Tag: sicurezza

Facebook, il pulsante “Mi Piace” e la Privacy (alle ortiche!)

GET /widgets/like.php?width=300&show_faces=1&layout=standard&href=http://www.imdb.com/title/tt1470023/
HTTP/1.1 Host: www.facebook.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.38 Safari/533.4
Cache-Control: max-age=0
Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Encoding: gzip,deflate,sdch Accept-Language: it-IT,it;q=0.8,en-US;q=0.6,en;q=0.4
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
Cookie: __utma=87286159.95024650.1229115815.1257501181.1257504432.15;
locale=it_IT; lsd=oXejW; c_user=713360587; datr=1232743389-2[…..][…..]a82db3f71bcfb4e652b6;
lo=bG3rNTGVwNb_XhGkftfasg; lxe=eugenio%40schinina.it; lxs=2; sct=1274172610; xs=ca120d8ee7341b01dc86ee8a74c18154;
x-referer=http%3A%2F%2Fwww.facebook.com%2Fhome.php%23%2Fhome.php;
presence=DJ274172612G27[…..][…..]72612QQQ
RESPONSE
HTTP/1.1 200 OK P3P: CP=”DSP LAW” Content-Encoding: gzip Content-Type: text/html;
charset=utf-8
X-Cnection: close Date: Tue, 18 May 2010 08:50:49 GMT
Transfer-Encoding:  chunked
Connection: keep-alive
Vary: Accept-Encoding Connection: Transfer-Encoding

Qualche giorno fa ho espresso agli amici le mie preoccupazioni sulla presenza ormai irrimediabilmente diffusa del pulsante “Like” (da poco riadattato in italiano con “Mi piace”).

Davanti alle loro facce un po’ spiegavo che Facebook è in grado adesso di conoscere le nostre abitudini di navigazione. Sa cioè esattamente quando e su che pagina passiamo, da quale link arriviamo e varie altre cose, probabilmente.

La cosa incredibile è che – in barba a qualunque criterio di privacy – è in grado di associare in maniera diretta questa serie di informazioni al nostro profilo. Vedere sotto per credere.

I (don’t) like this fu*%#g pixel tracking!

Ogni sito che intenda inglobare il pulsante “I like” non fa altro che aprire un IFRAME verso un altro dominio (facebook.com, nella fattispecie). Nella chiamata che ne consegue vengono scambiate interessanti informazioni.

Quello che segue è l’estratto di uno sniffing effettuato accedendo non a Facebook ma ad uno di questi partner sites, nella fattispecie IMDB.com. Di tutto il traffico ho isolato la porzione che accede al widget di FB.

Nei log ho evidenziato quello che mi interessa far notare: nella seconda chiamata, quella fatta da un computer su cui l’utente (il sottoscritto) è loggato su Facebook, noterete la presenza di un paio di dati interessanti, fra cui il mio facebook userid. Devo andare oltre o posso fermarmi qui?

GET /widgets/like.php?width=300&show_faces=1&layout=standard&href=http://www.imdb.com/title/tt1470023/
HTTP/1.1 Host: www.facebook.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows; U; Windows NT ...... Safari/533.4
Accept: application/xml,application/x[.....]age/png,*/*;q=0.5
Accept-Encoding: gzip,d[.....].8,en-US;q=0.6,en;q=0.4
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
Cookie: __utma=87286159.95024650.1229115815.1257501181.1257504432.15;
lo=6xfx4qgM83b_WezVn2tp-Q; datr=1232743389-2c1f750af4cf324[.....]e652b6;
locale=it_IT

Il server risponde

HTTP/1.1 200 OK P3P: CP="DSP LAW" Content-Encoding: gzip Content-Type: text/html;
charset=utf-8
X-Cnection: close Content-Length: 2465
Vary: Accept-Encoding Date: Tue, 18 May 2010 08:48:51 GMT
Connection: keep-alive
Set-Cookie: reg_fb_gate=http%3A%2F%2Fwww.facebook.com%2Fwi[.....][.....]e%252Ftt1470023%252F;
 path=/; domain=.facebook.com
Set-Cookie: reg_fb_ref=http%3A%2F%2Fwww.facebook.com%2Fwi[.....][.....]e%252Ftt1470023%252F;
path=/; domain=.facebook.com

Poco male. Tanti dati in qualche modo oscuri (c’è sicuramente già qualche tipo di tracking), ma niente di così evidente come invece avviene nella caso che segue…

GET /widgets/like.php?width=300&show_faces=1&layout=standard&href=http://www.imdb.com/title/tt1470023/
HTTP/1.1 Host: www.facebook.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows; U; Windows[.....] ri/533.4
Cache-Control: max-age=0
Accept: application/xml,application/xhtm[.....]=0.8,image/png,*/*;q=0.5
Accept-Encoding: gzip,deflate,sdch[.....]US;q=0.6,en;q=0.4
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
Cookie: __utma=87286159.95024650.1229115815.1257501181.1257504432.15;
locale=it_IT; lsd=oXejW; c_user=713360587; datr=1232743389-2[.....][.....]a82db3f71bcfb4e652b6;
lo=bG3rNTGVwNb_XhGkftfasg; lxe=lamia%40email.it; lxs=2; sct=1274172610; xs=ca120[.....]c18154;
x-referer=http%3A%2F%2Fwww.facebook.com%2Fhome.php%23%2Fhome.php;
presence=DJ274172612G27[.....][.....]72612QQQ

E la risposta del server…

HTTP/1.1 200 OK P3P: CP="DSP LAW" Content-Encoding: gzip Content-Type: text/html;
charset=utf-8
X-Cnection: close Date: Tue, 18 May 2010 08:50:49 GMT
Transfer-Encoding:  chunked
Connection: keep-alive
Vary: Accept-Encoding Connection: Transfer-Encoding

Ho omesso il resto in quanto non interessante.

Notare che il parametro c_user è quello usato da Beacon, prima che venisse spento proprio per questioni di privacy.

Embè, dove sarebbe il problema?

Il problema non c’è, se accettate di fornire gratuitamente ad un operatore d’oltre oceano i dettagli delle vostre abitudini di navigazione. Probabilmente (ma io non ho modo di saperlo, vedi disclaimer) Facebook utilizza questi dati per personalizzare gli annunci che vi propone. O forse li vende ad altri. Chi lo sa?

Cosa posso fare per evitarlo?

Al momento credo che evitare di stare loggati su Facebook (Account, poi Logout) possa mitigare il problema, come documentano i traffici che ho riportato sopra, ma dovrei approfondire.

Alcuni doverosi disclaimer: primo, non sono uno specialista di sicurezza, anche se me ne interesso, quindi è possibile che in alcuni passaggi abbia preso delle cantonate. Secondo, non ho alcun elemento per dire che Facebook con quei dati ci faccia chissà che porcherie. Anzi, per essere precisi non ho neanche elementi di prova per dire che li memorizzino e li utilizzino in qualche modo. So però che cosa sarei in grado di farci io, avendoli a disposizione. E vi assicuro che potrebbe non piacervi. Terzo, Facebook non è certamente il primo è certamente non sarà l’ultimo sito web a fare uso di qualche variazione della tecnica del pixel tracking: la cosa (per me) sconvolgente è che lo faccia associando la navigazione in maniera assolutamente diretta al singolo utente. Infine, devo precisare che la mia analisi è tutt’altro che completa, per questioni di tempo, principalmente. Spero di poter dedicare un altro paio d’ore per completare gli scenari. Mi interessa capire in particolare se il problema si presenta anche quando non si è loggati in Facebook.

Squilli da 899104074

Sono già due gli squilli che ricevo oggi sul cellulare da questo numero telefonico: +39899104074.

Notare che togliendo il +39 (prefisso internazionale italiano) quel che resta è un numero a pagamento. Scopro cercando su internet di non essere l’unico. E che non è l’unico numero che usa questo becero meccanismo. Sospetto che si tratti di una truffa, anche se ovviamente non ho elementi per poterlo affermare.

Statev’accuort! (“State attenti”, per chi non parla le lingue).

Home Banking Intesa SanPaolo, fate molta attenzione!

Cosa curiosa stasera! Curiosa e molto pericolosa!

Per circa mezz’ora ho cercato di accedere al servizio di home banking, senza riuscirci. L’ho anche scritto su twitter, con toni decisamente poco lusinghieri.

A un’ora di distanza mi ritrovo la mail che vedete qui riprodotta, nella cartella spam di Gmail.

Phishing Intesa SanPaolo

Il fatto che i miei recenti tentativi di accesso fossero falliti, mi ha erroneamente portato a pensare che la mail potesse essere genuina, nonostante fosse stata archiviata come spam dal filtro di Aruba, e come tentativo di phishing da GMail. Ovviamente il sospetto è durato solo un attimo. Il tempo di vedere, nel testo della mail, una frase scritta in un italiano a dir poco fantozziano!

Accedi ai servizi online di intesasanpaolo.com e verifichi il suo account

Accedi?!? Che fa, mi da del tu?!? No, no, Accedi Lei! (cit.)

Ecco il testo completo della mail:

Caro cliente, Recentemente abbiamo notato uno o piů tentativi
  di entrare al vostro conto di Intesa Sanpaolo da un IP indirizzo differente.
  Se recentemente accedeste al vostro conto mentre viaggiavate, i tentativi
  insoliti di accedere a vostro Conto Intesa Sanpaolo possono essere iniziati
  da voi. Tuttavia, visiti prego appena possibile Intesa Sanpaolo per controllare
  le vostre informazioni di conto

Come detto è estremamente preoccupante che si tratti di un tentativo molto tempestivo di sfruttare una indisponibilità del servizio. Sono propenso a credere che il Denial of Service sul sito legittimo sia stato creato ad arte, dagli stessi mittenti della mail.

Ora faccio subito una segnalazione.

Facebook Stats? Ancora?!?

Ebbasta, dai! Non è possibile vedere chi visita il tuo profilo, o per lo meno non è possibile farlo semplicemente iscrivendosi ad un gruppo!

Ora ne viene fuori un altro: Facebook Stats. L’ho scoperto qui, dove viene riportato “citato” un post di IlariaLab, che peraltro non trovo sul sito (aggravante della bufala!).

Vediamo un po’…

Ricevi gratuitamente un report ogni mese elaborato grazie al sistema di statistica gratuito offerto da facebook stats con i seguenti dati:

– amici che ti visitano
– iscritti a facebook non-amici che ti visitano
– durata della visita
– pagine visitate
– foto visitate
– keyword
– frequenza delle visite
– and much more…

Vabbè, mi pare, come nell’altro caso, una clamorosa bufala.

Raccomandazione: iscrivetevi pure al gruppo se volete, ma evitate di mandare messaggi all’autore, se non lo conoscete, o questo avrà accesso al vostro profilo e alle vostre foto. La vostra privacy è importante!

Edit: davvero volete sapere chi vi visita, e risolvere molte altre curiosità? Provate a chiedere a Lui! Di sicuro avrà la risposta giusta per voi! 🙂

Google c’è!

Lo cito per la seconda volta in 12 ore, ma solo perchè ritengo il follow-up importante.

Mi riferisco al post sul presunto auto-spam di GMail. La conclusione a cui arrivammo era che si trattava di un tentativo di fare leva sulla feature di GMail che associa il me al proprio indirizzo.

Ebbene, a quanto pare non è più così, come potete vedere dall’immagine.

A suo tempo segnalai la cosa in questo gruppo di assistenza dedicato proprio a GMail.

Anche se banale come modifica, mi sembra una risposta corretta e veloce.

Vecchia Falla di Google Ancora Pericolosa!

Qualche giorno fa ho segnalato un anomalo comportamento di Google, erroneamente identificato come bug. Mi riferivo alla feature che associa l’etichetta me al propio indirizzo, feature che gli spammer usano per far comparire come mandate da voi stessi delle mail, anche se l’ottimo filtro di Google riesce comunque ad intercettare il contenuto come spam.

Oggi si tratta invece di una cosa più seria e decisamente più pericolosa, se rapportata al fatto che molti di noi utilizzano oggi l’indirizzo di GMail come email primario e di contatto per molti servizi. Prima di alzare i toni è comunque opportuno che dica che mi riferisco ad un bug di sicurezza patchato (corretto) già da almeno un anno.

Ma tocca fare un po’ di ricostruzione, almeno un anno, appunto, di tempo!

Verso fine Settembre 2007 GNUCitizen prima descrive sommariamente una pericolosa vulnerabilità nel meccanismo di autenticazione di GMail, e poi – dopo la comunicazione da parte di Google che affermava di aver fixato il bug – la documenta con il cosiddetto proof of concept. La tecnica usata prevede sostanzialmente che l’hacker riesca ad “impostare” dei filtri che possono forwardare la posta ricevuta presso un indirizzo di suo gradimento. Oltre a esporre messaggi privati, questa tecnica può essere resa arbitrariamente distruttiva in quegli scenari in cui l’utente abbia utilizzato la casella di GMail come – ad esempio – mail di contatto per la registrazione di domini.

Pochi giorni dopo – il primo Ottobre dello stesso Anno – ZDNet pubblica un post di Ryan Naraine, un security evangelist di Kaspersky Lab, che spiega l’opportunità per tutti gli utenti di andare a controllare i propri “filtri”. La patch infatti elimina la vulnerabilità che permette all’hacker di impostarli, ma non bonifica quelli già impostati.

Negli ultimi 12 mesi (secondo questo articolo su RWW) almeno due domini di una certa rilevanza sono stati rapiti con questa tecnica, ed il secondo molto di recente!

Suggerimenti (presi direttamente da chi ha vissuto questa brutta esperienza):

  • Verificate i vostri filtri e disabilitate l’IMAP;
  • Non utilizzate la posta di GMail come casella di contatto per registrazioni “sensibili”;
  • Come sempre, non aprite i link nelle email, a meno che non siate certi di conoscere il mittente o l’origine.

Spam dal Proprio Indirizzo nella Casella GMail

Ho l’abitudine di controllare periodicamente la casella spam di Gmail. Credo che l’unico valido motivo per fare ciò sia legato ad una fiducia non proprio totale nei confronti del filtro. Ho in sostanza paura che il filtro possa essere troppo severo e generare quindi dei falsi positivi.

Per questo motivo controllo periodicamente ciò che viene archiviato come spam e naturalmente svuoto tutto (per rendere meno oneroso il successivo controllo).

Bene, devo dire che il filtro funziona a dovere. Finora solo un messaggio etichettato spam per errore. E in questi giorni mi ha anche stupito positivamente, riuscendo ad intercettare dei messaggi di spam anche se l’indirizzo del mittente era…uh…il mio!!!

[Attenzione: in fondo al messaggio un update, la sicurezza del vostro account Gmail è con tutta probabilità salva.]

Gmail Spam Box
Gmail Spam Box

La prima volta che è successo, qualche giorno fa, ho archiviato la cosa come un baco in qualche mass-mailer che avesse, ahimè, anche il mio indirizzo. Poi sono andato a guardare gli header del messaggio. In Gmail potete vederli facendo click sulla freccina accanto a reply, e scegliendo fra le opzioni “Show original”. E negli header ho visto cose brutte:

Delivered-To: mioindirizzo@gmail.com
Received: by 10.142.104.12 with SMTP id b12cs7943wfc;
        Tue, 11 Nov 2008 12:15:52 -0800 (PST)
Received: by 10.210.66.13 with SMTP id o13mr9588525eba.74.1226434551118;
        Tue, 11 Nov 2008 12:15:51 -0800 (PST)
Return-Path: <mioindirizzo@gmail.com>
Received: from m85-94-175-97.andorpac.ad (m85-94-175-97.andorpac.ad [85.94.175.97])
        by mx.google.com with ESMTP id g9si9762451gvc.0.2008.11.11.12.15.46;
        Tue, 11 Nov 2008 12:15:51 -0800 (PST)
Received-SPF: neutral (google.com: 85.94.175.97 is neither permitted nor denied 
by domain of mioindirizzo@gmail.com) client-ip=85.94.175.97;
Authentication-Results: mx.google.com; spf=neutral (google.com: 85.94.175.97 is neither 
permitted nor denied by domain of mioindirizzo@gmail.com) smtp.mail=mioindirizzo@gmail.com
Date: Tue, 11 Nov 2008 12:15:51 -0800 (PST)
Message-Id: <4919e7f7.096c100a.3153.3259SMTPIN_ADDED@mx.google.com>
To: <mioindirizzo@gmail.com>
Subject: Barak and McCain's conssultants
From: <mioindirizzo@gmail.com>
MIME-Version: 1.0
Importance: High
Content-Type: text/html
Segue in testo del messaggio...

No ho particolare confidenza con in protocollo in questione, ma confrontando gli header con quelli di un messaggio legittimo la somiglianza è preoccupante. Purtroppo i pochi post(al momento) presenti nei relativi gruppi google non sono assolutamente d’aiuto.
I consigli che al momento posso dare sono abbastanza basilari:

[Attenzione: in fondo al messaggio un update, la sicurezza del vostro account Gmail è con tutta probabilità salva.]

  • cambiate password;
  • cambiate domanda segreta;
  • verificate o cancellate eventuali “account secondari” a cui avevate concesso l’accesso. Non mi riferisco agli account secondari di posta, me agli altri indirizzi che usate (se ne usate) per autenticarvi con i servizi di Google;
  • monitorate il fenomeno.

Conoscendo i personaggi in questione e l’attenzione verso questo prodotto, se la cosa dovesse diffondersi probabilmente ci metteranno una pezza.

Non mi fermo con le analisi. Spero di scoprire che si tratta di una banale configurazione di un client che si spaccia per un altro, nel qual caso (forse) c’è meno da preoccuparsi, ma vi invito comunque a verificare le vostre caselle spam. Chiaramente la preoccupazione più grande è che lo stesso messaggio possa essere mandato alla propria rubrica, ma al momento nessuno dei miei contatti ha riportato manifestazioni del genere. Uno di loro mi ha invece confermato di avere lo stesso problema dei messaggi auto-inviati.

Disclaimer: l’apertura di un messaggio di posta, specie dentro un browser con javascript abilitato, può causare l’esecuzione di codice maligno. Se non vi fidate dei messaggi che avete in spam e volete cancellarli senza correte rischi, eliminateli direttamente (“Delete all spam messages now”) senza aprirli.

UPDATE: Dopo pochi scambi di battute su FF (grazie a chi ha contributo alla discussione colmando la mia ignoranza), forse la cosa si può archiviare come un semplice tentativo di Socal Engineering tarato proprio su Gmail, e sulla sua funzionalità che associa l’etichetta “me” (come mittente) al proprio indirizzo di posta elettronica. Questo vuol dire che la sicurezza del vostro accont è con tutta probabilità inviolata (cioè la presenza di tali email non è un indice di effrazione).

Ho provatto a connettermi ad un smtp del provider (quindi non google) e inserendo a mano (tecnicamente spoofando) il campo “from” sono riuscito a riprodurre un messaggio per il 90% simile a quello che ho segnalato (ma mai identico negli header).

Il tentativo di autenticazione che Google cerca di fare tramite Sender Policy Framework non da un risultato significativo, ed è probabile che il filtro antispam tenga conto anche di questo.

Malware per Facebook

Primo malware per Facebook, almeno il primo che mi colpisca direttamente. per fortuna senza conseguenze.

Arriva con l’identità di un amico. La fortuna è che si tratta in realtà di un ex collega di lavoro. Fortuna, nel senso che storco subito il naso quando Filippo (lo chiameremo così per comodità) mi scrive di aver trovato un video che mi ritrae su YouTube:

Filippo sent you a message.

Subject: i fonud coool vvideo wtih you on youtubee.

“W O W
http://www.facebook.com/l.php?u=http://cc.msnscache.com%2Fcache.aspx
%3Fd%3D74245521488477%26watch%3D3194 – ea9baabb825ea0eb99ea4f95b91d”

Chrome segnala che la pagina linkata (passando prima tramite il redirect di FaceBook) contiene malware del tipo youtube-spy.info.

Attenzione ad arpire i link nelle email!
Attenzione ad aprire i link nelle email!

A parte cestinare immediatamente la mail, ora mi tocca scoprire se l’account del mio amico è compromesso, o se uno spambot abbastanza intelligente può mandare in giro sta roba senza bisogno delle credenziali del mittente. Stay tuned.

UPDATE: mi segnala Flavio che il virus si manifesta anche come link sul wall, e non sono come messaggio.

Technorati Tags: ,

Tentativo di Phishing per Utenti AdWords

Ad un conoscente è appena arrivata questa email, tutto sommato abbastanza ben fatta, e che a maggior ragione rappresenta un pericolo per il quasi ignaro utente.

Da: Google-AdWords [mailto:support-adwords@google.com]
Inviato: giovedì 9 ottobre 2008 15.51
A: ….
Oggetto: Submit your payment information.

——————————————————————————–

This message was sent from a notification-only email address that does
not accept incoming email. Please do not reply to this message. If you
have any questions, please visit the Google AdWords Help Centre at
https://adwords.google.com/support/?hl=en_GB
the page.
————————————————————————–

Hello,

Our attempt to charge your credit card for your
outstanding Google AdWords account balance was declined.
Your account is still open. However, your ads have been suspended. Once
we are able to charge your card and receive payment for your account
balance, we will re-activate your ads.

Please update your billing information, even if you plan to use the
same credit card. This will trigger our billing system to try charging
your card again. You do not need to contact us to reactivate your
account.

To update your primary payment information, please follow these steps:

1. Log in to your account at http://adwords.google.com/select (ndr: ho tolto il link, che era: http://www.adwords.google.com.agdopt.cn/select/Login)
2. Enter your primary payment information.
3. Click ‘Update’ when you have finished.

In the future, you may wish to use a backup credit card in order to
help ensure continuous delivery of your ads. You can add a backup
credit card by visiting your Billing Preferences page or visit the
AdWords Help Centre for more details:
Sincerely,

The Google AdWords Team

Thank you for advertising with Google AdWords. We look forward to
providing you with the most effective advertising available.

———————————————

Semplicemente evitate di cliccare sopra quel link camuffato (come dovreste fare praticamente in ogni caso!) e cestinate la mail. Sempre, sempre, sempre guardare l’indirizzo nascosto dietro il link.