Uncategorized

Cloudmark Desktop a spam, phish és vírusok ellen

Az emailben érkező kártevők ellen többféle módon is lehet védekezni. A Cloudmark Desktop terméke a közösség erejét használja ki. Működésének elve az alábbi ábrán látható.

couldmark security network

Amikor egy új levelet letölt a felhasználó, akkor a Cloudmark Desktop egy (több) ellenőrző összeget képez a levélből, és azt elküldi (azonban magát a levelet nem – legalábbis az Ethereal szerint) a Cloudmark egyik számítógépére. Az a gép megnézi az adatbázisban, hogy a közösség hogyan szavazott felőle, és az eredményt visszaküldi a felhasználó gépén futó Cloudmark Desktop programnak, ami alapján az a levelet vagy a Beérkezett üzenetek vagy pedig a Spam mappába teszi, és ebben az esetben a Subject (Tárgy) sor elejére szúrja a [Scanned by Cloudmark] szöveget.

A már említett hálózatot nagyon sok (millió?) felhasználó alkotja. Minden felhasználó “szavazhat” a leveleit illetően, hogy az spam vagy sem, ezt – a telepítés után – az Outlook vagy az Outlook Express levelezőprogramokba épült “Block” ill. “Unblock” gombok segítségével dönthet egy levél felől. A döntés eredménye bekerül a Cloudmark központi adatbázisába. Ha a döntés megegyezik a többi felhasználó döntésével, akkor az a levél onnan kezdve pl. spam.

Az alkalmazást 3 halmaz levéllel teszteltem, minden levél valódi, nem mesterségesen kialakított, egyszóval real world emailek. Az eredmény az alábbi táblázatban látható.

Levél típusa Helyesen felismert levelek száma Tévesztések száma Eredmény [%]
Spam #1 970 79 93.09
Spam #2 1718 226 88.37
Ham 861 5 99.42

A termék honlapja egyébként 98% spamfelismerési arányt említ, és azt, hogy “never miss a legitimate message”. Saját méréseim alapján én ennél valamivel szerényebb eredményt értem el. Az aggregált 89.8%-os spam felismerés eredményének köszönhetően a spamet jó tizedére csökkenti, ami elmarad a statisztikai szűrők 99.5% feletti eredményétől (ez kb. 20x különbség az utóbbiak javára).A Spam #2 halmazból átcsúszott spameket megvizsgálva, a 226 levélből 163 image spam volt. Ezt a (relatíve) magas hibát azzal magyarázom, hogy a spammerek játszi könnyedséggel variálják a szemre ugyanúgy kinéző spam képeket, így azokból nehéz azonos ellenőrző összeget képezni. Márpedig a termék ötlete arra épít, hogy ugyanazt a spam/phish/vírusos levelet (azaz amelyeknek ugyanaz az ellenőrző összegük) kapja meg sok felhasználó a Cloudmark hálózatban. A teljesség kedvéért azt is meg kell említenem, hogy a felismert spamek (1718) között 627 image spam volt.

Egy másik (és szerintem nagyobb) probléma, hogy 5 jó levelet is spamnek tekintett. Szerencsére nem veszett el egyik sem, a Spam folderből vissza lehetett állítani. Kipróbáltam, hogy az egyik tévesen spamnek ítélt levelet az Unblock gombra kattintva jónak jelöltem, majd újra küldtem. Úgy látszik, van valamennyi átfutási idő, mert újra spamként jelölte meg. Amikor pedig türelmetlen újra az Unblock gombra kattintottam, a Cloudmark Desktop felajánlotta, hogy az adott feladótól érkező összes levelet átengedje.

Összességében mégis jónak tartom a Cloudmark ötletét, mert egy nagy létszámú csoport hatékonyabban meg tud birkózni pl. a phishing és a spam okozta problémával, ill. az is szimpatiku, hogy nem terheli a gép erőforrásait pl. vírusírtót futtatva a helyi gépen. Ennek ellenére óva intenék bárkit attól, hogy uninstallálja a gépén futó antivírus programot.

A Cloudmark Desktop 15 napos próbaverziója is elérhető, így mindenki meggyőződhet arról, hogy nála hogyan válik be. Ha pedig megtetszett, $39.95 az ára egy évre. Egy apró hátránya van még a programnak: kizárólag
a windows platformon elérhető Outlook ill. Outlook Expressz levelezőprogramokkal képes együttműködni.