Kaspersky segnala Adsense come contenente codice malevolo

Ebbene si, sono le 3:00 di notte, improvvisamente Kaspersky mi segnala su qualsiasi sito contenente Adsense la presenza di codice malevolo in questo script     http://pagead2.googlesyndication.com/pagead/show_ads.js

La prima volta l’avviso era rosso, ora lo blocca in automatico e mostra questo blu.

Sarà Kaspersky a dare un falso positivo oppure è Google che si è fatto bucare?

Siti dei comuni hackerati da spammer per inserire link

Una piccola curiosità dal mondo black hat seo.

Mi è capitato di notare un sito di un comune della mia provincia con dei link a siti vendono le celebri pillole blu anti-impotenza (non le cito per evitare che Google pensi male di questo sito). Ovviamente immagino ci sia stato qualche “hacker” (chiamiamolo così) che ha sfruttato dei bug (classico SQL Injection) del sito per inserire dei link del tutto abusivi.

Date uno sguardo a questa serp e noterete quanti siti di comuni italiani sono stati bucati per inserire dei link su quelle pillole. Sicuramente ne esistono tantissimi anche per altri argomenti.

Fare una ricerca simile alla mia sui vostri siti potrebbe aiutarvi ad individuare link abusivi, inseriti da qualche spammer e spesso causa di penalizzazioni da parte di Google, esattamente come Google stesso suggerisce.

Falsa offerta di lavoro, attenti all’inganno potreste finire in tribunale

Qualora riceveste una mail simile alla seguente, sappiate che queste persone cercano degli ingenui da ingannare.

Offrono un lavoro che consiste nel farsi pagare dai loro clienti su di un conto corrente. Ovviamente i clienti saranno truffati e se non si fanno pagare direttamente su loro conto è proprio per questo.

Perciò passate parola, è un peccato ritrovarsi in tribunale a dover dimostrare la propria buona fede per colpa di questi infami.

Tra l’altro piccolo dettaglio che vale sempre, quando nelle email notate caratteri strani (come questo и) al posto delle lettere accentate, drizzate subito le orecchie, perché quasi sempre significa che si tratta di testo scritto da chi utilizza una codifica differente tipo il cirillico.

La Societа D***E HA****ON SRL cerca per l’Italia un Book-Keeper/Representative

L’attivitа и stata studiata in modo da non gravare sul tuo lavoro
principale e ne comportarti alcuno stress, bensм nell’aiutarti a
risolvere i problemi legati al costo della vita attuale. La D***E HA****ON SRL и una piccola societа che tratta il commercio di differenti
lavori artigianali e artistici, come quadri e sculture, prodotti
artigianali e tessili, provenienti maggiormente dall’Africa e
dall’Asia, cravatte e coloranti. E’ stato riscontrato dalla Societа
un ritardo significativo nei pagamenti da parte delle societа
clienti, che preferiscono effettuare il saldo delle fatture con
assegni bancari e circolari, i quali difficilmente possono essere
incassati al di fuori dell’Europa.5.000 Ђ al mese Ho quindi bisogno di una persona
che ricopra la figura di rappresentante legale della nostra Societа e
che segua tutto il processo dei pagamenti che provengono dai miei vari
clienti, e che avvengono ogni settimana. Questo и il motivo per cui ho
deciso d’incaricare un rappresentante in Italia, che possa aiutare nel
raccogliere i pagamenti, che difficilmente potrei seguire dal paese in cui mi trovo.

Spero di trovare un positivo riscontro da parte Sua. TUTTO CIO’ CHE
DOVRAI FARE E’ RICEVERE I PAGAMENTI DAI MIEI CLIENTI IN EUROPA
(DIPENDE DALLA LOCALITA’ IN CUI TI TROVI) E INCASSARLI NELLA TUA
BANCA. DEDURRAI DALLA CIFRA IL 10%, QUALE COMMISSIONE PER L’ESERCIZIO
DA TE SVOLTO, E TRASFERIRAI IL RESTO AL RAGIONIERE DELLA SOCIETA’ PER
MEZZO DI WESTERN UNION MONEY TRANSFER, ECC.

I pagamenti che arriveranno saranno emessi a nome tuo, cosм come
informerт i miei clienti di fare. La mia precedente rappresentante Paolo Mura si и trasferita con la sua famiglia in Nuova Zelanda
ed и per questo motivo che cerco un altro rappresentante. Avrт
bisogno da parte Sua delle seguenti informazioni:

Nome ________________________________
Cognome_____________________________
Eta_________________________________
Indirizzo / N0_____________________
CAP _________________________________
Citt _______________________________
Provincia __________________________
Cellulare ___________________________
disposizione di un conto corrente (informazione facoltativa).

Se siete interessati a questa offerta e vogliono lavorare per noi, la ringrazio cortesemente fornire le seguenti informazioni via e-mail,

Cordiali saluti,

D***E HA****ON SRL

Navigare anonimi, sicuro per davvero?

Esistono decine di servizi online, alcuni gratuiti, altri a pagamento, che offrono navigazione “anonima”.

La domanda nasce spontanea: si è anonimi per davvero usando questi siti?
La risposta è per certi versi scontata: su Internet vi possono essere vari gradi di anonimato, ma mai l’anonimato in senso assoluto.

Su siti che gestisco mi è capitato molto spesso di ricevere visite da Anonymouse.org.

In particolare in un caso si trattava di un utente di un forum che voleva inviare insulti  senza essere rintracciabile.
Ma ha solo avuto il merito di stimolare la mia fantasia informatica…

Il metodo che illustro di seguito, ideato da me, ma non escludo possa essere stato usato anche da altri, mi servì a bloccare e  ad individuare quel malintenzionato che giocava a nascondino.

L’esempio sarà sviluppato a grandi linee proprio considerando Anonymouse.org, ma il metodo può essere riadattato, ampliato e impiegato anche per altri servizi.

Analisi del servizio:

Sul sito http://anonymouse.org/ è presente un campo in cui è possibile digitare un qualsiasi indirizzo web da visualizzare in forma anonima.

La pagina web viene dunque richiamata dal server di Anonymouse, che si comporta come un proxy.
Tutti i link all’interno della pagina (link testuali, richiami di css e javascript e immagini) vengono sostituiti con altri filtrati, per evitare che  si perda l’anonimato. Cioè, ad esempio, se si visita una pagina di www.matarrelli.com, i link alla home page contenuti nel codice html diventano tutti di questo tipo:

http://anonymouse.org/cgi-bin/anon-www.cgi/http//www.matarrelli.com/

Così anche cliccando si rimane schermati. Altrettanto vale per tutti i link ad altre pagine e per i richiami javascript e le immagini che diventano del tipo:

http://anonymouse.org/cgi-bin/anon-www.cgi/http//www.matarrelli.com/script.js

http://anonymouse.org/cgi-bin/anon-www.cgi/http//www.matarrelli.com/immagine.jpg

In questo modo navigando si rimane sempre anonimi, anche gli script e le immagini non sono richiamati col proprio ip e con il proprio user agent, ma con quello di Anonymouse..
In parole povere non si lascia mai traccia perché nessuna richiesta è effettuata direttamente dal browser dell’utente al server di destinazione.

Allora come fare a riconoscere l’utente?

Agiamo in maniera ibrida, coniugando operazioni lato server con javascript, che agisce notoriamente lato client.

Le richieste al server fatte da Anonymouse hanno due caratteristiche:

1. Ip, che però potrebbe cambiare nel tempo. Non ho effettuato verifiche in tal senso;
2. User Agent, che è sempre lo stesso ed è http://Anonymouse.org/ (Unix);

Soffermiamo la nostra attenzione sullo user agent, che è costante nel tempo.
Possiamo istruire il server affinché lo riconosca e compia delle operazioni “speciali”.
Possiamo, se siamo su piattaforma Apache, impostare l’htaccess affinché ogni qual volta lo user agent contine la parola Anonymouse anzichè mostrare la pagine richiesta, mostri una pagina ad hoc denominata anonimo.php

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} Anonymouse
RewriteRule (.*) anonimo.php

Con questo passaggio abbiamo già inibito l’accesso al sito, in quanto l’utente non vede la pagina richiesta, ma sempre la pagina anonimo.php

Però noi vogliamo fare di più, vogliamo scovare l’ip reale dell’utente. Qui entra in gioco il codice javascript che verrà inserire nel file anonimo.php.

Come anticipato, qualsiasi richiamo javascript viene sostituito nella versione schermata, dunque il codice originale:

<script type=”text/javascript” language=”javascript” src=”http//www.matarrelli.com/script.js” ></script>

viene sostituito:

<script type=”text/javascript” language=”javascript” src=”http://anonymouse.org/cgi-bin/anon-www.cgi/http//www.matarrelli.com/script.js” ></script>

Dobbiamo necessariamente ingannare il bot che effettua le sostituzioni.
Un metodo per farlo, molto semplice ed efficace, consiste nel non scrivere un indirizzo completo di richiamo, ma nel far effettuare il richiamo a javascript stesso, spezzettandolo opportunamente. Ecco cosa intendo:

<script type=”text/javascript” language=”javascript”>
document.write(‘<script type=”text/javascript”‘+’ language=”javascript” s’+'rc=”‘);
document.write(‘ht’+'tp’+'://’+'ww’+'w.’);
document.write(‘matarrelli’+’.com’);
document.write(‘/script.j’+’s” >’);
</script>

In questo caso javascript stesso richiama un altro script, ricostruendone l’indirizzo originale da più pezzetti di stringa. Anonymouse non riuscirà ad individuare l’operazione, che non verrà perciò schermata.

Il richiamo al file script.js viene effettuato direttamente dal browser dell’utente al server che contiene la pagina web. Anonymouse è del tutto bypassato.

Nel file script.js possiamo inserire varie cose, la cosa più semplice è inserire il redirect ad un file che proceda a memorizzare l’ip e lo user agent originale dell’utente:

document.location.href=”http://www.matarrelli.com/log.php”;

Il file log.php può essere costruito molto semplicemente:

<?php

$filename = “anonimi.php”;

//pesca i dati dell’utente
$ua = $_SERVER["HTTP_USER_AGENT"]; // user agent
$ip= getenv(‘REMOTE_ADDR’); // indirizzo ip

// individua l’esatta ora e data
$giorno= date(“D”);
$data = date(“d”);
$ora = date(“H”);
$minuti = date(“i”);
$mese = date(“F”);
$anno = date(“Y”);

//memorizza i dati nel file di nome $filename
if(!($fp = fopen($filename,”a”))) die (“non riesco ad aprire o creare il file”);
$html = “<p style=\”font-size:9px;\”>”.” “.$data.” “.$mese.” “.$anno.” – “.$ora.”:”.$minuti.” \n”.”  User Agent: “.$ua.” \n”.”  IP: “.$ip.” \n”.” </p>”;
fwrite ($fp, $html);
fclose($fp);

?>

Nel file anonimi.php viene memorizzata la data e l’ora della visita, insieme a ip e user agent originali.

Missione compiuta,  l’anonimo è smascherato.

P.S. grazie all’individuazione dell’ip (non sapete che soddisfazione ) l’utente fu bannato dal mio forum sia con il nickname anonimo che aveva creato sia con quello che usava abitualmente per scrivere.

Problemi di sicurezza sul sito 155.it

Deformazione mentale, o forse esperienza di anni, ma mentre navigo su un qualsiasi sito che conserva mie informazioni personali, mi capita di chiedermi quanto sia sicuro.

Così, dal primo momento in cui mi sono iscritto sul 155.it, non ho potuto fare a meno di accorgermi di alcune sviste, piuttosto banali, che permettono l’accesso ad alcune informazioni riguardanti una qualsiasi linea Wind, anche di utenti non iscritti al sito.

Di questo vi voglio parlare, ma non prima di aver segnalato accuratamente e dato il tempo ai tecnici Wind di sistemare tutto… Ho già inoltrato una richiesta tramite il loro modulo dei contatti.

Perciò l’appuntamento è rinviato ai prossimi giorni…