martedì 18 dicembre 2007

Postcard.com ci prova con me. Illusi! :)

Date un'occhiata a questa e-mail che mi sono trovato nella casella di posta. Dopo vi dico alcune cosine:

Hello friend ! You have just received a postcard from someone who cares about you!

This is a part of the message:
"Hy there! It has been a long time since I haven't heared about you!
I've just found out about this service from Claire, a friend of mine who also told me that..." If you'd like to see the rest of the message click here to receive your animated postcard!

===================
Thank you for using www.yourpostcard.com 's services !!!
Please take this opportunity to let your friends hear about us by sending them a postcard from our collection !
==================


Brevemente, per chi avesse poca dimestichezza con l'inglese, questo messaggio dice che un mio fantomatico amico, che a suo dire non ha notizie di me da un bel po' di tempo, mi ha inviato una cartolina. Ovviamente, per vederla e leggere il resto del messaggio, devo cliccare sul link ("click here") contenuto nell'e-mail.

Questi messaggi, che apparentemente contengono auguri, cartoline e finti amici che si fanno vivi dopo tanto tempo, vengono messi in circolazione in modo massiccio proprio nei periodi di festa (giusto l'anno scorso - coincidenza - pubblicavo sul mio sito internet la spiegazione di un'altra variante di queste simpatiche e-mail). Il motivo è che i mittenti contano sul fatto che la gente, vedendosi arrivare auguri e cartoline, tende ad abbassare la normale soglia di diffidenza e buon senso (il famoso social engineering) che sono le prime e più importanti difese di fronte a questi tentativi di infezione.

Ma torniamo all'e-mail in questione. Il metodo di infezione è di quelli classici (link a un sito veicola-virus), ma è interessante perché ricorre a un espediente piuttosto in voga alcuni anni fa: quello della doppia estensione del file. Abbiate pazienza, occorre una brevissima spiegazione.

Ogni file ha un'estensione che ne identifica la tipologia e che consente al sistema operativo di aprirlo col programma apposito. Così un file chiamato ad esempio pippo.txt sarà un file di testo e verrà automaticamente associato, se si usa Windows, al Blocco Note. Pippo.jpg sarà invece un'immagine e verrà associata al relativo programma per la visualizzazione delle immagini, e così via.

Una delle assurdità più note e inspiegabili che hanno da sempre contraddistinto i sistemi Windows (almeno fino a Xp, Vista non saprei), è quella di nascondere per impostazione predefinita l'estensione dei file più comuni. Ovviamente l'opzione è modificabile, ma solo a posteriori (magari quando il danno è ormai fatto). Questa "leggerezza" è stata la causa nel corso del tempo di un'infinita serie di disastri informatici, provocati da chi ha sfruttato proprio questa assurda impostazione per ingannare gli utenti. Forse un esempio può chiarire meglio il tutto.

Guardate cosa succede se clicco sul link contenuto nell'e-mail in esame (ovviamente è una cosa da non fare mai, lo faccio solo a scopo dimostrativo):




Salvo il file sul desktop. Ecco come si presenta:




Ecco qua: si tratta di un eseguibile Windows, ma con una particolarità che sta proprio nel nome: play.gif.exe. Piccola appendice al discorso di prima sulle estensioni: in un file che contempla nel proprio nome più di un'estensione, vale sempre l'ultima menzionata. Così, tornando all'esempio di prima, un eventuale pippo.jpg.exe.mp3 sarà una traccia musicale, mentre pippo.jpg.mp3.txt sarà un file di testo.

Come vedete nell'immagine sopra, il mio sistema Linux, che per impostazione predefinita visualizza tutte le estensioni di un file, mi permette di capire senza dare adito a pericolose ambivalenze che si tratta di un .exe, ossia un eseguibile (un tipo di file al quale Windows in genere dice: "prego faccia pure tutto ciò che vuole!").

Bene. Ora trasferisco il file, tramite una chiavetta usb, sulla partizione del disco fisso in cui è installato Xp. Ecco come si presenta:



"Beh, anche Windows lo visualizza con l'estensione completa", potrebbe giustamente obiettare qualcuno. Certo, ma solo perché la modifica alle impostazioni di visualizzazione l'ho apportata io. Proviamo a tornare alle impostazioni di default. In una qualsiasi finestra clicchiamo, nel menù in alto, su strumenti > opzioni cartella > visualizzazione. Una volta qui mettiamo il segno di spunta sulla voce Nascondi le estensioni per i tipi di file conosciuti:




Salviamo quindi il tutto e chiudiamo la finestra: abbiamo così riportato Windows alle impostazioni predefinite. Vediamo adesso come si presenta il nostro famoso file:



Ecco l'infelice magia: non visualizzando l'estensione, un pericoloso (e in questo caso infetto) eseguibile (.exe) è diventato una innocua immagine .gif, uno dei formati per immagini di tipo bitmap più utilizzati nel web. Un qualsiasi utente non particolarmente accorto, vedendo un'estensione di questo tipo (che normalmente identifica appunto un'immagine) potrebbe senza tanti problemi aprire il file pensando di vedere ciò che gli ha spedito il presunto amico.

Le conseguenze sono facilmente immaginabili, viste le particolari peculiarità che si scoprono facendo analizzare il file da un antivirus aggiornato:




A questo punto mi sembra arrivato il momento di tirare alcune conclusioni: mi limito a quelle più semplici e banali:
  • impostate Windows in modo che visualizzi tutte le estensioni dei file. E' il modo migliore per riconoscere quelli pericolosi
  • non cliccate mai sui link che vi giungono all'interno di e-mail da sconosciuti. E non fatelo neppure se il mittente vi sembra noto: al limite contattate telefonicamente chi credete che vi abbia spedito il messaggio per sincerarvi che realmente l'abbia fatto
  • le raccomandazioni del punto precedente vanno applicate anche agli allegati
  • se usate Windows installate un antivirus (uno qualsiasi, non ha importanza, basta che lo aggiorniate regolarmente)
Infine, come ultima opzione - quella che permette un pò di tagliare la testa al toro -, se siete stanchi di tribolare con queste cose, prendete in considerazione l'idea di cambiare sistema operativo, qualsiasi alternativa è infinitamente più sicura di Windows.

Lo so, come soluzione può sembrare un pò troppo radicale, ma consente di risolvere in un colpo solo tutti i problemi di sicurezza (e non solo) che affliggono i sistemi di zio Bill.

2 commenti:

  1. grazie andrea per questo chiarissimo e interessantissimo articolo

    franca

    RispondiElimina

Il post sentenza

La sbornia post sentenza OpenArms ha dato la stura a dichiarazioni giubilanti che a tratti sembrano leggermente fuori dalla realtà. Cominci...