Spam in crescita
A conclusione del 2002, si deve rilevare che l'anno appena trascorso ha visto una recrudescenza
eclatante del fenomeno dello spam, sia in termini quantitativi che di aggressività. Innanzitutto,
i numeri che sono aumentati: ad oggi appare ragionevole stimare che, su un server di mail dedicato
a caselle di normali utenti consumer, la parcentuale di spam sull'intero traffico in arrivo non
sia lontana dal 30-35%, con punte che possono in certe giornate anche essere molto di più.
Questa crescita è stata certamente facilitata dalla tendenza di un certo numero di provider in tutto
il mondo a tollerare le attività spammatorie dei propri clienti, evitando di agire in maniera efficace
a fronte delle segnalazioni ricevute o addirittura ignorandole. A questo si è affiancato il fatto che,
nel corso del 2002, è stata evidente una grossa crescita nella diffusione dell'uso della rete in
numerose nazioni al di fuori di Europa e USA. Si tratta di paesi come Corea del Sud, Cina, Brasile
ecc.., in cui sono diventati disponibili in brevissimo tempo molti fornitori di accesso e servizi di
rete. Purtroppo però, la cultura dell'uso corretto della rete e la cultura della sicurezza informatica
impiegheranno molto più tempo per diventare disponibili ovunque. Il risultato è che ad oggi gli spammer
sia italiani che americani fanno un uso massiccio delle reti di quei paesi, sia per sfruttare gli
innumerevoli server insicuri che vi si continua a trovare (relay e proxy aperti), sia per acquistarvi
servizi veri e propri (es. hosting). Tra l'altro, in quei paesi non mancano spammer locali: questo è
stato anche l'anno in cui gli utenti italiani si sono visti arrivare quantità industriali di junk-email
illeggibili, per lo più in caratteri coreani. Pur con qualche eccezione, le esperienze con i relativi
abuse desk sono in genere risultate assai insoddisfacenti.
Il 2002 è anche stato l'anno che ha visto l'esplosione dei dialer, ossia quei piccoli programmi
che, prospettando la possibilità di scaricare per esempio loghi e suonerie per i cellulari, prendono
il controllo del modem dell'utente e lo connettono, spesso in maniera subdola, a linee telefoniche
ad alto costo.
Si può dire che la quasi totalità dello spam di origine italiana in circolazione negli ultimi mesi
fosse mirata proprio all'attivazione di dialer sui computer dei malcapitati utenti. Questo è stato
reso possibile dalla comparsa, sulle linee telefoniche italiane, delle numerazioni a tariffazione
speciale. A nostro avviso, questa modalità di vendita di servizi ha l'effetto di bypassare i normali
"circuiti di protezione" che il consumatore ha sviluppato, negli anni, al fine di sapersi orientare
al meglio nei propri acquisti. Inoltre, il mezzo si presta in maniera ottimale alla effettuazione
di truffe di vario genere, sia mediante artifici tecnici che psicologici, per esempio facendo leva
sulla curiosità o ingenuità dei ragazzi e, sovente, ingannando per bene anche gli adulti (vedansi i
numerosi casi di spam che annunciavano cartoline elettroniche o messaggi personali che in realtà non
esistevano, ma che erano da vedersi naturalmente mediante dialer).
A proposito delle numerazioni
telefoniche usate dai dialer, può interessare sapere che, rivolgendosi a Telecom Italia, è attualmente
possibile ottenere la disabilitazione permanente delle numerazioni con prefisso 166 e 899. Purtroppo
però il trucco c'è: alla data odierna non è possibile ottenere la disabilitazione dei 709 e 892.
Ovviamente, i dialer originariamente comparsi per numerazioni 899 si sono oramai tutti convertiti ai
709, quindi le disabilitazioni effettivamente possibili sono, in buona sostanza, ininfluenti (ci
permettiamo di pensare che, se l'operato dell'Authority delle Comunicazioni fosse all'altezza dei
faraonici emolumenti percepiti dai suoi componenti, questo genere di situazioni non si verificherebbe).
La lotta antispam oggi
Cominciamo con quanto accaduto riguardo alle leggi che ci possano tutelare dallo spam. Va senz'altro
ricordata l'importante decisione assunta in sede europea, ossia obbligare tutti i paesi membri ad
inserire nella propria legislazione il divieto all'invio di posta elettronica commerciale senza il
preventivo consenso del destinatario. Ora si deve attendere che la normativa venga recepita in tutti
i paesi e, soprattutto, si attende di vedere quanto verrà fatta rispettare. L'Italia ha subito iniziato
male, con la comparsa di un decreto del Ministero delle Attività Produttive che, nella sostanza, va
contro la nuova direttiva europea rispolverando l'idea (vecchia, inefficace e priva di senso), del
cosidetto listone di opt-out preventivo. Ci auguriamo che di questa insana trovata non si risenta più
parlare, e che la nuova direttiva europea venga rigorosamente applicata.
Il 2002 è anche stato l'anno in cui gli utenti, grazie alla pionieristica esperienza di Massimo
Cavazzini, hanno iniziato a rivolgersi all'Autorità Garante per la protezione dei dati personali,
sporgendo ricorso contro l'illecito trattamento dei dati che è sempre alla base dell'invio
di spam. Le prospettive di questo fronte di lotta sono certamente interessanti, anche se
le cose non appaiono del tutto facili. La giurisprudenza del Garante, per esempio, non è sempre del
tutto comprensibile e le sanzioni inflitte agli spammer non appaiono, in molti casi, di sufficiente
entità. Si tratta comunque di un percorso che sta ancora venendo esplorato e da cui potrebbero giungere
ulteriori notizie. Intanto è stato interessante vedere quale sia stata la reazione degli spammer, che
si sono trovati per la prima volta a dover rendere conto del loro operato di fronte alla legge.
Hanno per lo più reagito in tutt'altra maniera che recedendo dal loro comportamento al fine di
rientrare nella legalità. Quello che si è visto sono stati artifici come il rifiutare le raccomandate
con cui venivano spedite le istanze preliminari all'effettuazione dei ricorsi, o come il rendere
l'identità dei soggetti coinvolti il più possibile difficile a scoprirsi (es. con domini intestati a
persone inesistenti ad indirizzi inesistenti). In altre parole, anche lo spammer italiano segue i
tratti dello spammer tipico che si conoscono da anni: preferisce tenersi nell'ombra, anonimo (non
è un caso che molto spam italiano arrivi tramite proxy aperti brasiliani) e sempre pronto a usare
qualsiasi mezzo per portare avanti la propria attività ed evitare di risponderne.
Il 2002 è infine stato l'anno che ha visto consolidarsi il principale strumento finora inventato
per bloccare concretamente l'arrivo di spam nelle caselle degli utenti, ossia le blacklist. Sono
infatti nate e si sono affermate varie blacklist utili per i principali obiettivi necessari. Per
esempio esistono blacklist per tenere alla larga i proxy e i relay aperti, esistono finalmente anche
buone liste di ip assegnati in maniera dinamica e, soprattutto, esistono liste dedicate alle sorgenti
di spam e alle reti che accettano gli spammer come clienti. Grazie a tali liste (in particolare SBL
e Spews), la fornitura di servizi di rete agli spammer, tipicamente assai remunerativa, è oggi diventato
un genere di affare piuttosto rischioso, che può portare la rete spam-friendly a perdere i clienti
legittimi e a diventare, a tutti gli effetti, una sorta di fogna con cui nessuno intende più scambiare
traffico.
Data l'efficacia di queste blacklist nel proteggere le caselle degli utenti, non c'è
alcun dubbio sul fatto che vadano assolutamente usate e che oggi in particolare, dopo il panorama
preoccupante che abbiamo appena delineato, sia particolarmente stupido non usarle. Purtroppo, in questo
i provider italiani per utenza consumer sono tradizionalmente indietro. Qualcosa comunque si sta
muovendo: da qualche mese, uno dei maggiori provider italiani (Libero-Infostrada) ha iniziato ad
utilizzare SBL, anche se non conosciamo esattamente con quali modalità (se mediante il rifiuto in fase
di dialogo smtp, come andrebbe senz'altro consigliato, o mediante semplice marcatura dei messaggi).
Occorre a questo punto precisare che, certamente, SBL è una lista gestita con particolare attenzione e
competenza e che risulta essere decisamente a bassissimo rischio di rigetto di email legittime; inoltre
i suoi effetti riescono ad essere particolarmente incisivi per ottenere la cessazione dei servizi a
importanti spammer. Secondo noi, insomma, qualsiasi server di email collegato alla rete internet dovrebbe
fare uso di SBL. Tuttavia, per una protezione completa delle caselle di posta, il suo uso va combinato con
quello di blacklist di vari altri tipi. Su questo, ancora, salvo pregevoli eccezioni i provider
italiani non ci sentono. Concludiamo dunque esortando, ancora una volta, gli utenti a premere sui propri
provider perché queste possibilità oggi disponibili vengano utilizzate, e, quando possibile, a preferire
nelle proprie scelte quei provider che già lo fanno.
La vicenda di Joey McNicol, da tempo seguita con particolare attenzione da un gran numero di antispammer in tutto il mondo, è giunta positivamente a conclusione nella mattinata di oggi. McNicol era stato citato in tribunale da T3 Direct, azienda australiana di direct marketing nota per praticare lo spamming e, per questo, inclusa in importanti blacklist internazionali come SBL e SPEWS. Vedasi a questo proposito il link http://spews.org/html/S1488.html. T3 Direct aveva accusato McNicol di avere ottenuto il listing di T3 in SPEWS e, di conseguenza, reclamava un ingente risarcimento per danni e mancati introiti. L'accusa era manifestamente priva di fondamento anche perché, come molti sanno, SPEWS non accetta nomination. Purtuttavia, la vicenda costituiva un serio problema per McNicol, costretto a sostenere personalmente forti spese per la propria difesa (nella comunità antispam internazionale venivano anche raccolti fondi per aiutarlo) e, comunque, rischiava di costituire un pericoloso precedente in caso di verdetto sfavorevole. Il tribunale di Perth ha respinto le argomentazioni di T3 Direct come "speculative e basate su proposizioni (quelle dell'accusa) che si sa non essere vere", stabilendo che non c'era prova né per dimostrare che McNicol avesse contattato SPEWS né per dimostrare che, quand'anche ciò fosse avvenuto, sarebbe stato illegale. In attesa di avere maggiori dettagli, la notizia ha portato notevole soddisfazione e sollievo per gli antispammer di tutto il mondo, oltre che fornire ulteriore evidenza al fatto che le liste di blocco funzionano e sono, ad oggi, la principale e più efficace arma con cui combattere la piaga dello spam.
Il percorso è stato lungo e tormentato, costellato di delusioni che culminarono quando, nel novembre 2001, il Parlamento Europeo adottò un testo in cui si lasciava ad ogni stato membro la scelta se adottare l'opt-in o l'opt-out. Le speranze per gli utenti di posta elettronica si riaprirono quando, circa un mese dopo, il Consiglio Europeo rifiutò le conclusioni cui era giunto il Parlamento e propose un testo di compromesso, basato sull'opt-in con una eccezione (il caso in cui l'indirizzo di email fosse stato ottenuto direttamente dal suo titolare in occasione di un acquisto di prodotti o servizi da parte di quest'ultimo). A quel punto venne avviata una fase di trattative per far sì che Parlamento e Consiglio giungessero a concordare una soluzione accettata da entrambi. La trattativa ha avuto successo ed ha portato all'odierna approvazione di un testo che, per ciò che riguarda lo spam, è sostanzialmente uguale alla proposta del Consiglio. La soluzione adottata ha soddisfatto le istanze di chi (soprattutto associazioni dei provider e organizzazioni antispam) aveva richiesto la messa al bando dello spam a livello europeo. In primo luogo occorre citare EuroCauce, che ha molto lavorato in questi anni per giungere al risultato odierno. Anche se passeranno ancora molti mesi prima che questa decisione si traduca in leggi emanate dagli Stati membri (si parla di fine 2003), quanto appena accaduto è estremamente importante, specialmente se si considera la rapida crescita del fenomeno spam negli ultimi mesi, crescita che si è vista pure in Europa e che non apparirebbe semplice arginare senza il supporto della legge.
Per ulteriori informazioni si può fare riferimento all'apposita pagina sul sito di EuroCauce. Vedasi anche il comunicato emesso da Cauce a livello internazionale.
Purtroppo nulla del genere ancora sembra pensabile negli USA, dove i legislatori federali continuano a sfornare progetti di legge fortemente ostili ai diritti di utenti e consumatori. Tra le speranze c'è quindi pure che la scelta appena compiuta dall'Europa possa influenzare positivamente la situazione degli USA.
Non c'è pace per le blacklist di relay aperti. Dopo le sfortunate vicende di ORBS e di ORBS UK (chiuso, quest'ultimo, nel dicembre 2001), anche ORBZ ha cessato, si spera temporaneamente, le proprie attività. La cosa è particolarmente spiacevole, soprattutto perché ORBZ era una lista ben gestita, affidabile ed il cui utilizzo risultava assai valido per proteggere i mail server dallo spam. Il problema si è verificato quando i sistemi di ORBZ hanno eseguito un test sul mail server dell'amministrazione comunale di Battle Creek (Michigan). Il server in questione era un Lotus Domino la cui manutenzione risultava carente; in particolare, i sistemisti responsabili per il server non avevano applicato le necessarie correzioni (rese disponibili dal produttore già da molti mesi) per risolvere un noto malfunzionamento. Il malfunzionamento consiste in un crash del server quando questo non riesce a rispedire al mittente una email "bounced" (ulteriori informazioni qui e qui). Il test che ORBZ ha compiuto, assolutamente inoffensivo in normali circostanze, ha quindi provocato un crash del mail server. Ovviamente, il medesimo crash avrebbe potuto essere causato da chiunque, in qualsiasi parte del mondo, avesse spedito a quel server una mail che avesse causato un bounce non rispedibile (per es., con un envelope sender che puntasse a [127.0.0.1]) ed ha del grottesco il fatto che, anziché preoccuparsi di migliorare la gestione del proprio software in modo tale da evitare il ripetersi di problemi simili, l'amministrazione di Battle Creek abbia precipitosamente pensato di sporgere denuncia penale contro il gestore di ORBZ, il giovane Ian Gulliver (New York).
Di fronte al rischio di gravi conseguenze penali, Gulliver ha preferito chiudere ORBZ, rendendo noto che chiunque disponesse di copie del database di ORBZ era libero di farne qualsiasi uso. Fortunatamente, Gulliver ha trovato vasto appoggio da parte della comunità antispammer ed assistenza legale gratuita. L'incidente è stato rapidamente chiarito e l'amministrazione di Battle Creek ha ritirato la denuncia, riconoscendo che Gulliver stava agendo a fin di bene e rimarcando che, al momento dell'incidente, loro non potevano saperlo e ritenevano quindi di essere stati oggetto di un attacco vero e proprio. In un comunicato ufficiale del 22 marzo, il responsabile dell'amministrazione ha riconosciuto che esistevano grosse carenze nella gestione dei sistemi ed ha assicurato che verranno prese internamente tutte le dovute azioni correttive per risanare la situazione. Ha infine chiesto a Gulliver di riprendere il servizio che ORBZ stava fornendo. Sul sito di ORBZ è infine comparso un comunicato in cui si annuncia la possibilità che il sistema ritorni in funzione, tra qualche tempo, con qualche modifica al modo di funzionare.
Indice Indice Notizie
Ultimo aggiornamento: 31 dicembre 2002
Leonardo Collinelli