被广泛认为是互联网的发明者之一。
一些纯粹主义者认为,添加身份验证改变互联网的本质,已因允许自由流动的交流超越经济、地理和文化障碍。
但大多数观察家采取更加务实的观点——如此多的人使用互联网,这么多钱,利用某种形式的责任注定是必要的。
“这是不可避免的,当你有这种广泛部署(互联网)你有遇到这样的问题,“Sanjay波尔说,副总统的反垃圾邮件主动思科。“这是一个耻辱,但这也是不可避免的。”
立法的努力
直到垃圾邮件发送者可以发现,唯一的联邦法律通过帮助对抗垃圾邮件仍然基本上毫无用处。- spam, 1月1日生效,没有停止不必要的信息,部分原因是它要求执法者能够发现违规者。在互联网上这是一个棘手的任务,发送者很容易可以伪装成别人他们不是垃圾邮件,很大一部分来源于海外,超出了法律的范围。
先进技术、产业协作、消费者教育,有效的和有针对性的立法执法反对非法垃圾邮件发送者显著降低和解决垃圾邮件和网络钓鱼的问题。” ——乔治·韦伯,业务经理的反垃圾邮件技术和策略组在微软 |
|
|
|
反垃圾邮件的方法。” ——罗伯特•肖互联网战略和政策顾问,电联 |
“我们认为这将组合
“我们一直说- spam,法案不会解决这个问题。需要一个混合的(立法和技术)充分解决它。”
“我们永远不会完全消除滥用电子邮件,但技术可以推动经济墙足够远,这不是有利可图了。”
”技术在减轻滥用确实有作用,但它不是有效的解决问题完全与技术。用户教育不会伤害,但它并不总是工作。”
“任何国家的立法是一个基本组成部分“可能是主要问题(在打击垃圾邮件),能够找到的人”发送它,FTC律师迈克尔·古德曼说。“没有认证,电子邮件垃圾邮件发送者太容易触犯法律而不被发现。”
创建一个“不要邮件”注册表之前,就像“不叫”列表,防止电话拨号成员的数字,美国联邦贸易委员会将等待发送方身份验证,古德曼说。该机构举办一个会议下周检查不同的发送方身份验证方案,确保“整个光谱的利益代表,不仅仅是大公司,”他说。
- spam的目的不是为了减少不必要的消息的数量达到邮箱,古德曼补充道。相反,背书的退出方法——防止营销人员发送电子邮件给受者要求停止接收它,只会让非法当营销人员违反协议发送垃圾邮件。”退出,你可以说“我不想接到你的电话,但是法律并没有很多工具来减少垃圾邮件的体积,”古德曼说。“这就是技术最大的作用。”
与网络钓鱼事件呈上升趋势,有一些运动在国会来解决这种形式的在线身份盗窃。今年7月,参议员帕特里克莱希(D-Vt)。介绍了2004年反钓鱼法,旨在使钓鱼联邦犯罪,可以带走罪犯长达五年。现行法律的州钓鱼是一种犯罪后才有人被欺骗,而莱希的法案将禁止试图欺骗用户的电子邮件。
当然,联邦法律没有影响垃圾邮件发送者和从海外钓鱼者轰击邮箱。在过去的几个月里,国际机构强调了滥用日益严重的国际问题,和一些建议的行动已经出现。
国际干预
ITU 7月举办的一次会议上,来自60个国家的互联网监管机构举行会晤,讨论需要监管和技术来控制滥用电子邮件。结果是调用所有的政府通过反垃圾邮件法——目前只有30个国家已经这么做了——和任命监管机构专门处理不需要的电子邮件。与更多的国家通过反垃圾邮件法律、国际谅解备忘录可以开发可能导致跨境执法。意识到,除了少数例外,反垃圾邮件法律没有特别有效,根据肖,来自不同国家的计划分享经验来确定什么可行,什么不。
是可以预料到的任何国际组织,这一行动的影响不会在一夜之间发生。总结报告垃圾邮件工作组的建议不会被释放,直到2005年11月。
今年8月,经济合作与发展组织(OECD)设立了一个工作小组来监控反垃圾邮件活动由其30个成员国政府和研究相关的策略。这项研究将在两年的时间在集团建议的最佳实践和公众意识运动。
上个月,联邦贸易委员会宣布其垃圾邮件执行行动计划,签署了来自15个国家的机构。联邦贸易委员会的计划,国际电联说建立在类似的努力下,经合组织和其他人,呼吁建立一个国际工作小组垃圾邮件,以及增加调查培训和建立的接触点为每个国家迅速应对执法调查。
而滥用电子邮件毫无疑问在好转之前会继续恶化,一些人振奋协调业内人士和国会议员和国际组织。
“底线是,这是一个全球问题,影响全球消费者和企业用户,是每个人都需要协作——领导人在技术和其他重要行业,政府甚至用户,为了解决这个问题,”乔治·韦伯说,业务经理的反垃圾邮件技术和策略组在微软。集体“解决方案不会在一夜之间出现,但我们正在努力。”