Dal mondo dello spam

Testo delle notizie

dall'1/1/2003 al 31/12/2003



031230 - Considerazioni di fine anno 2003.

Per chi si interessa di lotta allo spam, ci sono ottimi motivi per ricordare a lungo questo anno 2003 appena concluso. Per esempio il fatto che, secondo i dati resi noti da molti operatori nel settore della posta elettronica e della despammazione, questo è stato l'anno in cui è avvenuto il "sorpasso". Vale a dire che oggi sono in circolazione più messaggi di spam che non di posta legittima. Nel 2003 il volume di spam ha continuato la crescita, già vertiginosa, dell'anno precedente e ora i messaggi indesiderati stanno sovraccaricando come non mai sia i server che le caselle individuali delle persone. Si cominciano perfino a cogliere i segni, preoccupanti e comprensibili al tempo stesso, di una crescente disaffezione degli utenti verso la posta elettronica come mezzo di comunicazione. Molti utenti, a causa dello spam che ricevono, cominciano a percepire la posta elettronica come un mezzo non affidabile e, soprattutto, sempre più sgradevole da usare.

Un altro fatto saliente del 2003 è l'escalation nei metodi usati per la distribuzione dello spam. Se una volta il principale veicolo di distribuzione erano gli open relay, che hanno poi ceduto la scena agli open proxy, oggi vediamo che lo spam da relay è sceso a percentuali molto basse e che quello via proxy insicuro, pur avendo ancora volumi ragguardevoli, non è più la porzione di maggiore rilevanza. Come principali veicoli di distribuzione, infatti, oggi troviamo virus e cavalli di Troia, che infestano un numero sterminato di computer insicuri. A questa situazione si è arrivati grazie al combinarsi di due nuove situazioni:

Il secondo di questi due punti, ossia l'arrivo di cracker e virus-writer come collaboratori degli spammer, ha colto di sorpresa molti osservatori. In passato, infatti, vedevamo il mondo di hacker e cracker affollato di script-kiddies, le cui capacità arrivavano al massimo al compimento di vandalismi per lo più fini a sè stessi. Accanto a questi, c'era un minor numero di personaggi di ben maggiore spessore tecnico, che operavano per scopi come, per esempio, il piacere di scoprire come far funzionare le cose in un certo modo. Quindi, in sostanza, un hacking e cracking che potremmo definire di tipo ricreativo. Oggi, invece, ci dobbiamo rendere conto che la scena è dominata dal cracking per profitto. Forse era inevitabile che prima o poi questo avvenisse: i soldi piacciono a tutti e gli spammer sono in grado di pagare molto bene.

Come conseguenze, oggi vediamo che nella lotta per tenere lo spam fuori dai nostri server sono diventate particolarmente importanti le blacklist di ip assegnati dinamicamente o, come che sia, indicativi dell'utenza broadband di massa del tipo poc'anzi menzionato. Più che altro, si tratta di isolare le zone di rete non conformi a minimi standard di sicurezza, veri e propri bassifondi dove i computer compromessi abbondano e dove gli abuse desk spiccano per l'impotenza se non, addirittura, per l'inesistenza. Come se questo non bastasse, i provider e i backbone hanno mostrato di non avere alcuno stimolo ad adoperarsi per rendere la rete più sicura, cosa che, a questa nuova criminalità informatica opulenta del denaro degli spammer, ha reso particolarmente facile portare a termine attacchi contro le organizzazioni antispam. Certi operatori di blacklist che, su base volontaria, svolgevano un eccellente lavoro per fermare lo spam a beneficio dell'intera comunità, hanno subito attacchi distribuiti (DDoS) di violenza, dimensione e durata inaudite. Quelli di loro che disponevano di mezzi limitati non hanno potuto evitare di soccombere e si sono dovuti ritirare dalla lotta. Altri, come per esempio Spamhaus.org, Spews.org, OpenRBL.org, sono stati buttati fuori rete per qualche tempo e sono poi riusciti a tornare in funzione, dopo essersi attrezzati per resistere agli attacchi. Questo accanimento contro le organizzazioni antispam è una indiretta ma chiara dimostrazione della loro efficacia. Il fatto che questi attacchi siano potuti giungere, in molti casi, allo scopo che si proponevano, dimostra che la struttura di rete odierna ha delle deficienze da curare (anche se non si vede ancora chi lo possa fare) e che gli organi di polizia deputati al perseguimento della criminalità informatica sono, almeno per il momento, assai poco interessati a questo genere di reati.

Una cosa che vedremo con l'anno nuovo saranno gli effetti che avrà la nuova legge federale americana. Probabilmente un po' di pulizia verrà fatta e qualche tristo personaggio finirà dietro le sbarre, tuttavia ci sarà il problema degli spammatori "legalizzati". Ci aspettiamo quindi che aumenti quel tipo di spam normalmente fermato dalle blacklist di indirizzi ip in uso a spammer, ossia, nello scenario odierno, le liste di SBL e Spews. Da vedere saranno anche gli effetti della recente direttiva europea in materia di spam, che avrebbe dovuto essere stata recepita da tutti i paesi dell'Unione entro lo scorso ottobre. Il 5 dicembre la Commissione Europea ha aperto una procedura di infrazione contro Belgio, Germania, Grecia, Francia, Lussemburgo, Olanda, Portogallo, Finlandia e Svezia, che sono in ritardo nel recepimento. L'Italia invece è in regola. Va osservato che ovviamente, ed è la cosa che più ci preoccupa, recepire non significa far rispettare.

Venendo alla scena italiana, è purtroppo ben diffusa la figura dello spammer autentico criminale e truffatore, che si fa beffe delle leggi esistenti, sia quelle che già vietavano lo spam in Italia che quella sulla protezione dei dati personali. Questi soggetti, che raggirano soprattutto gli utenti nuovi e inesperti delle insidie della rete, attirandoli nella trappola delle connessioni sui numeri a pagamento, mostrano di potersi permettere anche i servizi dei più grossi (e costosi) spammer internazionali e di saper trovare mille soluzioni per rimanere sempre nell'ombra e non dover mai rendere conto delle proprie azioni. C'è poi perfino un "indotto", per lo più operatori telefonici che guadagnano fornendo le linee per i numeri a pagamento. Spiace che, in questo frattempo, il Garante per la protezione dei dati personali abbia apparentemente adottato, nel giudicare sui ricorsi che vengono presentati contro gli spammer, una linea secondo la quale diventano sempre più rari e di minore importo i rimborsi spese riconosciuti ai ricorrenti. Purtroppo il segnale che viene dato è che oggi, in Italia, non esiste una procedura legale semplice e di costo trascurabile per tutelare i propri dati personali. Di conseguenza, non esiste una tutela efficace. Speriamo che la situazione possa cambiare con l'entrata in vigore, il prossimo 1 gennaio, del nuovo "Codice della privacy". Occorrerà però che le forze dell'ordine possano dedicare le risorse necessarie per perseguire gli spammer e portarli fino alla condanna. Se questo non accadrà, i problemi saranno grossi e avranno un sempre maggiore peso sociale, a danno sia delle persone che delle aziende.

031220 - Firmata nei giorni scorsi da Bush la S877 / H2214.

Con la firma del presidente Bush il 16 dicembre, per la prima volta una legge federale in materia di spam conclude l'intero iter legislativo e si appresta a entrare in vigore il prossimo 1 gennaio. Si tratta di una legge, nota come "CAN-SPAM Act of 2003", ben lontana dal soddisfare gli antispammer in quanto non proibisce lo spam. Viene anzi creata una cornice di norme entro le quali sarà possibile in USA spammare legalmente. Purtroppo, il legislatore americano si ostina nel vedere lo spam non come una minaccia al mezzo di comunicazione utilizzato e ai diritti degli utenti/consumatori, ma come una normale e legittima pratica commerciale, della quale vanno solo impediti certi aspetti particolarmente abusivi e fraudolenti. Può essere divertente sapere che, al Congresso USA, c'è pure stato qualcuno che ha votato contro la legge in quanto "troppo limitativa" per la libertà di espressione degli spammer.

Naturalmente con questa legge viene istituzionalizzato il principio dell'opt-out, in base al quale l'utente di posta elettronica dovrebbe rivolgere cortese richiesta di cessazione a tutti gli spammer che si manifestino nella sua casella, uno per uno, senza riguardo al fatto che l'utente non li conosce, non ha stabilito alcun rapporto con loro e ha tutto il diritto di non fidarsi di tali soggetti. Si può comunque osservare che, creando nuove linee di business e identificandosi solo a nome di esse, lo spammer può in ogni caso inviare legalmente nuovo materiale anche a chi avesse già richiesto l'opt-out. Tra le altre caratteristiche di questa legge, i cui effetti saranno presto visti alla prova dei fatti, ci sono sanzioni rilevanti che colpiscono certe pratiche come l'abuso di proxy o computer altrui compromessi (es. mediante trojan). Inoltre, la legge si applica non solo agli spammer ma anche a chi si avvale dei loro servizi. Viene salvaguardato espressamente il diritto dei provider di avere proprie policy e di rifiutare a propria discrezione qualsiasi mail in arrivo. Infine, l'entrata in vigore di questa legge farà decadere tutte le leggi in materia di spam che vari stati degli USA già si erano dati.

Per il testo completo: http://www.spamlaws.com/federal/108s877.html. Per il commento di Spamhaus.org: http://www.spamhaus.org/position/CAN-SPAM_Act_2003.html.

031220 - Grossi spammer americani nei guai con la giustizia.

Non è una novità che spammer anche di grosso calibro abbiano guai con la giustizia, trattandosi per lo più di personaggi inclini a commettere reati di vario genere. Stavolta, tuttavia, i loro guai derivano proprio dall'avere spammato. La notizia diviene rimarchevole per la rilevanza dei nomi coinvolti, che troviamo ai primissimi posti nella classifica mondiale degli spammer (come formulata da Spamhaus.org).

La serie si è aperta l'11 dicembre in Virginia con l'arresto dello spammer noto con il falso nome di Gaven Stubberfield, numero 8 della classifica mondiale. Si tratta della prima applicazione di una recente legge antispam dello stato della Virginia, che proibisce la trasmissione di spam con informazioni di routing falsificate e limita il numero di messaggi inviabili da chi fa marketing via email. Lo spammer in questione, per quanto residente in North Carolina, è in corso nelle violazioni alla legge della Virginia avendo trasmesso spam tramite computer siti in quello stato. Proprio in Virginia si trova infatti il quartier generale di America On Line, che ha collaborato con l'attorney general dello stato per giungere a questa incriminazione.

Il 18 dicembre è stato il turno di Scott Richter, numero 3 della classifica mondiale e noto anche per essere stato recentemente classificato (dalla rivista americana "Details") al nono posto tra i più potenti uomini americani al di sotto dei 37 anni. Tanto per capire la levatura morale del soggetto, Richter fu uno degli spammer che, all'indomani dell'11 settembre, pensò bene di guadagnare da quanto era appena successo, inviando un grosso volume di spam in cui si proponeva l'acquisto di bandiere americane. Nella attuale vicenda, l'incriminazione è giunta dopo una lunga indagine condotta dall'attorney general dello stato di New York con la collaborazione di Microsoft. Pare che, partendo dagli spam raccolti su account Hotmail appositamente predisposti come spamtrap, Microsoft abbia individuato che un gran numero di tali messaggi proveniva da un computer compromesso che si trovava nello stato di New York. Sono stati così individuati gli effettivi punti di origine dello spam, che riconducevano a Richter e ai suoi partner. Le accuse a carico degli spammer, formulate ai sensi di una legge dello stato di New York che proibisce le pratiche commerciali fraudolente, sono in questo caso riconducibili all'uso di nomi e indirizzi mittenti falsificati, linee di subject ingannevoli e l'uso abusivo di oltre 500 computer compromessi (disseminati in tutti i continenti) come punti di relay per lo spam che ne nascondessero la vera origine.

031123 - A partire dall'1 dicembre 2003 le dnsbl di easynet.nl saranno dismesse.

Purtroppo ci troviamo di nuovo a rendere omaggio ad un mantenitore di blacklist che, dopo avere svolto un lavoro eccellente a beneficio della comunità antispammer, decide di non poter più continuare. Si tratta delle blacklist gestite dal provider olandese Easynet.nl (tempo addietro noto come Wirehub). La decisione è stata annunciata e motivata in un messaggio usenet da Ben, il mantenitore, il quale ha spiegato come in questo caso non ci siano stati attacchi ddos né minacce legali. Tra le dnsbl che verranno chiuse va ricordata (oltre a una lista di sorgenti di spam e una di proxy aperti) soprattutto Dynablock, una lista di range di ip assegnati dinamicamente. Dynablock era una lista assai ben tenuta, che censiva un enorme numero di ip e risultava particolarmente preziosa per bloccare la via di diffusione dello spam oggi più utilizzata. Tra l'altro, la cosa avviene in un momento in cui un'altra importante lista di ip dinamici (PDL) è chiusa, fino a completamento di una revisione generale di tutti i listing. Fortunatamente Matthew Sullivan (di SORBS.net in Australia), già ben conosciuto nel mondo delle liste di blocco in quanto correntemente fornisce, oltre a numerose dnsbl proprie, anche la principale zona pubblica di Spews, ha annunciato di voler importare in tempi brevi nel proprio sistema i dati di Dynablock e continuare nel compito, assai impegnativo e niente affatto semplice, di curarne d'ora in poi il mantenimento e farli rimanere pubblicamente disponibili.

031026 - Al Senato USA passa la S877: siamo alle solite.

Mentre l'Europa sta procedendo con convinzione sulla strada dell'opt-in, con la nuova direttiva già implementata nelle legislazioni nazionali di diversi paesi membri (tra cui l'Italia), evidentemente i legislatori USA sono ancora lontani dal rendersi conto della gravità del problema. Da anni ormai vengono infatti presentate proposte di legge federale che otterrebbero solo di rendere la vita più facile agli spammer e che, per fortuna, finora sono sempre decadute senza diventare legge. Questa S877, in sostanza, proibisce solo lo spam con caratteristiche fraudolente: se la comunicazione commerciale è veritiera e non ci sono header falsificati, si può spammare a volontà. È poi previsto il classico opt-out (sembra consentito anche l'opt-out preventivo a livello di intero dominio, cosa sorprendente perché in passato le lobby del marketing si erano sempre ferocemente opposte al domain-wide opt-out; probabilmente il trucco sta nel fatto che la creazione della lista di opt-out preventivo non è obbligatoriamente prescritta). Viene poi proibito agli Stati di varare leggi antispam più restrittive, cosa che, per esempio, farebbe decadere una buona legge antispam recentemente varata in California. Viene pure negato il "private right of action" contro gli spammer da parte degli utenti, lasciando la possibilità di perseguire gli spammer solo alle agenzie federali (peraltro prive dei fondi per fare alcunché). Sono proibite infine alcune pratiche come il rastrellamento di indirizzi di email via robot o la loro generazione mediante dictionary attack.

031019 - Conclusa la battaglia legale di un gruppo di spammer contro Spamhaus.org e altri antispammer.

È giunta all'epilogo, almeno per ora, la vicenda dei cui precedenti passi si riferisce più sotto in questa stessa pagina. Il giudice ha infatti accolto la richiesta di "voluntary dismissal with prejudice" che alcuni spammer, anonimamente raggruppati dietro il legale che li ha rappresentati in questa vicenda, avevano presentato per tentare di uscire dalla battaglia legale con i minori danni possibili. Anche se, in questo modo, gli spammer si sono sostanzialmente arresi, comunque la conclusione (se rimane questa) non è particolarmente soddisfacente. Restano infatti, per gli antispammer, i costi legali che si sono dovuti fin qui sobbarcare (malgrado il loro avvocato, il bravissimo Pete Wellborn, che odia gli spammer e ne ha già sconfitti parecchi in tribunale, abbia applicato ai suoi assistiti le migliori condizioni possibili). Per ulteriori dettagli si rimanda all'annuncio dato da Steve Linford in un messaggio usenet.

030927 - Continuano gli attacchi d.d.o.s: chiude anche UPL di Monkeys.com. Torna in servizio OpenRBL.org

Gli attacchi distributed denial of service contro le liste di blocco sono ormai permanenti e di sempre maggiore portata. Creare problemi agli spammer è ormai la stessa cosa che fare degli sgarbi alla criminalità organizzata: si viene eliminati dalla rete (quando non si viene anche minacciati fisicamente). È di questi ultimi giorni la chiusura della lista UPL di Monkeys.com, il sito creato e gestito da Ronald F. Guilmette. Si deve a Guilmette la codifica di una definizione di spam che ha incontrato ampio consenso in rete, come si deve a lui l'idea di una lista (dismessa da tempo) di siti a cui si trovavano dei formmail insicuri, nonché la messa a disposizione di una versione modificata di formmail non abusabile dagli spammer. Il progetto principale di Guilmette era però UPL (Unsecured Proxies List), una lista che censiva un grosso numero di indirizzi ip a cui si trovavano proxy aperti di varia natura. Inoltre, UPL catalogava anche indirizzi ip che risultavano avere agito nel tentativo di cercare e usare i proxy al fine di inviare spam. Sappiamo che il proxy insicuro, a differenza dell'open relay smtp, anonimizza il vero ip da cui opera lo spammer, sicché il destinatario finale dello spam non è in grado di scoprirlo. Guilmette appunto scopriva e rendeva noti i veri indirizzi da cui operavano i criminali informatici che stanno dietro allo spam via proxy, cosa che poteva fare tenendo in esercizio dei proxypot. Che Guilmette sia stato indotto a cessare completamente le sue attività antispam è particolarmente triste e preoccupante. Preoccupante anche il fatto che, rivoltosi alle autorità di polizia e all'FBI, Guilmette non abbia assolutamente ottenuto alcun interessamento a quanto stava avvenendo.

Riguardo agli aspetti operativi conseguenti a questa chiusura, la zona dns da cui era servita UPL è stata svuotata, avendo così l'effetto di rimuovere tutti i listing. Coloro che usavano UPL devono quindi toglierla dalla configurazione dei loro server appena possibile, tuttavia non rischiano di iniziare improvvisamente a rigettare tutte le email come successe a fine agosto a coloro che stavano usando Osirusoft. Per bloccare i proxy aperti continuano ad essere disponibili varie altre liste eccellenti, tuttavia c'è da chiedersi quali saranno le prossime a venire attaccate.

È degli ultimi giorni anche il ritorno in funzione di OpenRBL.org, il sito più consigliabile per cercare, dato un indirizzo ip, su quali liste di blocco sia correntemente inserito. OpenRBL è uno strumento prezioso per qualsiasi antispammer ed era da tempo sotto attacco. Ora lo si può nuovamente usare grazie ad una rete di una dozzina di proxy che sono stati messi a disposizione in varie parti del mondo, così che ora un eventuale attacco dovrebbe richiedere tali e tante risorse da essere difficilmente praticabile. Si segnala anche la disponibilità di un mirror europeo alla url http://eu.openrbl.org/.

030906 - Svolta nella battaglia legale promossa da EMARKETERSAMERICA.ORG contro Spamhaus.org e altri antispammer.

La vicenda, del cui inizio si riferisce più sotto in questa pagina, fa registrare interessanti novità. Il querelante, avendo ormai chiaro che le cose si stanno mettendo male, ha presentato alla corte una "NOTICE of voluntary dismissal with prejudice". In parole povere, è come se avesse detto: ho scherzato, chiudiamo pure tutto qui e mi impegno a non ripresentare in futuro questa querela. Tuttavia gli antispammer coinvolti nella vicenda sembrano intenzionati a non considerare affatto il caso chiuso e, anzi, a procedere per il recupero di spese e danni. Questo anche al fine di stabilire un precedente che abbia un significativo valore dissuasivo per tutti gli spammer che, in futuro, accarezzassero l'idea di citare in giudizio gli antispammer e, in particolare, gli operatori di liste di blocco.

030831 - Attacchi d.d.o.s. contro il sito di SPEWS e contro Osirusoft.

Non è una novità che le organizzazioni antispam subiscano spesso attacchi tipo distributed denial of service, tipicamente dei flood da migliaia di macchine insicure o infestate da trojan. Per mantenere raggiungibili i propri siti e le proprie zone dns, le organizzazioni antispam devono prendere opportune precauzioni, a cominciare dall'uso di connessioni a grossa capacità di banda.

Steve Linford, per esempio, ha avuto occasione di raccontare che, già dall'inizio di giugno, gli attacchi ddos (con picchi fino a 100 MByte/sec e provenienti da innumerevoli proxy zombie) colpiscono costantemente anche la rete di Spamhaus.org (senza tuttavia riuscire a impedirne il funzionamento, dato che Spamhaus si aspetta questo tipo di attenzioni e si avvale quindi di una rete progettata e dimensionata apposta per resistere).

Il sito di SPEWS in particolare è preso di mira già da molto tempo, risultando spesso irraggiungibile. Ovviamente questo non impedisce la distribuzione e l'uso di SPEWS come lista di blocco, in quanto SPEWS è distribuita in varie forme da più sorgenti, tuttavia questi attacchi hanno reso meno semplice accedere ai file di evidenza per vedere le spiegazioni relative ai vari listing.

Quanto a Osirusoft, gestita da Joe Jared, è stata per lungo tempo la principale fonte di diffusione di SPEWS via dns, ed ha reso disponibili allo stesso modo anche altre liste (come Spamsites o la lista di proxy insicuri curata da Maximiliano Kolus in Argentina), oltre a mantenere dei listing propri. Già da mesi Osirusoft stava avendo problemi di affidabilità (che ne rendevano sconsigliabile l'utilizzo in ambienti di produzione) e, da luglio, gli attacchi ddos si sono pesantemente accaniti contro la rete di Jared, che funzionava su una semplice connessione dsl. Il 26 scorso si è avuto l'epilogo: le zone dns di Osirusoft hanno iniziato a rispondere affermativamente alle query su qualsiasi indirizzo e, poco tempo dopo, sono state chiuse definitivamente. A Jared, che a questo punto si deve considerare uscito dal mondo delle liste di blocco, va comunque la gratitudine degli antispammer per il lavoro che ha svolto, mettendo varie dnsbl a disposizione di tutti fin dal 2001.

030427 - Spamhaus.org e altri antispammer citati in giudizio in Florida.

Circa a metà aprile è stata presentata, alla Corte Distrettuale competente per il sud della Florida, una querela contro Spamhaus.org (l'organizzazione, con sede in Inghilterra, che cura la famosa blacklist SBL), contro Spews.org e contro numerosi altri antispammer americani. Il querelante si è qualificato come "EMARKETERSAMERICA.ORG, INC., A Florida Non Profic Corporation" e l'unica persona il cui nome viene attualmente indicato come riferimento per tale organizzazione è un legale di Boca Raton (città della Florida il cui nome non suona affatto nuovo a chi si sia occupato di spam almeno per qualche tempo).

L'oggetto della causa ricorda molto altre controversie analoghe già viste in precedenza: riassumendo i punti principali, i soggetti querelati vengono accusati di "vendere prodotti che bloccano la trasmissione elettronica e le comunicazioni di cittadini e aziende americani" e di "rendere intenzionalmente disponibile informazione nel dichiarato sforzo di interrompere e bloccare il traffico Internet di individui e aziende in regola con la legge".

Chiunque abbia cognizione di cosa sono e come funzionano le blacklist non avrà difficoltà a vedere l'infondatezza delle accuse, a cominciare per esempio dal fatto che Spamhaus.org non mette in vendita nulla (anzi svolge a titolo volontario un grosso lavoro il cui risultato è generosamente messo a disposizione di chiunque sia interessato a conoscerlo o ad usarlo), o dal fatto che nessuna blacklist potrà mai bloccare il traffico di email alla fonte (dato che una blacklist non è altro che l'espressione di un parere che chiunque, per ciò che lo riguarda, può decidere di usare o no, nel modo che crede). Ci sono poi numerosi aspetti paradossali (non si capisce, per esempio, come potrebbe una Corte Distrettuale del sud della Florida avere giurisdizione sull'Inghilterra, unica nazione ove Spamhaus.org ha sede). Si segnala intanto che una prima richiesta dei ricorrenti per ottenere un TRO (ingiunzione temporanea) è stata rigettata dalla Corte.

Spamhaus.org ha pubblicato sul proprio sito una risposta puntuale alle contestazioni mosse da EMARKETERSAMERICA.ORG. Non c'è bisogno di dire quale sia la posizione presa dalla comunità antispam internazionale, che da questa vicenda è certamente più divertita che allarmata. È stata intanto attivata una raccolta di fondi (coordinata da Mark Ferguson) per la difesa legale degli antispammer citati in giudizio.


Indice    Indice Notizie

Ultimo aggiornamento: 30 dicembre 2003

Leonardo Collinelli

e-mail