skip to main | skip to sidebar
39 commenti

Perché Swisscom accusa Safelinking.net di phishing?

Questo articolo vi arriva grazie alla gentile donazione di “giacomoma*” e “mauro-lamb*”.


Anche a voi qualunque URL di Safelinking.net risulta bloccato o blacklistato?

Forse è un problema esclusivamente del mio provider (Bluewin/Swisscom), ma mi interessa sapere se anche altrove (in Svizzera con altri provider e all'estero) si verifica lo stesso problema, perché ho provato a chiedere lumi all'assistenza tecnica di Swisscom, ma dopo più di due settimane non ho ancora ottenuto una risposta che spieghi le ragioni del blocco dell'intero nome di dominio.

Mi sto anche chiedendo quanto questo tipo di blocco silenzioso sia esteso, anche perché all'inizio, quando mi sono accorto del problema (il 5 febbraio), Swisscom non visualizzava nessuna schermata di avviso (come fa ora e come vedete nello screenshot all'inizio di questo articolo) ma semplicemente il browser restava in attesa di una risposta dal sito che non giungeva mai. Dato che Safelinking.net è molto usato (anche) per linkare indirettamente copie di contenuti vincolati dal diritto d'autore, ho pensato a un blocco in stile blackhole relativo a questioni di copyright.

Poi ho fatto un traceroute (direttamente dal mio router, usando l'apposito diagnostico) e ho scoperto che il router (quello standard di Swisscom, impostato con i parametri di default del provider, in particolare con 195.186.4.162 e 195.186.1.162 come server DNS) routava Safelinking.net a blockphishing.bluewin.ch. Un nome molto eloquente, che oltretutto portava all'avviso che “Il sito che voleva guardare è chiuso per motivi di sicurezza. Dei criminali provano a ottenere delle informazioni personali come login o numero di carta di credito (phishing)”.

Phishing, dunque: strano, però, che venisse blacklistato l'intero dominio invece di uno specifico URL. Un approccio un po' drastico, come se un provider decidesse di bloccare gli URL shortener Bit.ly o T.co.

Con questi dati ho contattato il servizio clienti di Swisscom via Twitter (@Swisscom_care), che non ha fornito chiarimenti. Ho sollecitato il giorno successivo, anche perché altri utenti segnalavano la stessa anomalia: nessuna risposta significativa. Poi ho lasciato perdere, visto che ci avevo girato intorno con TunnelBear. Il 20 febbraio la rete Swisscom è andata in tilt in tutta la Svizzera (traceroute dal mio router) per un paio d'ore.

Dopo il blackout, Safelinking.net ha iniziato a risolversi sul router come mostrato nell'immagine qui accanto (acquisita oggi). L'IP di Safelinking.net viene risolto dal router a 195.186.135.200 ma sostituito dall'avviso di Swisscom.

Cambiando i server DNS nei settaggi del router, dando per esempio quelli di OpenDNS.com, non serve a nulla: occorre cambiarli anche sulle singole macchine collegate.

Sarò paranoico, ma mi è venuto spontaneo riflettere su quanto sia potente questo genere di scelta tecnica: un sito sgradito semplicemente scompare e viene reso inaccessibile all'utente medio che non sa smanettare con i DNS o le VPN. Niente di nuovo, per carità, ma provarlo sulla propria pelle (digitale) fa un certo effetto.

Quello che mi ha turbato, a parte la reticenza del servizio clienti (che ha detto che il problema era stato “risolto” e mi ha proposto di provare un altro browser (sic)), è il fatto di avere un router e un provider che mandano in blackhole un sito senza avvisare del fatto e senza dare l'opzione di disabilitare questo comportamento. Viene da chiedersi quanti altri siti sono bloccati in questo modo, silenziosamente o adducendo scuse improbabili. Dico “improbabili” perché altri provider svizzeri (Orange, per esempio) non bloccano Safelinking.net e non c'è, a quanto mi risulta, nessun phishing che stia coinvolgendo questo sito. E viene da chiedersi se un provider ha il diritto di bloccare arbitrariamente un sito e quindi intralciarne l'attività commerciale.

Se avete idee, i commenti sono a vostra disposizione.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi.
Siate civili e verrete pubblicati, qualunque sia la vostra opinione: gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo sito. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti.
Commenti
Commenti (39)
In Italia con Fastweb nessun blocco (almeno su safelink)
Qui in rep. Ceca, provider Alf Servis, non risulta alcun blocco.
Al momento pare che la scelta del tuo provider non sia molto diffusa: tiscali (ita) non lo blocca, così come altri. Chrome con safebrowsing attivo non si lamenta di nulla. blacklistalert.org e websitepulse.com/help/testtools.dbl-test.html (tanto per farci un giro che non li usavo da tempo!) non lo ritrovano in giro... insomma... sembrerebbe pulito (per ora)

Ciao, f.
Dopo aver cambiato i DNS sul router, hai ripulito la cache DNS dalle singole macchine?
I comandi sono i seguenti:
su windows: "ipconfig /flushdns"
su Mac invece: "dscacheutil -flushcache" o "lookupd -flushcache" (dipende dalla versione di OS X)
su linux "/etc/rc.d/init.d/nscd restart"
In Germania (Bassa Sassonia) con Symio dal cellulare nessun blocco.
In Italia era successo tempo addietro con Grooveshark, un sito di streaming LEGALE musicale.

Ed è durato oltre un anno!

Il fatto è che i provider non bloccano siti con una massa di utenti enorme, così la notizia non riesce ad arrivare alla ribalta e/o sembra poco importante alla maggior parte delle persone.
Però è un blocco molto pericoloso (soprattutto se silente, lasciando il sito a caricare senza alcun avviso)...
Telecom non blocca.
Mi viene in mente solo che Swisscom si appoggi ad una azienda che gestisce una blacklist in modo decisamente superficiale.
Roma, Windows 7, Alice, Google Chrome.
Nessun problema di connessione.
cablecom a lugano funzona
nessun blocco su nessuna delle seguenti configurazioni

da pc
wind adsl
win 7 firefox / chrome / internet explorer
linux mint 14 chrome / firefox

da telefono
coop voce (compagnia virtuale su reti telecom)
android browser di serie del samsung galaxy s plus (sarà un webkit?)
Manaus (Brasile), Win7, Net Virtual, Chrome. No problem...
CityCable (servizi industriali di Losanna) non lo blocca.
Chissà, magari è la Swisscom sotto attacco. Magari qualcuno è entrato nei suoi server e si è "divertito" a seminare disastri.

Oppure è stato qualcuno interno alla compagnia a commettere un errore: magari il sito da bloccare aveva un nome simile. Usare nomi di dominio simili a quelli di siti più conosciuti è uno dei metodi usati per aumentare il numero di visitatori nel caso migliore, per frodare i meno attenti o i più sprovveduti nel peggiore.
Beh non distinguere un router da un browser non è male, ma a me è accaduto di peggio, ho avuto l'assistenza TeXXXXm che sostenevano che "il link non esiste" e non riuscivano a capire che non avevo un loro router... Se vi interessa l'intera storia è qui (link al mio blog ;) )
Fiumicino, 25/2/2013 ore 9:20, Windows 7, Fastweb e Android 2.6 Wind (mobile), nessun blocco.

Ping su www.safelinking.net
Risposta da xxx.xxx.xxx.xxx: byte=32 durata=35ms TTL=53
Risposta da xxx.xxx.xxx.xxx: byte=32 durata=35ms TTL=53
Risposta da xxx.xxx.xxx.xxx: byte=32 durata=35ms TTL=53
Risposta da xxx.xxx.xxx.xxx: byte=32 durata=35ms TTL=53

Traceroute su www.safelinking.net
1 2 ms 2 ms 2 ms 192.168.1.254
2 3 ms 3 ms 3 ms 10.89.11.66
3 4 ms 3 ms 3 ms 10.251.178.49
4 3 ms 3 ms 3 ms 10.251.174.37
5 3 ms 3 ms 3 ms 10.251.175.1
6 4 ms 3 ms 3 ms 10.251.179.186
7 4 ms 3 ms 3 ms 10.1.153.17
8 4 ms 4 ms 3 ms 10.254.0.137
9 4 ms 4 ms 3 ms 10.254.11.197
10 4 ms 6 ms 4 ms 10.254.12.6
11 4 ms 5 ms 4 ms 89.97.200.58
12 15 ms 12 ms 13 ms 93-63-100-17.ip27.fastwebnet.it [93.63.100.17]
13 13 ms 13 ms 12 ms 93-63-100-14.ip27.fastwebnet.it [93.63.100.14]
14 * * 37 ms amsix.routers.ovh.net [195.69.145.231]
15 37 ms 35 ms 35 ms rbx-g1-a9.fr.eu [178.33.100.232]
16 216 ms 92 ms 126 ms vss-9b-6k.fr.eu [178.33.100.72]
17 36 ms 35 ms 34 ms safelinking.net [5.135.187.149]
In Italia sia Telecom che Vodafone non bloccano il dominio, qualunque browser utilizzi.
Con Sunrise ADSL nessun problema (Thalwil, ZH).
Luigi
Curiosando sulla pagina di supporto di Swisscom mi sono accorto che il nostro provider non è la prima volta che blocca un sito per motivi di phishing; era già successo nel 2011 con Dropbox

Su "Safelinking" c'è una discussione in corso ma non ci sono molte spiegazioni sul perché: Gesperrte Internetseite

La Swisscom, da buona ex Regia federale, non ama mettere in discussione le sue scelte :-(
San Donà di Piave. Dalla rete della scuola nessun blocco. Win XP, Firefox 18.0.1.

Giuliano Grandin
A me firefox mi dice "sito non affidabile"

Questa connessione non è affidabile
È stata richiesta a Firefox una connessione sicura con safelinking.net, ma non è possibile confermare la sicurezza del collegamento.
Normalmente, quando si cerca di attivare un collegamento in modalità sicura, il sito web fornisce un'identificazione affidabile per garantire all'utente che sta visitando il sito corretto. Tuttavia l'identità di questo sito non può essere verificata.
Che cosa dovrei fare?

Se generalmente è possibile collegarsi a questo sito senza problemi, è possibile che questo errore sia causato dal tentativo da parte di qualcuno di sostituirsi al sito originale. Il consiglio è di non proseguire la navigazione.

safelinking.net utilizza un certificato di sicurezza non valido.

Il certificato non è attendibile in quanto il certificato dell'autorità emittente non è attendibile.
(Codice di errore: sec_error_untrusted_issuer)




Con me va tutto bene, sia firefox che chrome
C'entra niente, ma è una cosa simpatica.

Lo sapevate che a Verona abbiamo una webcam puntata su una piazza intitolata ad indumenti intimi?

Andate a questo link http://www.ilmeteo.it/webcam/Verona e leggete la descrizione sotto 5^ webcam...

:D
Con Ticinocom nessun problema per raggiungerlo.
@ Stupidocane
Lo sapevate che a Verona abbiamo una webcam puntata su una piazza intitolata ad indumenti intimi?

Oltretutto è l'unica a essere gestita da un sito istituzionale, il Comune di Verona.
Peccato non funzioni. Chissà, magari aveva anche una funzione tipo occhiali a raggi x…
Londra, virginmedia, macX, firefox. Sito Visibile
@ granmarfone

Sei proprio un grantestesso. :D
Ticino, Cablecom, Windows 8, Opera 12, nessun problema.
Dall'Italia con Tiscali, Ubuntu, Firefox, accedo a safelink.net all'indirizzo 5.135.187.149. Ma se provo a usare l'indirizzo che tu torvi associato a safelink.net, cioè http://195.186.135.200/. allora salta fuori il messaggio in tedesco di Swisscom che parla di phishing
Swisscom è Swisscom, questo da solo spiega l'intero caso in qualsiasi dettaglio. Un dinosauro vecchio, stanco, e con poco cervello.

Ma anche la Sunrise aveva preso la sua buccia di banana, impedendo nel 2001 l'accesso ad un famoso sito splatter (poi tornato accessibile dopo le risate collettive per l'iniziativa presa).
Ciao Paolo, non c'entra niente con l'argomento.. hai qualche consiglio per come fare per emigrare in Svizzera?? :-( :-( :-(
Telecom Italia Ok, Tre UMTS ok, COLT france ok.

Direi che è swisscom che ha fatto danni. :D
Quanto ti è accaduto, è fondamentalmente il motivo per cui, a casa mia, ho messo su una cache DNS, poggiata direttamente sui root DNS. Oltre ad evitare che "qualcuno" mi faccia da "balia" a mia insaputa, ne giova anche la velocità di navigazione, dato che per i siti che accedo più frequentemente, la risoluzione dei nomi avviene in locale, senza dover fare richieste a server esterni, se non la prima volta (e ogni volta che la cache scade). Su Linux si fa in un attimo, con strumenti come bind o altri più semplici come djbdns. Su altre piattaforme, fortunatamente, non so :)
Aggiungendo ancora una cosa a quanto scritto prima, è anche vero che quando fanno sul serio, non si limitano a bloccare la risoluzione dei nomi, ma bloccano proprio il routing. Allora in quel caso le uniche soluzione sono Proxy o VPN.
Vodafone UMTS si vede - Alice ADSL si vede
@Alex++
...la risoluzione dei nomi avviene in locale, senza dover fare richieste a server esterni, se non la prima volta (e ogni volta che la cache scade)

Ma anche i S.O. come windows e mac OS mi risulta facciano così: si creano una cache di nomi di dominio e i server esterni vengono interrogati solo all'occorrenza. E non sto considerando i router ADSL. Molti di loro, infatti, hanno una loro cache a cui i computer collegati attingono. In più, per rispondere davvero velocemente, il tuo server DNS dovrebbe restare sempre acceso con inevitabili conseguenze sulla bolletta. Ciò accade perché, al contrario di quel che si pensa, i root DNS non sono dei server in cui sono registrati tutti i nomi di dominio, ma sono i "gestori" del database dei nomi che è un database distribuito (cioè ogni server DNS ha un pezzo più o meno grande del database dei nomi di dominio).

Per il resto ciò che non "ti dice" un DNS te lo dice un altro :-)
Ticino - Swisscom: con Firefox funziona mentre con Safari é bloccato.
Qualche settimana fa' tutti i domini co.cc sono caduti sdenza preavviso (e io ne avevo uno poggiato su google apps) e da qualche giorno (che io sappia) anche un altro servizio e' sparito: www.mylinkvault.com

mi redirige su thomasrice.com

ma il bello e' che un whois dello stesso dice:

thomasrice.com is not available*


e poi:


Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: THOMASRICE.COM

Registrant:
thomas rice

Domain servers in listed order:
NS10.DNSMADEEASY.COM
NS11.DNSMADEEASY.COM
NS12.DNSMADEEASY.COM
NS13.DNSMADEEASY.COM
NS14.DNSMADEEASY.COM
NS15.DNSMADEEASY.COM

For complete domain details go to:
http://who.godaddy.com/whoischeck.aspx?domain=THOMASRICE.COM

Che gli illuminati vogliano privarci di tutti i nostry link?
Una piccola chicca sulla webcam "osè" di cui sopra:

Ho avvertito sia ilmeteo.it che il Comune di Verona di intervenire sulla scritta.

Credo che il misfatto sia dovuto al fatto che la webcam è sul tetto del palazzo del comune ed inquadra Piazza Bra.
E come si dice reggiseno in inglese?

Maledetti traduttori automatici... :D
È ancora bloccato, mi consta.

Se è così per me sarebbe condizione sufficiente per cambiare fornitore.