skip to main | skip to sidebar
33 commenti

Radio: falla FF/IE, topless per sicurezza auto, spam

Disinformatico radio: falla Firefox e IE, danesi in topless per la sicurezza stradale, spam

L'articolo è stato aggiornato dopo la sua pubblicazione iniziale.

Il titolo riassume i temi di cui mi occupo nella puntata del Disinformatico di stamattina, in onda dalle 11 alle 12 come consueto sulla Rete Tre della RSI (radio svizzera di lingua italiana), ricevibile anche in streaming e scaricabile come podcast. Li troverete espansi in tempo reale qui nel corso della diretta.

Falla grave in Firefox e in Internet Explorer

Il 21 novembre scorso è stata annunciata una falla molto grave in Firefox e Internet Explorer (tutte le versioni), che consente a un aggressore di rubare le password di accesso ai siti di comunità come Myspace, come segnalato da Netcraft il 27 ottobre scorso. L'aggressore non fa altro che impostare una pagina personale di questi siti in modo che sembri visivamente una richiesta di password proveniente dall'amministrazione del sito, alla quale sia Firefox, sia IE rispondono automaticamente, consegnando la password all'aggressore. Internet Explorer sembra essere leggermente meno vulnerabile: secondo lo scopritore,
...gli attacchi RCSR stanno prendendo attivamente di mira anche Microsoft Internet Explorer, ma un difetto in Firefox rende molto più probabile il successo dell'attacco... gli utenti di Firefox e Internet Explorer devono essere consapevoli che le loro informazioni possono essere rubate in questo modo quando visitano blog o forum situati presso indirizzi fidati... né Internet Explorer né Firefox sono progettati per controllare la destinazione dei dati immessi nei moduli online prima che l'utente li invii... Firefox immette automaticamente in questi moduli i nomi utente e le password salvate. Questo non avviene in Internet Explorer, a meno che il modulo-trappola non compaia nella stessa pagina che ospita un modulo di login autentico.

Una dimostrazione innocua di questa falla, realizzata dal suo scopritore, è disponibile qui per Firefox: immettete una password e un nome utente (inventati, non veri!) nella pagina e poi cliccate su Login. Nella pagina successiva, cliccate sull'immagine del video di Youtube. Verrete portati a una pagina di ricerca di Google.

Guardate a questo punto la barra dell'indirizzo: vi troverete il nome utente e la password che avete immesso. In altre parole, avete passato a Google il nome utente e la password che avete immesso in un altro sito che non c'entra nulla con Google. Se al posto di Google ci fosse stato un sito di un aggressore e i dati immessi fossero stati reali, a quest'ora l'aggressore avrebbe in mano i vostri codici d'accesso. Sgradevole. La discussione tecnica su Bugzilla descrive i casi in cui IE6/7 è vulnerabile a questo tipo di attacco.

In attesa del rilascio di una correzione di Firefox e IE, la difesa consiste nel non usare i sistemi di gestione delle password presenti in questi due programmi: in altre parole, non consentite a Firefox e IE di ricordare per voi le password, ma immettetele a mano.

Antibufala: video di ragazze danesi in topless per indurre a guidare piano

Sta circolando in Rete un video che afferma di essere uno spezzone di un telegiornale danese nel quale vengono mostrate e intervistate delle ragazze danesi che, nell'ambito di una campagna per la sensibilizzazione ai limiti stradali di velocità, si mettono in topless e pantaloncini cortissimi e reggono i cartelli con l'indicazione del limite. L'idea è che gli automobilisti, per osservare con più calma la "segnaletica", rallentino, ottenendo il desiderato effetto di maggiore sicurezza del traffico.

Il video è autentico, ed è effettivamente sponsorizzato dal ministero dei trasporti danese, al quale va un plauso incondizionato per l'originalità e la disinvoltura (insieme a un'invocazione di par condicio per il pubblico femminile), ma vi fermo prima che si scateni un esodo in massa verso la Danimarca. Infatti non si tratta di un vero servizio del telegiornale, ma di un video virale distribuito esclusivamente via Internet dal ministero, e le ragazze danesi non si appostano sistematicamente in topless lungo le strade con il cartello dei 50 all'ora in mano: l'hanno fatto soltanto per questo video. Lo so, è una brutta notizia, ma qualcuno la deve pur dare.

Tutto sullo spam

Perché "spam"? Il termine spam si riferiva in origine a un prodotto alimentare in scatola, tuttora reperibile in vari paesi, a base di carne precotta, commercializzato dalla Hormel Foods. La grafia corretta del prodotto alimentare è SPAM, tutto in maiuscolo, proprio per distinguerlo dallo spam digitale. Il sito ufficiale è Spam.com.

Durante la seconda guerra mondiale, lo SPAM fu uno dei pochi alimenti esclusi dal razionamento in Inghilterra, per cui gli inglesi se lo trovavano in tavola un giorno sì e l'altro pure; questo ha contribuito a un certo tedio britannico verso il prodotto, che è sfociato in un celebre sketch di Monty Python (ne trovate il video su Youtube), ambientato in una bettola nella quale si servono soltanto piatti a base di SPAM. La ripetizione ossessiva della parola SPAM è stata associata, dai primi Internettari, alla ripetizione ossessiva presente nelle pubblicità-spazzatura, e da qui è derivato l'uso di spam (minuscolo) per indicare qualsiasi comportamento ripetitivo, irritante e di poco pregio.

Quanto spam gira? Secondo The Inquirer, uno studio recente della Commissione Europea segnala che oltre la metà dei messaggi di posta inviati nell'UE è spam; per alcuni utenti, lo spam rappresenta l'80% di tutta la posta ricevuta. I peggiori spammer sono negli USA, che generano il 21,6% circa dello spam mondiale. La Cina è seconda, staccata al 13,4%; terzo è il Giappone, seguito da Russia, Corea del Sud, Canada e Inghilterra, secondo i dati in tempo reale di Spamhaus.

Secondo dati Ironport, a giugno 2006, i messaggi di spam erano circa 55 miliardi al giorno; 20 miliardi in più che nel 2005. L'utente più spammato in assoluto è Bill Gates, che ne riceve 4 milioni l'anno (questo articolo della BBC, che avevo linkato inizialmente, dice "al giorno" riportando la dichiarazione effettiva di Steve Ballmer, ma Ballmer si è poi corretto in un'intervista successiva). L'oggetto più frequente di questo spam è costituito da metodi per fare soldi in fretta.

Chi lo manda? Le botnet (gruppi di computer di utenti inconsapevolmente infetti) sono responsabili per l'80% dello spam. Le gang di spammer professionisti sono meno di 300 in tutto il mondo, secondo Spamhaus. Spamhaus pubblica anche la top ten degli spammer più pestiferi, i cui nomi e cognomi sono ben noti; non vengono arrestati quasi mai, perché operano da paesi nei quali fare spamming non è reato o è reato minore, oppure usano società fantasma per rendere difficile la creazione di prove legalmente valide e continuano a cambiare sedi e fornitori d'accesso.

Ma qualcuno abbocca? Certamente. Per come è strutturato lo spam, (costo zero per inviare messaggi), non importa quanto siano rari gli ingenui che abboccano: anche un tasso di una vittima su 100.000 messaggi porta comunque a un guadagno per lo spammer, che viene pagato dal committente per ogni vendita realizzata o a forfait (nel caso dello spam azionario). E lo spam rende. Per esempio, Jeremy Jaynes era nella top ten degli spammer di Spamhaus nel 2004 e guadagnava 750.000 dollari al mese; però quando fu arrestato negli Stati Uniti si prese anche nove anni di galera (non ancora iniziati).

Come fanno a trovare il mio indirizzo? Gli spammer esplorano la Rete con programmi automatici (web spider) alla ricerca di indirizzi pubblicati nelle pagine Web, per esempio nelle pagine dei forum o negli organigrammi pubblicati dai siti aziendali o istituzionali; si abbonano alle mailing list per acquisire la lista degli iscritti; mandano le catene di Sant'Antonio per poi raccoglierne gli elenchi di mittenti spesso inclusi da chi le inoltra; copiano i dati degli intestatatari di siti, pubblicati tramite i servizi Whois; e usano virus che copiano la rubrica degli indirizzi dal computer della vittima e la mandano allo spammer.

Come difendersi? Quasi tutti i programmi di posta hanno dei filtri interni ai quali si può "insegnare", tramite esempi, quali messaggi sono spam e quali no; i provider, inoltre, offrono filtri antispam, magari a pagamento. Anche se Microsoft e altri stanno proponendo sistemi antispam molto complessi, sta prendendo piede un sistema semplice chiamato graylisting: in sintesi, la prima volta che si riceve un e-mail da un indirizzo sconosciuto, il nostro provider lo respinge temporaneamente al provider del mittente con la richiesta di ritrasmetterlo più tardi. Se il mittente è legittimo, lo ritrasmette e si stabilisce da quel momento in poi la normale comunicazione; l'indirizzo del mittente viene considerato valido; se il mittente è uno spammer, difficilmente ritenterà la trasmissione e quindi il suo spam non verrà mai recapitato. Questo sistema non richiede alcuna impostazione da parte dell'utente, richiede pochissime risorse ai provider, e funziona a prescindere dal contenuto del messaggio.

Per il momento, la prevenzione resta la miglior difesa: date il vostro indirizzo di e-mail soltanto alle persone di cui vi fidate e con la preghiera di non includerlo nei campi "CC" o nelle catene di sant'Antonio; non mettetelo nel vostro sito, blog o pagina Web (se lo dovete fare, "cifratelo" usando un'immagine o una grafia comprensibile solo alle persone ma non ai programmi automatici, come topone chiocciola pobox.com, oppure inserendo una parola da rimuovere, come topone.togli-questo@pobox.com).

Usate inoltre regolarmente un antivirus e un antispyware per essere sicuri di non essere portatori sani d'infezione spiona o addirittura disseminatori inconsapevoli di spam, e impostate i vostri programmi di posta in modo che non scarichino automaticamente le immagini e non interpretino l'HTML nei messaggi di posta. Le immagini e l'HTML vengono usate dagli spammer per sapere se leggete i loro messaggi.

Conviene inoltre avere un indirizzo di e-mail "privato", da riservare alla cerchia di amici e colleghi più fidati, e uno o più indirizzi "sacrificabili" per tutte le altre transazioni e comunicazioni che potrebbero essere a rischio.

Soprattutto, non rispondete mai a uno spam, neppure per insultarlo, e men che meno per farvi rimuovere dall'elenco dei mittenti come a volte promettono gli spammer: è una trappola.

Aggiornamento (2006/11/29)

Il podcast della puntata, senza la musica, è scaricabile gratuitamente qui insieme a tutti gli altri podcast della Radio Svizzera di lingua italiana.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (33)
Se Ziobillo ricevesse 4 milioni di spam all'anno, probabilmente sarebbe anche contento.

Invece l'articolo da te linkato scrive chiaramente che ne riceve 4 milioni al giorno!
Nell'articolo linkato, datato 18 novembre 2004 si legge anche:

At the World Economic Forum (WEF) in Davos in January [2004], Mr Gates predicted that technology would make spam "a thing of the past" within two years.

Meno male che c'è Bill Gates >:-(
Preciso, visto che qui si è sempre disposti ad aprir bocca sempre e comunque contro Microsoft, che la falla in IE è molto meno grave che in Firefox...
Topless stradali:

Altro che diminuzione degli incidenti: se lo facessero veramente, andrei a sbattere di sicuro! XD
>Preciso, visto che qui si è sempre disposti ad aprir bocca sempre e comunque contro Microsoft, che la falla in IE è molto meno grave che in Firefox...

Infatti avrai notato che ho scritto "Internet Explorer sembra essere leggermente meno vulnerabile".

>Invece l'articolo da te linkato scrive chiaramente che ne riceve 4 milioni al giorno!

Ho linkato l'articolo della BBC ma non la sua correzione da parte di Steve Ballmer in persona. Ora correggo, grazie.
Falla:

Ma funziona solo con la versione 7 di Internet Explorer?

Io ho provato con IE6 immettendo

nome: AAAAAA
password: BBBBBB

ma quando sono arrivato in Google la barra degli indirizzi conteneva

&loginuser=&loginpass=&x=251&y=75

Quei numeri codificano "AAAAAA" e "BBBBBB" oppure non ha funzionato?

(Avevo abilitato l'auto complete di form e passwod)
Neanche a me funziona la falla con IE6. Mi viene lo stesso di Fry Simpson.
Su Firefox 1.5 si deve rispondere "ricorda" quando compare la popup di memorizzazione login, altrimenti non funziona. Lo stesso sembra per IE6, con la differenza che IE6 se avete risposto di non memorizzare i valori nel form, non ve lo richiede più, mentre Firefox si.
Sarà perché ho impostato Firefox a non ricordare nessuna password, però anche per me (usando nome utente=pizzi e password=cori) il risultato è stato il seguente:

&loginuser=&loginpass=&x=442&y=615
Paolo, solo una cosa: per cifrare il proprio indirizzo email e' meglio usare pippo@TOGLIMIpluto.com. Usando pippoTOGLIMI@pluto.com il messaggio viene comunque trattato dal server pluto.com e il tutto si traduce in traffico inutile.

Si, sono pignolo ;)
con XP SP2 + IE7 + tutte le patch di sicurezza applicate questa falla non c'è non si vede e non funziona assolutamente, ho appena fatto la prova, non si vede nulla nella barra degli indirizzi....quindi che dire??? BUFALA!!!!
Per l'ultimo anonimo:
quella pagina serve a testare il bug di firefox
x Andrew:

Sì, con IE6 ho risposto "remember" dopo aver inserito login e password.

Nella barra degli indirizzi della pagina di Google che si apre cliccando sul filmato non comparivano almeno non in chiaro né lo username ("AAAAAA") né la password ("BBBBBB"), bensì comparivano quei numeri che ho riportato nel commento precedente.
Io ho provato con firefox 2.0, ma non ha funzionato.. meglio no? eheheh

Luca
Non mi sembra un bug.. se condividi un sito è normale che il browser ti ricordi la password
< Un anonimo ha detto...

Io ho provato con firefox 2.0, ma non ha funzionato.. meglio no? eheheh

Luca >

Anch'io ho FF2... ho provato e sfortunatamente ha funzionato... sigh...
Per Paolo e tutti gli altri: riguardo al sistema del greylisting leggi questo interessante articolo del signor Sambucci e capirete che usare questo sistema è un po' come uccidere le zanzare usando il lanciafiamme: può funzionare, ma provoca qualche danno collaterale.

http://www.sicurezzainformatica.it/archives/2006/09/challenge_and_response.html

saluti a tutti.
Per quanto riguarda il video danese trovo che questa iniziativa se fatta veramente non porterebbe ad una diminuizione degli incidenti.. anzi!
E grazie per tutte quelle belle informazioni sullo Spam.. Godo come un riccio a leggere che Gates riceve tutto quello spam!!
a me con firefox 2 non ha funzionato, cioè non ho trovato la username e passw da me utilizzate... bo...
A me, con firefox 2.0, mostra i dati di accesso nella barra degli indirizzi del browser (dopo aver premuto "Ricorda").

Con Opera 9.02, invece, non noto alcun tipo di bug (user e pass non mostrati).

Aloha!
Sembrerebbe che Opera sia il browser più sicuro attualmente. Lo è?
Ho notato che Firefox cripta tutte le pass inserite nel file signons.txt
Quanto sarebbe difficile rubare tale file e decriptarlo?
Opera invece come si comporta? Dove e come memorizza tali pass? E IE7?
Ho letto molti consigli per far si che la propria casella non venga "catturata" dagli spammer, ma una volta che è già in mano loro, cioè che è già ultra-invasa da spam...in ipotesi che noi ne siamo affezionati... cosa è possibile fare se non aprirsi una nuova casella email?
Bello Nicola, grazie dell'approfondimento. In effetti il sistema della graylist mi sembra una complicazione in più, senza contare che con il sistema invio-richiesta di conferma-reinvio, anche se non è spam si raddoppierebbe-triplicherebbe il numero di mail spedite. E addio ad una delle ragioni per le quali si vorrebbe eliminare lo spam, ovvero l'aumentato carico sui mail server.
Inoltre il mittente potrebbe non replicare, vuoi per pigrizia, vuoi per la "supponenza" di un sistema che ti chiede di identificarti e chiedere il permesso prima di accettare mail, manco fosse un club privè, vuoi per incomprensione del sistema da utenti inesperti...
Alla fin fine, temo che gli unici sistemi veramente efficaci siano whitelist (ma con giudizio, uno sconosciuto potrebbe volermi mandare email per motivi validi) e filtri bayesiani. La blacklist non so che utilità possano avere più, da quando si possono generare automaticamente mittenti falsi.
Nicola ha detto...

Per Paolo e tutti gli altri: riguardo al sistema del greylisting leggi questo interessante articolo....


Tutto ciò che dice è veritiero, ma il greylisting indicato da Paolo non ha nulla a che fare con il "challenge"

"ia prima volta che si riceve un e-mail da un indirizzo sconosciuto, il nostro provider lo respinge temporaneamente al provider del mittente con la richiesta di ritrasmetterlo più tardi. Se il mittente è legittimo, lo ritrasmette"

Davide Bianchi nel suo sito (www.soft-land.org) lo spiega così:

"In pratica: ogni MailServer che sia degno di tal nome mette le sue E-Mails in una coda, poi tenta di spedirle. Se ci riesce le cancella dalla coda, se non ci riesce, riprova fino al raggiungimento di un TimeOut (default: 5 Giorni). Gli Spammer, per contro, vista la mole enorme di messaggi che inviano (e visto che spesso usano PC-Zombie) NON hanno una coda. Il che vuol dire che, se il MailServer con il quale parlano rifiuta (anche temporaneamente!) l'E-Mail, NON ritentano di spedirla, come invece farebbe un qualsiasi MTA."

A questo punto, il discrso fila.

Ciao!
Ho scoperto una cosa non so quanto interessante.
Attivando la pass principale su Firefox 2.0 quando si entra in un sito che richiede la sua pass, FF chiede prima la pass di sistema.
Quindi la si inserisce solo e soltanto se veramente si vuole loggarsi in tale sito.
Bisogna poi avere l'accortezza di pulire FF coi tasti Ctlr+maiusc+Canc
cancellando tutto tranne che le pass impostate.
Vorrei chiedere una precisazione:
il problema è quando si usa la funzione di memorizzazione di FF, ma non quando si memorizzano i dati di accesso su cookies, vero?
Il dubbio nasce dal fatto che su molti siti sotto il form di login compare la casellina da spuntare con la scritta "ricordami su questo computer": questo tipo di memorizzazione può avere gli stessi problemi?
Grazie dell'attenzione
A prescindere dalla falla descritta nell'articolo, il sistema di archiviazione delle password di IE non andrebbe MAI utilizzato. Molti dei trojan più diffusi sono infatti in grado di estrarre le password memorizzate dal suddetto browser. Su Firefox non ho dati certi in proposito ma personalmente preferisco non fidarmi.
X quanto riguarda il sistema di protezione dell'indirizzo email pubblicato in un sito forum chat ecc ecc, è meglio non adottare il sistema di aggiunta di una parola tipo NOSPAM o TOGLIEREQUESTO et simili che è solo un placebo x stare in pace con se stessi... Il motivo? molto semplice: gli spider che girano x raccogliere le email sono (da molto tempo oramai) aggiornati con modulini che si preoccupano di rimuovere proprio tali parole (con una semplice ricerca a dizionario).
Se è proprio necessario pubblicare l'indirizzo (ma devi proprio?!) meglio mettere una parola aspecifica e poi immettere nel testo della chat forum ecc ecc anche una domanda x individuare la parola!
Esempio:
. la tua mail è ermenegibaldo@zuzzurullone.org ?
. un'idea potrebbe essere usare
ermenemontebiancogibaldo@zuzzurullone.org
seguito dalla frase
il monte + alto d'italia
che indica che parte rimuovere dall'indirizzo "modificato".

Il principio è introdurre parole a caso di modo che è impossibile adottare un metodo automatico (non si metteranno mai a farlo a mano!) x la rimozione (x chi ne sa qualcosa: nondeterminismo NDR!).

Ovviamente tutto questo è un palliativo ma siamo nel caso che scrivere l'indirizzo è ultranecessario, ed è quindi meglio di un placebo!
Ah dimenticavo una cosa importante:
SPERARE CHE L'INDIRIZZO "RITOCCATO" NON ESISTA PER DAVVERO (SE NO VOI PROBABILMENTE NON RICEVERETE SPAM, MA QUESTO POVERO DIAVOLO SI!) (cmq la stessa cosa può succedere anche con le parole NOSPAM ecc ecc...)
-->PARZIALE SOLUZIONE: Scegliersi una domanda con una risposta "strana".
Salve a tutti. Per quanto riguarda il bug su Firefox 2.0, segnalo che su linux non è presente(Ubuntu). Tutto ciò che ottengo cliccando è http://www.youtube.com/watch?v=kF786Qucn4Y&eurl=

Nessun riferimento a nome utente e password.
ciao
gianmarco
Ho testato la vulnerabilita' del password con Seamonkey 1.0.6 ed effettivamente funziona.

Fra l'altro io uso la Master Password per l'accesso al Password Manager; quest'ultimo e' poi impostato per richiedere la Master Password ad ogni accesso.
Con queste impostazioni si nota che sta avvenendo qualcosa di strano: viene richiesta la Master Password, in un momento in cui "non te lo aspetteresti".
Si hanno due diverse dinamiche del problema.
La prima, dove si manifesta la vera e propria vulnerabilita', e' la dinamica legata al primo accesso assoluto che si fa al sito:
a - apro la pagina del test;
b - si compilano login e password;
c - confermando viene richiesta la Master Password - immetto la Master Password e confermo;
d - viene chiesto se si vuole memorizzare la password per questo sito - confermo;
e - si apre la pagina (quella con il filmato);
f - clicco sul filmato;
g - mi viene richiesta la Master Password (comportamento insolito) - rifiuto (click su "Cancel" o pressione di "ESC"); questa richiesta mi viene fatta 2 volte (e' normale) e rispondo sempre con il rifiuto;
h - viene chiesto se si vuole memorizzare la password per questo sito (comportamento insolito) - rifiuto;
i- redirezione su google con loginuser e loginpass valorizzati;

La seconda e' la dinamica legata agli accessi successivi che si fanno al sito (tenendo presente che, la prima volta, mi sono autenticato e ho salvato le informazioni di login nel Password Manager):
1 - apro la pagina del test;
2 - mi viene richiesta la Master Password (comportamento corretto) - immetto la Master Password e confermo;
3 - vengono automaticamente compilati i dati di login;
4 - confermando viene richiesta DI NUOVO la Master Password (comportamento insolito);
A questo punto se immetto la Master Password e confermo mi ritrovo nella medesima situazione descritta sopra a partire dal punto "d". Se invece rifiuto negando l'accesso al Password Manager ottengo numerose rischieste di accesso al Password Manager (possono disorientare... oppure insospettire)... se continuo a rifiutare quando clicco sul filmato le informazioni di login non vengono passate.

Il Password Manager con Master Password attivata puo' essere un sistema per rilevare comportamenti bizzarri (sempre se si e' consapevoli delle dinamiche di richiesta delle password) e quindi insospettirsi. Certo e' che dopo il primo login assoluto, fino a che non esce una patch di questa grave vulnerabilita', conviene loggarsi, rimuovere i dati di login del sito dal Password Manager, chiudere il sito tramite o la chiusura del tab o del browser o riscrivendo l'indirizzo principale del sito sulla barra. A questo punto si ottiene una dinamica controllabile: all'accesso del sito (dove c'e' l'autenticazione) viene chiesta la Master Password e questa e' L'UNICA richiesta che deve essere accettata, le eventuali altre richieste vanno rifiutate.

Certo non e' una soluzione particolarmente adatta all'utente normale.

Mi scuso per il lungo post.
Jenner
Mah quando devo lasciare l'indirizzo e-mail su un sito di solito uso un "trucco" semplice.

Lo scrivo come:

nome.congnome(AT)provider.it

Per quei siti\forum che ti obbligano ad inserire un indirizzo valido c'è la monnezza mail di hotmail. Utile anche per gestire i primi contatti con nuovi conoscente, almeno finchè non si capisce se sono affidabili o no.
Gli Spammer, per contro, vista la mole enorme di messaggi che inviano (e visto che spesso usano PC-Zombie) NON hanno una coda. Il che vuol dire che, se il MailServer con il quale parlano rifiuta (anche temporaneamente!) l'E-Mail, NON ritentano di spedirla, come invece farebbe un qualsiasi MTA."

>> A questo punto, il discrso fila.

Messa in questo modo, direi proprio di sì.
Paolo, alla fine non ho resistito ed ho postato il video danese sul mio blog
http://sblogghiamo.wordpress.com/2006/12/15/lautovelox-danese/