Facebook, il pulsante “Mi Piace” e la Privacy (alle ortiche!)

GET /widgets/like.php?width=300&show_faces=1&layout=standard&href=http://www.imdb.com/title/tt1470023/
HTTP/1.1 Host: www.facebook.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.38 Safari/533.4
Cache-Control: max-age=0
Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Encoding: gzip,deflate,sdch Accept-Language: it-IT,it;q=0.8,en-US;q=0.6,en;q=0.4
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
Cookie: __utma=87286159.95024650.1229115815.1257501181.1257504432.15;
locale=it_IT; lsd=oXejW; c_user=713360587; datr=1232743389-2[…..][…..]a82db3f71bcfb4e652b6;
lo=bG3rNTGVwNb_XhGkftfasg; lxe=eugenio%40schinina.it; lxs=2; sct=1274172610; xs=ca120d8ee7341b01dc86ee8a74c18154;
x-referer=http%3A%2F%2Fwww.facebook.com%2Fhome.php%23%2Fhome.php;
presence=DJ274172612G27[…..][…..]72612QQQ
RESPONSE
HTTP/1.1 200 OK P3P: CP=”DSP LAW” Content-Encoding: gzip Content-Type: text/html;
charset=utf-8
X-Cnection: close Date: Tue, 18 May 2010 08:50:49 GMT
Transfer-Encoding:  chunked
Connection: keep-alive
Vary: Accept-Encoding Connection: Transfer-Encoding

Qualche giorno fa ho espresso agli amici le mie preoccupazioni sulla presenza ormai irrimediabilmente diffusa del pulsante “Like” (da poco riadattato in italiano con “Mi piace”).

Davanti alle loro facce un po’ spiegavo che Facebook è in grado adesso di conoscere le nostre abitudini di navigazione. Sa cioè esattamente quando e su che pagina passiamo, da quale link arriviamo e varie altre cose, probabilmente.

La cosa incredibile è che – in barba a qualunque criterio di privacy – è in grado di associare in maniera diretta questa serie di informazioni al nostro profilo. Vedere sotto per credere.

I (don’t) like this fu*%#g pixel tracking!

Ogni sito che intenda inglobare il pulsante “I like” non fa altro che aprire un IFRAME verso un altro dominio (facebook.com, nella fattispecie). Nella chiamata che ne consegue vengono scambiate interessanti informazioni.

Quello che segue è l’estratto di uno sniffing effettuato accedendo non a Facebook ma ad uno di questi partner sites, nella fattispecie IMDB.com. Di tutto il traffico ho isolato la porzione che accede al widget di FB.

Nei log ho evidenziato quello che mi interessa far notare: nella seconda chiamata, quella fatta da un computer su cui l’utente (il sottoscritto) è loggato su Facebook, noterete la presenza di un paio di dati interessanti, fra cui il mio facebook userid. Devo andare oltre o posso fermarmi qui?

GET /widgets/like.php?width=300&show_faces=1&layout=standard&href=http://www.imdb.com/title/tt1470023/
HTTP/1.1 Host: www.facebook.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows; U; Windows NT ...... Safari/533.4
Accept: application/xml,application/x[.....]age/png,*/*;q=0.5
Accept-Encoding: gzip,d[.....].8,en-US;q=0.6,en;q=0.4
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
Cookie: __utma=87286159.95024650.1229115815.1257501181.1257504432.15;
lo=6xfx4qgM83b_WezVn2tp-Q; datr=1232743389-2c1f750af4cf324[.....]e652b6;
locale=it_IT

Il server risponde

HTTP/1.1 200 OK P3P: CP="DSP LAW" Content-Encoding: gzip Content-Type: text/html;
charset=utf-8
X-Cnection: close Content-Length: 2465
Vary: Accept-Encoding Date: Tue, 18 May 2010 08:48:51 GMT
Connection: keep-alive
Set-Cookie: reg_fb_gate=http%3A%2F%2Fwww.facebook.com%2Fwi[.....][.....]e%252Ftt1470023%252F;
 path=/; domain=.facebook.com
Set-Cookie: reg_fb_ref=http%3A%2F%2Fwww.facebook.com%2Fwi[.....][.....]e%252Ftt1470023%252F;
path=/; domain=.facebook.com

Poco male. Tanti dati in qualche modo oscuri (c’è sicuramente già qualche tipo di tracking), ma niente di così evidente come invece avviene nella caso che segue…

GET /widgets/like.php?width=300&show_faces=1&layout=standard&href=http://www.imdb.com/title/tt1470023/
HTTP/1.1 Host: www.facebook.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows; U; Windows[.....] ri/533.4
Cache-Control: max-age=0
Accept: application/xml,application/xhtm[.....]=0.8,image/png,*/*;q=0.5
Accept-Encoding: gzip,deflate,sdch[.....]US;q=0.6,en;q=0.4
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
Cookie: __utma=87286159.95024650.1229115815.1257501181.1257504432.15;
locale=it_IT; lsd=oXejW; c_user=713360587; datr=1232743389-2[.....][.....]a82db3f71bcfb4e652b6;
lo=bG3rNTGVwNb_XhGkftfasg; lxe=lamia%40email.it; lxs=2; sct=1274172610; xs=ca120[.....]c18154;
x-referer=http%3A%2F%2Fwww.facebook.com%2Fhome.php%23%2Fhome.php;
presence=DJ274172612G27[.....][.....]72612QQQ

E la risposta del server…

HTTP/1.1 200 OK P3P: CP="DSP LAW" Content-Encoding: gzip Content-Type: text/html;
charset=utf-8
X-Cnection: close Date: Tue, 18 May 2010 08:50:49 GMT
Transfer-Encoding:  chunked
Connection: keep-alive
Vary: Accept-Encoding Connection: Transfer-Encoding

Ho omesso il resto in quanto non interessante.

Notare che il parametro c_user è quello usato da Beacon, prima che venisse spento proprio per questioni di privacy.

Embè, dove sarebbe il problema?

Il problema non c’è, se accettate di fornire gratuitamente ad un operatore d’oltre oceano i dettagli delle vostre abitudini di navigazione. Probabilmente (ma io non ho modo di saperlo, vedi disclaimer) Facebook utilizza questi dati per personalizzare gli annunci che vi propone. O forse li vende ad altri. Chi lo sa?

Cosa posso fare per evitarlo?

Al momento credo che evitare di stare loggati su Facebook (Account, poi Logout) possa mitigare il problema, come documentano i traffici che ho riportato sopra, ma dovrei approfondire.

Alcuni doverosi disclaimer: primo, non sono uno specialista di sicurezza, anche se me ne interesso, quindi è possibile che in alcuni passaggi abbia preso delle cantonate. Secondo, non ho alcun elemento per dire che Facebook con quei dati ci faccia chissà che porcherie. Anzi, per essere precisi non ho neanche elementi di prova per dire che li memorizzino e li utilizzino in qualche modo. So però che cosa sarei in grado di farci io, avendoli a disposizione. E vi assicuro che potrebbe non piacervi. Terzo, Facebook non è certamente il primo è certamente non sarà l’ultimo sito web a fare uso di qualche variazione della tecnica del pixel tracking: la cosa (per me) sconvolgente è che lo faccia associando la navigazione in maniera assolutamente diretta al singolo utente. Infine, devo precisare che la mia analisi è tutt’altro che completa, per questioni di tempo, principalmente. Spero di poter dedicare un altro paio d’ore per completare gli scenari. Mi interessa capire in particolare se il problema si presenta anche quando non si è loggati in Facebook.

Squilli da 899104074

Sono già due gli squilli che ricevo oggi sul cellulare da questo numero telefonico: +39899104074.

Notare che togliendo il +39 (prefisso internazionale italiano) quel che resta è un numero a pagamento. Scopro cercando su internet di non essere l’unico. E che non è l’unico numero che usa questo becero meccanismo. Sospetto che si tratti di una truffa, anche se ovviamente non ho elementi per poterlo affermare.

Statev’accuort! (“State attenti”, per chi non parla le lingue).

Home Banking Intesa SanPaolo, fate molta attenzione!

Cosa curiosa stasera! Curiosa e molto pericolosa!

Per circa mezz’ora ho cercato di accedere al servizio di home banking, senza riuscirci. L’ho anche scritto su twitter, con toni decisamente poco lusinghieri.

A un’ora di distanza mi ritrovo la mail che vedete qui riprodotta, nella cartella spam di Gmail.

Phishing Intesa SanPaolo

Il fatto che i miei recenti tentativi di accesso fossero falliti, mi ha erroneamente portato a pensare che la mail potesse essere genuina, nonostante fosse stata archiviata come spam dal filtro di Aruba, e come tentativo di phishing da GMail. Ovviamente il sospetto è durato solo un attimo. Il tempo di vedere, nel testo della mail, una frase scritta in un italiano a dir poco fantozziano!

Accedi ai servizi online di intesasanpaolo.com e verifichi il suo account

Accedi?!? Che fa, mi da del tu?!? No, no, Accedi Lei! (cit.)

Ecco il testo completo della mail:

Caro cliente, Recentemente abbiamo notato uno o piů tentativi
  di entrare al vostro conto di Intesa Sanpaolo da un IP indirizzo differente.
  Se recentemente accedeste al vostro conto mentre viaggiavate, i tentativi
  insoliti di accedere a vostro Conto Intesa Sanpaolo possono essere iniziati
  da voi. Tuttavia, visiti prego appena possibile Intesa Sanpaolo per controllare
  le vostre informazioni di conto

Come detto è estremamente preoccupante che si tratti di un tentativo molto tempestivo di sfruttare una indisponibilità del servizio. Sono propenso a credere che il Denial of Service sul sito legittimo sia stato creato ad arte, dagli stessi mittenti della mail.

Ora faccio subito una segnalazione.

Punta e Viaggia? O Paga e Pentiti?!?

Un articolo di oggi di Tom’s Hardware pubblicizza il sito Punta e Viaggia, meccanismo di aste al ribasso con cui Meridiana ed Eurofly pensano probabilmente di svoltare (a livello di bilanci aziendali, almeno) in un ancora penalizzato settore.

Sono molto critico e scettico, per via del fatto che il meccanismo scelto è tanto conveniente per il venditore quanto lo sembra (ma solo sembra!) per l’acquirente.

Mi spiego: chi fa l’affare è chi vende, non chi compra!

Sicuro?

Sì, almeno su base statistica. Circa 6 mesi fa Piero Tofy ha fatto un’analisi molto dettagliata, scoprendo ad esempio che i guadagni per un oggetto da poche centinaia di euro (un iPod, nella fattispecie) potessero sfiorare i 5000 Euro. Sì, oltre il 2000% (duemilapercento!) del valore dell’oggetto.

D’altro canto questo spiegherebbe anche l’incredibile proliferare di questi siti negli ultimi anni.

Okkio al portafogli, quindi!

PS: Il meccanismo proposto da Punta e Viaggia prevede un limite nel numero di puntate per singolo utente. Questo altera probabilmente i risultati dell’analisi di cui si parlava, ma d’altro canto rende ancora più esplicito il guadagno del venditore. Provate a pensare cosa succedere se solo 20 o 30 utenti fanno il numero massimo di puntate?

I problemi dell’Italia: l’Ignoranza

Sono tanti i problemi che affliggono la mia povera Italia, come ama dire il Prof. Fuggetta.

Ma tanti tanti tanti, specie in questo periodo. E io comincerei con uno di questi, l’Ignoranza. Scritto proprio così, con la I maiuscola. E’ un tema delicato, perchè in fondo si corre il rischio di scadere facilmente nel classismo: “non tutti hanno le stesse possibilità” e “tu sei fortunato perchè hai una famiglia che ti ha fatto studiare” e…sì, è facile. Ma dobbiamo provarci lo stesso.

Ecco, c’è l’ignoranza diffusa, quella che fa sì che 8 milioni di cittadini (amesso che i dati siano veri) stiano a guardare il Grande Fratello; che poi è la stessa che rende problematico il tema del conflitto di interessi. Già, perchè se uno ha – mettiamo il caso – il controllo di un numero cospicuo dei mezzi di informazione, ed è libero di utilizzarli a proprio piacimento, allora è facile pilotare una massa di ignoranti (nel senso che ignorano…).

Ma stasera vorrei parlare dell’Ignoranza, quella con la I maiuscola, dicevo. L’Ignoranza che nella fattispecie stanno dimostrando i nostri governanti, mentre discutono in Senato una legge che è una vera schifezza, sia sotto il piano tecnico, sia sotto quello giuridico; per non parlare di quello sociale, facendoci fare peraltro una figura barbina a livello internazionale. Credo che, come spesso accade per i temi di cui è padrone, l’analisi più lucida sia quella di Stefano Quintarelli, e a lui rubo i passaggi più significativi. Però consiglio di leggerla tutta, la sua analisi.

Ambito della Legge

L’osservazione di Stefano è qui molto puntuale, e corredata da un esempio significativo.

istigazione a delinquere o a disobbedire alle leggi”:  mi pare decisamente troppo ampio. Nel codice penale mi risulta che ci sono due reati che parlano di “disobbedienza alle leggi”: 226 che riguarda i militari e il 415 c.p. quest’ultimo parla di istigazione a disobbedire alle leggi di ordine pubblico e di istigazione all’odio tra classi sociali. Tra “disobbedire alle leggi” e “disobbedire alle leggi di ordine pubblico” mi pare ci siano ordini di grandezza di differenza! Esistono leggi per gli orari di accensione del riscaldamento. Se scrivo “bisognerebbe accendere il riscaldamento piu’ di quando stabilito e mettere la temperatura a piu’ di quanto stabilito” e’ una istigazione alla disobbedienza delle leggi.

E’ abbastanza preoccupante la vaghezza con cui viene definito appunto l’ambito. Ma non è la cosa peggiore…

Via telematica o “siti web”?

Con il testo attuale – segnala sempre Stefano – qualunque tipo di comunicazione che avvenga attraverso la rete potrebbe dover essere censurata, è questo è un bel problema. E’ un problema perchè è di fatto impossibile monitorare in tempo reale….oh mio dio! Ecco il punto! (Ok, some emphasis added!) Il punto è che l’obbligo per il fornitore di filtrare (che brutta espressione!) i contenuti inappropriati significa essere autorizzato a guardarci dentro! E questa è una cosa inaccettabile!

E a dirla tutta potrebbe rappresentare un grossissimo problema per i provider. E come tutte le norme fatte male, procureranno un danno agli onesti, e non faranno alcun male ai cattivi, che già oggi possono impedire ai propri provider (tunneling, VPN, HTTPS…) di guardare dentro ai loro pachetti elettronici.

Il regolamento

Ma cazzo! Siamo stati tutta la settimana a discutere di norme costituzionali, del fatto che il Governo non possa scavalcare il Parlamento e la sua sovranità nel legiferare (se non fosse stato semplicemente il suo dovere, avrei detto “Napolitano santo subito!), e che facciamo? Mettiamo una legge wirdcard che rimanda alla totale discrezione di un Ministero la definizione delle regole (peraltro modificabili come e quando vuole?). Almeno, così la vedo io…vi prego, correggetemi!

Infine, cosa fare?

Il Popolo è ancora sovrano in questo paese (io ci credo, altrimenti sarei già andato via), e può fare solo una cosa, farsi sentire dai propri rappresentati. Sempre sul blog di Stefano trovate l’elenco delle email dei parlamentari. Mandate (e fate mandare ad altri) una email al vostro rappresentante. Un esempio del testo potreste trovarlo qui.

On.le …..

Le scrivo in merito all’emendamento 50 bis (Repressione di attività di apologia o incitamento di associazioni criminose o di attività illecitecompiuta a mezzo internet) del sen. Gianpiero D’Alia -Udc-, introdotto nel decreto Sicurezza e approvato al Senato [resoconto stenografico seduta 143]; è importante che in sede di Camera dei deputati si prenda in considerazione l’opportunità di valutare concretamente tale proposta di filtraggio dei flussi di dati, anche con l’ausilio di pareri tecnici di strutture preposte (ad esempio Autorità delle Comunicazioni, Fondazione Bordoni -il “thinktank” del ministero-).
È importante si capisca che: NON ESISTE ALCUN MEZZO TECNOLOGICO, per quanto complesso e costoso, che consenta di impedire ad un utente determinato di comunicare via internet con un altro utente o macchina.
L’unica possibilità sarebbe vietare la comunicazione digitale tout-court.
Devono essere rispettate le garanzie fissate dalla nostra Costituzione: “La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili” e ancora “Tutti hanno diritto di manifestare liberamente il proprio pensiero con la parola, lo scritto e ogni altro mezzo di diffusione”; con le norme introdotte con l’art 50 bis, per colpire un illecito, si correrebbe il rischio di attuare una vera e propria censura.
Mi auguro che proprio attraverso la rete sia possibile fare chiarezza per rivedere l’emendamento, partorito frettolosamente in risposta all’emergenza dei gruppi deviati su Facebook.

Cordiali saluti,
ecc.

E naturalmente, se lo ritenete utile, diffondete la notizia come potete. Ci sono già dei gruppi su Facebook, ad esempio (anche se sono annegati fra dozzine di gruppi stupidi), ma ci sono anche tanti forum e bacheche dove probabilmente la discussione prenderà piede nei prossimi giorni.

EDIT: Aggiungo il post di Stefano, che mi pare condivida il pensiero espresso qui.

Il tuo sosia su Facebook? L’ennesima burla!

Questa volta il creatore del gruppo vorrebbe farvi credere che un sistema automatico sia in grado di trovare, fra le foto del profilo di tutti gli utenti del gruppo, quella che più assomiglia alla vostra.

Il tuo sosia su Facebook? Una burla!
Il tuo sosia su Facebook? Una burla!

Premesso che la cosa – dal punto di vista puramente tecnico – sarebbe anche fattibile (anche se con risorse computazionali elevate e con diversi vincoli sui soggetti da confrontare – vi posso assicurare che non otterrete certamente questo risultato tramite l’iscrizione al gruppo.

 

Ecco alcuni indizi sfavorevoli:

  • Il sito web a cui punta il gruppo è inesistente, o per lo meno mal configurato.
  • Il testo è scritto in maniera del tutto incoerente: prima vi si dice che servono 14 giorni, poi che il sistema vi darà il risultato in poche ore.
  • Il “comunicato” è firmato da un certo Davide Falstazzi, la cui identità su Facebook e sulla intera rete sembra essere poco credibile.

Una nota positiva è che l’autore ha scritto nel comunicato che non è necessario invitare i vostri amici, a differenza di quanto accaduto nel caso del gruppo creato per scoprire i visitatori del proprio profilo. Tuttavia questo non ha fermato il meccanismo estremamente virale, che ha portato il gruppo ad avere a pochi giorni dalla sua creazione oltre 500.000 iscritti.

Ancora una volta una burla, dunque.

Continuo a pensare che ci siano modi più ragionevoli di usare un social network.

PS: se vi va di iscrivervi al gruppo così, solo per passare il tempo, non c’è (quasi) nulla di male! 🙂

Google c’è!

Lo cito per la seconda volta in 12 ore, ma solo perchè ritengo il follow-up importante.

Mi riferisco al post sul presunto auto-spam di GMail. La conclusione a cui arrivammo era che si trattava di un tentativo di fare leva sulla feature di GMail che associa il me al proprio indirizzo.

Ebbene, a quanto pare non è più così, come potete vedere dall’immagine.

A suo tempo segnalai la cosa in questo gruppo di assistenza dedicato proprio a GMail.

Anche se banale come modifica, mi sembra una risposta corretta e veloce.

Vecchia Falla di Google Ancora Pericolosa!

Qualche giorno fa ho segnalato un anomalo comportamento di Google, erroneamente identificato come bug. Mi riferivo alla feature che associa l’etichetta me al propio indirizzo, feature che gli spammer usano per far comparire come mandate da voi stessi delle mail, anche se l’ottimo filtro di Google riesce comunque ad intercettare il contenuto come spam.

Oggi si tratta invece di una cosa più seria e decisamente più pericolosa, se rapportata al fatto che molti di noi utilizzano oggi l’indirizzo di GMail come email primario e di contatto per molti servizi. Prima di alzare i toni è comunque opportuno che dica che mi riferisco ad un bug di sicurezza patchato (corretto) già da almeno un anno.

Ma tocca fare un po’ di ricostruzione, almeno un anno, appunto, di tempo!

Verso fine Settembre 2007 GNUCitizen prima descrive sommariamente una pericolosa vulnerabilità nel meccanismo di autenticazione di GMail, e poi – dopo la comunicazione da parte di Google che affermava di aver fixato il bug – la documenta con il cosiddetto proof of concept. La tecnica usata prevede sostanzialmente che l’hacker riesca ad “impostare” dei filtri che possono forwardare la posta ricevuta presso un indirizzo di suo gradimento. Oltre a esporre messaggi privati, questa tecnica può essere resa arbitrariamente distruttiva in quegli scenari in cui l’utente abbia utilizzato la casella di GMail come – ad esempio – mail di contatto per la registrazione di domini.

Pochi giorni dopo – il primo Ottobre dello stesso Anno – ZDNet pubblica un post di Ryan Naraine, un security evangelist di Kaspersky Lab, che spiega l’opportunità per tutti gli utenti di andare a controllare i propri “filtri”. La patch infatti elimina la vulnerabilità che permette all’hacker di impostarli, ma non bonifica quelli già impostati.

Negli ultimi 12 mesi (secondo questo articolo su RWW) almeno due domini di una certa rilevanza sono stati rapiti con questa tecnica, ed il secondo molto di recente!

Suggerimenti (presi direttamente da chi ha vissuto questa brutta esperienza):

  • Verificate i vostri filtri e disabilitate l’IMAP;
  • Non utilizzate la posta di GMail come casella di contatto per registrazioni “sensibili”;
  • Come sempre, non aprite i link nelle email, a meno che non siate certi di conoscere il mittente o l’origine.

Spam dal Proprio Indirizzo nella Casella GMail

Ho l’abitudine di controllare periodicamente la casella spam di Gmail. Credo che l’unico valido motivo per fare ciò sia legato ad una fiducia non proprio totale nei confronti del filtro. Ho in sostanza paura che il filtro possa essere troppo severo e generare quindi dei falsi positivi.

Per questo motivo controllo periodicamente ciò che viene archiviato come spam e naturalmente svuoto tutto (per rendere meno oneroso il successivo controllo).

Bene, devo dire che il filtro funziona a dovere. Finora solo un messaggio etichettato spam per errore. E in questi giorni mi ha anche stupito positivamente, riuscendo ad intercettare dei messaggi di spam anche se l’indirizzo del mittente era…uh…il mio!!!

[Attenzione: in fondo al messaggio un update, la sicurezza del vostro account Gmail è con tutta probabilità salva.]

Gmail Spam Box
Gmail Spam Box

La prima volta che è successo, qualche giorno fa, ho archiviato la cosa come un baco in qualche mass-mailer che avesse, ahimè, anche il mio indirizzo. Poi sono andato a guardare gli header del messaggio. In Gmail potete vederli facendo click sulla freccina accanto a reply, e scegliendo fra le opzioni “Show original”. E negli header ho visto cose brutte:

Delivered-To: mioindirizzo@gmail.com
Received: by 10.142.104.12 with SMTP id b12cs7943wfc;
        Tue, 11 Nov 2008 12:15:52 -0800 (PST)
Received: by 10.210.66.13 with SMTP id o13mr9588525eba.74.1226434551118;
        Tue, 11 Nov 2008 12:15:51 -0800 (PST)
Return-Path: <mioindirizzo@gmail.com>
Received: from m85-94-175-97.andorpac.ad (m85-94-175-97.andorpac.ad [85.94.175.97])
        by mx.google.com with ESMTP id g9si9762451gvc.0.2008.11.11.12.15.46;
        Tue, 11 Nov 2008 12:15:51 -0800 (PST)
Received-SPF: neutral (google.com: 85.94.175.97 is neither permitted nor denied 
by domain of mioindirizzo@gmail.com) client-ip=85.94.175.97;
Authentication-Results: mx.google.com; spf=neutral (google.com: 85.94.175.97 is neither 
permitted nor denied by domain of mioindirizzo@gmail.com) smtp.mail=mioindirizzo@gmail.com
Date: Tue, 11 Nov 2008 12:15:51 -0800 (PST)
Message-Id: <4919e7f7.096c100a.3153.3259SMTPIN_ADDED@mx.google.com>
To: <mioindirizzo@gmail.com>
Subject: Barak and McCain's conssultants
From: <mioindirizzo@gmail.com>
MIME-Version: 1.0
Importance: High
Content-Type: text/html
Segue in testo del messaggio...

No ho particolare confidenza con in protocollo in questione, ma confrontando gli header con quelli di un messaggio legittimo la somiglianza è preoccupante. Purtroppo i pochi post(al momento) presenti nei relativi gruppi google non sono assolutamente d’aiuto.
I consigli che al momento posso dare sono abbastanza basilari:

[Attenzione: in fondo al messaggio un update, la sicurezza del vostro account Gmail è con tutta probabilità salva.]

  • cambiate password;
  • cambiate domanda segreta;
  • verificate o cancellate eventuali “account secondari” a cui avevate concesso l’accesso. Non mi riferisco agli account secondari di posta, me agli altri indirizzi che usate (se ne usate) per autenticarvi con i servizi di Google;
  • monitorate il fenomeno.

Conoscendo i personaggi in questione e l’attenzione verso questo prodotto, se la cosa dovesse diffondersi probabilmente ci metteranno una pezza.

Non mi fermo con le analisi. Spero di scoprire che si tratta di una banale configurazione di un client che si spaccia per un altro, nel qual caso (forse) c’è meno da preoccuparsi, ma vi invito comunque a verificare le vostre caselle spam. Chiaramente la preoccupazione più grande è che lo stesso messaggio possa essere mandato alla propria rubrica, ma al momento nessuno dei miei contatti ha riportato manifestazioni del genere. Uno di loro mi ha invece confermato di avere lo stesso problema dei messaggi auto-inviati.

Disclaimer: l’apertura di un messaggio di posta, specie dentro un browser con javascript abilitato, può causare l’esecuzione di codice maligno. Se non vi fidate dei messaggi che avete in spam e volete cancellarli senza correte rischi, eliminateli direttamente (“Delete all spam messages now”) senza aprirli.

UPDATE: Dopo pochi scambi di battute su FF (grazie a chi ha contributo alla discussione colmando la mia ignoranza), forse la cosa si può archiviare come un semplice tentativo di Socal Engineering tarato proprio su Gmail, e sulla sua funzionalità che associa l’etichetta “me” (come mittente) al proprio indirizzo di posta elettronica. Questo vuol dire che la sicurezza del vostro accont è con tutta probabilità inviolata (cioè la presenza di tali email non è un indice di effrazione).

Ho provatto a connettermi ad un smtp del provider (quindi non google) e inserendo a mano (tecnicamente spoofando) il campo “from” sono riuscito a riprodurre un messaggio per il 90% simile a quello che ho segnalato (ma mai identico negli header).

Il tentativo di autenticazione che Google cerca di fare tramite Sender Policy Framework non da un risultato significativo, ed è probabile che il filtro antispam tenga conto anche di questo.