| Come indagare su un dialer
>> Per studiare il funzionamento di un dialer senza correre
rischi occorrono alcuni ingredienti, purtroppo non tutti a buon
mercato.
>> Il computer "sacrificale"
Si tratta di un PC Windows destinato a essere infettato
installandovi il dialer. A fine indagine, il PC va naturalmente
"sterilizzato" e riportato in condizioni di sicurezza. Per
farlo ci sono due modi:
* dedicare alle indagini un computer apposito, isolato dalla linea
telefonica e dagli altri computer dell'eventuale rete locale. Si
installa Windows e prima di procedere alle indagini si fa un backup
immagine dell'installazione, con programmi come Ghost o Partition
Image o il gratuito Partimage. A fine indagini, si azzera il PC
ripristinando dal backup immagine. * creare un computer sacrificare
virtuale: VMware è un programma che consente di creare "macchine
virtuali" all'interno di un PC. Io uso un PC Linux, nel quale ho
creato una macchina virtuale Windows 98, che si "accende",
si "spegne" e vede tutte le periferiche, modem compreso, ma
vive ingabbiato all'interno di una finestra Linux in modo da non poter
fare danni. VMware consente di scattare un'istantanea delle condizioni
della macchina virtuale e poi ripristinare partendo da
quell'istantanea in pochi secondi. Geniale, ma caro: VMware costa 200
dollari.
Mi raccomando, non fate esperimenti su computer che usate per
lavoro e se non sapete esattamente cosa state facendo. Ci si può far
molto male con questi esperimenti, soprattutto all'altezza del
portafogli.
>> Il modem
E' preferibile avere un modem esterno, separato da quello usato per
connettersi a Internet, e dotato di altoparlante, in modo da poter
udire chiaramente i toni di composizione del numero e vedere, tramite
le spie sul frontale, esattamente cosa sta facendo il dialer (molti
dialer "zittiscono" il modem, ma non possono fare a meno di
accendere le lucette).
Un modem interno è accettabile, ma di gran lunga più scomodo.
La cosa più importante è non collegare il modem-cavia al filo del
telefono, in modo da evitare il rischio di collegarsi davvero a un
numero 899 e trovarsi con una bolletta dolorosa. E' prudente chiedere
comunque la disabilitazione dell'899 al proprio operatore telefonico.
E' essenziale, per la riuscita delle indagini, che programmiate il
modem in modo che componga il numero di telefono senza attendere il
tono di linea: in questo modo compone il numero anche se non è
collegato al filo del telefono.
>> Il software
Per scoprire il numero composto dal dialer, quando ci si imbatte in
un dialer che nasconde il numero ci sono due metodi: uno di forza
bruta e uno più sofisticato.
Il metodo di forza bruta offre la massima affidabilità, dato che
si basa sull'ascolto e sulla decodifica dei toni DTMF effettivamente
composti dal modem. Con questo sistema si è sicuri che il numero
identificato è effettivamente quello che viene composto dal modem e
non è mascherabile in alcun modo. In pratica, si registra
digitalmente l'audio della sequenza di toni composta dal modem e la si
passa attraverso un decoder DTMF, ossia un programma che riconosce i
toni presenti nella registrazione e visualizza le cifre corrispondenti
a ciascun tono. Ho trovato per esempio un decoder DTMF presso
http://www.audio-software.com: costa 169 euro, ma è usabile
gratuitamente in prova per 14 giorni.
In alternativa c'è il metodo più elegante di Portmon: un
programma gratuito, disponibile per Windows 95/98/2000 e NT/XP, che
"sniffa" (intercetta) tutto quello che transita sulla porta
seriale, che è la porta che collega il modem al computer. Lo si
avvia, si clicca sul menu Capture per selezionare la porta seriale
sulla quale risiede il modem e poi si fa partire il dialer; fatto
questo, si cerca "ATDT" o "ATDP" (i preamboli di
composizione di un numero) nella registrazione del traffico effettuata
da Portmon e si guarda il numero che compare subito dopo queste due
sigle: è il numero che il dialer ordina al modem di comporre.
Portmon è disponibile presso http://www.sysinternals.com/ntw2k/freeware/portmon.shtml.
>> Gli strumenti della Rete
Per sapere a chi è intestato il sito reclamizzato dal dialer si
può usare il servizio whois tramite uno dei tanti siti che lo offre,
come Geektools.com (http://www.geektools.com/whois.php), immettendo il
nome del sito senza il prefisso "www". I dati riportati
nella prima sezione dei risultati sono quelli dell'intestatario.
Per sapere dove si trova fisicamente il sito sparadialer si possono
usare vari metodi:
* immettere il nome del sito in VisualRoute.it
(http://www.visualroute.it/vr.asp) * immettere il nome del sito in
Netcraft.com (http://www.netcraft.com/whats) * immettere l'indirizzo
IP del sito nel servizio whois citato prima: questo fornisce spesso le
coordinate dell'Abuse da contattare per segnalare la presenza del
dialer.
>> L'indagine
- Prima fase: l'infezione
La prima cosa da fare è visitare il sito sparadialer con Internet
Explorer usando la macchina sacrificale, e si installa il dialer
proposto, prendendo nota del contenuto delle schermate di
installazione (se sono indicati i prezzi, il nome della società che
offre il dialer, eccetera) o meglio ancora catturando le schermate con
un programma di grafica.
- Seconda fase: scoprire il numero
Fatto questo, si va in Accesso Remoto e si guarda se è stata
creata una nuova connessione: in tal caso si prende nota del numero
composto, se visibile.
Se il numero composto non è visibile oppure non ci sono novità in
Accesso Remoto, per scoprire il numero occorre usare la forza bruta:
lasciare che il modem lo componga, registrare i toni composti usando
un programma di registrazione audio, e dare la registrazione in pasto
a un decoder DTMF oppure a un programma che intercetti la
comunicazione seriale, come descritto sopra.
Scoprire il numero composto è importante, perché consente di
calibrare l'e-mail di segnalazione nel modo giusto: per esempio, se il
sito sparadialer è pornografico e usa una numerazione 899, farlo
bloccare non è un problema, perchè gli 899 non possono dare accesso
a servizi erotici, osceni o pornografici (decreto legge 23 ottobre
1996, n.545, convertito dalla legge 23 dicembre 1996, che ha appunto
vietato "i servizi audiotex dal contenuto erotico, osceno o
pornografico", come descritto presso
http://www.poliziadistato.it/pds/primapagina/899/899.htm).
Se invece il dialer usa una numerazione non italiana (prefissi che
iniziano per 00), l'azione è molto meno diretta e richiede maggior
impegno per avere successo.
Un lettore (f.vanoni) segnala che per i dialer svizzeri (prefisso
0906) "sul sito dell'Ufficio Federale delle Comunicazioni (UFCOM)
vi è la possibilità di verificare a chi sono intestati i numeri 'speciali',
dagli 0800 gratuiti fino agli 090x 'premium Rate'".
- Terza fase: scoprire il provider
Il nome del sito sparadialer rivela facilmente il nome del provider
che lo ospita. Se si tratta di una sottosezione di un sito generalista,
di quelli che ospitano le pagine di chiunque, come Lycos.it o Xoom.it,
è evidente che il provider è appunto il sito generalista.
Se invece il sito sparadialer ha un proprio nome e non è una
sottosezione di un sito generalista (ad esempio www.sparadialer.com),
occorre rintracciare il provider ospitante (hosting provider) usando
gli strumenti della Rete, ad esempio VisualRoute.it
(http://www.visualroute.it/vr.asp).
Guardando l'ultima riga si ottiene l'indirizzo IP del sito sparadialer
e una descrizione della rete che lo ospita
("IT-DADA-970904"), dalla quale è facile capire che si
tratta del provider italiano Dada.it.
Ulteriore conferma viene immettendo il nome del sito in
Netcraft.com (http://uptime.netcraft.com/up/graph?site=www.chetempochefa.it):
- Quarta fase: trovare l'Abuse e il regolamento
A questo punto si visita il sito del provider e si cerca un rimando
alle pagine dedicate alla segnalazione di abusi e simili (nel caso di
Dada.it) in cui sia riportato un indirizzo di e-mail da contattare per
questo tipo di problemi.
Se il sito del provider non fornisce un indirizzo, si può
immettere il nome del provider in whois per scoprirlo o per avere un
numero di telefono da chiamare per chiederlo. Di solito, comunque,
l'indirizzo di e-mail per le segnalazioni di abusi del servizio è del
tipo abuse@nomeprovider.
Se possibile, si reperiscono anche le condizioni di contratto (Acceptable
use policy) del provider, in modo da verificare se ci sono clausole
che vietano espressamente i dialer.
- Quinta fase: scegliere il compartimento della Polizia delle
Comunicazioni di zona
Fra i dati del provider c'è di solito anche l'indirizzo della sede
legale. Se si trova in Italia, vale la pena di coinvolgere anche la
Polizia delle Comunicazioni, mandando copia della segnalazione via
e-mail al Compartimento regionale della regione in cui è situata la
sede. L'elenco degli indirizzi è presso http://www.poliziadistato.it/pds/informatica/contatti.html.
Se non è chiaro dove sia ubicato il sito, potete comunque inviare
segnalazione all'indirizzo generale poltel.milano@mininterno.it.
- Sesta fase: la letterina
Occorre tener presente che il provider non è quasi mai complice di
chi usa i dialer. Va trattato di conseguenza: in modo fermo ma
cortese. Occorre anche evitare di protestare per dialer che fanno
legittimamente il loro lavoro, ossia avvisano chiaramente dei costi
sostenuti dall'utente e non si autoinstallano in modo ostile.
Usando i dati reperiti nelle fasi precedenti, si scrive un e-mail
all'Abuse del provider e in copia carbone (CC) all'indirizzo della
Polizia delle Comunicazioni, con una falsariga di questo genere:
Oggetto: Vostro sito contenente dialer
Spettabile Azienda,
desidero segnalare che il sito [sito sparadialer], che risulta
in hosting presso di Voi, è in violazione delle leggi italiane
[facoltativo, se pertinente:] e della vostra Acceptable Use
Policy
Nella fattispecie, induce allo scaricamento di un cosiddetto
"dialer" che collega a una numerazione [specificare il tipo]
899 (audiotex).
[se è un sito porno su numero 899:] La violazione delle leggi
italiane si configura in quanto i dialer che danno accesso a servizi
pornografici tramite numerazione a prefisso 899 (audiotex) sono
vietati dal decreto legge 23 ottobre 1996, n.545, convertito dalla
legge 23 dicembre 1996, che ha appunto vietato "i servizi
audiotex dal contenuto erotico, osceno o pornografico"
(http://www.poliziadistato.it/pds/primapagina/899/899.htm).
Con la presente segnalazione che vi mette a conoscenza del
comportamento illecito, la Vostra azienda diventa civilmente
responsabile per tale attività e si attiva il Vostro obbligo di legge
di agire, secondo quanto previsto dall'art. 17 c. 3 d. lgs. 70/2003.
Vi esorto pertanto a prendere gli opportuni provvedimenti per
far cessare immediatamente l'attività illecita del Vostro cliente.
Copia della presente è inviata per conoscenza al Compartimento
regionale competente della Polizia delle Comunicazioni.
A Vostra disposizione per qualsiasi chiarimento via e-mail
presso [vostro indirizzo di e-mail] e telefonicamente al numero
[omesso per privacy]
Distinti saluti
[firma]
E poi non resta che aspettare. |
