Una brevissima ricostruzione sulla genesi della lista sullo spam di cui sono owner.

Lo spam è visto negli ultimi anni come qualcosa che trasforma le e-mail da un potente ed economico strumento di comunicazione in una perdita di tempo per l'utente: per studiare il fenomeno dello spam e analizzare i metodi per arginarlo, dalla tematizzazione del dibattito in ita-pe è nata nel marzo 2003 la lista http://www.2talk.it/cgi-bin/ezmlm-browse.

Dopo la giornata del 4 maggio 2004, la lista ha cambiato dominio: http://listserv.cnr.it/spam.html: attualmente conta circa una cinquantina di iscritti. Molti degli autori di questa pubblicazione sono iscritti alla lista.

Il mio documento tratta dell'interazione tra spam e virus: in particolare, quali vantaggi traggono gli spammer dalla diffusione di virus, e come contrastare questo fenomeno.

Lo spam è definibile messaggio non richiesto con invio massivo. I virus di ultima generazione per diffondersi generano messaggi e-mail con invio massivo, quindi sono dei potenti generatori di spam.

E poi cosa fanno? Apparentemente nulla, diventano silenti e invisibili! In realtà si predispongono a fare qualcosa… Il cinema ha sfruttato più volte (cito ad esempio "Telefon" e "La maledizione dello scorpione di giada") l'idea di una persona che era stata ipnotizzata e ascoltando una certa parola o frase chiave, era costretta ad obbedire ai comandi inviati al momento dall'ipnotizzatore o ad eseguire dei comandi predefiniti.

I virus di ultima generazione funzionano in modo assai simile: la vittima non è una persona, ma il suo PC, e la minaccia non arriva per telefono, ma tramite Internet.

I nuovi virus sono utilizzati spesso come teste di ponte per gli spammer: servono a creare delle macchine telecomandabili, per chi ha scritto il virus e quindi ne conosce bene i meccanismi di funzionamento, e può utilizzare poi un grande numero di macchine di utenti ignari, per inviare spam, per fare attacchi "denial of service", per fare quello che desidera senza essere rintracciabile.

Il bersaglio ideale per questi virus è l'utente con ADSL Flat a casa o in un piccolo ufficio, che è sempre connesso ad Internet e poco protetto, quindi è più facilmente attaccabile. Il virus una volta che si è insediato va "a caccia di chiocciole", cioè va a cercare le @ contenute in tutti gli indirizzi di posta elettronica e si diffonde a tutti i contatti che trova.

Questi virus in pochissimi kB contengono un server SMTP molto efficiente, e un programma di autoinstallazione davvero eccezionale. Tutti hanno avuto qualche esperienza negativa con l'installazione di software: messaggi d'errore, incompatibilità con altro software presente sulla macchina. Il punto di forza di questi virus è la capacità di installarsi da soli senza che l'utente se ne accorga.

Una volta installati, e recuperati gli indirizzi e-mail presenti sul disco fisso, contattano generalmente in modo diretto i server MX dei destinatari finali. Alcuni hanno la possibilità di contattare anche il server SMTP (usato normalmente dall'utente per la posta in uscita) se il contatto diretto fallisce, ma se possibile cercano di evitarlo perché aumentando i passaggi aumentano anche le probabilità di incappare in un filtro. Inviano e-mail infette da un mittente fasullo, che però ha un indirizzo vero preso dalla stessa rubrica del PC infetto: non viene più utilizzato come mittente il vero indirizzo dell'utente, perché sarebbe molto facile, per quei destinatari che individuano la presenza del virus, individuare anche la provenienza del messaggio infetto e avvisare subito il mittente limitando l'ulteriore diffusione del virus.

La speranza del creatore del virus è che il mittente fasullo e il destinatario vero si conoscano, perché sono entrambi presenti nella rubrica dell'utente infetto. In tal modo, ricevendo una e-mail da una persona conosciuta, il destinatario viene invogliato ad aprirla subito: se lo fa, senza un antivirus in grado di bloccare quel virus, il destinatario viene subito infettato. Se però mittente e destinatario non si conoscono, o comunque il destinatario conosce il mittente ma non la sua e-mail, i virus provocano una violazione della privacy del mittente fasullo, perché prendono l'indirizzo e-mail di quella persona e lo mandano a qualcuno che non lo conosceva, e magari non lo doveva conoscere.

Come si possono limitare? L'ideale sarebbe distruggere tutti i virus, oppure individuare e filtrare in ricezione lo spam che i virus generano. Distruggere tutti i virus è irrealizzabile, per il semplice fatto che l'ultimo virus è sempre più recente dell'ultimo antivirus, a meno che… chi scrive il virus sia lo stesso che aggiorna l'antivirus!

Quindi, visto che distruggere tutti i virus è un'utopia, si deve provvedere a filtrare lo spam generato dai virus in fase di ricezione, con i metodi classici: le black list o i filtri antivirus centralizzati o locali sulle singole macchine. Spesso le varie tecniche vengono utilizzate in combinazione tra loro, per ottenere migliori risultati.

Innanzi tutto dovrebbero rifiutare la posta che proviene direttamente da IP assegnati dinamicamente ad utenti dial-up o ADSL, perché è assai probabile che si tratti di un tentativo di diffusione di virus, o di spam proveniente da macchine infette e sfruttate dagli spammer.

Se invece si tratta di posta lecita, il mittente verrà avvisato e potrà inviarla regolarmente tramite il server SMTP del proprio ISP. Sarebbe anche opportuno creare e usare delle black list con gli IP delle macchine che stanno inviando virus, in modo da bloccarne la diffusione. Naturalmente si possono usare antivirus centralizzati, ma ricordando sempre che l'ultimo virus è più recente, quindi l'antivirus ha dei limiti.

È molto importante non rispedire MAI il messaggio completo (di virus!) al presunto mittente: un server di posta, quando riceve un messaggio destinato ad una casella inesistente, piena o comunque bloccata rispedisce un messaggio di errore, ma lo rispedisce a quello che gli risulta essere il mittente, che in realtà nel caso dei virus è completamente estraneo all'invio!

Se assieme al messaggio d'errore si manda l'intero allegato, e quindi il virus, lo si manda ad un terzo che non c'entra per niente, e che rischia di infettarsi.

Vanno invece assolutamente rispediti gli headers completi, in modo che il terzo, vedendo arrivare il messaggio d'errore, e sapendo di non aver spedito quella mail, può fare la segnalazione all'abuse desk competente, ma ciò è possibile solo avendo la testata completa, che contiene l'IP della macchina da cui è partito il messaggio infetto.

È consigliabile evitare Outlook, di gran lunga il più bersagliato dai virus, che spesso ne sfruttano delle vulnerabilità, e questo semplicemente perché gli spammer sanno benissimo che è il client di posta in assoluto più diffuso e quindi risulta conveniente aggredirlo. Usare un altro client di posta protegge già in parte dai virus.

È altamente consigliabile scaricare solo pochissimi kB per ogni messaggio e analizzare ogni messaggio in modo da vedere se è atteso o meno. Se si riceve un messaggio inatteso da qualcuno conosciuto, si può scrivere "mi hai mandato qualcosa?" alla persona mittente. Se si riceve un messaggio di dimensioni sospette (attorno ai 40 kB) da uno sconosciuto, meglio distruggerlo già sul server di posta senza nemmeno scaricare il resto.

È opportuno usare un antivirus aggiornatissimo, tenendone presenti i limiti, e segnalare sempre i virus ricevuti all'ISP competente. Individuare quale sia l'ISP non è semplicissimo, però c'è un programma (disponibile gratuitamente su Internet) di nome ABUSE.EXE (http://www.pc-facile.com/software.php?id=176) a cui basta "dare in pasto" gli headers completi del messaggio: il programma provvede a fare tutta l'analisi e le segnalazioni del caso.

Leggendo il nuovo Codice della Privacy, si trovano norme interessanti. Innanzitutto, oltre al generico divieto di inviare e-mail commerciali non richieste, c'è uno specifico divieto di inviare e-mail "a scopo promozionale" da mittente non identificabile o non raggiungibile.

L'invio di virus mi pare un caso di invio "promozionale" (il virus "promuove" se stesso) da mittente non identificabile, perché si ricevono e-mail da un mittente che non è quello vero, quindi per il destinatario non è possibile - senza l'aiuto dell'ISP competente per l'IP da cui è partito il messaggio - sapere chi fosse il vero mittente. Inoltre, come visto prima, esiste la possibilità di una violazione della privacy qualora l'indirizzo e-mail del falso mittente non fosse precedentemente conosciuto dal destinatario.

Esiste infine la possibilità per il Garante di disporre filtraggi per "coordinate di posta". L'unica "coordinata di posta" praticamente certa (in particolare nel caso dei virus) è l'IP del mittente, e un filtraggio basato su questo parametro potrebbe bloccare efficacemente anche invii dall'estero, purché l'aggiornamento delle liste di IP da filtrare sia tempestivo.