Cerca nel blog

2005/12/31

Come sta Valentin? Bene, grazie, e ha tanti amici. Inventati

Questo articolo vi arriva grazie alle gentili donazioni di “davi-g”, “andreamor” e Andrea Peda****. L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento ore 16:00.

A quick note for English-speaking readers.
If you're here because you received an annoying e-mail apparently from me and Googled for information, please note that it's a spoof sent by a vindictive spammer. I didn't send it. Check the full headers of the e-mail and you'll see the sender has been faked. Details are here. Sorry for the inconvenience.

Ricordate Valentin, il ragazzo russo che spamma mezzo mondo chiedendo soldi perché (dice lui) muore di freddo a Kaluga, in Russia? Ormai la sua vicenda, già trattata dal Servizio Antibufala, sta diventando una telenovela, tanto è assurda e contorta. Ma vista l'ondata di gelo che ha colpito l'Europa, magari vi siete impensieriti per lui.

Tranquilli, ho buone notizie! Valentin sta bene, perlomeno a giudicare dal fatto che continua a spammare in quantità industriali e che si è inventato una nuova tecnica: fa "autenticare" i suoi messaggi da altre persone. Tutte regolarmente inesistenti.

In pratica, al posto del solito appello diretto, lo spam di Valentin arriva ora sotto forma di un e-mail proveniente (apparentemente) da una terza persona, che consiglia di dare ascolto all'appello del povero ragazzo russo. Eccone un esempio, il cui mittente sarebbe un certo "Merlin Mccracken" (appleton1@blueyonder.co.uk), ma mi sono stati segnalati messaggi analoghi provenienti da altri mittenti, come "Lyman Montano", "Angelica Odom", "Daryl Velez", "Hubert Cornett", "Bruno Means", "Amalia Velazquez", "Kirk Quinterno" e altri, tutti riferiti a indirizzi del provider inglese Blueyonder.co.uk:

On December 6, 2005, I received this interesting message from a poor Russian student. He is asking for little help due to the difficult situation. I was in another region and did not check my mailbox until now.

I can't help because I have a lot of different problems myself, therefore I forward this message to all the emails from my address-book in hope that you can help.

You can contact Valentin directly at: wmik@mailrus.ru

I wish you a Merry Christmas!

Traduco:

Il 6 dicembre 2005 ho ricevuto questo messaggio interessante da un povero studente russo. Chiede un po' di aiuto a causa della situazione difficile. Mi trovavo in un'altra regione e ho controllato solo ora la mia casella di posta.

Io non posso aiutare, perché ho molti e vari problemi anch'io, per cui inoltro questo messaggio a tutti gli e-mail [sic] della mia rubrica nella speranza che possiate aiutare.

Potete contattare Valentin direttamente presso: wmik@mailrus.ru

Buon Natale!

Un'altra novità a proposito di Valentin è che in almeno un caso ha variato il proprio appello, specificando la malattia che (a suo dire) affligge la madre: la chiama "atrophia zritelnogo nerva". Qualcuno ha idea di cosa significhi?

Nota: grazie ai lettori che mi hanno chiarito che significa "atrofia del nervo ottico".

Molti lettori mi hanno scritto chiedendo come rispondergli e come impedirgli di fare danni ingannando le persone di buon cuore. C'è chi fa interposizione, fingendo di aver abboccato, e gli fa perdere tempo scambiando con lui molti messaggi senza però mai mandargli una donazione, e c'è chi gli manda allegati pesantissimi per intasargli la casella di posta. Non approvo questi comportamenti: mi limito a segnalarli.

A mio parere, la cosa corretta da fare è rispondergli educatamente chiedendo prove della sua condizione (una foto, un documento medico, una conferma della Croce Rossa locale, eccetera). I più solerti possono anche segnalare il suo indirizzo di e-mail alle varie liste nere antispam, perché una cosa è assodata oltre ogni dubbio: Valentin si comporta in tutto e per tutto come uno spammer.

Ciao e buon 2006!


Aggiornamento (16:00)


Poche ore dopo la pubblicazione di questo articolo, ho ricevuto circa 2500 e-mail di iscrizione a mailing list di tutti i generi, accompagnati dalla dicitura "stupid gay Ativisimo" [sic].

Altri messaggi, inviati alle caselle di abuse di vari provider usando il mio indirizzo come mittente apparente, contengono questo testo tragicomicamente divertente: "Dear Internet Users: I wish you a Happy New Year 2006! Please send any banknote to my address and it will stop my old dishonest wife to leave me alone and go to the rich black man." ["Cari utenti Internet, vi auguro felice anno nuovo 2006! Per favore mandate qualsiasi banconota al mio indirizzo, così la mia vecchia e disonesta moglie smetterà di lasciarmi da solo e di andare all'uomo nero ricco"] seguito dal mio indirizzo di casa (che è facilmente reperibile in Rete).

Ovviamente ho prontamente cestinato il tutto senza alcun problema: sono abituato ad attacchi ben più professionali, e i responsabili degli abuse non si fanno ingannare da trucchetti così miseri.

Visti i tempi di reazione così rapidi, si direbbe proprio che Valentin legga assiduamente tutto quello che scrivo. Niente male, per uno che dice di essere un povero studente infreddolito.

Offendermi? Vendicarmi? Non ci penso nemmeno: significherebbe dargli troppa importanza.

Happy new year, Valentin. E alla prossima puntata.

2005/12/29

Sicurezza, anche le immagini possono veicolare virus: guarda un’immagine sul Web e t’infetti

Questo articolo vi arriva grazie alle gentili donazioni di "riccardo.camp***", "Noris.Trave***" e "arkadyn". L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento ore 16:30.

F-Secure ha annunciato ieri (28 dicembre 2005) una falla estremamente grave in Windows, che consente di infettare un computer Windows semplicemente visitando un sito Web appositamente confezionato e contenente un'immagine, oppure ricevendo un e-mail e visualizzando l'immagine che vi è contenuta.

Al momento in cui scrivo, Microsoft non ha ancora distribuito un aggiornamento (patch) che corregga la falla, che colpisce Windows XP anche se dotato di tutti gli aggiornamenti di sicurezza finora rilasciati. L'avviso ufficiale di Microsoft è disponibile presso Microsoft Technet (in inglese).

Numerosi siti (alcuni sono indicati nella pagina di F-Secure), specialmente quelli porno e dedicati ai programmi pirata, stanno già usando questa tecnica di attacco per infettare i computer Windows con ogni sorta di spyware e altro software ostile, compresi programmi per controllare da remoto i computer delle vittime e programmi che fingono di essere antispyware e chiedono soldi (tramite carta di credito) per eliminare l'infezione trovata nel computer.

Il sito di sicurezza Websense ha delle schermate e un filmato che mostrano il comportamento di un Windows infettato tramite questa falla, basata sull'uso di immagini nel formato WMF (Windows Metafile, da non confondere con i video in formato WMV).

La falla è particolarmente grave e interessante perché colpisce anche gli utenti Windows che usano browser alternativi come Firefox o Opera. L'unica differenza, piuttosto importante, è che mentre chi usa Internet Explorer viene infettato direttamente appena visita il sito-trappola, chi usa i browser alternativi viene avvisato da un messaggio di allerta e s'infetta solo se risponde affermativamente al messaggio. Anche la semplice visualizzazione di una cartella contenente un'immagine infetta tramite Esplora Risorse o il Fax Viewer di Windows è sufficiente a infettare.

Sono a rischio gli utenti di Windows XP, ME, 2000 e Server 2003. A quanto mi risulta finora, gli utenti di altri sistemi operativi non sono colpiti da questa falla.

Aggiornamento (16:30): secondo il bollettino Microsoft, sono a rischio anche gli utenti di XP Pro x64, Server 2003 x64, Windows 98 e 98 SE.


Il problema nasce dalla natura particolare del formato grafico WMF, che fu introdotto da Microsoft in Windows 3.0: invece di rappresentare i singoli punti di un'immagine, contiene una serie di istruzioni di disegno che spetta al sistema operativo interpretare (è un esempio di formato di grafica vettoriale, insomma). Purtroppo le istruzioni possono essere confezionate in modo maligno e Windows non è capace di bloccare queste istruzioni ostili.

Un altro aspetto di particolare interesse della falla è che chi ha Google Desktop è ancora più vulnerabile. Per infettarsi, in questo caso, è sufficiente scaricare l'immagine WMF infetta. Google Desktop, infatti, indicizza e legge subito il file scaricato e ne passa il contenuto infettante a Windows, che lo esegue automaticamente. Secondo F-Secure, su un PC Windows dotato di Google Desktop l'infezione ha luogo persino se si scarica il file usando una finestra DOS (tramite per esempio Wget) e anche se il file infetto non ha l'estensione WMF nel nome ma è comunque scritto nel formato WMF.

Per il momento, in attesa che Microsoft rilasci un aggiornamento che corregga la falla, è opportuno bloccare l'interpretazione delle immagini WMF.

Sunbelt, per esempio, consiglia di disabilitare il componente fallato di Windows (SHIMGVW.DLL): al prompt dei comandi (Start > Esegui), digitate:
REGSVR32 /U SHIMGVW.DLL

Dopo di che riavviate Windows.

La disabilitazione è permanente fino a quando date il comando di riabilitazione, che è:
REGSVR32 SHIMGVW.DLL

Sunbelt avvisa che questo rimedio interferisce con la visualizzazione di tutti i tipi di immagine nel visualizzatore fax e immagini di Windows, quando viene invocato da Internet Explorer: in altre parole, può risultare piuttosto scomodo (ma sempre meno scomodo che trovarsi infetti).

Sans suggerisce inoltre di applicare la funzione DEP del Service Pack 2 a tutti i programmi. Se non avete idea di cosa sia DEP, chiedete a un esperto di farlo per voi.

Mi raccomando, prudenza!

2005/12/28

Progesterex, la pillola che ti sterilizza!

Falso allarme per il Progesterex, presunta pillola sterilizzante


Questo articolo vi arriva grazie alle gentili donazioni di "trepertre", "max.piemonts" e "cino63".

Dopo le prime sporadiche segnalazioni nei giorni scorsi, sta prendendo a circolare freneticamente questo nuovo allarme per una presunta pillola in grado di sterilizzare una persona e usata, stando all'appello che gira via e-mail, dagli stupratori, che la metterebbero di nascosto nelle bibite delle loro vittime.

Il testo dell'appello è grosso modo questo, con le solite varianti tipiche delle catene di Sant'Antonio:

Sabato 10 settembre, una donna é stata rapita da 5 uomini.
Dai referti medici e dai rapporti della polizia, risulta che la banda ha violentato la donna prima di lasciarla libera.
Incapace di ricordarsi gli avvenimenti di quella sera, i test hanno confermato in seguito i ripetuti stupri ai quali é stata soggetta la donna, e tracce di Rohypnol nel suo sangue, nonché del Progesterex, che é una piccola pillola utilizzata essenzialmente per la sterilizzazione. Questo tipo di droga é utilizzata attualmente dagli autori degli stupri in pub, discoteche, etc., per violentare e sterilizzare le loro vittime.
Il Progesterex é utilizzato dai veterinari per sterilizzare animali di grossa taglia. Si dice che il Progestex sia utilizzato insieme al Rohypnol, la cosiddetta "droga dello stupro". Come per il Rohypnol, tutto cio che bisogna fare é lasciar cadere la pillola nella bibita bevuta dalla vittima. La vittima stessa l'indomani non avrà più alcun ricordo degli avvenimenti della notte precedente. Il Progesterex, che si dissolve facilmente in qualsiasi bevanda, impedisce che la vittima rimanga incinta in seguito allo stupro; in questo modo, l'autore dello stupro non si deve preoccupare del fatto che un eventuale test di paternità possa identificarlo come padre del bambino, e quindi autore dello stupro stesso. Gli effetti della droga NON SONO TEMPORANEI, ma PERMANENTI. Il Progesterex é stato concepito per sterilizzare dei cavalli. Qualsiasi donna che lo prenda NON POTRA' MAI PIU' AVERE FIGLI. I violentatori possono ottenere questa droga contattando delle persone che studino in una scuola di veterinaria o in qualsiasi università. E' molto facile entrarne in possesso, e il Progesterex é sempre più diffuso. Credeteci o no, ci sono anche dei siti Internet che spiegano alle persone come usarlo. Per favore COPIATE (non cliccate su "inoltra", altrimenti l'email diventerà rapidamente illeggibile a causa di tutti gli indirizzi email che si accumuleranno) e INVIATE questa mail ai vostri familiari e amici, soprattutto alle ragazze. Fate attenzione quando uscite dai locali e NON LASCIATE MAI LE VOSTRE BEVANDE INCUSTODITE. Per favore fate lo sforzo di mandare quest'email a tutti quelli che conoscete....Uomini, informate tutte le vostre amiche (poiché la prossima vittima potrebbe essere vostra sorella o vostra figlia.

L'appello è una bufala, e anche piuttosto vecchiotta: l'impagabile Snopes.com la rintraccia addirittura nel 1999. Non esiste alcun farmaco di nome Progesterex e non esiste alcun prodotto veterinario che abbia l'effetto descritto di sterilizzazione immediata e permanente. Tuttavia il consiglio di non lasciare incustodite le bevande è valido: non per via dell'inesistente Progesterex, ma per via del Rohypnol, che viene effettivamente usato dagli stupratori per drogare le proprie prede offrendo loro bevande contenenti questo farmaco.

Analizzando il messaggio emergono subito i classici ingredienti dell'appello-bufala: una notizia drammatica, data però senza precisarne datazione, luogo o fonti (in che anno e in quale città sarebbe avvenuto il rapimento? Da dove proviene la notizia?), e l'appello accorato a inoltrare l'allarme a tutti i propri conoscenti.

La drammaticità dell'allarme può far mettere in disparte il buon senso e quindi non far notare l'ingrediente-bufala decisivo: la tesi proposta (sterilizzare la vittima per impedire il riconoscimento dello stupratore tramite il DNA dell'eventuale bambino) non ha senso: infatti per identificare l'autore di uno stupro non è affatto indispensabile ricorrere al DNA del bambino concepito e quindi una sterilizzazione temporanea o permanente sarebbe inutile in questo senso. Per l'identificazione sono sufficienti le tracce di fluidi corporei (scusate il giro di parole, ma i filtri antispam sono sempre in agguato) lasciate dall'aggressore e prelevabili subito dopo la violenza, anche se lo stupro non conduce a un concepimento.

L'indicazione del pericolo (reale) costituito dal Rohypnol e da altri farmaci dissolvibili nelle bevande potrebbe far ritenere comunque utile quest'appello, ma è sempre molto pericoloso far viaggiare un'informazione vera a cavallo di una falsa: c'è il rischio che chi scopre quella falsa non creda neppure a quella vera. E' molto meglio dare un ammonimento fondato, preciso e circostanziato, piuttosto che condirlo di bugie basate sulla diceria di terza mano.

È insomma saggio raccomandare a tutti di non perdere d'occhio le bibite che vengono servite nei locali pubblici, perché i malintenzionati possono introdurvi droghe, ma senza accompagnare la raccomandazione con l'allarme-bufala del Progesterex. Chi lo fa rischia di perdere credibilità e rendere vana la raccomandazione.

2005/12/27

Spam-virus natalizio

Attenti ai video di Natale, potreste trovarci regali sgaditi


Questo articolo vi arriva grazie alle gentili donazioni di "arch.gb", "info" e "giubileoa".

Sta circolando una nuova serie di messaggi che tentano di infettare chi li riceve, spacciandosi per e-mail di comuni utenti che segnalano un sito contenente video natalizi divertenti. Ecco alcuni dei testi di questi messaggi-esca:

a natale si è tutti più imbranati
http://www.goodmovieplay.com/video7.html
hehehe ciao tanti a uguri

a natale dovremmo essere tutti più buoni, invece...
http://www.goodmoviesmile.com/video2.html
a presto e auguri anche alla famiglia

scherzetto simpatico...eheheh
http://www.goodmoviesmile.com/video6.html
a presto, vi auguro buone feste

in africa non importa che tu sia leone o gazzella, l'importante è che...
http://www.goodmoviesmile.com/video4.html
a presto, auguri di buone feste e buon anno!

l'idiozia non manca mai nelle persone, soprattutto a natale, no comment
http://www.movie-laugh.com/video5.html
meglio non pensarci
tanti auguroni, ci sentiamo dopo le feste, a presto

Il meccanismo è simile a quello già descritto in un articolo precedente. Visitando il sito, parte automaticamente Windows Media Player, che tenta di visualizzare un videoclip ma produce un messaggio d'errore.

L'utente è così indotto a seguire la raccomandazione del sito, ossia scaricare e installare quelli che il sito chiama "codec aggiornati" ma sono in realtà virus: file eseguibili di nome VideoCodec3_05b_6.exe o simili, situati presso http://www.vcodecget.com/download, sito creato pochissimi giorni fa (il 22 dicembre scorso).

Inviando uno di questi "codec" al sito della Kaspersky, che li analizza gratis in tempo reale, salta fuori che contiene il virus Trojan-Clicker.Win32.Bomka.a.

A giudicare dalla diffusione dei messaggi-esca, il meccanismo di azione di questo virus è il seguente: un utente riceve il messaggio-esca, che sembra provenire da un conoscente. Incuriosito e rassicurato dalla fonte della raccomandazione, visita il sito dei filmati. Cerca di vederli e non ci riesce, e così segue il consiglio del sito: va all'altro sito, quello che ospita i "codec", e li scarica e installa, credendo che siano innocue aggiunte a Windows Media Player, mentre sono in realtà virus che infettano il suo PC (soltanto se usa Windows) e lo trasformano in disseminatore di ulteriori messaggi-esca. Non è noto se il virus abbia anche altri effetti.

La raccomandazione è la solita: mai installare programmi o altri file eseguibili di origine non certa.

Il sito goodmoviesmile.com è situato in Cina ma intestato apparentemente a un residente in Italia, secondo whois:

Benutti, Victorio
victorio_benutti@yahoo.com
Via Bonanno Pisano, 111
Pisa, 56126
Italy
050 554 423

Tuttavia è probabile si tratti di dati falsi, visto che il numero di telefono indicato risulta inesistente.

2005/12/23

Aggiornamento sul software “pirata” dei politici

Questo articolo vi arriva grazie alle gentili donazioni di "srl", "lucianoL" e "riccardo.po***".
La trasmissione Condor di Radiodue RAI si è occupata del caso dei manifesti di Forza Italia e di altri partiti apparentemente creati con software pirata, di cui ho scritto ieri, e mi ha interpellato per due chiacchiere: la puntata è ascoltabile, almeno per oggi, in streaming (formato Real) sul sito di Condor (io arrivo circa 9 minuti dopo l'inizio).

Alcuni lettori segnalano una possibile spiegazione che non richiederebbe una vera e propria pirateria: il programma QuarkXPress, quello apparentemente piratato secondo l'accusa, è protetto da una chiave hardware che, in alcune versioni, si attacca a una porta del computer che nei modelli recenti non esiste più. Cito per esempio un messaggio di "lux":

... nel mondo Mac molti grafici hanno una versione vecchia di Xpress in funzione su Mac OS X e ce l'hanno in perfetta regola. Solo che quella versione richiedeva una chiave hardware Adb per funzionare e i nuovi Mac non hanno più le porte Adb. Quindi in molti hanno una versione regolarmente acquistata ma ne usano ugualmente una craccata per risolvere il problema della chiavetta di cui sopra.


C'è anche la testimonianza di "antonio.merc****" per il mondo Windows:

... [ci sono] prodotti che hanno una chiave hw (tra qui XpRess) che non funziona sui nuovi pc che magari non hanno la porta parallela (e questo caso te lo posso dimostrare con un Pagemaker che abbiamo noi vecchio come il cucco ma che funziona su XP tranne che per la porta parallela, anzi per il driver della key hw, assente e me lo sono dovuto "craccare" per poter lavorare ma ho la chiave come soprammobile nel pc per eventuali controlli).

In altre parole, può capitare che un utente regolare di un programma come QuarkXPress usi una copia pirata pur avendo nel cassetto la regolare licenza d'uso del programma.

In tal caso, sarebbe molto difficile parlare di vera e propria pirateria, dato che non ci sarebbe stato alcun danno al produttore del software, anche se tecnicamente si tratta di un utilizzo di una versione alterata e quindi di dubbia legalità. È ironico, comunque, che i sistemi anticopia costringano l'utente onesto a diventare pirata.

A chi ha avuto l'impressione che io volessi mettere in risalto soltanto il nome di Forza Italia e nascondere i nomi degli altri partiti "colpevoli" di pubblicare documenti apparentemente creati con software pirata, rispondo chiarendo che c'è una ragione tecnica e non politica, per la scelta: la prima stesura dell'articolo parlava soltanto di FI perché i blogger stavano denunciando il problema soltanto per i manifesti di FI.
L'idea di controllare i siti degli altri partiti mi è venuta in seguito e, dopo aver controllato, ho aggiornato articolo e titolo, in modo da includere anche un accenno ai documenti degli altri partiti.

Abito all'estero, la politica italiana non m'interessa più, grazie al cielo, se non come forma di spettacolo e conferma delle ragioni per cui ho lasciato l'Italia.

2005/12/22

Forza Italia (e non solo) usa software pirata?

Questo articolo vi arriva grazie alle gentili donazioni di "bigdealer", "Dr. Walter" e "cristiano.cas****". L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2005/12/23 8:50.

I blogger si sono scatenati ed è partito un frenetico passaparola online: i manifesti sul sito di Forza Italia sarebbero stati creati con una copia pirata di un programma di grafica digitale. Un classico esempio di predicare bene e razzolare male? In tal caso, Forza Italia è in buona compagnia, dato che i lettori hanno trovato altri partiti politici i cui siti recano segni apparenti di software pirata, come indicato nei commenti a questo articolo.

È presto per dirlo con certezza: gli indizi sono abbastanza pesanti, ma per ora (e per evitare querele) io qui posso soltanto esporre i fatti noti e indiscussi. Poi ognuno trarrà le conclusioni che preferisce, in attesa che qualcuno di Forza Italia e degli altri partiti spieghi la faccenda.

I fatti sono questi: si può andare sul sito di Forza Italia e scaricare i manifesti della cosiddetta "operazione verità". Io, per esempio, ho scaricato ed analizzato questo manifesto alle 23:30 di oggi 21 dicembre 2005 (e ne ho conservata copia, caso mai servisse).

Il manifesto è un documento PDF, le cui proprietà contengono la dicitura mostrata all'inizio di questo articolo: Creatore: QuarkXPress Passport.4.11 [k]. Ho visualizzato le proprietà usando un Mac, ma si possono visualizzare anche sotto Windows e Linux e, più in generale, con qualsiasi sistema operativo per il quale esista un lettore di file PDF.

L'accusa di aver usato software pirata deriva dalla "k" fra parentesi quadre, usata comunemente per indicare un crack, ossia una copia pirata di un programma alla quale è stata tolta la protezione anticopia.

QuarkXPress è un notissimo programma di grafica, che ha un costo piuttosto alto: 2199 euro, sul sito di Apple (che lo rivende ma non lo produce: il produttore è la Quark). Di conseguenza, è uno dei programmi più piratati.

Una ricerca in Google trova numerosi siti di software pirata che offrono proprio questa versione di QuarkXPress, con esattamente la medesima dicitura (attenzione, il link porta a un sito poco raccomandabile).

Basta tutto questo per dire che Forza Italia ha usato software pirata? Sulla base di questi fatti, la "[k]" è a mio parere un indizio forte, ma non mi è possibile, per ora, escludere che la "[k]" sia dovuta ad altre cause. Qualcuno che ha una copia legale della medesima versione di QuarkXPress potrebbe controllare facilmente se compare questo simbolo nelle proprietà dei documenti PDF. Google trova anche altri siti contenenti documenti che recano la medesima "[k]" sospetta.

Un'altra possibile giustificazione è quella che usò qualche tempo fa Microsoft quando fu beccata a usare file audio generati con un programma piratato, vale a dire che sì, il software era stato davvero piratato, ma non da Microsoft: si era trattato di un file realizzato da un subfornitore la cui legalità, si disse, non era stato possibile controllare fino a questo livello di dettaglio.

È presumibile che in effetti Forza Italia abbia affidato a terzi (utenti Mac, a giudicare dalle proprietà nel file) l'incarico di realizzare i file PDF dei manifesti e quindi potrebbe analogamente ritenersi non responsabile del rispetto delle norme antipirateria da parte dei propri subfornitori.

Sia come sia, la scoperta è comunque fonte di imbarazzo ed è ovviamente sfruttabile a fini politici, soprattutto se non viene gestita dignitosamente (e in questi casi il silenzio non è dignitoso). Una bella segnalazione del pirata alla BSA da parte dei responsabili della campagna sarebbe un buon inizio per prendere le distanze dal pasticcio.


Aggiornamento (2005/12/22 8:05)


Nella versione iniziale di questo articolo avevo osservato che sarebbe stato comunque interessante farsi un giretto nei siti degli altri partiti per vedere come stanno le cose in quanto a rispetto delle leggi antipirateria tanto sbandierate di recente. Non l'ho fatto perché mi sembrava di aver frequentato a sufficienza luoghi di malaffare, ma come potete leggere nei commenti, la medesima "[k]" si trova nei siti di molti altri partiti e movimenti.

Buona caccia, se riuscite a trattenere la nausea.


Aggiornamento (2005/12/23 8:50)


Esiste una spiegazione della "[k]" che non comporterebbe una vera e propria pirateria software. Approfondisco la questione in un articolo separato.

Nota: se siete iscritti alla mia newsletter e non avete ricevuto via e-mail questo articolo, è per via di alcuni filtri antispam, che considerano spam qualsiasi messaggio contenente link al sito di Forza Italia.

2005/12/21

Antibufala: attenti agli “euro” turchi!

Attenzione alle monete turche, sembrano euro!


Questo articolo vi arriva grazie alle gentili donazioni di “valeriodiste****”, “toni” e “renatoweb”. L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Sta circolando dai primi di dicembre 2005 un allarme per la possibile truffa perpetrata scambiando una moneta turca con quella da due euro grazie alla loro asserita somiglianza. Eccovi un esempio del testo dell'appello.

Mamma li turchi!!!

No seriamente, fate attenzione

...se è vero, watch out...

Dal 1° gennaio 2005, la Turchia ha una nuova moneta, la "nuova lira turca" (Yeni Turk Lirasi), che sostituisce la vecchia lira super svalutata, alla quale sono stati tolti non meno di sei zeri.

Guardando la nuova moneta da 1 lira, salta subito all'occhio che assomiglia stranamente alla moneta da 2 euro. Se confrontiamo queste due monete, notiamo che hanno esattamente lo stesso aspetto (un anello di nickel che circonda la parte centrale in rame) e quasi la stesssa dimensione.

Allo stesso modo, sull'altro lato è raffigurato, come molti euro, una testa (si tratta qui di Ataturk, come gli euro ci mostrano il re di Spagna, il re del Belgio, Dante, ecc.). L'unica differenza è il numero: al posto del 2 dei due euro, c'è un 1. Oltretutto, si può notare che questo 1 è graficamente molto simile all'1 di un euro.

Questa moneta da una lira turca è quindi una abile imitazione, giuridicamente inattaccabile, della moneta da due euro.

Vale 0,4 euro.

Per il momento, siate prudenti e controllate che vi diano monete da 2 euro e non monete da una lira turca, poichè hanno cominciato a circolare.

L'appello è solitamente accompagnato da un allegato costituito da un'immagine che mette a confronto lira turca e moneta da due euro.



Talvolta l'appello si “autentica” includendo un rimando alla voce dedicata alla nuova lira turca nell'enciclopedia libera e gratuita Wikipedia.

Vediamo una per una le affermazioni contenute nell'appello.

  • È vero che la Turchia ha introdotto dal primo gennaio 2005 una nuova valuta che toglie sei zeri a quella vecchia, come spiega in inglese il sito ufficiale.
  • È vero che vi sono state segnalazioni di tentativi di usare, al posto delle euromonete, monete (non necessariamente turche) che vi somigliano (una mi è giunta da un lettore, “annypan”, per esempio), ma questa non è in sé una novità: errori e truffe di questo genere esistono da sempre, principalmente ai danni di distributori automatici.
  • È inesatto che la nuova lira turca vale 0,4 euro: attualmente (21 dicembre 2005) vale 0,62 euro. È comunque vero che la lira turca vale meno dell'euromoneta alla quale assomiglia.
  • Sono vere le immagini mostrate nell'appello: le monete hanno effettivamente l'aspetto presentato.

È invece discutibile, anche se non del tutto infondato, il tema principale dell'appello: la pretesa somiglianza fra la moneta da due euro e quella da una nuova lira turca. Le due monete hanno infatti differenze visive non proprio trascurabili:

  • Le proporzioni dell'anello esterno e del disco interno sono diverse: l'anello esterno del 2 euro è più snello di quello della lira turca.
  • Sulla moneta da due euro c'è scritto un “2” molto grande e c'è anche scritto “EURO”, mentre sulla lira turca c'è scritto “1” e non c'è ovviamente alcun accenno all'euro. Sulla lira turca c'è una chiara scritta “Yeni Türk Lirasi”, insieme alla falce di luna e la stella, simbolo della Turchia: due dettagli che dovrebbero risaltare non poco.

È però plausibile che una persona molto distratta o che ci vede molto poco possa non notare queste differenze. Tuttavia, se non nota differenze di questo tipo, non occorre certo tirare in ballo la lira turca per truffarla, perché non è in grado di distinguere neppure le euromonete e le possono rifilare qualsiasi cosa al posto del resto esatto.

È invece improbabile l'ipotesi proposta da alcune varianti dell'appello, secondo le quali la nuova lira turca potrebbe ingannare i distributori automatici. Infatti le dimensioni e il peso della lira turca sono sufficientemente differenti da quelle della moneta da due euro. La differenza è forse difficile da percepire per una persona (sto comunque cercando di procurarmi un campione di lira turca), ma non per i sensori di cui sono dotati normalmente i distributori automatici. Un lettore che lavora in banca (“simone.san****”) mi fornisce gentilmente i dati tecnici delle due monete, tratti dai siti della Banca Centrale Europea e da un sito governativo turco:

2 eurolira turca
Diametro:25,75 mm26,15 mm
Spessore:2,20 mm1,95 mm
Peso:8,50 g8,3 g


Se vi interessa, grazie anche alle indagini dei lettori posso segnalarvi anche un elenco completo di immagini di tutte le banconote e monete turche (nuove e vecchie).

In conclusione: l'allarme ha un minimo di verità, ma non va limitato alla lira turca, perché chi si fa raggirare dalla lira turca è raggirabile anche da monete simili di altri paesi o da monete false molto grossolane, e quindi deve fare attenzione in generale a tutte le monete che gli vengono date.

Questa, però, è una raccomandazione che vale per tutti noi, che troppo spesso ritiriamo il resto senza controllarlo: l'appello non fa altro che ribadire il concetto in una forma che “funziona” (ossia induce fortemente a inoltrarlo a tutti) perché fa leva emotivamente sulla diffidenza verso gli stranieri.

Fra l'altro, la lira turca non è l'unico sosia delle euromonete: c'è anche il baht tailandese, come segnalato da vari lettori. La pubblicazione svizzera L'inchiesta di gennaio 2006 ha diffuso un articolo nel quale racconta che una moneta da 10 baht è stata rifilata da un negozio italiano a un turista svizzero al posto di una moneta da due euro.


Dieci baht valgono circa venti eurocent. Secondo L'inchiesta le due monete hanno “stessi colori, stesse dimensioni, stesso peso”. Attenzione, quindi, non soltanto alla lira turca.

2005/12/20

Repubblica.it conferma la propria “tolleranza zero per le fandonie”

Ironia della sorte: bufala su investigatore "smaschera-bufale" in un aticolo antibufala


Grazie ai tanti lettori che mi hanno segnalato un articolo sul sito di Repubblica che mi cita e nel contempo partorisce una bufala su di me, cosa particolarmente ironica se considerate che l'articolo si occupa dell'affidabilità delle notizie pubblicate sul Web e s'intitola "Operazione verità sul web tolleranza zero per le fandonie".

L'articolo, infatti, contiene questa perla:

A cercare di venirne fuori ci ha pensato un giovane signore che si è inventato la professione di scova bufale online. Ha creato un "Servizio Antibufala" per scoprire e consigliare cosa fare, caso per caso, di fronte alle false notizie che si propagano in rete. Si chiama Paolo Attivissimo, dopo un soggiorno negli Stati Uniti vive nel Canton Ticino, gira il mondo come moderatore di convegni, scrive, è esperto informatico e sul suo sito www.attivissimo.net fornisce informazioni e strategie di difesa.

Già dire che sono "giovane" è un po' azzardato (ma apprezzo la buona intenzione), e darmi dell'"esperto informatico" sfiora l'usurpazione di titolo, ma la faccenda del "soggiorno negli Stati Uniti" è una bufala inventata di sana pianta. Non ho mai soggiornato negli USA: ci sono andato in vacanza qualche volta, ma nulla più.

Come è possibile un errore del genere, considerato che dal resto dell'articolo si capisce chiaramente che la giornalista (Laura Kiss) ha consultato le informazioni personali presenti nel mio sito e la mia mini-biografia per documentarsi? Ho un'ipotesi che prego ardentemente sia sbagliata: che abbia letto distrattamente York (la città dove sono nato e dove ho vissuto per circa sei anni prima di trasferirmi con la famiglia in Svizzera) e l'abbia interpretato come New York.

Errori macroscopici come questo dimostrano, per chi si diletta di indagini antibufala, che una singola fonte, per quanto apparentemente autorevole, è raramente sufficiente, e che anche i giornali (alcuni più di altri) prendono delle cantonate e quindi non possono essere considerati fonte assolutamente certa.

Be', io il mio lavoro di "scova bufale" l'ho fatto. Adesso speriamo che Repubblica.it faccia la propria parte. Sarebbe un gesto di coerenza nobile, specialmente se considerate che l'articolo critica l'affidabilità delle fonti informative indipendenti della Rete, come la Wikipedia, e oltretutto tira in ballo l'open source quando non c'entra nulla:

Orrore e delizia di Internet e dell’open source: chiunque può scrivere qualsiasi cosa su chiunque e questa cosa va in rete. Fosse anche la bufala più incredibile.

A quanto pare, invece, questi orrori possono capitare anche a chi non usa il software open source.

2005/12/17

John de Lancie in Italia [UPD 2005/12/20]

Oggi e domani Q di Star Trek alla Sticcon Reunion di Abano Terme


Questo articolo vi arriva grazie alle gentili donazioni di "andrea.e***", "claudio.bert***" e "mario.co***".

John de Lancie, l'attore che ha interpretato il personaggio di Q in varie serie di Star Trek, sarà in Italia oggi e domani (17 e 18 dicembre), ad Abano Terme, vicino a Padova, alla Sticcon Reunion, raduno dei fan della serie. L'incontro è previsto per le 21.15 di sabato 17 e le 16.00 di domenica 18.

Ci sarà anche Francesco Pannofino, voce italiana di "Q" oltre che di Denzel Washington, George Clooney, Antonio Banderas, Dan Aykroyd, Kurt Russell, Jean-Claude Van Damme, Joe Mantegna, e altri famosi attori.

Un altro ospite interessante è Giovanni Mongini, noto scrittore italiano di fantascienza.

Ci sarò anch'io, nella duplice veste di fan e di traduttore. So che la segnalazione arriva all'ultimo minuto, ma se siete da queste parti e non avete già preso impegni, potreste fare una capatina per vedere l'allegra banda di matti di cui ho il piacere di far parte. A differenza di altri eventi che ho segnalato, però, mi sembra corretto avvisare che questo è a pagamento.

Aggiornamento (2005/12/20): Cominciano ad essere pubblicate in Rete le prime foto dell'incontro, rivelatosi una vera chicca grazie anche alla stupenda cortesia e disponibilità di tutti gli ospiti. Ricevo e segnalo con piacere la disponibilità delle foto scattate dalla Nave Archimede.

2005/12/11

Sony, nuova falla in altro sistema anticopia

Per proteggere i suoi dischi, Sony rende vulnerabili i vostri PC. Di nuovo


Questo articolo vi arriva grazie alle gentili donazioni di "fam.tasca", "iubatus" e "pot".

Dopo la figuraccia disastrosa fatta con il sistema anticopia XCP, che infetta volontariamente i computer degli utenti e li rende vulnerabili, Sony rimedia un altro sfacelo. Anche il sistema MediaMax usato per proteggere (si fa per dire) i suoi dischi apre il computer degli utenti ad attacchi informatici, dando a tutti (aggressori esterni compresi) accesso totale al computer.

La Electronic Frontier Foundation ha pubblicato un rapporto (PDF) che spiega la nuova vulnerabilità. In estrema sintesi, i dischi anticopia contenenti MediaMax installano sui PC Windows del software usando privilegi di accesso sbagliati: invece di essere eseguibile soltanto dall'utente normale, il software è eseguibile da chiunque, anche da comandi provenienti da Internet.

Questo rende inutile la tattica di protezione, molto diffusa nelle aziende, di concedere agli utenti diritti limitati di esecuzione, in modo che non possano installare giochini o altre porcherie trovate in Rete, e permette sia attacchi dall'esterno, sia "attacchi" da parte dell'utente stesso, che può installare e modificare quello che gli pare. Un incubo per gli amministratori dei sistemi informatici.

La EFF chiarisce la cosa con un'ottima analogia:

Immaginate un dipendente al quale vengono date le chiavi del proprio ufficio e della porta d'ingresso all'edificio in cui lavora, ma non le chiavi degli altri uffici o del magazzino. Ci sono molti modi per ottenere un accesso più ampio: scassinare le serrature, sfruttare una serratura dimenticata aperta, o rubare le chiavi del responsabile della sicurezza dell'edificio. Questa vulnerabilità è un ulteriore modo di ottenere maggiore accesso, analoga a lasciare appese fuori dalla porta le chiavi del responsabile della sicurezza. Rubandole, il dipendente può acquisire maggiori privilegi, come per esempio accedere ad ufficio o locali per i quali non è autorizzato.

Lo scenario di attacco descritto dalla EFF è questo: un utente normale (con diritti di accesso giustamente limitati) usa un computer Windows sul quale è stato suonato un CD dotato del sistema anticopia MediaMax. L'utente decide che non gli piacciono le limitazioni imposte dall'amministratore di sistema e decide di fare di testa propria, oppure visita un sito Web o apre un e-mail contenente un virus apposito.

Grazie alla falla Sony bis, l'utente deve semplicemente sostituire il programma mmx.exe installato da MediaMax con un altro programma di suo gradimento, come un giochino o un programma per scaricare film. L'aggressore, invece, può (tramite per esempio una pagina infetta) sostituire mmx.exe con un altro programma ostile, che può per esempio aprire ulteriori falle nel sistema operativo o eseguire funzioni non autorizzate o semplicemente copiare o devastare i dati contenuti nel computer.

La volta successiva che un utente con privilegi di amministratore inserisce nel computer un CD MediaMax, scatta la trappola: al posto di mmx.exe viene eseguito il programma ostile. Questo significa che ogni computer Windows sul quale è stato suonato un disco Sony MediaMax contiene una trappola a tempo, che può scattare anche a distanza di mesi dall'infezione.

Sony ha messo in Rete una prima patch di correzione di questa falla, ma la EFF dice che anche la patch è fallata. Così Sony ha pubblicato una seconda patch, che al momento viene studiata dagli esperti. La raccomandazione della EFF è, almeno per ora, di non installare queste patch.

Sony ha pubblicato un elenco dei dischi infettati da questo sistema anticopia.

A questo punto, la raccomandazione di sicurezza informatica non può che essere una: rifiutate di installare qualsiasi software proposto da CD musicali e non suonate CD anticopia nei vostri computer. Siamo arrivati infatti al paradosso che è più sicura la musica scaricata da Internet che quella confezionata dai discografici.

Videoproiettore autocostruito

Videoproiettore fai da te


Questo articolo vi arriva grazie alle gentili donazioni di "bgmailbox", "tartam2002" e "skidonet".

State pensando di acquistare un televisore gigante per Natale? Pensateci due volte, specialmente se avete considerato l'ipotesi di un videoproiettore. Ho fatto qualche indagine sull'argomento, visto che anch'io avevo pensato di sistemare l'impianto di casa, che uso sempre più spesso (con i figli piccoli è difficile poter uscire per andare al cinema, per cui ricorro ai DVD), e ho una soluzione decisamente originale e a basso costo da proporvi.

Ci sono vari modelli di videoproiettore, e i centri commerciali ne sono pieni: sono molto compatti e ricordano i proiettori per diapositive. I prezzi sono abbordabili, specialmente se confrontati con quelli di un televisore al plasma o LCD di pari dimensioni; anzi, i videoproiettori sono l'unica vera soluzione se volete un "effetto cinema", ossia uno schermo gigante (oltre il metro). Richiedono però di poter oscurare la stanza anche di giorno, e non sono comodi da usare per uno zapping improvvisato, per cui non possono realmente sostituire un televisore, ma per le visioni-evento, tipo i film in DVD, sono impareggiabili.

Tuttavia c'è una fregatura: la lampada dei videoproiettori dura poco e costa quasi quanto metà del proiettore. È insomma una situazione simile a quella delle stampanti: costano poco, ma le cartucce e le testine hanno prezzi da capogiro e autonomie molto modeste. I costi a lungo termine di un videoproiettore, insomma, sono molto più elevati di quel che potreste pensare.

Durante le mie ricerche mi sono imbattuto in una soluzione davvero originale, da veri smanettoni: autocostruirsi un videoproiettore migliore di quelli in commercio e spendere molto, molto meno.

Un videoproiettore, fondamentalmente, è composto da una fonte luminosa, da una "diapositiva" composta da un piccolo schermo a cristalli liquidi che visualizza l'immagine, e da una lente che focalizza e proietta quest'immagine sullo schermo. Per ottenere dimensioni compatte, i videoproiettori in vendita usano lampade molto piccole e schermi altrettanto minuscoli, che hanno costi molto elevati. La compattezza impone di concentrare tanta luce in poco spazio all'interno del proiettore, e questo è difficile e quindi costoso.

Ma al posto del carissimo minischermo con minilampada si può usare un normale schermo LCD di un monitor: basta togliergli la retroilluminazione, in modo che diventi trasparente appunto come una diapositiva, e poi appoggiarlo su una lavagna luminosa. I risultati sono strabilianti, e oltre alla soddisfazione di autocostruirsi un videoproiettore c'è il piacere di risparmiare moltissimo sia come investimento iniziale (una lavagna luminosa di seconda mano costa poco) sia a lungo termine, perché le lampade delle lavagne luminose sono molto più a buon mercato e durevoli di quelle dei videoproiettori.

Certo le dimensioni non sono compatte, e ci vuole un po' di attenzione e spirito pratico, ma se vi piace questo genere di sfide, ho trovato su Tom's Hardware le istruzioni e le foto che mostrano come procedere. Mi raccomando, è importante assicurare il raffreddamento dello schermo LCD tramite una ventolina e proteggere lo schermo dalla polvere.

Buon divertimento!

2005/12/09

Alan Lee a Milano, mini-resoconto

Foto ricordo con Alan Lee


Alan Lee è stato ieri al Delos Day, a Milano, a presentare immagini e schizzi inediti tratti dal suo lavoro al Signore degli Anelli, ed ho avuto il piacere di conoscerlo e fargli da interprete. Su richiesta di Lee, non posso mostrarvi foto della sua presentazione, ma almeno una foto ricordo con lui sì... concedetemi questo momento di autocompiacimento.

Firefox 1.5 fallato, ma non gravemente come sembrava

Falla in FireFox. Non è critica ma sempre meglio aggiornare


Questo articolo vi arriva grazie alle gentili donazioni di "eversordvl", "gennies" e "paolo.bon****".

Packetstorm Security ha annunciato una falla nella nuova versione, la 1.5, del popolare browser alternativo gratuito Firefox (disponibile per Linux, Mac e Windows in inglese e molte altre lingue, italiano compreso). La notizia è stata riportata inizialmente con molto allarme da parte di CNet.com. Tuttavia la falla è meno grave di quanto sembrasse inizialmente, e per molti utenti semplicemente non esiste. CNet.com ha pubblicato una rettifica.

La reputazione di sicurezza di Firefox rimane quindi piuttosto solida, specialmente se confrontata con le numerose falle devastanti che persistono in Internet Explorer. È per questo che consiglio da anni di usare Firefox o Opera al posto di Internet Explorer e pubblico il pulsante di invito a Firefox in questo blog.

A proposito: se usate già Firefox, vi consiglio vivamente di aggiornarlo alla versione 1.5, che ha migliorato nettamente le proprie prestazioni. Per esempio, adesso è attivo l'aggiornamento automatico; quando chiudete e riavviate Firefox, riapre automaticamente le pagine Web che stavate consultando. Ci vuole però una piccola cautela: se usate le estensioni di Firefox (piccole applicazioni aggiuntive che ne estendono le funzioni, come la Netcraft Toolbar, utile per rivelare i siti-trappola), verificate che siano già uscite le versioni aggiornate di queste estensioni. Firefox 1.5, infatti, disabilita per sicurezza le estensioni non aggiornate, per cui potreste trovarvi con un Firefox limitato rispetto al solito. Firefox 1.5, fra l'altro, cerca automaticamente gli aggiornamenti delle estensioni. Se non sapete cosa sono le estensioni e non le usate, aggiornate Firefox senza preoccupazioni.

Tornando alla presunta falla, si tratta di un errore nel modo in cui Firefox gestisce i titoli delle pagine Web se sono estremamente lunghi. Se Firefox si imbatte in una pagina che ha un titolo (quello che compare nella barra del browser) lunghissimo, creato con questo trucchetto, può piantarsi e rifiutarsi di ripartire. Il problema riguarda soltanto la versione Windows, e non si verifica sempre. Anzi, la Mozilla Foundation, che produce Firefox, non è riuscita a ricreare il problema nonostante numerosi tentativi, e lo stesso è successo a molti utenti.

Per quanto risulta finora, il difetto (se si presenta) non causa danni all'integrità e alla stabilità del sistema operativo e quindi non dovrebbe consentire attacchi o penetrazioni del computer dell'utente. Semplicemente, Firefox si pianta. Questo non è comunque un bene, ed è opportuno che la falla venga corretta al più presto.

Se vi imbattete in questo problema, potete rimediare in vari modi, descritti dal Sans Institute:
  • Impostate Firefox in modo che non conservi la cronologia dei siti visitati: scegliete Strumenti - Opzioni - Privacy - Cronologia, poi cliccate su Svuota e impostate a zero il numero di giorni per il quale Firefox ricorda le pagine visitate.
  • Trovate e cancellate manualmente il file history.dat, nel quale viene memorizzato il titolo ostile, e riavviate Firefox; Firefox ricreerà automaticamente il file.
  • Dopo aver chiuso Firefox, modificate il file prefs.js aggiungendo questa riga:
    user_pref("capability.policy.default.HTMLDocument.title.set","noAccess");
  • Usate l'estensione Noscript.
Se vi imbattete in questo problema, segnalatelo (insieme alla vostra soluzione) nei commenti.

Ciao da Paolo.

2005/12/07

Strano minispam virale: probabile trappola nascosta in falsi codec video

Questo articolo vi arriva grazie alle gentili donazioni di "archilup", "massimiliano.ferr****" e "carlo.para****".

A partire dalle prime ore di oggi, un curioso mini-messaggio sta riempiendo caselle di posta, mailing list e forum della Rete italiana. Eccone alcuni esempi segnalatimi dai lettori:

ciao a tutti,
http://www.funnymoviesgallerie.com/72364/
guardate quello dei gatti! :-)

ciao a tutti,
ho trovato dei filmati veramente simpatici, soprattutto il secondo!!
http://www.funnymoviesgallerie.com/72364/

da morire!!!!! guardate gli ultimi due!!
http://www.funnymoviesgallerie.com/72364/

Aggiornamento (2005/12/14) Successivamente si sono varianti che puntano al sito http://www.bebotamovies.com.

Il mittente cambia nei vari messaggi e probabilmente è stato falsificato, oppure il messaggio è stato effettivamente spedito dalla casella di posta dalla quale dichiara di provenire, ma a insaputa dell'utente: in almeno un caso, infatti, l'indirizzo IP del mittente apparente coincide con quello effettivo dell'indirizzo di e-mail.

Il messaggio è privo di link-trappola (è in testo semplice, senza codici HTML che nascondono link mascherati) e privo di allegati che possano trasportare virus.

A prima vista, il sito citato nel messaggio presenta semplicemente dei rimandi a una collezione di video e non contiene codice ostile che possa iniettare virus o altre porcherie (ma è comunque opportuna molta prudenza nel visitarlo). L'unica particolarità è che digitando il nome del sito, senza la sottodirectory /72364/, si viene comunque rediretti a questa sottodirectory.

Tuttavia il sito nasconde una trappola: i video non si scaricano correttamente, e il sito reca la dicitura "se hai problemi a visualizzare i video devi aggiornare i codec di Windows Media Player. Puoi trovare i codec più aggiornati su VcodecDownload".

La dicitura linka a http://vcodecdownload.com/2, che sembrerebbe offrire dei programmi da scaricare (per Windows). Il sito dice che sono codec che consentirebbero a Windows Media Player di visualizzare i video, ma è sempre molto pericoloso scaricare programmi da siti sconosciuti e di dubbia affidabilità.

È molto sospetto che il sito dei video e il sito dei codec siano entrambi intestati a un improbabile "Brad Robertson, P.O.Box 31607, Code 1000, Addis Ababa Beijing ET, tel: 00 025 16610221 0, fax: 00 025 16610221 0, brad22584@post.cz". Cosa c'entra Beijing, altro nome di Pechino, con Addis Abeba? E come mai i numeri di telefono e fax iniziano con tre zeri? E perché un utente etiope (o pechinese) dovrebbe avere una casella di posta col suffisso cz della Repubblica Ceca? Ci sono anche altri dati contraddittori.

Inoltre la data di registrazione dei siti è recentissima (il 2 dicembre scorso) e la registrazione vale un solo anno: tipici segni di uno spammer o di un truffatore.

A giudicare dalla qualità dell'italiano usato, e dal fatto che lo spam e il sito sono in italiano, sembra che si tratti di uno spam destinato specificamente agli italofoni.

Il probabile meccanismo di attacco è questo: un utente riceve il messaggio di spam e, incuriosito, visita il sito dei filmati. Cerca di vederli e non ci riesce, e così segue il consiglio del sito: va all'altro sito, quello che ospita i "codec", e li scarica e installa, credendo che siano innocue aggiunte a Windows Media Player, mentre sono in realtà virus che infettano il suo PC Windows e lo trasformano in disseminatore di spam.

Al momento questa è un'ipotesi non verificata ma basata sulle circostanze: non ho a disposizione una macchina Windows sacrificabile sulla quale confermare la probabile natura virale di questi "codec" altamente sospetti: se qualcuno ce l'ha, può segnalare nei commenti i risultati dell'installazione del software scaricato.

Mi associo ai commenti già arrivati consigliando vivamente a chiunque abbia scaricato e installato questi "codec" di eseguire subito una pulizia antivirus usando un antivirus aggiornato. Va detto, tuttavia, che l'attacco è talmente recente che gli antivirus potrebbero non riconoscere l'infezione (AVG, per esempio, per ora non rileva pericoli), per cui conviene ripetere il controllo antivirus anche fra un paio di giorni, quando gli antivirus saranno stati aggiornati.

Aggiornamento (2005/12/14) L'ipotesi è confermata, e gli antivirus cominciano a identificare correttamente il virus che viene installato quando si scarica e si installa uno dei falsi "codec".

2005/12/06

“Grande Fratello”? No, grossa fregatura. Attenti agli inviti truffaldini.

Questo articolo vi arriva grazie alle gentili donazioni di di "roberto.ro**", "gigipav" e "mpaolo76".

Ricevo numerosissime segnalazioni di un e-mail d'invito molto sospetto, che parla di selezioni per il prossimo Grande Fratello:

Caro Amico/a,

Sei stato selezionato/a per partecipare al webcasting ufficiale del Grande fratello 2006, il più popolare Reality Show italiano, in 5 minuti potrai accedere alla prima fase delle selezioni, se sarai accettato verrai contattato dalla nostra redazione per una prova in video.

Partecipare è completamente gratuito e tra tutti i partecipanti verrà estratti un premio in danarro pari al € 100.000 che verranno assegnati all'inizio dell'edizione 2006 del Grande Fratello.

Il messaggio ha vari motivi per essere considerato sospetto:
  • proviene da un indirizzo che non è riferibile a Mediaset o alla casa di produzione del Grande Fratello, ma è un indirizzo generico che chiunque potrebbe avere aperto (webcasting@eutelia.net);
  • contiene un errore di battitura molto insolito (danarro), tipico dei messaggi-trappola di phishing, che sembra indicare che il testo sia stato scritto o trascritto da un non italiano;
  • il link contenuto nel messaggio non porta a un sito riferibile al Grande Fratello, ma a http://www.terzodesiderio.biz/gf, che attualmente risulta vuoto e con la pagina principale "in costruzione" con una scritta in ideogrammi credo cinesi (se qualcuno sa cosa vogliono dire, lo scriva nei commenti [vedi aggiornamento]);
  • il nome di dominio Terzodesiderio.biz è registrato in modo che il vero titolare sia anonimo, tramite WhoisGuard.

Secondo le indagini pubblicate da Magnaromagna, il sito linkato nell'"invito" nasconde (o nascondeva) un dialer: uno di quei simpatici programmi autoinstallanti che cambia la connessione a Internet facendola passare attraverso un numero a pagamento. Il dialer funziona soltanto con Windows usato in combinazione con Internet Explorer; chi non usa Internet Explorer per navigare, come si raccomanda da anni, non corre pericolo.

Secondo Sophos, il dialer in questione è Eocha/B, e altera le impostazioni di Internet Explorer in modo da fargli ritenere sicuri e affidabili numerosi siti-trappola, come baciamistupido.biz, dolcezze.biz, nanobyte.biz e altri dai nomi più esplicitamente pornografici.

Aggiornamento (2005/12/07 8:35). Secondo un lettore di Singapore ("beppesin", che ringrazio) la scritta è effettivamente cinese (nella versione usata nella maggior parte della Cina, quella semplificata, mentre nella zona di Canton, a Taiwan ed in altre zone usano ancora i caratteri classici) e significa semplicemente in costruzione: è l'equivalente di quanto è scritto in inglese. La traduzione è confermata nei commenti qui sotto.

Internet Explorer verrà modificato a causa dei brevetti software

Chi di brevetti ferisce...


Secondo The Register, Microsoft modificherà il funzionamento di Internet Explorer per aggirare un brevetto software molto controverso. Il brevetto è detenuto dalla microscopica Eolas Technologies insieme alla University of California, che hanno fatto causa a Microsoft nel 1999 e hanno vinto, ottenendo una sentenza che prevede che Microsoft paghi 520 milioni di dollari più gli interessi perché Internet Explorer contiene funzioni, in particolare l'accesso ad applicazioni interattive, che violano appunto il loro brevetto.

Microsoft ha fatto ricorso in appello e il processo è stato rifatto: ora deve dimostrare che il brevetto violato non è valido, se vuole salvarsi dalla megamulta.

La validità del brevetto Eolas è molto dubbia fra gli addetti ai lavori, ma l'Ufficio Brevetti USA l'ha riesaminato a settembre e l'ha ritenuto valido, e così Microsoft se la vede brutta. Da qui la scelta di modificare IE.

Le modifiche dovrebbero arrivare a gennaio 2006 sotto forma di patch per chi ha già installato Internet Explorer. A partire dai primi mesi del 2006, invece, usciranno nuove versioni di Windows 2000 e XP che conterranno direttamente le modifiche a IE.

Dal punto di vista degli utenti, il cambiamento dovrebbe essere comunque modesto: si ipotizza che possa trattarsi di dover cliccare un paio di volte in più per poter accedere alle applicazioni embedded, principalmente quelle in ActiveX, tramite IE.

Dettagli tecnici a parte, casi come questo dimostrano che il problema dei brevetti software non colpisce soltanto le piccole aziende di software, ma anche i colossi, e può portare il settore informatico alla paralisi. Sei anni di lite legale sono un'eternità in informatica.

IBM adotta il formato OpenDocument

IBM apre all'OpenDocument


La scusa che il formato OpenDocument è supportato soltanto da OpenOffice.org e qualche altro programma di nicchia regge sempre meno. Infatti IBM ha annunciato che la prossima versione del suo pacchetto di rete per la collaborazione e la produttività in ufficio, denominato Workplace Managed Client 2.6 e in uscita a inizio 2006, userà il formato OpenDocument (ODF) e supporterà anche i formati Microsoft. WMC è stato finora dedicato alle grandissime aziende (dal milione di utenti in su), e quindi è un peso massimo nel settore, composto da Lotus Notes, dal portale WebSphere e da un sistema di e-mail e messaggistica istantanea.

Secondo IBM, l'interesse principale per questa sua scelta proviene dai paesi emergenti (come la Cina o il Brasile), che stanno iniziando solo ora a digitalizzare la propria amministrazione e hanno capito il problema insito nell'adottare un formato di digitalizzazione di cui non possano disporre a proprio piacimento: per accedere ai propri dati, dovrebbero sempre dipendere da chi è titolare dei diritti di quel formato. E pagare, pagare, pagare, senza alcuna garanzia che potranno leggere tutto quello che hanno scritto se, fra una decina d'anni, il formato non viene più supportato dal fornitore.

Microsoft ha finora rifiutato di supportare ODF e ha recentemente annunciato che sottoporrà il proprio nuovo formato, Office Open XML, a un ente di standardizzazione perché venga ratificato appunto come standard. Ma IBM si è unita al coro di dubbi riguardanti questo annuncio: aspettiamo e vediamo cosa succede davvero, perché gli annunci sono facili da sfornare, i risultati davvero liberi da cavilli un po' meno. Arthur Fontaine, manager IBM per Workplace Managed Client, parla chiaro: "Vorremmo vedere qual è il risultato finale di questi standard, se il movimento open source li trova compatibili, e se dallo standard viene omesso qualcosa che verrà sfruttato dal singolo fornitore".

Con questa mossa, anche IBM sembra voler entrare in competizione con Microsoft Office, OpenOffice.org e StarOffice di Sun nel settore delle applicazioni d'ufficio, almeno al livello delle grandi aziende, ma la cosa interessante è che sfrutta il formato aperto e libero per conquistare più facilmente i clienti. L'open source, insomma, fa bene agli affari.

2005/12/02

Alan Lee a Milano giovedì 8

L'illustratore e scenografo de "Il Signore degli Anelli" parteciperà ai Delos Day, giovedì a Milano


Questo articolo vi arriva grazie alle gentili donazioni di "andrea", "alienferrari" e "fsperuzzi".

Cosa fate giovedì prossimo (8 dicembre)? Io sarò a Milano a fare da interprete per Alan Lee, premio Oscar per le scenografie del Ritorno del Re e illustratore del Signore degli Anelli e altre opere di Tolkien. Alan Lee sarà infatti ospite d'onore del Delos Day, organizzato da Delos Books in collaborazione con StarConTrek e col sostegno di Giochi Sforzeschi.

Lee presenterà il suo nuovo libro, Il Signore degli Anelli — Schizzi e bozzetti, e presenterà immagini personali delle riprese della trilogia cinematografica. Poi ci sarà spazio per le domande del pubblico e per gli autografi. È un'occasione ghiottissima per conoscere uno degli artisti che ha maggiormente influenzato lo stile visivo dei tre film di Peter Jackson.

L'intervento di Alan Lee è previsto per le 11.00; la sessione autografi inizierà al Delos Store intorno alle 12.00.

Il Delos Day si tiene nell'ambito della manifestazione Giochi Sforzeschi e di StarConTrek, al Palazzo delle Stelline a Milano (Corso Magenta 61, vicinissimo alla Stazione Cadorna). L'entrata è libera e gratuita.

Potete vedere in Rete un'anteprima del lavoro di Lee, e trovare il programma completo del Delos Day e le istruzioni per arrivarci. Vi aspetto.

2005/11/28

Antibufala: torna lo squillino a pagamento

Questo articolo vi arriva grazie alle gentili donazioni di "maudanto", "joebass2005" e "massimo.bos**".

Sta impazzando un appello secondo il quale si pagheranno anche gli "squillini", ossia le chiamate a vuoto fatte come segnale prestabilito ("fammi uno squillino quando arrivi a casa"). L'appello è scritto nello stile di una notizia d'agenzia ed è talvolta firmato "Vincenzo Spataro - Tech News":
ROMA. I tre maggiori gestori di telefonia mobile italiana (wind, omnitel,tim), hanno appena annunciato che dalla mezzanotte di oggi, si pagheranno anche gli squilli effettuati con terminali radiomobili (telefonini), ad un prezzo concordato e unico per tutti i gestori, pari a 0,001 centesimi di euro.

L'amministratore di Vodafone-Omnitel, ha dichiarato che da tempo i tre gestori stavano pensando di disincentivare gli squilli, poichè pur non producendo guadagni per i gestori, sovraccaricano notevolmente la rete radiomobile rallentando le comunicazioni wireless. Il costo, per quanto irrisorio, va valutato sulla base del numero di squilli giornalieri che gli utenti oramai si scambiano abitualmente, e quindi il suo costo diventa sensibile.
"Questa iniziativa sarà valutata dall'Antitrust, come iniziativa di cartello" - ha commentato il ministro delle comunicazioni Gasparri, prontamente contattato dal nostro quotidiano - "e comunque è un indice del vento di crisi che tira sulle aziende, e che le costringe anche a prendere iniziative assolutamente antipopolari."

Invitiamo pertanto i nostri lettori, d'ora in poi, ed in attesa di eventuali azione da parte delle associazioni di consumatori, moderare l'uso del telefonino, e degli squilli in particolare, per evitare di avere brutte sorprese sulle bollette.

Vincenzo Spataro - Tech News
Si tratta di una bufala risalente addirittura al 2003. L'indizio fondamentale della natura bufalina dell'appello è l'esiguità della somma, pari a una frazione infinitesima di euro (sono 0,001 centesimi di euro, non 0,001 euro), che anche facendo migliaia di squillini non assommerebbe mai a cifre significative.

Un altro indizio che dovrebbe rendere più evidente la bufala è la presenza di riferimenti datati (Omnitel ha cambiato nome in Vodafone), ma come al solito l'emozione impedisce di notare questi dettagli.

L'indagine antibufala completa è, come al solito, a vostra disposizione.

Ciao da Paolo.

Aggiornamento [30/11/2005]: mi è arrivata la segnalazione di un e-mail che invita a uno "sciopero" basato su questa bufala. Eccone il testo:
Come protestare
Le compagnie di telefonia mobile hanno deciso che dalla mezzanotte di stasera si pagheranno anche i nostri beneamati "squilletti".
Affermano che questi intasano notevolmente le linee wireless e che quindi dovranno avere un costo che sarà pari ad euro 0,001 per ogni squilli effettuato.(1000 squilli scaleranno 1 euro al nostro credito)
Abbiamo deciso di protestare spegnendo tutti i cellulari nella giornata del 1 dicembre, in altre parole dalle 00: 00 del 1/12/2005 fino alle 23.59 dello stesso
Per chiamate urgenti e ripeto URGENTI si potrà accendere esclusivamente per la durata della chiamata, per poi spegnerlo dopo questa.
Per le altre chiamate si potrà andare presso cabine telefoniche o altro
Diciamo che per un giorno si puo anche fare....o vogliamo pagare anche gli squilli???????????????????
La cosa in se sarà utile perchè spegnendo i cellulari anche solo per un giorno il deficit economico
delle compagnie si farà sentire visto che in una sola giornata queste ricevono migliaia di euro da noi consumatori...

Fate girare questa e-mail a piu persone possibili e se potete anche all'estero
Grazie a tutti!! E delle grazie puramente sarcastiche alle compagnie telefoniche!!!
Non bastavano i soldi che già vi diamo??
Ogni commento è superfluo.

2005/11/26

[IxT] Il ritorno di Valentin (ma con la W)

Questo articolo vi arriva grazie alle gentili donazioni di "dezoris", "dwl" e "maxmaraldo".

Ricordate Valentin, il ragazzo che ogni inverno dice di morire di freddo a Kaluga, in Russia, e che con questa scusa truffaldina spamma da anni mezza Internet? E' ritornato alla carica dopo qualche mese di silenzio, e con una geniale tecnica per combattere i tentativi di verifica via Internet: si è ribattezzato Walentin, con la W.

"Walentin" ha già dimostrato in passato di non essere una delle menti criminali più sublimi: ha disseminato la Rete di varie versioni incompatibili del proprio appello (in alcune è un insegnante, in altre un radioamatore, in altre uno studente), ha usato il proprio vero nome e cognome, ed è persino finito nei guai con la giustizia russa per aver inviato dal proprio computer minacce di lanciare missili nucleari contro l'Occidente, spacciandosi per rappresentante dei lavoratori scontenti di una base missilistica russa che non ricevevano da mesi gli stipendi. Una forma di lotta sindacale davvero originale: se non ci date la paga, noi lanciamo bombe H.

Fondamentalmente, "Walentin" è un tontolone che non ha saputo gestire bene un meccanismo truffaldino che altrimenti avrebbe funzionato alla grande. Ha accesso a un computer dal quale può inviare in Occidente centinaia di migliaia di appelli commoventi, nei quali chiede aiuto per non morire di freddo nella città di Kaluga insieme alla mamma invalida. Comprensibilmente, qualcuno dei tanti destinatari crede alla sua storia e lo contatta per offrirgli aiuto, e a quel punto "Walentin" cambia la propria versione: non vuole più che gli si spedisca coperte o una stufa, ma direttamente dei soldi tramite Western Union o altri meccanismi di pagamento analoghi.

La cosa funziona benissimo: dall'estero gli sono arrivate così tante provviste e donazioni che l'ufficio postale di Kaluga gli ha detto che avrebbe dovuto pagare il dazio sull'importazione di merci, visto che gli arrivi eccedevano i normali invii di regali esenti da dazio. E allora che ha fatto "Walentin"? Ha volato basso, pagato il dazio e continuato il proprio gioco rivendendo le merci ricevute e incassando le donazioni in denaro? Macché: ha disseminato Kaluga di volantini nei quali accusava gli impiegati delle Poste di essere corrotti, e si è fatto beccare.

In un altro impeto di furberia, l'anno scorso Walentin se l'è presa con me, attaccando il mio sito e la mia casella di posta, perché avevo pubblicato la mia prima indagine antibufala sul suo caso. Questo gli ha rovinato la piazza italiana, anche grazie all'aiuto dei tanti lettori che lo hanno contattato fingendosi potenziali donatori, al punto che Walentin ha pensato che ogni e-mail proveniente dall'Italia fosse opera mia: così ha smesso di spammare l'Italia. Almeno fino ad ora.

Walentin ha capito che chi immette "Valentin Kaluga" in Google per saperne di più sull'appello ha ottime probabilità di finire in una pagina antibufala. E allora cosa ha fatto adesso? Ha cambiato la grafia del proprio nome con una equivalente, sperando di sfuggire alle verifiche fatte con Google e quindi mietere nuove vittime. Ma non ha fatto i conti coi lettori del Servizio Antibufala, che mi hanno prontamente segnalato la novità.

"Walentin Kaluga", infatti, non fornisce in Google rimandi a pagine antibufala (o, in questo caso, antitruffa). Almeno per ora: lo scopo di questo articolo è proprio questo; ed è per questo che contiene tante ripetizioni del suo nuovo nome. Google lo indicizzerà, insieme alle mie precedenti pagine sul suo caso, e il nuovo tentativo di Valentin verrà bloccato. Già ora Google propone "valentin kaluga" (con la V) come ricerca alternativa se immettete "Walentin Kaluga" con la W.

Ecco il testo dell'appello di "Walentin" attualmente in circolazione, come segnalato da numerosissimi lettori, proveniente da indirizzi come valen@mailrus.ru o walen@poste.ru:

Dear Friend,

Please excuse me for any inconvience caused by this message.

My name is Walentin. I'm student and I live with my mother in small city Kaluga, in Russia. My mother is invalid. She cannot see and she receive pension from the government very rare which is not enough even for medications.

I work very hard every day to be able to buy the necessities and medications for my mother, but my salary is very small, because my studies still not finished.

Due to a deep crisis, authorities stoped gas in our district and we cannot heat our home anymore. I do not know what to do, because the winter is coming and the weather sometimes will be minus 25 degrees Celsius. I'm very afraid that if the temperature will be lower than 0 degree in our sleeping room, we will not be able to survive.

Thanks to free Internet access in our local library, I was able to collect some email addresses and I decided to appeal to you with a prayer in my heart for a small help. If you have any used sleeping bag, warm blanket, warm clothes, portable heater, canned food, vitamins, water boiler, medicines against cold weather, any hygiene products, I will be very grateful you if you could send it to our home address:

Walentin Mikhailyn,
Rileeva Ulica 6-45,
Kaluga 248030
Russia

If you think that it would be better or easier for you to help with some money, please writes me back and I will provide you with details how to send it safely, if you agree. This way to help is very good, because in this case I will be able to buy a portable stove and heat our home during the winter.

I hope to hear from you very soon. I hope very much that this hard situation will become better in our country very soon.

I wish you a Merry Christmas and a Happy New Year 2006. Please excuse me, once more, for any inconvience I could cause you with this message.

Walentin.
Kaluga. Russia.


In sintesi, l'appello attuale dice che Walentin è uno studente che vive a Kaluga con la madre cieca: a causa della crisi, le autorità russe hanno interrotto il riscaldamento nel loro distretto/quartiere, e a volte a Kaluga la temperatura scende a -25°C. Grazie all'accesso Internet presso la biblioteca locale, Walentin ha raccolto un po' di indirizzi ai quali chiedere aiuto: un sacco a pelo, una coperta, dei vestiti caldi, una stufetta, e altri generi di prima necessità. Ma anche i soldi sono ben accetti, anzi preferiti.

Per chi volesse approfondire i dettagli di quest'indagine, la mia pagina principale su Valentin/Walentin è qui, mentre l'indagine tecnica sul suo attacco contro di me, che spiega in generale come si analizzano le intestazioni di un e-mail per saperne le vere origini, è qui. Le fonti per la storia dei guai di Valentin con la giustizia sono documentate qui in italiano e in inglese grazie alle traduzioni dal russo fornite da vari lettori.

Ciao da Paolo.

2005/11/22

[IxT] Forum RAI “Internet per tutti” chiuso improvvisamente, e non è il solo

Questo articolo vi arriva grazie alle gentili donazioni di "samuele lamp******", "luca.io**" e "alberto.nat***".

A quanto risulta dalla segnalazione di un lettore (grazie Daniele), la RAI ha deciso di botto di chiudere e cancellare alcuni forum della Community. Ne ha fatto le spese anche il mio forum (o meglio ex-forum, visto che mi ero ritirato formalmente da moderatore alcuni giorni fa) Internet per tutti, iniziato nel lontano 2001. Un altro forum vaporizzato, per usare un termine non a caso orwelliano, è Tema Libero.

La decisione, ufficialmente motivata dalla volontà di mantenere soltanto i forum collegati a una trasmissione, ha suscitato parecchie proteste fra i partecipanti ai vari forum. Chiudere un forum è una scelta che giustamente spetta a chi lo gestisce, ma la cortesia suggerirebbe perlomeno di avvisare e soprattutto di lasciare leggibili in Rete i contributi di tutti coloro che hano creato, in anni di messaggi, una "community", come la chiama appunto mamma Rai: una comunità nella quale ciascuno ha versato un po' di se stesso (nel bene e, a volte, anche nel male). Tutta la memoria storica di questi anni di chiacchiere, scambi di idee e trucchi e consigli, è scomparso, come se non fosse mai esistito. E' una sensazione che lascia l'amaro in bocca.

Dev'essere stata una decisione piuttosto drastica e poco pianificata, anche perché vedo ancora, in questo momento mentre scrivo, un bel link al mio defunto forum nella pagina-indice della Community dei forum Rai.

Colgo l'occasione per chiarire che la mia scelta di smettere di moderare il forum Internet per tutti non è collegata a questa decisione, di cui ero assolutamente all'oscuro: l'ho saputa soltanto grazie alla segnalazione di un lettore. Ho chiesto di smettere di moderare molti mesi fa, e puramente a causa del sovraccarico di lavoro e di impegni di famiglia che mi perseguita in questo periodo.

Non è certo la prima volta che un forum viene chiuso e obliterato: lo hanno fatto tanti altri siti Web più o meno illustri. Stupisce, però, che sia la Rai a comportarsi in questo modo. Forse è soltanto questione di poca dimestichezza col mezzo da parte di qualche dirigente altolocato e bassoinformatizzato.

Se vi va di far sapere alla Rai il vostro parere in proposito e magari chiedere di tenere vivi questi forum, almeno in sola lettura, per non perdere il lavoro, i pensieri e le storie di amicizie nate online di questi anni, potete mandare un messaggio alla Rai: vale la pena di tentare.

Ciao da Paolo.

2005/11/17

[IxT] Alla radio per parlare di WSIS e di chi comanda Internet

Domattina, dalle 8.30 alle 9, sarò in diretta alla Rete Uno della Radio Svizzera di lingua italiana, nel programma Modem, dedicato al summit WSIS di Tunisi e al problema di chi controlla i dominii della Rete e di quanto sia giusto affidarla interamente a un'unica organizzazione statunitense. Ci sono problemi di censura, di boicottaggio e di concorrenza più o meno sleale che possono toccare tutti noi internauti e potrebbero causare la frammentazione di Internet se non vengono gestiti correttamente.

Se vi interessa, sintonizzatevi sulla radio oppure ascoltatela in streaming (Real Audio), visitando il sito della trasmissione Modem e quello della Rete Uno radio della RTSI.

A domani!

Ciao da Paolo.

Aggiornamento (2005-11-22): La trasmissione Modem è anche scaricabile in podcasting: basta immettere in iTunes (o in altro programma analogo, come iPodder) il link che trovate nella pagina-indice dei podcast della RTSI, e il programma verrà scaricato sul vostro computer in modo che possiate ascoltarlo quando preferite; se avete un iPod o altro lettore MP3, potrete anche trasferirlo automaticamente sul lettore, così potete straziarvi le orecchie coi miei rantoli anche mentre siete in coda in auto o fate jogging.

2005/11/13

[IxT] Arriva il phishing dislessico?

Questo articolo vi arriva grazie alle gentili donazioni di "dispwitch", "rcervi" e "giuliopp".

Da qualche settimana cominciano ad arrivarmi segnalazioni di quello che mi viene spontaneo chiamare "phishing dislessico": messaggi-esca che seguono il classico schema del phishing (fingono di provenire da banche o siti commerciali o provider e vi chiedono di cliccare su un link per aggiornare i vostri codici di sicurezza, ma portano in realtà a un sito truffaldino che ruba questi codici), ma hanno una particolarità: sono scritti scambiando le lettere delle parole o infarcendole di simboli strani.

Un esempio è un phishing ai danni degli utenti di Tele2, segnalatomi da "esdra" (ho alterato il il link per renderlo inservibile):
Drae tele2.it Mebmer,

We mtsu chekc thta yuor tele2.it ID was rigestered by real ppoele. So, to hlep tele2.it prnevet audetamot regiartstions, pleesa ckcil on thsi lnik and comptele code verifiaction prsecos:

http://tele2.it/HLKRpnX1tl60Migk910iMNMaKWZVCasdfasdf3uIyRfTHvzloBZAjRirrjeHuDjj4gz0na

Thakn you.
Il link in realtà porta a tutt'altro indirizzo, con le solite tecniche di mascheramento.

Un altro esempio mi arriva da "guidomartin****" e riguarda Tiscali, con un metodo leggermente diverso di storpiatura del testo ma con un testo molto simile al precedente:
De‮ra‬ tiscali.it M‮bme‬er,

We must c‮ceh‬k t‮tah‬ y‮uo‬r tiscali.it
ID was regis‮deret‬ by re‮la‬ pe‮elpo‬.
So, to h‮ple‬ tiscali.it pr‮tneve‬ a‮amotu‬ted
regi‮oitarts‬ns, pl‮esae‬ c‮kcil‬ on
t‮ih‬s l‮ni‬k and com‮telp‬e co‮ed‬
veri‮tacif‬ion proc‮se‬s:

http://tiscali.it/PJlHwSG1tF77PdZDiPunPjLYz4Ul6SY4rgwDJEIvm6EXWuzrrP8a6wW5z0n9i1s8

T‮nah‬k you
L'originale è inframmezzato di numeri preceduti dal simbolo di cancelletto (sono una forma alternativa di rappresentare i caratteri), che scompaiono quando si usano certi programmi di posta, quando si copia e incolla il testo, e quando lo si pubblica in una pagina HTML come quella che state leggendo. Ecco un'immagine del suo aspetto originale (perlomeno nel mio client di posta), sulla quale potete cliccare per ingrandirla:


Ho ricevuto segnalazioni anche di altri messaggi analoghi riguardanti varie banche italiane. Sono tutti ovviamente tentativi di truffa, ma quello che li rende interessanti è appunto questa curiosa storpiatura. Presumo si tratti di tentativi di superare i filtri antispam, che sempre più spesso bloccano anche i messaggi di phishing, ma la cosa mi convince poco.

Infatti mi sembra che le probabilità di successo di un tentativo confezionato in questo modo siano estremamente basse: già il messaggio è in inglese anziché in italiano, e bisogna quindi sapere l'inglese per "decodificare" le lettere rimescolate, e poi dovrebbe venire abbastanza spontaneo chiedersi perché mai Tiscali o Tele2 dovrebbero scrivere in inglese e soprattutto in un inglese così scombussolato. Ma forse all'ingenuità degli utenti alle prime armi non c'è limite e i truffatori sperano di fare comunque qualche vittima.

Il consiglio resta sempre lo stesso: ignorare e cestinare tutti questi messaggi, senza cliccare sui loro link. Nessuna azienda che si rispetti vi manderà mai realmente un messaggio di questo genere.

Ciao da Paolo.

2005/11/11

I CD della Sony infettano Windows

I CD Sony infettano gli utenti legittimi


Questo articolo vi arriva grazie alle gentili donazioni di "lorenza.c", "bea" e "asfodelo_nero".

Lo so, arrivo tardi sulla scena: si parla già da qualche tempo di questo scandaloso sistema anticopia usato da Sony, che infetta i PC Windows con un rootkit, rendendoli vulnerabili ad attacchi opportunisti e danneggiando il funzionamento del masterizzatore. Cerco di farmi perdonare facendo un succoso riepilogo della vicenda e dei suoi ultimi aggiornamenti.

Tutto comincia il 31 ottobre 2005, quando Mark Russinovich di Sysinternals.com annuncia di aver scoperto con sorpresa sul proprio PC Windows un rootkit: un programma nascosto, contenuto in una directory nascosta e invisibile ai normali comandi di Windows e accompagnato da vari device driver anch'essi nascosti. Russinovich li scopre soltanto perché sta testando proprio un programma anti-rootkit.

Analizzando il rootkit, Russinovich scopre ancora più sorprendentemente che il rootkit è stato installato quando ha suonato sul proprio PC un disco pubblicato dalla Sony, Get Right with the Man dei Van Zant. Il disco, infatti, ha una protezione anticopia, denominata XCP e prodotta dall'inglese First 4 Internet, che si installa permanentemente nel PC senza avvisare che non è rimovibile e che altera il funzionamento di Windows rendendolo più vulnerabile.

Il sistema anticopia, infatti, non ha un programma di disinstallazione, e si occulta usando una tecnica estremamente rozza: altera Windows in modo che non veda qualsiasi file il cui nome inizi con "$sys$". Sony ha usato questo metodo per impedire agli utenti di accorgersi della presenza del sistema anticopia.

C'è un problema: il metodo, ovviamente, comporta che qualsiasi virus o altro software ostile che si imbatte in un Windows alterato da Sony in questo modo si ritrova con un nascondiglio perfetto: basta che usi un nome che inizia con "$sys$", e diventerà invisibile sia a Windows, sia agli antivirus.

Fra le altre chicche scoperte da Russinovich c'è anche il fatto che il sistema anticopia è sempre attivo come processo nascosto e utilizza il processore, rallentandolo, anche quando non si sta suonando il disco protetto. Basta insomma installare l'anticopia Sony per errore una sola volta per trovarsi con un computer permanentemente rallentato.

Così Russinovich tenta di fare quello che chiunque farebbe se trovasse un rootkit sul proprio PC: rimuoverlo. Sony, come dicevo, non ha fornito un sistema di disinstallazione, per cui l'unico modo è rimuoverlo manualmente intervenendo sulla configurazione intima di Windows. Come risultato, gli scompare l'icona del lettore CD. Solo dopo aver speso altro tempo per ripristinare ulteriormente Windows e togliere altri elementi nascosti del sistema anticopia Sony, Russinovich riesce a riportare Windows al funzionamento normale. E chi lo ripagherà del tempo perso per riparare il proprio computer a causa del sistema Sony?

L'annuncio di Russinovich non passa inosservato. La prima reazione è l'indignazione contro Sony per aver usato metodi degni di un pirata informatico: metodi fra l'altro assolutamente inutili, perché il disco è perfettamente copiabile usando un Mac o un PC Linux (e anche con alcuni programmi di ripping per Windows). In altre parole, siamo alle solite: le case discografiche insistono a usare sistemi anticopia che i pirati sanno scavalcare senza alcun problema ma che puniscono gli acquirenti legittimi dei dischi.

Ma non mancano reazioni più sofisticate. La prima è stata quella dei giocatori poco onesti di World of Warcraft, che hanno approfittato della funzione di occultamento del rootkit Sony in un modo molto astuto: la Blizzard Entertainment, che produce World of Warcraft, ha creato un programma, Warden, che sorveglia il gioco ispezionando i PC dei giocatori alla ricerca di particolari programmi usati per barare. Ma basta installare questi programmi su un PC infettato dal sistema anticopia Sony e aggiungere al nome dei file del programma il prefisso "$sys$", e Warden non riesce a vederlo. Così i bari continuano indisturbati, grazie a Sony.

A fronte delle prime proteste, Sony rilascia una patch il 3 novembre 2005, che però non disinstalla il sistema anticopia: si limita a renderne visibili i file (e li aggiorna installandone una nuova versione).

Sempre il 3 novembre, Interlex.it pubblica una vivace e dettagliata analisi della tattica Sony, e giustamente si chiede perché Sony dovrebbe usare un sistema simile e nascondersi all'utente:

"A chi serve un rootkit? Ovviamente a chi ha qualcosa da nascondere! O, più precisamente: a chi vuole nascondere ad un legittimo utente il fatto di aver installato, a sua insaputa, un software sul suo sistema. E il fatto di volerne nascondere a tutti i costi l’esistenza già la dice lunga sia sulla legittimità dell’installazione che sulla liceità delle funzioni svolte dal software surrettiziamente installato!"

Il giorno dopo (4 novembre 2005), Russinovich analizza la patch offerta da Sony, che richiede una solfa interminabile di richieste via e-mail a Sony per ottenerla, e scopre che è così rozza e brutale che può far crashare il PC (Russinovich offre un metodo molto più semplice e sicuro per disabilitare il sistema anticopia).

La seconda analisi di Russinovich rivela inoltre che il sistema anticopia trasmette a Sony dati utilizzabili per sorvegliare le abitudini musicali dell'utente: infatti contatta automaticamente (e senza informarne l'utente) un sito della Sony per richiedere eventuali aggiornamenti alle immagini delle copertine dei dischi Sony protetti dal sistema anticopia. Dice Russinovich:

"Con questo tipo di connessione... non citato nella EULA, negato da Sony e non configurabile in alcun modo... i loro server potrebbero tenere traccia di ogni volta che viene suonato un disco protetto e l'indirizzo IP del computer che lo sta suonando".

E' a questo punto che entrano in gioco le società che producono antivirus: F-Secure dichiara che il sistema anticopia Sony verrà identificato dai suoi antivirus e che "le tecniche di occultamento usate sono esattamente le stesse usate dal software ostile noto come rootkit" e che "è pertanto molto scorretto che il software commerciale utilizzi queste tecniche".

Computer Associates è ancora più pesante e definisce il sistema anticopia Sony senza mezzi termini un "trojan" e lo cataloga nello spyware. L'analisi di CA, inoltre, dimostra che Sony sta facendo di tutto per rendere difficile la disinstallazione.

La protesta assume anche una connotazione legale: viene annunciato che l'1 novembre 2005 è stata iniziata dall'avvocato Alan Himmelfarb una class action in California contro Sony, chiedendo risarcimenti per tutti i consumatori danneggiati e l'inibizione della vendita dei dischi protetti da questo sistema anticopia.

Nel contempo, l'italiana ALCEI (Associazione per la Libertà nella Comunicazione Elettronica Interattiva) presenta un documentatissimo esposto alla Guardia di Finanza, ipotizzando fra le altre la violazione dell'articolo 392 c.p., che punisce "...colui che, al fine di esercitare un preteso diritto, si fa arbitrariamente ragione da sé medesimo 'alterando, modificando, o cancellando in tutto o in parte un programma informatico', ovvero 'impedendo o turbando il funzionamento di un sistema informatico o telematico'” e chiedendo di sapere, fra le altre cose, se il sistema anticopia è presente nei dischi Sony in vendita in Italia.

Il 9/11 la Electronic Frontier Foundation pubblica un elenco dei dischi protetti dal sistema anticopia contestato: una ventina di titoli, che includono nomi come Celine Dion, Ricky Martin e Neil Diamond, e spiega come riconoscere i dischi infetti.

Il 10 novembre 2005 viene rilevato il primo virus che sfrutta la falla di sicurezza creata da Sony: una variante del virus Breplibot. Sony ora non può più argomentare che si tratta di una falla ipotetica. Anche Kasperski definisce "spyware" l'anticopia Sony, mentre McAfee aggiorna il proprio antivirus per "rilevare, rimuovere e impedire la reinstallazione" dell'XCP. Zone Labs (quella di Zone Alarm) segue a ruota insieme a Sophos.

L'11 novembre arrivano altri virus che sfruttano la falla Sony, e le cause contro Sony salgono a sei. Lo stesso giorno, entra in scena il peso massimo: si scomoda addirittura il Department of Homeland Security (il Dipartimento per la Sicurezza Nazionale statunitense, quello che si occupa di antiterrorismo). Parlando dei sistemi anticopia ma senza fare il nome di Sony, un suo funzionario ammonisce, di fronte al presidente della RIAA (associazione dei discografici USA), che

"è molto importante ricordare che la proprietà intellettuale è vostra: ma il computer no, e nella ricerca della tutela della proprietà intellettuale, è importante non disabilitare o minare le misure di sicurezza che la gente oggigiorno ha bisogno di usare... se si verifica un'epidemia di influenza aviaria... dipenderemo moltissimo sulla capacità di fornire accesso a distanza per moltissime persone, e mantenere funzionante l'infrastruttura sarà questione di vita o di morte".

In altre parole: Sony, hai passato il segno. La legge non ti conferisce il diritto di danneggiare i computer altrui, neppure se lo fai per difendere il tuo diritto d'autore. E se il tuo sistema anticopia rende vulnerabili i computer proprio quando ne abbiamo più bisogno, sei responsabile anche tu delle gravissime conseguenze.

L'11 novembre, poco dopo queste parole di fuoco dell'amministrazione Bush, Sony dichiara che sospenderà "come misura precauzionale" la fabbricazione di CD che usano il sistema anticopia XCP (in altre parole, non ritirerà dal mercato quelli già in circolazione e si riserva il diritto di riprendere a usare XCP quando le pare). E' disponibile in Rete il testo del comunicato Sony, ed è abbastanza ironico che il comunicato parli di "facilità d'uso" del sistema anticopia, visto che si installa senza informare l'utente di cosa fa, mentre per rimuoverlo bisogna chiedere il permesso a Sony.

Questo, in estrema sintesi, è quello che è successo fin qui. Mi resta un'ultima cosa: spiegare come riconoscere un'eventuale infezione da parte di questo sistema e come prevenirla. Il rischio è relativamente basso, dato che pare che i CD protetti con XCP non siano ancora in circolazione in Europa, ma una controllatina non fa mai male.

  • Prendete un file qualsiasi, duplicatelo e cambiatene il nome prefissandolo con "$sys$": se scompare (cioè se Esplora Risorse non lo vede più), siete infetti; se rimane visibile, siete a posto.
  • Per evitare infezioni, disabilitate temporaneamente l'Autorun di Windows, premendo il tasto Shift durante l'inserimento del disco, ed evitate in generale di installare qualsiasi software presente sui CD musicali Usate un Mac o un PC Linux, entrambi immuni all'anticopia Sony; o più semplicemente ed efficacemente, non comperate dischi infetti.
Ciao da Paolo.