Intervista a Furio Ercolessi, uno dei maggiori esperti di spam (Parte II)

Pagina 2 di 2

Il sistema proposto da Yahoo mi sembra un po' complessoed oneroso per un'adozione generalizzata da parte ditutta la rete, anche se è sicuramente uno schemavalido soprattutto per lo scambio di posta tra grossi ISPconsumer. Personalmente la mia simpatia va a SPF, chepuo' essere adottato immediatamente - anche se gli ultimidettagli sono ancora in via di definizione - e con pocafatica più o meno da chiunque lo desideri.

PI: Su mail-abuse.org il primo dicembre un server mail diVirgilio-TIN è finito nella black list antispam. Nonè la prima volta che succede ad un provider italianodi essere considerato un tramite per lo spam. Cosa dovrebbefare un provider italiano per evitare di finire in unaRBL?
FE: Quando un ISP - italiano o non - ha dei mailserver diproduzione che sono stati inseriti in una blocking listimportante, quasi certamente ci sono stati dei tentativi dicontatto da parte della blocking list che non hanno avutosuccesso. Questi tentativi sono di norma effettuati mediantemessaggi inviati all'indirizzo abuse del dominio e agliindirizzi di contatto che appaiono nei database WHOIS.

Il ragionamento della blocking list è,all'incirca: "Se questo ISP non sta rispondendopiù nemmeno a me, vuol dire che è arrivato adun punto in cui non ha più risorse per il monitoraggiodelle mailbox, e quindi il suo problema di spam incontenibilepresenta delle patologie gravi che possiamo ora curare soloattraverso una "terapia d'urto" , ossialistandolo finchè non si fa vivo e ci presenta unprogramma ragionevole che gli consenta di uscire dalla crisiin cui si trova nell'arco di qualche mese".

Situazioni del genere sono generalmente il risultato diorganici troppo limitati, oppure outsourcing del servizio diabuse verso entità esterne non equipaggiate perintervenire in modo efficiente, come se si trattasse di unhelp-desk anzichè di una componente centraledell'infrastruttura.

PI: Ne hai fatto un accenno poco fa... Dire che esiste unrapporto tra sviluppo della banda larga e aumento dello spamè una eresia?
FE: Oggigiorno, grazie alla diffusione di sistemi operativiinsicuri e agli spammer, qualunque macchina dietro a uncollegamento broadband puo' diventare in qualsiasimomento un fortissimo emettitore di spam.
L'esperienza dei provider broadband più attivinel controllo degli abusi provenienti da utenze consumer cidice che le misure tecniche più efficaci sono:
- intercettazione di tutto il traffico uscente diretto versola porta SMTP (25) di qualunque IP su Internet, che vienerediretto verso propri mailserver centrali (adeguatamentedimensionati!);
- indicazione dell'utenza coinvolta mediante una nuovalinea che i mailserver centrali inseriscono nelleintestazioni (in cui il nome dell'utenza potrebbe essereencrittato), per un facile trattamento automatico dieventuali successive segnalazioni;
- istituzione di limiti sul numero di messaggi all'oraper ogni utenza che possono essere distribuiti versol'esterno dai mailserver centrali (da notare che il tassodi accettazione puo' essere assai più elevato diquello di distribuzione, dal momento che messaggi accettatipossono andare subito in coda e uscire un po' allavolta);
- disconnessione immediata dei sistemi diventati emettitoridi spam (questi potrebbero essere confinati ad una"intranet" da dove possono accedere solamente atool per la disinfezione e eventualmente al sito Microsoftper gli upgrade);
- eliminazione delle mail uscenti presenti ancora in coda(anche grazie ai limitatori descritti) immesse da utenze cherisultano oggetto di un flusso di segnalazioni.

PI: Sono misure alla portata di tutti iprovider...
FE: Questo programma puo' comportare delle problematichedi implementazione, ma dovrebbe essere in principio fattibileper tutti gli ISP consumer, in cui le utenze sono altamentestandardizzate, e la sua attuazione fa quasi scomparire ilproblema senza grossi svantaggi pratici per l'utentedomestico medio. Il più grosso provider del mondo, America Online,è un esempio vivente di come con misure del genere sipossa virtualmente eliminare lo spam pur avendo una base dinumerose decine di milioni di utenti.

PI: Ci sono liste di blocco antispam, come quella diSpews.org, che sono criticate da più partiperchè molto severe. Più volte anche su PI sonoapparse lamentele di utenti non spammatori, e persino gestoridi siti aziendali, che portano lavoro, contro i metodidrastici di operatori come Spews. Succede in particolare seSpews lista un provider di servizi che ha un clientespammatore. Ha senso colpire gli spammer colpendo,contestualmente, anche molti o moltissimi che nulla hanno ache vedere con lo spam?
FE: Ci sono molti - troppi - fornitori che traggono direttoprofitto dall'industria dello spam fornendoconnettività o altri servizi a spammer, e continuandoa farlo nonostante migliaia di segnalazioni da utenti dellarete. In alcuni casi si assiste addirittura a finte"terminazioni" , in cui lo spammer viene solospostato di indirizzi IP all'interno della stessa rete:operazioni in cui il provider è certamente in malafedee vuole continuare a mantenere sia i clienti spammatori chequelli non. Ci sono persino casi in cui i clientinon-spammatori esistono solamente, in quantitàlimitata, per costituire uno "scudo umano" con cuiproteggersi nei confronti dei blacklisting.

La maggior parte delle "escalation orizzontali" diSpews costituiscono una sorta di boicottaggio nei confrontidi queste entità. A differenza di altre blocking listcome SBL che cercano di minimizzare gli inconvenienti,l'intento di Spews è quello di forzare gli ISP conspammer a operare una scelta - o sei bianco o sei nero -perchè nel momento in cui scelgono (in qualsiasi deidue modi) cessano di essere un problema per il resto dellarete. Ovviamente se uno sceglie di essere "nero"molti altri semplicemente cesseranno totalmente lo scambio ditraffico con le sue reti senza che nessuno protesti.

PI: Sì ma qui c'è anche chi parla diSpews come una sorta di guastatore...
FE: Naturalmente i clienti coinvolti non hanno di solitoidea di che cosa sta accadendo e di quanto è accadutonei mesi precedenti al listing, di documentarsi esaminando ilfile di evidenza o gli archivi di Usenet non se ne parlaneanche, e quindi scatta il noto lamento verso Spews e iproviders che la usano.

Sta alla sensibilità di ciascun utilizzatore di Spewsla scelta tra appoggiare un certo boicottaggio effettuato daparte di Spews, oppure neutralizzarlo con un whitelisting.Entrambe le soluzioni hanno dei pro e dei contro, soprattuttose il problema viene esaminato proiettandolo anche nel futuroanzichè considerando solo l'immediato.
La mia tendenza è sempre stata quella di fornireinformazione obiettiva sul caso alle due parti affette dalblocco di corrispondenza, provvedendo a rimuovere il bloccoma in modo mirato, ossia solo per l'indirizzo email dichi ci ha scritto.

PI: Ti ricordi la proposta di Lawrence Lessig, secondocui mettere una sorta di taglia sugli spammer di alto livello avrebbespinto l'antispam a inseguire con più forza questicriminali? Pensi che una taglia del genere sia un incentivoutile e che possa davvero sguinzagliare smanettoni ed esperticontro gli spammer?
FE: Sono scettico. A mio avviso la battaglia contro lo spamrichiede soprattutto professionalità e la presenza dirisorse di rete condivise, funzionanti e ben gestite.Spamhaus, SPEWS, DSBL, NJABL, SORBS, SpamCop e via dicendosono tutti progetti utili, talvolta essenziali perl'identificazione e la catalogazione di spammer, e traloro complementari. Ma in molti casi - sempre di più -non c'è assolutamente nulla che un comunecittadino possa fare una volta arrivato a certi indirizzi IPo email o stradali o numeri telefonici, ed è compitodi chi deve far rispettare la legge quello di procedereusando gli strumenti addizionali che ha a disposizione, earrestare i criminali.

Ritengo quindi che la strada giusta sia dotarsi di buoneleggi (e ora in Europa le abbiamo), proteggere tutti iprogetti antispam da azioni che possano metterli fuori gioco,e mettere le forze di polizia nelle condizioni migliori peroperare. L'ultimo passo - identificazione e arresto -spetta a loro, non al cittadino, e date le connessioni semprepiù strette tra criminalità comune edelettronica è senz'altro più opportuno chesia così per la sicurezza del cittadino.

PI: Bill Gates, che in più occasioni ha parlatodel problema spam nell'ultimo anno, ritiene che a brevel'industria di settore riuscirà a lasciarsi allespalle lo spam. Credi in una soluzione tecnica definitiva alproblema?
FE: Quello che gran parte degli utenti di Internetpercepisce essere il "problema spam" probabilmentenon coincide con la percezione che ne ha il sig. Gates, chesembra soddisfatto della incredibile legge appena varatanegli USA, e che probabilmente ritiene che la soluzione"industriale" consista in filtri softwarepersonalizzabili incorporati nei client di posta - filtri chechi non sarà in grado di ritoccare ogni giornofarà mantenere al suo consulente di fiducia.

Chi è a contatto con la realtà degli eventiquotidiani sa che la soluzione nel lungo termine passanecessariamente attraverso il blocco dei messaggi, e chel'attuale situazione degradata in cui vi sono milioni disistemi emittenti è il risultato diretto e prevedibiledi scelte operate in passato dall'azienda guidata da BillGates. A Microsoft è stata sempre criticatal'adozione di un modello di sicurezza assai debole neiloro sistemi operativi; la scarsissima attenzione prestataalla sicurezza degli applicativi; la gestione"allegra" degli allegati da parte di browser eclient email che costituisce la strada maestra attraverso cuiogni sorta di malware trova facile accesso all'internodei sistemi Windows. Il mondo intero sta ora pagando di tascapropria le leggerezze compiute da Microsoft sacrificando lasicurezza sull'altare dei "bells &whistles".

PI: Però Microsoft sta annunciando diversenovità sul fronte dell'antispam, anchecollaborando negli USA con le forzedell'ordine...
FE: Se la Microsoft volesse acquistare unacredibilità sul fronte antispam, dovrebbe innanzituttoiniziare a risolvere i gravi problemi che essa stessa hacreato, e al di sopra di tutti quello del numero elevatissimodi sistemi Windows vulnerabili situati soprattutto in Asia enon aggiornabili in quanto copie piratate prive di licenza.La mia controproposta per Bill Gates è: una prossima"totale riscrittura" di Windows davvero sicura,validata da un pannello di saggi esterni a Microsoft. Equando questo nuovo sistema diventerà disponibile, leedizioni precedenti potrebbero diventare open source e veniredistribuite gratuitamente dopo essere state"blindate". In questo modo, chissà, forse sisalverebbe Internet dal tracollo a cui la sta portandovandalismo e malavita organizzata.

(*) Fisico teorico nell'area delle simulazioni alcomputer di materiali, nel 1995 Furio Ercolessi ha affiancatoalla sua attività di ricerca quella di Internetprovider, fondando Spin assieme ad altri colleghi della SISSA diTrieste. Negli ultimi anni si è occupatoprevalentemente dei sistemi di posta, allestendo la farm dimailservers a Spin e dedicando particolare attenzione alproblema di virus e spam. Ha collaborato con diversi progettiantispam internazionali. È ora rientratonell'ambito accademico, ed è professore associatoall'università di Udine dove sta avviando unalinea di ricerca su problematiche di email e sicurezza.

Intervista a cura di Paolo De Andreis



Ti potrebbe interessare anche

commenta la notizia