Michael Stanton

WirelessBrasil

Ano 2003       Página Inicial (Índice)    


26/05/2003
Spam: será que tem cura?

Na coluna anterior descrevi algumas das características da séria moléstia chamada spam, que incomoda muito os usuários e provedores de serviços de correio eletrônico. O fenômeno se tornou tão preocupante que na última semana apareceram duas reportagens a respeito no jornal New York Times: uma descrevendo os "procuradores abertos" abordados na coluna anterior (www.nytimes.com/2003/05/20/technology/20SPAM.html), e a outra com entrevistas de diversas personalidades sobre como combater o spam (www.nytimes.com/2003/05/25/business/yourmoney/25SPAM.html). Deve-se lembrar dessa coluna anterior que o Brasil é hoje campeão mundial em matéria de procuradores abertos explorados pelos remetentes do spam, distinção nada honrosa, que só traz má fama e prejuízos para o país. Nesta coluna serão discutidos alguns dos remédios propostos para combater o spam.

Uma fonte de informação muito importante para entender o que se sabe sobre spam é o sítio mantido por Brad Templeton em www.templetons.com/brad/spam, que contém uma série de ensaios (em inglês) sobre o assunto. Uma introdução muito boa à coleção é o ensaio "Reflexões sobre 25 anos de Spam" (www.templetons.com/brad/spam/spam25.html), que coloca o assunto no seu devido contexto. Outros ensaios incluem a origem do termo spam, e a proposta do Templeton para estancar o seu fluxo.

De acordo com Templeton, o spam é a primeira questão realmente importante de governança da Internet que realmente engaja a comunidade de usuários. Este comentário é especialmente relevante no momento atual, quando a composição e a agenda do Comitê Gestor Internet brasileiro estão sendo reformulados, pois as preocupações vocalizadas durante este processo se dirigiam a questões de representatividade da sociedade e o destino dos recursos arrecadados pela operação do Registro de nomes e endereços da Internet - v. a coluna de 6 de março. Espera-se que sua atuação futura inclua equacionar soluções para a moléstia spam, depois de eleitos e empossados os novos componentes deste comitê.

O spam força o reexame de atitudes sobre como deve ser tratada a Internet, pois afeta os direitos de liberdade de expressão, propriedade privada e privacidade. De repente, para coibir o spam, constrói-se filtros que descarta mensagens baseado no seu conteúdo, uma forma de censura, e no seu endereço de origem, penalizando os remetentes inocentes além supostamente dos culpados. Um miríade de soluções, inclusive comerciais, está sendo oferecido para nossa utilização. Estas incluem filtragem baseada em conteúdo, listas negras, armadilhas para atrair e identificar remetentes de spam, selos eletrônicos e autenticação de remetente através de certificação digital. Algumas destas serão analisadas a seguir.

Entre as mais populares estão os filtros de conteúdo. Estes são instalados e usados pelos próprios receptores das mensagens, e dão a estes controle sobre as mensagens que não querem receber. O grande problema destes filtros é sua eficácia, pois não pode ser tolerado o "falso positivo", o descarte como spam de uma mensagem legítima. Uma das ferramentas mais eficazes é o SpamAssassin (spamassassin.org), que utiliza uma coleção de métodos, incluindo regras (chamadas "heurísticos") para análise dos cabeçalhos e texto das mensagens, consulta a várias listas negras de endereços de envio, e ainda o uso de uma base de dados de mensagens ilegítimas atualizada e consultada pelo software. O problema de ferramentas como SpamAssassin é que as regras usadas são fixas, e somente podem ser modificadas obtendo uma nova versão do programa. Uma outra abordagem é o uso de ferramentas "inteligentes", que podem deduzir as regras a serem usadas a partir do exame de amostras de mensagens legítimas e ilegítimas selecionadas manualmente pelo próprio usuário, utilizando técnicas de estatística bayesiana, como descrito no texto "Um plano para Spam" por Paul Graham (www.paulgraham.com/spam.html).

Lista negras incluem endereços de rede de computadores na Internet considerados culpados pelo envio de spam. São compiladas de diversas maneiras: a partir do exame da origem de mensagens consideradas ilegítimas, ou através de pesquisa sistemática dos servidores de correio para verificar se estes são capazes de reenviar mensagens ilegítimas recebidas de outros remetentes. Infelizmente não todos os compiladores destas listas demonstram o equilíbrio necessário para lidar com assuntos tão polêmicos como listas globais de filtragem: afinal, são necessárias a difícil definição consensual do que constitui spam, além da uma demonstração aceitável que um determinado computador é o responsável. Para ilustrar os perigos, são conhecidos casos onde, por comodidade ou preguiça dos administradores de uma lista negra, esta passa a incluir todos endereços associados a um determinado provedor Internet, ou até país. Isto, inclusive, já teria ocorrido com vários provedores nacionais, e sabe-se de casos de domínios inteiros no exterior que sistematicamente negam acesso a conexões oriundos da Internet do Brasil. Nestes casos, penam os inocentes, e possivelmente não os culpados, que meramente estão usando procuradores localizados nos computadores dos inocentes.

Armadilhas são exemplificadas por Brightmail (www.brightmail.com), que divulga endereços eletrônicas de armadilha na rede, e depois investiga as mensagens recebidas por estas. Se vier uma mensagem, é considerada spam. A partir disto, são atualizadas as regras de filtragem usadas para seus clientes. A técnica tem pouquíssimos falsos positivos, mas não é considerada muito eficiente.

Desafio-resposta: esta técnica mantém uma lista de endereços aceitáveis de remetente. Se vier mensagem de um remetente fora da lista, ela é guardada numa fila de pendentes, e enviada para seu remetente uma mensagem (o desafio) que requer uma resposta inteligente para liberar a entrega da mensagem original. Isto dificilmente viria corretamente de um software, e serviria para distinguir entre um remetente humano e um autômato. Note que este esquema rejeitaria mensagens oriundas de um servidor de listas de correio. No caso de estar inscrito em listas, o usuário teria que informar explicitamente sua existência à ferramenta de desafio-resposta. Normalmente este tipo de ferramenta requer que o usuário reveja periodicamente a fila de mensagens pendentes. Obviamente ela pode ser combinado com algum esquema de filtragem para tornar esta revisão menos enfadonha.

Legislação: há quem confia em simplesmente regular spam por legislação. Um empecilho, ao menos nos EUA, seria o caráter não geográfico do correio eletrônico, o que eliminaria a eficácia de leis estaduais. Ainda não existe legislação federal nesse país, e já foi observado que o provável efeito de introduzi-la seria deslocar os responsáveis para o spam para bases no exterior, fora do alcance da lei norte-americana. Evidentemente valeria o mesmo para outros países, como o nosso. Nos EUA uma das propostas recentes, devido a Larry Lessig, era pagar ao autor de denúncias de operações de spam. Sua proposta, que foi recentemente encaminhada como projeto de lei de uma deputada federal de Califórnia, Zoe Lofgren, requer que remetentes de mensagens spam as identifique com inclusão de "ADV:" (de advertisement ou propaganda). Mensagens spam sem esta identificação seriam consideradas ilegais, e provocaria nos tribunais uma processo do governo. O projeto de lei prevê a remuneração com 20% da multa aplicada da pessoa que primeiro denuncia a ocorrência de cada spam processado. Lessig já prometeu renunciar sua cátedra na Universidade Stanford, se esta lei não reduz substancialmente o nível do spam . (Deve ser notado que recentemente começou um movimento voluntário no Brasil para marcar spam com o rótulo "MEPPS". Mas (ainda) não há legislação aqui.)

Selos eletrônicos: a idéia é cobrar pelo direito de entregar mensagens a cada usuário, que determinaria este custo. A princípio, o preço somente seria cobrado de remetentes de spam . A dificuldade com este esquema é que não existe uma infra-estrutura de suporte para realizar os (micro)pagamentos a serem realizados. Sem esta facilidade, dificilmente seria adotado este esquema.

Autenticação: neste esquema, cada mensagem teria que incluir um meio de identificar positivamente seu remetente, através de certificação digital. Objeção a este esquema é baseada na necessidade de uma infra-estrutura centralizada para gerenciar a emissão de certificados, o que contraria o objetivo tradicional de correio eletrônico de ser um serviço altamente distribuído e aberto, sem controle central.

O próprio Brad Templeton também tem sua proposta favorita para controlar o spam . Nela, cada receptor mantém um "lista branca" de remetentes aceitáveis, e dos quais aceita mensagens sem controle maior. As demais mensagens são encaminhadas para uma rede de servidores especiais, que atrasaria artificialmente a sua entrega aos destinatários. Os atrasos na entrega destas mensagens tornaria inviável o uso do correio eletrônico para o envio maciço de mensagens spam , mas somente atrasaria por um tempo aceitável mensagens legítimas de remetentes que não constem da lista branca. Mais uma vez, as mensagens de listas de correio teriam que ser pré-registradas na lista branca. Por mais informações, v. www.templetons.com/brad/spam/endspam.html.

Evidentemente, a solução do problema do spam não será encontrada nem fácil, nem rapidamente, e a tendência a curto prazo será que o problema vai piorar antes de resolver-se. E é essencial resolvê-lo, pois a própria sobrevivência da Internet como um meio de comunicação eficaz está em jogo. A forma de resolver esta questão também vai servir para indicar como futuros problemas da rede provavelmente irão ser enfrentados. O que está em perigo nada mais é do que os princípios usados na construção de sociedades livres e da própria Internet, que precisam ser preservados na nova arquitetura adotada para o correio eletrônico - um projeto aberto; a possibilidade de comunicação com qualquer outro usuário da rede, sem ter sido isto combinada antes; e um mecanismo de comunicação eficiente e de baixo custo.