Secondo un articolo di IBM, sta sviluppandosi una nuova forma di attacco, simile al phishing ma più mirato.

Il phishing si basa sul mandare centinaia di migliaia di e-mail generici che simulano di provenire da una banca o da eBay o da altra organizzazione che gestisce soldi, nella speranza di trovare a casaccio qualche utente di quell’organizzazione che sia sufficientemente malaccorto da rispondere all’invito a fornire i propri codici segreti. La nuova forma di attacco, denominata spear phishing (letteralmente, “pesca con la fiocina” o “phishing con la fiocina”), è invece calibrata specificamente sulla vittima.

Lo spear phishing è in genere condotto dall’interno del sistema. Per esempio, un dipendente di una ditta (che conosce i dettagli personali degli altri dipendenti) manda a ciascuno dei propri colleghi un e-mail che si spaccia per una comunicazione interna, che ordina loro di cambiare password e di inviarla via e-mail all’indirizzo appositamente fornito. L’indirizzo, ovviamente, non è quello dell’amministratore della sicurezza, ma uno che gli somiglia, creato dal dipendente-aggressore.

Lo spear phishing consente di confezionare e-mail-trappola molto più convincenti. Nel phishing tradizionale, i messaggi iniziano con un vago “caro correntista” e simili. I messaggi di spear phishing, invece, indicano nome, cognome e altri dati personali dei loro bersagli. La reazione istintiva è di fidarsi di chi dimostra di sapere già tutte queste informazioni personali.

Per difendersi occorre, come sempre, cautela e un po’ di buon senso. Qualunque richiesta di dati personali e specialmente di codici d’accesso che ci arriva via e-mail va trattata con la massima diffidenza e verificata usando un canale di comunicazione alternativo: per esempio, una telefonata al responsabile aziendale della sicurezza o all’ente che apparentemente ha inviato il messaggio di richiesta.

L’Unione Europea ha pubblicato una ricerca-confronto sulle tariffe di roaming per i cellulari, ossia quanto si spende per ricevere o fare una chiamata col proprio telefonino quando si è all’estero.

Le disparità e più in generale l’esosità delle tariffe sono evidenti. Due-tre euro al minuto (sono quattro-seimila lire, ricordate!) sono la norma, ma c’è anche di peggio. Tanto vale farsi infettare da un dialer.

Considerato che i costi effettivi tecnici del roaming sono praticamente gli stessi di una telefonata cellulare normale, è chiaro che i margini di profitto sono esageratamente alti. Per questo l’UE sta indagando.

Per ora la pagina della ricerca è in inglese; le altre lingue verranno aggiunte a breve.

The Register segnala che Microsoft ha subìto una nuova sconfitta nella sua lotta contro un brevetto della Eolas (numero 5,838,906) che sarebbe violato da Internet Explorer e da molti altri browser. L’Ufficio Brevetti statunitense ha annunciato pochi giorni fa di aver riesaminato il brevetto Eolas e di averlo trovato valido.

Eolas è un’emanazione della University of California, che nel 1999 iniziò una causa contro Microsoft per questo brevetto. La causa si è conclusa nel 2003 con una sentenza clamorosa: Microsoft doveva pagare a Eolas un risarcimento di 520,6 milioni di dollari, più gli interessi. Il verdetto, confermato a gennaio 2004, è però soggetto a un ulteriore appello, che a marzo 2005 ha concesso a Microsoft di sospendere il pagamento.

L’argomentazione difensiva dell’appello di Microsoft è che la tecnologia descritta dal brevetto (che secondo Eolas copre plug-in, applet Java, scriptlet e controlli ActiveX) era già nota quando fu depositato il brevetto, che quindi sarebbe nullo. La dimostrazione di questa nullità sarebbe un browser antecedente, denominato Viola, ma a Microsoft non era stato consentito di presentarlo come prova, e questo sarebbe stato scorretto.

Il brevetto Eolas non è un problema soltanto per Microsoft, ma per moltissimi altri browser e per chiunque abbia un sito Web: infatti se confermato definitivamente, obbligherebbe a riscrivere praticamente tutto il Web. La cosa è così seria che persino Tim Berners-Lee, direttore del W3C nonché uno dei padri del Web, aveva scritto all’Ufficio Brevetti USA chiedendone la nullità e fornendo fior di documentazione invalidante. Ma l’Ufficio Brevetti ha invece appena confermato di nuovo (sia pure non definitivamente) la validità del brevetto Eolas.

A prescindere da chi abbia torto e chi ragione, questo caso (in ballo da ormai sei anni, un’eternità in informatica) dimostra quanto è perniciosa la brevettazione del software. I fautori dei brevetti software, quelli che vogliono introdurli anche in Europa, dicono “niente paura, se un brevetto è troppo ampio o banale o descrive cose già note, basta andare in tribunale e lo si annulla”. Ma qui abbiamo Microsoft, con una montagna di soldi e con un’orda di avvocati, che non riesce a spuntarla. Figuriamoci che speranze potrebbe avere una qualsiasi piccola società di software: finirebbe per spendere più in parcelle legali che in stipendi per i programmatori.

Il bello è che Microsoft è una strenua sostenitrice della brevettazione del software. Chissà che uno o due altri casi come questo facciano cambiare idea a lei e a molte altre aziende del settore altrettanto pro-brevetti software.

Ha ripreso a circolare in versione aggiornata (convertita in euro) una delle bufale più classiche della Rete: quella che promette soldi da Bill Gates se inoltrate un suo messaggio di prova.

L’appello che circola attualmente dice:

E’ uno scherzo. Non esiste alcuna campagna promozionale pagata da Bill Gates e basata sull’inoltro di questo messaggio.

Una volta tanto si sa esattamente chi è l’artefice della burla: se vi interessano i dettagli, leggete la mia indagine.

Gli astronomi che hanno rivendicato la scoperta del decimo pianeta del sistema solare (che NON è in rotta di collisione con la Terra come prevedono alcuni catastrofisti) hanno annunciato che il decimo pianeta ha una luna che ha un diametro di circa 250 km.

L’avvistamento, effettuato dal team team diretto da Michael Brown, del California Institute of Technology, risale al 10 settembre scorso ed è stato effettuato grazie al telescopio Keck da 10 metri situato alle Hawaii.

La presenza di questa luna consentirà di misurare la massa del nuovo pianeta, che è più grande di Plutone e si trova oltre Nettuno. Michael Brown ha battezzato il pianeta Xena, ispirandosi al personaggio principale dell’omonima serie TV. La luna, di conseguenza, è stata chiamata Gabrielle, in onore della compagna di Xena. Entrambi i nomi sono provvisori, in attesa della decisione formale dell’Unione Astronomica Internazionale.

In qualsiasi cosa libera e gratuita c’è sempre qualche imbecille che ne approfitta e guasta la festa a tutti. Ricordate, per esempio, i gateway SMS per inviare messaggini gratis da Internet? Sparirono perché qualcuno ebbe la geniale idea di usarli per mandare spam ai cellulari.

Adesso tocca ai commenti dei blog. Ho passato un buon quarto d’ora, stamattina, a purgare tutti i miei articoli da commenti-spam che non c’entravano nulla con l’argomento dell’articolo e rinviavano semplicemente a webcam porno e simili.

Temevo che sarebbe successo, ma ho ritenuto che fosse più importante, immediato e utile concedere a tutti la possibilità di aggiungere commenti ai miei articoli. Adesso, però, il troppo ha stroppiato.

Mi dispiace molto, ma d’ora in poi i commenti saranno ammessi soltanto se digitate un “captcha”: una di quelle parole fortemente distorte usate spesso dai siti per verificare che sia un essere umano, non un programma automatico, a gestire l’interazione. So che questo penalizzerà non vedenti e ipovedenti, ma non credo di avere altra scelta.

Speriamo che basti: il passo successivo sarebbe accettare commenti soltanto da utenti che si sono registrati, e questo toglierebbe molta della spontaneità del commento.

Fatemi sapere come vi trovate, o nei commenti oppure scrivendomi al solito topone@pobox.com.

Prima di andare a caccia di streghe fra gli utenti, i signori di Hollywood farebbero bene a guardarsi in casa. Ricordate il clamore che fece la distribuzione di Guerre Stellari Episodio III nei circuiti P2P prima ancora che uscisse al cinema? Be’, è colpa di un addetto ai lavori di una casa di post-produzione. Uno che per il cinema ci lavora, insomma.

Come riferisce la Associated Press, il 27 settembre scorso sono state accusate formalmente otto persone. Secondo la ricostruzione depositata in tribunale a Los Angeles, il ventottenne Albert Valente ha preso una copia del film dal centro di post-produzione dove lavorava e dove venivano preparati gli screener (le copie su DVD date in anteprima ai critici) e l’ha data a un amico. Quest’amico l’ha data a un suo amico, che poi l’ha passato a tre amici, uno dei quali ne ha fatto una copia per il cugino, che poi l’ha prestata a Marc Hoaglin, 36 anni, di Huntington Beach, che è colui che ha messo il film su Internet il 18 maggio.

Valente è accusato di violazione volontaria del diritto d’autore per aver distribuito la propria copia del film e rischia fino a un anno di carcere, come gli altri componenti dell’informale catena di distribuzione. Hoaglin è accusato di aver pubblicato il film su Internet e rischia fino a tre anni di galera.

Episodio III ha raccolto incassi per 380 milioni di dollari soltanto negli USA, secondo l’Internet Movie Database. Una cifra spettacolare che rende poco plausibili le pretese perdite dovute alla pirateria cinematografica.

Fra l’altro, Dan Glickman, capo della MPAA, dice che i responsabili sono stati identificati grazie a segni univoci nascosti nelle varie copie d’anteprima del film destinate ai critici.

Mi sa che non hanno ancora capito, là a Hollywood, che chi guarda un film scaricato da Internet non sarebbe mai andato al cinema a pagare il biglietto, né tanto meno l’avrebbe comperato o noleggiato in DVD; quindi non è un cliente perduto.

L’altra cosa che andrebbe forse capita è che i critici, invece di starsene comodi a casa a vedersi i film in DVD in anteprima, farebbero bene a prendere il loro augusto sedere e ficcarlo nella poltrona di un cinema, come tutte le persone normali. Così non solo si chiuderebbe la falla degli screener, ma i critici potrebbero anche avere la reazione autentica del pubblico in sala.

Andare alla prima assoluta di Episodio III, gremita di fan sfegatati (in costume!!), e vederli uscire in imbarazzato silenzio a fine film è molto più illuminante di qualsiasi recensione scritta nello splendido isolamento di una redazione. Ve lo garantisco per esperienza.

Questa newsletter vi arriva grazie alle gentili donazioni di “chiaramalt***”, “f.suffred***” e “pardini”.

Il sito Anti-Phishing Italia riferisce un importante aggiornamento a proposito del caso Platinway (la fantomatica società che recentemente ha spammato mezza Italia con un’offerta di lavoro facile e sicuro da svolgere comodamente via Internet da casa): come segnalavo nella newsletter e nel blog pochi giorni fa, dietro quest’offerta c’è il riciclaggio di denaro sporco.

Se avete risposto all’annuncio e avete affidato le vostre coordinate bancarie a Platinway, siete nei guai. Infatti Anti-phishing.it riferisce che una utente, allettata dall’offerta, ha risposto comunicando i propri dati bancari e accettando il contratto. Il lavoro consiste nel ricevere delle somme di denaro sul proprio conto corrente e poi trasferirle altrove, trattenendosi una commissione.

Platinway ha subito inviato una prima somma al conto della malcapitata utente. Il problema è che la somma proveniva, tramite phishing, dal conto di un altro utente italiano, che aveva sporto denuncia per la scomparsa della medesima somma dal proprio conto. Così la neo-collaboratrice di Platinway è diventata complice di un crimine.

Non posso che associarmi al consiglio di Anti-Phishing.it: se avete fornito i vostri dati bancari a Platinway o ad altre società che operano via Internet con lo stesso sistema, tenete d’occhio i vostri conti correnti per verificare se ricevono soldi da sconosciuti; denunciate il problema alla Polizia Postale e bloccate il vostro conto per evitare che i truffatori possano utilizzarlo.

Tutti i dettagli sul caso sono nell’apposita pagina del sito Anti-Phishing.it.

Aggiornamento (21:40 24/9/2005): l’esperto di sicurezza che mi ha segnalato in anticipo il pericolo Platinway mi dice che questa notizia del Sole 24 Ore, datata 3 agosto, è collegata al caso. In sintesi, “un’operazione della Guardia di Finanza di Milano ha portato alla denuncia di 28 persone, sospettate di aver sottratto denaro a 400 titolari di conti correnti online con la tecnica del furto di identità, il cosiddetto ‘phishing’… Il denaro sottratto dai malviventi veniva poi dirottato su conti all’estero attraverso la collaborazione di vari intermediari, i quali – intascando commissioni tra il 5% e il 20% – consentivano il transito sui propri conti…Nel corso dell’operazione… sono stati bloccati oltre 1,3 milioni di euro.”

Da un paio di giorni, AOL ha tolto le pagine che raccoglievano i link ai video dei vari concerti del Live 8. Ora se si digita l’indirizzo della pagina base che fino a pochi giorni fa era dedicata al Live 8 (http://music.channel.aol.com/live_8_concert/home) si arriva a un’altra paginetta che ricorda che “chi vuole rivivere la magia potrà acquistare un cofanetto di 4 DVD del Live 8, che verrà distribuito dalla Capitol Records a partire dal prossimo 8 novembre”.

E’ stato bello finché è durato. Spero abbiate fatto in tempo a scaricare quello che vi interessava. Io sì 🙂