L'"abuse desk simulato" di Telecom Italia Net

furio ercolessi furio a SPIN.IT
Gio 27 Gen 2000 17:20:14 CET


Porto all'attenzione la presenza di problemi abbastanza seri nel
funzionamento dell'abuse desk di Telecom Italia Net, con conseguente
impatto in termini di aumento dello spam proveniente da utenza TIN.

L'abuse desk *apparentemente* funziona, rispondendo alle segnalazioni
con messaggi del tipo:

  > Salve,
  >
  > la Sua segnalazione e' stata registrata e stiamo prendendo i dovuti
  > provvedimenti nei confronti del nostro abbonato.
  >
  > Nel frattempo voglia accettare le nostre scuse per il disturbo arrecatoLe.
  >
  > Cordiali saluti.
  > .------------------------------------------- --- -- -
  > | Telecom Italia Net
  > | Servizi Customer Care
  > |------------------------------------------- --- -- -
  > | E-Mail: abuse a tin.it
  > '------------------------------------------- --- -- -

I problemi che ho riscontrato sono i seguenti:

A) Il messaggio viene spesso inviato in risposta a segnalazioni spedite ad
   ABUSE a NA.NIC.IT (e NON a ABUSE a TIN.IT!) che non hanno assolutamente
   nulla a che fare con TIN.  E' il caso di quella riportata qui sotto,
   apparsa su ABUSE in data odierna, ma se ne sono visti molti altri.
   Ad esempio
     http://www.nic.it/cgi-bin/wa?A2=ind0001&L=abuse&F=&S=&P=11351
     http://www.nic.it/cgi-bin/wa?A2=ind0001&L=abuse&F=&S=&P=18361
   a cui questa risposta e' stata inviata in relazione a spam inviati
   da un dialup di un ISP californiano ad utenti TIN!
   Il problema non e' naturalmente la risposta a vuoto di per se', ma il
   fatto che la frase "stiamo prendendo i dovuti provvedimenti nei confronti
   del nostro abbonato" non puo' che essere una menzogna, dal momento che
   lo spam non e' stato inviato da un loro abbonato.  Ci si domanda
   allora se tali provvedimenti vengano presi quando lo spam proviene
   realmente da un utente TIN.

B) La risposta sembra essere no.  Sono stati osservati spammers
   dall'interno di TIN continuare ad operare nonostante segnalazioni
   ripetute. Basti citare ad esempio il caso di "mrjde a tin.it",
   con segnalazioni distribuite nell'arco di tre mesi:
     http://www.nic.it/cgi-bin/wa?A2=ind9909&L=ABUSE&P=R729
     http://www.nic.it/cgi-bin/wa?A2=ind9910&L=ABUSE&P=R12350
     http://www.nic.it/cgi-bin/wa?A2=ind9910&L=ABUSE&P=R14568
     http://www.nic.it/cgi-bin/wa?A2=ind9910&L=ABUSE&P=R21450
     http://www.nic.it/cgi-bin/wa?A2=ind9912&L=abuse&O=D&P=5035
   o quello (che mostra inoltre nuovamente incapacita' a leggere gli
   headers) di paceitrc a tin.it, un utente che e' uso spammare direttamente
   ABUSE a NA.NIC.IT:
     http://www.nic.it/cgi-bin/wa?A2=ind9911&L=ABUSE&P=R83260
     http://www.nic.it/cgi-bin/wa?A2=ind9912&L=ABUSE&P=R77165
     http://www.nic.it/cgi-bin/wa?A2=ind0001&L=ABUSE&P=R30612
     http://www.nic.it/cgi-bin/wa?A2=ind0001&L=ABUSE&P=R30909
   L'abuse desk di TIN non riesce a realizzare che queste non sono
   segnalazioni ma una copia diretta dello spam, ed invia ad ABUSE a NA.NIC.IT
   una risposta quasi esilarante:
     http://www.nic.it/cgi-bin/wa?A2=ind0001&L=abuse&F=&S=&P=4677

C) TIN dichiara ufficialmente di non curarsi affatto se suoi utenti
   commettono abusi di rete (tentativi di intrusione) dalla sua
   infrastruttura: (risposta a
    http://www.nic.it/cgi-bin/wa?A2=ind0001&L=abuse&F=&S=&P=6312
   inviata a ABUSE a NA.NIC.IT ma non archiviata dal listserver)

  > Salve.
  > Telecom Italia Net non effettua alcun controllo preventivo o consuntivo su
  > quanto espresso dai suoi abbonati e pertanto non <E8> in alcun modo
  > responsabile ne del contenuto dei loro messaggi ne delle eventuali azioni
  > illecite da essi compiute per le quali sono gli unici responsabili.
  >
  > Se ritiene di essere stato danneggiato in qualche modo Le consigliamo di
  > sporgere regolare denuncia alle autorita' competenti, dietro richiesta
  > della quale forniremo tutti dati a nostra disposizione per il regolare
  > svolgimento delle indagini.
  >
  > Cordiali saluti.
  >
  > --
  >
  > .. Servizi Customer Care
  > .. Telecom Italia Net
  > .. E-mail: abuse a tin.it

   Questa e' una posizione abbastanza insolita tra gli ISP, e potrebbe
   essere considerata una violazione della Netiquette sottoscritta
   all'atto della registrazione di tin.it.  Lascio a chi e' piu' esperto
   un commento sui rischi legali a cui si va esponendo Telecom Italia Net
   con questa posizione.  Immaginiamo che un cracker venga segnalato,
   TIN non faccia nulla e il giorno dopo costui provochi un danno
   di centinaia di milioni.

Lasciando da parte per ora il problema C), A) e B) sembrano indicare che
la persona che processa le segnalazioni di spam sia un operatore (o piu'
operatori) privo di adeguate conoscenze SMTP, quindi non in grado di
decodificare headers, e addestrato all'invio di risposte standard
"rassicuranti" senza che a tali risposte corrisponda un reale intervento;
o al piu' un intervento "blando" come un email del tipo "per piacere
non farlo piu'" inviata senza previa consultazione delle segnalazioni
precedenti relative alla stessa utenza.

Come chiunque sia coinvolto in un abuse desk ben conosce, la maggior
parte dei costi associati a questo servizio sta negli interventi veri
e propri e non nelle risposte date all'esterno.  Gli interventi
non possono essere di competenza di "Servizi Customer Care", se non
in senso ironico!!!  Un abuse desk dovrebbe essere gestito da personale
senior, con competenze di networking, e con autorita' riconosciuta
dalle regole in vigore all'interno dell'azienda.  La complessita'
di alcune soluzioni adottate da spammers rendono pressoche' obbligatorio
l'utilizzo di personale tecnico qualificato all'interno dell'abuse
desk.  Le segnalazioni relative ad un utente devono essere inserite
in un database, che deve essere consultato in occasione di ogni nuovo
caso per verificare se si tratta di recidivo, e in caso positivo
la procedura deve portare all'implementazione di quanto indicato
nelle condizioni di contratto, cioe' alla cessazione di fornitura di
servizi.
Tutto questo comporta naturalmente dei costi abbastanza elevati, che
dovrebbero essere considerati ineluttabili per qualsiasi ISP odierno.

Telecom Italia Network non sembra aver scelto questa strada, ma
piuttosto quella di privilegiare l'immagine, imbastendo una assai
piu' economica "simulazione di abuse desk", a prima vista realistica,
ma che lascia trapelare grazie ad errori ingenui la sua natura di
fantoccio.  L'operazione dell'abuse desk e' stata probabilmente data
in gestione alla divisione Customer Care utilizzando tecnologie
e personale da help desk, palesemente inadeguati per un abuse desk.

Alla luce di quanto sopra, chiedo un intervento della Naming Authority
presso Telecom Italia Network onde ottenere la messa in opera di un
vero abuse desk presso TIN, non essendo l'attuale "simulazione di abuse
desk" atta a sostituirla adeguatamente nell'Internet odierna.

Saluti

furio ercolessi
Spin


On Thu, Jan 27, 2000 at 03:26:03PM +0100, Abuse wrote:
> > [...]
> >
> >At 02:00 PM 1/27/00 +0100, Spin - Antispam Department wrote:
> >>Porto all'attenzione il seguente spam che pubblicizza www.soco.it
> >>(situato a 212.75.198.60), inviato da un dialup a 212.75.198.148
> >>con relay da parte di ns.rete039.it (212.75.198.2).
> >>
> >>Si prega di prendere provvedimenti per evitare il ripetersi di
> >>spam da questa societa'.
> >>
> >>Cordiali saluti
> >>
> >>furio ercolessi
> >>Spin - Antispam Department
> >>http://www.spin.it/spam/
> >>
> >>
> >>----- Forwarded message from "So.Co" <soco a rete039.it> -----
> >>
> >>Return-Path: <soco a rete039.it>
> >>Received: from ns.rete039.it (unknown [212.75.198.2])
> >>         by despam.spin.it (Postfix/beta-19990601/Spin-ext-16nov1999) with
> >> ESMTP id 60DB93C046
> >>         for <XXXXX a spin.it>; Thu, 27 Jan 2000 12:47:26 +0100 (CET)
> >>Received: from default (ppp-018.rete039.it [212.75.198.148])
> >>         by ns.rete039.it (8.9.3/8.9.3) with SMTP id MAA03588;
> >>         Thu, 27 Jan 2000 12:40:24 +0100
> >>Message-Id: <3.0.6.32.20000127115930.007ab100 a rete039.it>
> >>X-Sender: soco a rete039.it
> >>X-Mailer: QUALCOMM Windows Eudora Light Version 3.0.6 (32)
> >>Date: Thu, 27 Jan 2000 11:59:30 +0100
> >>To: (Recipient list suppressed)
> >>From: "So.Co" <soco a rete039.it>
> >>Subject: DEALER & VAR
> >>Mime-Version: 1.0
> >>Content-Type: text/plain; charset="us-ascii"
> >>Content-Length: 2137
> >>Lines: 49
> >>
> >>Alla C.A. dell'Ufficio Commerciale,
> >>
> >>In relazione a quanto letto su "DEALER & VAR", con la presente Vi comunico
> >>l'indirizzo del Ns. sito internet, dove potra' trovare interessanti
> >>prodotti quali :
> >
> >[...]
> >
>
> Salve,
>
> la Sua segnalazione e' stata registrata e stiamo prendendo i dovuti
> provvedimenti nei confronti del nostro abbonato.
>
> Nel frattempo voglia accettare le nostre scuse per il disturbo arrecatoLe.
>
> Cordiali saluti.
> .------------------------------------------- --- -- -
> | Telecom Italia Net
> | Servizi Customer Care
> |------------------------------------------- --- -- -
> | E-Mail: abuse a tin.it
> '------------------------------------------- --- -- -



Maggiori informazioni sulla lista ita-pe