Roma – Capire le origini dello spam e colpire il suo funzionamento sul piano tecnico, legale e normativo è assolutamente necessario per combatterlo con efficacia. Abbiamo parlato di questo, delle battaglie in corso e di quanto sta accadendo nel mondo e in Italia con uno dei massimi esperti italiani di spam, Furio Ercolessi (*).
Punto Informatico: Ha suscitato molta attenzione il recentissimo arresto di Jeremy Jaynes , alias Gaven Stubberfield, considerato da Spamhaus uno dei 10 spammer più pericolosi. Cambierà qualcosa per noi utenti? Un arresto del genere servirà a qualcosa?
Furio Ercolessi: Quella di Jaynes era in verità una delle operazioni di spam più importanti. E’ responsabile di gran parte dello spam pornografico con contenuto particolarmente offensivo: spam assai fastidioso per gran parte degli utenti e particolarmente dannoso quando raggiungeva le mailbox di minori. A questa tipologia si affiancava spam “truffaldino” di altra natura, come ad esempio quello per spingere all’acquisto di determinati titoli azionari causandone il rialzo. La scelta di Jaynes come “prima vittima” da parte dell’Attorney General della Virginia è stata probabilmente motivata anche dal contenuto dei suoi mailing.
PI: Quindi tutti noi abbiamo ricevuto spam di Jaynes?
FE: Lo spam di Jaynes era relativamente semplice da bloccare in quanto veniva trasmesso da proprie reti – che cambiava con una rapidità sorprendente, ma riconoscibili in quanto sempre situate nei dintorni di Rayleigh nel North Carolina – anzichè utilizzando trojans o proxy aperti come altri spammer. Sono questi ultimi gli spam più difficili da bloccare e quindi la maggior parte di quelli che affliggono le nostre mailbox, così probabilmente la scomparsa di Jaynes passerà abbastanza inosservata.
Anche perchè i committenti che utilizzavano i suoi servizi, semplicemente si rivolgeranno a qualcun altro per recuperare i volumi perduti.
PI: A New York il procuratore generale Spitzer con l’assistenza di Microsoft, che per due mesi ha raccolto gli spam provenienti dai suoi sistemi, ha di recente denunciato anche Scott Richter e i suoi soci chiedendo 20 milioni di dollari di risarcimento. Cosa ne pensi?
FE: La vicenda di Richter – anche se non è un arresto – sta preoccupando gli spammer più di quella che ha coinvolto Stubberfield. Richter non solo è assai maggiore in termini di volumi ma è anche qualcuno che ha sempre cercato di darsi una rispettabilità esteriore dicendo di essere un marketer legittimo . Il rapporto del procuratore generale di New York mette in evidenza le azioni di spam più imponenti ed aggressive tra quelle che occupano la rete.
PI: Non credi che con azioni giudiziarie di questo tipo si possa scuotere davvero il mondo fin qui impunito dei grandi spammer industriali?
FE: Gli altri spammer sono effettivamente spaventati, ma soprattutto coloro che abusano di macchine altrui e falsificano le intestazioni. Tali attività sono infatti espressamente illegali con la nuova legge americana, e chi vuole continuare a tutti i costi si starà probabilmente affrettando ad abbandonare fisicamente gli Stati Uniti.
PI: Quindi la nuova legge americana appena approvata contro lo spam, il CAN-Spam, può far qualcosa…
FE: Consideriamo che i cosiddetti spammer “mainsleaze”, che utilizzano proprie risorse, non falsificano intestazioni e forniscono link di opt-out funzionanti, non sono toccati dalla nuova legislazione – che è infatti disegnata per permettere loro di operare al meglio – e saranno piùforti che mai nel 2004. Sono loro i primi ad avere tutto l’interesse ad eliminare gli spammer falsificatori/hijacker che rovinano il “loro” mercato allontanando la gente dall’e-mail. Vedi anche quanto scritto da Spamhaus sulla nuova legge .
PI: La speranza però è che le normative americane, quelle europee su privacy e antispam, persino quelle australiane in via di approvazione, alla fine, possano nonostante i loro limiti avere un effetto importante contro lo spam internazionale…
FE: Alcuni effetti li stiamo già osservando. Quello che sinora è mancato – ma sono abbastanza confidente che lo vedremo accadere nella prima metà del 2004 – sono operazioni internazionali di polizia che conducano agli arresti di coloro che hanno disegnato, distribuito, utilizzato i programmi trojans che sono oggi il veicolo principale di distribuzione dello spam, arrecando un danno colossale all’infrastruttura e sprechi ingentissimi di risorse per arginare il fenomeno.
Se ci sarà qualche “buon esempio”, lo spam truffaldino dovrebbe calare di volume nel corso del prossimo anno, anche tenendo conto che molti ISP broadband presi alla sprovvista ora si stanno attrezzando per frenare il flusso di spam da PC infettati da trojan di loro clienti.
Interessanti saranno invece gli effetti dovuti alle differenze tra le leggi varate negli USA e in Europa. Lo spammer mainsleaze americano ritiene di avere ora il diritto ad inviare posta in modalità opt-out, e avrà difficoltà nel realizzare che tale operazione è illegale nell’Unione Europea.
I più intelligenti cercheranno di evitarsi guai cercando di non colpire indirizzi palesemente europei, ed effettuando delle classificazioni per nazione dei domini con suffisso.com,.net,.org,.info ecc. I meno saggi non lo faranno ed entreranno in collisione diretta con organizzazioni europee che li denunceranno. In questo senso sarà un anno interessante.
PI: Attacchi legali prima e ora attacchi DDoS contro i loro siti: i servizi antispam sono nel mirino degli spammer professionisti che con aggressioni dirette o indirette , tramite virus, cercano di impedir loro di funzionare. Ci stanno riuscendo? Credi che i servizi antispam dovrebbero essere sostenuti economicamente dai Governi? Non è, in fondo, un servizio di interesse pubblico?
FE: Operare servizi antispam è diventato effettivamente molto oneroso, sia in termini di risorse tecniche che umane. Ci sono state alcune vittime illustri fra coloro che tendevano ad operare in solitudine, tuttavia i servizi più importanti hanno continuato a funzionare grazie a generose donazioni di banda e apparecchiature, e soprattutto grazie al lavoro di numerosi volontari con ottime competenze tecniche in diversi rami.
Tra l’altro, utilizzando trojan per spammare e al tempo stesso attaccare servizi antispam, alcuni di questi criminali hanno commesso errori lasciando tracce chiare e ci sono ottime probabilità che nei prossimi mesi diversi di questi individui saranno messi in condizione di non nuocere più attraverso operazioni di polizia.
PI: Hai detto che la nuova normativa statunitense potrebbe dare corda ad un certo tipo di spammer… Credi ci siano pericoli per i servizi antispam? Non si rischia uno scontro legale tra chi difende la rete e chi ne abusa ma… legalmente?
FE: Sì, la minaccia più importante per le organizzazioni antispam non viene dai DDoS, viene dagli spammer “mainsleaze” che, protetti dalla nuova legislazione USA, potrebbero lanciare un’offensiva legale con l’intento di schiacciare le liste di blocco fastidiose con la forza del denaro.
A prescindere dalla fondatezza di una accusa, è chiaro che qualsiasi combattimento nell’arena legale è molto costoso, e una organizzazione di volontari non-profit non potrebbe non soccombere finanziariamente in uno scontro con un “gorilla del marketing” dotato di un ufficio legale focalizzato ad annichilire l’organizzazione antispam appoggiandosi su un qualche pretesto (diffamazione, ecc.).
Già abbiamo visto accadere qualcosa del genere col Mail Abuse Prevention System (MAPS), che ha perso gran parte del suo mordente iniziale dopo una lunga ed estenuante azione legale da parte di una compagnia di marketing.
Nel 2004 le liste di blocco saranno in molti casi il metodo principale per proteggere i cittadini europei da infrazioni commesse da compagnie statunitensi. Ritengo quindi giusto e doveroso che i governi europei le prendano sotto la propria ala protettiva (con particolare riferimento a quelle basate in Europa come lo Spamhaus Project e ORDB ), per evitare che vengano spazzate via da controversie che si prevede saranno legate soprattutto al loro utilizzo da parte di gestori di server di posta negli USA – quindi, se vogliamo, a “faccende interne del mercato USA”.
E’ necessario che i grandi spammer americani realizzino che le organizzazioni antispam in Europa sono difficilmente insidiabili in quanto organo di difesa – essendo lo spam illegale in Europa.
PI: Da tempo progetti come SPF lavorano su piattaforme tecnologiche antispam. Di recente Yahoo ha dichiarato che nel 2004 si appresta a lanciare una piattaforma open source per l’autenticazione delle email in cui nell’header delle email venga inserita una chiave privata sicura da verificare via DNS. Molti sperano che un sistema del genere possa funzionare. Che ne pensi?
FE: Questi sistemi non risolveranno il problema ma possono senz’altro essere utili per alleviare il problema legato alle falsificazioni dei mittenti, che ha sinora costretto tutti ad utilizzare l’indirizzo IP come parametro principale per classificare il messaggio anzichè il dominio, e causato l’altro enorme problema dei rimbalzi di spam non consegnato verso i domini innocenti falsificati nell’indirizzo mittente.
Il sistema proposto da Yahoo mi sembra un po’ complesso ed oneroso per un’adozione generalizzata da parte di tutta la rete, anche se è sicuramente uno schema valido soprattutto per lo scambio di posta tra grossi ISP consumer. Personalmente la mia simpatia va a SPF, che puo’ essere adottato immediatamente – anche se gli ultimi dettagli sono ancora in via di definizione – e con poca fatica più o meno da chiunque lo desideri.
PI: Su mail-abuse.org il primo dicembre un server mail di Virgilio-TIN è finito nella black list antispam . Non è la prima volta che succede ad un provider italiano di essere considerato un tramite per lo spam. Cosa dovrebbe fare un provider italiano per evitare di finire in una RBL?
FE: Quando un ISP – italiano o non – ha dei mailserver di produzione che sono stati inseriti in una blocking list importante, quasi certamente ci sono stati dei tentativi di contatto da parte della blocking list che non hanno avuto successo. Questi tentativi sono di norma effettuati mediante messaggi inviati all’indirizzo abuse del dominio e agli indirizzi di contatto che appaiono nei database WHOIS.
Il ragionamento della blocking list è, all’incirca: “Se questo ISP non sta rispondendo più nemmeno a me, vuol dire che è arrivato ad un punto in cui non ha più risorse per il monitoraggio delle mailbox, e quindi il suo problema di spam incontenibile presenta delle patologie gravi che possiamo ora curare solo attraverso una “terapia d’urto”, ossia listandolo finchè non si fa vivo e ci presenta un programma ragionevole che gli consenta di uscire dalla crisi in cui si trova nell’arco di qualche mese”.
Situazioni del genere sono generalmente il risultato di organici troppo limitati, oppure outsourcing del servizio di abuse verso entità esterne non equipaggiate per intervenire in modo efficiente, come se si trattasse di un help-desk anzichè di una componente centrale dell’infrastruttura.
PI: Ne hai fatto un accenno poco fa… Dire che esiste un rapporto tra sviluppo della banda larga e aumento dello spam è una eresia?
FE: Oggigiorno, grazie alla diffusione di sistemi operativi insicuri e agli spammer, qualunque macchina dietro a un collegamento broadband puo’ diventare in qualsiasi momento un fortissimo emettitore di spam.
L’esperienza dei provider broadband più attivi nel controllo degli abusi provenienti da utenze consumer ci dice che le misure tecniche più efficaci sono:
– intercettazione di tutto il traffico uscente diretto verso la porta SMTP (25) di qualunque IP su Internet, che viene rediretto verso propri mailserver centrali (adeguatamente dimensionati!);
– indicazione dell’utenza coinvolta mediante una nuova linea che i mailserver centrali inseriscono nelle intestazioni (in cui il nome dell’utenza potrebbe essere encrittato), per un facile trattamento automatico di eventuali successive segnalazioni;
– istituzione di limiti sul numero di messaggi all’ora per ogni utenza che possono essere distribuiti verso l’esterno dai mailserver centrali (da notare che il tasso di accettazione puo’ essere assai più elevato di quello di distribuzione, dal momento che messaggi accettati possono andare subito in coda e uscire un po’ alla volta);
– disconnessione immediata dei sistemi diventati emettitori di spam (questi potrebbero essere confinati ad una “intranet” da dove possono accedere solamente a tool per la disinfezione e eventualmente al sito Microsoft per gli upgrade);
– eliminazione delle mail uscenti presenti ancora in coda (anche grazie ai limitatori descritti) immesse da utenze che risultano oggetto di un flusso di segnalazioni.
PI: Sono misure alla portata di tutti i provider…
FE: Questo programma puo’ comportare delle problematiche di implementazione, ma dovrebbe essere in principio fattibile per tutti gli ISP consumer, in cui le utenze sono altamente standardizzate, e la sua attuazione fa quasi scomparire il problema senza grossi svantaggi pratici per l’utente domestico medio. Il più grosso provider del mondo, America Online , è un esempio vivente di come con misure del genere si possa virtualmente eliminare lo spam pur avendo una base di numerose decine di milioni di utenti.
PI: Ci sono liste di blocco antispam, come quella di Spews.org , che sono criticate da più parti perchè molto severe. Più volte anche su PI sono apparse lamentele di utenti non spammatori, e persino gestori di siti aziendali, che portano lavoro, contro i metodi drastici di operatori come Spews. Succede in particolare se Spews lista un provider di servizi che ha un cliente spammatore. Ha senso colpire gli spammer colpendo, contestualmente, anche molti o moltissimi che nulla hanno a che vedere con lo spam?
FE: Ci sono molti – troppi – fornitori che traggono diretto profitto dall’industria dello spam fornendo connettività o altri servizi a spammer, e continuando a farlo nonostante migliaia di segnalazioni da utenti della rete. In alcuni casi si assiste addirittura a finte “terminazioni”, in cui lo spammer viene solo spostato di indirizzi IP all’interno della stessa rete: operazioni in cui il provider è certamente in malafede e vuole continuare a mantenere sia i clienti spammatori che quelli non. Ci sono persino casi in cui i clienti non-spammatori esistono solamente, in quantità limitata, per costituire uno “scudo umano” con cui proteggersi nei confronti dei blacklisting.
La maggior parte delle “escalation orizzontali” di Spews costituiscono una sorta di boicottaggio nei confronti di queste entità. A differenza di altre blocking list come SBL che cercano di minimizzare gli inconvenienti, l’intento di Spews è quello di forzare gli ISP con spammer a operare una scelta – o sei bianco o sei nero – perchè nel momento in cui scelgono (in qualsiasi dei due modi) cessano di essere un problema per il resto della rete. Ovviamente se uno sceglie di essere “nero” molti altri semplicemente cesseranno totalmente lo scambio di traffico con le sue reti senza che nessuno protesti.
PI: Sì ma qui c’è anche chi parla di Spews come una sorta di guastatore…
FE: Naturalmente i clienti coinvolti non hanno di solito idea di che cosa sta accadendo e di quanto è accaduto nei mesi precedenti al listing, di documentarsi esaminando il file di evidenza o gli archivi di Usenet non se ne parla neanche, e quindi scatta il noto lamento verso Spews e i providers che la usano.
Sta alla sensibilità di ciascun utilizzatore di Spews la scelta tra appoggiare un certo boicottaggio effettuato da parte di Spews, oppure neutralizzarlo con un whitelisting. Entrambe le soluzioni hanno dei pro e dei contro, soprattutto se il problema viene esaminato proiettandolo anche nel futuro anzichè considerando solo l’immediato.
La mia tendenza è sempre stata quella di fornire informazione obiettiva sul caso alle due parti affette dal blocco di corrispondenza, provvedendo a rimuovere il blocco ma in modo mirato, ossia solo per l’indirizzo email di chi ci ha scritto.
PI: Ti ricordi la proposta di Lawrence Lessig, secondo cui mettere una sorta di taglia sugli spammer di alto livello avrebbe spinto l’antispam a inseguire con più forza questi criminali? Pensi che una taglia del genere sia un incentivo utile e che possa davvero sguinzagliare smanettoni ed esperti contro gli spammer?
FE: Sono scettico. A mio avviso la battaglia contro lo spam richiede soprattutto professionalità e la presenza di risorse di rete condivise, funzionanti e ben gestite. Spamhaus, SPEWS, DSBL, NJABL, SORBS, SpamCop e via dicendo sono tutti progetti utili, talvolta essenziali per l’identificazione e la catalogazione di spammer, e tra loro complementari. Ma in molti casi – sempre di più – non c’è assolutamente nulla che un comune cittadino possa fare una volta arrivato a certi indirizzi IP o email o stradali o numeri telefonici, ed è compito di chi deve far rispettare la legge quello di procedere usando gli strumenti addizionali che ha a disposizione, e arrestare i criminali.
Ritengo quindi che la strada giusta sia dotarsi di buone leggi (e ora in Europa le abbiamo), proteggere tutti i progetti antispam da azioni che possano metterli fuori gioco, e mettere le forze di polizia nelle condizioni migliori per operare. L’ultimo passo – identificazione e arresto – spetta a loro, non al cittadino, e date le connessioni sempre più strette tra criminalità comune ed elettronica è senz’altro più opportuno che sia così per la sicurezza del cittadino.
PI: Bill Gates, che in più occasioni ha parlato del problema spam nell’ultimo anno, ritiene che a breve l’industria di settore riuscirà a lasciarsi alle spalle lo spam. Credi in una soluzione tecnica definitiva al problema?
FE: Quello che gran parte degli utenti di Internet percepisce essere il “problema spam” probabilmente non coincide con la percezione che ne ha il sig. Gates, che sembra soddisfatto della incredibile legge appena varata negli USA, e che probabilmente ritiene che la soluzione “industriale” consista in filtri software personalizzabili incorporati nei client di posta – filtri che chi non sarà in grado di ritoccare ogni giorno farà mantenere al suo consulente di fiducia.
Chi è a contatto con la realtà degli eventi quotidiani sa che la soluzione nel lungo termine passa necessariamente attraverso il blocco dei messaggi, e che l’attuale situazione degradata in cui vi sono milioni di sistemi emittenti è il risultato diretto e prevedibile di scelte operate in passato dall’azienda guidata da Bill Gates. A Microsoft è stata sempre criticata l’adozione di un modello di sicurezza assai debole nei loro sistemi operativi; la scarsissima attenzione prestata alla sicurezza degli applicativi; la gestione “allegra” degli allegati da parte di browser e client email che costituisce la strada maestra attraverso cui ogni sorta di malware trova facile accesso all’interno dei sistemi Windows. Il mondo intero sta ora pagando di tasca propria le leggerezze compiute da Microsoft sacrificando la sicurezza sull’altare dei “bells & whistles”.
PI: Però Microsoft sta annunciando diverse novità sul fronte dell’antispam, anche collaborando negli USA con le forze dell’ordine…
FE: Se la Microsoft volesse acquistare una credibilità sul fronte antispam, dovrebbe innanzitutto iniziare a risolvere i gravi problemi che essa stessa ha creato, e al di sopra di tutti quello del numero elevatissimo di sistemi Windows vulnerabili situati soprattutto in Asia e non aggiornabili in quanto copie piratate prive di licenza. La mia controproposta per Bill Gates è: una prossima “totale riscrittura” di Windows davvero sicura, validata da un pannello di saggi esterni a Microsoft. E quando questo nuovo sistema diventerà disponibile, le edizioni precedenti potrebbero diventare open source e venire distribuite gratuitamente dopo essere state “blindate”. In questo modo, chissà, forse si salverebbe Internet dal tracollo a cui la sta portando vandalismo e malavita organizzata.
(*) Fisico teorico nell’area delle simulazioni al computer di materiali, nel 1995 Furio Ercolessi ha affiancato alla sua attività di ricerca quella di Internet provider, fondando Spin assieme ad altri colleghi della SISSA di Trieste. Negli ultimi anni si è occupato prevalentemente dei sistemi di posta, allestendo la farm di mailservers a Spin e dedicando particolare attenzione al problema di virus e spam. Ha collaborato con diversi progetti antispam internazionali. E’ ora rientrato nell’ambito accademico, ed è professore associato all’università di Udine dove sta avviando una linea di ricerca su problematiche di email e sicurezza .
Intervista a cura di Paolo De Andreis