2006/11/28

Podcast RSI 2006/11/28: falla Firefox e Internet Explorer, danesi in topless per sicurezza auto, spam

L'articolo è stato aggiornato dopo la sua pubblicazione iniziale.

Il titolo di questo post riassume i temi di cui mi occupo nella puntata del Disinformatico di stamattina, in onda dalle 11 alle 12 come consueto sulla Rete Tre della RSI (radio svizzera di lingua italiana), ricevibile anche in streaming e scaricabile come podcast. Li troverete espansi in tempo reale qui nel corso della diretta.

Falla grave in Firefox e in Internet Explorer

Il 21 novembre scorso è stata annunciata una falla molto grave in Firefox e Internet Explorer (tutte le versioni), che consente a un aggressore di rubare le password di accesso ai siti di comunità come Myspace, come segnalato da Netcraft il 27 ottobre scorso. L'aggressore non fa altro che impostare una pagina personale di questi siti in modo che sembri visivamente una richiesta di password proveniente dall'amministrazione del sito, alla quale sia Firefox, sia IE rispondono automaticamente, consegnando la password all'aggressore. Internet Explorer sembra essere leggermente meno vulnerabile: secondo lo scopritore,

...gli attacchi RCSR stanno prendendo attivamente di mira anche Microsoft Internet Explorer, ma un difetto in Firefox rende molto più probabile il successo dell'attacco... gli utenti di Firefox e Internet Explorer devono essere consapevoli che le loro informazioni possono essere rubate in questo modo quando visitano blog o forum situati presso indirizzi fidati... né Internet Explorer né Firefox sono progettati per controllare la destinazione dei dati immessi nei moduli online prima che l'utente li invii... Firefox immette automaticamente in questi moduli i nomi utente e le password salvate. Questo non avviene in Internet Explorer, a meno che il modulo-trappola non compaia nella stessa pagina che ospita un modulo di login autentico.

Una dimostrazione innocua di questa falla, realizzata dal suo scopritore, è disponibile qui per Firefox: immettete una password e un nome utente (inventati, non veri!) nella pagina e poi cliccate su Login. Nella pagina successiva, cliccate sull'immagine del video di Youtube. Verrete portati a una pagina di ricerca di Google.

Guardate a questo punto la barra dell'indirizzo: vi troverete il nome utente e la password che avete immesso. In altre parole, avete passato a Google il nome utente e la password che avete immesso in un altro sito che non c'entra nulla con Google. Se al posto di Google ci fosse stato un sito di un aggressore e i dati immessi fossero stati reali, a quest'ora l'aggressore avrebbe in mano i vostri codici d'accesso. Sgradevole. La discussione tecnica su Bugzilla descrive i casi in cui IE6/7 è vulnerabile a questo tipo di attacco.

In attesa del rilascio di una correzione di Firefox e IE, la difesa consiste nel non usare i sistemi di gestione delle password presenti in questi due programmi: in altre parole, non consentite a Firefox e IE di ricordare per voi le password, ma immettetele a mano.

Antibufala: video di ragazze danesi in topless per indurre a guidare piano

Sta circolando in Rete un video che afferma di essere uno spezzone di un telegiornale danese nel quale vengono mostrate e intervistate delle ragazze danesi che, nell'ambito di una campagna per la sensibilizzazione ai limiti stradali di velocità, si mettono in topless e pantaloncini cortissimi e reggono i cartelli con l'indicazione del limite. L'idea è che gli automobilisti, per osservare con più calma la "segnaletica", rallentino, ottenendo il desiderato effetto di maggiore sicurezza del traffico.

Il video è autentico, ed è effettivamente sponsorizzato dal ministero dei trasporti danese, al quale va un plauso incondizionato per l'originalità e la disinvoltura (insieme a un'invocazione di par condicio per il pubblico femminile), ma vi fermo prima che si scateni un esodo in massa verso la Danimarca. Infatti non si tratta di un vero servizio del telegiornale, ma di un video virale distribuito esclusivamente via Internet dal ministero, e le ragazze danesi non si appostano sistematicamente in topless lungo le strade con il cartello dei 50 all'ora in mano: l'hanno fatto soltanto per questo video. Lo so, è una brutta notizia, ma qualcuno la deve pur dare.

Tutto sullo spam

Perché "spam"? Il termine spam si riferiva in origine a un prodotto alimentare in scatola, tuttora reperibile in vari paesi, a base di carne precotta, commercializzato dalla Hormel Foods. La grafia corretta del prodotto alimentare è SPAM, tutto in maiuscolo, proprio per distinguerlo dallo spam digitale. Il sito ufficiale è Spam.com.

Durante la seconda guerra mondiale, lo SPAM fu uno dei pochi alimenti esclusi dal razionamento in Inghilterra, per cui gli inglesi se lo trovavano in tavola un giorno sì e l'altro pure; questo ha contribuito a un certo tedio britannico verso il prodotto, che è sfociato in un celebre sketch di Monty Python (ne trovate il video su Youtube), ambientato in una bettola nella quale si servono soltanto piatti a base di SPAM. La ripetizione ossessiva della parola SPAM è stata associata, dai primi Internettari, alla ripetizione ossessiva presente nelle pubblicità-spazzatura, e da qui è derivato l'uso di spam (minuscolo) per indicare qualsiasi comportamento ripetitivo, irritante e di poco pregio.

Quanto spam gira? Secondo The Inquirer, uno studio recente della Commissione Europea segnala che oltre la metà dei messaggi di posta inviati nell'UE è spam; per alcuni utenti, lo spam rappresenta l'80% di tutta la posta ricevuta. I peggiori spammer sono negli USA, che generano il 21,6% circa dello spam mondiale. La Cina è seconda, staccata al 13,4%; terzo è il Giappone, seguito da Russia, Corea del Sud, Canada e Inghilterra, secondo i dati in tempo reale di Spamhaus.

Secondo dati Ironport, a giugno 2006, i messaggi di spam erano circa 55 miliardi al giorno; 20 miliardi in più che nel 2005. L'utente più spammato in assoluto è Bill Gates, che ne riceve 4 milioni l'anno (questo articolo della BBC, che avevo linkato inizialmente, dice "al giorno" riportando la dichiarazione effettiva di Steve Ballmer, ma Ballmer si è poi corretto in un'intervista successiva). L'oggetto più frequente di questo spam è costituito da metodi per fare soldi in fretta.

Chi lo manda? Le botnet (gruppi di computer di utenti inconsapevolmente infetti) sono responsabili per l'80% dello spam. Le gang di spammer professionisti sono meno di 300 in tutto il mondo, secondo Spamhaus. Spamhaus pubblica anche la top ten degli spammer più pestiferi, i cui nomi e cognomi sono ben noti; non vengono arrestati quasi mai, perché operano da paesi nei quali fare spamming non è reato o è reato minore, oppure usano società fantasma per rendere difficile la creazione di prove legalmente valide e continuano a cambiare sedi e fornitori d'accesso.

Ma qualcuno abbocca? Certamente. Per come è strutturato lo spam, (costo zero per inviare messaggi), non importa quanto siano rari gli ingenui che abboccano: anche un tasso di una vittima su 100.000 messaggi porta comunque a un guadagno per lo spammer, che viene pagato dal committente per ogni vendita realizzata o a forfait (nel caso dello spam azionario). E lo spam rende. Per esempio, Jeremy Jaynes era nella top ten degli spammer di Spamhaus nel 2004 e guadagnava 750.000 dollari al mese; però quando fu arrestato negli Stati Uniti si prese anche nove anni di galera (non ancora iniziati).

Come fanno a trovare il mio indirizzo? Gli spammer esplorano la Rete con programmi automatici (web spider) alla ricerca di indirizzi pubblicati nelle pagine Web, per esempio nelle pagine dei forum o negli organigrammi pubblicati dai siti aziendali o istituzionali; si abbonano alle mailing list per acquisire la lista degli iscritti; mandano le catene di Sant'Antonio per poi raccoglierne gli elenchi di mittenti spesso inclusi da chi le inoltra; copiano i dati degli intestatatari di siti, pubblicati tramite i servizi Whois; e usano virus che copiano la rubrica degli indirizzi dal computer della vittima e la mandano allo spammer.

Come difendersi? Quasi tutti i programmi di posta hanno dei filtri interni ai quali si può "insegnare", tramite esempi, quali messaggi sono spam e quali no; i provider, inoltre, offrono filtri antispam, magari a pagamento. Anche se Microsoft e altri stanno proponendo sistemi antispam molto complessi, sta prendendo piede un sistema semplice chiamato graylisting: in sintesi, la prima volta che si riceve un e-mail da un indirizzo sconosciuto, il nostro provider lo respinge temporaneamente al provider del mittente con la richiesta di ritrasmetterlo più tardi. Se il mittente è legittimo, lo ritrasmette e si stabilisce da quel momento in poi la normale comunicazione; l'indirizzo del mittente viene considerato valido; se il mittente è uno spammer, difficilmente ritenterà la trasmissione e quindi il suo spam non verrà mai recapitato. Questo sistema non richiede alcuna impostazione da parte dell'utente, richiede pochissime risorse ai provider, e funziona a prescindere dal contenuto del messaggio.

Per il momento, la prevenzione resta la miglior difesa: date il vostro indirizzo di e-mail soltanto alle persone di cui vi fidate e con la preghiera di non includerlo nei campi "CC" o nelle catene di sant'Antonio; non mettetelo nel vostro sito, blog o pagina Web (se lo dovete fare, "cifratelo" usando un'immagine o una grafia comprensibile solo alle persone ma non ai programmi automatici, come topone chiocciola pobox.com, oppure inserendo una parola da rimuovere, come topone.togli-questo@pobox.com).

Usate inoltre regolarmente un antivirus e un antispyware per essere sicuri di non essere portatori sani d'infezione spiona o addirittura disseminatori inconsapevoli di spam, e impostate i vostri programmi di posta in modo che non scarichino automaticamente le immagini e non interpretino l'HTML nei messaggi di posta. Le immagini e l'HTML vengono usate dagli spammer per sapere se leggete i loro messaggi.

Conviene inoltre avere un indirizzo di e-mail "privato", da riservare alla cerchia di amici e colleghi più fidati, e uno o più indirizzi "sacrificabili" per tutte le altre transazioni e comunicazioni che potrebbero essere a rischio.

Soprattutto, non rispondete mai a uno spam, neppure per insultare chi ve l’ha mandato, e men che meno per farvi rimuovere dall'elenco dei mittenti come a volte promettono gli spammer: è una trappola.

Aggiornamento (2006/11/29)

Il podcast della puntata, senza la musica, è scaricabile gratuitamente qui insieme a tutti gli altri podcast della Radio Svizzera di lingua italiana.

Nessun commento:

Posta un commento

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine per dispositivi mobili