SicurezzaInformatica

Più di due anni or sono ho dato qualche consiglio per codificare gli indirizzi e-mail nelle pagine HTML onde evitare che essi cadano vittima degli e-mail harvester.

Oggi navigando sul sito di project honeypot (un progetto interessante di cui parlerò, se sarà il caso, fra qualche giorno) ho trovato questo altro metodo per inserire gli indirizzi sul Web in modo da renderli invisibili agli harvester: offuscarli con del codice JavaScript.

Scrivendo un indirizzo e-mail nella maschera proposta dal sito di project honeypot si otterrà il codice JavaScript da inserire nelle pagine web. Poiché i programmi di e-mail harvesting non elaborano lo JavaScript - vuoi per questioni di velocità, vuoi per evitare di rimanere fermi su del codice fallato o realizzato ad arte per bloccarli - essi salteranno a piè pari il codice contenente l'indirizzo e-mail, che tuttavia verrà visualizzato ai visitatori del sito come se niente fosse (posto ovviamente che questi ultimi abbiano il browser abilitato per eseguire codice JavaScript).

Oggi ho ricevuto per la prima volta uno spam via SMS (noto anche come m-spam, o mobile spam). Per molti di voi sicuramente non sarà nulla di nuovo, ma per chi ha conservato gelosamente il proprio numero di cellulare al riparo da occhi indiscreti per tanti anni, quella di oggi rappresenta sicuramente una novità degna di indagine.

Ero conscio del fatto che lo spam tramite SMS si stesse diffondendo, ma solo dopo aver eseguito una breve ricerca su Internet mi sono reso conto delle dimensioni che in questi anni ha assunto il problema. Per farsi un'idea basta frequentare per un po' il newsgroup it.news.net-abuse.

Il mittente del messaggio è nascosto, sicuramente inviato da uno script posto su chissà quale server. Il testo dell'SMS tuttavia pubblicizza un servizio erotico con numerazione 899. Dopo una breve ricerca ho trovato un sito molto utile, lo pubblico per aiutare chi come me decidesse di mettersi alla caccia dei m-spammer: www.fastpath.it/dialer/. Da questo sito è possibile rintracciare l'azienda intestataria di un numero a valore aggiunto (899 e simili) per metterci in grado di avere almeno un indirizzo al quale inviare la nostra protesta.

Elenchi del genere vengono forniti anche dal Ministero delle Comunicazioni sotto forma di archivi auto-estraenti.

Ma l'indagine ovviamente non si ferma lì, visto che l'azienda che ha assegnato la numerazione 899 di solito NON coincide con lo spammer, che il più delle volte è solo uno dei tanti clienti del fornitore. Anzi, spesso egli è addirittura il cliente di un cliente. Quindi armiamoci di santa pazienza e iniziamo a scavare.

Una volta identificata l'azienda che detiene illegalmente i nostri dati, si potrà inviare una richiesta per sapere come li hanno ottenuti. In questo l'apposito modulo predisposto dal Garante per la Privacy può venirci in aiuto.

Nonostante tutto, la strada per trovare i malfattori e sottoporli a un qualche tipo di giudizio sarà tutta in salita. Buona fortuna a quelli che ci proveranno.

Un articolo del Register, citando a sua volta un pezzo di Technology Review, parla di una nuova tecnologia sviluppata da Google che si interfaccia col microfono dei nostri PC.

Il sistema consentirebbe a un software di Google di ascoltare ciò che il microfono riesce a catturare: la musica del nostro stereo, i programmi che stiamo vedendo in TV, la suoneria del cellulare, ecc. A quel punto il programma crea delle "stringhe di riconoscimento" (fingerprint) che spedisce al server per l'identificazione. Il server, dopo un confronto con milioni di altri fingerprint presenti nel suo database, comunica quindi al programma sul PC i gusti dell'utente, in modo da mostrargli banner e pubblicità maggiormente attinenti.

Per fare un esempio, mettiamo che il server di Google si renda conto che la maggior parte degli utenti che guarda i programmi di Licia Colò è più propenso a cliccare sui banner di Greenpeace. A quel punto ogni volta che dalla nostra TV uscirà la squillante voce della nota conduttrice aspettiamoci di vedere sul PC un banner che ci invita a salvare gli orsi bianchi del Polo Nord...

A parte l'ovvia sensazione da "grande fratello" che suscita questa notizia, c'è da dire che già oggi software malevoli potrebbero ascoltare ciò che viene detto vicino al microfono del PC, così come potrebbero essere in grado di vedere quello che cattura la webcam. Non si chiamano "spyware" così per caso. Quindi la possibilità di farci spiare dal nostro PC non l'ha inventata Google.

Inoltre, Google ha assicurato che ciò che vedranno i suoi server saranno solo queste stringhe di riconoscimento generate dal programma, NON i file audio veri e propri:

Google says that its fingerprinting technology makes it impossible for the company (or anyone else) to eavesdrop on other sounds in the room, such as personal conversations, because the conversion to a fingerprint is made on the PC, and a fingerprint can't be reversed, as it's only an identity.

Rassicurazioni a parte, sarebbe ora che iniziassimo tutti a leggere meglio quei testi che si chiudono generalmente con la pressione sul pulsante "Accetto". In futuro uno di essi potrebbe recitare " .... il software può registrare e inviare al server di XYZ tutto ciò che viene intercettato dal microfono o dalla webcam o da qualsiasi altro dispositivo di registrazione connesso al computer, anche se apparentemente inattivo, incluse in via esemplificativa discussioni, imprecazioni, musica, squilli, conversazioni, anche di terzi o riservate ... "

In questo post, abbastanza lungo, rifletto sull'efficacia di un certo tipo di anti-spam. Il testo è rivolto a chi si interessa approfonditamente del problema, tutti gli altri lo possono considerare una lettura "facoltativa".

Alcuni giorni fa ho ricevuto il messaggio riportato nell'immagine a fianco.

La mail è arrivata immediatamente dopo una mia comunicazione all'utente in questione (ho oscurato il suo indirizzo per ovvie ragioni di privacy). Dopo diversi anni in cui se ne parlava ho finalmente avuto una dimostrazione "live" dei tanto discussi sistemi antispam Challenge and Response.

Questi sistemi si basano su un presupposto: chi ci scrive deve per forza essere una persona, e lo deve dimostrare facendo clic su un link che gli invieremo.

A prima vista può sembrare una trovata geniale, ma paradossalmente l'efficacia di questo sistema è inversamente proporzionale alla sua diffusione. Infatti se il challenge-and-response si dovesse affermare come metodo antispam, gli spammer cambierebbero sicuramente le loro tattiche in modo da rendere ancora più marcata l'inclusione di indirizzi realmente esistenti nel campo "From:" dei loro messaggi di spam, indirizzi ovviamente appartenenti a utenti ignari di tutto.

Oggi infatti, tranne in alcuni casi, lo spam ci viene inviato da indirizzi inventati come "john.doe@dominioqualsiasi.it". Lo spammer del resto è un imprenditore, un vero e proprio homo economicus, e non perde tempo a modificare il suo software in modo da fargli inserire a tutti i costi un indirizzo funzionante nel campo "From:". Ciò che interessa allo spammer è che l'indirizzo nel campo "To:" sia valido, il resto è una perdita di tempo (e quindi di denaro).

Ma se già un buon 10% dell'utenza iniziasse a usare sistemi di challenge-and-response (per brevità, C/R), agli spammer verrebbe a mancare un'importante fetta di "mercato", ragione sufficiente per costringerli a modificare la loro tattica, obbligandoli a inserire indirizzi funzionanti anche nel campo del mittente, nella speranza statistica che una buona fetta di ignari utenti a cui torna indietro il messaggio di "challenge" faccia comunque clic sul link di risposta, e che altri siano già inclusi nelle whitelist dei vari server.