Il mail bombing è un attacco DoS?

Questa la singolare tesi dell'accusa piovuta su un giovane britannico che si è dilettato ad intasare i server di posta di un'azienda per la quale lavorava. E che ora rischia una condanna esemplare

Londra - La settimana prossima un giovane inglese dovrà presentarsi presso la Wimbledon Magistrates Court per rispondere dell'accusa di mail bombing. In poche settimane avrebbe intasato il server dell'azienda per la quale lavorava con almeno cinque milioni di e-mail.

Il caso è salito all'onore della cronaca perché si tratterebbe di uno dei primi test sul campo del Computer Misuse Act (CMA), la legge anglosassone che dovrebbe proteggere i sistemi informativi dagli "accessi informatici non autorizzati", dalle "modifiche non autorizzate" e dalle aggressioni che impediscono l'accesso ai sistemi stessi.

La tesi dell'accusa è che i crash del mail server innescati dal mail bombing siano equiparabili ad un attacco del tipo denial-of-service (DoS), una forma di aggressione informatica molto diffusa perseguita in modo specifico dal CMA.
Al contrario, gli avvocati del giovane sostengono che la legge debba essere interpretata in maniera più esatta, e che non si possa sotto il profilo tecnico considerare il mail bombing come un'azione illegale. La spedizione di mail, peraltro, non può modificare i dati presenti nel sever, come ha avuto modo di ribadire in aula Peter Sommer, esperto tecnico convocato dalla difesa.

"Quando spedisci una mail al server mail, non stai modificando in nessun modo il server, perché il compito di questo server è di ricevere mail indirizzate verso un dominio. Inoltre se le mail non contengono malware la cosiddetta modifica dei sistemi informatici è una fantasia", ha spiegato Sommer, che collabora anche con il dipartimento informatico della London School of Economics.

Il giovane accusato, secondo qualcuno, potrebbe disporre di una via di uscita lasciata aperta dalle attuali normative britanniche sul cybercrime. Cosa che non sarebbe possibile, ad esempio, negli Stati Uniti dove già nel 2001 un impiegato Intel venne arrestato per mail bombing. In quel caso i giudici paragonarono l'azione ad "una violazione di domicilio con l'intento di procurare danni". Un'accusa che per ora non è stata contestata all'autore del bombing britannico.

Dario d'Elia
TAG: sicurezza
6 Commenti alla Notizia Il mail bombing è un attacco DoS?
Ordina
  • Neppure un vero DoS *modifica* alcunchè nel server, dunque la tesi di difesa è deboluccia...
  • se l'azienda ha un successone e in poche settimane diversi clienti gli mandano milioni di mail non è DoS.
    Se viene dimostrata la volontà da parte di una persona (o gruppo di persone) di causare un danno, allora è DoS.
    É la stessa cosa del "netstrike". Molti server vanno giù per un eccesso di contatti, ma se viene dimostrato che quell'eccesso di contatti era voluto e organizzato, allora si configura il DoS.
    non+autenticato
  • Comunque non è vietato inviare e-mail quindi se ne invio 10 o 1.000.000 è uguale.
    E' come se io compro 20 macchine con 20 autisti e li faccio andare tutto il giorno avanti e indietro per un quartiere intasando il traffico in un semaforo, rientra nelle mie possibilità quindi è legale.
    non+autenticato
  • - Scritto da: Anonimo
    > Comunque non è vietato inviare e-mail quindi se
    > ne invio 10 o 1.000.000 è uguale.
    > E' come se io compro 20 macchine con 20 autisti e
    > li faccio andare tutto il giorno avanti e
    > indietro per un quartiere intasando il traffico
    > in un semaforo, rientra nelle mie possibilità
    > quindi è legale.
    Non è la stessa cosa, saputello.
    Ci sono modi consentiti e non consentiti.
    Per le auto il diritti italiano ha consolidato che l'auto ferma è blocco stradale abusivo, e quindi reato, se è in movimento, ad oggi, non è reato.
    Per le reti infrormatiche il fatto, ed il diritto, è diverso.
    Ad oggi non ci sono leggi certe in Italia sul DoS o DDoS ma si faranno, come sempre, anche troppe e anche a sproposito, e lo stesso vale per molti altri paesi.
    Ad oggi non è stabilito per legge che riempire la banda di ping sia reato e su una altra porta, con altri tipi di dati organizzati in maniera diversa (come l'esempio delle mail) la stessa azione di saturare la banda sia reato o meno, ma piano piano anche i legislatori arriveranno a mettere dei punti fermi... si spera interpellando qualcuno competente in materia e non qualche forsennato pressappochista e qualunquista che spari sentenze insulse come le tue e quelle di molti postatori di PI.
    non+autenticato
  • Per venti autisti probabilmente hai ragione, venti autisti non intasano nulla.
    Si ma se tu paghi 1.000.000 di persone per prendere la macchina e intasare volutamente il traffico commetti un reato di "disturbo all'ordine pubblico".

    Se tu volutamente crei un problema sei sempre responsabile e passibile di reato.
  • Lanciare un sasso in acqua non è reato. Scaricarne una camionata invece si...