Dal mondo dello spam

Testo delle notizie

dall'1/3/2002 al 31/12/2002



021231 - Il punto della situazione a fine 2002.

Spam in crescita
A conclusione del 2002, si deve rilevare che l'anno appena trascorso ha visto una recrudescenza eclatante del fenomeno dello spam, sia in termini quantitativi che di aggressività. Innanzitutto, i numeri che sono aumentati: ad oggi appare ragionevole stimare che, su un server di mail dedicato a caselle di normali utenti consumer, la parcentuale di spam sull'intero traffico in arrivo non sia lontana dal 30-35%, con punte che possono in certe giornate anche essere molto di più.
Questa crescita è stata certamente facilitata dalla tendenza di un certo numero di provider in tutto il mondo a tollerare le attività spammatorie dei propri clienti, evitando di agire in maniera efficace a fronte delle segnalazioni ricevute o addirittura ignorandole. A questo si è affiancato il fatto che, nel corso del 2002, è stata evidente una grossa crescita nella diffusione dell'uso della rete in numerose nazioni al di fuori di Europa e USA. Si tratta di paesi come Corea del Sud, Cina, Brasile ecc.., in cui sono diventati disponibili in brevissimo tempo molti fornitori di accesso e servizi di rete. Purtroppo però, la cultura dell'uso corretto della rete e la cultura della sicurezza informatica impiegheranno molto più tempo per diventare disponibili ovunque. Il risultato è che ad oggi gli spammer sia italiani che americani fanno un uso massiccio delle reti di quei paesi, sia per sfruttare gli innumerevoli server insicuri che vi si continua a trovare (relay e proxy aperti), sia per acquistarvi servizi veri e propri (es. hosting). Tra l'altro, in quei paesi non mancano spammer locali: questo è stato anche l'anno in cui gli utenti italiani si sono visti arrivare quantità industriali di junk-email illeggibili, per lo più in caratteri coreani. Pur con qualche eccezione, le esperienze con i relativi abuse desk sono in genere risultate assai insoddisfacenti.

Il 2002 è anche stato l'anno che ha visto l'esplosione dei dialer, ossia quei piccoli programmi che, prospettando la possibilità di scaricare per esempio loghi e suonerie per i cellulari, prendono il controllo del modem dell'utente e lo connettono, spesso in maniera subdola, a linee telefoniche ad alto costo. Si può dire che la quasi totalità dello spam di origine italiana in circolazione negli ultimi mesi fosse mirata proprio all'attivazione di dialer sui computer dei malcapitati utenti. Questo è stato reso possibile dalla comparsa, sulle linee telefoniche italiane, delle numerazioni a tariffazione speciale. A nostro avviso, questa modalità di vendita di servizi ha l'effetto di bypassare i normali "circuiti di protezione" che il consumatore ha sviluppato, negli anni, al fine di sapersi orientare al meglio nei propri acquisti. Inoltre, il mezzo si presta in maniera ottimale alla effettuazione di truffe di vario genere, sia mediante artifici tecnici che psicologici, per esempio facendo leva sulla curiosità o ingenuità dei ragazzi e, sovente, ingannando per bene anche gli adulti (vedansi i numerosi casi di spam che annunciavano cartoline elettroniche o messaggi personali che in realtà non esistevano, ma che erano da vedersi naturalmente mediante dialer).
A proposito delle numerazioni telefoniche usate dai dialer, può interessare sapere che, rivolgendosi a Telecom Italia, è attualmente possibile ottenere la disabilitazione permanente delle numerazioni con prefisso 166 e 899. Purtroppo però il trucco c'è: alla data odierna non è possibile ottenere la disabilitazione dei 709 e 892. Ovviamente, i dialer originariamente comparsi per numerazioni 899 si sono oramai tutti convertiti ai 709, quindi le disabilitazioni effettivamente possibili sono, in buona sostanza, ininfluenti (ci permettiamo di pensare che, se l'operato dell'Authority delle Comunicazioni fosse all'altezza dei faraonici emolumenti percepiti dai suoi componenti, questo genere di situazioni non si verificherebbe).

La lotta antispam oggi
Cominciamo con quanto accaduto riguardo alle leggi che ci possano tutelare dallo spam. Va senz'altro ricordata l'importante decisione assunta in sede europea, ossia obbligare tutti i paesi membri ad inserire nella propria legislazione il divieto all'invio di posta elettronica commerciale senza il preventivo consenso del destinatario. Ora si deve attendere che la normativa venga recepita in tutti i paesi e, soprattutto, si attende di vedere quanto verrà fatta rispettare. L'Italia ha subito iniziato male, con la comparsa di un decreto del Ministero delle Attività Produttive che, nella sostanza, va contro la nuova direttiva europea rispolverando l'idea (vecchia, inefficace e priva di senso), del cosidetto listone di opt-out preventivo. Ci auguriamo che di questa insana trovata non si risenta più parlare, e che la nuova direttiva europea venga rigorosamente applicata.
Il 2002 è anche stato l'anno in cui gli utenti, grazie alla pionieristica esperienza di Massimo Cavazzini, hanno iniziato a rivolgersi all'Autorità Garante per la protezione dei dati personali, sporgendo ricorso contro l'illecito trattamento dei dati che è sempre alla base dell'invio di spam. Le prospettive di questo fronte di lotta sono certamente interessanti, anche se le cose non appaiono del tutto facili. La giurisprudenza del Garante, per esempio, non è sempre del tutto comprensibile e le sanzioni inflitte agli spammer non appaiono, in molti casi, di sufficiente entità. Si tratta comunque di un percorso che sta ancora venendo esplorato e da cui potrebbero giungere ulteriori notizie. Intanto è stato interessante vedere quale sia stata la reazione degli spammer, che si sono trovati per la prima volta a dover rendere conto del loro operato di fronte alla legge. Hanno per lo più reagito in tutt'altra maniera che recedendo dal loro comportamento al fine di rientrare nella legalità. Quello che si è visto sono stati artifici come il rifiutare le raccomandate con cui venivano spedite le istanze preliminari all'effettuazione dei ricorsi, o come il rendere l'identità dei soggetti coinvolti il più possibile difficile a scoprirsi (es. con domini intestati a persone inesistenti ad indirizzi inesistenti). In altre parole, anche lo spammer italiano segue i tratti dello spammer tipico che si conoscono da anni: preferisce tenersi nell'ombra, anonimo (non è un caso che molto spam italiano arrivi tramite proxy aperti brasiliani) e sempre pronto a usare qualsiasi mezzo per portare avanti la propria attività ed evitare di risponderne.

Il 2002 è infine stato l'anno che ha visto consolidarsi il principale strumento finora inventato per bloccare concretamente l'arrivo di spam nelle caselle degli utenti, ossia le blacklist. Sono infatti nate e si sono affermate varie blacklist utili per i principali obiettivi necessari. Per esempio esistono blacklist per tenere alla larga i proxy e i relay aperti, esistono finalmente anche buone liste di ip assegnati in maniera dinamica e, soprattutto, esistono liste dedicate alle sorgenti di spam e alle reti che accettano gli spammer come clienti. Grazie a tali liste (in particolare SBL e Spews), la fornitura di servizi di rete agli spammer, tipicamente assai remunerativa, è oggi diventato un genere di affare piuttosto rischioso, che può portare la rete spam-friendly a perdere i clienti legittimi e a diventare, a tutti gli effetti, una sorta di fogna con cui nessuno intende più scambiare traffico.
Data l'efficacia di queste blacklist nel proteggere le caselle degli utenti, non c'è alcun dubbio sul fatto che vadano assolutamente usate e che oggi in particolare, dopo il panorama preoccupante che abbiamo appena delineato, sia particolarmente stupido non usarle. Purtroppo, in questo i provider italiani per utenza consumer sono tradizionalmente indietro. Qualcosa comunque si sta muovendo: da qualche mese, uno dei maggiori provider italiani (Libero-Infostrada) ha iniziato ad utilizzare SBL, anche se non conosciamo esattamente con quali modalità (se mediante il rifiuto in fase di dialogo smtp, come andrebbe senz'altro consigliato, o mediante semplice marcatura dei messaggi). Occorre a questo punto precisare che, certamente, SBL è una lista gestita con particolare attenzione e competenza e che risulta essere decisamente a bassissimo rischio di rigetto di email legittime; inoltre i suoi effetti riescono ad essere particolarmente incisivi per ottenere la cessazione dei servizi a importanti spammer. Secondo noi, insomma, qualsiasi server di email collegato alla rete internet dovrebbe fare uso di SBL. Tuttavia, per una protezione completa delle caselle di posta, il suo uso va combinato con quello di blacklist di vari altri tipi. Su questo, ancora, salvo pregevoli eccezioni i provider italiani non ci sentono. Concludiamo dunque esortando, ancora una volta, gli utenti a premere sui propri provider perché queste possibilità oggi disponibili vengano utilizzate, e, quando possibile, a preferire nelle proprie scelte quei provider che già lo fanno.

021014 - L'antispammer australiano Joey McNicol vince in tribunale contro T3 Direct.

La vicenda di Joey McNicol, da tempo seguita con particolare attenzione da un gran numero di antispammer in tutto il mondo, è giunta positivamente a conclusione nella mattinata di oggi. McNicol era stato citato in tribunale da T3 Direct, azienda australiana di direct marketing nota per praticare lo spamming e, per questo, inclusa in importanti blacklist internazionali come SBL e SPEWS. Vedasi a questo proposito il link http://spews.org/html/S1488.html. T3 Direct aveva accusato McNicol di avere ottenuto il listing di T3 in SPEWS e, di conseguenza, reclamava un ingente risarcimento per danni e mancati introiti. L'accusa era manifestamente priva di fondamento anche perché, come molti sanno, SPEWS non accetta nomination. Purtuttavia, la vicenda costituiva un serio problema per McNicol, costretto a sostenere personalmente forti spese per la propria difesa (nella comunità antispam internazionale venivano anche raccolti fondi per aiutarlo) e, comunque, rischiava di costituire un pericoloso precedente in caso di verdetto sfavorevole. Il tribunale di Perth ha respinto le argomentazioni di T3 Direct come "speculative e basate su proposizioni (quelle dell'accusa) che si sa non essere vere", stabilendo che non c'era prova né per dimostrare che McNicol avesse contattato SPEWS né per dimostrare che, quand'anche ciò fosse avvenuto, sarebbe stato illegale. In attesa di avere maggiori dettagli, la notizia ha portato notevole soddisfazione e sollievo per gli antispammer di tutto il mondo, oltre che fornire ulteriore evidenza al fatto che le liste di blocco funzionano e sono, ad oggi, la principale e più efficace arma con cui combattere la piaga dello spam.

020531 - L'Europa ha deciso: sarà OPT-IN.

Il percorso è stato lungo e tormentato, costellato di delusioni che culminarono quando, nel novembre 2001, il Parlamento Europeo adottò un testo in cui si lasciava ad ogni stato membro la scelta se adottare l'opt-in o l'opt-out. Le speranze per gli utenti di posta elettronica si riaprirono quando, circa un mese dopo, il Consiglio Europeo rifiutò le conclusioni cui era giunto il Parlamento e propose un testo di compromesso, basato sull'opt-in con una eccezione (il caso in cui l'indirizzo di email fosse stato ottenuto direttamente dal suo titolare in occasione di un acquisto di prodotti o servizi da parte di quest'ultimo). A quel punto venne avviata una fase di trattative per far sì che Parlamento e Consiglio giungessero a concordare una soluzione accettata da entrambi. La trattativa ha avuto successo ed ha portato all'odierna approvazione di un testo che, per ciò che riguarda lo spam, è sostanzialmente uguale alla proposta del Consiglio. La soluzione adottata ha soddisfatto le istanze di chi (soprattutto associazioni dei provider e organizzazioni antispam) aveva richiesto la messa al bando dello spam a livello europeo. In primo luogo occorre citare EuroCauce, che ha molto lavorato in questi anni per giungere al risultato odierno. Anche se passeranno ancora molti mesi prima che questa decisione si traduca in leggi emanate dagli Stati membri (si parla di fine 2003), quanto appena accaduto è estremamente importante, specialmente se si considera la rapida crescita del fenomeno spam negli ultimi mesi, crescita che si è vista pure in Europa e che non apparirebbe semplice arginare senza il supporto della legge.

Per ulteriori informazioni si può fare riferimento all'apposita pagina sul sito di EuroCauce. Vedasi anche il comunicato emesso da Cauce a livello internazionale.

Purtroppo nulla del genere ancora sembra pensabile negli USA, dove i legislatori federali continuano a sfornare progetti di legge fortemente ostili ai diritti di utenti e consumatori. Tra le speranze c'è quindi pure che la scelta appena compiuta dall'Europa possa influenzare positivamente la situazione degli USA.

020323 - ORBZ chiuso.

Non c'è pace per le blacklist di relay aperti. Dopo le sfortunate vicende di ORBS e di ORBS UK (chiuso, quest'ultimo, nel dicembre 2001), anche ORBZ ha cessato, si spera temporaneamente, le proprie attività. La cosa è particolarmente spiacevole, soprattutto perché ORBZ era una lista ben gestita, affidabile ed il cui utilizzo risultava assai valido per proteggere i mail server dallo spam. Il problema si è verificato quando i sistemi di ORBZ hanno eseguito un test sul mail server dell'amministrazione comunale di Battle Creek (Michigan). Il server in questione era un Lotus Domino la cui manutenzione risultava carente; in particolare, i sistemisti responsabili per il server non avevano applicato le necessarie correzioni (rese disponibili dal produttore già da molti mesi) per risolvere un noto malfunzionamento. Il malfunzionamento consiste in un crash del server quando questo non riesce a rispedire al mittente una email "bounced" (ulteriori informazioni qui e qui). Il test che ORBZ ha compiuto, assolutamente inoffensivo in normali circostanze, ha quindi provocato un crash del mail server. Ovviamente, il medesimo crash avrebbe potuto essere causato da chiunque, in qualsiasi parte del mondo, avesse spedito a quel server una mail che avesse causato un bounce non rispedibile (per es., con un envelope sender che puntasse a [127.0.0.1]) ed ha del grottesco il fatto che, anziché preoccuparsi di migliorare la gestione del proprio software in modo tale da evitare il ripetersi di problemi simili, l'amministrazione di Battle Creek abbia precipitosamente pensato di sporgere denuncia penale contro il gestore di ORBZ, il giovane Ian Gulliver (New York).

Di fronte al rischio di gravi conseguenze penali, Gulliver ha preferito chiudere ORBZ, rendendo noto che chiunque disponesse di copie del database di ORBZ era libero di farne qualsiasi uso. Fortunatamente, Gulliver ha trovato vasto appoggio da parte della comunità antispammer ed assistenza legale gratuita. L'incidente è stato rapidamente chiarito e l'amministrazione di Battle Creek ha ritirato la denuncia, riconoscendo che Gulliver stava agendo a fin di bene e rimarcando che, al momento dell'incidente, loro non potevano saperlo e ritenevano quindi di essere stati oggetto di un attacco vero e proprio. In un comunicato ufficiale del 22 marzo, il responsabile dell'amministrazione ha riconosciuto che esistevano grosse carenze nella gestione dei sistemi ed ha assicurato che verranno prese internamente tutte le dovute azioni correttive per risanare la situazione. Ha infine chiesto a Gulliver di riprendere il servizio che ORBZ stava fornendo. Sul sito di ORBZ è infine comparso un comunicato in cui si annuncia la possibilità che il sistema ritorni in funzione, tra qualche tempo, con qualche modifica al modo di funzionare.


Indice    Indice Notizie

Ultimo aggiornamento: 31 dicembre 2002

Leonardo Collinelli

e-mail