Sabino Maggi
Giorgio dell’Arti è un bravo giornalista. L’ho sentito più volte a Prima Pagina, la trasmissione di Radio 3 dedicata alla lettura dei giornali del mattino che ascolto ogni giorno in macchina, e ne ho sempre apprezzato la capacità di scegliere gli articoli da leggere, oltre che il garbo e la competenza nel rispondere alle domande degli ascoltatori.
Da qualche giorno Giorgio dell’Arti ha lanciato una nuova iniziativa, Anteprima, una newsletter giornaliera contenente una “spremuta di giornali”, una selezione ragionata e commentata degli articoli del giorno, inviata via email agli abbonati.
Il costo dell’abbonamento è più che onesto, da 10 euro al mese a 50 euro all’anno. Si può anche provare Anteprima gratuitamente per 10 giorni, basta solo registrarsi fornendo nome, cognome e indirizzo email.
L’ho provata anch’io. La newsletter non è per niente male, la scelta degli articoli è fatta con criterio, la sintesi di Dell’Arti ne estrae davvero il succo essenziale e può veramente sostituirsi alla lettura dei quotidiani online.
Il sistema di registrazione ad Anteprima è semplice e veloce, e richiede di fornire solo i dati strettamente indispensabili. Ottima idea, chiedere troppe informazioni al primo approccio ha solo l’effetto di infastidire ed allontanare i potenziali abbonati.
Purtroppo il sistema di registrazione è anche piuttosto debole e permette a chiunque di rinnovare all’infinito il periodo di prova. Elenco qui tre metodi diversi (ma non saranno di certo gli unici), uno leggermente più complicato dell’altro sia per quanto riguarda l’esecuzione che, soprattutto, per le contromisure da prendere per prevenirne l’uso.
Prima di proseguire, voglio ricordare che gli indirizzi email sono divisi in due parti, nome utente e dominio, separati dal simbolo della chiocciola @ (o at ). Nell’indirizzo email nome.cognome@mioemail.it, la prima parte nome.cognome è il nome utente, mentre mioemail.it è il dominio.
Metodo #1, livello facile. Il primo metodo sfrutta una funzione caratteristica (e molto utile) di Gmail. Se aggiungiamo alla fine del nome utente un + seguito da una stringa qualunque, ad esempio nome.cognome+abcd@gmail.com, tutti i sistemi di posta elettronica considereranno questo nuovo indirizzo email diverso da quello originale, ma Gmail continuerà comunque ad associarlo alla stessa casella di posta elettronica. Lo stesso succede se inseriamo uno o più punti nel nome utente: nome.cognome@gmail.com, no.me.co.gno.me@gmail.com o nomecognome@gmail.com sono indirizzi email diversi ma per Gmail corrispondono sempre allo stesso account.
A cosa serve? A separare e a filtrare le email di servizi web diversi: se uso per la banca l’indirizzo email nome.cognome+banca@gmail.com e per le bollette del telefono nome.cognome+telefono@gmail.com, le email provenienti da ciascun servizio potranno essere marcate automaticamente da Gmail con un colore ed una etichetta specifica.
Nel caso di Anteprima, basta registrarsi una prima volta con un indirizzo email di Gmail e, alla scadenza del periodo di prova, ripetere la registrazione aggiungendo qualunque cosa alla fine del nome utente (+1234, +abcd, +pippo, va bene tutto basta che ci sia il +) per riuscire a rinnovare all’infinito il proprio periodo di prova.
Contromisure #1. Anteprima usa MailChimp per gestire la registrazione e l’invio della newsletter giornaliera. Non l’ho mai usato, ma mi stupirebbe se non si potesse implementare un filtro – in fondo basta una semplice espressione regolare – che nel corso della registrazione controlli se nel nome utente è presente un + e, in caso positivo, butti via il + via con tutto quello che segue, ottenendo un indirizzo email univoco da confrontare con il database degi utenti già registrati.
Metodo #2, livello intermedio. Questo metodo è leggermente più complicato e richiede l’utilizzo di un servizio di posta anonimo, accessibile tramite webmail. Ce ne sono a decine, da MailDrop a Fake Mail Generator, Hide-Your-Email.com o Guerrilla Mail, forse il più famoso servizio di questo tipo. Questi servizi di email usa-e-getta nascono per uno scopo molto sentito, evitare di utilizzare il proprio indirizzo email reale per registrarsi a siti poco affidabili o di cui ci importa poco. Utile per la privacy e per evitare di ricevere spam, ma ancora più utile per aumentare il livello di sicurezza con cui navighiamo in rete. Nel caso in cui il sito in questione venisse bucato, il cracker non potrebbe utilizzare i dati di registrazione forniti per provare ad accedere ai siti più interessanti (per noi e per lui).1
È chiaro che se si utilizza uno di questi servizi ci si potrà registrare a Anteprima un numero illimitato di volte, generando ogni volta un nuovo indirizzo email anonimo e ricevendo la newsletter alla pagina web corrispondente all’email del momento. L’unica controindicazione è che, nella maggior parte dei casi, sarà necessario mantenere il browser sempre aperto sulla pagina web in questione, altrimenti dopo un po’ l’email viene considerato inutilizzato e viene cancellato automaticamente. Alcuni servizi anonimi però conservano per alcuni giorni tutte le email che ricevono, oppure possono ritrasmettere ad un indirizzo email normale le email che arrivano all’indirizzo usa-e-getta.
Contromisure #2. In questo caso le contromisure possono per forza di cose essere solo parziali. Quello che si può fare è impedire a priori la registrazione ad Anteprima a chi utilizza un indirizzo email anonimo, controllando che il dominio non appartenga ad una blacklist contenente i domini utilizzati dai servizi di posta anonimi più popolari. Non credo che una simile blacklist esista già, e quindi sarà necessario prepararne una da sé facendo un un giro per la rete in cerca dei servizi anonimi più utilizzati. Purtroppo è una soluzione parziale – il numero di servizi di questo tipo è enorme e alcuni permettono perfino di creare domini alternativi a volontà – però è sempre meglio di niente. Una persona determinata e che sappia il fatto suo troverà sempre il modo di utilizzare un metodo come questo, ma è probabile che la maggior parte degli utenti si arrenda dopo qualche tentativo fallito.
Metodo #3, livello difficile. Qui torniamo di nuovo a Gmail. Se abbiamo già un indirizzo email di Gmail, possiamo facilmente creare dei nuovi indirizzi email utilizzando ogni volta un nome utente diverso. Una cosa analoga si può fare con Libero e praticamente con qualunque altro servizio di webmail gratuita. Naturalmente, una volta in possesso di un nuovo indirizzo email, possiamo usarlo per ottenere un ulteriore periodo di prova su Anteprima.
Contromisure #3. Sembra sorprendente, ma non ce ne sono. Le aziende come Google e Libero usano la webmail per fidelizzare gli utenti, portandoli sui loro siti e stimolandoli ad usare gli altri servizi disponibili. Ovvio che cerchino di semplificare il più possibile la creazione di nuovi account. Anche controllare l’indiri zzo IP da cui ha origine il collegamento ha poco senso, perché gli utenti casalinghi hanno IP variabili assegnati di volta in volta dal loro fornitore di accesso a internet (provider). La cosa più ragionevole da fare in questo caso è fidarsi dei propri utenti: perché la maggior parte delle persone interessate ad un servizio come questo è onesta e per di più non ha né la voglia né le conoscenze tecniche per eseguire queste acrobazie solo per risparmiare qualche euro.
Conclusioni
Spero che Giorgio Dell’Arti non me ne voglia. L’obiettivo di questo articolo non è quello di stimolare l’illegalità ma piuttosto quello di aiutare ad individuare le falle sempre presenti nei sistemi informatici e a definire le contromisure più opportune.
Internet è una cosa bellissima ma è anche estremamente complessa. Usarla essendo consapevoli dei rischi della rete e conoscendo almeno le basi della sicurezza non può che aiutare a migliorare l’esperienza d’uso e ad evitare fregature che potrebbero costare molto care.
Spero che Giorgio Dell’Arti non me ne voglia anche per un altro motivo. Purtroppo Anteprima non fa per me e alla fine ho deciso di non abbonarmi. I riassunti non mi hanno mai attirato, anche quando li scrive un giornalista in gamba come Dell’Arti. Mi manca il contesto, preferisco leggere pochi articoli ma leggerli per intero. Parere personale, è ovvio, spero vivamente che tanti non la pensino come me e si abbonino.
Post Scriptum: Come è giusto fare in questi casi, ho inviato preventivamente l’articolo a Giorgio Dell’Arti per dargli il tempo di correggere, per quanto è possibile, le falle del sistema. Non ho ricevuto nessun feedback ma, visto che mi ha dato subito il via libera per pubblicarlo, penso che equivalga ad un silenzio-assenso.
-
Perché, lo sappiamo tutti, si tende ad usare sempre lo stesso email e la stessa password per registrarsi su qualunque sito. ↩