I disservizi che da parecchi giorni affliggono l’internet in Italia riguardano
la posta elettronica, i server DNS e forse la larghezza di banda disponibile sul
cosiddetto backbone, cioè la spina dorsale dell'internet italiana. Molti
cercano di spiegare questi malfunzionamenti dando la colpa al numero di malware
(programmi maligni che affliggono la rete), aumentati in questo periodo.
Proviamo ad analizzare i problemi in modo distinto.
E' un dato di fatto che i server addetti allo scambio di posta elettronica di
alcuni grossi provider italiani sono in crisi. Dai codici di errore che
ritornano quando si cerca di inviare un messaggio, viene da pensare che questi
server siano saturi. Infatti da un po' di tempo i server di alcuni di questi
provider rispondono con un messaggio di errore, chiedendo di re-inviare il
messaggio in un secondo tempo, perché sono troppo occupati. Sembra chiaro che
su questi server la quantità di messaggi in arrivo e/o in partenza è molto
più alta che in passato. Ma questo è abbastanza normale nel periodo
pre-natalizio. Ci deve essere anche qualche cosa d'altro. Sicuramente ci sono
molti più messaggi del cosiddetto spam (posta-spazzatura) e generati da malware
e worm che purtroppo ancora attecchiscono sulle postazioni di troppi
utenti.
Tuttavia la mia impressione è che dal mese di settembre si siano
intensificati i tentativi di trovare indirizzi di posta elettronica inviando
messaggi e provando, con una ricerca che si potrebbe definire di forza bruta,
tutte le possibili combinazioni di lettere che compongono il nome di una mailbox.
Una tecnica usata da alcuni spammer è inviare il messaggio ad un server
di posta qualsiasi con un destinatario inesistente, ma un mittente valido, per
costringere il server a inviare una e-mail di errore al finto mittente. Lo scopo
di questa tecnica è quello di oltrepassare i filtri antispam basati sugli IP
dei mittenti.
I maggiori provider soffrono di un ulteriore potenziale problema. Proprio a
causa delle loro dimensioni hanno più server dedicati alla posta, in modo di
distribuire il carico. In altre parole, quando si invia un messaggio, questo
viene immesso sulla rete da un server scelto secondo certi criteri; il messaggio
successivo utilizzerà quasi sicuramente un altro dei server disponibili.
Una tecnica di difesa dallo spam, chiamata greylisting, prevede di
rifiutare temporaneamente i messaggi se l'indirizzo IP e il mittente non sono
inseriti in un apposito elenco creato automaticamente dal filtro. In pratica, la
prima volta che il server di posta di un certo mittente manda un messaggio,
questo viene rifiutato dal server del destinatario e si chiede al server del
mittente di rispedirlo dopo un po' di tempo.
Quando il server di partenza trova server di ricezione che si difendono,
molto efficacemente a dir la verità, con questa tecnica, è costretto a tentare
di inviare lo stesso messaggio molte volte, in quanto ad ogni tentativo di invio
viene usato un server e quindi un indirizzo IP differente; solo quando il
messaggio verrà inviato una seconda volta dallo stesso server sarà accettato
dal destinatario. In questi casi il messaggio impiega anche molte ore (durante
le quali rimane parcheggiato sul server del mittente) per essere spedito, e più
numerosi sono i server che inviano, più aumenta la probabilità che il
messaggio sia ritardato sempre più. Questa potrebbe essere una delle cause dei
tempi lunghi per l'invio di posta elettronica che gli utenti di alcuni grandi
provider riscontrano.
Il problema del gran numero di malware che girano per la rete in
questo periodo è indice ancora una volta di scarsa attenzione ai problemi della
sicurezza, soprattutto da parte di utenti collegati all’internet mediante ADSL
con IP dinamico. Infatti la quantità di virus e worm proveniente da tali IP è
ancora troppo alta nonostante di queste cose si parli ormai da molti anni.
Tuttavia dare la colpa solo agli utenti non sarebbe giusto.
A mio avviso una grossa responsabilità la hanno anche tutte quelle case di
software, le grandi ma anche molte di quelle piccole, che costringono gli utenti
ad fare gli amministratori delle proprie postazioni per poter eseguire qualche
applicativo, fornendo così un terreno molto fertile a malware che non
hanno difficoltà ad installarsi e così tentare poi di propagarsi. Se gli
utenti potessero utilizzare le loro postazioni con permessi limitati, molti malware
non potrebbero installarsi e i danni alle postazioni degli utenti e i disagi di
tutta la rete sarebbero sicuramente minori.
Agli amministratori delle reti invece, va imputata una ancora non sufficiente
attenzione al traffico in uscita dalle reti da loro gestite. Impedire che malware
vadano in giro per internet cercando di fare danni dovrebbe essere una
preoccupazione di tutti gli addetti ai lavori.
I provider segnalano un’esplosione nelle chiamate fatte verso i servizi DNS,
al punto da mettere in ginocchio la “risoluzione” dei nomi a dominio e
quindi il funzionamento dell’internet stessa. Come ricorda molto bene Claudio
Allocchio (Il DNS è l'internet stessa: non si
tocca!) il DNS è l'anima dell’internet, nel senso che senza DNS l’internet
si ferma, come purtroppo stanno sperimentando molti utenti.
Questo però potrebbe essere solo un effetto secondario, come ipotizza Stefano
Chiccarelli (uno dei maggiori esperti di sicurezza dell'internet italiana).
Secondo Chiccarelli potrebbe semplicemente trattarsi di un malware
scritto male che, invece di scandagliare la rete usando i numeri IP come i suoi
predecessori, sta usando i nomi, e quindi per arrivare a destinazione deve
necessariamente inviare le proprie richieste ai servizi DNS, saturandoli.
Sulla mailing list di sikurezza.org Marco
d'Itri scrive che il problema è generato dal messaggio della finta diffida
da parte di un avvocato, che è circolato nei giorni scorsi. Il link incluso
contiene un “cavallo di Troia” che una volta installato (se l'utente fa clic
sul link incluso nel messaggio), scarica dalla rete un sistema per inviare spam,
utilizzando i server di posta degli ISP. Il tutto è gestito, sempre secondo D'Itri,
dalla criminalità organizzata russa con la probabile complicità di personaggi
che in passato hanno sfruttato spam e dialer.
Può anche darsi che il problema sia legato al backbone italiano, che
non è più in grado di sostenere tutto il traffico che su esso converge, ma il
fatto che i piccoli provider, che si appoggiano sullo stesso backbone,
riescano ad offrire servizi più che accettabili sembra dimostrare il contrario.
Il problema dovrebbe essere legato più all'ultimo miglio, dove si sta spingendo
per l’ampliamento della banda con ADSL2; manovra più commerciale che altro,
visto che la qualità di questi collegamenti è almeno in certe ore della
giornata piuttosto scadente, come lamentano molti utenti. Ma il backbone
italiano è realmente in grado di supportare il notevole incremento di traffico
che la banda larga sull'ultimo miglio permette? Per avere la banda larga, su cui
poi veicolare servizi, è necessario innalzare la banda minima garantita, oltre
alla banda massima, il che significa allargare di molto la capacità trasmissiva
del backbone nazionale.
I problemi potrebbero quindi essere non direttamente collegati l'uno
all'altro, anche se il filo comune porta ai malware e allo spam. Le
statistiche ci dicono che questi fenomeni sono in aumento e questo potrebbe
essere l'inizio di un periodo difficile per la rete in Italia.
Per dovere di cronaca va ricordato che i periodi critici non sono una novità.
Basta ricordare le difficoltà di usare la rete agli inizi del 1996, quando
decollò l’internet in Italia, o alcuni anni dopo, quando iniziarono a
diffondersi le linee ad alta velocità. Ora tuttavia i problemi sembrano
diversi, non sono più i fili ad essere incriminati, ma i servizi che sui fili
corrono.
|
Pagina stampabile
