8000 al mese…

… sono i tentativi di inserire dei commenti di spam che pubblicizzano di tutto, dal porno ai casinò online, fino al software, alle assicurazioni, alle suonerie per cellulari (queste ultime ormai sono la maggioranza e hanno ampiamente superato il porno).

Mediamente circa 266 al giorno, 11 ogni ora, uno ogni 5.4 minuti. Non si può vivere…

Tecnicamente, questa invasione di spam è dovuta al tentativo di inquinare i calcoli di Google sul page rank che determinano l’ordine di comparsa di una pagina nelle ricerche. Più alto è il page rank, più alta è la posizione della pagina nei risultati di una ricerca.

Il page rank è determinato dal numero dei siti che linkano quella pagina ed è indipendente dal contenuto, da cui questo flusso incontrollabile di spam.

Pubblicato in Web | Contrassegnato

Spam

Anche oggi, come tutti i giorni, ho eliminato il solito centinaio di commenti spam, bloccati preventivamente dal sistema, che segnalano siti porno, casino online, vendite di farmaci online (ormai la maggioranza), varie ed eventuali.
Fra queste ultime spicca il seguente messaggio che pubblicizza un sito di cartoline di natale (sì, cartoline di natale adesso) con il seguente comunicato

Saluti..
voi fatto originale atmosfera 🙂
Qualcuno qui era desideri a generi:
La cartoline virtuali traduzioni prese inizia trovi cartolina amore estero del nel potrai dichiarare postali messaggi! Alcuni luoghi cartoline auguri una piccola tassa per trasmettere
Cartoline compleanno di online animali mil di pesci e feste la cuore. Mmm.. Noi desideri elimini positivo soddisfare dove presenti, ho trovato il here [link] – frasi ti . Biglietti auguri saresti la melodia di tua natale!
Puo essere cercato alcuni :-/

Se fossi quello che ha pagato lo spammer gli chiederei i soldi indietro.

Stop all that spam!

Negli ultimi giorni ho scritto a 3 amministratori di rete chiedendo che bloccassero l’attività spammatoria di altrettanti individui che insistevano ad inserire nel blog commenti fittizi aventi l’unico scopo di pubblicizzare casinò online, pillole per dimagrire e sistemi per ingrandire il coso (voi non li vedete perché i commenti contenenti certe parole vengono sospesi e sottoposti alla mia approvazione).
Ho allegato i messaggi e i log che provavano la loro attività e lo spam da questi ip è cessato nel giro di 2 giorni (anche nel caso di una rete coreana che non avrei giurato che mi ascoltasse).
Questo conferma che ormai gli amministratori di rete si sono resi conto che lo spam è una rogna anche per loro perché ha raggiunto dimensioni tali da tradursi in un sensibile spreco di banda che i la loro società paga. Inoltre la loro rete corre il rischio di finire su una lista nera (blacklist) che fa sì che i più noti provider non accettino più la loro posta, quindi prendono provvedimenti.
Perciò, quando ricevete email non richieste, oltre ad attivare misure bloccanti, se avete tempo e voglia, protestate! È il modo più sicuro per ottenere risultati. Più gente lo fa, meno spam gira.
Non rispondete allo spammer. Di solito l’indirizzo di ritorno è falso e quando non lo è, o appartiene a un utente ignaro oppure, se è una casella controllata dallo spammer, serve solo a dare al vostro indirizzo email un grande valore, perché la risposta costituisce una conferma che un umano ha letto la mail.

Si fa così:
per prima cosa bisogna identificare il luogo di partenza e per fare questo occorre visualizzare gli header del messaggio, cioè le intestazioni che i vari computer per cui il messaggio passa aggiungono in testa. Per esempio, prendiamo questa email, che voi vedete così:

From: Braelyn Ewing < chana @k3btg.com>
Reply-To: Braelyn Ewing < chana @k3btg.com>
To: Egon Macmillan < xx@pippo.org>
Subject: Re: your coupo
Date: Fri, 26 Jan 2007 10:00:25 +0100

Hi
Viag_gra $3. 30
Ambi_ien $2. 90
Vali_ium $1. 25
CiaI_lis $3. 75
Xan_nax $1. 50

Ora, se chiedete al vostro programma di email di mostrare gli header (il comando è una voce di menu come: “mostra messaggio completo”, “mostra header”, “mostra intestazioni” o simile), esce, per esempio, questo

Return-Path: < chana @k3btg.com>
Received: from pippo.org [217.131.171.142] by host.linux with POP3
(fetchmail-6.3.4) for < pippo1@localhost> (single-drop); Wed, 27 Dec 2006
16:33:39 +0100 (CET)
Received: from k3btg.com (i53871784.versanet.de [83.135.23.132]) by
pippo.org (8.11.6/8.11.6) with SMTP id kBR8wRv31793 for
< xx@pippo.org>; Wed, 27 Dec 2006 01:58:29 -0700
Message-ID: <01c74128$6ad6d570$84178753@EVALUATION1>
Reply-To: “Braelyn Ewing” < chana @k3btg.com>
From: “Braelyn Ewing” < chana @k3btg.com>
To: “Egon Macmillan” < xx@pippo.org>
Subject: Re: your coupo
Date: Fri, 26 Jan 2007 10:00:25 +0100
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary=”—-=_NextPart_000_02C7_01C7412F.7F7411D0″
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-UIDL: PjQ!!OR~”!n$’!!nmj!!

This is a multi-part message in MIME format.

——=_NextPart_000_02C7_01C7412F.7F7411D0
Content-Type: text/plain; charset=”Windows-1252″
Content-Transfer-Encoding: quoted-printable

Hi
Viag_gra $3. 30
Ambi_ien $2. 90
Vali_ium $1. 25
CiaI_lis $3. 75
Xan_nax $1. 50

In mezzo a questa roba, l’unica cosa importante sono le linee che iniziano con “Received”: ogni linea rappresenta un computer attraverso il quale questo messaggio è passato. Ce ne possono essere molte.
NB: tutto il resto non ha alcun senso perché può essere falsificato. Per questo spesso vi arriva della posta che non sembra essere diretta a voi.

Received: from pippo.org [217.131.171.142] by host.linux with POP3
(fetchmail-6.3.4) for < pippo1@localhost> (single-drop); Wed, 27 Dec 2006
16:33:39 +0100 (CET)
Received: from k3btg.com (i53871784.versanet.de [83.135.23.132]) by
pippo.org (8.11.6/8.11.6) with SMTP id kBR8wRv31793 for
< xx@pippo.org>; Wed, 27 Dec 2006 01:58:29 -0700

e fra queste, quella originaria è l’ultima (quella più in basso; ogni computer aggiunge la sua linea sopra alle precedenti)

Received: from k3btg.com (i53871784.versanet.de [83.135.23.132]) by
pippo.org (8.11.6/8.11.6) with SMTP id kBR8wRv31793 for
< xx@pippo.org>; Wed, 27 Dec 2006 01:58:29 -0700

Questa linea dice che il primo passo del messaggio è stato andare da k3btg.com (i53871784.versanet.de [83.135.23.132]) a pippo.org in data 27 Dec 2006 01:58:29 -0700.
k3btg.com (i53871784.versanet.de [83.135.23.132]), quindi, è la macchina di partenza, verosimilmente l’ip dello spammer oppure quello di un computer utilizzato fraudolentemente per questo fine.
A questo punto basta scrivere all’amministratore della rete di cui fa parte il computer identificato in quel momento dall’ip 83.135.23.132 e segnalare il problema.
Per sapere chi è basta cercare un sito che faccia whois in internet oppure dare il comando whois numero su un terminale.

83.135.23.132 = [ i53871784.versanet.de ]

 

e cliccando sul nome [ i53871784.versanet.de ] vi mostra una serie di dati fra cui appare

remarks: abuse reports please to: abuse@versatel.de
oppure
abuse-mailbox: abuse@versatel.de

Questo è l’indirizzo a cui bisogna scrivere inviando il messaggio spammatorio completo con tutti gli header di cui sopra, compresa la data e l’ora. Solo così l’amministratore di rete potrà risalire al computer incriminato.
Io di solito aggiungo anche qualche frase di circostanza, tipo

Hi
here is a spam message apparently originating from your network.
Thank you vm for your interest.
Regards

Header & text follow
…header e testo completi…

Adesso mi direte che è una palla, però, credetemi, una vigorosa azione della comunità è l’unico modo di fermare lo spam.
Se volete approfondire l’argomento, andate qui.

Sei un zombie?

Guardando l’ennesimo tentativo di attacco virale via mail (si spera fermato dall’antivirus) o diretto a una porta del computer (e bloccato dal firewall), oppure trovandosi con la macchina bloccata e impestata fino ai capelli, molti di voi si saranno chiesti “ma perché? chi ci guadagna in tutto questo giro di virus?”

Questa, fra l’altro, è una delle domande che mi sento rivolgere con maggiore frequenza quando parlo di sistemi operativi e sicurezza nelle aule di formazione. In effetti, mentre tutti (o quasi) capiscono chiaramente dove stia il lucro nel vendere i numeri del lotto, è difficile per l’utente medio avere la percezione dei vantaggi che derivano dallo spargimento di virus.
Il fatto è che i virus attuali non sono più distruttivi come quelli di un tempo. L’epoca delle ca…te goliardiche è passata e la nuova logica è quella del profitto e della produttività. Come nella biosfera, il virus che uccide l’ospite può anche provocare una pandemia, ma è un fallimento perché nel contempo si suicida. Quello che, invece, non provoca particolari problemi all’ospite o magari riesce anche a cambiarlo un po’ in modo da costruire un ecosistema più favorevole alla propria specie è un successo.
Ma allora, cosa fanno i virus attuali? Molto semplice: il principale fine di un virus ben fatto è quello di trasformare il vostro computer in un zombie.
Dicesi zombie una macchina che, all’insaputa del proprietario

  • esegue un compito ben determinato (per esempio, invia una mail di spam a tutti gli indirizzi della rubrica), ma, ancora meglio
  • quando l’utente è collegato a internet, invia il suo indirizzo ip a un determinato sito o mailbox e apre una backdoor (porta di servizio) consentendone il controllo da remoto.

Soprattutto questo secondo caso è premiante perché consente al produttore del virus di usare tranquillamente il vostro computer da chissà dove per piccole attività tali da non rallentarlo in modo sensibile e ovviamente da non bloccarlo, altrimenti, prima o poi, voi ve ne accorgete e magari anche senza sapere il perché dei rallentamenti, reinstallate windows.
Il problema è che queste attività possono essere piccole, ma generalmente sono illegali e nei log del destinatario della spam o del sistema a cui è diretto l’attacco resta il vostro numero di ip.
Il secondo punto è che lo scopo dell’untore è di controllare un gran numero di macchine per farle lavorare tutte insieme. Una tale concentrazione di zombie è detta ‘botnet’ (rete di robot) e può essere usata, per esempio

  • per diffondere lo stesso messaggio di pubblicità non richiesta a 10.000.000 di utenti nel giro di qualche minuto;
  • per scatenare un attacco DDoS (Distributed Denial of Services) mandando milioni di richieste di pagina per secondo a un certo server e intasarlo al punto da impedirgli di rispondere agli utenti legittimi;
  • per diffondere materiale illegale di vario tipo;
  • per decodificare un file di password (rubato a qualche sistema) mediante tentativi casuali: un solo computer impiegherebbe un anno, ma 100.000 computers possono farcela in meno di 10 minuti;
  • infine, per una attività non necessariamente legata al controllo di una botnet, ma remunerativa soprattutto quando riesce molte volte: salvare in un file tutto ciò che digitate sulla tastiera mentre siete collegati (comprese le password del vostro account bancario) e inviarlo a un certo indirizzo.

Ovviamente, tutto questo a pagamento. L’ultimo arrestato per aver organizzato una siffatta rete (il botmaster) gestiva più di 500.000 zombie sparsi per tutto il mondo, per cui almeno 100.000 erano accesi contemporaneamente e aveva guadagnato più di $100.000 in un anno di ‘noleggio’ della propria botnet. Magari li fatturava anche. Consulenza di marketing.
Il bello è che il sistema per difendersi è piuttosto semplice: installare un buon sistema antivirus + firewall (ce ne sono anche di gratuiti) e tenerlo aggiornato, oppure usare Linux.