Il blog di Maurizio Silvestri

Leggo oggi su Repubblica.it che “il tasso di spam medio in Italia nel 2006 è stato di circa il 66%”. E ancora: “A fronte di 2.846.282 messaggi di posta ricevuti, poco meno di 970 mila sono stati classificati come puliti”. In altre parole 2/3 dei messaggi di posta circolanti sulla Rete sono spazzatura. Non solo, secondo alcune stime, 1 PC su 4 è infetto. Attenzione: per ‘infezione’ qui non si intende tanto il contagio ad opera di virus, quanto il contagio ad opera di trojan progettati allo scopo di trasformare i PC in ‘zombie’. Utilizzando tali trojan, lo spammer è in grado di comandare i PC a distanza. Il computer infetto diventa un docile robot che invia posta spazzatura all’insaputa dell’utente. Questi PC ‘zombie’ sono collegati tra loro e fanno parte di una rete o per meglio dire, di una botnet (bot è la contrazione di roBOT e net significa rete). Ma chi sono questi spammer che comandano a distanza le botnet? Analizzando i dati contenuti su ROKSO (Register of Known Spam Operations, un pubblico registro dei più prolifici spammer mondiali gestito da Spamhaus) ho ricavato un piccolo elenco:

1. United States (84)
2. Russia(8)
3. Canada(7)
4. China(5)
5. Australia(3)
6. India(3)
7. Ukraine(3)
8. Brazil(2)
9. Hong Kong(2)
10. Israel(2)
11. Japan(2)
12. Taiwan(2)
13. Bosnia(1)
14. Colombia(1)
15. Italy(1)
16. Romania(1)
17. United Kingdom(1)

Come si può notare, il grosso dello spam proviene dagli USA. A tale proposito viene da riflettere leggendo quanto scritto su studiocelentano.it: “RICHMOND, VA (USA). Jeremy James (a sinistra nella foto) è il primo spammer a essere condannato a nove anni di carcere, in applicazione della legge anti-spam della Virginia. Nel corso del grado di appello, però, James ha ottenuto la libertà su cauzione, dietro il pagamento di un milione di dollari”. Interessante no? Jeremy James, il tizio della foto, ha ‘guadagnato’ 24 milioni di dollari con lo spam. Spendendone 1, si assicura la libertà. Jeremy James è all’ottavo posto nell’elenco dei 10 maggiori spammer mondiali. Cliccando sull’immagine dell’articolo è possibile vedere la sua faccia. Ecco una delle persone alle quali poter indirizzare maledizioni varie quando si è costretti a perdere del tempo a ripulire la casella di posta da viagra, allungamenti, software, casinò, finanziamenti e pornografia. E pensare che solo 600 di questi soggetti controllano l’intero sistema di spamming mondiale! Rilasciare delinquenti dietro cauzione non mi sembra un buon sistema per combattere lo spam. O no? In un articolo di Technology Review del 2004, si legge: “Su scala mondiale sono oltre 13 miliardi i messaggi indesiderati che invadono Internet ogni giorno. Questo tsunami di inutile spazzatura elettronica rappresenta per i lavoratori americani da soli una perdita annua di produttività pari a 10 miliardi di dollari in base alle stime di Ferris Research, una società di San Francisco. Seguendo una perversa analogia con la famosa Legge di Moore, in genere applicata alla potenza dei microprocessori, il numero di messaggi spam giornalieri raddoppia ogni 18 mesi, afferma il Radicati Group di Palo Alto, in California, una società di ricerche di mercato specializzata in messaggistica elettronica. Dopo essere passati dall’8 per cento sul totale dei messaggi e-mail nel 2000 a oltre il 40 per cento alla fine del 2002, lo spam rappresenta ormai la maggior parte della posta elettronica scambiata, in base alle valutazioni effettuate da diverse aziende specializzate in software anti-spam. Molto presto, potremmo arrivare al 90 per cento di tutte le e-mails, sostiene David Heckermann, responsabile del gruppo Machine Learning and Applied Statistics (Apprendimento automatico e statistica applicata) di Microsoft Research, che sta sviluppando tecnologie contro lo spamming”. In pratica la morte della posta elettronica. Si legge ancora su Technology Review: “secondo uno studio effettuato dalla Federal Trade Commission, il titolare di un indirizzo e-mail nuovo di zecca che entri imprudentemente in un sito di chat rischia di ricevere posta indesiderata nel giro di nove minuti”. Gulp! Per combattere lo spam occorre agire su più versanti: quello tecnologico con l’adozione di filtri, black list, white list, posta certificata, la modifica del protocollo SMTP (in modo da impedire l’anonimità); quello legislativo con l’adozione di norme adeguate ed efficaci; quello della prevenzione mediante l’adozione di norme di comportamento corrette. alcuni accorgimenti che adotto da tempo:

1. utilizzare almeno due account di posta diversi: uno per la posta ‘ufficiale’ e l’altro da usare nei vari siti che richiedono una registrazione (qualora dovessero inviare spam, non invaliderebbero l’account di posta ‘ufficiale’).
2. evitare di partecipare alle catene di S. Antonio (sono un sistema utilizzato dagli spammer per raccogliere gli indirizzi e-mail delle future vittime)
3. evitare di scrivere il proprio indirizzo di posta sul proprio sito web. E’ preferibile usare un form munito di captcha (immagini contenenti dei numeri oppure degli indovinelli che richiedono l’intervento umano e limitano l’accesso ai robot). Non creare account facilmente indovinabili del tipo: webmaster@miosito.com. Meglio account come ‘a7g.d-4vf@miosito.com’. Possibilmente indirizzare la posta ad un account tipo gmail o yahoo o hotmail.
4. utilizzare dei filtri (meglio quelli bayesiani perché sono intelligenti: più si utilizzano e meglio individuano la posta spazzatura da quella reale)
5. usare delle white list per evitare il rischio di falsi positivi (cioè degli elenchi di indirizzi e-mail delle persone delle quali non vogliamo perdere neanche un messaggio).
6. quando si invia una e-mail per conoscenza, usare BCC (Blind Copy Carbon) o CCN al posto di CC (Copy Carbon).
7. non rispondere mai ad un messaggio di spam (è il modo migliore per dimostrare allo spammer di avere un indirizzo e-mail valido)
8. se il mittente è sconosciuto evitare di aprire il messaggio di posta (con sistemi come Windows è possibile installare inconsapevolmente un trojan semplicemente aprendo l’e-mail).
9. non utilizzare la modalità anteprima nel client di posta
10. disabilitare l’HTML nella visualizzazione dei messaggi nei client di posta (altrimenti possono arrivare delle e-mail contenenti immagini di 1 pixel - quindi invisibili - con codice malevolo)
11. non rispondere mai alle richieste di unsubscribe o remove per essere eliminati dalla lista
12. creare un account di posta difficile da indovinare. Esistono dei programmi che tentano di indovinare i nomi provando tutte le combinazioni di lettere possibili. Oppure tentano l’attacco a dizionario (utilizzando le parole che si trovano sui dizionari). Evitare quindi nomi comuni. Un buon account potrebbe essere: ‘ap21.zxy-8@dominio.com’
13. dotarsi di un buon antivirus.

Alcuni indirizzi utili:

• www.cauce.org/
• www.euro.cauce.org/it/
• www.spamhaus.org/
• www.av-comparatives.org/
• www.nanoscan.com/as/v1/principal.aspx
• http://coffeliuswiki.bloggear.net/trencaspammers

Sul Corriere della sera ho trovato una interessante intervista a Vinton Cerf che mi ha fatto riflettere. Per chi non lo sapesse, Vinton Cerf e Robert Kahn sono gli inventori del protocollo TCP/IP, cioè quella sorta di esperanto che permette a tutti i computer del mondo di dialogare tra loro. Insomma, la tecnologia che sta alla base di Internet. Condivido totalmente la visione che Cerf ha della Rete. Cerf ipotizza che su 600 milioni di computer accesi ogni giorni, circa 100-150 milioni siano infetti. Non si sta parlando di virus informatici, ma di botnet. Una botnet è letteralmente una rete di robot. Si tratta di computer ‘zombie’ di ignari utenti che vengono comandati a distanza al fine di compiere un attacco contemporaneo verso uno specifico obiettivo. Gran parte dello spam ormai viene inviato da questi computer infetti. Si calcola che oggi circa il 70% delle e-mail in circolazione sia costituito da spam! C’è chi ipotizza a breve il collasso di Internet a causa dell’enorme traffico generato. Secondo Trend Micro, il grosso dello spam è in mano a poche organizzazioni. Lo scopo delle botnet è quello di inviare spam o attacchi DDOS (Distributed Denial Of Service) al fine di ottenere un lucro. Quale può essere la soluzione? Software antispam? Non credo, perché gli spammer diventano sempre più insidiosi ed imprendibili. Nulla può fare un sotware antispam per combattere una botnet di migliaia di computer infetti che agiscono contemporaneamente. E qui torniamo a quanto dichiarato da Cerf in merito al malware: “I problemi ci sono, l’ho detto, ma i tecnici stanno sviluppando tecnologie di controllo sempre più avanzate. Ormai, quando viene commesso un crimine informatico, si riesce a risalire nel giro di una o due ore al computer dal quale è partito l’attacco. Ora serve un quadro normativo. Bisogna stare attenti a non ingessare il sistema, ma ogni società civile è basata su un corpo di leggi: la comunità di Internet non può fare eccezione”. E’ esattamente quando sostengo io da tempo. E’ inutile tentare di risolvere il problema con la tecnologia (antivirus, antispam etc): occorrono degli strumenti legislativi. Occorre risolvere il problema politicamente. Altrimenti azioni come queste restano dei casi isolati. Un’idea che mi solletica da tempo invece, è la possibilità di combattere gli utilizzatori di malware usando le loro stesse armi. Perché non mettere in piedi delle botnet ‘buone’? Un controvirus che invece di infettare, disinfetta. Un controvirus che si propaga utilizzando una botnet e bonifica i computer infettati che incontra. Tornando a Cerf, ecco una sua affermazione che mi risolleva un po’: “E i governi sono già al lavoro attraverso l’Internet Government Forum, creato proprio a Tunisi. La gestione della rete resta all’Icann, ma è l’Igf che studia una strategia internazionale anticrimine e che sviluppa nuovi standard comuni. È un lavoro prezioso, di cui si parla poco: pensi solo all’impatto che avrà un riconoscimento generalizzato del valore giuridico della firma elettronica. Certo, ci vuole tempo. Ma l’era di Internet è iniziata da meno di vent’anni. Quale era il quadro legislativo delle telecomunicazioni nel 1896, vent’anni dopo l’introduzione del telefono?”.

Da qualche mese le linee ADSL italiane stanno manifestando un degrado preoccupante. Sono molte le persone che lamentano malfunzionamenti, inaccessibilità ai siti, lentezze esasperanti e collegamenti a singhiozzo. Nei forum e nei newsgroup sono centinaia le proteste verso questo o quel provider. Il problema sembra infatti essere indipendente dal fornitore di accesso. Le cause di tale lentezza della rete italiana non sembrano chiare. Le tesi più sostenute sono le seguenti: 1) attacco DDOS 2) sfruttamento eccessivo della rete italiana. La prima tesi è sostenuta in particolare da Telecom Italia, che denuncia un attacco ai server DNS da parte di malware particolarmente aggressivo. Altri sostengono la seconda tesi, o per essere più precisi, ritengono che l’attacco DDOS sia la classica goccia che fa traboccare il vaso. In particolare Stefano Quintarelli, presidente dell’AIIP (Associazione Italiana Internet Provider) che da qualche mese avverte riguardo al continuo degrado delle prestazioni delle dorsali Telecom affittate ai provider concorrenti. Di Quintarelli è possibile leggere anche questo post in merito ai recenti disservizi ADSL italiani. Di posizione analoga è Gigi Tagliapietra, presidente del Clusit (Associazione Italiana per la Sicurezza Informatica). Di posizione più netta Luca Spada, amministratore delegato di NGI: “abbiamo scoperto che ci sono alcuni trunk saturi tra uno switch e l’altro. Un’epidemia di malware e un problema ai Dns non avrebbe mai potuto causare questo sfacelo”. Corrado Giustozzi, giornalista ed esperto di sicurezza delle informazioni ha scritto un articolo dove spiega in dettaglio l’attacco DDOS ad opera di due terribili malware: SpamThru e Adware.BHO.BK. Questi software malevoli avrebbero causato un incremento notevole di spam che avrebbe congestionato i server DNS. Consiglio a tutti la lettura del suo istruttivo articolo. Leggendo i post degli utenti nei forum, si scopre che l’utilizzo di server DNS pubblici (come ad esempio OpenDNS) migliora la situazione per alcuni. Comunque stiamo parlando di ipotesi, perché la causa reale del degrado della rete italiana nessuno la conosce. Ragioniamo su quanto abbiamo appreso in rete: 1) alcuni malware particolarmente aggressivi ed innovativi sono la causa del DDOS (Distributed Denial Of Service) che ha paralizzato i server DNS. I server DNS traducono il nome del sito che viene digitato in indirizzo IP. E’ una operazione che avviene in modo automatico e completamente trasparente all’utente. Se non avviene tale traduzione, il sito web diventa irraggiungibile. Poiché i server DNS preposti allo scopo sono congestionati, non rispondono. Ci sono due soluzioni: digitare l’indirizzo IP numerico al posto del nome del sito (se lo si conosce) oppure utilizzare un server DNS pubblico (quale OpenDNS). Bene, dagli esperimenti da me fatti, quando il collegamento è bloccato, non si sblocca neanche digitando l’indirizzo IP del sito. Poiché digitando l’indirizzo IP del sito non viene coinvolto alcun server DNS, questa motivazione non mi sembra attendibile. Inoltre questo malware avrebbe dovuto colpire volutamente l’Italia escludendo gli altri paesi (solitamente software come worm, virus, trojan, malware, spyware, adware e chi più ne ha ne metta, si diffondono a livello mondiale) e questo sembra poco probabile. Qualcuno avrebbe dovuto creare tale software per colpire esclusivamente l’Italia. Tutto può essere ma…2) i rallentamenti ed i blocchi della rete avvengono in alcune ore del giorno (quelle di maggior traffico?). Questo potrebbe essere causato dal fatto che più utenti si collegano più malware è in azione. Oppure potrebbe significare semplicemente che c’è più traffico e la rete non riesce a sostenerlo…3) c’e’ chi sostiene che è anche un problema di router (cioè quei server che servono ad instradare i pacchetti da un server all’altro all’interno di Internet). Beh, quando si blocca il collegamento ad Internet, non riesco a raggiungere neanche il sito del mio provider…Insomma, le cause reali di questi disservizi non si conoscono e ho la vaga idea che non le verremo mai a conoscere. L’opinione più diffusa sembrerebbe ad ogni modo la seguente: la rete Telecom (gran parte del traffico avviene su ‘cavi’ Telecom che vengono affittati agli altri provider) è prossima alla saturazione, il DDOS ha fatto il resto del lavoro. Io andrei oltre: le troppe offerte di ADSL sempre più veloci da parte di Telecom Italia non staranno congestionando la rete? Telecom Italia assicura che di contro la rete è stata potenziata. Hmmm…c’è un interessante servizio di Report che mostra la situazione della manutenzione (non potenziamento eh? Semplice manutenzione) della rete telefonica di Telecom Italia…da restare senza parole!