Alcuni link e risorse utili

Mailing list e Newsgroup

Mailing List
Newsgroup
Ricerche usenet su Google

Mailing List

SPAM-L (http://www.claws-and-paws.com/spam-l/)

Questa è la mailing list della lotta allo spam. Si tratta di una lista di discussione ad alto traffico (oltre 100 messaggi al giorno, sottoscrivibili comunque per categoria) cui aderiscono diverse centinaia di utenti, molti dei quali amministratori di sistema o comunque gente esperta. Qui è possibile postare copia delle segnalazioni inviate ai postmaster; è anche possibile postare lo spam che si è ricevuto, al fine di chiedere consigli su come risolverlo. La mailing list dispone di un proprio archivio storico su cui compiere ricerche. Come sempre in questi casi, occorre leggere bene la relativa FAQ prima di partecipare.

Liste della Registration Authority italiana (http://listserv.nic.it/RA/servizi/listserv/)

La Registration Authority italiana gestisce varie mailing list su diversi argomenti di interesse per gli addetti ai lavori della rete, e si deve a tale iniziativa l'esistenza di due mailing list in lingua italiana sul tema degli abusi di rete:

• ANTI-SPAM, dove si svolgono discussioni,
• ABUSE, dove si inviano segnalazioni di spam (in email e su usenet).

L'archivio dei messaggi che circolano su queste liste è consultabile via web, e risulta una preziosa risorsa di documentazione degli spam di origine italiana.

Società Internet: spam interest group (http://listserv.cnr.it/spam.html)

Questa lista è nata per iniziativa di alcune persone della Naming Authority italiana, raccogliendo soprattutto esperti del settore (sia di rete che di area giuridica) interessati a discutere possibili iniziative e azioni contro lo spam, con particolare riguardo alla situazione italiana. La partecipazione a questa lista non è aperta a tutti ma è ristretta (si accede su invito).

Newsgroup

news.admin.net-abuse.* (http://www.killfile.org/~tskirvin/nana/)

Si tratta di 6 newsgroup pensati per coprire tutte le fasi della lotta agli abusi di rete. Originariamente creati ad uso degli amministratori di sistema, sono una risorsa preziosa su cui trovare informazioni e consigli.

La presenza di 6 gruppi rende sicuramente le cose meno semplici, in quanto occorre capire bene il modo corretto di usarli; pertanto ora vediamo brevemente a cosa serva ciascuno di essi. Il consiglio fondamentale, valido sempre su Usenet e, a maggior ragione, anche questa volta, è di leggere attentamente il charter e di seguire il gruppo per un tempo sufficiente prima di cominciare a postare; comunque, quando decideste di manifestarvi, non dubitate che verrete accolti benissimo (certo, basta che non andiate a dire che è sufficiente premere DELETE...).

news.admin.net-abuse.sightings (moderato)

Sighting significa "avvistamento". Qui è pertinente postare lo spam che si sia ricevuto. Va bene tanto lo spam avvistato su usenet quanto quello ricevuto privatamente in e-mail. Ciò che non va bene sono le discussioni. Qui non è ammesso threading: ogni articolo deve essere a sè stante e contenere un singolo caso di spam. All'inizio del subject va applicato un tag ([usenet] oppure [email]), seguito da qualcosa che renda riconoscibile a colpo d'occhio di che spam si tratta. Raccomanderei di seguire la prassi adottata dai più: mettere semplicemente il subject dello spam in modo che il titolo del messaggio sia nella forma:
[email] Titolo della mail di spam
oppure:
[usenet] Titolo del messaggio usenet di spam
Il follow-up deve essere impostato di conseguenza al tipo di spam: su news.admin.net-abuse.email ovvero su news.admin.net-abuse.usenet. Ossia: se un sighting deve essere discusso, la discussione si deve svolgere sull'area appropriata. Lo scopo di questo newsgroup è di consentire, a chi ricevesse o trovasse spam, di verificare se altri già lo avessero avvistato e come lo avessero gestito, nonché di creare una base di documentazione sugli spam che sono stati inviati. Sarebbe della massima utilità che gli articoli postati qui contenessero, oltre allo spam, altre informazioni come l'elenco degli indirizzi a cui sia stato inviato il reclamo (spiegando il perché per ciascuno di essi) e, quando lo si ritenesse opportuno per far capire meglio l'analisi, anche l'output delle query dns/whois o altra evidenza utile. Molto utili sono anche, quando nello spam risultano coinvolti indirizzi ip già censiti nelle più importanti liste di blocco, i relativi riferimenti con cui le blacklist li hanno catalogati. Comunque, se non si ha modo di fare diversamente è ugualmente utile anche postare lo spam così com'è, senza spiegazioni o aggiunte ulteriori. È anche opportuno evitare il doppione di un avvistamento già postato, a meno che il vostro non contenga qualche elemento nuovo (es. essere stato inviato da una differente rete) o una analisi più dettagliata. La contribuzione di molti utenti a questo newsgroup rende disponibile una notevole massa di dati, continuamente aggiornata e facilmente accessibile, grazie al fatto che Google archivia tutto. Ne risulta una banca dati veramente preziosa per la lotta allo spam. Grazie all'evidenza ed ai riscontri multipli che si accumulano in questo newsgroup, la connivenza di certi provider con gli spammer può essere dimostrata. È quindi assai probabile che vari mantenitori di liste di blocco consultino questo newsgroup con particolare attenzione.

news.admin.net-abuse.email

Si tratta di un gruppo non moderato su cui è appropriata qualsiasi discussione relativa ad abusi di e-mail. Su questo gruppo è facile trovare notizie assai aggiornate sulle attività degli spammer più conosciuti e, cosa non meno utile, sul comportamento dei principali provider (quali sono solleciti nell'intervenire e quali sono spam-friendly), su evoluzioni legislative e quant'altro abbia attinenza. In questo gruppo non si deve postare lo spam che si fosse ricevuto. Nei casi tecnicamente più difficili è appropriato postare gli header per chiedere consiglio su come interpretarli; riceverebbe invece flame chi si mettesse a postare header ripetutamente per farseli risolvere: i frequentatori abituali sono disponibili ad aiutare chi si aiuta da sè, quindi considerate questo gruppo come una risorsa di cui ci si può avvalere ma che non può risparmiarvi di imparare voi stessi a gestire gli spam che ricevete. Probabilmente è questo il gruppo più utile da tenere d'occhio. Attorno a n.a.na.e si è costituita una compatta comunità di antispammer, tra cui un certo numero di postatori abituali, molti occasionali e (se ne può essere certi) un notevole numero di attentissimi lurker.

news.admin.net-abuse.blocklisting (charter anche su http://nanab.org/charter/)

Si tratta di un gruppo moderato, nato nel giugno 2003 come emanazione di news.admin.net-abuse.email, al fine di separare dalle altre discussioni di abusi in email tutto ciò che concerne le liste di blocco (dall'uso, all'amministrazione, agli effetti e così via). Il gruppo, qualificato dalla presenza di molti frequentatori abituali di n.a.na.e, sta a dimostrare la grande importanza ormai assunta dalle liste di blocco nella gestione dei sistemi di posta elettronica.

news.admin.net-abuse.usenet

Analogo a news.admin.net-abuse.email ma dedicato alla discussione su spam nei newsgroup. Su questo gruppo vengono postati dei resoconti statistici relativi allo spam su usenet.

news.admin.net-abuse.misc

Gruppo destinato a discussioni su abusi di rete che non rientrino in alcuno degli altri. Per esempio gli attacchi di tipo denial of service o altro.

news.admin.net-abuse.policy (moderato)

Qui si parla dei vari aspetti della gestione dei siti dal punto di vista dei regolamenti anti abuso, quindi discutendo sulle Acceptable User Policy e su cosa le AUP dovrebbero prevedere. Appropriato anche discutere quali siti stiano avendo problemi nel prevenire gli abusi e se sia il caso di prendere provvedimenti nei loro confronti.

news.admin.net-abuse.bulletins (moderato)

Su questo gruppo postano essenzialmente i gestori di rete per rendere noti i provvedimenti da loro presi contro gli abusi. Per esempio, vari provider postano report settimanali in cui dicono quanti account hanno chiuso in seguito all'invio di spam.

it.news.net-abuse

E' l'unico newsgroup italiano riguardante gli abusi di rete, tuttavia leggendo il charter si troverà che l'argomento di questo ng è circoscritto allo spam originato da spammer italiani. In particolare questo gruppo ha una funzione istituzionale relativa ai gruppi Usenet della gerarchia it (vengono annunciate su it.news.net-abuse le cancellazioni dei messaggi make money fast operate sui gruppi it). Non è quindi appropriato discutere qui di junk e-mail proveniente dall'estero (ossia, il fenomeno che ha tuttora maggiore impatto anche sugli utenti italiani) o di spam sui gruppi internazionali, né è ritenuto utile occuparsi di spammer internazionali sui gruppi della gerarchia it. Il motivo principale di queste limitazioni è che si vuole evitare di sovrapporre questo gruppo a quelli internazionali, cosa che provocherebbe una inutile o dannosa suddivisione dell'area di discussione.

E' interessante osservare che in Germania (paese dove, a quanto mi sembra di cogliere, c'è una buona sensibilità al problema degli abusi di rete) esistono questi newsgroup:

• de.admin.net-abuse.announce (moderato)
• de.admin.net-abuse.mail
• de.admin.net-abuse.misc
• de.admin.net-abuse.news

Personalmente, riconosco che esistano buoni motivi per tenere separata l'area Usenet da quella e-mail: i fenomeni sono tecnicamente diversi, ed è pure vero che molti spammer tendono a operare o solo su Usenet o solo su e-mail. C'è però anche da dire che il pubblico è nei due casi lo stesso o quasi e, almeno per ora, non sembra essere in Italia così numeroso da suggerirne un frazionamento. Soprattutto, però, i provider che devono intervenire sono gli stessi in entrambi i casi. Sarebbe sicuramente interesse generale che si costituisse un gruppo di sorveglianza e pressione sui provider italiani il più vasto possibile. Del resto, si può osservare che a livello americano questo già succede: molti provider USA leggono n.a.na.e. e non hanno affatto piacere di essere citati in negativo; anzi, talvolta postano dei messaggi essi stessi per giustificarsi quando avessero provocato problemi.

Google (funzioni di ricerca su usenet) (http://groups.google.com/advanced_group_search)

Uno strumento a cui la rete non sarà mai grata abbastanza fu DejaNews, che per molti anni mise a disposizione di tutti un archivio potentemente indicizzato su cui si potevano ricercare tutti gli articoli postati sui newsgroup testuali. DejaNews cessò i propri servizi nel febbraio 2001. Fortunatamente, l'archivio che Deja aveva costituito (contenente oltre 5 anni di post dei newsgroup testuali) non andò perso come si ebbe a temere, ma fu acquisito dal motore di ricerca Google. Google allestì una funzione di ricerca e, dopo breve tempo, mise in linea l'intero archivio, consultabile gratuitamente. Diamo quindi, nel seguito di questo paragrafo, alcuni cenni sugli aspetti di metodologia nell'uso dell'archivio usenet durante le investigazioni antispam.

Probabilmente molti concorderanno sul fatto che Usenet sia la più potente fonte di informazione oggi fruibile dagli utenti di rete. Google fornisce a Usenet un valore aggiunto inestimabile: archiviare tutta questa enorme quantità di informazioni che ogni giorno viene prodotta dagli utenti di tutto il mondo ed indicizzarla in modo da rendere possibili potenti ricerche. E' importante considerare che il feed di messaggi elaborati da Google è ottimo: è assai raro che qualche articolo sfugga. Inoltre, viene filtrato lo spam.
In linea di massima, qualunque necessità si abbia, in qualunque campo, vale la pena di cercare la soluzione tramite query sull'archivio usenet di Google. Anche per la lotta allo spam la ricerca sull'archivio dei post risulta importantissima. Non intendo trattare dettagliatamente l'argomento: è oggetto di uno dei casi pratici di Bill Mattocks (scritto al tempo in cui si adoperava DejaNews) e non resta nulla da aggiungere. Mi limito a dire come abitualmente procedo io, in poche righe.

• Eseguo una prima analisi del messaggio e degli header, in cui determino la provenienza del messaggio e, di conseguenza, a chi debbano essere inviate le segnalazioni. Ciò riguarda il nodo a cui il messaggio è stato effettivamente originato e la rete che ospita l'eventuale sito web pubblicizzato nello spam.
• Apro la pagina di ricerca avanzata di Google ed indico, nel campo Newsgroup del form di ricerca:
  news.admin.net-abuse.* (mi interessa cercare in email e in sightings)
  Nel campo Subject indico qualche parola presa dal subject dello spam (per mettere in AND le parole da cercare basta elencarle separate da spazio).
  Lo scopo è cercare innanzitutto se lo stesso messaggio che si è ricevuto sia già stato analizzato da altri. Se sì, è possibile trovare conferma della propria analisi. Se non risulta segnalato uno spam identico al proprio, si possono comunque cercare tracce del medesimo spammer (per esempio mediante ricerca sul numero di telefono che lo spammer fornisce per contattarlo, o altri dati che è probabile non cambino nel tempo).
• Se le reti coinvolte sono organizzazioni importanti a me già note, non sto a compiere particolari indagini sul loro conto. Se si tratta di reti o provider sconosciuti, oltre a visitarne il sito cerco se di loro si è già detto qualcosa su n.a.na.e. A questo scopo uso come campo di ricerca prima il Subject, poi addirittura cerco il loro nome entro il testo degli articoli (Google indicizza l'intero testo). Se si vedono articoli titolati, per esempio, "White hat for ABCD.NET" vuol dire che le cose si stanno mettendo bene: la rete in questione ha già avuto occasione di mostrarsi pronta nel fermare gli spammer. Opposto il caso in cui si veda "ABCD.NET rogue?". In quest'ultimo caso la faccenda è più complessa, ed occorre cercare di saperne di più per capire se è il caso di reclamare a loro o direttamente al loro up-stream provider.

Indice    << Precedente    Successiva >>

Ultimo aggiornamento: 08 settembre 2004