Qualche necessario strumento software

Da avere sul proprio computer



Dopo aver visto la sostanza delle informazioni che servono, passiamo a vedere cosa è opportuno avere sul proprio computer per ricavarle velocemente.

Come equipaggiarsi

È indispensabile che, dal vostro computer, siate in grado di interrogare velocemente il DNS, i vari database del whois (ARIN, InterNic, RIPE ecc..), fare traceroute e quant'altro. Esistono varie utility che consentono di fare tutto questo in maniera assai facile e comoda, si tratta di cercare quelle con cui vi trovate meglio tra ciò che è disponibile per il sistema operativo da voi utilizzato.

Per quanto mi riguarda, posso parlare solo della piattaforma Windows, su cui opero. Qui va senz'altro segnalato e raccomandato Sam Spade, un prodotto veramente prezioso che da solo può soddisfare innumerevoli necessità.

Per chi, avendo un differente sistema operativo, non potesse installare Sam Spade, oppure non lo potesse usare perché connesso a Internet tramite un firewall che non consente un completo accesso alla rete esterna, resta comunque la possibilità di usare varie pagine web che forniscono molte funzionalità quali quelle descritte alla pagina precedente. Una pagina da cui eseguire query dns e su alcuni whois e blacklist potete trovarla pure qui, su questo stesso sito; si tratta delle funzionalità più essenziali presentate in maniera il più possibile semplice. La raccolta più completa e professionale di strumenti online si trova, comunque, sul sito di Sam Spade alla url http://www.samspade.org/. Lì trovate, oltre a tutti i whois, al traceroute e a ogni tipo di query dns (compresi i lookup sulle principali black list), anche altre funzionalità che nel tempo si impara ad apprezzare. Per esempio un browser web che vi consente di esplorare quei siti poco amichevoli, senza accederli direttamente dal vostro computer e senza dover scaricare la grafica: indicando la url che interessa, la pagina richiesta viene visualizzata in formato sorgente, evidenziando eventuali link in essa contenuti (quello che interessa quando ci si occupa di un sito di spammer). Un'altra funzione comodissima fornita sulla medesima pagina è il decifratore delle url cammuffate.

Sam Spade per Windows (http://www.samspade.org/ssw/)

Quasto prodotto è gratuito, al momento in versione dichiarata come beta ma discretamente stabile. Purtroppo il prodotto è fermo da tempo alla versione 1.14, che oggi necessiterebbe di qualche ammodernamento ma che, nonostante questo, riesce ad essere ugualmente molto utile. L'autore, Steve Atkins, è da molto tempo attivo nel mondo della lotta allo spam. La forza di questo prodotto sta nella interfaccia veramente geniale. Quando si attiva il prodotto si ha innanzitutto a disposizione, subito sotto la barra di menu, un campo di input in cui è possibile digitare un nome di risorsa o indirizzo su cui effettuare comandi. I comandi vengono lanciati agendo su bottoni di toolbar. Per esempio, digitando nel campo di input un indirizzo IP se ne può cercare il netblock, oppure digitando un nome se ne può cercare il corrispondente indirizzo o il whois di dominio; sia su nomi che indirizzi si può effettuare il traceroute. I comandi vengono eseguiti entro singole finestre che si aprono di volta in volta. Le finestre, una volta letta la risposta possono essere direttamente chiuse oppure, se si è ottenuto un risultato da conservare, possono essere chiuse tramite un apposito bottone di toolbar "Save and Close Window", che chiude dopo avere accodato il relativo contenuto a quanto sia già presente nella finestra di log; quest'ultima, se non ancora presente sullo schermo, viene aperta. Si può così preparare un log il cui contenuto riassuma tutte le risultanze importanti dell'indagine in corso, e salvarlo su file di testo. Tale file può essere archiviato per documentare il caso e per consentire ragionamenti anche quando non si sia più on-line. Con una apposita opzione si può fare in modo che il log sia accodato ad un file da conservarsi indefinitamente.

Da tutte le finestre (che sono di sola lettura) è possibile selezionare col mouse qualsiasi parte per copiarla in clipboard. Clickando su nomi ed indirizzi IP si ottiene di portarli direttamente nel campo di input senza doverli digitare. Clickando sugli identificativi tra parentesi forniti nell'output dell'ARIN si ottiene di eseguire direttamente una nuova query sull'ARIN stesso, aggiungendo davanti il "!" per avere i dettagli.

Non ci si deve più preoccupare del fatto che per certi indirizzi occorre cercare su ARIN, per altri RIPE e così via: pensa a tutto lui, ridirigendo i comandi dove appropriato; altrettanto dicasi per i nomi di dominio. E' comunque possibile intervenire manualmente quando necessario. Si consiglia in particolare, per evitare risultati che possono a volte trarre in inganno, di non usare il bottone 'IPBlock' quando l'indirizzo indicato risulta essere allocato al RIPE: meglio selezionare whois.ripe.net come whois server (la combo-box in cui di solito appare 'Magic') e azionare il bottone 'Whois'. Un altro consiglio, da seguire solo se siete abituati ad adoperare un editor esadecimale, è di intervenire sul programma (il file '.exe') per aggiornare il nome del server whois da interrogare per i domini '.it' (attualmente whois.nic.it).

Una menzione speciale va al traceroute, molto veloce e completo della verifica dei reverse dns. Ci si può facilmente rendere conto della quantità di tempo che, grazie a questo prodotto, è possibile risparmiare, pensando che con un semplice click si può per esempio interrogare il database della Abuse.Net per vedere quale indirizzo di e-mail risulta definito per l'inoltro della segnalazione.

Purtroppo la funzionalità (che potrebbe essere utilissima) per cercare se un dato indirizzo ip risulta presente sulle blacklist, è del tutto inutilizzabile in quanto, per via del mancato aggiornamento del programma nel tempo, continua a interrogare le sole blacklist di MAPS, ora non più accessibili pubblicamente. Il bottone RBL, pertanto, fornisce un output da cui, per qualunque indirizzo, risulta sempre che non è listato, anche quando ciò non è vero. Per controlli sulle blacklist occorre, pertanto, fare in altro modo.

Quando si inizia ad esaminare un nuovo messaggio di spam, è possibile partire con lo "smart paste": aprite il messaggio nel vostro mail client e copiate gli header in clipboard. Passate su Sam Spade e premete il bottone di toolbar "Paste". Vedrete arrivare nella finestra le righe degli header accompagnati da verifiche e commenti effettuati automaticamente dal programma. Ovviamente bisogna essere on-line, ma questa semplice operazione può già segnalare incongruenze negli header. Dopo, si procede a clickare dove opportuno per eseguire query mirate.

Viene fornita anche una funzione di SMTP Relay Check, da usare con cautela. Molte altre funzioni sono spesso poco usate (come gli zone transfer) ma potrebbero, talvolta, servire. Si possono pure scandire siti web alla ricerca di specifici elementi di interesse.

Non tralasciate di dedicare tempo e attenzione al file di help: contiene parecchio materiale assai utile da studiare, come i grandiosi esempi di spam-tracking scritti da Bill Mattocks. Inoltre, vorrei segnalare che in questo prodotto vale la pena di tenere attivo il Tip of the Day, che consente di imparare un mucchio di piccole curiosità del mondo dell'antispam, come il significato di acronimi, la verità su varie leggende e molto altro.

Altri prodotti

Per quanto mi riguarda, da quando utilizzo Sam Spade non sento la necessità di altro. Esistono comunque vari prodotti che forniscono raccolte di Internet utility, anche se in genere non sono pensati specificamente per la lotta allo spam e non giungono al livello di integrazione che si trova in Spade. Sconsiglio assolutamente di usare prodotti che preparino automaticamente i reclami da inviare ai postmaster: avere anche individuato la esatta provenienza dello spam non significa avere individuato il destinatario più opportuno per la segnalazione, né il contenuto migliore per il messaggio. Comunque, tali prodotti prendono spesso delle cantonate colossali e, quando un postmaster riconosce che si tratta di un reclamo preparato in automatico da tali strumenti, tende a considerarlo poco attendibile. Probabilmente non è sbagliato dire che il secondo strumento da utilizzare è il proprio browser, con cui cercare di rendersi conto che tipo di gente ci sia dietro i vari indirizzi e nomi di dominio che si individuano a partire dagli header del messaggio e dagli eventuali siti pubblicizzati nel testo.

Suscita spesso molto interesse un prodotto (Bounce Spam Mail) che genera una risposta allo spammer del tutto simile a quella che i mail server inviano al mittente di una e-mail quando occorre segnalare che il destinatario richiesto non è conosciuto. Lo scopo è di indurre lo spammer a credere che l'indirizzo in questione non sia valido e, di conseguenza, a toglierlo dai propri elenchi. Può darsi che in qualche caso questo abbia effetto, tuttavia solo una piccola percentuale dei messaggi di spam ha un return path valido: in tutti gli altri casi, il messaggio civetta non può arrivare a nessuno (o, peggio, a seconda di cosa lo spammer ha messo nel return path, potrebbe arrivare a qualcuno che non c'entra nulla). Inoltre, si può molto dubitare che qualche spammer abbia la pazienza di prendere nota di questi messaggi di ritorno al fine di tenere puliti gli elenchi.


Indice    << Precedente    Successiva >>

Ultimo aggiornamento: 01 settembre 2002

Leonardo Collinelli

e-mail