Originariamente pubblicato in data 05/02/2007
A
C
C
O
M
A
Z
Z
I
La spam nel 2007
La spam nel 2007
Come fanno i delinquenti a indovinare le nostre password e i nostri indirizzi di posta elettronica? Facile!
Uno spot di trenta secondi alla televisione costa circa tre centesimi per ogni spettatore. Una pagina a colori su una rivista, un centesimo e mezzo. Spedire una busta con una pubblicità e il coupon per aderire (abbonarsi, sottoscrivere) è di gran lunga più costoso: si può sfiorare il franco per ogni destinatario. Il mezzo più economico per contattare un potenziale cliente è anche il più odioso per i consumatori: la posta elettronica indesiderata, o spam . In questo caso, il costo di mercato è di circa un franco per ogni diecimila e-mail consegnate.
Tra i nostri lettori, quelli più affezionati alla posta elettronica a questo punto faranno un balzo sulla sedia e osserveranno che la spam è odiosa a tal punto che tutti la gettano senza degnarla di un secondo sguardo. Purtroppo non è così: secondo alcune stime circa sette persone ogni milione contattare non soltanto legge, ma cade vittima di una potenziale truffa proposta nel messaggio; per le spam di tenore pubblicitario (come le copie di orologi e prodotti di ancor più basso gusto) si sale a uno ogni centomila. Una percentuale comunque bassissima, certo, ma sufficiente a rendere redditizia la spedizione di miliardi di messaggi indesiderati.
Il problema, per gli artefici di questo traffico fastidiosissimo, è come recuperare un numero sufficiente di indirizzi a cui spedire la posta-spazzatura. Nel tempo, si sono sviluppate numerose tattiche: noi ne vogliamo informare i nostri lettori di modo che possano cercare di evitare di caderne vittima.
Innanzitutto, gli spammer consultano gli elenchi di tutti i nomi registrati sull'Internet, come per esempio cdt.ch oppure microsoft.com, e li combinano con un dizionario dei nomi, tentando tutte le combinazioni possibili. Proveranno abele@cdt.ch, abramo@cdt.ch, achille@cdt.ch e così via sino a zuzzurellone@cdt.ch, tentando sia i nomi che i cognomi più diffusi. La stragrande maggioranza dei messaggi spediti rimbalzeranno, ma quelli che risulteranno consegnati da quel momento saranno vittima di invii massicci. Quindi, chi vuole evitare la spam favorisca gli indirizzi del tipo nome.cognome@cdt.ch.
Una fonte preziosissima di indirizzi e-mail è il web. Sono stati creati sofisticati programmi che leggono tutte le pagine web al mondo alla ricerca di un testo che somiglia a qualcosa@qualcosaltro. Si chiamano in gergo harvester
, il che significa all'incirca mietitrebbia, e le versioni moderne sono in grado di aggirare anche i più diffusi escamotage messi in atto dalle persone per bene alla ricerca di una difesa, come gli spazi inseriti prima del simbolo @ oppure l'inserimento di parole extra, per esempio luca@RIMUOVIaccomazzi.net. La maggior parte del... raccolto viene mietuto sugli spazi dove i giovani si scambiano messaggi: i forum, i cosiddetti newsgroup
. Ma ci sono anche vasti e pubblici elenchi, come le pagine bianche del telefono, accessibili in rete: un esempio è directories.ch. Quindi per scamparla dovremmo mantenere privato il nostro indirizzo e usarlo esclusivamente per corrispondere privatamente con amici e conoscenti.
Gli autori di spam sono spesso in combutta con i criminali che scrivono virus. Quando un moderno virus prende il controllo di un PC all'insaputa del suo proprietario viene spessissimo usato per due scopi. Primo, tutti gli indirizzi presenti nella rubrica di contatti personale del titolare viene mietuta e trasmessa via Internet per future spedizioni; secondo, il PC stesso viene usato per inoltrare pubblicità indesiderate (non necessariamente alle persone appena citate). E qui è davvero difficile restare immuni, perché basta che un nostro contatto poco prudente si lasci infettare per violare la nostra privacy.
Una volta che un indirizzo è diventato di dominio degli spammer, nulla si può fare per liberarsi di questi appiccicosissimi molestatori. Un esempio preso dalla vita personale dello scrivente: io anni fa utilizzavo l'indirizzo luca@accomazzi.net. Quattro anni fa, nauseato dalle montagne di spazzatura che mi raggiungevano, l'ho chiuso e ho preso ad usare altri indirizzi. Per una prova, poco fa ho riattivato il vecchio indirizzo compromesso. Ho creato nuovamente la casella mentre stavo scrivendo le parole "una volta" all'inizio di questo paragrafo. Nel momento in cui scrivo questa riga, l'indirizzo luca@accomazzi.net ha accumulato esattamente 107 messaggi pubblicitari. E io scrivo piuttosto velocemente...
Le nostre parole d'ordine, quelle password che dovrebbero servire a identificarci, sono merce preziosa: e per questo motivo truffatori e criminali hanno evoluto una nutrita serie di trucchi per cercare di rubarle o indovinarle. Falsificare un assegno oggigiorno è più difficile e rischioso. La password a volte non basta per commettere una truffa: chi indovina il numero della nostra tessera Bancomat non se ne fa niente se non riesce a mettere anche mano sulla tessera stessa. A volte, però, azzeccare una parola d'ordine permette di fare gran danni.
Un intenso utilizzatore della rete Internet si registra e lascia frequentemente i suoi dati su una buona percentuale dei siti web visitati, e l'indirizzo di posta elettronica è sempre tra questi, insieme a una password. Poiché nessuno è disposto a mandare a mente centinaia di parole d'ordine differenti, tutti ricorrono a qualche trucco. I più diffidenti usano password diverse per ogni sito e lasciano che sia il loro calcolatore a memorizzarle. Molti però riciclano in continuazione le stesse parole e frasi, riutilizzandole su tutti i siti o su tutti i siti del medesimo tipo. I malfattori lo sanno e, quando riescono a infrangere le protezioni di un sito web, rubano immediatamente i dati degli utenti che vi sono memorizzati: a volte i criminali scoprono una miniera d'oro nella forma di un archivio che contiene anche numeri di carte di credito, e allora ne approfittano per acquistare merce truffaldinamente. Ma anche quando l'archivio dei visitatori non contiene informazioni tanto preziose, i criminali possono provare a collegarsi con i maggiori siti di commercio elettronico usando gli indirizzi email e le password appena rubate, nella speranza di incappare in una password riciclata e riuscendo così a fare acquisti a nome del malcapitato.
Le password possono anche venire indovinate, per tentativi. Per esempio, la posta elettronica viene consegnata al legittimo destinatario quando questi si presenta con una password, ma nulla impedisce a un delinquente di tentare un collegamento a ripetizione, provandole tutte. I moderni sistemi usati dai criminali informatici comportano l'uso di programmi automatici che tentano milioni di combinazioni. Si comincia con le più popolari combinazioni di sei lettere da aaaaaa fino a zzzzzz. Vengono tentate tutte le parole del vocabolario e tutti i nomi del dizionario dei nomi. Se ancora non basta si ripete daccapo aggiungendo da una a tre cifre all'inizio e alla fine, ma anche i simboli come @ oppure *, i numeri da 1900 a 2007 e i codici di avviamento postale validi. Infine si provano alcune sostituzioni comuni, come la cifra zero al posto delle lettera O e viceversa. Secondo le statistiche degli esperti di sicurezza, questo approccio indovina il 24% delle password entro i primi centomila tentativi e oltre al 55% quando tutte le combinazioni (circa 308 milioni) sono state esaurite.
I migliori fornitori di servizi Internet (non certo tutti, purtroppo) mettono in azione contromisure. Per esempio, un ufficio postale Internet che attende un secondo prima di restituire il messaggio "password sbagliata" è già sufficiente a scoraggiare tutti i criminali tranne quelli più dedicati. Però centomila secondi sono circa ventisette ore, un tempo non impossibile. Inoltre, le password vengono usate non solo per proteggere i nostri segreti e la nostra privacy su Internet, ma anche sui documenti elettronici. Per esempio, moltissimi utilizzatori del popolare pacchetto Microsoft Office affidano informazioni privilegiate ai documenti Word
, Excel e PowerPoint chiudendoli con una parola d'ordine: ma se quel documento va in mano a un malintenzionato allora è possibile fare circa 350.000 tentativi al secondo di indovinare la password — la quale dunque resisterà solo se estremamente lunga e ben congegnata. Un documento compresso con WinZIP 7.0 può venire testato oltre un milione di volte al secondo mentre uno protetto con PGP (uno stimato software di crittografia) solo novecento volte. Un delinquente organizzato potrebbe però disporre di molti calcolatori e farli funzionare in parallelo per tentare tutte le combinazioni possibili il più in fretta possibile. Un programma di questo tipo è il PRTK della AccessData
, una azienda molto stimata (e che cerca di vendere il suo software soltanto alle forze dell'ordine e a chi deve recuperare informazioni archiviate dentro documenti la cui password è stata dimenticata, ma distinguere le gente per bene dai criminali non è sempre facile).
Abbiamo un consiglio per i nostri lettori che vogliono scegliersi una parola d'ordine sicura: sceglietela lunga, che contenga almeno una cifra nel mezzo (ma non una banale sostituzione di una lettera con una cifra) e un mix di lettere maiuscole e minuscole. Se volete tenerla a memoria scegliete la password basandovi su una frase mnemonica, per esempio memorizzate il titolo del film di Lina Wertmüller Stamattina alle 10 in via dei Fiori in una nota casa di tolleranza e scrivete "Sa10ivdFi1ncdt". Ma non c'è bisogno di memorizzare: se usate un calcolatore Mac OS X affidate le vostre password al Portachiavi
, una funzionalità incorporata in quel sistema operativo. Se invece preferite Windows, scaricate il programma gratuito Password Safe 3.0.