La metodologia di blocco: una scelta per

La metodologia di blocco:
una scelta per ostacolare gli spammer
Furio Ercolessi
Dipartimento di Fisica, Università di Udine
email: [email protected]
Settembre 2004
Pubblicato in Quaderni dell’Internet Italiano, Collana Patologie della Rete, n. 1, ed.
da Società Internet (ISOC.it), 2004.
Sommario
La quantità di spam in circolazione su Internet (ora circa l’80% del traffico mail globale) e il suo elevatissimo tasso di crescita rendono necessario
intervenire con soluzioni atte non solo a diminuire l’impatto sull’utenza,
ma anche e soprattutto il volume di spam emesso. Questo risultato può
essere ottenuto solo facendo leva sulle motivazioni economiche che rendono
conveniente questa forma invasiva di promozione, ovvero generando costi
addizionali per gli spammer. In questa nota vengono discussi alcuni aspetti legati all’uso della metodologia del blocco della posta per raggiungere
questo scopo—oltre che quello comune a tutti i sistemi antispam di ridurre
il numero di messaggi non richiesti che giungono nelle mailbox. Viene inoltre presentato il “progetto Spamhaus”, attivo da alcuni anni con queste
finalità.
Indice
Introduzione
2
1 Sorgenti di spam e blocco della posta
1.1 La catena dello spam . . . . . . . . . . . .
1.2 Feedback negativo attraverso il blocco . .
1.3 “Zombie” e falsificazioni . . . . . . . . . .
1.4 Classificazione delle sorgenti: pure e miste
1.5 Il problema delle notifiche: a chi, come? .
1.6 Criteri per il blocco di sorgenti miste . . .
2 Lo Spamhaus Project
2.1 Blocking list e oltre . . . . .
2.2 XBL . . . . . . . . . . . . .
2.3 SBL . . . . . . . . . . . . .
2.4 ROKSO . . . . . . . . . . .
2.5 Perchè bloccare reti che non
2.6 Alcune cifre . . . . . . . . .
2.7 Spamhaus in Cina . . . . .
. . .
. . .
. . .
. . .
sono
. . .
. . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
4
4
5
6
8
10
13
. . . . . .
. . . . . .
. . . . . .
. . . . . .
sorgenti?
. . . . . .
. . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
14
14
15
16
16
17
19
21
3 Alcuni suggerimenti
21
3.1 Suggerimenti agli ISP consumer . . . . . . . . . . . . . . . . . . . . . . . 21
3.2 Suggerimenti agli utenti e alla stampa specializzata . . . . . . . . . . . . 23
Conclusioni
24
Introduzione
Lo spam è definito dagli addetti ai lavori1 come l’insieme dei messaggi elettronici
non richiesti dal destinatario ed inviati dal mittente in più copie sostanzialmente
identiche a molteplici destinatari. Ai fini della definizione non sono rilevanti nè
la natura del contenuto (pubblicitario, politico, religioso, ecc.), nè i dettagli del
meccanismo di distribuzione utilizzato, nè la natura del mezzo di comunicazione
(email, SMS, ecc.). In questo documento mi limiterò a considerare lo spam distribuito su Internet attraverso l’email, che è probabilmente la forma più comune
e fastidiosa.
Le caratteristiche fondamentali dello spam che stanno alla base della sua
crescita quasi incontrollata nell’ultima decade, rendendolo uno dei maggiori
problemi che l’Internet di oggi deve affrontare, sono due. La prima è il forte
sbilanciamento tra costo di trasmissione e costo (globale) di ricezione:
• la trasmissione ha un costo che è quasi indipendente dal numero di destinatari, grazie all’automazione permessa dalle macchine e all’assenza di
costi associati alla singola transazione (presenti invece per fax, telefono,
posta ordinaria). Cosı̀ il costo per destinatario è molto basso e diminuisce
con l’aumentare del numero di destinatari;
• la ricezione ha un costo fisso sostenuto da ciascun destinatario: quello
necessario per scaricare e processare il messaggio. Il costo è in parte costituito da risorse di banda e server, in parte dal tempo umano necessario
per esaminare il messaggio.
La seconda caratteristica dello spam è la sua “polverizzazione”:
• il singolo “crimine” (un messaggio pubblicitario non sollecitato da un
mittente ad un destinatario) è microscopico;
• il volume di tali “crimini microscopici” è assai elevato (si stima dell’ordine
di 1011 pezzi al giorno);
• il fenomeno nel suo insieme porta rilevanti effetti negativi di varia natura,
dai costi sull’infrastruttura di rete ai costi umani immediati dovuti al
tempo perso per aziende ed organizzazioni, ai costi economici e sociali più
a lungo termine;
• perseguire il singolo crimine è troppo oneroso e di fatto pressochè impossibile.
Lo sbilanciamento dei costi comporta in pratica l’assorbimento da parte
dell’insieme dei destinatari della maggior parte dei costi associati alla diffusione
dei messaggi pubblicitari; un sovraccarico delle infrastrutture di messaggistica
(oggi—settembre 2004—lo spam costituisce circa l’80% del traffico email); ma
1
Si
veda
ad
esempio
http://www.spamhaus.org/definition.html,
o
http://www.spin.it/spam/spam defined.php3. Ovviamente, data la connotazione negativa
che ha ormai assunto la parola, gli spammer utilizzano definizioni diverse in modo da non
farvi rientrare i propri messaggi.
2
soprattutto l’invasione della privacy, il tempo perso, il “degrado” dell’ambiente
di lavoro (pensiamo di avere la scrivania piena di spazzatura!), il dilagare di
truffe, la minaccia alle mailbox di minori e altri fattori possono portare alla disaffezione da parte degli utenti della rete di una forma di comunicazione
cruciale per la nuova economia. Per questi ed altri motivi, lo spam è stato
dichiarato illegale all’interno dell’Unione Europea dalla Direttiva 2002/582 . La
polverizzazione e la natura “senza confini” di Internet rendono tuttavia difficile
far rispettare le norme. Ridurre lo spam è dunque nella realtà un obiettivo
tutt’altro che semplice.
La società ci fornisce un esempio di un problema con caratteristiche simili, da tempo affrontato con un certo grado di successo: l’inquinamento. La
figura dell’inquinatore è assai simile a quella dello spammer. Entrambi mirano
ad ottenere dei profitti per se stessi riversando dei costi sulla collettività; per
entrambi l’attività nociva è “polverizzata” nell’ambiente; entrambi potrebbero
ricorrere a metodi alternativi “puliti” ma più costosi, ma non lo fanno fino a che
non esiste un meccanismo in grado di contrastarli. Tale meccanismo certo non
può essere basato sull’etica o sul rispetto per un bene comune, che non sempre
trovano posto nei business plan. Deve essere basato su schemi che aumentino
i costi operazionali degli spammer (rendendoli maggiori dei benefici dal loro
punto di vista), dalle leggi e da azioni sul campo per farle rispettare.
L’inquinamento viene combattuto attraverso una esposizione dei danni che
provoca all’ambiente, una presa di coscienza di tali danni da parte del pubblico,
il varo di leggi e normative, e naturalmente controlli e sanzioni. Nessuno ha
mai pensato neanche per un attimo che il problema potesse essere affrontato
dotando i cittadini di purificatori personali di aria o acqua di sofisticazione
tecnica sempre crescente. Quando gli effetti sono “polverizzati”, non esiste
altra strada sensata che agire sulle sorgenti, laddove avviene l’emissione delle
sostanze inquinanti nell’ambiente e a monte del processo di polverizzazione.
Lo spam, anche se problema meno grave dell’inquinamento, va combattuto
secondo lo stesso principio. Fornire al cittadino dei buoni filtri per la propria
mailbox o per il client di posta può alleviare le sue “sofferenze quotidiane” e
fornire nuove opportunità a fornitori di tecnologia, ma è del tutto irrilevante ai
fini della risoluzione definitiva del problema. La piaga dello spam va affrontata
agendo per ridurre le emissioni. Purtroppo è spesso assai difficile riuscire a
far rispettare le leggi e applicare sanzioni: gran parte dello spam è diffuso
in maniera anonima mediante la violazione di computer di terzi. Tuttavia,
come discusso nel seguito, è possibile—grazie alla cooperazione di molti e ad un
paziente lavoro di analisi degli incidenti—identificare le operazioni di spam e coloro che le supportano, e intraprendere azioni finalizzate alla loro eliminazione.
Questa breve nota spera di fornire delle indicazioni utili a questo fine.
Non c’è tempo da perdere. Lo spam costituiva circa il 10% del traffico
email complessivo nel 2001, ha raggiunto il 50% nel 20033 e in questo momento
2
In Italia recepita dal Decreto Legislativo 30 giugno 2003, n. 196, Codice in materia di
protezione dei dati personali.
3
http://www.eprivacygroup.net/teos/SpamByNumbers3.pdf è un buon sommario per i
dati fino al 2003.
3
(settembre 2004) è attestato attorno all’80%4 . Il problema è quindi molto grave,
ed è necessario affrontarlo adottando procedure operative efficienti e capaci di
curare la malattia piuttosto che sviluppare antidolorifici, ossia agendo sulle
cause e non sugli effetti. È importante che gli organi istituzionali indirizzino
la loro attenzione sulla eliminazione delle sorgenti di spam, dove possono avere
un ruolo incisivo e dove il settore privato ha delle difficoltà ad intervenire,
piuttosto che sui metodi per ridurre gli effetti negativi di spam già distribuito,
dove non mancano soluzioni di vario tipo prodotte dal settore privato che però
non affrontano il nocciolo del problema.
Ridurre lo spam, cosı̀ come ridurre l’inquinamento, richiede lavoro e cooperazione da parte di tutti gli attori coinvolti: ISP, imprese, enti, e cittadini.
In questo processo può occasionalmente capitare che delle misure antispam
causino dei problemi alla consegna dei messaggi email. Ma è importante che
queste misure vengano scelte con cura in modo da farci progredire verso una
risoluzione del problema, causando nel contempo il minimo danno possibile al
traffico email legittimo.
1
Sorgenti di spam e blocco della posta
1.1
La catena dello spam
Il processo di distribuzione dello spam coinvolge una catena di elementi in cui
generalmente troviamo, procedendo dal mittente verso il destinatario:
1. l’organizzazione che decide di pubblicizzare un proprio prodotto o servizio
attraverso spam (“committente”);
2. l’organizzazione che si prende carico di coordinare ed effettuare gli invii
massivi (“esecutore”);
3. le risorse Internet direttamente utilizzate da questa organizzazione (spesso
non rilevabili direttamente dai messaggi);
4. le risorse Internet altrui, spesso abusate per distribuire i messaggi in modo
parallelo, anonimizzante e evadendo filtri (si tratta spesso di migliaia di
computer “zombie” di utenti ignari);
5. i mail server che raccolgono la posta diretta ai destinatari;
6. lo smistamento della posta nella mailbox del destinatario, o in un insieme
strutturato di “folders”;
7. il prelevamento e catalogazione dei messaggi da parte del programma di
posta utilizzato dal destinatario sul proprio computer;
8. il destinatario che legge i messaggi (“vittima” dello spam).
4
http://itmanagement.earthweb.com/secu/article.php/3349921,
http://news.bbc.co.uk/1/hi/technology/3746023.stm
4
In questo documento non mi occuperò degli ultimi tre anelli, assai distanti dal
lato emissivo, e mi occuperò marginalmente dei primi due anelli, per concentrarmi sugli elementi 3. e 4. e sulla difesa a livello di mail server che, essendo
in prima linea a diretto contatto con le sorgenti, è quella più adatta a fornire
un “feedback negativo” agli emettitori.
1.2
Feedback negativo attraverso il blocco
Il blocco del traffico postale è—adottando certe cautele—una misura utile per
applicare un “feedback negativo” alle sorgenti di spam. Come in tanti altri
processi educazionali o sociali, il feedback negativo è uno degli strumenti a
disposizione per correggere comportamenti nocivi che non avrebbero dovuto
verificarsi. Lo scopo è quello di risolvere i problemi, ma soprattutto di fare
in modo che questi si ripresentino in misura sempre minore consentendo cosı̀
un costante miglioramento del sistema. Per contro, un approccio puramente
passivo e difensivo difficilmente porta a miglioramenti; più spesso comporta
invece un degrado progressivo5 .
Non tutti i sistemi antispam applicano un feedback negativo. Sono largamente usate infatti anche soluzioni in cui messaggi vengono accettati, analizzati e, qualora l’analisi li ritenga spam, gettati via (magari dopo un periodo di
“quarantena”). In sistemi di questo tipo lo spammer, o più in generale il sistema emittente, non vede alcuna differenza rispetto al caso in cui il messaggio
è recapitato al destinatario, e quindi non viene fornito alcun disincentivo alla
ripetizione dell’abuso (ad esempio verso altri destinatari). L’atto di respingere
immediatamente un messaggio al mittente porta invece in diverse circostanze
quest’ultimo a chiedersi perchè il messaggio è stato respinto, e ad attivarsi per
risolvere il problema. Ad esempio, in molti casi amministratori di sistemi con
falle di sicurezza che ne permettono l’abuso da parte di terzi non si accorgono
che esiste un problema fino a che i loro utenti non subiscono dei disservizi.
Le domande principali che ci dobbiamo porre prima di usare misure di questo
genere sono:
1. quali criteri utilizzare per decidere se rifiutare o accettare?
2. quanto sono efficaci?
3. quando corriamo il rischio di bloccare posta legittima, e come valutare
questo rischio?
4. in quali casi il blocco di posta legittima può portare a dei benefici per la
comunità?
5. chi e come viene notificato quando una transazione email fallisce?
6. qual è la procedura di risoluzione da adottare in caso di problema?
5
Un esempio è costituito dalla crescita degli “errori” ortografici e dall’introduzione di
direttive HTML senza senso all’interno degli spam nel tentativo di evadere filtri basati sui
contenuti.
5
7. su quali servizi esterni ci possiamo appoggiare per ottenere dei dati utili
per decidere se accettare o rifiutare una transazione?
Nel seguito proverò ad abbozzare delle possibili risposte ad alcune di queste
questioni.
Per quanto riguarda la prima domanda, vi sono due grandi famiglie di
sistemi di filtraggio: quelli basati sui soli dati a disposizione all’inizio della transazione SMTP—indirizzo IP in primis, ma anche dominio associato
all’indirizzo IP (DNS inverso), dominio mittente (“MAIL FROM”), stringa
“HELO”6 —e quelli che ricevono il messaggio e ne analizzano il contenuto con
varie metodologie. Una gran parte di quanto discusso in questo documento è
applicabile ad entrambe le famiglie, tuttavia verrà posta particolare enfasi sull’utilizzo dell’indirizzo IP come criterio selettivo: in particolare, sulla eventuale
presenza dell’indirizzo in appositi database (o “liste di blocco”) che catalogano
sorgenti di spam in base a precedente osservazione di attività abusiva. Come
chiarito meglio più sotto, l’indirizzo IP di una sorgente email non è falsificabile,
e quindi il suo inserimento in un database di blocco avviene sempre a fronte di
eventi accaduti e documentabili; inoltre, per qualsiasi indirizzo IP è possibile
trovare facilmente l’ISP o l’entità a cui è stato assegnato consultando i database
dei registri. Queste proprietà sono altamente desiderabili affinchè il feedback
raggiunga chi effettivamente può intraprendere azioni correttive di un problema
esistente. In questo senso anche il rigetto di posta non-spam può comportare
dei vantaggi, permettendo ad esempio di portare alla immediata attenzione dei
suoi gestori la presenza di un serio problema di sicurezza sul sistema mittente
abusato da spammer; e in contrasto con i casi in cui un messaggio è stato erroneamente classificato come spam da un analizzatore di contenuti, ad esempio
per la sfortunata presenza nel messaggio di alcune parole chiave.
I sistemi di filtraggio basati sull’analisi dei contenuti possono comunque
essere assai efficaci, e il fatto che vengano qui menzionati solo di sfuggita non
implica affatto un giudizio negativo dell’autore nei loro confronti. Un sistema
antispam completo utilizza in generale entrambe le metodologie.
1.3
“Zombie” e falsificazioni
È necessario aprire a questo punto una piccola parentesi tecnica per presentare
un aspetto importante. Un messaggio di posta elettronica viene trasmesso nell’ambito di una “transazione” in cui due computers—un sistema mittente e
uno ricevente—sono virtualmente collegati attraverso una connessione TCP/IP
(dal nome dei protocolli coinvolti) in cui vengono trasferiti uno o più messaggi
attraverso un dialogo secondo il protocollo SMTP. TCP/IP, utilizzato per la
maggior parte delle applicazioni di rete (incluso ad esempio l’accesso a pagine
web), consente una connessione fra due computer e permette al ricevente di
avere un traccia sicura della controparte da cui ha ricevuto il messaggio grazie
alla unicità di ogni indirizzo IP sulla rete e alla certezza, garantita tecnicamente
(escludendo situazioni del tutto eccezionali ed estremamente difficili da realiz6
Si tratta del nome che la macchina che spedisce dichiara di avere all’inizio del dialogo
SMTP; molto spesso è falsificato negli spam.
6
Figura 1: Uso di PC “zombie” da parte di spammer. Il server dello spammer
parla SMTP con quello della vittima passando sopra a due connessioni TCP, con
lo zombie interposto tra i due server. Nelle intestazioni del messaggio appare
solo l’indirizzo IP dello zombie; l’indirizzo email è fasullo.
zare in pratica), che tale indirizzo IP non può essere falsificato. Al contrario,
SMTP—una sorta di linguaggio che guida la consegna di messaggi di posta all’interno di una connessione TCP/IP già costituita—non contiene meccanismi
di verifica ed è semplicemente basato sulla fiducia che l’informazione fornita dal
mittente sia veritiera.
Nelle transazioni con cui viene trasmessa la posta elettronica ordinaria, il
medesimo server mittente gestisce la connessione TCP e, sopra di essa, quella
SMTP. Gli spammer hanno invece trovato il modo di separare le due funzioni.
Il loro server gestisce il dialogo SMTP, ma le connessioni TCP vengono aperte
da PC “zombies” di ignari utenti della rete. Tali zombies si prestano a fungere
da “proxy” per lo spammer, effettuando una intermediazione TCP tra il server
dello spammer e quelli delle vittime.
Viene cosı̀ creato un canale SMTP virtuale (figura 1), in cui vengono trasmessi messaggi con intestazioni fasulle (in quanto SMTP non contempla la
verifica di identità) e l’indirizzo IP visto dalla vittima come apparente origine
del messaggio è quello del particolare zombie che ha svolto funzione di proxy. In
questo modo lo spammer può iniziare e concludere la transazione senza poter
essere facilmente rintracciato. Il programma nello zombie naturalmente non
lascia traccia dell’indirizzo IP dello spammer una volta che la connessione è
terminata. Il mittente SMTP (indirizzo email di provenienza) visibile nelle
intestazioni del messaggio è fasullo, oppure è un indirizzo email reale che non
ha però alcuna attinenza con lo spammer.
In queste note chiameremo sorgente di spam l’indirizzo IP che ha aperto
la connessione TCP verso il server della vittima. Nella maggior parte dei casi
questo non corrisponde quindi a una risorsa posseduta dallo spammer, ma a
una risorsa abusata dallo spammer. Le sorgenti restano tuttavia un fattore
7
Figura 2: Classificazione delle macchine sorgenti di spam. Le percentuali in
blu sono stime approssimative della frazione di spam veicolata. Il colore verde
indica sorgenti di spam “pure”, che possono quindi essere bloccate usando il loro
indirizzo IP senza danni, mentre il rosso indica sorgenti miste, che trasmettono
cioè sia spam che posta legittima, e il cui blocco comporta pertanto effetti
collaterali negativi. Le linee tratteggiate indicano un possibile istradamento
della posta uscente da server abusati sui mail server dell’ISP.
estremamente importante in quanto sono sostanzialmente l’unico elemento veritiero che possiamo trovare nelle intestazioni (headers) di un messaggio, ed
inoltre spesso costituiscono comunque un grave problema di sicurezza per la
rete7 : vanno dunque considerate con la massima attenzione.
1.4
Classificazione delle sorgenti: pure e miste
Possiamo dire come principio generale che dietro a qualsiasi sorgente di spam
c’è un problema, risolto il quale la sorgente di spam cessa di essere tale. Quindi,
fermo restando che i responsabili principali del fenomeno sono gli spammer, è
anche vero che ciascuna entità responsabile di un indirizzo IP che emette spam è
(o dovrebbe essere) in grado di interromperne l’emissione, e dunque una azione
diretta verso la sorgente è comunque produttiva, anche se non l’unica possibile.
È opportuno classificare le sorgenti per caratterizzare le varie situazioni in
ci si può imbattere, molto diverse tra loro. La figura 2 classifica le sorgenti
7
C’è una certa tendenza a sottostimare la minaccia costituita dai programmi controllati
da terzi che girano nei PC degli utenti. Un trojan, cosı̀ come può essere programmato in
modo da veicolare spam, potrebbe anche esserlo ad esempio per effettuare degli acquisti in
rete utilizzando i dati di una carta di credito trovati effettuando una scansione del disco.
Un’intera industria criminale è al lavoro per l’utilizzo di questi oggetti in varie maniere. Alcuni
programmi trojan, una volta impiantati, possono venire aggiornati remotamente e quindi
essere programmati per svolgere diverse attività criminali nel corso del tempo.
8
(come viste dai server destinatari) in quattro categorie:
1. Macchine insicure (non server). Si tratta di macchine di terzi, abusate
dagli spammer, che non svolgono normalmente funzione di mail server.
Sono generalmente dei PC di comuni utenti Internet con un sistema operativo della famiglia Microsoft Windows, e su cui è stato installato, all’insaputa del proprietario e spesso attraverso un virus/worm creato allo
scopo, un programma con funzioni di “proxy server” come descritto in 1.3.
Questo programma viene utilizzato dallo spammer per inviare messaggi
a migliaia di vittime, le quali vedranno il messaggio provenire dal PC
abusato. Circa l’80% dello spam viene attualmente distribuito attraverso
questo metodo.
La quasi totalità di questi PC è collegata a Internet permanentemente o
temporaneamente attraverso connessioni broadband o dialup, usualmente
con assegnazione dinamica dell’indirizzo IP, e non sono mail server, ossia
in condizioni normali non inviano posta direttamente verso Internet. I loro
utilizzatori inviano posta utilizzando dei mail client che si appoggiano sul
server SMTP del provider, ed è quest’ultimo ad inoltrare la posta verso il
resto della rete. Si tratta dunque di sorgenti di spam pure.
2. Server insicuri.
In questo caso la macchina emettritrice di spam è ancora un sistema
abusato sfruttando una vulnerabilità e all’insaputa del suo proprietario.
In questo caso però la stessa macchina svolge anche funzioni di mail server per traffico mail legittimo, ed è quindi una sorgente mista che veicola
simultaneamente spam e posta legittima. A questa categoria appartengono i cosiddetti “relay aperti”, dove è lo stesso software del mail server
a permettere, causa errata configurazione, l’accesso a terzi all’esterno per
spedire posta pure all’esterno. I relay aperti hanno costituito un grande
problema nel periodo 1997-2002, in cui veicolavano il grosso dello spam.
Configurazioni di default sicure, una generale presa di coscienza del problema da parte degli amministratori di sistema (ottenuta soprattutto grazie ad alcune liste di blocco) e la massiva migrazione degli spammer verso
l’uso di proxy ha ridotto drasticamente la quantità di spam attraverso
relay aperti, che è ora ben al di sotto dell’1% del globale. I pochi relay aperti superstiti sono macchine con software vecchio e lasciate in uno
stato di abbandono.
3. Server di ISP.
Lo spam può essere distribuito dai mail server di un ISP sia a causa di loro
utenti spammer (molto comune è oggigiorno lo spam-truffa di tipo “419”
o “nigeriano”, i cui mittenti consumano migliaia di account presso siti che
offrono webmail gratuita), sia a causa di macchine insicure abusate che
spediscono posta appoggiandosi sui server SMTP del proprio ISP. Questo
tipo di spam non può generalmente essere fermato bloccando l’indirizzo
IP, in quanto la sorgente è per sua natura mista con probabile prevalenza
di posta legittima. Tuttavia, è legittimo aspettarsi che un ISP adotti
9
delle misure, sia preventive che successive all’osservazione di abusi, atte
a ridurre l’impatto sul resto della rete dello spam veicolato attraverso i
propri server.
4. Macchine controllate da spammer.
Infine, parte dello spam è trasmessa direttamente da sistemi di proprietà degli spammer o comunque da essi controllati. I relativi indirizzi IP
possono quindi essere bloccati senza causare danni a posta legittima, si
tratta cioè di sorgenti da considerare pure (trascurando la posta legittima
spedita dagli spammer!). Le reti in cui si trovano queste macchine possono essere assegnate direttamente allo spammer, oppure ad un ISP, o in
alcuni casi essere “reti rubate” (ad esempio impossessandosi dell’identità
di intestatari di reti abbandonate da anni). In questa categoria possiamo trovare sia organizzazioni che operano nel rispetto delle leggi nel loro
paese (ad esempio gli spammer statunitensi conformi a “CAN-SPAM”8 )
e che accettano di essere bloccate facilmente da chi non desidera i loro
messaggi pubblicitari, sia operazioni “sporche” che cambiano indirizzi IP
e domini molto frequentemente.
Dall’esame delle percentuali (approssimate) riportate in figura 2 osserviamo
che la grande maggioranza dello spam è oggi trasmesso attraverso sorgenti pure,
per le quali una strategia di blocco dell’indirizzo IP non comporta arresto di
posta legittima. Questo permette di trarre beneficio da database centralizzati e
mantenuti in tempo reali contenenti indirizzi IP di sorgenti (“liste di blocco”).
1.5
Il problema delle notifiche: a chi, come?
L’obiettivo di un sistema antispam è quello di far risparmiare all’utente il tempo e le risorse necessarie per trattare i messaggi non sollecitati trasmessi in
modo massivo. Una volta riconosciuta la probabile natura di spam di un messaggio, il sistema deve pertanto inibire la sua consegna nella mailbox di lavoro
dell’utente. Potrebbero però esserci dei “falsi positivi”, la cui possibile presenza richiede delle attenzioni per non creare disagi. Dunque, cosa fare di un
messaggio etichettato come spam dal sistema?
Abbiamo tre alternative: gettarlo via, oppure notificare il mittente della
fallita transazione, o ancora notificare il destinatario. Gettarlo via non sembra
essere una opzione praticabile, a meno che non si sia assolutamente certi della
sua natura di spam. Chi invia un messaggio generalmente assume che sia stato
ricevuto se non arriva indietro alcun messaggio di errore, e quindi la distruzione
di messaggi senza notifica può causare danni considerevoli.
Notificare il mittente sembra essere l’opzione più naturale: un messaggio di
errore all’iniziatore di una transazione fallita è da sempre (si pensi a telefono,
fax, ecc) la metodologia più diffusa, ed a maggior ragione per un mezzo come
l’email in cui il destinatario (la persona) non deve essere fisicamente presente
all’apparato di comunicazione nel momento in cui viene ricevuto il messaggio.
Tuttavia ci si scontra qui con un grave problema: come descritto nella sezione
8
http://www.spamlaws.com/federal/108s877.html
10
1.3, il mittente dichiarato via SMTP può essere facilmente falsificato. Questo
non è ovviamente il caso dei messaggi legittimi, per cui una notifica di mancata
consegna può sempre essere inviata al mittente nel caso di falsi positivi. Tuttavia, un sistema di questo genere applicato a tutto lo spam in arrivo causerebbe
l’emissione di un numero enorme di notifiche inviate a indirizzi falsificati. Gli
spammer indicano molto spesso come mittenti indirizzi di utenti realmente esistenti proprio allo scopo di mettere bastoni fra le ruote ai sistemi di filtraggio.
Un simile approccio è quindi di fatto impraticabile.
Per questo motivo, molti sistemi antispam che analizzano i messaggi dopo
che sono stati ricevuti provvedono a “notificare il destinatario”. Questo approccio sembra sconfiggere lo scopo stesso del sistema antispam, essendo la notifica
stessa una sorta di messaggio che si sostituisce a quello originale. Tuttavia è
possibile alleggerire il carico di lavoro sull’utente destinatario dirottando il messaggio originale in un’area particolare, normalmente nota come “spam folder”.
La “notifica” è allora costituita dal posizionamento del messaggio nello spam
folder anzichè nell’area dei messaggi normali. L’utente è supposto risparmiare
tempo dedicando meno attenzione ai messaggi finiti nello spam folder.
L’ufficio legale dell’ISP è felice di questa soluzione, in quanto l’ISP, non rigettando nulla, non può essere accusato di non aver consegnato posta legittima—
si può anzi vantare di “salvaguardare i diritti dell’utente” riversando tutta la
posta-spazzatura nello spam folder! Questo approccio ha però degli inconvenienti:
1. richiede al destinatario risorse (spazio disco, tempo di scaricamento, ma
soprattutto tempo umano) proporzionali al numero di messaggi spam
anche nel caso in cui la catalogazione sia corretta, risolvendo quindi il
problema solo parzialmente;
2. nessun feedback negativo viene inviato al mittente spammer;
3. il mittente non spammer (falso positivo) non viene notificato del “dirottamento” del messaggio, e il messaggio può di fatto andare perduto se il
mittente non controlla attentamente il contenuto dello spam folder.
Fortunatamente esiste una scappatoia che ci permette di notificare il lato
mittente, evitando9 di disturbare sia il destinatario (che è il nostro scopo primario), sia gli indirizzi falsificati dagli spammer come mittenti. La scappatoia
è quella di rifiutare la transazione SMTP con la sorgente del messaggio mentre
questa è in corso. Si tratta cioè di analizzare il messaggio nel momento stesso in cui viene ricevuto, prima di dare il benestare (“Ok, lo accetto”) al server
mittente. Se il messaggio viene classificato come spam, la risposta al server mittente sarà un errore di tipo “Non lo accetto”, a cui si accompagnerà una breve
descrizione della motivazione del rifiuto. Nel caso di falsi positivi, il messaggio
di errore verrà ancora recapitato al mittente. Nel caso di spam con mittente
falsificato, il messaggio di errore non verrà recapitato al mittente falsificato,
in quanto il dialogo SMTP avviene con il mail server dello spammer—per il
quale si tratta semplicemente di una consegna fallita. Nel caso di spam con
9
con l’eccezione dello spam via relay aperti, ormai praticamente estinto.
11
mittente genuino (spammer occasionali, problemi di mailing list con indirizzi
non confermati, ecc.) il messaggio di errore raggiungerà il mittente costituendo
un feedback negativo.
Lo schema del rifiuto della transazione mentre è in corso può essere in principio utilizzato per qualsiasi tipo di sistema antispam, purchè dotato di risorse
sufficienti per effettuare tutti i controlli in tempo reale, e va quindi raccomandato anche per sistemi basati sull’analisi del contenuto dei messaggi. Nel caso di
sistemi basati sul controllo dell’IP sorgente, abbiamo dei vantaggi addizionali:
1. poichè l’indirizzo IP è noto fin dall’inizio, la transazione può essere rifiutata nella fase iniziale, prima che il corpo del messaggio sia stato trasmesso,
risparmiando banda e risorse;
2. il rifiuto è sempre motivato da un problema reale, ancorchè di varia natura,
associato all’indirizzo IP;
3. poichè il blocco è indipendente dal contenuto del messaggio (il cui testo
infatti nemmeno raggiunge il server di destinazione) ed è interamente
determinato dall’osservazione di abusi dalla sorgente, vi è garanzia che la
privacy non sia stata violata10 ;
4. analogamente, non vi è il rischio di arrestare accidentalmente messaggi
distribuiti da organizzazioni di marketing o altri bulk mailer che operano
nel rispetto del principio del consenso preventivo11 ;
5. se l’IP è una sorgente mista, l’eventuale blocco di posta legittima può
essere accompagnato da una precisa descrizione della natura del problema.
Gli utilizzatori dal lato mittente possono quindi intraprendere azioni atte
a risolvere il problema.
Va infine menzionato che il rifiuto di una transazione SMTP iniziata da uno
spammer può, se lo si desidera, essere comunicato solo dopo aver tenuto aperta
la connessione TCP/IP per un tempo dell’ordine del minuto o più (“tarpitting”). Il tempo di apertura della connessione è una risorsa preziosa per lo
spammer, che vorrebbe avere transazioni concluse il più velocemente possibile
indipendentemente dal loro esito in modo da poter raggiungere più destinatari
a parità di tempo e di risorse. Una misura del genere aumenta quindi i costi
operazionali degli spammer. Esiste naturalmente anche un costo per il network
che attua questa misura, ma è trascurabile rispetto al risparmio di risorse conseguente al non dover immagazzinare il messaggio su supporto magnetico (come
di prammatica nei casi in cui il messaggio viene accettato a monte dell’analisi).
10
Per contro, la scansione dei messaggi alla ricerca di determinate parole chiave può essere
vista come una forma di invasione della privacy nel caso in cui un messaggio legittimo venga
arrestato per errore.
11
Alcuni filtri che analizzano i contenuti risentono di questo problema, che danneggia
ingiustamente operatori responsabili.
12
1.6
Criteri per il blocco di sorgenti miste
Come notato, la maggior parte dello spam proviene da sorgenti pure il cui
blocco non causa problemi. Il blocco di messaggi provenienti da sorgenti miste,
ossia quelle da cui proviene posta legittima oltre che spam, è pure una misura da
praticare quando necessario, ma con particolari cautele in quanto può provocare
disservizi agli utenti della rete. Alcuni aspetti importanti dell’argomento sono
discussi più dettagliatamente nella sezione 2.5, ma posso qui elencare alcuni
suggerimenti per qualsiasi struttura che voglia adottare questa strategia:
1. il blocco va effettuato solo in caso di evidente falla di sicurezza (ad esempio un relay aperto), oppure in caso di problemi persistenti dove si
ha una ragionevole certezza che il problema è già stato portato all’attenzione dell’ISP o della struttura responsabile dell’indirizzo IP attraverso
segnalazioni da parte di utenti della rete (esistono archivi su cui è possibile verificare l’attività di spam da determinati indirizzi IP), o ancora in
caso di gravi problemi di supporto all’attività di spammer come discusso
in 2.5;
2. lo scopo primario del blocco è, oltre all’arresto dello spam, quello di fornire
feedback negativo ovvero di contribuire a portare il problema all’attenzione dell’ISP o del sistemista responsabile inducendolo a intraprendere
azioni correttive;
3. evidenza dell’attività abusiva che ha causato il blocco deve sempre essere
disponibile e essere fornita se richiesta (naturalmente anche sotto forma
di puntatori);
4. è fondamentale che i messaggi vengano rigettati a livello SMTP, generando
cosı̀ una notifica al mittente mentre la transazione è in corso. Il mittente
viene allora informato in tempo reale e può quindi portare rapidamente
il problema all’attenzione del gestore del proprio sistema di posta;
5. è importante che il messaggio di errore ritornato contenga una rapida
descrizione del problema, e un meccanismo (un form, o un indirizzo email
non protetto dai filtri) che permetta l’instaurarsi di un canale di contatto
funzionante onde avviare con facilità una procedura di risoluzione;
6. gli utenti non-spammer affetti dal blocco non vanno puniti ma informati.
È quindi desiderabile che la struttura che blocca sia in grado di gestire
prontamente le richieste di assistenza conseguenti a mail rigettate, aperte
indifferentemente dal mittente o dal destinatario, fornendo tutte le spiegazioni del caso (evidenze di spam accumulate, evidenze presso liste di
blocco, archivi pubblici, ecc.) e, in condizioni normali, ripristinando il
canale di comunicazione interrotto fra la coppia di utenti interessati;
7. la struttura che blocca deve prevedere l’esistenza di una “whitelist”, ossia
una lista di sorgenti di email legittima che non si desidera vengano mai
bloccate. Tale lista verrà popolata con gli indirizzi dei mail server con cui
vengono scambiati elevati volumi di posta, allo scopo di prevenire blocchi
13
che creano disagio e di gestione onerosa. Va sottolineato che nel caso di
utilizzo di liste di blocco esterne i messaggi vengono pur sempre respinti
dal proprio mail server, non dalla lista di blocco, e quindi il gestore del
mail server è comunque chiamato ad effettuare una valutazione dei costi e
dei benefici dalla sua propria prospettiva; non è quindi necessario bloccare
tutto ciò che una lista di blocco suggerisce di bloccare;
8. è desiderabile che possano essere definiti indirizzi email non protetti dal
sistema antispam, che potranno essere utilizzati dagli utenti per permettere ai loro corrispondenti in difficoltà di aggirare temporaneamente
situazioni di blocco.
L’esperienza diretta dell’autore indica che queste misure possono essere intraprese senza eccessive difficoltà da un ISP business, mentre un ISP consumer può
dover ricorrere a compromessi per tenere i costi sotto controllo. Inoltre, l’utenza
è generalmente pronta ad accettare di buon grado interruzioni nella consegna dei
messaggi quando queste vengono motivate con adeguata documentazione ed è in
vigore una procedura di risoluzione celere. Una seria politica antispam con un
rapido trattamento dei casi aperti viene generalmente apprezzata e contribuisce
a fidelizzare la clientela.
Il coordinamento di queste attività richiede una figura professionale non
standard e difficile da reperire nel mondo del lavoro. ISP e grosse organizzazioni hanno probabilmente interesse a formarsi in casa competenze di questo
tipo, mentre organizzazioni più piccole o che non desiderano impegnare proprie risorse umane in queste attività possono probabilmente affidare la gestione
dello “strato esterno” della posta (i server che ricevono i messaggi dall’esterno, applicano le misure antispam/antivirus ed inoltrano i messaggi superstiti
verso la destinazione finale) ad aziende che hanno sviluppato questo tipo di
specializzazione.
2
2.1
Lo Spamhaus Project
Blocking list e oltre
Nella sezione precedente sono state esaminate le questioni generali associate al
rigetto della posta, ma non è stato discusso il problema di quali dati utilizzare
come criterio per respingere messaggi. Gli spammer si muovono in continuazione, sia perchè i loro fornitori sospendono loro il servizio, sia perchè essere
un bersaglio mobile rende più difficile fermare i loro messaggi. L’enorme mole
di lavoro necessaria per tracciare il movimento delle sorgenti e delle regole di
filtraggio ha fatto sı̀ che siano sorti diversi database dinamici in cui l’informazione viene centralizzata e resa disponibile in tempo reale a chiunque la
voglia usare. La maggior parte di questi progetti sono di natura non commerciale, e sono gestiti da gruppi di volontari. Si tratta quasi sempre di persone
che lavorano usando la rete (molti sono gestori di sistemi), e dedicano una
parte solitamente cospicua del loro tempo libero alla gestione del database:
raccolta/creazione/eliminazione, organizzazione e distribuzione dei dati.
14
La maggior parte di questi progetti mantiene database di indirizzi IP associati a spam. Il meccanismo di distribuzione, basato sul protocollo DNS e molto
efficiente, è strutturato in modo da permettere l’utilizzo diretto dei database
da parte dei mail server, e per questo motivo questi database sono anche noti
col nome di liste di blocco (blocking lists, o BL). Vi sono diverse BL, specializzate in determinate tipologie di sorgenti e con diverse politiche di inserimento e
rimozione. In questo documento non passerò in rassegna le varie liste esistenti,
limitandomi a presentare quello che è probabilmente, in questo momento, il
progetto antispam più significativo dal punto di vista della creazione di costi
aggiuntivi per gli spammer: lo Spamhaus Project12 .
Spamhaus è un progetto ad ampio respiro ideato nel 1998 da Steve Linford
nel Regno Unito e da allora in continuo sviluppo. Uno dei suoi principali scopi
è quello di arrestare lo spam attraverso la distribuzione di indirizzi IP di sorgenti di spam; ma anche evidenziare i servizi utilizzati da spammer (siti web,
server DNS, ecc.); mantenere un database contenente informazioni sulle operazioni di spam professionali nel mondo; aiutare ISP e backbones ad eliminare gli
spammer; fornire informazioni a organi di polizia e di informazione; fornire consulenza ai governi relativamente a interventi legislativi; e altre attività ritenute
utili per eliminare questa piaga della rete. In altre parole, l’obiettivo primario
di Spamhaus non è quello di difendersi dallo spam come se fosse una calamità
naturale, ma di attaccare il problema al punto di origine: gli spammer.
I database di Spamhaus sono concepiti per ridurre al minimo i danni collaterali (arresto di posta legittima), e la loro buona affidabilità ha fatto sı̀ che
vengano utilizzati da un numero sempre crescente di entità e istituzioni nell’area ISP, business, educazionale, governativa, militare, per un numero totale
di mailbox protette che si stima oggi essere attorno ai 400 milioni.
Spamhaus mantiene attualmente tre database: XBL, SBL e ROKSO.
2.2
XBL
Il database XBL (eXploits Block List) contiene indirizzi IP di sorgenti di spam
pure, ossia che non sono mail server: fattore che rende assai sicuro il suo utilizzo. XBL è alimentato da dati raccolti e analizzati presso alcune installazioni
con traffico molto alto (la cui locazione non può ovviamente essere rivelata),
contiene tra 1 e 2 milioni di indirizzi IP con un ricambio di alcune decine di
migliaia di indirizzi al giorno, e viene aggiornato ogni 30 minuti. L’intera operazione è largamente automatizzata, anche se naturalmente regole e parametri
vengono frequentemente aggiustati 13 . L’utilizzo di XBL permette di arrestare
circa il 60% dello spam complessivo in circolazione (dato di aprile 2004) con
effetti collaterali quasi assenti14 . Gli indirizzi IP entrati nel database ne escono
12
http://www.spamhaus.org/
La maggior parte dei dati contenuti in XBL è attualmente importata dal progetto CBL,
http://cbl.abuseat.org/.
14
I rari effetti collaterali sono di solito riconducibili a installazioni NAT, in cui una intera
rete locale si trova dietro ad un medesimo IP, non dotate di un firewall configurato in modo
appropriato. In installazioni di questo tipo il firewall dovrebbe accettare dal lato interno solo
traffico SMTP uscente proveniente dal mail server, non da altri PC nella rete locale.
13
15
automaticamente nel giro di alcuni giorni se il problema cessa, ma esiste anche una procedura di tipo “self-service” che permette a chiunque di rimuovere
istantaneamente il proprio indirizzo IP dopo aver risolto il problema che aveva
portato all’inserimento in XBL. Un team di volontari risponde comunque alle
richieste di chiarimenti inviate via mail.
2.3
SBL
Al contrario di XBL, il database SBL (Spamhaus Block List) è gestito manualmente e contiene indirizzi IP di spammer, sia utilizzati per l’emissione che
per erogare servizi quali siti web o server DNS, nonchè di servizi di supporto
a spammer. Ogni record è corredato da una descrizione testuale, disponibile
pubblicamente sul sito web di Spamhaus, che spiega il motivo per cui il record
è stato creato. Il database viene gestito da un team costituito da una ventina
di volontari distribuiti su più continenti. I record vengono classificati sia per
locazione geografica che per ISP che per spammer, e il database relazionale in
cui sono organizzati permette quindi di ottenere diverse “viste” interessanti,
rilevare mutamenti e tendenze, produrre statistiche.
SBL instaura un rapporto stretto e di fiducia con gli Internet Service Provider. Uno dei criteri fondamentali che ispirano l’operazione di SBL è quello
di minimizzare i “falsi positivi”: gli effetti collaterali che eventuali listing di
sorgenti miste potrebbero generare vengono valutati attentamente dal team (i
cui componenti si trovano in paesi diversi e quindi hanno prospettive diverse).
Il basso tasso di falsi positivi e l’accuratezza delle evidenze esposte nei record
permette alle organizzazioni di configurare con confidenza i mail server in modo
che rigettino email da IP elencati in SBL. L’alto tasso di adozione che ne consegue rende SBL uno strumento importante e rispettato e questo a sua volta
permette a Spamhaus di “accompagnare” situazioni problematiche verso una
risoluzione rapida. In sostanza, tra SBL e i suoi utilizzatori esiste una sorta di
simbiosi—resa possibile dalla condivisione degli intenti—che sta alla base della
sua efficacia e che distingue SBL da altre liste di blocco gestite con maggiore
aggressività.
Le discussioni relative ad un listing tra Spamhaus e l’entità in carico degli
indirizzi listati avvengono facilmente e discretamente attraverso la posta elettronica, e i listing vengono rimossi rapidamente non appena il problema a cui si
riferiscono viene curato. Eventuali situazioni delicate o problematiche vengono
discusse all’interno del team. I casi che le procedure ordinarie lasciano irrisolti
implicano generalmente una procedura di escalation che viene diretta prima di
tutto verso i mail server utilizzati dai vertici dell’azienda coinvolta (“corporate
servers”). In molti casi questo lancia alla dirigenza dell’ISP un segnale sufficientemente forte da indurre ad un cambiamento di rotta senza causare problemi
all’utenza.
2.4
ROKSO
ROKSO (Register Of Known Spam Operations) è un database che raccoglie
informazioni sulle circa 250 operazioni di spam principali nel mondo, responsa-
16
bili per circa il 90% dello spam complessivamente in circolazione. La maggior
parte degli spammer operano illegalmente, e si muovono costantemente da una
rete all’altra cambiando identità e cercando ISP che permettano loro di restare
connessi il più a lungo possibile. Le informazioni contenute in ROKSO aiutano
gli ISP a identificare gli spammer già nello stadio di pre-vendita, consentendo
di prevenire la sottoscrizione di un contratto.
Per essere listato in ROKSO, uno spammer deve essere stato disconnesso
per violazione delle condizioni d’uso accettabili da almeno tre ISP, e devono
essere trascorsi meno di sei mesi dagli ultimi spam osservati. ROKSO contiene
solo informazioni di natura testuale, ossia non è una lista di blocco. Tutti gli
indirizzi IP trovati essere sotto il controllo di uno spammer ROKSO sono listati
nel database SBL (fra i due database esistono dei collegamenti incrociati) e
quindi bloccati dagli utilizzatori di SBL.
Una versione speciale di ROKSO con informazioni addizionali troppo delicate per essere rese pubbliche (log di server, ecc.) viene utilizzata da organi di
polizia nazionali e internazionali per raccogliere evidenza su attività criminali.
2.5
Perchè bloccare reti che non sono sorgenti?
Come discusso, il database SBL non contiene solamente sorgenti di spam, ma
anche altre risorse utilizzate da spammer quali server web, DNS, server per la
raccolta di pagamenti, ecc. In alcuni casi queste risorse sono assegnate direttamente allo spammer (comunque connesso a Internet attraverso uno o più ISP),
mentre in altri casi si tratta di servizi offerti allo spammer da un ISP in condivisione con altra utenza. In entrambe le situazioni, l’ISP (dando per scontato
che le condizioni contrattuali col suo cliente lo permettano, cosa quasi sempre
verificata) può risolvere il problema terminando la fornitura di servizi al cliente
che abusato della rete. Questo è infatti quanto ci si aspetta che succeda, e che
in verità succede nella maggior parte dei casi. La presenza di un listing SBL
persistente per un server usato da uno spammer indica generalmente che l’ISP
coinvolto non è intervenuto nonostante la ricezione di segnalazioni.
Ci si può chiedere che senso abbia bloccare la posta elettronica proveniente
da server che non emettono direttamente spam, dal momento che questa misura
non genera una riduzione di spam immediatamente misurabile, e può caso mai
dar luogo a effetti collaterali negativi. L’anonimizzazione de facto della vera
sorgente dello spam conseguente al fenomeno dell’abuso di PC “zombie” rende
il processo di distribuzione molto semplice e sicuro nell’ottica degli spammer.
Le risorse web e DNS sono più difficili da anonimizzare, e più semplici da individuare. Inoltre, nessuno spam commerciale avrebbe utilità per chi lo invia
se non esistesse un meccanismo per permettere la vendita dei prodotti pubblicizzati. Per questi motivi, da diversi anni le organizzazioni antispam come
Spamhaus prestano la massima attenzione alla locazione di questi servizi. La
pubblicazione degli indirizzi IP dei servizi in database come SBL permette di
raggiungere alcuni obiettivi che vanno al di là del puro e semplice “blocco di
spam via SMTP”:
1. Pubblicizzazione dello spammer. È opportuno che il pubblico e le autorità
sappiano chi sono i responsabili dietro ad uno spam, e spesso una inter-
17
rogazione ad SBL basata sulla URL pubblicizzata è il metodo più rapido
per scoprirlo;
2. Pubblicizzazione degli ISP spam-friendly. È opportuno che il pubblico e
gli operatori sappiano quali sono gli ISP che traggono un diretto profitto economico dal fenomeno spam, anche per permettere di evitarli alle
persone e alle aziende che vogliono contribuire a risolvere il fenomeno. Il
numero e l’età dei record SBL accesi costituiscono un buon indicatore;
3. Pressione dai clienti non-spammer. Il blocco delle risorse che uno spammer condivide con altri utenti non-spammer porta talvolta a “danni collaterali” che, pur dando origine a disagi temporanei, sono (purtroppo!)
in alcuni casi estremi l’unico metodo per convincere l’ISP a terminare gli
spammer (nei casi in cui l’ISP tiene separate le risorse assegnate allo spammer, la pressione viene applicata da SBL attraverso il blocco dei server
usati dalla dirigenza dell’azienda piuttosto che di quelli usati dall’utenza);
4. Rilevazione di URL pubblicizzate mediante spam. La presenza in SBL
dell’indirizzo IP di un sito indicato in una URL costituisce infine uno
strumento estremamente efficace per l’identificazione di spam da parte di
sistemi di filtraggio basati sull’analisi dei contenuti15 .
Per questi motivi, l’identificazione e il blocco di indirizzi IP associati a servizi
di spam costituisce oggi una delle metodologie più efficaci per combattere lo
spam. La maggior parte degli ISP presta oggi la massima attenzione a queste
tematiche e rimuove gli spammer rapidamente. Questo porta naturalmente gli
spammer ad evitarli (oltre che ad aumentare i loro costi a causa delle continue
migrazioni), e ad accumularsi presso gli ISP “spam-friendly”. Questi ultimi
tendono a perdere una parte della loro utenza legittima e diventano ISP “specializzati” in questo tipo di servizio, cosa che consente di considerarli sempre
più affini ad uno spammer e quindi di poter fare pressione sui loro fornitori di
connettività. Tali ISP appartengono a pieno titolo alla categoria degli “inquinatori” della rete: come gli spammer, sono operatori che non esitano a contribuire
al degrado dell’ambiente a fronte di un proprio tornaconto economico.
L’esperienza mostra che solitamente un ISP diventa spam-friendly in presenza di una di queste situazioni:
1. l’ISP, in un tentativo di tenere bassi i costi operativi, non ha dotato l’abuse
desk di personale e strumenti sufficienti. In caso di riduzioni dello staff,
il personale della gestione abusi è spesso tra i primi ad essere oggetto
di tagli in quanto tale ufficio non genera introiti direttamente, e anzi ad
un esame superficiale sembra toglierli. In questi casi capita spesso che
nessuno legga le segnalazioni pervenute, e la nave diventa virtualmente
senza pilota. Una variante di questa situazione è l’abuse desk dato in
appalto a un call center esterno (che non può avere le competenze per
gestirlo) come se fosse un help desk, che si limita a svolgere funzioni di
“public relations”;
15
Informazione riportata dagli utilizzatori della regola URIDNSBL disponibile nel
programma SpamAssassin dalla versione 3.0.
18
2. l’ISP soffre di una grave mancanza di liquidità, e il management decide
di acquisire degli spammer tra i clienti per per far fluire del denaro extra
nelle proprie casse. Gli spammers piombano come avvoltoi in gran numero
sugli ISP in questa condizione;
3. l’ISP sta per essere venduto o essere oggetto di una fusione/incorporazione. Il management vuole aumentare il fatturato “a qualunque costo”
per massimizzare l’imminente valutazione. I problemi generati dall’acquisizione di spammer sono ritenuti di competenza della gestione successiva
e pertanto ignorati;
4. l’ISP è grande, e i suoi vertici ritengono di poter vendere servizi a spammer
a caro prezzo e senza timore di ritorsioni da parte del resto della rete grazie
alla dimensione dell’ISP16 ;
5. l’ISP è situato in un’area geografica lontana dal “mondo occidentale” in
cui si svolge la maggior parte della attività antispam, e quindi le misure di
blocco lo colpiscono in modo lieve; l’ISP ritiene che il danno alla propria
reputazione nel proprio paese sia limitato, e quindi che il gioco valga la
candela;
6. l’ISP è la divisione Internet di una grossa telco ex-monopolista, che si
porta dietro la “cultura del common carrier” (tutto deve transitare) e la
“cultura dell’operatore telefonico” (ciò che fa l’utente non mi interessa).
Le condizioni d’uso, simili a quelle per l’utenza telefonica, non permettono
di fatto all’ISP di intervenire nei confronti dei suoi utenti che abusano
della rete. Scenari di questo tipo sono ormai quasi del tutto scomparsi in
Europa e America, ma sopravvivono ancora in molte realtà asiatiche.
In tutti i casi ad eccezione dell’ultimo la motivazione di fondo dietro al supporto
a spammer è di natura economica. Per questo motivo, Spamhaus ed altre
organizzazioni cercano di spostare l’ago della bilancia economica che controlla
il fenomeno aumentando i costi legati alla presenza di spammer in una rete17 . Il
fine non è quello di punire, ma quello di aprire un dialogo per educare e favorire
un uso responsabile di Internet. Gli ISP che dimostrano di voler affrontare
una situazione problematica in cui—per qualsivoglia motivo—sono venuti a
trovarsi rimuovendo i servizi a spammer non vengono penalizzati. Nella storia di
Spamhaus troviamo innumerevoli casi di ISP che hanno compiuto mutamenti di
rotta sostanziali nel giro di breve tempo, diventando degli alleati nella battaglia
contro lo spam.
2.6
Alcune cifre
Attualmente il team di Spamhaus, costituito da circa 20 volontari, esamina ogni giorno tra 50 e 100 casi, e genera o rimuove alcune decine di record SBL.
16
Il caso più eclatante è quello della statunitense MCI, a cui sono attribuiti al momento
della scrittura di queste note ben 227 record SBL, in gran parte di spammer professionisti
elencati in ROKSO.
17
Questo punto è discusso più dettagliatamente nel saggio di Jeffrey Race You needn’t eat
spam (nor worms) disponibile alla URL http://www.camblab.com/nugget/spam 03.pdf
19
I database SBL e XBL vengono distribuiti secondo due modalità. Le piccole
organizzazioni possono utilizzarli effettuando direttamente interrogazioni sull’infrastruttura DNS pubblica di Spamhaus, costituita da circa 30 nameserver
distribuiti in tutto il mondo. Il traffico è attorno alle 10000 interrogazioni al secondo, che si stima corrispondere a circa 200 milioni di utenze. Le organizzazioni
al di sopra di una certa soglia di traffico sono invece invitate a mantenere una
copia locale sincronizzata dei database, e servire localmente le richieste dai propri mail server (con vantaggi in termini di velocità e affidabilità). Al momento
utilizzano questa modalità circa 600 organizzazioni, approssimativamente corripondenti ad altri 200 milioni di utenti; questo numero è in rapida crescita.
Le statistiche indicano che circa il 55% delle interrogazioni a XBL e il 12% di
quelle a SBL danno esito positivo, ossia indicano che l’IP è da bloccare18 .
I costi operazionali annuali di Spamhaus sono stimati essere attorno a 1
milione di dollari statunitensi, di cui circa metà associati alla manutenzione
dei dati e metà alla loro distribuzione. I costi di manutenzione dei dati sono
soprattutto dovuti alle ore di lavoro donate dai volontari, quindi questi costi
non vengono direttamente sostenuti dall’organizzazione. I costi di distribuzione
dei dati sono soprattutto associati a banda e server DNS e web, e sono piuttosto
alti a causa della necessità di operare con una grossa disponibilità di banda per
sostenere gli attacchi di tipo Denial of Service lanciati dagli spammer19 . Nonostante gli alti costi a fronte dell’assenza di introiti, Spamhaus è riuscita sinora
a operare senza alcuna interruzione di servizio sull’infrastruttura DNS grazie a
generose donazioni di risorse da parte di vari ISP, aziende ed enti educazionali.
Tuttavia si è recentemente deciso di richiedere un contributo finanziario alle reti
che mantengono una copia locale dei database (quindi continuando a permettere
un libero accesso ai server DNS pubblici), con l’obiettivo di riuscire a coprire la
parte dei costi legata alla distribuzione dei dati e non dover fare affidamento su
donazioni; e soprattutto poter fornire ai grossi e medi utilizzatori, molto sensibili
su questo punto, una garanzia sulla qualità del servizio di distribuzione. Ai costi
di cui sopra vanno aggiunte le eventuali spese legate ad azioni legali da parte
di spammer, il cui ammontare non è ovviamente prevedibile.
La sfida per Spamhaus è quella di continuare ad operare finchè la sua esistenza appare necessaria per contrastare lo spam, senza richiedere sacrifici alla lunga
inaccettabili da parte di chi l’ha fondata e di chi la supporta, e nonostante gli
spammer cerchino costantemente di metterla fuori uso con varie strategie, sulla
scia di quanto accaduto ad altre liste di blocco in passato. Tentativi di ottenere
finanziamenti da governi o strutture pubbliche non hanno sinora avuto successo
(i governi ritengono generalmente che l’“industria Internet” debba essere in
grado di autoregolarsi e quindi sono restii a finanziare progetti anche se di
interesse pubblico), ma si continua a perseguire anche questa strada.
18
Questi valori non sono direttamente convertibili in frazioni di traffico mail a causa
dell’effetto delle cache DNS, ma sono indicativi.
19
Alcuni worm, come ad esempio certe varietà di MiMail, contengono codice che invia
traffico verso il sito di Spamhaus. Nei momenti peggiori il traffico osservato, proveniente da
diverse migliaia di macchine e diretto verso il sito, è stato di decine di Gbps.
20
2.7
Spamhaus in Cina
Spamhaus ha recentemente stabilito una presenza istituzionale in Cina, paese
con gravi problemi di spam in diverse aree:
• hosting di spammer ROKSO americani che non ottengono più connettività
in occidente;
• grande numero di sorgenti causate da sistemi insicuri abusati, fenomeno
amplificato dalla grande diffusione di connessioni broadband a basso costo
e di copie pirata non aggiornabili di Microsoft Windows;
• grande quantità di spammer cinesi (verso utenza prevalentemente cinese).
L’attività è coordinata dal volontario Danny Levinson, che risiede in quel paese.
Sotto l’egida della Internet Society of China nel corso di aprile e maggio 2004 si
sono svolti a Pechino diversi incontri fra volontari di Spamhaus, responsabili di
ISP, fornitori di tecnologia, giornalisti ed altre persone interessate al problema
dello spam in Cina, in cui sono stati analizzati vari aspetti del fenomeno, ed
inoltre è stato avviato il sito web di Spamhaus in cinese20 .
Come risultato di queste attività, numerosi ISP cinesi hanno provveduto a
riorganizzare i loro abuse desk, rivedere la formulazione delle condizioni d’uso spesso derivate da quelle telefoniche e palesemente inadeguate, terminare
le forniture a spammer, adottare SBL e XBL sui loro mail server, e iniziare
ad interagire regolarmente con Spamhaus relativamente ai record SBL che li
riguardano. Questi risultati sono significativi e lasciano sperare in un ulteriore
miglioramento della situazione spam in Cina nel corso del 2005.
3
Alcuni suggerimenti
3.1
Suggerimenti agli ISP consumer
A causa delle pecche di sicurezza dei sistemi operativi consumer, che hanno
permesso una diffusione a macchia d’olio (attraverso virus/worms) di emettitori di spam controllati remotamente, è ormai difficile per un ISP consumer
(ossia con utenza prevalentemente di tipo residenziale) evitare la presenza di
un gran numero di sorgenti nella propria rete. Un fenomeno apparentemente
sorprendente è che diversi ISP sono disposti ad effettuare investimenti anche
considerevoli allo scopo di limitare spam e virus diretti verso i loro utenti, mentre sono assai più restii ad investire per limitare la quantità di spam e virus
uscenti dal proprio network.
La ragione dietro a questo apparente paradosso (se tutti impedissero l’emissione non ci sarebbe bisogno di impedire la ricezione, e si risparmierebbero
ingenti risorse!) è che il primo tipo di investimento genera un ritorno immediato
in termini di soddisfazione dei clienti, mentre il secondo è apparentemente “a
perdere”, o almeno gli ISP percepiscono che il ritorno non giustifichi il costo. Si
tratta di un altro aspetto del “cost-shifting” assai spesso osservato nell’economia
20
http://www.spamhaus.cn/
21
Internet (e non): se possibile, una struttura trasferisce dei costi che sarebbero
logicamente di propria competenza su tutte le altre, sfruttando l’assenza di
meccanismi regolatori. Nel caso che stiamo esaminando questo fenomeno è
ovviamente deleterio per l’infrastruttura di rete, in quanto favorisce l’aggravarsi
del problema quando un uso più intelligente delle stesse risorse potrebbe invece
alleviarlo.
Quali sono le misure che un ISP può intraprendere per ridurre la quantità
di spam in uscita da connessioni di tipo residenziale, o semplicemente fornire
informazioni importanti sulla propria rete al resto del mondo? Eccone alcune:
• identificare chiaramente la natura dei propri spazi IP mediante reverse
DNS. Gli spazi di IP dinamici devono essere chiaramente identificabili, ad
esempio utilizzando un sottodominio del tipo dynamic.nomeprovider.it.
A utenti con IP statico e mail server dovrebbe essere assegnato un reverse
DNS “personalizzato” col nome Internet della macchina. Ciò evidenzia
la presenza di un mail server e riduce il rischio di blocchi accidentali da
parte di terzi;
• dove possibile, impedire il traffico SMTP uscente dalle apparecchiature
utente21 che non sia diretto verso i propri mail server (solo ad installazioni
con mail server fisso e quindi su IP statico dovrebbe essere permesso
inviare posta direttamente);
• limitare la quantità di messaggi massima che un utente può spedire nell’ambito di una certa finestra di tempo attraverso i mail server centrali
dell’ISP22 .
• disconnettere rapidamente gli utenti con macchina compromessa. L’esperienza di un gran numero di ISP ha già dimostrato che la sola notifica non
è sufficiente: la maggior parte dei possessori di un sistema compromesso
non intraprende azioni correttive. Una alternativa alla disconnessione può
essere l’accensione di filtri; ad esempio all’utente potrebbe essere lasciata la possibilità di accedere ai soli siti della Microsoft e di produttori di
antivirus per il ripristino della sicurezza.
Molti ISP “ecologici” si sono già mossi o si muovono in questa direzione23 ,
ma è indubbio che molto lavoro deve essere ancora fatto, e in particolare in ambito italiano. È importante che vengano forniti agli ISP degli incentivi economici
per intraprendere questa strada. Questi potrebbero venire da
21
Qui si intende strettamente il traffico sulla porta 25, usata da SMTP standard. Estensioni di SMTP che comprendono un meccanismo di autenticazione con username e password
utilizzano altre porte, in particolare la 587 (RFC2476) o talvolta la 465. L’utente può continuare ad utilizzare servizi di posta situati all’esterno del proprio ISP utilizzando questi canali,
abusabili dagli spammer con più difficoltà grazie al requisito dell’autenticazione.
22
È conveniente applicare il limitatore sulla coda di uscita dei messaggi verso la destinazione
piuttosto che su quella di sottomissione, per non creare disagi all’utenza con connettività
saltuaria (ad esempio persone in viaggio) che tende ad inviare “grappoli” di messaggi.
23
Particolarmente interessante è la qualità del lavoro svolto da AOL, il più grande ISP
statunitense con una base di circa 30 milioni di utenti residenziali, che ha ridotto l’emissione
di spam e virus dalla propria rete a livelli pressochè trascurabili.
22
• riduzione dei volumi di segnalazioni in arrivo all’abuse desk, con conseguente riduzione del lavoro (o possibilità di innalzarne il livello qualitativo)24
• vantaggio di marketing/immagine (richiede preventiva presa di coscienza
del problema da parte di pubblico e organi di stampa);
• parallelamente, danno di immagine per i network più “inquinatori”;
• definizioni di fasce di servizio che premino gli utenti che non generano
incidenti e/o penalizzino coloro che li generano (ad esempio aumentando
il loro canone, che è l’approccio di tipo assicurativo, o limitandone il
servizio attraverso filtri aggiuntivi, o in altri modi);
• eventuali interventi dalle istituzioni in forma di cofinanziamenti o agevolazioni fiscali per lavori di contenimento del traffico abusivo in uscita, non
essendoci sufficienti incentivi ad agire in questo senso da parte del “libero
mercato”.
È infine da notare che gli operatori di telecomunicazioni possono trarre un
profitto indiretto da spam e virus, in quanto questi implicano un utilizzo di
banda che alla fine qualcuno paga, senza doverne sopportare gli effetti negativi. La situazione—molto comune in Europa, Asia e Sud America—in cui i
grossi ISP sono spesso delle divisioni Internet di grosse telco è particolarmente
deleteria, in quanto le politiche della divisione ISP del gruppo possono essere
negativamente influenzate dalle altre divisioni che traggono profitto dal traffico.
Per questo motivo, queste entità richiedono una particolare attenzione.
3.2
Suggerimenti agli utenti e alla stampa specializzata
È probabilmente giunto da tempo il momento di considerare la qualità del lavoro
dell’abuse desk di un Internet provider tra i parametri che ne determinano la
qualità complessiva, assieme a banda, prestazioni dei mail server e tutti gli altri
parametri convenzionali. Un ISP che non è in grado di controllare adeguatamente i volumi di spam emesso da sorgenti all’interno della propria rete, o che
in generale non si dimostra un “buon vicino” per il resto del mondo, può facilmente essere fatto oggetto di misure restrittive che ostacolano le comunicazioni
dei suoi utenti. Tali misure non sono necessariamente la conseguenza di azioni
da parte di liste di blocco pubbliche: possono anche essere il risultato di blocchi
accesi da altri ISP.
È necessaria dunque una maggiore sensibilità alla qualità della gestione
degli abusi da parte dell’utenza e della stampa specializzata che effettua valutazioni comparative. Una sensibilizzazione in merito del mercato porta automaticamente ad un interesse da parte delle divisioni marketing, innescando
un “circolo virtuoso” che può condurre ad un aumento delle risorse allocate
24
Il responsabile della sicurezza di Cox Communications ha indicato una riduzione del 76%
nel volume complessivo di segnalazioni giunte all’abuse desk (ossia non solo quelle relative
a spam) nei primi mesi del 2004 conseguente all’applicazione del filtro sulla porta SMTP in
uscita.
23
alla gestione abusi. Viceversa, tali risorse hanno la tendenza a restare limitate
finchè i manager percepiscono che solo gli addetti ai lavori siano in grado di
apprezzarle.
Con un respiro più ampio, ritengo che l’utente che vuole contribuire alla
riduzione dei volume di spam dovrebbe:
• favorire gli ISP che si sono dimostrati in grado di controllare l’emissione di
spam dalla loro propria rete, evitando invece coloro che si sono costruiti
una cattiva reputazione nel corso degli anni25 , o che hanno un numero
elevato di record SBL attivi;
• favorire gli ISP che hanno adottato una politica di rigetto SMTP al mittente dei messaggi classificati spam, piuttosto che i sistemi basati su “spam
folders”;
• favorire gli ISP che sono impegnati “in prima linea” nella lotta contro
lo spam, ad esempio supportando attivamente liste di blocco come SBL,
piuttosto che coloro che utilizzano soltanto metodi passivi di filtraggio;
• favorire gli ISP che sono in grado di gestire controversie e casi di blocco con
rapidità, e quindi coltivano in casa competenze di questo tipo, evitando
quelli che tendono a non interessarsi di queste tematiche.
Un ulteriore suggerimento per la stampa è quello di spostare l’enfasi attualmente data alla ricezione di spam e ai metodi di filtraggio verso le tematiche collegate all’emissione di spam: chi sono gli spammer e come riescono a
procurarsi le risorse di rete loro necessarie26 , oltre a quanto menzionato sopra
relativamente al controllo degli abusi da parte degli ISP.
Conclusioni
Il blocco delle sorgenti di spam a livello SMTP nel momento della consegna dei
messaggi è una metodologia semplice dal punto di vista tecnologico che permette, a differenza di altri sistemi che operano più a valle e attraverso l’interazione
diretta con i sistemi emittenti, di inviare del “feedback negativo” sotto forma
di messaggi respinti al mittente e ritardi. Se usata con giudizio e utilizzando
gli strumenti e i database appropriati, questa metodologia permette al tempo
stesso di scoraggiare gli spammer e aiutare in modo efficace a curare la rete
dalla “malattia spam”.
Il blocco di servizi usati da spammer e, in condizioni estreme, di servizi di
ISP che hanno scelto di trarre profitto dallo spam è pure una misura che si è dimostrata di grande efficacia in numerose circostanze, intervenendo direttamente
sul rapporto costi/benefici che rende lo spam economicamente conveniente. Tali
25
I newsgroups it.news.net-abuse e news.admin.net-abuse.email in ambito nazionale
e internazionale rispettivamente, ed i relativi archivi storici, costituiscono una buona risorsa
per acquisire informazioni sugli ISP in materia di controllo degli abusi.
26
La
nota
pubblicata
da
BBC
News
l’8
settembre
2004
alla
URL
http://news.bbc.co.uk/2/hi/technology/3634572.stm costituisce un eccellente esempio di
giornalismo utile alla causa antispam.
24
blocchi non possono essere applicati ciecamente. Nonostante l’esistenza di organizzazioni di volontari come Spamhaus che gestiscono liste di blocco con bassi
danni collaterali, l’applicazione di blocchi richiede comunque una costante attenzione, una disposizione al dialogo con tutte le parti coinvolte in disfunzioni,
e la possibilità di ripristinare i canali di comunicazione interrotti.
25