|
Questo pezzo, come il lettore più attento avrà notato, è
arrivato in ritardo sull’uscita del corrispondente numero di InterLex. Ma per
una volta ho un’ottima scusa: posso infatti credibilmente sostenere di
averlo mandato per tempo usando la posta elettronica, la quale in questi giorni
mostra tempi di consegna addirittura superiori a quelli della posta cartacea!
Scherzi a parte, mentre scrivo nella notte tra il 19 e il 20 dicembre, ci sono i
primi segnali del ritorno alla normalità. Ma siccome il disastro delle ultime
due settimane potrebbe riproporsi, è opportuno analizzare che cosa è successo.
È chiaro a tutti che da qualche parte c’è un problema:
ciò su cui nessuno è d’accordo è dove sia localizzato né quale esso sia.
Dopo i primi giorni di lentezze a macchia di leopardo, durante i quali ciascun
utente della Rete dava la colpa dei disservizi all’inefficienza del proprio
provider, si è scoperto che i problemi li avevano più o meno tutti. A questo
punto i provider si sono detti “mal comune mezzo gaudio” e hanno denunciato
all’unisono misteriosi attacchi DDoS (Distributed Denial of Service)
contro i DNS, mentre sui forum ed i newsgroup i soliti bene informati puntavano
il dito sulla famosa “mail dell’avvocato”, responsabile di diffondere
nefandi malware.
Alcuni analisti tuttavia preferivano dare la colpa ad un’insufficiente
crescita di capacità della connessione ATM fornita agli ISP dall’ex-monopolista
Telecom a fronte di un indiscriminato aumento dell’offerta commerciale per
servizi a banda larga, mentre i media generalisti, ansiosi come al solito di
poter screditare Internet agli occhi dell’uomo comune, profetizzavano
apocalitticamente la fine stessa della Rete, la quale starebbe ormai per
implodere sotto il suo stesso peso non essendo più in grado di assicurare l’efficienza
della propria infrastruttura.
La verità molto probabilmente non la conosceremo mai, ma
quasi certamente sta come al solito nel mezzo: la colpa dei disservizi di
dicembre 2006 è dunque data verosimilmente da una combinazione di questi
fattori e forse di altri ancora, quali ad esempio le sciocche politiche
protezionistiche di alcuni ISP che impediscono ai propri utenti di utilizzare
DNS posti all’esterno della propria rete, o la scarsissima attenzione rivolta
dai fornitori di connettività verso la sicurezza dei PC dei propri abbonati,
che consente la proliferazione incontrastata di eserciti di zombie dediti
all’invio di spam e malware.
Proviamo allora a mettere insieme i vari pezzi e cerchiamo di
ricostruire cosa sta succedendo sulla Rete italiana in questo periodo. Per farlo
occorre tornare indietro nel tempo di ben sei mesi, quando sulla grande Internet
iniziò a diffondersi il primo (e fortunatamente unico, almeno per ora)
esemplare di una nuova generazione di malware straordinariamente
sofisticato. Si trattava del cosiddetto “SpamThru”, un trojan
insidiosissimo veicolato tramite i canali P2P e meticolosamente ingegnerizzato
al preciso scopo di trasformare la propria vittima in uno zombie, ossia
un computer “impossessato” da utilizzare per spedire tonnellate di spam
contro la sua volontà ed all’insaputa del suo proprietario.
Nulla di nuovo sotto al sole, in un certo senso: già da parecchio tempo,
infatti, gli spammer utilizzano virus o trojan per costringere computer altrui
ad inviare posta indesiderata. Tuttavia SpamThru, grazie ad alcune
caratteristiche estremamente innovative, ha portato quest’attività verso
traguardi di perfezione mai raggiunti prima.
Tanto per cominciare, i computer infettati da SpamThru sono
organizzati in una botnet (letteralmente, “rete di robot”) assai più
sofisticata di quanto avvenga in casi analoghi. I partecipanti (o bot)
sono infatti organizzati in tante sottoreti costituite da 512 elementi al
massimo, all’interno delle quali essi comunicano tra di loro mediante un
apposito protocollo peer-to-peer. Ciascuna sottorete comunica inoltre,
come un tutto unico, con un server centrale di controllo che non si limita ad
inviare i propri ordini, ma riceve da essa informazioni di stato e statistiche
di attività. Questo duplice livello di networking non solo assicura un’elevatissima
efficienza globale della comunicazione tra server e zombie, ma
soprattutto garantisce alla rete la capacità di rimanere integra e funzionante
anche in seguito ad attacchi e tentativi di disabilitazione dei singoli client o
dei canali di comunicazione verso il server.
Al contrario dei soliti spambot, che si limitano a
rilanciare a molteplici indirizzi tante copie conformi dei messaggi di spam
ricevuti dal server centrale, SpamThru contiene al suo interno un vero e proprio
spam engine in grado di confezionare localmente i messaggi di spam. Esso
infatti riceve dal server solo un template (oltretutto tramite un canale
cifrato con crittografia forte) e poi provvede localmente a generare i messaggi
veri e propri e ad inviarli ai destinatari. In questo modo ciascun bot
può elaborare liste di indirizzi diverse, ma soprattutto produrre copie
differenti dei medesimi messaggi al fine di eludere i controlli dei motori
antispam dei destinatari.
In effetti SpamThru applica ai propri messaggi ben tre
meccanismi anti-antispam: innanzitutto il messaggio di spam viene generato sotto
forma di immagine GIF col testo scritto in modo irregolare, così da poter
essere letto da un destinatario umano ma non da un computer e quindi sfuggire ai
filtri testuali automatici; in secondo luogo ciascuna GIF prodotta viene resa
differente da tutte le altre mediante l’inserimento di pixel casuali, in modo
da eludere i controlli basati sui checksum degli allegati; infine il
messaggio “portante” è un elenco sempre diverso (casuale) di parole
plausibili, in modo da confondere i filtri antispam di tipo bayesiano e da
inquinare nel contempo le loro reti di inferenza per ridurne l’efficienza
globale. Il vantaggio di far svolgere tutte queste operazioni ai bot è
ovvio: si sfrutta la capacità di calcolo di ciascun singolo client per poter
produrre milioni di messaggi tutti differenti l’uno dall’altro in una
frazione del tempo che sarebbe necessario se la generazione dovesse avvenire
sull’unico server centrale di controllo.
Ma non è finita qui. Come fanno molti suoi colleghi, anche
SpamThru cerca di assicurarsi la propria sopravvivenza inibendo eventuali
antivirus presenti sul computer vittima o impedendo loro di ricevere gli
aggiornamenti dal produttore. Tuttavia per assicurarsi di essere il solo
incontrastato “padrone” della macchina, il malvagio ospite ricorre persino
ad un noto antivirus commerciale (Kaspersky AntiVirus for WinGate), che provvede
a scaricare dal proprio server di controllo in versione appositamente craccata,
per “ripulire” il computer da eventuali altri concorrenti indesiderati quali
virus o trojan che potrebbero interferire con le sue attività!
Per tali sue caratteristiche molti esperti ritengono che
SpamThru sia il principale responsabile dell’enorme incremento di spam
rilevato su tutto il pianeta a partire dall’autunno 2006, con livelli medi
costantemente superiori rispetto a quelli dei tre mesi precedenti per fattori
variabili tra il 35 ed il 450 per cento. È certo inoltre che la botnet
di zombie controllata mediante SpamThru superi i 70.000 computer, e sia
diffusa in oltre 160 nazioni del mondo. Il server di controllo (ce n’è in
effetti più d’uno…) si trova in Russia, ed è gestito da un’organizzazione
criminale che oltretutto non si limita semplicemente ad usare la botnet
per mandare il proprio spam (il quale è solitamente di tipo “pump&dump”,
ossia finalizzato a far acquistare azioni di un titolo di borsa sconosciuto ma
di cui si annuncia l’immediato successo) ma rivende l’utilizzo della
rete ad organizzazioni terze che la utilizzano per veicolare i loro malware!
Ebbene, tra gli ultimi giorni di novembre ed i primi di
dicembre, su questa situazione già sufficientemente problematica si è venuta
ad inserire una doppia minaccia altrettanto micidiale, ancorché limitata al
solo territorio italiano. Si tratta della famosa e famigerata “lettera dell’avvocato”,
che poi in realtà erano due messaggi distinti, veicolati a diversi giorni di
distanza, e caratterizzati da contenuti diversi e payload leggermente
differenti. Il primo aveva la forma di una lettera di protesta da parte di uno
studio legale che asseriva di aver ricevuto uno spam pornografico da parte della
vittima; il secondo appariva invece come la richiesta del pagamento di una
fattura insoluta a fronte di prestazioni legali. Entrambi erano astutamente
congegnati in modo da sembrare del tutto plausibili, e soprattutto non portavano
con sé l’agente di attacco ma inducevano la vittima a scaricarlo manualmente
da un sito ritenuto sicuro. Questo fatto, unito alla circostanza che il malware
da scaricare era stato scritto per l’occasione e dunque non era
preventivamente noto agli antivirus, ha fatto sì che una gran quantità di
destinatari sia caduta nell’inganno e si sia infettata con il trojan
Adware.BHO.BK, anch’esso finalizzato all’invio di spam e di messaggi non
desiderati.
Questa pandemia ha sicuramente provocato nel nostro Paese un’ulteriore
ondata anomala di spam che, andando a sommarsi a quella già straordinariamente
pesante causata da SpamThru, ha finito col provocare rapidamente la congestione
dei server di posta di moltissimi provider. Questa ha provocato, come effetto
collaterale, la congestione dei principali DNS, i quali sono stati sollecitati
all’inverosimile per risolvere non solo le centinaia di milioni di indirizzi
dei destinatari dello spam, ma anche per innescare i meccanismi antispam basati
sulle verifiche degli indirizzi dei mittenti. A sua volta, per effetto domino,
la congestione dei DNS ha provocato la paralisi di tutti gli altri servizi della
Rete, dal Web in poi, in quanto tutti fortemente dipendenti dalla pronta
risoluzione degli indirizzi IP dei corrispondenti. E come se non bastasse ciò
ha provocato un’enorme quantità di traffico non desiderato (tutti i retry
dei client le cui richieste scadevano per indisponibilità dei server…) il
quale ha ulteriormente contribuito a saturare i backbone di comunicazione
nazionali, già non particolarmente sovradimensionati e soprattutto già
afflitti in primo luogo dallo spam. Il risultato, in un apocalittico scenario da
medioevo prossimo venturo, è stato sotto gli occhi di tutti per diversi giorni:
rete “piantata”, sessioni “appese”, messaggi di posta recapitati dopo
ore o giorni dall’invio.
Probabilmente il cedimento della Rete nel nostro Paese è
stato solo questo: una concausa di diversi fattori, non necessariamente tutti
tecnici, aggravata dalla tipica inefficienza di molti dei nostri provider e
dalla mancanza di comunicazione e cooperazione tra tutti gli operatori del
settore. Non un attacco premeditato all’infrastruttura, insomma, anche se l’effetto
è stato comunque micidiale. All’origine di tutto c’è probabilmente la
perversa interazione tra spam e malware, che porta l’uno a
moltiplicare la diffusione dell’altro e viceversa; ma il vero fattore critico
è in realtà la scarsissima attenzione riposta dai provider verso le esigenze
di sicurezza dei propri utenti, che sono viste come un problema dei singoli
mentre invece riguardano l’intera società.
La situazione sembra normalizzarsi solo in questi ultimi
giorni, dopo che tutti sono corsi più o meno rapidamente ai ripari adottando
contromisure per la riduzione dei problemi. Ma ancora non sembra tutto
perfettamente a posto, e soprattutto non sappiamo quanto durerà: tra una
settimana Internet vivrà infatti il suo massimo picco fisiologico di traffico
dovuto agli auguri per le festività di fine anno, e miliardi e miliardi di
enormi immagini e pesantissimi file multimediali invaderanno inesorabili le
infrastrutture di comunicazione ed i server di posta di tutto il mondo. Su una
Rete già piuttosto provata ciò potrebbe scatenare un potenziale Denial of
Service proveniente dall’interno dell’infrastruttura stessa.
Naturalmente tutto ciò non significa la fine di Internet.
Finché ci sarà qualcuno disposto a pagare per utilizzarne i servizi, ci sarà
sempre qualcun altro disposto ad ampliarne la capacità di trasmissione. Ciò
andrà avanti sino alla prossima congestione planetaria, dopodiché il ciclo si
ripeterà, simile a sé stesso anche se su scala diversa. È successo quando
ancora Internet non c’era, e la posta viaggiava tramite il venerabile
protocollo uucp tra sistemi Unix che si connettevano l’un l’altro
durante la notte mediante modem analogici a 300 baud: l’introduzione dei modem
a 2400 baud fece temere che le linee “non avrebbero retto” e che tutto il
sistema sarebbe collassato, cosa che puntualmente non si è verificata. È
successo quando ci si connetteva ad Internet in dial-up con modem a 19,2
Kbaud, ed arrivarono i modem a 56 Kbaud. È successo quando i modem a 56 Kbaud
vennero sostituiti da ADSL. Sta succedendo ora che ADSL2 vuole soppiantare ADSL.
Succederà ancora al prossimo cambio di protocollo o di paradigma: ma la Rete
non crollerà, a meno che non ci impegniamo tutti a farla crollare sotto il peso
della nostra stoltezza tecnologica. Ma questo è un discorso troppo lungo, che
rimandiamo ad un’altra volta…
|
Pagina stampabile
