L’altra sera, lunedì 10 settembre 2007, mentre ero in macchina ascoltavo, come mio solito, le trasmissioni di Radio24.
La rubrica che mi è capitato di ascoltare aveva come argomento lo spam email e le tecniche per difendersi. Devo dire che sono rimasto piuttosto deluso dal modo in cui l’argomento è stato trattato anche se, lo ammetto, sono stati utilizzati concetti e terminologie adatte alla comprensione del grande pubblico: è pacifico, infatti, che la stragrande maggioranza dell’utenza internet non sa nemmeno cosa sia un server SMTP. Ne consegue che la trattazione radiofonica non ha aggiunto niente di nuovo a quelle che andrebbero considerate banali regole di buonsenso. Fin da piccoli, per esempio, ci insegnano a non dar retta agli sconosciuti eppure non appena si ha un computer tra le mani – e quindi un indirizzo email – molti compiono l’errore di rispondere un po’ a tutti e di dare il proprio indirizzo a destra e a manca. E poi ci si lamenta che siamo contattati da persone sgradite … mah.
La trasmissione, alla quale sono intervenuti anche importanti oratori di università e dei nuclei di Polizia postale per le frodi informatiche, elargiva quindi tutta una serie di “buoni consigli” su come cercare di proteggere la propria casella postale. E qui, ancora una volta, mi sono cadute le braccia. A parte il fatto che si voleva accomunare sotto la definizione di SPAM qualsiasi comunicazione non sollecitata che giunga nella nostra casella postale (inducendo erroneamente l’ascoltatore ad equiparare il rischio – fastidio – dello spam commerciale con quello derivante dal phishing-spam), la cosa secondo me grave è data dal fatto che anche i c.d. “esperti” elargiscono consigli sulla cura dei sintomi e mai una parola su come, davvero, si potrebbe eliminare lo spam alla fonte.
Già! Perchè se ci si limita a proteggere la propria casella email con tecniche prevalentemente basate su riconoscimento di parole o frasi sgradite, si perde di vista il fatto che una buona dose di danni lo spam (o meglio lo spammatore) l’ha già fatta. Prima ancora che vengano depositate nella nostra mailbox, le sgradite email hanno già “scomodato” una serie di “servizi pubblici di trasporto” che assolvono al compito di postini (mi si perdoni la prosa ma la similitudine è utile per la comprensione da parte del profano). Server di posta, router geografici, server DNS, backbone sottomarine ecc. sono tutti servizi ed apparati che fanno parte del web, che compongono il web, e che vengono impegnati per una buona dose delle loro risorse disponibili all’ingrato lavoro di invio, smistamento e consegna di miliardi di email non sollecitate al giorno. Ed anche l’utente mediamente attento si accorgerà che, quando “scarica” la sua posta dalla casella messagli a disposizione dal proprio provider, la “sua” banda di connessione viene impegnata per lo scarico di tutta la posta (quella buona e quella cattiva) e solo in un secondo momento i “filtri” faranno il lavoro di cestinare tutto quello che non ci serve (o che credono non ci serva).
Già qui sarebbe facile comprendere come l’assenza dello SPAM renderebbe la navigazione del web e la fruizione dei servizi on-line molto più veloce ed immediata.
Quindi la domanda da porsi non è come faccio a proteggere la mia casella di posta quanto, piuttosto, come si può eliminare lo spam alla fonte e, soprattutto, si può ?
Rispondere a questa domanda è facile in via teorica, piuttosto difficile nella pratica. La teoria ci dice che è possibile, senza dubbio alcuno, bloccare lo spam. La pratica ci dice che questo paralizzerebbe di fatto molta parte delle comunicazioni email e delle transazioni commerciali lecite del pianeta.
Cercherò di spiegarlo dal mio punto di vista. Innanzitutto è bene partire da un punto fermo: tutte le attività spammatorie hanno uno scopo di lucro. Che si tratti della esasperante pubblicizzazione di pillole miracolose per l’esaltazione delle prestazioni sessuali (spam commerciale), o di inviti a fornire le proprie credenziali di accesso a servizi riservati come la propria banca on-line (phishing-spam), dietro c’è sempre una mente che intende far soldi. Nel primo caso ci troviamo di fronte a chi utilizza illecitamente un veicolo pubblicitario per aumentare la visibilità della propria (non sempre) lecita attività commerciale (vendere Viagra, infatti, non è di per se illecito fatte salve le ipotesi di violazione delle norme sulle prescrizioni dei farmaci, mentre in altri casi, la vendita, ad esempio, di prodotti contraffatti è illegale), nel secondo caso ci trova di fronte ad una frode bella e buona.
Fatta questa premessa il passo logico successivo è chiedersi il perchè dell’aumento continuo dello spam: la risposta è sotto i nostri occhi. Rende ! E rende bene. I siti che vendono Viagra o Cialis fanno vere fortune sulla pelle “di chi non andrebbe mai dal farmacista sotto casa a comprare la pillola blu” (quando in realtà potrebbe farlo tranquillamente, pagando pure meno, evitando problemi alla dogana e, non da ultimo, godendo anche di un parere medico) … e che sono scemo ? quello poi è pettegolo come una perpetua e nel giro di qualche giorno sono diventato lo zimbello del quartiere … come pure quelli che pubblicizzano “fine replica watches” … vuoi mettere ? mi sono fatto il Rolez da 20mila euro e non ho nemmeno rischiato che mi vedessero sulla spiaggia a comprarlo dal cinese …
Anche i messaggi degli apparentemente rispettabili istituti di credito che ci invitano a ridigitare account e password hanno vita facile con i boccaloni di ogni tempo : ma dico io … per avere l’account e la password dalla mia banca devo andare allo sportello, firmare 280 moduli diversi, fare una preregistrazione sul sito, attendere che mi inviino l’email dove mi informano che la password ed il pin sono stati inviati uno a casa ed uno alla filiale presso la quale ho il conto, quando finalmente ho in mano tutto il plico cartaceo devo passare una procedura di “primo accesso” dove mi chiedono un sacco di cose … e adesso solo perchè mi arriva una email (di cui non mi preoccupo di verificare la legittimità) io comunico utente e password così alla leggera ? Bah … sarò cattivo ma chi cade nella trappola del phishing è boccalone tanto quanto coloro che compravano il sale da Wanna Marchi.
Comunque … per tornare in tema … visto che rende … come fanno gli spammatori a spammare ? E’ facile capire come non si tratti, ovviamente, di singoli utenti che si mettono a sparare milioni di email dal loro Outlook. In realtà gli spammatori sono organizzatissimi e tecnologicamente molto avanzati. Caratteristiche che costano … tanto … ma sono solo una minima parte dei grossi guadagni che si possono fare. Lo spam è infatti possibile grazie a sofisticate tecniche di programmazione che permettono di prendere il controllo di molte macchine simultaneamente. Tecniche che sono prevalentemente rivolte alla individuazione ed allo studio delle vulnerabilità dei sistemi operativi dei computer (prevalentemente Windows) e conseguente sviluppo di programmi(ni) che si insinuano in queste vulnerabilità, che le sfruttano rendendo il computer “ospite” un inconsapevole generatore spara-spam. Questi programmini sono i virus : anzi, per meglio dire, i Trojan.
In un recente convegno a Brno tenuto da Grisoft, al quale ho avuto il piacere di partecipare, è stato chiaramente illustrato come il trend di evoluzione del c.d. malware (ovvero qualsiasi programma sgradito sul nostro computer e che produce effetti altrettanto sgraditi) abbia nettamente puntato sullo sviluppo e la produzione di trojan piuttosto che sul generico virus a-danno-casuale. La spiegazione è chiara: il Trojan è più subdolo del virus ! L’utente del computer infettato generalmente nemmeno si accorge di mutamenti nel comportamento del suo pc e questo costituisce un grosso vantaggio per i furbacchioni perchè tanto più a lungo un computer rimane infetto, tanto più a lungo potrà essere utilizzato per carpire informazioni riservate o come ponte di lancio per iniziative illecite verso altri computer.
Ecco quindi la prima arma di prevenzione contro lo spam: la protezione antivirus del pc. Ancora troppi sono gli utenti che non usano un adeguato antivirus e soprattutto non lo tengono costantemente aggiornato. La falsa sicurezza che si prova solo per il fatto di avere un antivirus installato senza per altro avere la minima cognizione di come funzioni e sul suo stato di aggiornamento è il vostro peggior nemico. Sicuramente proteggere il proprio pc non vuol dire aver risolto automaticamente i problemi di spam mondiale … ma aiuta: tanto più aumenterà la consapevolezza di una corretta protezione tanto più si ridurranno i pc zombie spara-spam.
Tuttavia, anche se si riuscisse a dotare di adeguata protezione tutti i pc del mondo, non avremmo ancora risolto la questione spam: non tutto il web, infatti, è fatto di soli pc. Ci sono anche i server (che devono essere protetti) sui quali sono installati i servizi di trasporto della posta elettronica: ci sono server di posta pubblici (generalmente forniti dai provider di connettività) e ci sono quelli privati, generalmente aziendali, utilizzati per le comunicazioni email sia verso l’interno della rete che verso l’esterno. Se nel primo caso possiamo essere piuttosto certi che i servizi di posta siano configurati e monitorati da personale specializzato, nel secondo la “mancanza di conoscenza” (per non dire ignoranza) di approssimativi ed improvvisati tecnici crea dei disastri colossali. Installare un server di posta elettronica (molto spesso su server windows), seguendo magari il wizard di configurazione, e limitarsi ad accertare che i servizi di base funzionano ( … gli utenti inviano e ricevono quindi funziona …) è l’errore più comune: e così il “figlio del titolare” che crede di aver fatto una figata installando Exchange sul server della piccola rete aziendale, pavoneggiandosi del fatto che “adesso ci sono le agende condivise”, ha lasciato il server in modalità open-relay, accetta allegati di qualsiasi tipo, spara Non-Delivery-Reports a manetta, ha configurato i record MX alla cavolo e, prima o poi … chiamerà qualche tecnico serio per cercare di capire come mai alcuni clienti rifiutano la loro posta dicendo che sono in black-list.
Ed arriviamo alla seconda seconda norma per la prevenzione anti-spam: se non sapete esattamente cosa state facendo … lasciate perdere. Ci sono centinaia di ottimi tecnici, ed ovviamente di aziende del mondo IT, la’ fuori che possono configurarvi un servizio di posta privato ottimamente e facendovi spendere il giusto … che sarà sempre meno del tempo che avrete perso in tentativi e nel cercare di capire cosa non va. E, soprattutto, non avrete sulla coscienza il peso di essere stati un mezzo trasmissivo dello spam che riceve qualcun altro. Consapevolezza, consapevolezza e ancora consapevolezza.
Il terzo, ed ultimo, aspetto che potrebbe mettere la parola fine allo spam è squisitamente tecnico: il rispetto e l’osservanza rigorosa delle regole RFC sulle comunicazioni SMTP. Fermi fermi, non allarmatevi … cercherò di spiegarne alcuni concetti fondamentali con esempi semplici. Supponiamo che casa nostra, o la nostra azienda, sia un piccolo ufficio postale:
Questi sono alcuni degli esempi, di più immediata comprensione, che mi sono venuti in mente per cercare di spiegare come il protocollo SMTP (ovvero i messaggi che i computer si scambiano per trasmettere e ricevere posta elettronica) metta a disposizione tutta una serie di controlli per verificare la validità e la legittimità di un messaggio di posta elettronica. Se tutti i server di posta fossero correttamente configurati per l’applicazione ed il rispetto totale ed incondizionato di tutti questi controlli lo spam sparirebbe.
Quale è l’ostacolo che ne impedisce l’applicazione ? Semplice … la mancanza di consapevolezza descritta nei due punti precedenti che fa proliferare computer privi di protezione, server di posta configurati alla cavolo, puntamenti DNS surreali ecc. Mancanza di consapevolezza da parte, però, di utenti web che “romperanno sempre le scatole” perchè pretendono che i loro messaggi di posta siano recapitati e che quelli di qualsiasi potenziale cliente sia correttamente ricevuto. Se tutte le regole RFC venissero osservate di colpo, dall’oggi al domani, un buon 65% delle piccole/piccolissime aziende che gestiscono la propria posta in modo arraffazzonato non sarebbero più in grado di comunicare. Con grave danno dell’economia.
Ecco di cosa si dovrebbe parlare quando si tratta di SPAM. Ma l’argomento è scomodo specialmente in un paese come il nostro dove lo specialista IT viene spesso preso per “quello che sa usare il pc” portando ad impropri ed esasperanti paragoni tra chi studia ed affronta il tema in modo professionale e … “ il figlio del mio vicino che mi ha fatto il sito con power point e mi ha installato il Nokia sul Pc “.
Un ultima nota … fate anche girare la voce che comprare i prodotti/prodottini pubblicizzati tramite spam non vale la pena. Sottrarre gli introiti agli spammatori è e resta sempre la regola nr. 1.