(C) 2003 by Paolo
Attivissimo --
www.attivissimo.net
Prima versione: 24 novembre 2003. Ultimo
aggiornamento: 26 dicembre 2003
Per studiare il funzionamento di un dialer senza
correre rischi occorrono alcuni ingredienti,
purtroppo non tutti a buon mercato.
Il
computer "sacrificale"
Si
tratta di un PC Windows destinato a essere
infettato installandovi il dialer. A fine
indagine, il PC va naturalmente "sterilizzato" e
riportato in condizioni di sicurezza. Per farlo
ci sono due modi:
-
dedicare alle indagini un computer apposito,
isolato
dalla linea telefonica e dagli altri
computer dell'eventuale rete locale.
Si installa Windows e prima di procedere
alle indagini si fa un backup immagine
dell'installazione, con programmi come Ghost
o Partition Image o il gratuito Partimage. A
fine indagini, si azzera il PC ripristinando
dal backup immagine.
-
creare un computer
sacrificare
virtuale:
VMware
è un programma che consente di creare
"macchine virtuali" all'interno di un PC. Io
uso un PC Linux, nel quale ho creato una
macchina virtuale Windows 98, che si
"accende", si "spegne" e vede tutte le
periferiche, modem compreso, ma vive
ingabbiato all'interno di una finestra Linux
in modo da non poter fare danni. VMware
consente di scattare un'istantanea delle
condizioni della macchina virtuale e poi
ripristinare partendo da quell'istantanea in
pochi secondi. Geniale, ma caro: VMware
costa 200 dollari.
Mi
raccomando, non
fate esperimenti su computer che usate per
lavoro e se non sapete
esattamente
cosa state facendo. Ci si può far molto male con
questi esperimenti, soprattutto all'altezza del
portafogli.
Il
modem
E'
preferibile avere un modem esterno,
separato da
quello usato per connettersi a Internet,
e dotato di
altoparlante, in modo da poter udire
chiaramente i toni di composizione del numero e
vedere, tramite le spie sul frontale,
esattamente cosa sta facendo il dialer (molti
dialer "zittiscono" il modem, ma non possono
fare a meno di accendere le lucette).
Un
modem interno è accettabile, ma di gran lunga
più scomodo.
La
cosa più importante è
non collegare il
modem-cavia al filo del telefono, in modo
da evitare il rischio di collegarsi davvero a un
numero 899 e trovarsi con una bolletta dolorosa.
E' prudente
chiedere comunque la disabilitazione dell'899
al proprio operatore telefonico.
E'
essenziale, per la riuscita delle indagini, che
programmiate il modem in modo che componga il
numero di telefono senza attendere il tono di
linea: in questo modo compone il numero anche se
non è collegato al filo del telefono.
Il
software
Per scoprire il numero composto dal dialer,
quando ci si imbatte in un dialer che nasconde
il numero ci sono due metodi: uno di forza bruta
e uno più sofisticato.
Il metodo di forza bruta
offre la massima affidabilità, dato che si basa
sull'ascolto e sulla decodifica dei toni DTMF
effettivamente composti dal modem. Con questo
sistema si è sicuri che il numero identificato è
effettivamente quello che viene composto dal
modem e non è mascherabile in alcun modo. In
pratica, si registra digitalmente l'audio della
sequenza di toni composta dal modem e la si
passa attraverso un
decoder DTMF,
ossia un programma che riconosce i toni presenti
nella registrazione e visualizza le cifre
corrispondenti a ciascun tono. Ho trovato per
esempio un decoder DTMF presso
http://www.audio-software.com:
costa 169 euro, ma è usabile gratuitamente in
prova per 14 giorni.
In
alternativa c'è il metodo più elegante di
Portmon:
un programma gratuito, disponibile per Windows
95/98/2000 e NT/XP, che "sniffa" (intercetta)
tutto quello che transita sulla
porta seriale,
che è la porta che collega il modem al computer.
Lo si avvia, si clicca sul menu
Capture
per selezionare la porta seriale sulla quale
risiede il modem e poi si fa partire il dialer;
fatto questo, si cerca
"ATDT" o
"ATDP"
(i preamboli di composizione di un numero) nella
registrazione del traffico effettuata da Portmon
e si guarda il numero che compare subito dopo
queste due sigle: è il numero che il dialer
ordina al modem di comporre.
Portmon è disponibile
presso
http://www.sysinternals.com/ntw2k/freeware/portmon.shtml.
Ringrazio "cassioli"
per la segnalazione.
Gli strumenti della Rete
Per sapere
a chi è
intestato il sito reclamizzato dal dialer
si può usare il servizio whois tramite uno dei
tanti siti che lo offre, come Geektools.com (http://www.geektools.com/whois.php),
immettendo il nome del sito
senza il
prefisso "www". I dati riportati nella
prima sezione dei risultati sono quelli
dell'intestatario.
Per sapere dove
si trova fisicamente il sito sparadialer
si possono usare vari metodi:
-
immettere il nome del
sito in VisualRoute.it (http://www.visualroute.it/vr.asp)
-
immettere il nome del
sito in Netcraft.com (http://www.netcraft.com/whats)
-
immettere l'indirizzo IP del sito nel
servizio whois citato prima: questo fornisce
spesso le coordinate dell'Abuse da
contattare per segnalare la presenza del
dialer.
L'indagine
Prima fase: l'infezione
La
prima cosa da fare è
visitare il sito
sparadialer con Internet Explorer usando
la macchina sacrificale, e si installa il dialer
proposto, prendendo nota del contenuto delle
schermate di installazione (se sono indicati i
prezzi, il nome della società che offre il
dialer, eccetera) o meglio ancora catturando le
schermate con un programma di grafica.
Seconda fase: scoprire il numero
Fatto questo, si va in Accesso Remoto e si
guarda se è stata creata una nuova connessione:
in tal caso si prende nota del numero composto,
se visibile.
Se
il numero composto non è visibile oppure non ci
sono novità in Accesso Remoto, per scoprire il
numero occorre usare la forza bruta: lasciare
che il modem lo componga, registrare i toni
composti usando un programma di registrazione
audio, e dare la registrazione in pasto a un
decoder DTMF oppure a un programma che
intercetti la comunicazione seriale, come
descritto sopra.
Scoprire il numero composto è importante,
perché consente di calibrare l'e-mail di
segnalazione nel modo giusto: per esempio, se il
sito sparadialer è pornografico e usa una
numerazione 899, farlo bloccare non è un
problema, perchè gli 899 non possono dare
accesso a servizi erotici, osceni o pornografici
(decreto legge 23 ottobre 1996, n.545,
convertito dalla legge 23 dicembre 1996, che ha
appunto vietato
"i servizi audiotex dal contenuto erotico,
osceno o pornografico", come descritto
presso
http://www.poliziadistato.it/pds/primapagina/899/899.htm).
Se
invece il dialer usa una numerazione non
italiana (prefissi che iniziano per 00),
l'azione è molto meno diretta e richiede maggior
impegno per avere successo.
Un
lettore (f.vanoni)
segnala che per i dialer svizzeri (prefisso
0906) "sul sito
dell'Ufficio Federale delle Comunicazioni
(UFCOM) vi è la possibilità di verificare a chi
sono intestati i numeri 'speciali', dagli 0800
gratuiti fino agli 090x 'premium Rate'".
Terza fase: scoprire il provider
Il
nome del sito sparadialer rivela facilmente il
nome del provider che lo ospita. Se si tratta di
una sottosezione di un sito generalista, di
quelli che ospitano le pagine di chiunque, come
Lycos.it o Xoom.it, è evidente che il provider è
appunto il sito generalista.
Se invece il sito
sparadialer ha un proprio nome e non è una
sottosezione di un sito generalista (ad esempio
www.sparadialer.com), occorre
rintracciare il provider ospitante (hosting
provider)
usando gli strumenti della Rete, ad
esempio VisualRoute.it (http://www.visualroute.it/vr.asp).
Guardando l'ultima riga si ottiene l'indirizzo
IP del sito sparadialer e una descrizione della
rete che lo ospita ("IT-DADA-970904"), dalla
quale è facile capire che si tratta del provider
italiano Dada.it.
Ulteriore conferma viene
immettendo il nome del sito in Netcraft.com (http://uptime.netcraft.com/up/graph?site=www.chetempochefa.it):
Quarta fase: trovare l'Abuse e il regolamento
A
questo punto si
visita il sito del provider e si cerca un
rimando alle pagine dedicate alla segnalazione
di abusi e simili (nel caso di Dada.it) in cui
sia riportato un indirizzo di e-mail da
contattare per questo tipo di problemi.
Se
il sito del provider non fornisce un indirizzo,
si può immettere il nome del provider in whois
per scoprirlo o per avere un numero di telefono
da chiamare per chiederlo. Di solito, comunque,
l'indirizzo di e-mail per le segnalazioni di
abusi del servizio è del tipo
abuse@nomeprovider.
Se
possibile, si reperiscono anche le condizioni di
contratto (Acceptable
use policy) del provider, in modo da
verificare se ci sono clausole che vietano
espressamente i dialer.
Quinta fase: scegliere il compartimento della
Polizia delle Comunicazioni di zona
Fra i dati del provider
c'è di solito anche l'indirizzo della sede
legale. Se si trova in Italia, vale la pena di
coinvolgere anche la Polizia delle
Comunicazioni, mandando copia della segnalazione
via e-mail al Compartimento regionale della
regione in cui è situata la sede. L'elenco degli
indirizzi è presso
http://www.poliziadistato.it/pds/informatica/contatti.html.
Se
non è chiaro dove sia ubicato il sito, potete
comunque inviare segnalazione all'indirizzo
generale
poltel.milano@mininterno.it.
Sesta fase: la letterina
Occorre tener presente che il provider non è
quasi mai complice di chi usa i dialer.
Va trattato di conseguenza: in modo fermo ma
cortese. Occorre anche evitare di protestare per
dialer che fanno legittimamente il loro lavoro,
ossia avvisano
chiaramente dei costi sostenuti
dall'utente e non si autoinstallano in modo
ostile.
Usando i dati reperiti nelle fasi precedenti, si
scrive un e-mail all'Abuse del provider e in
copia carbone (CC) all'indirizzo della Polizia
delle Comunicazioni, con una falsariga di questo
genere:
Oggetto: Vostro sito contenente dialer
Spettabile Azienda,
desidero segnalare che il sito
[sito
sparadialer], che risulta in
hosting presso di Voi, è in violazione
delle leggi italiane
[facoltativo, se
pertinente:]
e della vostra Acceptable Use Policy
Nella fattispecie, induce allo
scaricamento di un cosiddetto "dialer"
che collega a una numerazione
[specificare il tipo] 899
(audiotex).
[se è un sito porno su
numero 899:]
La violazione delle leggi italiane si
configura in quanto i dialer che danno
accesso a servizi pornografici tramite
numerazione a prefisso 899 (audiotex)
sono vietati dal decreto legge 23
ottobre 1996, n.545, convertito dalla
legge 23 dicembre 1996, che ha appunto
vietato "i servizi audiotex dal
contenuto erotico, osceno o
pornografico" (http://www.poliziadistato.it/pds/primapagina/899/899.htm).
Con la presente segnalazione che vi
mette a conoscenza del comportamento
illecito, la Vostra azienda diventa
civilmente responsabile per tale
attività e si attiva il Vostro obbligo
di legge di agire, secondo quanto
previsto dall'art. 17 c. 3 d. lgs.
70/2003.
Vi esorto pertanto a prendere gli
opportuni provvedimenti per far cessare
immediatamente l'attività illecita del
Vostro cliente.
Copia della presente è inviata per
conoscenza al Compartimento regionale
competente della Polizia delle
Comunicazioni.
A Vostra disposizione per qualsiasi
chiarimento via e-mail presso
[vostro
indirizzo di e-mail] e
telefonicamente al numero
[omesso
per privacy]
Distinti saluti
[firma]
|
E
poi non resta che aspettare.
|