Risparmia 100€ con il codice BIGADATA100

Big Data Executive | Milano | sabato 30 novembre

Iscriviti
Home
Yahoo! altera di soppiatto i testi dei messaggi

16 Luglio 2002

Yahoo! altera di soppiatto i testi dei messaggi

di

In nome di una falsa sicurezza, da mesi Yahoo! sostituisce senza preavviso alcune parole all'interno dei messaggi degli utenti. I risultati sono comici, ma causano infinita confusione e si stanno diffondendo al resto della Rete. Risate a parte, è lecito alterare di nascosto la nostra corrispondenza elettronica?

Avete un indirizzo di posta presso Yahoo!? Allora attenti a quello che scrivete, perché al destinatario potrebbe arrivare un testo diverso da quello che inviate. Viceversa, se ricevete messaggi sconclusionati da un utente Yahoo!, non preoccupatevi per la sua salute mentale: è Yahoo! che gli ha alterato il testo.

Da almeno un anno, infatti, Yahoo! ha introdotto una serie di filtri di sicurezza che esplorano ogni e-mail alla ricerca di sequenze di simboli che potrebbero costituire codice ostile. Nell’e-mail redatta in formato HTML (quella con gli effetti grafici), infatti, si possono annidare comandi che in certi casi vengono eseguiti automaticamente dal computer del destinatario, con effetti potenzialmente disastrosi: si va dalla diffusione di virus alla lettura remota dei file della vittima. Così, per tutelare gli utenti, se i filtri di Yahoo! trovano una sequenza a rischio la sostituiscono con una sequenza innocua.

Detta così sembra un’ottima idea. Purtroppo, però, Yahoo! ha impostato dei filtri così incredibilmente stupidi che sostituiscono anche sequenze assolutamente innocue. Scrivete “freedom of expression” (“libertà di espressione”) in un e-mail HTML destinato a un utente Yahoo!, e il destinatario vedrà “freedom of statement”, ossia un incoerente “libertà di dichiarazione” o “libertà di estratto conto” quando visualizza il messaggio via Web. Ditegli che la vostra bevanda preferita si chiama “mocha” (una cosa che gli americani spacciano per caffè) e Yahoo! vi correggerà facendovi dire che vi piace l’espresso. Confusione nella confusione, se l’utente Yahoo! scarica il messaggio alterato usando un client di posta, si ritrova il messaggio originale, per cui non sa quale dei due è quello autentico. Provare per credere.

Carnreviewe, chi era costui?

Fino a poco tempo fa le cose andavano anche peggio. Un’altra parola “proibita”, infatti, era “eval”, che però Yahoo! sostituiva (con “review”) anche quando era contenuta all’interno di una parola più lunga. Di conseguenza, “medievale” diventava “medireviewe“, “carnevale” si trasformava in “carnreviewe“, e così via. L’elenco completo delle “parole proibite” di Yahoo! scoperte finora è disponibile presso Need to Know.

I risultati di questa follia sono tuttora reperibili in Rete tramite Google: oltre mille “medireview“, trasformazione dell’inglese medieval, diffusa al punto che nei newsgroup dedicati alla storia medievale molti si chiedono da dove provenga e cosa significhi questa nuova parola, e quasi seicento “freedom of statement”, accompagnati da un assortimento di “primreview”, “reviewuate”, “retrireview” e altro ancora.

L’italiano è stato abbastanza risparmiato, probabilmente perché poche parole italiane contengono la stringa “eval”, ma comunque in giro si trovano perle come “Uno spontaneo, e quindi rivoluzionario, carnreviewe sarà la voce della nostra resistenza. Un carnreviewe di disobbedienza…” oppure “Le deliberazioni sono prese a maggioranza di voti; in caso di parità, prreviewe il volto dei Presidente.”.

La storpiatura di “medievale” compare addirittura in un articolo di giornale: “Il Fondo Pensioni Cariplo è proprietario di un’azienda agricola di 1.300 ettari e di una parte del borgo medireviewe di Trequanda”. Chiunque legga frasi del genere dubiterà seriamente delle facoltà mentali di chi le ha scritte; non gli verrà mai in mente che i testi possano essere state sabotati da Yahoo!.

Non solo posta

Come avrete probabilmente notato, gli esempi precedenti non sono e-mail, ma pagine del Web. Questo significa che il filtro pazzo di Yahoo! ha effetto anche al di fuori dell’e-mail pura e semplice. Secondo Bugnet, infatti, anche gli allegati Word trasmessi tramite Yahoo! vengono alterati, e ZDNet sembra confermare questa situazione. Le mie prove in effetti confermano che tuttora gli allegati HTML ricevuti da un utente Yahoo! vengono visualizzati via Web modificandone il testo, e che se la stringa “eval” è a fine parola continua ad essere cambiata in “review”.

Sembra incredibile che un’azienda delle dimensioni di Yahoo! sia colpevole di un atto così pateticamente dilettantesco, ma è così. Che cosa ci vuole a scrivere un parser che distingua fra eval come parola intera ed eval come stringa, o che modifichi le parole “proibite” soltanto se compaiono all’interno di uno script? Ma a parte l’incompetenza tecnica dimostrata, la cosa più irritante è il modo surrettizio in cui è stato implementato questo filtraggio.

In sostanza, Yahoo! si è presa il diritto di aprire la nostra posta, cancellare le parole sgradite e sostituirle con alter senza senso, facendoci fare la figura degli imbecilli con i nostri amici e i nostri colleghi. Grazie, Yahoo!, ma veramente a me bastano le figuracce che faccio da solo; non ho bisogno di questo genere di aiuto.

Porte blindate in case di cartone

Il caso di Yahoo! è un classico esempio di approccio sbagliato alla sicurezza. Si introduce una vulnerabilità (l’e-mail in formato HTML, la stessa che consente a Outlook di diffondere così efficacemente worm e virus) e poi si mette una pezza per turarla, quando invece bisognerebbe prendere il toro per le corna ed estirpare la vulnerabilità alla radice, bandendo una volta per tutte l’e-mail HTML.

Il motivo per cui non si prende questa semplice decisione è ormai chiaro, ed è lo stesso per cui Outlook non consente di ricevere e-mail HTML senza interpretarla, visualizzandola invece come puro testo (che sarebbe la madre di tutte le misure antivirus): l’e-mail senza gli effetti grafici dell’HTML è “brutta” e soprattutto non permette agli spammer – pardon, “inserzionisti” — di agghindare le loro pubblicità con immagini e animazioni. Ancora una volta, quando si tratta di scegliere tra la sicurezza dell’utente e l’appagamento dei bisogni della lobby dei pubblicitari, ci rimette l’utente.

E se vogliamo essere paranoici fino in fondo, non c’è nulla che impedisca a Yahoo! (o a qualsiasi altro fornitore di servizi analoghi) di aggiungere alle parole proibite concetti un po’ più delicati: religione, politica, sessualità, nomi di aziende. Tutto viene fatto naturalmente a fin di bene, in nome della “sicurezza”: ma la censura, con qualsiasi altro nome la si chiami, ha lo stesso olezzo.

Imparare a difendersi

Il rimedio a questo pericolo esiste: l’integrità di un messaggio può essere verificata facilmente adottando soluzioni come PGP. È ora di cominciare ad usarle per firmare l’e-mail, in modo da essere sicuri che il prossimo filtro furbo non possa commettere alterazioni di nascosto. Un e-mail “firmato” con il PGP è leggibile da chiunque, ma ha il vantaggio che qualsiasi modifica non autorizzata balza all’occhio come il bianchetto su una lettera.

Può sembrare una precauzione eccessiva, ma credo che sia ormai indispensabile per tutelare qualsiasi comunicazione importante. Attualmente non c’è nulla che impedisca a un malintenzionato di mandare un e-mail spacciandosi perfettamente per voi, devastandovi la vita privata e il lavoro. Non posso fare a meno di considerare che il pasticcio degli e-mail attribuiti a Marco Biagi non esisterebbe se la sua corrispondenza elettronica fosse stata autenticata con PGP.

L'autore

  • Paolo Attivissimo
    Paolo Attivissimo (non è uno pseudonimo) è nato nel 1963 a York, Inghilterra. Ha vissuto a lungo in Italia e ora oscilla per lavoro fra Italia, Lussemburgo e Inghilterra. E' autore di numerosi bestseller Apogeo e editor del sito www.attivissimo.net.

Vuoi rimanere aggiornato?
Iscriviti alla nostra newletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.