| HT news
| InternetSpam: a Berkeley ci provano con i template delle botnet, e dicono di eliminarlo al 100%
di Stefano Bellasio
Spam? L'incubo di ogni cittadino della rete e la piaga di tanti altri hosting provider, che ce la mettono tutta per avere un sistema di posta elettronica che sappia gestire lo spam senza sprecare troppe risorse e senza lasciare spazio ad errori nell'interpretare ciò che va consegnato e ciò che va inveve cestinato. Proprie le ultime settimane hanno visto la creazione di una discussione importante su HostingTalk.it sulle tecniche per la gestione dello spam.
All'Università di Berkeley alcuni ricercato hanno pensato di rivoluzionare l'approccio allo spam, e abbandonare liste e filtri in favore di una tecnica abbastanza nuova e fino ad ora mai usata. Una piccola premessa: le botnet che generano i messaggi di spam lo fanno in modo "intelligente", usano in sostanza dei template che consentono di variare, anche minimamente la composizione dei messaggi, in modo tale da confondere i filtri e aumentare le possibilità che le email vengano consegnate. Un meccanismo che rivela, appunto, l'uso di uno schema, un template, che consente la realizzazione di svariati tipi di messaggi: i ricercatori sono partiti da questo dato e sono arrivati all'idea di ricostruire questi template per capire, immediatamente, se un dato messaggio è spam oppure no, semplicemente da come è stato realizzato.
I ricercatori hanno installato il loro software su una macchina in rete, hanno atteso i primi 1000 messaggi di spam in ingresso e li hanno analizzati, abbastanza approfonditamente da ottenere tutti i dettagli e le caratteristiche del template che le aveva generate. L'operazione di reverse engineering del template garantisce di poter automaticamente cancellare tutte le email che presentano una delle caratteristiche di quest'ultimo e avere quindi una affidabilità del 100%. Non solo il vero dato importante è che in questo modo la possibilità di avere falsi positivi è del tutto assente.
Andreas Pitsillidis, uno degli studenti coinvolti nel progetto, dice che con un milione di messaggi ricevuti la probabilità di avere un falso positivo è 0. Rimane da capire quale sia il costo computazionale richiesto per la ricostruzione del template delle email e quante di queste debbano essere ricevute per avere una buona accuratezza: è evidente che 1 milione di messaggi è un numero abbastanza alto, da moltiplicare per il numero di botnet che inviano spam nella rete e che a loro volta possono avere più di un singolo template.
La ricerca verrà presentata a Marzo 2010 al Network and Distributed System Symposium.