Naturalmente, come tutti i ragazzi, nel messaggio è andata subito al punto, senza convenevoli: “Zio mi scarichi due film da Internet?”.

Superata la prima sorpresa, ho iniziato a rifletterci su. Non mi andava di risponderle con un SMS sbrigativo, ma non volevo neanche finire a farle un predicozzo, cosa che ricordo benissimo odiavo alla sua età (anche se sono passati più di trenta anni).

Alla fine le ho telefonato (ha il cellulare, naturalmente…), e le cose si sono fatte interessanti, tanto da spingermi a scriverne qui.

In breve, a scuola le hanno parlato dello scaricare film da Internet, e il messaggio che è arrivato è che il rischio è una multa salata. Ci siamo salutati con la promessa di farle avere i film richiesti in modo legale, e con l’impegno di parlarne a voce la prossima volta che ci si vede.

Ovviamente, questo mi ha fatto riflettere, e non poco. Se questo è il messaggio che viene dato ai ragazzi, che di Internet ne sanno spesso più di chi va a parlargli in classe, e ne sanno in maniera diretta, per esperienza, vuol dire che abbiamo sbagliato tutto.

La multa per un italiano di oggi è sinonimo di una lotteria, ossia prima mi devi beccare. L’effetto deterrente è pressoché nullo, per non parlare della totale assenza di ogni legame con qualsiasi concetto di legalità ed etica. Questo significa sottovalutare e svalutare i ragazzi, e le loro potenzialità. Nella mia, certamente limitata, esperienza, i ragazzi hanno un fortissimo senso dell’etica e della legalità.

Quello che non viene invece detto è che molte organizzazioni criminali usano contro di noi le nostre stesse cattive abitudini. Prendiamo a esempio le reti peer to peer del circuito di Emule. Cercando un qualsiasi film o software, non importa se legalmente o illegalmente condiviso, possiamo star certi che ci troveremmo di fronte queste trappole:

• Film differenti da quello cercato, o “modificati” ad arte. Il titolo del film è giusto, ma il file contiene ben altro, certamente non si tratta di materiale adatto ad un minorenne. Qualche volta neanche ad un maggiorenne. Il problema è gravissimo, in quanto, a meno di appositi plugin che non tutti conoscono o usano, non è possibile sapere che cosa c’è dentro il file che si va a scaricare fino a quando non si è scaricato completamente, tranne casi limitatissimi. Per la legge italiana, se il film che andiamo a scaricare dovesse contenere materiale pedo-pornografico, indipendentemente dal fatto che chi scarica lo sappia o meno, non solo si configura il reato di detenzione di materiale pornografico (art.600 quater del Codice Penale), che prevede fino a tre anni di reclusione, ma, per il modo di funzionare dei programmi e delle reti peer to peer, si configura il reato di cessione e diffusione di materiale pornografico (art. 600 ter del Codice Penale). Questo perché nel momento in cui inizio a scaricare un qualsiasi file tramite Emule, il programma provvede a distribuire le porzioni che ho sul mio computer ad altri che cercano lo stesso file, anche se ne ho solo pochi kilobyte. Questo comportamento è insito nel funzionamento dei protocolli peer to peer, e non è semplice da disabilitare. Poi, naturalmente, nella formulazione della condanna, di solito il giudice tiene conto di vari fattori attenuanti (l’essere “vergini” penalmente, ossia incensurati, l’intenzionalità, la quantità del materiale, il tempo di permanenza nel proprio disco, ecc.), ma il problema è che si subisce un processo penale, con tutto quello che ne consegue. Considerando che quando il responsabile del reato è un minore, paga il genitore o il tutore legale, si rischia di trovarsi coinvolti in una bruttissima situazione a propria totale insaputa. Ci sono anche delle situazioni, al limite del doloso, in cui il film scaricato è un montaggio, dove i primi minuti sono proprio del film cercato, ma dopo segue un altro film, naturalmente differente e certamente non quello voluto.
• Film camuffati da software. Cercando un software, non importa se con licenza di uso libero o proprietaria, è sicuro imbattersi in file con il nome del software cercato, ma contenenti filmati, e non software. La presenza di cose come “OK Funzionante!” aggiunte al nome del file, naturalmente, non serve a garantire alcunché. Inutile dire che il film non sarà nella totalità dei casi adatto alla visione da parte di un adolescente, ed in molti casi neanche a quella di un adulto.
• Software troianizzato. In questo caso il software c’è, e qualche volta funziona anche, ma contiene delle sorprese, sotto forma di ospiti indesiderati e invisibili. Se il software cercato è sotto forma di immagine ISO, ossia di “copia” pronta per la masterizzazione su CD o DVD, la sorpresa è dentro, integrata col software. Ho avuto esperienza di persone che hanno installato il sistema operativo “prelevandolo” da Emule, e di trovarsi con strani comportamenti al momento della connessione a Internet, indice di qualcosa di poco salutare. Se invece il software è in forma installabile/eseguibile, la sorpresa è camuffata da programma di installazione o da “tool” per registrare/craccare il software. Lo scopo di questi malware è di sottrarre dati relativi agli account personali dell’utilizzatore del computer (posta elettronica, home banking, social networks, accessi a siti web e servizi FTP, ecc.). Altro scopo è quello di sfruttare risorse di elaborazione e connessione a Internet del computer stesso, certamente per scopi poco etici.
• Malware camuffato da software. In molti casi, il file scaricato non contiene il software cercato, ma è esso stesso un malware, camuffato. La situazione è identica alla precedente, solo che chi ha scaricato il file non ottiene niente del tutto, ma si trova un malware, probabilmente un botnet agent, attivo nel computer, ricadendo nel punto precedente.
• Malware camuffato da strumenti per scavalcare le protezioni. Qui le cose si fanno interessanti. Come sanno tutti i truffatori di professione, la prospettiva di un facile guadagno è la prima qualità necessaria per orchestrare una truffa che funzioni. Quindi, cercando un crack o un keygen su Emule, possiamo stare sicuri di trovare molto di più di quanto cercavamo, e certamente non nel senso che intendevamo.

Tutto questo è molto più frequente di quanto si possa pensare, e il fatto che mediamente ogni settimana mi trovo a ripulire un computer di qualche conoscente con problemi di malware, infilatosi nel computer tramite uno dei trucchi elencati poco fa, deve far riflettere su quale sia appunto il messaggio da trasmettere ai ragazzi.

Su questo sito spesso arrivano persone, indirizzate da Google e compagni, alla ricerca di modi per usare ad esempio le “chiavette” 3G/UMTS/HSDPA con Emule, per avere un ID alto o per “aprire le porte” sulla chiavetta, per via della presenza di alcuni articoli che parlano di come usare questi dispositivi con Linux o con l’eeePC, niente a che vedere con Emule. Alcune di queste cose sono impossibili: quasi tutti gli operatori 3G assegnano un indirizzo IP delle classi private (vedi rfc1918), indice che la connessione è dietro un firewall o un altro apparato che opera un NAT (Network Address Translation), e quindi rende impossibile accettare connessioni di rete in ingresso, cosa indispensabile per avere un “ID alto” in Emule, e quindi ottenere benefici di priorità nei download.

Tralasciando il fatto che l’operazione di usare un accesso via 3G/UMTS/HSDPA a consumo è una strategia perdente, visto che conta il traffico in uscita, oltre che quello in ingresso, e che quello in uscita è molto più consistente, l’indicazione è che il “vizietto” è diffuso, e tutte le altre considerazioni, economiche, legali, etiche, vengono dopo.

Quello che mi domando è che cosa possiamo fare per instillare un minimo di competenza, perché di questo si tratta, nei ragazzi come mia nipote? Potremmo parlare di condivisione, di libertà e di riconoscimento del proprio lavoro. Potremmo parlare di etica e di legalità ma, francamente, c’è il rischio di sentirci rispondere, e non a torto, che con tutti i cattivi esempi che hanno ogni giorno da noi stessi, che problema vuoi che sia lo scaricare un film da Internet?

Ecco, questo è un problema reale di sicurezza, un problema che nessuno strumento tecnologico può risolvere, perché la sua origine non è tecnologica, ma umana e comportamentale. Se potessi, andrei nelle scuole a fare opera di evangelizzazione, e gratis. Mi basta pensare a questi ragazzi, per cui abbiamo preparato un mondo futuro che noi stessi abbiamo difficoltà a capire, e ce li stiamo infilando a forza.

La seconda via non è né meno costosa, né richiede meno competenze, anzi, ne richiede di più ed in campi differenti, ma ha un vantaggio: funziona indipendentemente da problemi hardware o software, anche in assenza di vulnerabilità da sfruttare. Al solito ci si rilegge alla fine per le oziose considerazioni di rito.

Caramelle dagli sconosciuti

Ci sono vari tipi di ladro: lo scassinatore, il rapinatore e il truffatore. Lo scopo è sempre lo stesso, prendere qualcosa che non gli appartiene contro la volontà del legittimo proprietario. Quello che cambia è il modo:

• lo scassinatore opera di abilità e di astuzia. Studia le abitudini della vittima, le condizioni di sicurezza del bersaglio, poi opera colpendo in un punto debole delle difese quando il proprietario non c’è.
• Il rapinatore punta invece sulla forza bruta. Si arma e ottiene quello che vuole direttamente dal proprietario, minacciandolo.
• Il truffatore opera invece di persuasione. E’ la vittima stessa che gli consegna l’oggetto, convinta di ottenere un vantaggio economico o di altra natura.

Un detto abbastanza noto recita che non si può truffare un uomo onesto. I truffatori in giro per la Rete pare ne tengano conto: i siti web più “infetti” sono quelli che contengono (o promettono) materiale in qualche modo illegale. Brani musicali, film, materiale pornografico, crack per programmi noti o meno, generatori di codici di registrazione (i cosiddetti keygen), tutto fa brodo.

Un esempio perfetto di questa situazione è un sito che offre generatori di codici di registrazione: keygen . name (il nome è spezzato e reso non cliccabile perché non è proprio il caso di andarci).

Ad un primo sguardo, sembra identico a centinaia di altri siti web di questo tipo, ma la trappola è là, ed è ben congegnata.

Si cerca nell’elenco dei programmi già inseriti, e se non si trova quanto voluto, si può usare la casella di testo con a fianco il tasto Find! (trova).

Capire che è una trappola è semplice:

1. tutti i keygen scaricati sono lunghi esattamente 8759 bytes
2. sono identici bit per bit, indipendentemente dal programma per cui dovrebbero generare il codice
3. se si cerca un keygen se ne trova sempre uno con il nome contenente esattamente le parole che abbiamo digitato nella ricerca.

Per esempio se nella casella si digita “Fedora Linux”, la ricerca restituisce un file dal nome “Fedora_Linux_keygen.exe”, sempre di 8759 bytes. Ora, a parte che Fedora Linux non ha proprio bisogno di chiave di registrazione, visto che è un sistema operativo libero e gratuito, è strano che il nome sia esattamente lo stesso. Ad ulteriore conferma basta digitare “io sono un fesso che prende caramelle dagli sconosciuti” ed in un attimo ecco il nostro keygen con un nome chilometrico e quanto meno inconsueto, sempre di 8759 bytes.

La conferma finale viene passando il file ad una collezione di antivirus: i due terzi lo identificano come minaccia, anche se non sono concordi sul tipo.

Riadattando un detto usato dai miei nonni, possiamo dire che andò per craccare e rimase craccato…

Oggi

Il sito è ancora attivo, ed il numero ed il tipo di ricerche presenti e memorizzate fa pensare che sia molto “gettonato”. Il keygen (leggi malware) è cambiato, ora è di 204856 bytes, e VirusTotal lo identifica sempre come malware con 28 antivirus su 36. Avviato sulla macchina virtuale sacrificale di rito, scarica roba dai soliti siti con nomi improbabili, installa un servizio ed un modulo da attivare all’avvio del computer, più altra roba che non sono stato a guardare. C’è un po’ di tutto, compreso un Alternate Data Stream.

A dispetto della continua evangelizzazione degli utenti ad opera di chi è un po’ più “smaliziato”, il numero di persone che cadono vittima di truffe e raggiri è in costante aumento. E non c’è bisogno di tirare in ballo il phishing, basta andare molto più vicino e volare bassi: siti che offrono antivirus fasulli per disinfettare inesistenti pestilenze, software altrimenti gratuiti offerti dietro pagamento di una “tassa di installazione”, informazioni riservate inesistenti, servizi 2.0 con fregatura 1.0, e via così.

E’ evidente che non serve assolutamente creare malware sofisticati e pestilenze inarrestabili, basta dire le cose giuste nel modo giusto agli utenti, il resto lo faranno da soli.

Una ultima cosa: una delle ricerche in prima pagina nel sito dei keygen fasulli nel momento in cui l’ho visitato era per una applicazione dal nome: Antivirus XP 2008. Per la cronaca, non è un antivirus, ma un malware camuffato da antivirus che richiede un pagamento con carta di credito per essere “attivato”. Ecco la cattura della pagina. Verso il fondo potete vedere quello di cui parlo.

Il colmo dei colmi: cercare in un sito di crack fasulli qualcosa per poter installare un malware camuffato da antivirus che probabilmente non vede l’ora di essere avviato per fare i suoi porci comodi, dopo ovviamente aver preso un po’ di soldi dalla nostra carta di credito.

Il punto, però, non è il denigrare un poveraccio che è caduto dalla padella nella brace, no. Qui stiamo parlando di qualcuno che per vedere “documentari anatomici”, viene ingannato una prima volta vedendosi presentare una richiesta di scaricare i codec; va sul sito per scaricare i codec e viene ingannato una seconda volta, con una falsa scansione online che lo avverte di avere un numero abnorme di virus e gli propone di installare un antivirus fantastico, la soluzione definitiva di tutti i problemi di virus. Mentre il tizio si convince di avere usato fino a quel momento una chiavica di antivirus, che non l’ha protetto dalla pletora di virus che gli ha trovato l’altro, va a scaricare ed installare l’antivirus fasullo, e viene ingannato la terza volta, dato che gli viene chiesto di acquistare il codice di attivazione con carta di credito. A questo punto, invece di accendere il cervello e iniziare a farsi qualche domanda, adotta il comportamento più amato dai truffatori: fa il furbetto. Cerca su Emule il crack per Antivirus XP 2008 e ne trova centinaia (provare per credere), tutti ovviamente dei falsi, accessoriati però col vero malware all’interno. Cerca un keygen e finisce sul sito appena presentato, prendendo una seconda pestilenza (o una terza, una quarta e via così).

Utenti così sono una manna dal cielo per i truffatori e i criminali in giro per la Rete. Scommetto che il computer di questa persona fa parte di almeno due botnet. Ed ha installati antivirus, firewall, antispyware, rootkit scanner, insomma tutto il campionario.

Cliccando sul link si arriva a questo sito:

Potevo resistere? Naturalmente no. Ecco i risultati dell’indagine.

Ho avviato una macchina virtuale da immolare alla causa, con Windows XP Professional installato, ed ho scaricato l’installer offerto dal sito. Un controllo fatto con Virustotal lo indica come malware con undici antivirus su 36.

Avviato l’installer sulla macchina virtuale, si presenta questa richiesta di accettazione della licenza:

Fin qui niente di strano a parte il fatto che da nessuna parte vi è il logo Adobe che, lo ricordiamo, è l’unica a distribuire il Flash Player Plugin, dato che ne è proprietaria.

L’arcano inizia a chiarirsi nella seconda schermata:

Scorrendo la licenza salta fuori che:

• Il distributore di questo installer non è Adobe
• Occorre chiamare con un telefono cellulare un numero 899 per ottenere un codice di attivazione

Mi è venuto immediatamente in mente che negli scorsi giorni l’Autorità Garante per le Comunicazioni ha deliberato che dal primo di ottobre saranno bloccate tutte le chiamate da telefono fisso ai numeri con tariffazione maggiorata. Chiaro che i simpatici amici dei dialer&co siano corsi ai ripari: non usare il telefono fisso, chiama dal cellulare! La chiamata costa sei euro e diciannove centesimi ogni sessanta secondi, così dice l’avviso. Decidete voi se fidarvi.

Ma a che diavolo serve chiamare un numero al costo di sei euro? Lo si capisce nella schermata successiva:

Chiaro adesso? Si chiama col cellulare il numero indicato, si spendono sei euro e si ottiene un codice da inserire qui per poter installare un software che Adobe permette di scaricare ed installare GRATUITAMENTE.

Ma non è finita: come funziona il codice? Appena inserito nella casella e premuto il pulsante Avanti il programma contatta lo stesso server da cui è stato scaricato e chiede l’URL: /it/check_code.php?CODE0=codice che risponde NOK se il codice è sbagliato, mentre risponde OK se il codice è giusto. Di seguito, se il codice è giusto, ossia se il server ha risposto OK, l’installer chiede questo URL, sempre dal server da cui è stato scaricato: /it/installflashplayer.exe, che, indovinate un po’, è lo stesso file identico (confrontato bit per bit) che si scarica dal sito di Adobe, gratis e senza alcuna operazione aggiuntiva.

Conclusioni

Il sito, pur presente negli annunci di Google, non offre nulla di particolare, certamente niente che valga sei euro. La stessa cosa si può scaricare ed installare direttamente dal sito Adobe a costo zero. Ancora, non ho esaminato a fondo l’eseguibile dell’installer, per cui non posso escludere la presenza di altre feature poco simpatiche e ancora meno benevole. Il nome assegnato all’eseguibile da molti antivirus non è per nulla rassicurante: backdoor, dialer, trojan, insomma niente di utile per la salute del nostro computer.

Per maggior sicurezza sconsiglio di visitare il sito, soprattutto con l’accoppiata Windows/Internet Explorer, non si sa mai.

Ripeto, l’unica titolata a fornirci il Flash Player Plugin è Adobe. E lo fornisce gratuitamente. Quindi chiunque richieda il pagamento di una qualsiasi somma per scaricare, installare o attivare il plugin non lo fa per conto di Adobe.

Come sempre: trust on one, Internet è un luogo ostile.

Riferimenti

• Il comunicato dell’AGCOM.
• Il sito Adobe da cui scaricare l’unico e vero Flash Player Plugin.