(C) 2003 by Paolo Attivissimo -- www.attivissimo.net

Prima versione: 24 novembre 2003. Ultimo aggiornamento: 26 dicembre 2003

Per studiare il funzionamento di un dialer senza correre rischi occorrono alcuni ingredienti, purtroppo non tutti a buon mercato.
 

Il computer "sacrificale"
 

Si tratta di un PC Windows destinato a essere infettato installandovi il dialer. A fine indagine, il PC va naturalmente "sterilizzato" e riportato in condizioni di sicurezza. Per farlo ci sono due modi:

• dedicare alle indagini un computer apposito, isolato dalla linea telefonica e dagli altri computer dell'eventuale rete locale. Si installa Windows e prima di procedere alle indagini si fa un backup immagine dell'installazione, con programmi come Ghost o Partition Image o il gratuito Partimage. A fine indagini, si azzera il PC ripristinando dal backup immagine.

• creare un computer sacrificare virtuale: VMware è un programma che consente di creare "macchine virtuali" all'interno di un PC. Io uso un PC Linux, nel quale ho creato una macchina virtuale Windows 98, che si "accende", si "spegne" e vede tutte le periferiche, modem compreso, ma vive ingabbiato all'interno di una finestra Linux in modo da non poter fare danni. VMware consente di scattare un'istantanea delle condizioni della macchina virtuale e poi ripristinare partendo da quell'istantanea in pochi secondi. Geniale, ma caro: VMware costa 200 dollari.

Mi raccomando, non fate esperimenti su computer che usate per lavoro e se non sapete esattamente cosa state facendo. Ci si può far molto male con questi esperimenti, soprattutto all'altezza del portafogli.

Il modem

E' preferibile avere un modem esterno, separato da quello usato per connettersi a Internet, e dotato di altoparlante, in modo da poter udire chiaramente i toni di composizione del numero e vedere, tramite le spie sul frontale, esattamente cosa sta facendo il dialer (molti dialer "zittiscono" il modem, ma non possono fare a meno di accendere le lucette).
 

Un modem interno è accettabile, ma di gran lunga più scomodo.
 

La cosa più importante è non collegare il modem-cavia al filo del telefono, in modo da evitare il rischio di collegarsi davvero a un numero 899 e trovarsi con una bolletta dolorosa. E' prudente chiedere comunque la disabilitazione dell'899 al proprio operatore telefonico.
 

E' essenziale, per la riuscita delle indagini, che programmiate il modem in modo che componga il numero di telefono senza attendere il tono di linea: in questo modo compone il numero anche se non è collegato al filo del telefono.
 

Il software

Per scoprire il numero composto dal dialer, quando ci si imbatte in un dialer che nasconde il numero ci sono due metodi: uno di forza bruta e uno più sofisticato.
 

Il metodo di forza bruta offre la massima affidabilità, dato che si basa sull'ascolto e sulla decodifica dei toni DTMF effettivamente composti dal modem. Con questo sistema si è sicuri che il numero identificato è effettivamente quello che viene composto dal modem e non è mascherabile in alcun modo. In pratica, si registra digitalmente l'audio della sequenza di toni composta dal modem e la si passa attraverso un decoder DTMF, ossia un programma che riconosce i toni presenti nella registrazione e visualizza le cifre corrispondenti a ciascun tono. Ho trovato per esempio un decoder DTMF presso http://www.audio-software.com: costa 169 euro, ma è usabile gratuitamente in prova per 14 giorni.
 

In alternativa c'è il metodo più elegante di Portmon: un programma gratuito, disponibile per Windows 95/98/2000 e NT/XP, che "sniffa" (intercetta) tutto quello che transita sulla porta seriale, che è la porta che collega il modem al computer. Lo si avvia, si clicca sul menu Capture per selezionare la porta seriale sulla quale risiede il modem e poi si fa partire il dialer; fatto questo, si cerca "ATDT" o "ATDP" (i preamboli di composizione di un numero) nella registrazione del traffico effettuata da Portmon e si guarda il numero che compare subito dopo queste due sigle: è il numero che il dialer ordina al modem di comporre.
 

Portmon è disponibile presso http://www.sysinternals.com/ntw2k/freeware/portmon.shtml. Ringrazio "cassioli" per la segnalazione.
 

Gli strumenti della Rete
 

Per sapere a chi è intestato il sito reclamizzato dal dialer si può usare il servizio whois tramite uno dei tanti siti che lo offre, come Geektools.com (http://www.geektools.com/whois.php), immettendo il nome del sito senza il prefisso "www". I dati riportati nella prima sezione dei risultati sono quelli dell'intestatario.
 

Per sapere dove si trova fisicamente il sito sparadialer si possono usare vari metodi:
 

• immettere il nome del sito in VisualRoute.it (http://www.visualroute.it/vr.asp)

• immettere il nome del sito in Netcraft.com (http://www.netcraft.com/whats)

• immettere l'indirizzo IP del sito nel servizio whois citato prima: questo fornisce spesso le coordinate dell'Abuse da contattare per segnalare la presenza del dialer.

L'indagine

Prima fase: l'infezione
 

La prima cosa da fare è visitare il sito sparadialer con Internet Explorer usando la macchina sacrificale, e si installa il dialer proposto, prendendo nota del contenuto delle schermate di installazione (se sono indicati i prezzi, il nome della società che offre il dialer, eccetera) o meglio ancora catturando le schermate con un programma di grafica.
 

Seconda fase: scoprire il numero
 

Fatto questo, si va in Accesso Remoto e si guarda se è stata creata una nuova connessione: in tal caso si prende nota del numero composto, se visibile.
 

Se il numero composto non è visibile oppure non ci sono novità in Accesso Remoto, per scoprire il numero occorre usare la forza bruta: lasciare che il modem lo componga, registrare i toni composti usando un programma di registrazione audio, e dare la registrazione in pasto a un decoder DTMF oppure a un programma che intercetti la comunicazione seriale, come descritto sopra.
 

Scoprire il numero composto è importante, perché consente di calibrare l'e-mail di segnalazione nel modo giusto: per esempio, se il sito sparadialer è pornografico e usa una numerazione 899, farlo bloccare non è un problema, perchè gli 899 non possono dare accesso a servizi erotici, osceni o pornografici (decreto legge 23 ottobre 1996, n.545, convertito dalla legge 23 dicembre 1996, che ha appunto vietato "i servizi audiotex dal contenuto erotico, osceno o pornografico", come descritto presso http://www.poliziadistato.it/pds/primapagina/899/899.htm).
 

Se invece il dialer usa una numerazione non italiana (prefissi che iniziano per 00), l'azione è molto meno diretta e richiede maggior impegno per avere successo.
 

Un lettore (f.vanoni) segnala che per i dialer svizzeri (prefisso 0906) "sul sito dell'Ufficio Federale delle Comunicazioni (UFCOM) vi è la possibilità di verificare a chi sono intestati i numeri 'speciali', dagli 0800 gratuiti fino agli 090x 'premium Rate'".

Terza fase: scoprire il provider

Il nome del sito sparadialer rivela facilmente il nome del provider che lo ospita. Se si tratta di una sottosezione di un sito generalista, di quelli che ospitano le pagine di chiunque, come Lycos.it o Xoom.it, è evidente che il provider è appunto il sito generalista.
 

Se invece il sito sparadialer ha un proprio nome e non è una sottosezione di un sito generalista (ad esempio www.sparadialer.com), occorre rintracciare il provider ospitante (hosting provider) usando gli strumenti della Rete, ad esempio VisualRoute.it (http://www.visualroute.it/vr.asp).
 

Guardando l'ultima riga si ottiene l'indirizzo IP del sito sparadialer e una descrizione della rete che lo ospita ("IT-DADA-970904"), dalla quale è facile capire che si tratta del provider italiano Dada.it.
 

Ulteriore conferma viene immettendo il nome del sito in Netcraft.com (http://uptime.netcraft.com/up/graph?site=www.chetempochefa.it):
 

Quarta fase: trovare l'Abuse e il regolamento
 

A questo punto si visita il sito del provider e si cerca un rimando alle pagine dedicate alla segnalazione di abusi e simili (nel caso di Dada.it) in cui sia riportato un indirizzo di e-mail da contattare per questo tipo di problemi.
 

Se il sito del provider non fornisce un indirizzo, si può immettere il nome del provider in whois per scoprirlo o per avere un numero di telefono da chiamare per chiederlo. Di solito, comunque, l'indirizzo di e-mail per le segnalazioni di abusi del servizio è del tipo abuse@nomeprovider.
 

Se possibile, si reperiscono anche le condizioni di contratto (Acceptable use policy) del provider, in modo da verificare se ci sono clausole che vietano espressamente i dialer.
 

Quinta fase: scegliere il compartimento della Polizia delle Comunicazioni di zona

Fra i dati del provider c'è di solito anche l'indirizzo della sede legale. Se si trova in Italia, vale la pena di coinvolgere anche la Polizia delle Comunicazioni, mandando copia della segnalazione via e-mail al Compartimento regionale della regione in cui è situata la sede. L'elenco degli indirizzi è presso http://www.poliziadistato.it/pds/informatica/contatti.html.

Se non è chiaro dove sia ubicato il sito, potete comunque inviare segnalazione all'indirizzo generale poltel.milano@mininterno.it.
 

Sesta fase: la letterina

Occorre tener presente che il provider non è quasi mai complice di chi usa i dialer. Va trattato di conseguenza: in modo fermo ma cortese. Occorre anche evitare di protestare per dialer che fanno legittimamente il loro lavoro, ossia avvisano chiaramente dei costi sostenuti dall'utente e non si autoinstallano in modo ostile.

Usando i dati reperiti nelle fasi precedenti, si scrive un e-mail all'Abuse del provider e in copia carbone (CC) all'indirizzo della Polizia delle Comunicazioni, con una falsariga di questo genere:
 

E poi non resta che aspettare.

  Le truffe webdialer