LiveJournal накрыло спамом

В «Живом журнале» — массовые возмущения новой нахлынувшей волной спамерской активности. Теперь несанкционированная реклама появляется в комментариях к постам пользователей. Официальной реакции от компании SUP (владельца ЖЖ) пока не поступало. Блогеры же ищут новые способы защиты от спам-ботов самостоятельно.

«ЖЖ, похоже, какую-то дырку открыли. Со вчерашнего дня пошёл просто лом спамерских сообщений в виде нормально вроде выглядящих комментов, снабжённых невидимой ссылкой… Хохма в том, что пользователи почти всё время разные (а для этого должна срабатывать автоматическая регистрация), а сообщения идут буквально десятками. Раньше их было штук пять в неделю. Вчера — несколько десятков за один день», — пишет в одном из своих постов популярный блогер Алекс Экслер. Известный сетевой писатель нашёл оптимальный способ борьбы со спамом: комментарии в его «Живом журнале» теперь скрытые и проходят тщательную модерацию автором.

Рассказывают о подобной проблеме и тысячи других блогеров. Например, пользователь olffa_ru's говорит: «Спасибо спаму. Я так скоро тысячником стану :)) На самом деле достали… френдят, чтобы посмотрели их рекламу…»

Официальных комментариев от SUP по поводу «нашествия» до сих пор нет. Разве что самому популярному ЖЖ-блогеру drugoi удалось получить разъяснение от директора по развитию продуктов компании «СУП Фабрик» Ильи Дронова: «В ЖЖ сейчас идёт множество спам-кампаний, оказывающих негативное влияние на пользователей. Интенсивность этих кампаний за последний месяц сильно возросла. Связано это с тем, что CAPTCHA, хоть мы и используем одну из лучших её реализаций — reCAPTCHA, больше не является препятствием для спамеров, так как разработано множество способов её обойти. Есть даже целый рынок услуг, с этим связанный. Если вдаваться в детали, то сами владельцы reCAPTCHA ничего не могут сделать с этой проблемой, так как базовый принцип «каптчи» по-прежнему работает так, как ему и положено, — он отличает компьютера от человека. Эту «каптчу», необходимую как для регистрации в ЖЖ, так и для комментариев во множестве журналов на данный момент, проходят действительно люди — пользователи интернета, которым спамеры её подсовывают для распознавания, отдавая взамен какие-нибудь бонусы, например бесплатный просмотр порнографии. Получается замкнутый круг… Таким образом, пассивные методы сопротивления спаму больше не работают ни в ЖЖ, ни в каком-либо другом сервисе, который может заинтересовать спамеров, — резюмирует специалист. — Это война, в которой мы пока в обороне и немного сдаём позиции. Но в ближайшее время мы остановим вторжение, а в ноябре перейдём в наступление».

Впрочем, как показывает история ЖЖ, случаев, когда спамеры необычайно активизировались в силу несовершенства защиты самого сервиса от ботов, было не так мало. Проходит некоторое время, и проблема решается администрацией SUP. Ненадолго, правда: надо признать, спамеры в своей деятельности выглядят куда подкованнее сисадминов сервиса. Справедливости ради стоит отметить, что LiveJournal не единственная жертва подобного рода: спамеры атакуют и другие блог-площадки.

В текущей атаке на ЖЖ важен, однако, не сам факт её наличия, а то, что спамеры нашли способ обойти такой метод защиты, как CAPTCHA, который до сих пор казался непробиваемым. CAPTCHA — это аббревиатура от английского Completely Automatic Public Turing Test to Tell Computers and Humans Apart, то есть «полностью автоматический тест Тьюринга для отличения компьютера от человека». Тест (чаще всего реализуемый при помощи простого PHP-скрипта) позволяет системе определить, заполняет анкету или форму для комментариев компьютер или живой человек. Суть его проста: нужно дать желающему оставить комментарий или зарегистрироваться на новом сайте такую задачу, которую он, будучи человеком, выполнит очень легко, в то время как для машины её решить почти невозможно.

С CAPTCHA каждый из нас неоднократно сталкивался: например, когда получал рисунки с цифрами и просьбу ввести их на клавиатуре в специальном окошке при заполнении регистрационной формы.

Теперь ситуация изменилась: спам-комментарии стали появляться даже в тех блогах, авторы которых защитили их таким способом. В ЖЖ масса случаев, когда одно и то же рекламное сообщение отправляется с сотен разных аккаунтов, что, в свою очередь, означает лишь одно: регистрируются эти аккаунты также не людьми, а специальной программой. Как спамерам удалось обойти «каптчу», доподлинно неизвестно. Однако методов её обхода немало, и если её создатель поленился разработать действительно сложный механизм, то программа может «расшифровать» её. Это происходит в случаях, когда вариантов ответов на вопрос немного: например, требуется ввести три-четыре цифры. Иногда программа-бот может распознать, что изображено на картинке, если шрифт недостаточно сложен для обработки. Если CAPTCHA содержит небольшое количество вариантов, то бот также в состоянии обойти её, просто перебрав все варианты из своей базы, которую спамеры собирают «вручную».

Существуют даже специальные программы для обхода «каптчи»: самая известная из них — PWNtcha. Она вполне в состоянии обойти «лёгкую» защиту. Среди её слабостей: чёткий фиксированный шрифт, фиксированная расстановка символов, их однородность (только цифры, например), единая цветовая гамма и т.д. Кроме того, в Сети можно найти даже специальный сервис — Captcha Exchange Server, — которым спамеры пользуются примерно так же, как и файлообменными сетями: пользователь может зарабатывать баллы, распознавая разные примеры «каптчи» в свободное время. Эти данные потом используются для автоматического распознавания защиты.

Разбираться в причинах произошедшего придётся не блогерам и не журналистам, а людям, чья профессия как раз в этом и состоит. Для нас сейчас важно понять другое: как защитить свой блог от тысяч рекламных сообщений? Самый простой и эффективный способ решения проблемы — отключить возможность добавления комментариев. Все минусы этого способа очевидны. Второй способ: в настройках своего аккаунта вы можете указать, что вы разрешаете комментировать свои посты только друзьям. Вдобавок можно добавить функцию «подтверждения всех комментариев». Недостаток, естественно, только один: модерирование блога будет отнимать больше времени, особенно если вы популярны.

Самый радикальный способ — завести блог на собственном домене на основе какого-нибудь популярного движка: это не больно, не ст рашно и не сложно. Заодно вы избавитесь от навязчивых «радостей» ЖЖ и приобретёте дополнительный опыт. А вместе с ним можете получить и дополнительную защиту от спама. Например, для одного из самых популярных (и бесплатных) блогерских движков — WordPress — давно разработана антиспамерская система Akismet, которая работает по принципу «коллективного разума», собирая информацию о спаме от самих пользователей. Её эффективность исключительно высока, поскольку система становится «умнее» каждый раз, когда пользователи помечают какое-то сообщение как спам: аналогичные сообщения будут отсеиваться и у вас в блоге. Кроме того, в отличие от одного, используемого в ЖЖ, к вашим услугам большой выбор самых разных «каптч».

Впрочем, спам, как и вирусы, видимо, один из самых верных, хоть и самых неприятных спутников блогописателя. В конце концов, положа руку на мышь, вы уверены, что всё, что вы пишите, не спам? Хотя бы с точки зрения ноосферы?