Non ci sono più i virus di una volta. Un tempo, quando ti beccavi un virus informatico, te ne accorgevi amaramente: il computer impazziva, ti si cancellavano i file, ti comparivano palline che giravano per lo schermo o messaggi megalomani, oppure la freccina del mouse si spostava per i cavoli suoi. La lezione era così memorabile che non si ricascava facilmente nel tranello virale.
Oggi le cose sono cambiate: adesso invasioni come quelle di Sobig o Mydoom avanzano zitte zitte quatte quatte, e se non fosse per gli allarmi sui giornali e gli intasamenti delle caselle di posta quasi non ce ne accorgeremmo, perché i computer degli utenti infetti continuano a lavorare come se niente fosse. Gli autori di virus sono diventati più buoni?
No di certo: hanno semplicemente cambiato strategia. Lo scopo di quasi tutti i virus recenti, infatti, non è devastare il computer della vittima come un tempo, ma soggiogarlo con discrezione e trasformarlo in un agente di ulteriore infezione. I virus informatici, insomma, hanno imparato da madre Natura. Un parassita che uccide il proprio ospite non sopravvive a lungo; se invece si limita a conviverci senza invalidarlo, ha più tempo per riprodursi.
Ma che senso ha creare un virus informatico che non fa danni alle proprie vittime e si limita a riprodursi, e addirittura (come nel caso di Mydoom) ha una data di scadenza incorporata come i replicanti di Blade Runner? Semplice: i virus “buoni” che ci assediano ultimamente sono creature comandate e commissionate dagli spammer e servono per generare spam.
Zombi nella Rete
Il meccanismo è semplice. Ogni computer infettato da questi virus (o più propriamente worm) non si limita a tentare di infettarne altri, ma diventa anche uno zombi: risponde cioè ai comandi impartiti dal suo padrone remoto, che è uno spammer, e invia migliaia di messaggi spammatori senza che l’utente di solito si accorga di nulla. Grazie al virus, insomma, lo spammer “assolda” segretamente decine di migliaia di questi zombi digitali e li usa come propria capillare rete di spamming, invulnerabile alle tradizionali misure antispam basate sulle blacklist.
La conferma più recente arriva nientemeno che da Scotland Yard, che ha agito su denuncia della rivista informatica tedesca c’t. Uno studente informatico, con l’assistenza della rivista, ha rintracciato gli autori di un virus (Randex), dai quali è stato possibile acquistare un elenco di indirizzi IP di computer infetti: la lista degli zombi, insomma. Uno dei distributori del virus era situato nel Regno Unito, e così c’t ha segnalato la cosa a Scotland Yard. Alla denuncia hanno fatto seguito arresti in vari paesi.
L’organizzazione spamvirale aveva già “zombificato” alcune migliaia di computer usando Randex, che prendeva ordini dal proprio padrone tramite il protocollo di chat IRC. Fra questi ordini c’era quello di installare un proxy server, che l’organizzazione usava per trasformare i propri zombi in altrettanti disseminatori di spam.
È la prima volta che si coglie in flagrante un autore di virus che vende i propri servigi come spammer al miglior offerente a livello internazionale: finora chi creava virus con funzioni spammatorie lo faceva per proprio uso e consumo, come nel caso del recente virus/dialer/spam Zelig.
Secondo quanto riportato da c’t, uno degli investigatori di Scotland Yard ritiene che questo caso sia soltanto l’inizio: “gli autori e distributori dei virus non agiscono più per divertimento o megalomania. L’ambiente sta diventando più professionale e ha preso coscienza di quanti soldi si possano guadagnare facilmente e illecitamente in questo modo.”
Segni di disperazione
Come accennavo in un articolo qualche tempo fa, questo comportamento non va considerato come un presagio dell’imminente crollo di Internet sotto i colpi degli spammer, ma come un segno della loro disperazione. In molti paesi non è reato fare spamming, ma lo è prendere possesso dei computer altrui senza autorizzazione. Il fatto che gli spammer siano disposti a valicare il confine dell’illegalità pur di continuare ad operare significa che gli altri sistemi a loro disposizione non funzionano più bene.
Anche le tecniche usate dagli spammer per superare i filtri antispam sempre più diffusi, sia a livello dei provider, sia a livello dei singoli utenti, sono un chiaro segno della loro lenta ma progressiva sconfitta. Va specificato innanzi tutto che lo spammer non ha successo quando il suo messaggio arriva nella vostra casella di posta: ha successo quando il suo messaggio vi induce a comperare il prodotto reclamizzato. Niente vendita, niente soldi.
Per aggirare i filtri antispam, lo spammer è costretto a storpiare i propri messaggi fino a renderli quasi incomprensibili. È chiaro che qualsiasi messaggio che contenga la parola “Viagra” o altri termini analoghi verrà distrutto senza pietà dai filtri: così gli spammer si inventano grafie alternative per le parole chiave delle proprie réclame, come “Vìagr4”, “V|agra”, “Viuagura” e così via. Altri infilano dei falsi codici HTML fra le lettere delle parole chiave, per cui i programmi di posta che interpretano l’HTML decodificano “Viagra” come “Viagra”. Ecco un’altra ragione per bandire l’HTML dalla posta.
Il guaio (per lo spammer) è che i filtri antispam, soprattutto quelli bayesiani, imparano in fretta, e così diventa necessario ricorrere a storpiature sempre più estreme. A un certo punto, il messaggio diventa praticamente incomprensibile, e quindi le sue probabilità di successo, intese come piazzamento di un ordine d’acquisto, scendono a livelli ancora più bassi di quelli già ridicoli dello spam “normale” (un ordine ogni dieci milioni di messaggi).
Considerate quest’esempio autentico tratto dagli ultimi arrivi: “XA:n:ax ^ So:m:a Pnte:r:min ? v1agR@ < Va.l.ium - At|`v@n Plus: C`e|3brex, Fi0.ric3t, Tram@d:o|, U|t`r@m, L3v`|tra, Pr0:p3cia, Acyc:|0vir, Pr0z@:c, P, [email protected], Ad|p`ex, I`0nam|n, M3ri'dia, X3`nica|, Amb.i3n, S0na:Ta, F`l3xeril". Mi serve un cachet contro il mal di testa solo per il fatto di aver cercato di decifrare questa grafia da l33thax0r, ma di certo non lo comprerò da chi l’emicrania me l’ha causata.
Thunderbird alla riscossa
Il bello è che persino questo spamming estremo è finito nella rete dei filtri bayesiani antispam del mio Thunderbird. Dopo un mesetto di addestramento, consistente semplicemente nel cliccare sul pulsante “posta indesiderata” quando riconosco un messaggio di spam, Thunderbird ha infatti raggiunto un’ottima percentuale di successo, persino nel mio caso, che è abbastanza atipico perché mi capita spesso di ricevere messaggi inviati da lettori che contengono le parole chiave dello spam oppure interi messaggi spammatori mandatimi per conoscenza.
Anche l’altro trucchetto sempre più in voga tra gli spammer, ossia “inquinare” i filtri bayesiani infarcendo il messaggio di parole rare che normalmente non compaiono nei messaggi pubblicitari, viene sconfitto: persino uno spam dal titolo (autentico) “alger est euripides seidel babe elute meadow cactus geriatric zurich strawberry alberta sst transversal browse hirsute reginald transvestite grief wilkes hellgrammite” è stato riconosciuto come spam dal mio Thunderbird.
Ma più che lo spam eliminato conta la percentuale di insuccesso del filtro, ossia di messaggi che Thunderbird considera erroneamente spam quando non lo sono: zero. Molti utenti sono riluttanti a usare i filtri antispam perché temono che releghino nello spam qualche messaggio legittimo, magari attinente al proprio lavoro, ma stavolta sembra che questo problema non ci sia. Per prudenza, comunque, lo spam che ricevo non viene cestinato, ma trasferito direttamente a un’apposita cartella, che poi sfoglio periodicamente per verificare che Thunderbird non abbia ecceduto nel proprio zelo. Sono settimane che non sbaglia un colpo. Niente male, per uno strumento così semplice da usare.
Gli unici messaggi spammatori che sopravvivono alla scure di Thunderbird sono talmente diluiti nel loro contenuto da essere praticamente inservibili: non possono contenere nomi di prodotti o nessuna delle tipiche parole delle offerte d’acquisto, ed è molto difficile cercare di vendere qualcosa quando non se ne può parlare. Sopravvivono anche alcuni messaggi costituiti esclusivamente da immagini contenenti il testo della pubblicità, ma siccome Thunderbird non visualizza automaticamente le immagini, il risultato è un messaggio vuoto.
C’è anche un’altra tecnica molto astuta usata da Thunderbird per discriminare fra spam e messaggi legittimi: gli indirizzi ai quali si manda un messaggio vengono automaticamente considerati legittimi, a prescindere dal contenuto degli e-mail che mandano. Questo significa che tutti i vostri amici, colleghi e conoscenti ai quali scrivete finiscono automaticamente in una “lista bianca” di indirizzi che non verranno mai considerati spammer. Tutti gli altri sono considerati possibili rompiscatole fino a prova contraria. È grazie a questa finezza che i lettori possono mandarmi persino un testo di uno spam senza per questo finire cestinati dal filtro.
La mamma dei cretini
Purtroppo il limite fondamentale di ogni tecnica antispam è che c’è sempre, e probabilmente ci sarà sempre, qualche cretino che compra dagli spammer. Se non ci fosse, gli spammer cambierebbero mestiere. Il fenomeno spam è insomma un problema psicologico più che tecnologico.
Tuttavia la tecnologia può fare molto per ridurlo: non può sbarazzarci di tutti i cretini (programma troppo ambizioso, per dirla con de Gaulle), ma può impedire in partenza che i cretini vedano lo spam. Se spam e cretino non si possono incontrare perché il programma di posta cestina lo spam automaticamente, il cretino non sa di poter comperare e lo spammer non vende. Così cessa il danno alla Rete.
Ma è evidente che se un utente è tanto ingenuo da abboccare allo spam, è improbabile che sia tecnicamente così sveglio da capire di dover adottare un programma di posta che filtri lo spam; e se anche lo capisce, non sa come fare. Per questo programmi di posta come Thunderbird o software antispam come SpamAssassin sono molto belli, ma finiscono per non arrivare proprio a chi più ne avrebbe bisogno. Di conseguenza, il ruolo di chi produce i programmi di posta preinstallati, quelli che gli utenti usano semplicemente perché se li trovano sul computer e non sanno che esiste di meglio, è assolutamente vitale nella lotta allo spam.
Microsoft ha ribadito in varie occasioni di voler dichiarare guerra allo spam, e in tal senso ha proposto varie soluzioni, tutte però curiosamente orientate a un tornaconto economico. Ce n’è una molto più semplice: fare in modo che Outlook, e soprattutto Outlook Express, somiglino di più a Thunderbird, senza dipendere da soluzioni antispam proprietarie. E se proprio si vuole andare fino in fondo, stabilire la semplice regola di cestinare alla fonte, direttamente presso i provider, ogni e-mail contenente codice HTML. Significherebbe perdere un po’ di effetti grafici tanto carini, ma il sacrificio sarebbe compensato da una massiccia estinzione dello spam. Non ne vale la pena?
L'autore
Iscriviti alla newsletter
Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo
