UNA PROPOSTA DI ANALISI SISTEMICA

La definizione di spam

Non mi dilungherò in questa definizione. Mi limito ad osservare che, essendo nei paesi ove esiste una legislazione in materia, reato non perseguibile d'ufficio alla definizione oggettiva, presente nelle varie non uniformi legislazioni, deve essere affiancata la definizione del singolo utente.

Spamming, dal punto di vista legale, non è ciò che corrisponde alla legge ma ciò oltre a corrispondere alla definizione fornita dalla legge venga considerato tale anche da colui che lo riceve.

Tecnicamente un attore terzo non può definire, con certezza, cos'è spam e cosa no. So che è capzioso ma è corretto.

Gli attori

L'attività di spamming coinvolge 7 Attori:

  • 1. colui che commissiona lo spam
  • 2. colui che esegue lo spam
  • 3. colui che riceve lo spam
  • 4. open-relay
  • 5. ISP di colui che esegue lo spam
  • 6. ISP di colui che riceve lo spam
  • 7. ISP di open-relay

Ognuno di questi attori ha ruoli, doveri e responsabilità diversi. Vediamo.

Colui che commissiona lo spam e colui che esegue lo spam

Questi sono, per molte legislazioni, persone che commettono un reato di rilevanza penale e/o amministrativa, sono gli unici attori responsabili per cui vi è un consenso diffuso e comune.

Resta il problema di stabilire dove il reato è compiuto: nel paese di colui che commissiona, nel paese di colui che esegue, nei paesi di trasporto o in quello di destinazione ?

È evidente che l'ONU ha recentemente approvato il primo tribunale internazionale per i crimini contro l'umanità (genocidio ecc. ecc.) al quale hanno aderito meno della metà dei paesi del mondo.

L'idea di avere un tribunale internazionale condiviso da tutti i paesi in grado di punire con efficacia l'attività di spamming a prescindere dalla nazione nella quale il reato è compiuto è quantomeno prematuro.

Ciò non toglie che la legislazione deve includere una definizione di reato per quest'attività, ma non sarà certo la strada efficace nei prossimi anni. Resta però evidente, in una definizione di danni e benefici, che questi due attori sono gli unici con un beneficio evidente.

Colui che riceve lo spam

Vale il simmetrico dei due attori precedenti: è opinione condivisa che sia la vittima, anche se esistono esempi contrari. In ogni caso molte legislazioni lo identificano come unica parte lesa e come unico attore in grado di "vedere" il contenuto dello spam.

Esistono, per dovere di cronaca, esempi contrari: stanno nascendo fornitori di servizi che promettono uno

Open-relay

Vittima, colpevole o complice? Per me è evidente: vittima.

Non trae nessun beneficio, solo danni, la sua "colpa" è quella di non essere un esperto amministratore di server di posta elettronica e usarli ugualmente. È un po' come se si accusasse di complicità o istigazione a delinquere chi subisce un furto in casa essendosi dimenticato di attivare l'antifurto o avendone installato uno non adeguato.

Internet Service Provider

Trasporta bit, impulsi luminosi, perturbazioni elettromagnetiche, variazioni di campo ecc. ecc. Non trasporta spamming, pedofilia, informazioni finanziarie, chiacchiere da bar ecc. ecc.

È evidente che, al più, si occupa di envelope e mai di payload. Vede al più la busta mai il contenuto. Almeno così dovrebbe essere.

Ma qual è la sua responsabilità quando, legalmente, viene al corrente di attività illegali (attraverso la propria rete è un dettaglio)? Ovvio, deve denunciarle alla magistratura. Formalmente null'altro deve né può. Dettagliamo però meglio quale dovrebbe essere la prassi, aldilà della teoria qui esposta.

ISP di colui che esegue lo spam

Trae un beneficio da un'attività illecita, quindi ha la posizione più ambigua.

Deve denunciare il fatto fornendo, su richiesta della magistratura, tutte le informazioni necessarie. Attenzione ho detto informazioni necessarie, non informazioni in suo possesso. L'ISP deve avere le informazioni necessarie, il non averle lo sposta, nella mia opinione, nel ruolo di complice.

È il caso di alcuni operatori, anche italiani, che dichiarano di non essere in grado di risalire all'autore delle attività illecite anche quando la richiesta giunge dalla magistratura.

Ove e quando (spesso) non vi siano i termini per una denuncia deve rispettare rigorosamente la privacy, la legge i contratti.

Con questa limitazione può e deve fare un'attività conoscitiva e, ove possibile ed utile, di "moral suasion" nei confronti dell'autore dello spamming. I contratti dovrebbero prevedere, quando possibile, clausole di recessione applicabili in questo contesto.

Attenzione che è tutt'altro che semplice, senza una sentenza in giudicato che attesti l'attività illegale. È infatti facile prevedere una clausola di rescissione in caso di reati commessi attraverso l'uso di quanto oggetto del contratto, ma è difficile (impossibile) applicare queste clausole quando sussiste solo il sospetto.

Lo si fa, ma con rischio. Infine è compito dell'ISP gestire in modo virtuoso e rispettoso della legge il proprio mail server.

Questo include:

  • Non essere un open relay;
  • Non rifiutare la posta in base a pregiudizi. (nei pregiudizi sono incluse liste gestite da enti diversi dalla magistratura);
  • Limitarsi, in assenza dell'esplicito consenso del singolo destinatario, a gestire l'envelope.

ISP di colui che riceve lo spam

Dovrebbe offrire pieno supporto al cliente e soluzioni coerenti per la riduzione dello spamming.

Queste soluzioni devono essere applicate per-user diestro esplicito consenso. Mai devono comportare la distruzione della corrispondenza se non su esplicita azione dell'utente medesimo.

ISP di open-relay

Non ha responsabilità se non quella morale di dare supporto al proprio cliente vittima degli spammer. Dovrebbe anche, in aggiunta e non in alternativa, offrire soluzioni di outsourcing della posta elettronica.

Le soluzioni di I.NET

Contrattualistica

I.NET prevede l'uso di rescissione unilaterale in caso di mancato rispetto delle "regole della rete" con esplicito riferimento alla netiquette. Questa clausola è stata esercitata due volte, nei 10 anni di storia della I.NET.

Altre volte si è ricorsi alla moral suasion sia per far sospendere le attività incriminate sia per rescindere consensualmente contratti. In altri casi (uno o due) nessuna delle tecniche suddette sono state applicabili. Infatti la rescissione unilaterale richiede, almeno, che il fatto sia palese o riconosciuto dal cliente stesso.

Abbiamo un caso di un cliente, che ha rifiutato le nostre proposte di rescissione consensuale, che è stato ripetutamente accusato di essere uno spammer, principalmente da utenti francesi, che ha resistito più volte in giudizio sempre con esito a lui favorevole. L'opinione diffusa è che sia uno spammer, l'opinione, ribadita, di più di un giudice è contraria. Ovviamente, di fronte alle sentenze della magistratura (in giudicato) abbiamo sospeso ogni tentativo di persuasione, ci siamo scusati, è ancora nostro cliente, è ancora considerato uno spammer e compare, con i suoi IP, i suoi estremi ed i suoi clienti, nella maggior parte delle black list mondiali.

A volte (anche spesso), pure i nostri server vanno in black list per strane considerazioni di vicinanza o complicità. Forse dovrebbero andarci i giudici in black list?

Supporto tecnico

Abbiamo trenta tecnici, non un call center, dedicati al supporto clienti. Gestiamo molti casi, decine al mese, di clienti con open relay sia per cause "virali" che di problemi di configurazione.

In quei casi in cui il problema non è risolvibile, facciamo configurare al cliente, ovviamente con il suo consenso, le nostre macchine come smart relay.

Su queste macchine c'è un algoritmo, descritto oltre, che selettivamente rifiuta le mail provenienti dal cliente in oggetto ma non originate da lui.

Inoltre il supporto tecnico interviene per "togliere" dalle black list a turno noi o nostri clienti con successo nel 100% dei casi. Questo non depone a favore delle black list poiché è evidente che, nel 100% dei casi, i server erano stati inseriti senza fondato motivo. Infine il supporto tecnico risponde a tutte le questioni inerenti via abuse@inet.it

Ricerca e sviluppo

È nostra convinzione che Internet sia ancora troppo giovane (di fatto vent'anni dalla nascita del primo provider: 1984 BBN AS1) perché sia gestita da "operatori di tecnologia".

È nostra opinione che sia ancora competenza dei "produttori di tecnologia" che eroghino servizio grazie ad essa. Probabilmente, tra qualche decennio, a tecnologia consolidata sarà terreno esclusivo di operatori, non produttori, di tecnologia.

È per queste considerazioni che I.NET dedica il 12% delle proprie persone e circa il 9% dei propri costi al gruppo di Ricerca e Sviluppo. Uno dei progetti principale di questo gruppo è rappresentato dai sistemi di posta elettronica ad alta affidabilità. All'interno di questo progetto esistono anche 4 progetti, di cui uno ancora attivo, sui sistemi anti spamming.

Generic (RFC2821) anti open relay

Nel febbraio del 1997 (potrei ricordare male la data) venne diffuso il primo programma di "bulk e-mail". Questo programma conteneva l'elenco dei 100 migliori relay di posta (a loro giudizio) installati fuori dagli Stati Uniti (ove già vi era una legislazione applicabile). Il primo ed il terzo di detto elenco erano macchine di I.NET. Queste macchine, che processavano tranquillamente alcune (poche) centinaia di migliaia di recipient al giorno, improvvisamente, si videro costrette a gestirne decine, centinaia di milioni.

Nasce quindi un progetto dedicato allo spamming. L'obiettivo uno, furono i sistemi anti relay. Questi evolsero rapidamente sino ad essere riconosciuti, da più di una nascente black list, come ottimali. Questo avvenne già nel 1998~1999

Customer open relay heuristic detection

Ovviamente però anche i clienti hanno relay, alcuni di questi risultano open, alcuni di questi non sono sistemabili. Questo perché non tutti i sistemi di posta hanno immediatamente implementato tecniche anti relay (exchange, notes, ecc. ecc.) e perché alcuni clienti si trovano nell'oggettiva impossibilità di intervenire sul sistema (vecchie release con stringenti esigenze di backward compatibility).

In questo contesto I.NET, oltre ad istituire un team di supporto al cliente, ha introdotto una tecnica euristica che consente di distinguere le mail generate da questi clienti con quelle che transitano, contro la volontà del cliente stesso, attraverso i suoi relay aperti. Ad oggi sono alcune centinaia i relay in questa situazione tra i clienti di I.NET. Nessuno di questi è riconosciuto come open relay. Infatti ricevono la posta dagli spammer, la inoltrano a noi, che la rifiutiamo per conto del cliente.

Adaptive, statistic remote spammer detection

Recentemente abbiamo implementato un algoritmo, confesso la cui idea è copiata da una analoga implementata da YAHOO, per il riconoscimento statistico degli spammer in base alle frequenze caratteristiche di errori.

La tecnica si limita, in caso di riconoscimento, ad introdurre una leggera penalty, dell'ordine dei 5 minuti, verso l'IP identificato. In altre parole per 5 minuti si rifiuta, con un temporary error che include l'esatto time-left, il traffico proveniente da questo senza mai forzare la chiusura della connessione. In media sono attive 12~13 mila penalty. In sei mesi si sono riscontrati due casi di "falsi positivi".

Uno, un cliente, con mailing list in condizioni disdicevoli. Il cliente ha ringraziato ed ha provveduto, con il nostro supporto, alla pulizia delle proprie mailing list. Il secondo caso non risolvibile: esistono ISP che assegnano un unico indirizzo a grossi gruppi di utenti (quartieri, palazzi ecc. ecc.). Ovviamente i singoli utenti non sono in alcun modo distinguibili.

Ovviamente questi ISP sono i "covi" preferiti degli spammer. Accade, ad oggi due segnalazioni, che un utente si veda rifiutata la posta per alcuni minuti (massimo 5) perchè un'altro nel suo quartiere è stato penalizzato in quanto sorgente di spamming.

Si deve sottolineare un aspetto rilevante: il nostro sistema, cosi come quello di YAHOO, in nessun modo cerca di "etichettare" chicchessia come spammer. Si limita ad una valutazione statistica degli errori e, al fine di preservare la continuità di servizio, introduce queste brevissime penalty finalizzate alla riduzione degli errori.

Le risposte ed i comportamenti descritti sono esplicitamente autorizzati dagli RFC più cliccati in materia. Resta il fatto che, strana coincidenza, il traffico complessivo di spamming sia diminuito di circa il 40%. Che strano.

Content based filtering

Infine il progetto più ambizioso, costato 5 anni di ricerca.

È un algoritmo che consente circa il 95% di riconoscimento con meno del 0.1% di falsi positivi. Il tutto in assenza di manutenzione, senza bisogno di continui aggiornamenti di regole, impronte, ecc. ecc.

È un algoritmo bayesiano applicato non alla mail ma al contenuto percepito dall'utente con database statistico dedicato per lingue.

Un pochino più nel dettaglio: la suddivisione linguistica serve a confrontare mele con mele e pere con pere. Infatti, prescindendo dalla lingua in approcci statistici (ma anche euristici) si corre il rischio per l'utente medio che tutto ciò che non è nella lingua da lui più abitualmente usata diventi spam.

Poi abbiamo sviluppato e concentrato tutta l'euristica non a decidere cosa è spamming e cosa no (regole in continua evoluzione) ma a decidere cosa vede e comprende l'utente e cosa no (elemento che può essere considerato pressoché invariante).

Ad oggi il progetto è in produzione, senza modifiche né aggiornamenti, da 14 mesi praticamente a rendimento costante. Una versione nuova è in testing da quasi sei mesi. Siamo fiduciosi di poter raggiungere entro due anni un tasso di riconoscimento superiore al 99% con un rate di falsi positivi minori di una su 10.000 spam (non una su 10.000 mail).

MARCO NEGRI

  • Nato a Milano nel 1961.
  • Appassionato e studioso di epistemologia e cibernetica, si e' laureato in Scienze dell'Informazione all'Università Statale di Milano sotto la guida e in stretta collaborazione con Gianni degli Antoni
  • First generation dei provveditori di servizi italiani, figura chiave dello scarno filone nazionale di Ricerca & Sviluppo in ambito business.
  • Dal 1981 al 1985 è stato Unix System Administrator e programmatore, si è occupato di progettazione e amministrazione di reti TCP/IP, connessioni Internet e di sistemi di sicurezza Internet.
  • Tra le diverse realizzazioni si citano ad esempio:
    • la progettazione e la gestione della rete del Dipartimento di Scienze dell'Informazione dell'Università di Milano;
    • un sistema operativo embedded per il controllo dei sistemi aeroportuali; una suite di compilatori TDF per ARM, PowerPC, Alpha;
    • un sistema di backup distribuito multi media;
    • compilatori per Objective C, Lisp, dtl.
  • Ha tenuto corsi di formazione per IBM Italia e i top customer su TCP/IP e Unix AIX.
  • Nel 1993 con Franco Groppi ha fondato Anthropos.
  • Ha svolto un ruolo costante nella costituzione di rules e nodi strategici della Rete italiana:
    • Membro attivo e costituente di ITA-PE
    • Promotore della Naming Authority Italiana nel cui Comitato Esecutivo ha svolto ruolo cospicuo nel dibattito per la definizione delle originarie Regole di Naming e Procedure Tecniche di Registrazione
    • Co-fondatore del MIX e di INET, in ruolo di Direttore Tecnico e Responsabile della R&D
    • In questa ultima veste ha diretto una fondamentale ricerca operativa per la definizione e l' implementazione di un sistema di filtraggio antispam automatico basato sullo sviluppo di algoritmi bayesiani
    • Membro corrispondente di spam@isoc.it
    • Dal Marzo 2005 impegnato alla disamina e discussione in rete di un modello teorico MTP antispam.
  • Dal 28 Aprile 2005 sospende i vincoli professionali e inaugura un periodo sabbatico di studio e servizio alla comunita' internet.
  • la rete contro lo spam indice
    negri