– Osiem silników antywirusowych, piętnaście warstw antyspamu, cztery niezależne moduły – jeden wywiad z Marcinem Piołun-Noyszewskim, prezesem M2 NET, na temat systemu SMI!

"E-Security Magazine", październik – listopad 2005

W jakich okolicznościach powstał pomysł na program do monitorowania i ochrony elektronicznej poczty?

Nasza firma od wielu lat zajmowała się tworzeniem aplikacji biznesowych. Ich instalacją i administracją w środowisku IBM Lotus Domino. Środowisku, które nie było bezpieczne, dobrze zabezpieczone. Świadomi tej słabości postanowiliśmy napisać firewall – dedykowany Domino. Po rozpoznaniu rynku doszliśmy jednak do wniosku, że produkt chroniący jedynie serwery IBM nie przyniósłby nam oczekiwanego zwrotu z inwestycji. Dlatego zdecydowaliśmy się na stworzenie programu bardziej uniwersalnego, który chroniłby ruch SMTP. Powstała pierwsza wersja Secure Mail Intelligence! (SMI!), nazywana SMTP Guard. W tym czasie otrzymaliśmy kilka zleceń na zbudowanie systemów kryptograficznych. Nic dziwnego, że drugi projekt SMTP Guard miał zaawansowane szyfrowanie off-line i on-line. Co dwa, trzy miesiące ukazywały się nowe wersje, wzbogacane o nowe rzeczy. Routing, kontrola RBL, ukrywanie tożsamości (identity spoofing), antyspam oparty na słowach kluczowych, serwer administracyjny. Mieliśmy jeszcze kilka pomysłów. Na przykład napisanie aplikacji antywirusowej. Lecz wymyślenie podobnego do innych antywirusa nie wydało nam się ostatecznie atrakcyjne. Zresztą promocja byłaby niezmiernie kosztowna. Co zatem? Zupełne przeprojektowanie SMI! Budowanie na wzór architektury modularnej, która pozwala wydajniej korzystać z różnorodnych silników ochrony, w tym antywirusowych. Wyniki zleconej analizy rynku całkiem nas zaskoczyły. Okazało się, że na świecie są tylko trzy komercyjne przedsiębiorstwa, które mają w swojej ofercie aplikacje z więcej niż trzema silnikami. Trzy przedsiębiorstwa, trzy silniki, trzy aplikacje, z których żadna nie mogła służyć jako zapora sieciowa, żadna nie dawała ochrony opierającej się na analizie masowych zachowań, żadna nie miała skutecznych antyspamowych filtrów.

Czym rożni się Secure Mail Intelligence! od innych, zaawansowanych i dostępnych na rynku systemów do monitorowania i ochrony elektronicznej poczty?

Jest to jedyny produkt na świecie, który ma wbudowany firewall, wyrafinowaną kontrolę zachowań masowych, osiem silników antywirusowych i piętnaście warstw ochrony antyspamowej zgrupowanych w czterech niezależnych modułach. Tylko SMI! potrafi pracować w wielu środowiskach – Windows, Linux i Sparc Solaris. Nasz największy konkurent, firma Sybari, zapowiedziała po przejęciu jej przez Billa Gatesa, że nie będzie wspierać innych niż Windows systemów. Do współpracy z Microsoftem ogranicza się również brytyjski GFI Informatics.

Sprzedaży SMI! towarzyszy wyjątkowa polityka licencyjna. Kiedy kupimy dowolny produkt z serii, otrzymamy darmową licencję na wszystkie produkty pozostałe. Dzięki temu będziemy mogli od razu korzystać z wielu platform systemowych i serwerów – SMTP, IBM Lotus Domino, Ms Exchange.

Kontrolę ruchu SMTP w różnych wydaniach SMI!, także w SMI! for Exchange i SMI! for Domino, przeprowadza się na poziomie protokołu, z pominięciem serwisu Microsoft SMTP Service, co pozwala na szybsze, dokładniejsze skanowanie. I na odsunięcie od siebie zagrożenia, jakim są robaki, upośledzające tę właśnie usługę.

SMI! należy do niewielkiej grupy systemów, które mają usprawniony mechanizm sprawdzania nadawcy. Polega on na tym, że zanim program odbierze pocztę, sprawdza, czy nadawca przyjmie ją od adresata. Jeśli ten pierwszy odrzuci korespondencję, możemy być prawie pewni, że mamy do czynienia z mistyfikacją, z próbą podszycia się pod nieistniejące lub zablokowane konto.

Co więcej, wszystkie wersje SMI!, bez względu na jakich systemach operacyjnych działają, konfiguruje się w taki sam sposób. Administrator, inaczej niż w produktach konkurencji, nie musi tracić czasu na studiowanie nowego interfejsu.

Na czym polega kontrola integralności poczty elektronicznej w SMI!

Zaczyna się ona od momentu pierwszej komunikacji między serwerami, od przyjęcia poczty. Na przykład kiedy zostanie wydane złe polecenie lub oczekiwanie przed wydaniem polecenia jest zbyt długie, to znaczy wedle statystyk powinno nastąpić szybciej, system zaczyna z większą uwagą i wzrastającą podejrzliwością przyglądać się takiej poczcie. Następnie ustala, czy list spełnia kilkadziesiąt warunków poprawności. Czy jest powiedzmy w pełni zgodny ze standardem RFC? Czy ma wszelkie niezbędne elementy i czy są one ze sobą logicznie powiązane? Secure Mail Intelligence! może dla przykładu wykryć, że zagnieżdżony w emailu obiekt, który podaje się za OLE Excela, jest w istocie plikiem wykonalnym. Sprawdza zgodność adresów nadawcy i adresata oraz domen – z rzeczywistością. I również, czy serwer jest uprawniony do prowadzenia korespondencji w imieniu danej domeny (Sender Policy Framework).

Jaką pozycję w przestrzeniach marketingu i sprzedaży zajmuje SMI! w porównaniu z innymi produktami, które są w ofercie Państwa firmy?

SMI! jest nadal rozpieszczanym dzieckiem. Prawie wszędzie go promujemy, niemal wszystkim proponujemy. Tworzymy sieć zagranicznych i krajowych partnerów. Co prawda w naszej firmie podejmujemy równocześnie wiele innych przedsięwzięć. Zajmujemy się między innymi tworzeniem dedykowanych aplikacji biznesowych. Nie ukrywam, że ta działalność przynosi nam więcej pieniędzy niż satysfakcji. W każdym razie podzieliliśmy się na dwa działy: programów dla biznesu i bezpieczeństwa. Jeśli przyjrzeć się naszym przychodom, przeważają w nich jeszcze zyski z tych pierwszych, ale mamy nadzieję, że w przyszłym roku szala przechyli się ostatecznie na stronę SMI!

Systemy antyspamowe podnoszą z reguły wiele fałszywych alarmów. Zaliczają do kategorii „spam” także wiadomości, które nie mają z nim nic wspólnego. Czy Secure Mail Intelligence! lepiej sobie radzi z klasyfikowaniem odbieranej poczty?

Niestety, to wielki problem dla wszystkich, którzy zajmują się ochroną. Praca nad nowym systemem jest zawsze pojedynkiem, duel, między autorami nowych pomysłów na spam, który zostanie uznany za zwykły elektroniczny list, i twórcami odpowiednich zabezpieczeń. W ostatnim czasie byliśmy świadkami zdumiewającego rozbłysku rozwiązań opartych na filtrach Bayesa i spektakularnego zasłonięcia tych rozwiązań cieniem. Secure Mail Intelligence! korzysta niemal z każdej znanej obecnie techniki wykrywania spamu. W tym – z tropienia słów kluczowych, analizy leksykalnej Bayesa i analizy wielkości, heurystyki, z Real-time Pattern Detection (RPD), SPF i DNS, weryfikacji adresów, obserwacji masowych zachowań oraz białych i czarnych list. Różnią się one od siebie nie tylko liczbą mylnych wskazań, lecz także algorytmem, dlatego nie jest możliwe zsumowanie parametrów poszczególnych modułów.

Technika RPD (wykrywanie wzoru w czasie rzeczywistym) jest uznawana za najlepszy sposób na redukcję błędów. Lecz wielu klientów nie może sobie pozwolić na długotrwałe badanie zdalnych serwerów w czasie odbierania przesyłki. Rozsądny wydaje się kompromis między szybszą analizą i zgodą na pewną niedoskonałość, zawodność.

Czy Państwa system szyfrowania elektronicznej poczty spełnia kryteria państwowych i komercyjnych centrów certyfikacji?

W szyfrowaniu przekazów SMI! wykorzystuje urządzenia CompCrypt Delta, które mają certyfikaty Agencji Bezpieczeństwa Wewnętrznego i umożliwiają transmisję elektroniczną do poziomu klauzuli tajne włącznie. Ze względu na wymogi prawne tego rodzaju usługami zajmuje się oczywiście jednostka z właściwymi uprawnieniami i odpowiednimi koncesjami. Poza tym SMI! jest testowany obecnie przez dwie niezależne organizacje. Obie są światowymi autorytetami w dziedzinie elektronicznego bezpieczeństwa. Wyników spodziewamy się po dwóch miesiącach. Wszystkie moduły antywirusowe (z wyjątkiem ClamAV) mają aktualne certyfikaty CheckMark, AV-Test, VB-Bulletin. Niektóre również ICSA.

Jakie rodzaje informacji przechowuje się w dziennikach aktywności systemu, w logach? Jakimi narzędziami do ich analizy dysponuje administrator?

Po pierwsze, administrator sam decyduje, ile informacji będzie zapisywanych w dziennikach. Dla każdego modułu niezależnie można to określić. Od zera do stu procent. Systemowe zdarzenia przechowywane są w dwu postaciach: jako pliki tekstowe (logi) i bazy danych. Po drugie, do pakietu administracyjnego włączyliśmy zdalną przeglądarkę logów oraz program graficzny, ze statystykami wyświetlanymi w różnych formach, wykresów i diagramów. Można skorzystać z dowolnego systemu do tworzenia raportów lub analizy OLAP i bezpośrednio połączyć się z bazą zdarzeń, która zresztą ma swoją wewnętrzną dokumentację. SMI! składa się jeszcze z modułu EventManager. Poddaje on analizie wskazane zdarzenia i wysyła do administratora notatki, wraz z plikiem zip, w którym mieści się kopia logów z wybranego okresu.

Czy SMI! wymaga wsparcia technicznego w fazie eksploatacyjnej?

To rozbudowany system! Naturalne, że wymaga pewnej wiedzy czy kompetencji od ludzi, którzy chcą się nim posługiwać. Co nie znaczy, że nie staramy się upraszczać konfiguracji, a instalowania uczynić możliwie przyjemnym. W ostatniej wersji, która jest wyposażona w zintegrowany instalator, osoba administrująca już na samym początku wpisuje wszystkie podstawowe parametry wystarczające do poprawnego uruchomienia programu. Co więcej – ta uwaga dotyczy przede wszystkim użytkowników Linuxa i Solaris – nie jest potrzebna zaawansowana wiedza o systemie operacyjnym, aby poprawnie zainstalować program.

Jakie wsparcie techniczne oferujecie w cenie produktu? Jakie są opcje dodatkowo płatne?

Standardowo każda komercyjna licencja SMI! zapewnia roczne wsparcie techniczne przez telefon, e-mail i WWW, w godzinach od ósmej do siedemnastej środkowoeuropejskiego czasu. Klient może też wybrać inny rodzaj wsparcia, wymaga to jednak dodatkowych opłat. Licencja, droższa o osiemnaście procent od tradycyjnej, obejmuje wizyty i obsługę od ósmej do dwudziestej. Natomiast opłatę za całodobową pomoc techniczną ustala się indywidualnie.

Proszę opowiedzieć o najważniejszych wdrożeniach systemu SMI! W jakich odbyły się środowiskach, sieciowych i systemowych? Jakie problemy napotkaliście w czasie tych wdrożeń?

Wśród kilkudziesięciu instalacji trudno wybrać najważniejszą. Dla przykładu Secure Mail Intelligence! ochrania pocztę w kanadyjskiej szkole wyższej (serwer Domino plus system Sparc Solaris) oraz w dwóch największych polskich telewizjach (Windows 2003 i Linux Gentoo). Obecnie przygotowujemy się do poważnej pracy w jednym z krajowych banków. Dzięki ujednoliceniu instalacyjnych procedur i konfiguracji zarządzanie SMI! jest w każdym przypadku bardzo podobne. Najważniejsze to stworzyć dla pocztowego serwera odpowiednią koncepcję bezpieczeństwa. W dużych instalacjach dla Microsoft Exchange trzeba uważać zwłaszcza na aktualizacje szczepionek. W SMI! odbywają się one przeciętnie od jedenastu do szesnastu razy na dobę i mogłyby spowodować obniżenie wydajności serwera. Natomiast w IBM Domino warto przenieść uwagę na harmonogram skanowania i objęte nim aplikacje.

Co Państwo sądzicie na temat prawa pracowników do prywatności poczty elektronicznej wysyłanej z użyciem służbowego konta?

No cóż, SMI! umożliwia zarówno wykrywanie naruszeń regulaminu, jak i wzmożoną kontrolę przesyłek elektronicznych. Jest z pewnością niebezpiecznym narzędziem w rękach nieodpowiedzialnej osoby. W moim przekonaniu pracodawca powinien zawsze informować pracowników, jaki rodzaj nadzoru sprawuje się nad korespondencją. Jeśli przełożeni przeglądają listy, podwładni mają prawo o tym wiedzieć. Dobrze, gdyby ci ostatni mieli równocześnie świadomość, że korzystają z narzędzia udostępnionego im przez przełożonych.

Ostatnia redakcja z 24 maja 2006 roku.