SPAM, ANTISPAM, MITI, LEGGENDE, REALTÀ

Introduzione

Per spam si intende l'invio massivo di messaggi, prevalentemente commerciali e pubblicitari, non sollecitati dal mittente.

Poiché il fenomeno spam è andato costantemente aumentando negli ultimi tempi, fino a raggiungere livelli che rischiano di impedire l'utilizzo legittimo della posta elettronica, la comunità Internet si sta attrezzando da tempo per contrastarne gli effetti, adottando soluzioni sia in ambito tecnico, sia in altri ambiti.

Il miraggio della soluzione tecnica Il fornitore del servizio di posta deve contemperare molte esigenze antitetiche: garantire la consegna dei messaggi, proteggere le caselle postali degli utenti da eventi che possano danneggiarle, permettere la trasmissione dei messaggi in breve tempo, assicurare che lo spam non riduca la capacità dell'utente di leggere la propria posta e allo stesso tempo evitare che venga perduto un messaggio a causa di problemi tecnici.

Lo spammer, d'altro canto, ha un solo obbiettivo: consegnare il messaggio al maggior numero possibile di destinatari, con il minimo dispendio di risorse e la massima probabilità di raggiungimento del bersaglio.

È questa la ragione principale per la quale i sistemi antispam basati esclusivamente su soluzioni in ambito tecnico hanno per lo più fallito .

Come corollario a queste definizioni, le soluzioni tecniche contro lo spam che funzionano sono sempre quelle meno diffuse - o perché sono nuove, o perché soffrono di effetti collaterali superiori ai benefici - e, di conseguenza, a mano a mano che una tecnica si afferma, diviene proprio per il suo affermarsi meno efficace a contrastare il fenomeno.

Le tecniche antispam basate su filtri sul contenuto

Inizialmente, lo spam veniva filtrato direttamente dall'utente, che cancellava i messaggi con oggetto palesemente pubblicitario; la ovvia contromisura che gli spammer hanno adottato è stata quella di mettere come "Subject" del messaggio una frase generica, possibilmente accattivante, di solito senza alcuna correlazione per il messaggio .

La prima strategia utilizzata per filtrare automaticamente lo spam è stata quella di rifiutare le e-mail in base al mittente, sia mediante blacklist sugli indirizzi, sia mediante controlli sulla validità dell'indirizzo.

Come contromossa, gli spammer hanno cominciato a falsificare il mittente in modo da impedire queste misure, usando quindi indirizzi mittente reali e plausibili .

Nascita ed evoluzione delle tecniche di content filtering

Il primo avanzamento tecnologico sul fronte della lotta allo spam è stato l'applicazione di filtri euristici sul contenuto del messaggio ; l'affermarsi di questa prima rudimentale tecnica ha costretto gli spammer a variare continuamente i messaggi pubblicitari, e i creatori dei filtri euristici ad affinare sempre di più le tecniche, fino ad ottenere la generazione automatizzata dei filtri mediante metodologie statistiche di reperimento dei campioni significativi delle frasi da ricercare.

È durante questa battaglia che gli spammer hanno scoperto i vantaggi dell'offuscamento del testo, introducendo volutamente nel testo del messaggio errori ortografici e sostituzioni di lettere con simboli grafici equivalenti, che confondevano i filtri informatici mentre risultavano ininfluenti per quello che riguardava la comprensione del messaggio da parte dei destinatari umani.

Il secondo avanzamento tecnologico sul fronte della lotta allo spam è stato la creazione di un database degli spam in circolazione, alimentato dalle segnalazioni degli utenti e che classificava le signature dei messaggi (Razor, versione 1); in tal modo l'invio massivo di un messaggio trovava, dopo un limitato numero di invii e pochissime segnalazioni, un ostacolo nel raggiungere i destinatari; la contromossa ovvia, seppur costosa in termini di risorse, è stata quella di inviare messaggi con lievi variazioni, quali sequenze casuali di caratteri alla fine dell'oggetto e/o del testo.

Parallelamente, gli spammer hanno iniziato un'opera di inquinamento dei database distribuiti delle signature, inviando segnalazioni di messaggi legittimi provenienti da mailing list di ampia diffusione, oppure appesantendoli con la segnalazione di messaggi casuali.

L'affinamento del metodo precedente, che ha comportato da un lato l'uso di signature su porzioni ridotte del messaggio inviato, dall'altro l'identificazione univoca e la valutazione dei soggetti che inviavano le segnalazioni (Razor, versione 2) è risultata troppo onerosa per i fruitori, e ha comportato notevoli problemi che ne inficiavano le prestazioni, tra cui una riduzione delle segnalazioni che portava ad un peggioramento qualitativo della base dati e una diminuzione dell'efficacia.

Il terzo avanzamento tecnologico nella lotta allo spam è stata l'applicazione di filtri bayesiani, che si sono rivelati ottimi all'inizio per classificare i messaggi: i filtri bayesiani, invece di riconoscere sequenze di caratteri, si limitano a valutare i ratei di occorrenza delle singole parole, e hanno costituito per gli spammer un effettivo ostacolo rispetto alla veicolazione ai destinatari del messaggio pubblicitario.

È questo il motivo per il quale le tecniche degli spammer sono rapidamente evolute e si sono diversificate le strategie di attacco a questi sistemi: da un lato, al fine di confondere gli scanner, gli spammer hanno proceduto all'offuscamento generalizzato del contenuto dei messaggi ("erori rtoggrafici vlouti", "càaràttèrI à1tèrnàtìvI", uso di immagini contenenti il testo al posto del testo stesso), all'inserimento di tag HTML non visualizzati, l'utilizzo di caratteri "quasi bianchi" al posto degli spazi; dall'altro, al fine di contaminare le basi dati dei sistemi di autoapprendimento, l'inserimento nei messaggi di sequenze di parole casuali in aree del messaggio che non disturbavano la percezione del destinatario, ad esempio all'inizio o alla fine del messaggio, oppure in parti mime/alternative non visualizzate dal client di posta, o infine con caratteri "quasi bianchi", e perfino sfruttando errori nei visualizzatori dei client di posta.

Le attuali evoluzioni di questi sistemi bayesiani, come per esempio i sistemi che eliminano il "rumore di fondo", o quelli che indicizzano gli insiemi di parole correlate e calcolano la rilevanza relativa delle parole all'interno del messaggio, sono le tecniche più promettenti, ma le complicazioni insite in queste nuove tecnologie ne rendono difficile lo sviluppo, e onerosa in termini di risorse l'applicazione.

Una soluzione antispam alternativa: le blacklist DNS

Le blacklist degli indirizzi IP basate su DNS (capostipite delle quali è stata la blacklist MAPS RBL), nate come mero sistema tecnico che inibiva gli indirizzi sorgenti di spam, in realtà ha fin dagli albori applicato una soluzione che si basa in parte su una tecnica, in parte su criteri politici. Ed è proprio la presenza del livello di decisione politica la principale fonte delle obiezioni a questi sistemi, il cui compito - piuttosto che impedire al messaggio di spam di raggiungere la destinazione - è quello di impedire ad una sorgente riconosciuta di spam di trasmettere i propri messaggi.

Purtroppo chi ha utilizzato nel passato questi sistemi, non ha mai notato che dietro all'interfaccia tecnica di utilizzo del servizio era nascosta una preponderante gestione della base dati, basata su decisioni politiche prima che tecniche.

Evoluzione delle blacklist DNS

I primi sistemi di blacklisting degli indirizzi IP erano gestiti manualmente dagli amministratori dei server di posta, ed avevano solamente valenza locale.

L'innovazione tecnica di una blacklist distribuita tramite il DNS, e quindi utilizzabile a livello globale, ha senza dubbio costituito la prima seria barriera per gli spammer professionisti. I loro server, entrati rapidamente nella blacklist, sono diventati improvvisamente inutilizzabili e la cosa ha comportato un aumento dei costi di trasmissione dei messaggi, in un'epoca in cui l'accesso ad Internet era comunque controllato e le risorse indipendenti molto costose.

Gli spammer, come contromisura al blacklisting dei loro server, hanno iniziato a trasmettere i loro messaggi tramite altri server di utilizzo pubblico (i cosiddetti "third party relay"), che nella iniziale configurazione dell'SMTP mondiale erano più la regola che l'eccezione, retaggio com'erano dei tempi pionieristici in cui tutti i nodi dell'infrastruttura cooperavano tra loro per la distribuzione dei messaggi nell'ambiente allora ostico delle reti di telecomunicazione.

La contromossa delle entità che gestivano la rete è stata dolorosa e di alto impatto: da un lato, le blacklist hanno cominciato a listare tutti i "third party relay", dall'altro tutti i mail server hanno dovuto adottare la policy restrittiva contro il relay indiscriminato, imposta dai fatti contingenti; in una Internet nella quale si era consolidata la policy diametralmente opposta, con i software più diffusi che non prevedevano neppure la possibilità di restringere l'accesso alle risorse SMTP, ed in mancanza di meccanismi condivisi di autenticazione del mittente (non ancora standardizzati), gli operatori Internet si sono trovati a dover compiere un immane sforzo di aggiornamento al fine di non venir tagliati fuori dalla rete di comunicazione.

Ma la contromossa ha avuto un notevole successo: gli spammer hanno dovuto via via abbandonare l'uso di relay aperti, sempre meno numerosi e sempre più blacklistati, e ripiegare su connessioni dial-up usa e getta, con un incremento notevole dei costi e una diminuzione drastica del throughtput

Il declino di MAPS RBL

In questo scenario si è inserita purtroppo la decisione sciagurata di MAPS RBL di trasformarsi, da servizio gratuito accessibile a tutti, a servizio a pagamento accessibile solo ad utenti selezionati: questo da un lato ha diminuito drasticamente il prestigio di questo servizio, che solo la sua ampia diffusione nella comunità Internet aveva tenuto al riparo dalle reazioni giudiziarie degli spammer, dall'altro ha provocato la nascita di una miriade di altre DNS blocking list, spesso gestite da team non all'altezza e ancor più spesso governate da politiche discutibili di inclusione in blacklist degli indirizzi.

La mossa di alcuni operatori di creare blacklist contenenti gli indirizzi dei dial-up ha avuto ripercussioni disastrose nei sistemi dei provider: da un lato gli spammer sono stati costretti ad utilizzare i server dei provider dial-up, compiendo azioni che hanno fatto finire in blacklist proprio i server utilizzati dalla maggior parte degli utenti per inviare posta, dall'altro hanno impedito ad utenti che intendevano usare la posta elettronica legittimamente di spedire messaggi, solo per il fatto di essere malauguratamente clienti di un provider che aveva dichiarato i propri indirizzi dial-up e i cui accessi dial-up erano stati utilizzati da spammer.

La frammentazione dell'offerta di blacklist ha tra l'altro impedito ai loro gestori di avere un quadro chiaro della situazione (MAPS RBL riceveva tutte le segnalazioni di spam, mentre questi nuovi ne ricevevano solo una parte); le differenze delle politiche di inclusione hanno reso per qualche tempo l'invio di posta elettronica qualcosa più simile ad una manche alla roulette che ad un algoritmo deterministico.

Alcuni operatori di blacklist, inoltre, avevano politiche di gestione delle liste alquanto disinvolte: alcuni non rimediavano agli errori di classificazione, altri blacklistavano interi continenti, altri ancora mettevano in blacklist perfino coloro che criticavano le loro politiche, indipendentemente dal fatto che fossero o no sorgenti di spam. In mezzo a questo bailamme, molti amministratori di server di posta, disorientati dal caos intorno all'argomento, hanno combinato disastri a non finire: l'utilizzo su server di produzione di blacklist sperimentali, la segnalazione di indirizzi dial-up tra le sorgenti di spam, la segnalazione come messaggi di spam di e-mail la cui unica colpa era di essere state scritte in una lingua non conosciuta dall'operatore, sono solo alcune delle azioni che hanno fatto sfiorare al sistema della posta elettronica il disastro.

Nel frattempo, gli spammer avevano risolto il problema scoprendo una falla nella maggior parte dei proxy server in circolazione: i proxy, per un difetto di configurazione diffusissimo, accettavano di fare da proxy per qualunque connessione, e consentivano la connessione a porte arbitrarie. Come conseguenza, era possibile utilizzare un HTTP proxy come remailer anonimo utilizzando semplicissimi artifici tecnici, che vanificavano i controlli sugli indirizzi IP. Sorsero rapidamente le blacklist che listavano questi "open proxy", che purtroppo e per fortuna non venivano particolarmente danneggiati dall'inclusione in tali liste - ininfluente per la navigazione HTTP alla quale questi proxy erano dedicati .

L'ultima offensiva lanciata dagli spammer per rendere inefficaci le blacklist è quella di utilizzare computer "zombie", ovvero computer infettati da virus informatici cosicché, all'insaputa dell'utente, possano essere trasformati rapidamente in sorgenti di spam o in punti di partenza per attacchi "Denial of Service" verso i server che ospitano le blacklist.

Questa battaglia è difficile da contrastare, dato l'alto numero di nodi a disposizione dello spammer, nodi che possono essere attivati in pochi istanti e, una volta scoperti ed inseriti in blacklist, abbandonati e sostituiti rapidamente da altri.

L'uso di blacklist automatizzate è particolarmente utile per contrastare il fenomeno: le sorgenti di spam appena attivate possono essere segnalate alla blacklist (anche con meccanismi automatici), prevalentemente via web; tra la segnalazione e l'effettivo inserimento in blacklist passano pochi minuti; per evitare di far diventare la blacklist stessa uno strumento di attacchi DoS, il blocco scade dopo brevissimo tempo e può perfino essere fatto scadere immediatamente mediante una semplice richiesta via web.

Questa strategia è l'unica ad avere successo con questo fenomeno che coinvolge alti numeri di PC infetti, in quanto provoca un ritardo nella trasmissione del messaggio che i tradizionali mail server assorbono senza particolari problemi, mentre i computer "zombie" non dispongono attualmente di sistemi di accodamento dei messaggi e non possono quindi far fronte a interruzioni temporanee dei servizi di posta elettronica.

La "presa di coscienza politica": Spamhaus

La nascita della blacklist Spamhaus ha segnato la prima vera svolta nei sistemi di blacklist degli IP, essendo questa blacklist un meccanismo tecnico al servizio di un progetto politico per la lotta allo spam.

Spamhaus è nata con la consapevolezza che il fenomeno spam non è altamente diffuso come potrebbe sembrare, ma piuttosto concentrato nelle mani di un ridotto numero di soggetti in grado di provocare la maggior parte dei danni.

L'organizzazione Spamhaus ha quindi iniziato una battaglia tesa da un lato a smascherare questi soggetti, dall'altro a scoprire le sorgenti di cui si servono per combatterli rendendo sempre più dispendioso il loro lavoro. La blacklist è solo uno degli strumenti meno importanti nella strategia di lotta allo spam di Spamhaus: lo strumento principale è ROSKO, una base dati contenente tutte le informazioni disponibili sugli spammer professionisti.

Questa base dati è utilissima agli ISP per identificare questi soggetti e per rifiutare di fornire loro i servizi Internet, rendendo quindi dispendioso per gli spammer l'acquisizione delle risorse per le loro operazioni. La risposta degli spammer a questa nuova strategia di contrasto del fenomeno spam è stata l'apertura di spericolate cause legali contro Spamhaus e i suoi collaboratori, visto che gli attacchi DoS non hanno sortito alcun effetto visibile.

Le contromosse messe in atto da Spamhaus agli attacchi DoS sono basate sull'uso di risorse al di sopra di quelle che si possono permettere gli spammer, fatto che ha reso per ora impraticabile un attacco DoS efficace; sul piano politico, l'azione di lobby ha consentito di varare nel Regno Unito (dove Spamhaus ha sede) una normativa antispam che ha messo Spamhaus al riparo dalle cause giudiziarie; nel resto del mondo, l'allacciamento di un crescente numero di contatti a livello governativo consente di sponsorizzare normative antispam e di stringere accordi di collaborazione con le autorità Internet locali, che stanno tra l'altro avendo come effetto collaterale il fatto che le cause legali intentate contro Spamhaus diventano un veicolo promozionale delle idee di Spamhaus stessa, e si ritorcano quindi contro chi le ha intentate.

TULLIO ANDREATTA

  • Tullio Andreatta, nato a Venezia il 5 Giugno 1964, militassolto automunito coniugato e con prole, inizia l'avventura Internet costituendo nel 1996 la società Logicom s.r.l., Internet Service Provider operante a Brescia, nella quale assume il ruolo di direttore tecnico, ruolo che mantiene fino alla fusione della società in Finmatica S.p.A.
  • Nel frattempo, ha partecipato allo sviluppo di alcuni progetti tra cui alcuni moduli del server HTTP Apache, alcuni add-on al server SMTP qmail e alcune personalizzazioni del gestore di mailing lists ezmlm.
  • È tra i membri fondatori della Naming Auhtority italiana, nella quale ha contribuito a scrivere le regole per la registrazione dei nomi a dominio nel ccTLD .it .
  • Socio del chapter italiano della Internet Society (ISOC) dal 2002.
  • Ha realizzato l'infrastruttura tecnologica di supporto di varie mailing list, fra cui quella distribuita sul coordinamento nazionale dei provider italiani con contratto maintainer attivo presso il Registro cctld.it, e quella dedicata allo spam, trasformata recentemente nella lista di discussione spam@isoc.it, sotto l'egida di Società Internet.
  • la rete contro lo spam indice
    andreatta