Enoela

Auguri dalla croce rossa italiana

Ieri sera ricevo il messaggio di auguri attraverso una mailing list della croce rossa italiana cui non mi sono mai iscritto.

Poco male, sono pur sempre auguri, un sorriso e passo oltre.
Poi stamattina, l’amara sorpresa.
La mia posta sommersa da una marea di “Reply all:”. E dai altri auguri. A questo punto fastidiosi perché nella ressa dei messaggi indesiderati inizio a far fatica a cogliere quelli “veri”.
Con pazienza rimuovo i messaggi in arrivo.
Poi qualcuno prega di smettere di fare un “reply all” perché lo spam inizia a diventare fastidioso.
E riparte l’ondata di mail di persone che chiedono di essere cancellate dalla mailing list, fino a qualcuno che ci tiene a sottolineare che non tutti siamo cristiani e non tutti festeggiamo il Natale.
Mentre scrivo questo post penso ai miei colleghi che stanno cercando di capire come si propaga il “virus della guardia di finanza” (sfrutta una vulnerabilità del browser o degli utenti?) e mi rendo conto che contemporaneamente “lo spam della croce rossa” sta provocando forse danni più gravi.

Sono curioso di capire quel che a brevissimo capiterà appena qualcuno si sarà preso la briga di scrivere dei virus per App…

Phishing new age … Quasi beccato

Caro alberto.leone@somewhere.boh ,

Siamo felice per annunciare che siete il vincitore dell prodotto Google Lava Lamp . Per più informazioni la preghiamo di andare a :

Google Lava Lamp Concorso

Riguardi migliori,

Google Team

Non ho notato la tipica “sgrammatica” e mi sono, per un attimo, lasciato ingannare all’idea che quelli di google possano davvero fare doni new age. Poi un’occhiata all’indirizzo ha infranto il sogno di possedere una nuova lampada a lava, magari a colori con le palline di google che nuotavano su è giù. Stronzi. Non hanno rispetto di nulla questi ladri d’identità senza scrupoli!

Tutto sotto controllo

Nei giorni scorsi qualcuno ha alterato il contenuto della home page del sito delle Poste Italiane.
La notizia non ha destato l’attenzione di quella porzione della blogsfera che riesco più o meno a seguire, e così, per una volta, vengo a saperlo da un quotidiano.

La notizia non mi ha sorpreso.

Mi ha invece colpito la sicurezza con cui si liquida l’episodio in una nota ufficiale:

“È solo un ‘defacement’ che riguarda il sito informativo di Poste.it. Non sono stati violati i server con i dati personali degli utenti, che quindi non sono mai stati in pericolo.
[...]
I defacement comunque sono un fenomeno abbastanza fisiologico su internet. Negli anni si contano azioni simili contro siti di varie levature, anche istituzionali”.
(responsabile Sicurezza Logica (?), Poste Italiane).

Per fortuna non sono un correntista di poste italiane, ma non mi sentirei affatto tranquillizzato da una simile sottovalutazione del rischio.
Se il deface fosse stato messo in atto da veri criminali ridirigendo sulla solita trappola del phishing? Agli utenti viene insegnato a non cliccare mai sui link inviati via email, a digitare sempre a mano l’indirizzo del sito verificandone l’identità. Bene. E se la home page del sito è stata alterata?

Non amo criticare chi lavora in questo settore perché per primo mi rendo conto della distanza tra il desiderato teorico e ciò che si riesce a realizzare nella pratica. E’ vero, il defacing di un sito è spesso fatto a scopo dimostrativo e di rado mira a fare danni concreti. Ma in questo caso stiamo parlando di un sito che gestisce transazioni finanziarie per il quale una simile eventualità non può essere ridotta al defacing di un sito amatoriale.

Grave il fatto che l’azione dimostrativa abbia avuto successo e gravissima la leggerezza con cui l’episodio viene liquidato in modo ufficiale dal responsabile della sicurezza.

Non posso non ricordare che la quasi totalità dei tentativi di phishing che ricevo via email riguardano proprio il sito di poste italiane (utilizza ancora la scheda con la sequenza di caratteri segreti per la verifica delle disposizioni online?) e nel frattempo la banca dati dei CAP viene protetta da captcha per impedire che “i pirati” se ne approprino. Grande attenzione a proteggere un patrimonio che andrebbe mantenuto pubblico, visto che serve a migliorare la qualità stessa del servizio di poste italiane. Ma questa è un’altra, assurda storia.

Cross-site XMLHttpRequest

Il W3C ha pubblicato il working draft della versione 2.0 di XMLHttpRequest (la libreria che permette ad Ajax di esistere). Tra le novità di rilievo della nuova versione, la possibilità di eseguire cross-site request, aprendo la possibilità di utilizzare web service e syndication da siti terzi:

11. The previous level of this specification raised a SECURITY_ERR at this place in case of a non same origin stored url. This specification supports non same origin requests and therefore this exception is no longer raised here.

[XMLHttpRequest Level 2 -W3C Working Draft 30 September 2008]

Oggi questa possibilità è negata per motivi di sicurezza. Per visualizzare, per esempio, un feed rss di un sito “terzo” devo effettuare la syndication del contenuto sul server. Devo predisporre uno script server side che processi il feed e generi il codice HTML che il server principale può quindi trasmettere al client.. Il browser dell’utente non mi autorizza a compiere questa operazione direttamente sulla pagina via javascript. XMLHttpRequest, ad oggi, non può comunicare con server diversi da quello che ha trasmesso il documento che desidera effettuare la richiesta. La libreria è nata così e il W3C ne ha acquisito le specifiche nel proprio standard.

La motivazione della sicurezza potrebbe essere accettabile se non fosse permessa la più “audace” esecuzione di  generico codice javascript trasmesso da un sito terzo. Da sempre posso, cioè, caricare sulla pagina script provenienti da server terzi, con conseguenti rischi sulla sicurezza (cross site scripting vulnerabilities) e la privacy. Oggi non possiamo scaricare dati da server terzi all’interno della libreria XMLHttpRequest, ma possiamo eseguire codice javascript arbitrario. Una limitazione decisamente poco sensata.

Ed è decisamente tardi per tornare indietro e limitare l’esecuzione di scripting da siti terzi. E’ grazie ad esso che possiamo inserire con estrema semplicità la pubblicità sulle nostre pagine e possiamo, per esempio, monitorare il clickstream sul nostro sito tramite servizi come google analytics o crazyegg. Insomma, non siamo più disposti a rinunciare allo scripting remoto e quindi la direzione evolutiva è scontata: ben venga, al più presto un consolidamento dello standard W3C (oggi è ancora nello stato di working draft, una bozza) e, soprattutto, la sua implementazione nei browser.

Per inciso, firefox 3, durante la fase finale del processo di beta-testing, aveva rilasciato una versione con cross-site XMLHttpRequest, subito ritirata. Peccato. Forse la sua diffusione ne avrebbe tratto vantaggi.

SPAM: il problema non è il povero SMTP

Sembra che l’85% dei messaggi email in giro per la rete siano “indesiderati”, UBE (Unsolicited Bulk Email). Il danno prodotto da questa attività “criminale” non è facilmente quantificabile. Dallo spreco di banda (comunque trascurabile rispetto al traffico prodotto da altre applicazioni che utilizzano la rete - p2p) allo spreco di tempo e risorse per cercare di limitare gli effetti negativi di questo fenomeno. Senza dimenticare che lo SPAM non sempre porta con sé semplici messaggi indesiderati e fastidiosi (pubblicità), ma più spesso viene utilizzato come mezzo per propagare infezioni sulle macchine degli utenti meno esperti.

L’articolo apparso oggi su techrepublic presenta un punto di vista interessante sulla soluzione di questo problema. Tutti, me compreso, infatti, usiamo attribuire alle caratteristiche del protocollo SMTP e soprattutto alle sue limitazioni la causa di questo fenomeno.

In realtà, osserva giustamente l’autore, il problema ha una causa diversa: chi manda lo spam normalmente non si fa carico dell’invio materiale dei messaggi, ma utilizza computer “zombie” in giro per la rete. La causa stessa di questo male siamo noi utenti, la nostra scarsa competenza, la nostra scarsa attenzione alla sicurezza.

Cambiare il protocollo SMTP, rendere obbligatoria l’autenticazione, crittografare il contenuto diventa inutile quando una macchina infettata continuerà ad inviare spam per conto terzi senza nessuna difficoltà utilizzando il protocollo “evoluto” in veste della “vittima”, del proprietario della macchina infetta.

La soluzione è a monte. Contrastare le epidemie, educare gli utenti. E, come avviene nel mondo reale ricordare che gli antivirus non rendono le macchine invulnerabili. Il miglior modo per prevenire le infezioni è adottare un comportamento poco rischioso e , soprattutto, compatibile con le proprie competenze.

Oltre a questa conclusione l’articolo, breve e chiaro, evidenzia in modo chiaro ed efficace le accuse mosse all’SMTP. Cinque minuti ben spesi, leggetelo.

Fax-phishing

Mai abbandonare le vecchie tecnologie. I browser si sono attrezzati con sistemi che rilevano l’accesso a pagine potenzialmente fraudolente? I client di posta si rifiutano di seguire i link a siti clonati per carpire i nostri dati?

Beh, allora mettila sul fax una barra antiphishing se ci riesci!

Caro Cliente,
PosteItaliane si impegna nell’applicazione della legge nel tentativo
di combattere le eventuali frodi o furti. Le informazioni saranno
fornite su richiesta alle agenzie legali per accertarsi che i falsi
possessori siano proseguiti nella misura adeguata dalla legge.
Diventare utente verificato è una semplice procedura che richiediamo
per fornirti il servizio più completo e sicuro possibile.
Invia tramite fax ( Numero di fax 39-049-xxxxxxxx ) i
documenti attestanti la tua identità , il tuo indirizzo e
tutti dati identificativi:
Nome utente:
Password:
Numero della carta postepay:
Scadenza mm/aa:
CVV2/CVC2:
Digita i dieci caratteri del tuo codice:
L’Assistenza Clienti, dopo aver ricevuto la documentazione e aver
verificato la completezza e la veridicita.

© Poste italiane 2008

La barra antiphishing va messa sulla testa degli utenti. Se anche poste italiane decidesse di rivedere le sue procedure di autenticazione, forse, tutti ne trarremmo giovamento, visto che il 90% del phishing riguarda i loro servizi e questo lascia pensare che i suoi clienti siano, per tanti motivi, bersaglio prediletto.

L’idea non è nuova, è del 2005 questo avviso di Sophos su paypal.

Phishing più veloce ed efficace della pubblicità

Prendo spunto dalla recente nota di redlo (ma non mi avevi detto di lasciarli lavorare in pace?) sul phishing per tornare anch’io sull’argomento.
E’ di qualche giorno fa un tentativo di phishing ancora una volta indirizzato ai servizi online di poste italiane.

Non avevo ancora saputo dei nuovi servizi di poste italiane su piattaforma mobile. Per fortuna c’é il phishing che mi pubblicizza i nuovi ed eccezionali servizi.

Devo ammettere che non sono correntista di poste italiane, ma sono cliente del loro sito. Regolarmente registrato ho spedito diversi telegrammi. Pochi euro, ma è sorprendente che una simile iniziativa non fosse stata ancora pubblicizzata a tutti i “potenziali” interessati.

Per fortuna, in soccorso arrivano i phisher e ci pensano loro a farmi sapere della nuova iniziativa. Insomma, sono quasi d’aiuto.

In realtà il messaggio è ancora una volta estremamente insidioso e solo l’approssimazione linguistica può allarmare i meno esperti:

Accedi ai servizi online per accreditare il gratuito telefono !

C’è da chiedersi cosa aspettino ad assoldare dei madrelingua in grado di tradurre meglio le loro esche.

Il phishing resta un’insidia serissima per gli utenti di servizi online. Le tecniche di seduzione diventano sempre più raffinate e le competenze necessarie per navigare con sufficiente sicurezza non sono diffusissime.

Ma l’aspetto più interessante di questa riflessione è il fatto che io ho effettivamente notato la massiccia campagna pubblicitaria off-line (tv e giornali) solo dopo aver ricevuto il messaggio, prima di allora non mi ero accorto di nulla. Avrei sviluppato una discreta capacità di ignorare la pubblicità, ma il phishing è riuscito laddove gli esperti di marketing avevano fallito. Nuove frontiere della pubblicità, …

Click compulsivo

Si può resistere alla tentazione di cliccare su un file che si chiama “full video.exe”? Certo penserete in molti. Evidentemente no …

Giavasan pubblica un interessante resoconto su Storm, un vero e proprio cancro virtuale in grado di propagarsi, difendersi e attaccare. La rete è tuttora infestata da questo worm, apparso all’inizio dell’anno, che ha, tra i suoi “pregi” una discreta pazienza: agisce con calma e sfugge alla localizzazione perché resta per lungo tempo inattivo. Per fortuna non sembrerebbe “ancora” animato da un’intelligenza autonoma, ma da qualche misterioso burattinaio che lo ha creato e lo pilota per “fini di lucro”. Ma, vista la sua capacità di attacco, potrebbe essere sfruttato anche per scopi più cruenti. Prende forma uno scenario fantascientifico: un worm che infesta la rete, si riproduce, attacca siti e macchine che possono insidiarlo e nel frattempo persegue uno scopo molto pratico (spamming). Un’infezione che potrebbe resistere a lungo. Un’idea che potrebbe essere usata da altri.

Ovviamente il brodo di cultura di questa creatura sono macchine animate da sistemi operativi Windows in mano a utenti che continuano a cliccare su file eseguibili ricevuti per posta elettronica. Sembra impossibile che gli utenti possano ancora commettere questi errori, ma l’ignoranza, combinata con la genialità dei creatori e la falsa sicurezza legata alla presenza degli antivirus continua a far sì che milioni di utenti ci caschino ancora.

Oltre al citato compendio pubblicato da Giavasan si può trovare un ampio articolo (in inglese) pubblicato da Bruce Schneier su Wired e sul proprio blog. Da leggere.

Password

E’ di questi giorni una levata di scudi contro un emendamento alla normativa sulla privacy che, sollevando le aziende dall’obbligo di applicare una serie di accorgimenti “minimi” per la sicurezza dei sistemi, avrebbe, a parere di molti, privato di efficacia la normativa stessa.
Da qui emergono alcuni spunti di riflessione che mi riprometto di approfondire in altri post. Adesso, invece, vorrei citare un’intervista riportata su InformationWeek, ad un “hacker”, Robert Moore, nei guai per aver violato alcuni sistemi VoIP.

Default Passwords: A Hacker’s Dream

Moore said what made the hacking job so easy was that 70% of all the companies he scanned were insecure, and 45% to 50% of VoIP providers were insecure. The biggest insecurity? Default passwords.

“I’d say 85% of them were misconfigured routers. They had the default passwords on them,” said Moore. “You would not believe the number of routers that had ‘admin’ or ‘Cisco0′ as passwords on them. We could get full access to aCisco (NSDQ: CSCO) box with enabled access so you can do whatever you want to the box. … We also targeted Mera, a Web-based switch. It turns any computer basically into a switch so you could do the calls through it. We found the default password for it. We would take that and I’d write a scanner for Mera boxes and we’d run the password against it to try to log in, and basically we could get in almost every time. Then we’d have all sorts of information, basically the whole database, right at our fingertips.”

Anche un cavernicolo ci sarebbe riuscito, dice Moore, visto che moltissimi sistemi avevano la password di amministrazione ancora impostata sul default: “admin” o “Cisco0″. Altro che documenti programmatici sulla sicurezza.