Home page

www.gelpi.it

Clusit image

home

area tecnica

articoli

eventi


Un filo comune lega malware e spam

I disservizi che da parecchi giorni affliggono l'internet in Italia riguardano la posta elettronica, i server DNS e forse la larghezza di banda disponibile sul cosiddetto backbone, cioè la spina dorsale dell'internet italiana. Molti cercano di spiegare questi malfunzionamenti dando la colpa al numero di malware (programmi maligni che affliggono la rete), aumentati in questo periodo.
Proviamo ad analizzare i problemi in modo distinto.

E' un dato di fatto che i server addetti allo scambio di posta elettronica di alcuni grossi provider italiani sono in crisi. Dai codici di errore che ritornano quando si cerca di inviare un messaggio, viene da pensare che questi server siano saturi. Infatti da un po' di tempo i server di alcuni di questi provider rispondono con un messaggio di errore, chiedendo di re-inviare il messaggio in un secondo tempo, perché sono troppo occupati. Sembra chiaro che su questi server la quantità di messaggi in arrivo e/o in partenza è molto più alta che in passato. Ma questo è abbastanza normale nel periodo pre-natalizio. Ci deve essere anche qualche cosa d'altro. Sicuramente ci sono molti più messaggi del cosiddetto spam (posta-spazzatura) e generati da malware e worm che purtroppo ancora attecchiscono sulle postazioni di troppi utenti.

Tuttavia la mia impressione è che dal mese di settembre si siano intensificati i tentativi di trovare indirizzi di posta elettronica inviando messaggi e provando, con una ricerca che si potrebbe definire di forza bruta, tutte le possibili combinazioni di lettere che compongono il nome di una mailbox.
Una tecnica usata da alcuni spammer è inviare il messaggio ad un server di posta qualsiasi con un destinatario inesistente, ma un mittente valido, per costringere il server a inviare una e-mail di errore al finto mittente. Lo scopo di questa tecnica è quello di oltrepassare i filtri antispam basati sugli IP dei mittenti.

I maggiori provider soffrono di un ulteriore potenziale problema. Proprio a causa delle loro dimensioni hanno più server dedicati alla posta, in modo di distribuire il carico. In altre parole, quando si invia un messaggio, questo viene immesso sulla rete da un server scelto secondo certi criteri; il messaggio successivo utilizzerà quasi sicuramente un altro dei server disponibili. Una tecnica di difesa dallo spam, chiamata greylisting, prevede di rifiutare temporaneamente i messaggi se l'indirizzo IP e il mittente non sono inseriti in un apposito elenco creato automaticamente dal filtro. In pratica, la prima volta che il server di posta di un certo mittente manda un messaggio, questo viene rifiutato dal server del destinatario e si chiede al server del mittente di rispedirlo dopo un po' di tempo.

Quando il server di partenza trova server di ricezione che si difendono, molto efficacemente a dir la verità, con questa tecnica, è costretto a tentare di inviare lo stesso messaggio molte volte, in quanto ad ogni tentativo di invio viene usato un server e quindi un indirizzo IP differente; solo quando il messaggio verrà inviato una seconda volta dallo stesso server sarà accettato dal destinatario. In questi casi il messaggio impiega anche molte ore (durante le quali rimane parcheggiato sul server del mittente) per essere spedito, e più numerosi sono i server che inviano, più aumenta la probabilità che il messaggio sia ritardato sempre più. Questa potrebbe essere una delle cause dei tempi lunghi per l'invio di posta elettronica che gli utenti di alcuni grandi provider riscontrano.

Il problema del gran numero di malware che girano per la rete in questo periodo è indice ancora una volta di scarsa attenzione ai problemi della sicurezza, soprattutto da parte di utenti collegati all'internet mediante ADSL con IP dinamico. Infatti la quantità di virus e worm proveniente da tali IP è ancora troppo alta nonostante di queste cose si parli ormai da molti anni. Tuttavia dare la colpa solo agli utenti non sarebbe giusto.

A mio avviso una grossa responsabilità la hanno anche tutte quelle case di software, le grandi ma anche molte di quelle piccole, che costringono gli utenti a fare gli amministratori delle proprie postazioni per poter eseguire qualche applicativo, fornendo così un terreno molto fertile a malware che non hanno difficoltà ad installarsi e così tentare poi di propagarsi. Se gli utenti potessero utilizzare le loro postazioni con permessi limitati, molti malware non potrebbero installarsi e i danni alle postazioni degli utenti e i disagi di tutta la rete sarebbero sicuramente minori.
Agli amministratori delle reti invece, va imputata una ancora non sufficiente attenzione al traffico in uscita dalle reti da loro gestite. Impedire che malware vadano in giro per internet cercando di fare danni dovrebbe essere una preoccupazione di tutti gli addetti ai lavori.

I provider segnalano un'esplosione nelle chiamate fatte verso i servizi DNS, al punto da mettere in ginocchio la "risoluzione" dei nomi a dominio e quindi il funzionamento dell'internet stessa. Come ricorda molto bene Claudio Allocchio (Il DNS è l'internet stessa: non si tocca!) il DNS è l'anima dell'internet, nel senso che senza DNS l'internet si ferma, come purtroppo stanno sperimentando molti utenti.
Questo però potrebbe essere solo un effetto secondario, come ipotizza Stefano Chiccarelli (uno dei maggiori esperti di sicurezza dell'internet italiana). Secondo Chiccarelli potrebbe semplicemente trattarsi di un malware scritto male che, invece di scandagliare la rete usando i numeri IP come i suoi predecessori, sta usando i nomi, e quindi per arrivare a destinazione deve necessariamente inviare le proprie richieste ai servizi DNS, saturandoli.

Sulla mailing list di sikurezza.org Marco d'Itri scrive che il problema è generato dal messaggio della finta diffida da parte di un avvocato, che è circolato nei giorni scorsi. Il link incluso contiene un "cavallo di Troia" che una volta installato (se l'utente fa clic sul link incluso nel messaggio), scarica dalla rete un sistema per inviare spam, utilizzando i server di posta degli ISP. Il tutto è gestito, sempre secondo D'Itri, dalla criminalità organizzata russa con la probabile complicità di personaggi che in passato hanno sfruttato spam e dialer.

Può anche darsi che il problema sia legato al backbone italiano, che non è più in grado di sostenere tutto il traffico che su esso converge, ma il fatto che i piccoli provider, che si appoggiano sullo stesso backbone, riescano ad offrire servizi più che accettabili sembra dimostrare il contrario. Il problema dovrebbe essere legato più all'ultimo miglio, dove si sta spingendo per l'ampliamento della banda con ADSL2; manovra più commerciale che altro, visto che la qualità di questi collegamenti è almeno in certe ore della giornata piuttosto scadente, come lamentano molti utenti. Ma il backbone italiano è realmente in grado di supportare il notevole incremento di traffico che la banda larga sull'ultimo miglio permette? Per avere la banda larga, su cui poi veicolare servizi, è necessario innalzare la banda minima garantita, oltre alla banda massima, il che significa allargare di molto la capacità trasmissiva del backbone nazionale.

I problemi potrebbero quindi essere non direttamente collegati l'uno all'altro, anche se il filo comune porta ai malware e allo spam. Le statistiche ci dicono che questi fenomeni sono in aumento e questo potrebbe essere l'inizio di un periodo difficile per la rete in Italia.
Per dovere di cronaca va ricordato che i periodi critici non sono una novità. Basta ricordare le difficoltà di usare la rete agli inizi del 1996, quando decollò l'internet in Italia, o alcuni anni dopo, quando iniziarono a diffondersi le linee ad alta velocità. Ora tuttavia i problemi sembrano diversi, non sono più i fili ad essere incriminati, ma i servizi che sui fili corrono.

Andrea Gelpi

Pubblicato su Interlex il 19/12/2006



copyfree/privacy

contatto

curriculum


Ultimo aggiornamento il 14 August 2018 20:18:31.