Archives For Sicurezza

Nuovo caso di phishing arrivato prepotentemente su 5 delle mie caselle di posta elettronica (ne uso 11 in totale). Ancora una volta si parla di banche, furto di credenziali e aggiornamento / conferma dati per la propria “sicurezza“.

Protagonista di questa vicenda è CartaSi. Quando arriva una mail da un qualsiasi istituto bancario occorrerebbe farsi qualche domanda prima di procedere, così da evitare potenziali errori di distrazione e grane al tecnico che dovrà sopportare le vostre lamentele per cambiare le credenziali che “qualche cattivone vi ha rubato a causa del vostro stupido PC“:

  • Sono cliente di quell’istituto? (al 90% non lo sarete)
  • L’italiano è corretto ortograficamente e sintatticamente?
  • Mi chiedono di confermare mie credenziali di accesso? (99,9% delle volte)

Le risposte potrebbero essere molteplici ma hanno un punto in comune: le banche (così come le Poste Italiane colpite poco tempo fa) non richiederanno mai e poi mai credenziali di accesso ai servizi web utilizzando una semplice mail. Manderanno, solo se necessario per l’effettiva sicurezza del cliente, comunicazione scritta a mezzo posta ordinaria. Analizzo quindi l’attacco verso CartaSi arrivato due giorni fa.

Questo l’oggetto della mail:

Gentile Cliente,
Una nuova gamma completa di servizi online è adesso disponibile !
Per poter usufruire dei nuovi servizi online di CartaSi.it occorre prima diventare UTENTE VERIFICATO.
Accedi ai servizi online di Cartasi.it e diventa UTENTE VERIFICATO »
Cordiali Saluti

Il reale dominio di partenza è ccex.net, azienda (a dire della loro home page) “esperta in soluzioni tecnologiche di rete” forse non troppo attenta alle falle presenti nel proprio webserver:

Return-Path: <ftpuser@ccex.net>
X-Original-To: gioxx@extenzilla.org
Delivered-To: m5924512@spunkymail-mx2.g.dreamhost.com
Received: from ccex.net (ccex.net [66.104.28.10])
by spunkymail-mx2.g.dreamhost.com (Postfix) with ESMTP id D8E37720C5
for <gioxx@extenzilla.org>; Sun, 25 Nov 2007 18:32:04 -0800 (PST)
Received: from ccex.net (ftpuser@localhost [127.0.0.1])
by ccex.net (8.12.10/8.12.10) with ESMTP id lAQ2W0mB000378
for <gioxx@extenzilla.org>; Sun, 25 Nov 2007 21:32:00 -0500
Received: (from ftpuser@localhost)
by ccex.net (8.12.10/8.12.10/Submit) id lAQ2W0kf000377
for gioxx@extenzilla.org; Sun, 25 Nov 2007 21:32:00 -0500
Date: Sun, 25 Nov 2007 21:32:00 -0500
To: gioxx@extenzilla.org
Subject: FPA NOTICE: verificare l'autenticità delle informazioni personali fornite
Message-ID: <1196044320.13529.qmail@init.cartasi.it>
From: "servizio@cartasi.it" <servizio@cartasi.it>

Nel testo ho trovato due collegamenti che –a distanza di 72 ore dal massiccio spam– portano ad un’area vuota di un sito tedesco (avranno scoperto l’inghippo). Qualche informazione sul sito web:

Domain name: wtnet.net
Registrant Contact:
NA
The data in Bulkregister.com's WHOIS database is p (NA)
+1.11
Fax:
Bulkregister.com for information purposes only, that is, to
obtaining information about or related to a domain name regi
does not guarantee its ac,
Administrative Contact:
Denit Internet Services bv
Hostmaster Denit (support@denit.net)
+31.203371801
Fax: +31.203371802
Contactweg 131
Amsterdam, Nederland 1014 BJ
Amsterdam, 1014
NL
Technical Contact:
Denit Internet Services bv
Hostmaster Denit (support@denit.net)
+31.203371801
Fax: +31.203371802
Contactweg 131
Amsterdam, Nederland 1014 BJ
Amsterdam, 1014
NL
Status: Locked
Name Servers:
dns1.name-services.com
dns2.name-services.com
dns3.name-services.com
dns4.name-services.com
dns5.name-services.com
Creation date: 30 Oct 2001 11:26:24
Expiration date: 30 Oct 2007 11:26:24

Chiaramente, così come successe per l’attacco a Poste Italiane, il reale proprietario del dominio sarà stato colto a sua insaputa da questa sgradita sorpresa che ha potuto eliminare così da evitare altre possibili vittime alle prime armi con questa tecnica di furto telematica :)

Come sempre: attenzione!

Kyberworks Kiara

Gioxx  —  15/11/2007 — 11 Comments

Kiara non è il nome della ragazza conosciuta ieri sera alla cena lunga di Giovy (della quale parlerò presto) ma di un nuovo web-software realizzato da Kyberworks, una piccola società di Milano che mi ha fatto conoscere Zeno.

Nonostante abbia perso –per cause di forza maggiore– la presentazione ufficiale venerdì scorso, ho potuto apprezzare in differita il video introduttivo disponibile su YouTube.

Analizziamo i fatti. Kiara è un software che non necessita di installazione sul proprio computer e che è in grado di gestire la contabilità di un lavoratore, sia esso libero professionista (di certo consigliato) o dipendente come il sottoscritto (che sporadicamente fa consulenza registrando & dichiarando il tutto con codice fiscale). Basta avere un client non necessariamente “all’ultimo grido” ed una buona connessione internet (l’ADSL di casa andrà benissimo).

Ho provato a registrare un account personale “Base” (gratuito fino al 31 dicembre 2007 per tutti) e gironzolare tra le proposte offerte dall’azienda:


clicca per ingrandire

Le opzioni sono già parecchie (calcolando che si tratta di un prodotto nato da poco) e continuano ad aumentare con il passare del tempo (e grazie anche ai suggerimenti degli utilizzatori). Bando alle ciance, si passi al test su strada! :)

Il mio test: Pro & Contro

Pro

  • appena nato conta già svariate opzioni particolarmente utili e perfettamente funzionanti (come già detto in precedenza).
  • tecnologia “2.0“: massima interazione tra prodotto e utente con tempi di attesa ridotti al minimo. Una manna dal cielo anche per computer datati non in grado di elaborare velocemente i dati inseriti ma correttamente connessi ad internet.
  • eliminazione di programmi in locale di terze parti. Tutto ciò che serve viene messo a disposizione da Kiara. Ipoteticamente si può evitare la spesa di suite office e altri applicativi contabili (salvo particolari esigenze).
  • suggerimenti su ogni campo dei documenti che si stanno compilando. L’utente sarà sempre informato su cosa sta digitando, che tipo di dato l’applicativo sta richiedendo. Chiaramente l’opzione è disattivabile (pensata per i più esperti).
  • comunicazione immediata con il commercialista. Una opzione dell’applicativo prevede l’invio automatico dei nostri documenti al commercialista previo inserimento dei dati di quest’ultimo da pannello preferenze.
  • servizio di supporto via forum. Encomiabile se si pensa al fatto che il forum è il mezzo più veloce e pubblico per poter archiviare le soluzioni ai problemi più comuni. Immagino che con l’avvento dell’account Top (gen.2008) verranno introdotti ulteriori sistemi di assistenza immediata.

Contro

  • un normale dipendente (il mio caso) sfrutta poco lo strumento. Come ho già detto si tratta di un prodotto molto valido sotto tutti i punti di vista ma è chiaro che si sta parlando di un software rivolto al libero professionista.
  • poche informazioni sulla sicurezza del database utente (contenente nomi, riferimenti e qualsiasi altro dato legato ai propri clienti), ne parlo nel prossimo paragrafo e nelle conclusioni dell’articolo.

La lista è chiaramente incompleta. Impossibile scovare tutti i vantaggi e gli svantaggi del software in circa 30 minuti di test sapendo poi che il team lavora alacremente per continuare ad ampliarne le funzionalità. Certo si può fare affidamento al tour guidato ma non è la stessa cosa. Se volete segnalare altre voci non esitate a lasciare un commento :)

Se necessario a questo indirizzo trovate una serie di domande/risposte frequenti.

Sicurezza?

Dal sito ufficiale si apprende:

I tuoi dati sono conservati in un cluster di macchine ridondante e protetto da un firewall che blocca tutti gli accessi eccetto quelli consentiti per poter fornire il servizio. Inoltre il personale di kyberworks si collega ai server per la manutenzione utilizzando esclusivamente connessioni cifrate e certificati digitali.

I server sono tenuti sotto costante monitoraggio usando un insieme di software standard e programmi custom che permettono di avere sotto controllo in ogni momento lo stato di salute delle macchine e dei servizi.

Il database è sottoposto a backup regolari (in file cifrati con un meccanismo di chiave pubblica-privata).

Tutte le comunicazioni tra il tuo browser ed il servizio Kiara passano attraverso un canale sicuro SSL cifrato con un certificato digitale che permette una estrema sicurezza di trasmissione (nessuno puù intercettare i dati che trasmetti o ricevi da Kiara)

Chiederei ai ragazzi di Kyberworks un ulteriore approfondimento tecnico se possibile (regolare quanto? sullo stesso server o in una macchina di appoggio? quanti dischi ci sono a disposizione? ecc.ecc.ecc.), da queste parti si adorano i tecnicismi da nerd brutti e rozzi. Liberi di mandarmi una mail, di lasciare il tutto nei commenti o ignorarmi! :)

Nel frattempo espongo volentieri lo screen preso dal mio Firefox riguardo il certificato di protezione sessione:

Certificatore: GoDaddy.com

Voglia di rivolgersi ai blogger

I ragazzi di Kyberworks hanno pensato anche a noi blogger. A chi possiede un diario virtuale viene dedicato un account Skype (callto://kyberworks/) e una mailbox (mailto:bloggers@kyberworks.com) per fugare qualsiasi dubbio in merito al loro lavoro. Non sono canali di supporto ufficiali, non usateli come tali. Si tratta di una feature in più offerta a chi –come me– decide di dedicare un post al progetto (così da poter essere il più preciso possibile) e avere a che fare con chi “lavora dietro le quinte“.

Vuoi fare una prova su strada?

Sei un libero professionista curioso e ti va di provare le funzionalità offerte da Kiara? Accomodati. Le possibilità sono due:

  • Ci si può appoggiare ad un utente “Demo” che permette di esplorare il software e di conoscere / provare tutte le funzionalità senza iscriversi.
  • Ci si può registrare gratuitamente (account base) fino al 31 dicembre 2007 (per tutti gli utenti), senza contare che il sottoscritto ha a disposizione 5 inviti per l’account Top, una offerta che partirà da Gennaio 2008 (valida poi per tutto l’anno).

Tra un mese e mezzo (circa) mi travestirò da befana (devo solo mettere la parrucca bianca e sono a posto) e porterò i 5 doni ai meritevoli che ne faranno richiesta (scriverò un nuovo post promemoria, non preoccupatevi).

In conclusione

E’ giusto elogiare il lavoro del gruppo Kyberworks. Sono riusciti a lanciare un prodotto certamente competitivo con una buona base che –se tenuta opportunamente sotto test e sviluppo– è destinata a migliorare sempre più, proprio come il buon vino. Concludo con una piccolissima osservazione. Leggendo nel forum ho notato una domanda che avrei rivolto anche io allo staff se mi fossi trovato al posto dell’utente toolsandsystems:

L’unica perplessità è il database che risiede presso di voi, ovvero mettere tutti i miei contatti di lavoro accumulati in anni “fuori dal mio ufficio”. Che sistemi di sicurezza adottate?

La sicurezza è un parametro fondamentale soprattutto quando si parla di dati sensibili. Non è ancora stata data risposta. A quando il “lieto evento“? :)

Tanti l’aspettavano e finalmente sono riuscito a completarla. I possessori di AdBlock Plus che hanno sottoscritto i filtri appartenenti al progetto X-Files dovrebbero poter notare già da oggi un major-update della lista nera contro lo spam sul web. X-Files è stato aggiornato alla versione 251007 contenente 820 voci in totale, circa 100 nuove (rispetto alla versione precedente).

Aggiornamento automatico:

Se AdBlock Plus è impostato per cercare automaticamente gli aggiornamenti delle sottoscrizioni, l’ultima data di sincronizzazione dovrebbe corrispondere a ieri:

Nel caso in cui questo non sia accaduto o avete deciso di fare tutto “a mano“, proseguite con la lettura del paragrafo “Aggiornamento manuale“.

Aggiornamento manuale

Ieri, per testare la validità della nuova release, ho fatto un update manuale. Per ripetere l’operazione bastano due semplici mosse:

  • Dal pulsante di AdBlock presente nella toolbar di Firefox cliccare sulla freccia opzioni e selezionare “Impostazioni“;
  • Fare clic destro sulla sottoscrizione X-Files e selezionare la voce “Aggiorna la sottoscrizione ora

Il risultato dovrebbe corrispondere al seguente:

Chi aggiorna manualmente oggi vedrà chiaramente comparire il 26.10.2007 come ultima data di sincronizzazione.

Per qualsiasi problema l’area commenti è a vostra disposizione. Sul gruppo it-GxWare di Google ho aperto una discussione dove potrete segnalare eventuali altre voci da integrare nella prossima versione X-Files!

Buon update :)

Poco prima di cena il cellulare mi avverte della ricezione di un messaggio. Vado a dare una occhiata e mi ritrovo il seguente testo:

Mittente: -SMS-

Testo: Ti ho cercato alle 8.00 del 26/09/2007, è urgente, chiama da fisso al 899030641, info e costi susegreteria.biz

Mittente chiaramente inesistente in rubrica e messaggio davvero notevole. E’ uguale identico ad un qualsiasi altro messaggio mandato da TIM o Vodafone (non so come li componga la 3 e la Wind non avendoli come gestori di telefonia mobile) nel caso in cui si perda una telefonata per cellulare occupato o non raggiungibile.

I gentili signori di susegreteria.biz confezionano un messaggio ben realizzato e senza errori ortografici per indurre l’utente finale a comporre il numero a tariffazione maggiorata cascando nella loro trappola.

Inutile dire che IL MESSAGGIO VA IMMEDIATAMENTE CANCELLATO E NON SI DOVRA’ CHIAMARE QUEL NUMERO!

Ovviamente sono andato a fare visita al sito citato nel messaggio. Indovinate un pò, nessuna pagina riporta la tariffazione applicata al numero telefonico da chiamare per sapere chi ti ha cercato con urgenza. In compenso ci si trova di fronte ad un “luogo” di incontri che rilascia le sue password proprio da quel numero 899. La pagina dei contatti non riporta alcun dettaglio della società e permette di compilare un form che genererà automaticamente una mail che sarà poi inviata ai responsabili della truffa.

Qualche informazione sul dominio:

Domain Name:                                 SUSEGRETERIA.BIZ
Domain ID:                                   D18446245-BIZ
Sponsoring Registrar:                        DIRECT INFORMATION PVT LTD DBA PUBLICDOMAINREGISTRY.COM
Sponsoring Registrar IANA ID:                303
Domain Status:                               ok
Registrant ID:                               PP-SP-001
Registrant Name:                             Domain Admin
Registrant Organization:                     PrivacyProtect.org
Registrant Address1:                         P.O. Box 65
Registrant Address2:                         All Postal Mails Rejected, visit Privacyprotect.org
Registrant City:                             Monster
Registrant Postal Code:                      2680 AB
Registrant Country:                          Netherlands
Registrant Country Code:                     NL
Registrant Phone Number:                     +45.36946676
Registrant Email:                            *******@privacyprotect.org
Administrative Contact ID:                   PP-SP-001
Administrative Contact Name:                 Domain Admin
Administrative Contact Organization:         PrivacyProtect.org
Administrative Contact Address1:             P.O. Box 65
Administrative Contact Address2:             All Postal Mails Rejected, visit Privacyprotect.org
Administrative Contact City:                 Monster
Administrative Contact Postal Code:          2680 AB
Administrative Contact Country:              Netherlands
Administrative Contact Country Code:         NL
Administrative Contact Phone Number:         +45.36946676
Administrative Contact Email:                *******@privacyprotect.org
Billing Contact ID:                          PP-SP-001
Billing Contact Name:                        Domain Admin
Billing Contact Organization:                PrivacyProtect.org
Billing Contact Address1:                    P.O. Box 65
Billing Contact Address2:                    All Postal Mails Rejected, visit Privacyprotect.org
Billing Contact City:                        Monster
Billing Contact Postal Code:                 2680 AB
Billing Contact Country:                     Netherlands
Billing Contact Country Code:                NL
Billing Contact Phone Number:                +45.36946676
Billing Contact Email:                       *******@privacyprotect.org
Technical Contact ID:                        PP-SP-001
Technical Contact Name:                      Domain Admin
Technical Contact Organization:              PrivacyProtect.org
Technical Contact Address1:                  P.O. Box 65
Technical Contact Address2:                  All Postal Mails Rejected, visit Privacyprotect.org
Technical Contact City:                      Monster
Technical Contact Postal Code:               2680 AB
Technical Contact Country:                   Netherlands
Technical Contact Country Code:              NL
Technical Contact Phone Number:              +45.36946676
Technical Contact Email:                     *******@privacyprotect.org
Name Server:                                 NS.LATUASEGRETERIA.BIZ
Name Server:                                 NS2.LATUASEGRETERIA.BIZ
Created by Registrar:                        DIRECT INFORMATION PVT LTD DBA PUBLICDOMAINREGISTRY.COM
Last Updated by Registrar:                   DIRECT INFORMATION PVT LTD DBA PUBLICDOMAINREGISTRY.COM
Domain Registration Date:                    Mon Jun 04 15:00:17 GMT 2007
Domain Expiration Date:                      Tue Jun 03 23:59:59 GMT 2008
Domain Last Updated Date:                    Sat Aug 04 02:59:43 GMT 2007

Il sito ha circa tre mesi di vita e la stringa che dovrebbe riportare l’indirizzo (di casa / ufficio) del proprietario è sostituita da privacyprotect.org, noto servizio di protezione dati in fase di registrazione dominio.

Una sola raccomandazione: state sempre attenti!

Quando si ricevono questi avvisi dal proprio server che tenta di collegarsi ad un “suo collega” per manutenzione, scatta automatica la risata in stile “Cazzarola si fanno problemi pure tra di loro, mecojoni!“. Non è una casistica rara. Il problema delle licenze terminal in scadenza su macchine 2000/XP è come il 3×2 al supermercato, compare ogni volta che può.

Per scongiurare il blocco di collegamento verso la macchina destinazione si fa una semplice operazione da regedit. La procedura da effettuare sulla macchina sorgente è quindi la seguente:

  • Start / Esegui / Regedit
  • Navigare fino alla chiave HKEY_LOCAL_MACHINE\Software\Microsoft\MSLicensing
  • Effettuare un backup della chiave principale (File / Esporta / Deve essere selezionata “Intervallo di esportazione / Selezione”)
  • Cancellare l’intero ramo (sempre MSLicensing per capirci)
  • Provare a riconnettersi alla macchina destinazione e controllare che non dia più il problema.

Se dovesse sorgere qualche problema al successivo riavvio della macchina, potrete ripristinare la chiave cancellata semplicemente cliccando due volte sul file salvato in precedenza:

Confermando a video l’aggiunta delle informazioni contenute nel file *.reg all’interno del registro di Windows. Di regola non dovrebbe accadere nulla in quanto il sistema ricrea la chiave al successivo collegamento terminal.

Per qualsiasi problema l’area commenti è a disposizione :D