Chiedendomi come fosse possibile che gli spambot fossero entrati nel sistema, mi è venuto il dubbio che gli utenti avessero usato come password quella più ovvia: il nickname. Ed infatti, la mia ipotesi si è rivelata corretta in tutti e 15 i casi di furto dell’account.
Non scegliete mai password banali, anche se vi registrate ad un servizio del quale non avete troppo interesse. Se il vostro account viene utilizzato per generare SPAM potrebbe capitarvi qualcosa di peggio che un semplice ban dell’account.

Se avete problemi a ricordare le password, potete ricorrere ad un password manager come 1password (per MacOSX) o Roboform (per Windows).

Prossimamente credo che pubblicherò qualche consiglio per gli amministratori di forum vBulletin su come limitare fenomeni di SPAM.

Related posts:

1. Quanto è sicuro salvare le password nel browser?
2. Clipperz, un password manager online di produzione italiana
3. Simone è meno sicuro di Weppos

Troppi! allinurl:sql select from where

E giusto per non farci mancare nulla, Demetrio fa notare nei commenti che anche il sito del nostro ministero della difesa è stato sviluppato in questo modo geniale: allinurl:strSQL=SELECT marina.difesa

E poi parlano di spionaggio e sicurezza… qualcuno spieghi loro che se ora qualcuno in un URL cambiasse SELECT con DROP potrebbe tranquillamente rimuovergli una tabella, un database o chissà quale altro danno fare! Qualcuno sa come contattarli?

Mmm, trattasi forse di web 2.0 … o 3.0?

Related posts:

1. Google indicizza il robots.txt
2. Sviluppare in PHP con sicurezza
3. Libro Webbot e spider – I ragni della rete

I risultati del test?

1. Non salvate le vostre password su Internet Explorer
2. Se salvate su Opera e Firefox, utilizzate un master password per proteggerle
3. Scegliete una master password difficile da individuare e diminuirete la possibilità che i vostri dati d’accesso vengano individuati.

Related posts:

1. Email poste italiane: come segnalare il phishing ai browser!
2. Non scegliete mai password stupide
3. Simone è meno sicuro di Weppos

La situazione non accenna a diminuire con un numero di email che si aggira a diverse decine al giorno.
Certo che buona parte dei lettori di questo blog ha le competenze adeguate per “fare la sua parte”, vorrei invitarvi a considerare di inviare la segnalazione dei siti di phishing che individuate ai produttori dei browser.

Tutti i browser più diffusi, ovvero Internet Explorer dalla versione 7, Firefox dalla versione 2.x e Opera dalla versione 9.x integrano un controllo sull’URL che si sta visitando notificando all’utente se si tratta di una pagina riconosciuta come pericolosa.
Ma chi fornisce queste informazioni? Per la maggior parte, gli utenti!

Vediamo allora come possiamo inviare segnalazioni di phishing ai browser.

Firefox 2 e Google

Grazie alla partnership con Google, Firefox dispone di un eccellente sistema di controllo sui siti sospetti che si basa su due blacklist: una locale sincronizzata periodicamente ed una remota.
E’ possibile cambiare il comportamento dal pannello di configurazione Preferenze > Sicurezza.

Nel momento in cui viene aperto un sito riconosciuto come phishing, Firefox mostra un avviso che invita l’utente a prestare attenzione al contenuto della pagina.

E’ possibile inviare a Google e Firefox la segnalazione di URL non identificate tramite il veloce collegamento Help > Report Web Forgery, in italiano Menù “?” > Segnala una contraffazione web.

Si aprirà un modulo di segnalazione precompilato con l’URL, pronto per un commento.

Inviato il report non resterà che attendere una verifica di Google e Firefox.
Il vostro compito finisce qui.

Opera 9 e PhishTank

Anche Opera, meno recentemente, ha introdotto un sistema anti phishing in collaborazione con PhishTank.
Ogni qual volta si accede ad un sito, a fianco della barra degli indirizzi compare un punto interrogativo o una “i” a seconda che il sito non sia ancora stato verificato o sia attendibile.

Premendo l’icona appare la finestra di notifica sullo status del sito, attraverso la quale è possibile segnalare la pagina come Phishing.
Sul sito di Opera è disponibile un video con un tutorial sulla sicurezza.

Internet Explorer 7

Con l’arrivo di Internet Explorer 7, Microsoft ha integrato all’interno del browser un sistema di controllo antiphising che si preoccupa di verificare ogni URL aperto alla ricerca di indirizzi pericolosi.
L’avviso in caso di phishing è decisamente invasivo e si preoccupa di censurare l’intero contenuto della pagina lasciando poco spazio ad azioni involontarie.

Durante il caricamento di ogni pagina, un’icona segnala il controllo antiphishing in corso. In qualsiasi momento è possibile cliccare l’icona e selezionare il comando Report This Website per segnalare il sito come phishing.

A caricamento della pagina ultimato il bottone scompare ma lo stesso comando è disponibile dal menu Tool > Phishing Philter.

In conclusione

Tutti i browser più recenti, fortunatamente, integrano un sistema di controllo anti frode basato sull’indirizzo della pagina aperta.
Nel caso in cui si individui un URL non ancora identificato, prima di chiudere la finestra del browser dedichiamo qualche per segnalare l’indirizzo.

Il nostro contributo potrebbe aiutare altri utenti meno esperti evitando loro di cadere nella trappola del phishing.

Related posts:

1. Email poste italiane: attenzione alla sicurezza del vostro conto!
2. Quanto è sicuro salvare le password nel browser?
3. L’evoluzione dei browser

Avevo già avuto modo di parlare del fenomeno del phishing l’anno scorso dove pubblicai una serie di quattro interventi dimostrando come alcune email inviate a nome di società bancarie si rivelavano in realtà frodi allo scopo di entrare in possesso dei vostri numeri di carta di credito.

A distanza di oltre un anno, segno che il phishing è realmente lo spam del futuro, torno a parlare di phishing e poste italiane, inclusi i servizi banco posta e postepay.

Da un paio di settimane a questa parte le mie caselle email sono letteralmente prese d’assalto da email fasulle che comunicano la chiusura del conto piuttosto che la disponibilità di nuovi servizi.

E’ importante ricordare che in nessun caso bisogna dare seguito a queste email, rispondere o fornire i propri dati attraverso i moduli segnalati nel corpo del messaggio!

Ecco alcuni prototipi di queste email

Caro cliente Poste.it,
Una nuova gamma completa di servizi online и adesso disponibile !
Per poter usufruire dei nuovi servizi online di Poste.it occorre prima diventare UTENTE VERIFICATO.

Accedi a Poste.it » Accedi ai servizi online di Poste.it e diventa UTENTE VERIFICATO »
L’Assistenza Clienti, dopo aver ricevuto la documentazione e averne verificato la completezza e la veridicitа, provvederа immediatamente ad attivare il suo ” Nome Utente Verificato “. Verrai informato telefonicamente di tale attivazione.

TELEFONO TELEFONO
Numero gratuito 803.160 (dal lunedм al sabato dalle ore 8 alle ore 20).
© Poste Italiane

Oppure

Caro cliente Poste.it,

Una nuova gamma completa di servizi online � adesso disponibile !

Per poter usufruire dei nuovi servizi online di Poste.it occorre prima diventare UTENTE VERIFICATO.

Accedi ai servizi online di Poste.it e diventa UTENTE VERIFICATO �

L’Assistenza Clienti, dopo aver ricevuto la documentazione e averne verificato la completezza e la veridicit�, provveder� immediatamente ad attivare il suo ” Nome Utente Verificato “. Verrai informato telefonicamente di tale attivazione.

TELEFONO
Numero gratuito 803.160 (dal luned� al sabato dalle ore 8 alle ore 20).

| � Poste Italiane 2007 | contattaci | privacy | mappa del sito | personalizza visualizzazione | Partita IVA 01114601006 |

Ribadisco, non fornite dati personali, numeri di carte di credito o conti correnti!

Related posts:

1. Email poste italiane: come segnalare il phishing ai browser!
2. Segnalazione delle specifiche italiane sul sito dell’RSS Advisory Board
3. Sviluppare in PHP con sicurezza

Gmail, Google Desktop, Google Search, Google Analytics, Google Reader e chi più ne ha più ne metta. Ognuno di questi servizi raccoglie un po’ delle nostre abidudini ed è in grado di creare un nostro profilo: quali sono le nostre abitudini nell’uso di internet? E nella vita quotidiana?

Uno degli strumenti che da sempre è guardato con diffidenza è la Google Toolbar. Le caratteristiche del prodotto lo hanno da sempre reso una spia ideale per fornire a Google

• elenco dei siti visitati
• permanenza su ogni sito
• percorsi di navigazione
• abitudini dell’utente
• varie ed eventuali

Fino ad oggi si è sempre trattato di supposizioni, nonostante fosse chiaro che Google avrebbe potuto essere in possesso di questi dati in qualsiasi momento.
Leggo invece che Google ha appena rinominato il servizio Google Search History in Google Web history offrendo agli utenti la possibilità di accettare l’invio a Google della cronologia dei siti visitati.

In poche parole, accettando il contratto ed installando la Google Toolbar, nella propria Google Web History sarà presente l’elenco completo di qualsiasi pagina nel web che abbiamo visitato con la possibilità… di cercarla nel nostro archivio…

Che sia arrivata l’ora di rifare il test?

Al momento ho scelto di non attivare questa feature. Qualcuno di voi sa se una volta attiva è possibile disarrivarla?

A proposito, anche Froogle ha cambiato nome in Google Product Search così come accadde anche per altri prodotti sofferenti da crisi di identità… o popolarità?
Ah, dimenticavo… se ve le foste perse ecco le ricerche senza query che in base alla pagina in cui ti trovi di dicono cosa potresti volere.

Related posts:

1. Ogni occasione è quella giusta
2. AdSense paga $1 per ogni download di Firefox
3. Come reindirizzare una pagina rimuovendo il tracciamento di Google Analytics

Innanzi tutto partiamo dal capire chi è definibile come clone. Per clone si intente… un clone, ovvero un account che in realtà è creato e gestito da un utente che ufficialmente è presente con un altro nome nel forum stesso.

Il termine clone ha un significato molto generico e non lascia altro spazio a considerazioni in merito allo scopo o all’uso di quell’account. Esistono altri termini, come ad esempio fake, che maggiormente denotano lo scopo alla base dell’account. Un fake è normalmente un clone con l’unico scopo di trarre in inganno gli utenti al fine di “spacciarsi per qualcun altro”.

Mentre un clone non necessariamente ha uno scopo preciso ma può essere creato

1. in buona fede
2. perché sono andati persi i dati d’accesso dell’account principale
3. per altri vari motivi

un fake ha quasi sempre qualche scopo più subdolo.

Andiamo avanti e chiediamoci perché può essere utile individuare un clone, ma più nello specifico un fake.

L’utilità principale è per capire “chi si ha davanti” e non parlo solo dell’account ma anche della persona che si nasconde dietro l’account stesso. Se io mi trovo in un forum e so’ che colui che mi sta rispondendo è un fake è probabile che darò meno rilievo alle sue considerazioni.

In sintesi chiedetevi: nella vita reale dareste credito ad un doppiogiochista? E’ probabile di no.

Cloni e fake normalmente non sono tollerati nei forum: i primi perché è opportuno che ogni utente disponga di un solo account univoco, i secondo per il loro spirito poco “sociale”. Se sei un utente riconoscerli può aiutarti a capire chi hai davanti mentre se sei un amministratore di un forum può rendersi necessario per “fare un po’ di pulizia”.

Alcuni modi per individuare cloni e fake.

Nella mia piacevole esperienza di utente, moderatore ed amministratore di forum ho avuto modo di interagire con molti utenti, nonché cloni e fake.

In particolare, HTML.it è stato ed è tutt’ora un tirocinio molto utile. Anche la mia attività su Dmoz è particolarmente istruttiva, anche se più dal lato antispam.

Eh sì, mi diverto con poco: rincorro lo SPAM, individuo cloni e sono felice! :D

Ma a parte gli scherzi, non posso dirvi quale sia di preciso la cartella clinica di un clone (anche se da qui in avanti parlerò soprattutto di fake), ma le linee guida principali sono spesso sufficienti. Premetto che se siete moderatore o amministratore del forum stesso il lavoro è agevolato e la percentuale di successo sale esponenzialmente dati gli strumenti a vostra disposizione.

Controllo degli IP

Il controllo dell’indirizzo IP è una delle tecniche più utilizzate che offre la più elevata probabilità di individuare un clone. L’indirizzo IP viene assegnato univocamente dal provider che si utilizza per la connessione ad internet ed è difficilmente alterabile da parte del clone. E’ altrettanto vero che, spesso, cloni professionisti si appoggiano a proxy più o meno gratuiti per nascondere il proprio indirizzo IP ed assumerne un secondo. Eh sì, cloni fino in fondo, anche nell’IP.

Per la sua univocità l’indirizzo IP è una controprova eccezionale, soprattutto nel caso in cui il clone disponga di un indirizzo fisso assegnato e non di uno dinamico, ovvero un IP che varia ad ogni nuova connessione. Inoltre, anche nel caso di IP dinamico i provider sono soliti assegnare maschere di IP equivalenti che permettono di restringere l’utente a determinate aree geografiche.

Se da una parte l’indirizzo IP è un parametro eccellente, dall’altra c’è da considerare che è un dato disponibile solo a chi gestisce il forum. Un ignaro utente non può quindi fare affidamento a questo dato per analisi personalizzate.

Numero di post

Quasi tutti i forum rendono pubblico il numero di post di ogni utente. Tanto più il numero è basso tanto minore è la frequenza con la quale l’utente interviene nelle discussioni.

Il numero di post può aiutare a capire “quanto giovane” sia l’utente che ci troviamo di fronte. La probabilità che un utente di tratti di un clone è inversamente proporzionale al numero dei suoi post.

Data di iscrizione

Insieme al numero di post anche la data di iscrizione è uno dei fattori pubblici che maggiormente possono aiutare l’individuazione di un clone.

Spesso data d’iscrizione e numero di post sono strettamente correlati e viaggiano con caratteristiche parallele. La probabilità che un utente si tratti di un clone è inversamente proporzionale all’anzianità di iscrizione dell’utente.

Qualità degli interventi

Un utente iscritto da poco ma con decine di post all’attivo non necessariamente è escluso dalla lista degli indagati per la nostra caccia al clone. Analizzare la qualità degli interventi di questo utente può aiutarci a capire quanti realmente, tra i suoi post, siano stati costruttivi e non semplici “copia incolla” o “quick post”.

Per chiarire meglio il concetto, un utente con 50 post dei quali 45 sono faccine o commenti di una riga deve lasciarci almeno il beneficio del dubbio rispetto alla sua integrità.

Caratteristiche degli interventi

Questo aspetto è, a mio avviso, il più determinante. La carta d’identità pubblica di un utente sono i suoi interventi che rappresentano il principale fattore che ci permette di individuare un fake in mezzo alla folla. La data di iscrizione si può taroccare, il numero di interventi modificare, ma i post rappresentano spesso e volentieri il motivo alla base dell’iscrizione duplicata dell’utente.

Si potrebbe spendere almeno due post a discutere sulle caratteristiche degli interventi di un fake, e forse non riuscirei a coprire tutte le casistiche. Dalle caratteristiche di un intervento è possibile estrapolare molte informazioni e confrontarle tra loro, come lo stile dell’utente, la forma discorsiva, l’uso della punteggiatura e delle congiunzioni.

Insomma, chi si nasconde dietro ad un nick difficilmente può velare a lungo aspetti propri del carattere e prima o poi finirà per tradirsi.

Ambiente web e non

L’ultimo degli aspetti fondamentali che possono portare all’individuazione di un clone è rappresentato dall’ambiente che circonda questa persona. Ovviamente non sto parlando dell’ambiente inteso come collocazione fisica in senso stretto, bensì da quello che l’utente ha creato.

Porta siti internet in firma? Il whois di questi siti a chi è intestato? Quale corrispondenza c’è tra gli IP dei server dei siti e quelli spacciati per “non correlati al proprio profilo”?

Sia ben chiaro che un fake attento può più o meno facilmente mascherare il suo ambiente… ma deve essere proprio bravo, ancora di più nel mascherare il proprio carattere.

In conclusione

In conclusione, mi auguro che queste piccole informazioni possano essere utili per la tua permanenza, caro lettore, nel web e soprattutto nel mondo di forum e blog.

Le informazioni sopra riportate non hanno uno scopo particolare se non dare modo a chiunque di rendersi conto che non tutto il web è rose e fiori. Anche quando si riceve un consiglio o si ottiene una risposta in un forum è sempre bene analizzare colui che ci offre questa risposta per darci modo di valutare la sua attendibilità.

Related posts:

1. Un forum dedicato ai blog
2. Apre il forum dedicato a feed e blog
3. Che vergogna il forum di Bloglines Italia!

Mmm, considerando che sono quasi più conosciuto come weppos che con il mio vero nome, dovrò cominciare a rivedere le mie password! :D

Ah, per chi volesse qualche informazione in più, il servizio segnalato all’URL seguente misura la sicurezza di una password restituendo un numero da 1 a 4. Assomiglia ad un sistema API, ma non lo userei nella quotidianità. Così su due piedi, ho visto algoritmi più precisi.

URL: https://www.google.com/accounts/RatePassword?Passwd=QUI_INSERISCI_LA_PASSWORD

Related posts:

1. Quanto è sicuro salvare le password nel browser?
2. Google Desktop: veloce, ma è anche sicuro?
3. Non scegliete mai password stupide

Anche se gli argomenti trattati sono in buona parte esecuzioni avanzate, ne consiglio la lettura a tutti, in particolare a chi si sta approciando al mondo della programmazione. Imparare a sviluppare in modo sicuro è un ottimo obiettivo, correggere difetti di programmazione acquisiti nel tempo può risultare difficile nel futuro.

Related posts:

1. Email poste italiane: attenzione alla sicurezza del vostro conto!

Tutto comincia circa 1 settimana fa quando analizzando i log del server di weppos.com, tra l’altro lo stesso che ospita questo sito, mi sono accorto di alcuni tentativi di accesso non autorizzati al server attraverso il mio programma ASP Stats Generator. Porca zozza, ho esclamato scoprendo che mi era stata fregata la password!

Scatta la caccia al problema e meno di 10 ore più tardi arriva un’email di Hamid Ebadi che mi avverte di una grave falla di sicurezza nel mio programma. Di corsa a correggere l’errore e rilasciare avviso + patch.

Ringraziato via email Hamid Ebadi per la sua segnalazione scopro che gli accessi al blog di sviluppo del programma si impennano da paura! Controllo i referer e scopro di essere finito su FrSIRT Advisories e secunia.com (hanno dedicato pure una scheda al programma), due tra i più importanti siti internazionali legati all’identificazione di exploit.

Gulp!

Ok, ok, non fa figo un errore del genere in un software, ma lasciatemi dire due cose:

1. Non sono perfetto.
2. Caspita, per essere finito lì sopra ed essere preso di mira da hacker il mio programmino deve essere diventato molto richiesto… sono orgoglione di me. ;)

Prossimo target? Mmm, avrei una idea…

Spero di rilasciare la nuova versione prima che scoprano come distruggere un server clickando il pulsante delete all data nascosto nel programma!

Related posts:

1. Gli RSS sono sicuri? Interessante domanda…
2. Che cosa sono le API (Application Programming Interface)
3. Sono allergico ai commenti SPAM – Parte 2