Tra commenti ed email, impazza ancora sul blog la discussone sulle email della Sarti (l'altra volta mi sono confuso con la Salsi) e cosi', visto che il 9 maggio e' fasta in Germania e piove che Dio la manda, mi sono messo a dare un occhio - senza darlo davvero per via delle leggi locali - a cio' di cui si parla. Sono i pomeriggi uggiosi , quando per vincere la noia prendere in mano CPAN e perl.
E' difficile avere a che fare con questioni di sicurezza informatica, per diversi motivi. Il primo e' che possiamo parlare di un problema di sicurezza olistica o di uno di sicurezza della rete vera e propria, e potete giurarci che il vostro attaccante cerchera' di spacciare per un attacco di rete quello che e' invece un accesso fisico non autorizzato.
Il motivo e' che, di solito, i filmati che ritraggono gli accessi fisici durano meno dei log tenuti sui sistemi informatici. Il che significa, essenzialmente, che se riusciamo ad ingannare qualcuno spacciando per assalto informatico un accesso fisico, entro qualche giorno non esisteranno piu' i filmati dell'accesso fisico.
Il vostro attaccante, quindi, si sforzera' quasi sempre di farvi credere di aver "hackerato" qualcosa, anche quando ha pagato una donna delle pulizie per trafugare dei nastri da un robot DLT. Cosi', quando vi dicono che, secondo gli esperti, la mail di Giulia Sarti sarebbe stata forwardata su gmx usando un fetchmail, direttamente dalla casella della sarti, la prima cosa che dovete fare e' dubitarne. O meglio, a contestualizzare.
Ho potuto scaricare da par-anoia i files che sarebbero stati piratati informaticamente , e ovviamente il primo dei miei problemi e' che la legge tedesca mi impedisce di leggere quei file. Posso tenerli perche' il garante italiano non ha effetto qui, ma non posso leggere al contenuto.
Cosi', quello che ho potuto fare e' accedere ad alcuni headers smtp, e fare alcune analisi, osservando cioe' i nomi dei files (che in una directory MAILDIR hanno un loro significato preciso) e cercando di capire un attimo se vi sia qualche coerenza o qualche incoerenza , e specialmente se ci siano delle assunzioni false o meno.
Per esempio: le directory cur e new mostrano lo status dei messaggi secondo una precisa sintassi, ma esse rispecchiano la struttura avuta sul server di origine oppure no, qualora si istruisca fetchmail di conservare tale status. Fetchmail sembra essere stato istruito a riguardo, perche' alcuni file sono in cur e altri in new, e lo sono in maniera piuttosto coerente, ma se quella della Sarti e' una casella vecchia di svariati anni, non e' quello lo stato che mi aspetto sul server. Oppure, la Sarti ha un bel pochino di arretrato.
Ovviamente l'ordine di lettura potrebbe essere stato cambiato DOPO, istruendo fetchmail di scaricare la posta e POI andando a leggere i messaggi, cosa che sembra quasi essere avvenuta. Il periodo di scaricamento sembra essere molto lungo, ma i nostri hacker si sono dimenticati di un piccolo dettaglio. Quadra. O meglio quadrerebbe. Perche' i nostri hacker hanno dimenticato un dettaglio, legato al fatto che se volevano conoscere le email inviate da quei grillini, e' proprio l'unica cosa che NON hanno fatto. Afferrato?
Insomma, gira e rigira e' magari verissimo che le mail sono state girate su un account gmx, che vengano da un account hotmail, ma e' anche vero che da uno che puo' accedere alla posta inviata, l'accesso ad una inbox e' un pochino, come dire, "limitativo". Sembra quasi che l'unico accesso di questi pirati sia avvenuto con POP3, che non permette di scaricare la posta inviata, quando con le stesse credenziali potevano scaricare anche quella via imap4/http , oppure che avessero accesso solo a un computer configurato per scaricare usando POP3, il che li limitava alla posta inviata.
Se volete capire la differenza, potete semplicemente aprirvi un account su hotmail, uno su gmx, e poi trasferire la posta da uno all'altro. Poi confrontate i vostri header con quelli dei messaggi. Noterete una differenza essenziale. E la noterete specialmente se conoscete la sequenza POP3 LIST/UIDL-RETR.
E' altrettanto ovvio che chi irrompe nella vostra casella di email non voglia farsi raggiungere, cosi' c'e' stato un trasferimento e tutto quanto, ma si tratta essenzialmente di un bel gioco per ripulire i segni di una effrazione al client POP3, e se esaminate la differenza con le email di Tancredi Turco e dell'altro parlamentare su yahoo, capirete subito il perche' non si siano dovuti incancrenire a fare il passaggio su gmx nel loro caso. Specialmente se andate a mettere, negli stessi periodi di tempo, le email di bernini e le mail della sarti, che secondo gli header sarebbero stati consolidati nello stesso account di gmx.
E ripeto, tutto questo potete farlo semplicemente esaminando gli header SMTP e il nome dei files nel caso degli utenti hotmail, cioe' senza leggere i contenuti dei files, ovvero rispettando le leggi. (almeno quella tedesca nel mio caso. In quello italiano dovreste cancellarle). Per piu' informazioni su come leggere gli headers senza contenuti , cercate su google "perl cpan Mail::Audit".
Sembra, stranamente, che i nostri Hacker del PD conoscessero le credenziali, ma fossero limitati al protocollo POP3. Strano, perche' non mancano cose come Mail::IMAPClient , o anche , nel cpan, WWW::Hotmail non e' cosi' difficile scaricare tutto, conoscendo le credenziali.
Sembra, stranamente, che i nostri Hacker del PD conoscessero le credenziali, ma fossero limitati al protocollo POP3. Strano, perche' non mancano cose come Mail::IMAPClient , o anche , nel cpan, WWW::Hotmail non e' cosi' difficile scaricare tutto, conoscendo le credenziali.
Ma se non conoscessimo le credenziali, e potessimo solo accedere fisicamente a dei client pop3 che le conoscono, questo e' il massimo che saremmo capaci di fare. La domanda e': che cosa ha limitato gli hacker del PD al protocollo POP3, che non poteva scaricare la posta inviata?Io sospetto che questi signori siano stati limitati dal fatto di non conoscere affatto le credenziali e di non avere un reale accesso alle cassette di posta, ma di poter accedere ai computer client che scaricavano la posta con POP3.
Ovviamente dovrete fare una prova di ripetere l'esperimento, cioe' creare UN account di gmx, col quale scaricherete DUE account ad intervalli regolari, nello stesso intervallo di tempo.(1)
Ripeto: siccome ci sono le indagini in corso non voglio star li' a rompere, ma la mia convinzione personalissima, dopo aver esaminato gli header di quei messaggi ma non i messaggi, e' che ci siano state delle intrusioni fisiche sui computer dei parlamentari, e piu' di una. E che DOPO qualcuno si sia messo ad iniettare provvidenziali headers , fare giochini di trasporto, etc, per nascondere l'accesso fisico illegale.
Ma non e' di questo che vorrei parlare, bensi' del contenuto.
Voi direte: ma tu non puoi visionare un contenuto.
Vero. Ma un computer puo' farlo. Esistono svariati sistemi di parental control filter online, molti dei quali hanno una comoda interfaccia http, facilissima da implementare in perl. Basta passare i contenuti delle caselle ad un filtraggio, e si ottiene facilmente che, per la Sarti (quella assalita in maniera piu' vigliacca)
16 files ICRA 2005 na1+nb1,xa
07 files ICRA 2005 nz1,sa1
01 files ICRA 2005 nc1+sc1,ca1
Il linguaggio scritto di quelle email e' considerato
21 files su 7700 ICRA 2005 la1,lc1
08 files su 7700 ICRA 2005 of1,lb1
02 files su 7700 ICRA 2005 oc1
in soldoni, significa che laddove esistono le policy piu' restrittive sui minori, la mail della Sarti e' visibile dopo i 12/14 anni con la sola eccezione di 3 files. Considerato che conosco quei sistemi e si tratta di sistemi che producono falsi positivi (2), direi che - si vedono i genitali di una persona UNA volta (e non posso sapere se sia lei, peraltro), che un paio di volte contiene discorsi tipo quelli di Grillo, e in questa 8 volte su 7700 email si dice "cazzo". 21 volte ha usato o letto cose come "negro", "stronza" ed altro. Oddio, quanto "porno".
Ora, capite che con una simile densita' di porno, la Sarti sia praticamente un'educanda. Ho gestito sistemi con parental control e content rating, e onestamente, una densita' cosi' bassa e' rara. Specialmente se consideriamo che molta di quella roba viene RICEVUTA dalla Sarti, e che dentro c'e' roba detta da Grillo con la sua consteta finezza.
E QUINDI MI FA INCAZZARE UN TITOLO COME "PORNORICATTO".
Non c'e' nessun cazzo di pornoricatto. So bene che i furboni che hanno scritto il titolo "Pornoricatto" si metteranno a cianciare di questioni soggettive, o di giudizi che sono personali. Ed e' per questo che ho usato uno standard internazionale di content rating come ICRA/FOSI.
Se dovessimo andare in un tribunale a decidere se il "porno ricatto" derivi da qualcosa di "porno", appunto, scopriremmo che la Sarti, in sei anni, ha prodotto meno pornografia di Libero, che secondo la classificazione ICRA-FOSI se la cava MOLTO PEGGIO.
Ma il punto e' che in 6 anni i contenuti INADATTI ai bambini siano 25 volte meno di quelli apparsi sulla repubblica in un giorno, e secondo lo stesso software , ~370 volte meno di una sola settimana di tgcom.it!
In pratica, nel pornoricatto manca proprio una cosa: il porno.
E sia chiaro, non sto menzionando il fatto che ---oops--- chi ha acceduto alla casella di posta di questi signori non sia MAI riuscito a scaricare la posta inviata (sembra quasi che abbiano acceduto ad un PC seminuovo che scarica la inbox via POP3 e solo quella, eh? Come se qualcuno avesse formattato un pc da zero per farlo usare ad un nuovo parlamentare e questo si sia sincronizzato via POP3 solo la inbox. OOOps!).
Sembra, stranamente, che i nostri Hacker del PD conoscessero le credenziali, ma fossero limitati al protocollo POP3. Strano, perche' non mancano cose come Mail::IMAPClient , o anche , nel cpan, WWW::Hotmail non e' cosi' difficile scaricare tutto, conoscendo le credenziali.
Ma se non conoscessimo le credenziali, e potessimo solo accedere fisicamente a dei client pop3 che le conoscono, questo e' il massimo che saremmo capaci di fare.
In pratica, cioe', non siamo nemmeno certi - e non posso esserlo senza guardare il messaggio, cosa vietata - che la Sarti abbia INVIATO quella roba, anziche' averla ricevuta.
Ora, io so benissimo che questi Hacker del PD non erano interessati alle mail INVIATE , cioe' alle cose scritte da lei, ma solo a quelle ricevute, cioe' a quelle scritte da altri. Se vuoi sputtanare uno, cerchi le cose che gli dicono gli altri e non quelle che dice lui, isn't it? E considerando che c'e' una sola foto equivoca in 7700, le probabilita' dovevano essere davvero alte se avete trascurato la posta inviata, isn't it?
Quindi, se attribuiamo quelle cose alla Sarti, occorre che qualcuno abbia spedito a lei delle foto compromettenti... di lei. Altrimenti sarebbero tra la posta inviata, e non tra quella ricevuta, right?Anzi, a dire il vero non sappiamo cosa ci sia in quella inviata, visto che non e' stata scaricata in nessun caso.
Qui entra in gioco la mia seconda incazzatura. Anche ammettendo che la Sarti abbia ricevuto foto esplicite di lei, parliamo di foto ricevute visto che gli Hacker hanno "dimenticato" quella inviata(toh, che sbadati!), come se avessero avuto a disposizione solo un computer seminuovo che aveva aggiornato solo la inbox.
Dov'e' il "pornoricatto"? E specialmente, dov'e' il "porno"?
E qui andiamo al secondo punto, cioe' il mix di inesperienza e di abilita' politica.
La Sarti potrebbe tranquillamente difendersi - specialmente nei confronti di Libero - obiettando semplicemente che si tratta di fotografie ricevute e non inviate, e che sia successo - forse - una volta che ha inviato roba piu' sexy. Dico "forse" perche' si tratta di posta ricevuta.
Lo avrebbe potuto fare , compresa una catastrofica querela ad un certo giornale (anche piu' di uno), se un cosi' "premuroso" Garante non avesse vietato di discuterne. Avete presente quando voi fate a cazzotti , e alcuni premurosi pacifisti vi dividono dall'avversario solo nel momento in cui siete voi a menare, e spariscono mentre mena lui?
Ecco, questo e' il punto.
- Qualcuno ottiene le email ricevute (ma non quelle inviate) dalla Sarti.
- I giornali parlano di "Pornoricatto", inventando la parte porno.
- Arriva il garante che, oh, vieta di parlare delle foto, e cosi' non si puo' sputtanare alcun giornale.
L'intervento del garante, in definitiva, ha semplicemente impedito alla Sarti una clamorosa querela verso chi ha parlato di "pornoricatto". E qui arriva la mia seconda incazzatura.
Adesso quindi, vado a concludere con alcuni consigli:
- Agli "Hacker del PD": se davvero avete accesso gli account, e volete sputtanare qualcuno, scaricate anche la posta inviata. Se scaricate solo quella ricevuta, qualcuno pensera' che abbiate avuto un accesso fisico illegale ad un computer appena installato/formattato, appena configurato per scaricare solo la imbox, tipo quelli dei nuovi parlamentari, e poi abbiate piciulato un pochino per far credere alle mailbox violate in rete. E' difficile, capito, pensare che uno con l'accesso alla mailbox poi non scarichi la posta inviata, che fa vedere le cose imputabili alle persone. Eccazzo, basta fare un grep qualcosa | wc -l per notare la mancanza di un "From: " specifico. E no, le mailing list che mandano messaggi a nome tuo non fanno testo. Inoltre, iniettare degli header e' sempre pericoloso, quando non si conosce l'architettura di una grossa server farm: si rischia di far sembrare che facciano tutto con un pugno di calcolatori. Gmx addirittura sempre con quello.
- Ai giornalisti di Libero: in questi casi, il linguaggio tecnico e' essenziale. Se sono violate le caselle postali, si scrive che sono state violate le caselle postali. Se - sono certo, per un lapsus freudiano ed una mancanza di dimestichezza - titolate che "Gli hacker hanno rubato dai computer dei parlamentari" (e non "dalle caselle di posta elettronica") , e qualcuno nota che manca la posta inviata, e qualcuno (IO) sospetta che ci sia stato accesso fisico, sembra quasi che voi sappiate di preciso come siano state ottenute quelle email. Io non affermo una cosa del genere (sia chiaro!), ma se un maligno la affermasse, sarebbe difficile per voi dimostrare il contrario. Perche' passi essere scambiati ingiustamente per hacker, ma essere scambiati per Hacker DEL PD per voi di Libero sarebbe davvero troppo.Isn't it?
Ecco, oggi sono in vena di buoni consigli. E come si dice per i buoni consigli: a buon intenditore , poche cazzuole.
O no?
Uriel
(1) Ovviamente nessuno sospetta , nemmeno io - LOL - che gli header di gmx siano stati iniettati artificialmente. E' ovvio che hotmail usi 6 server in croce per il roudrobin, con questa distribuzione statistica:
1927 pop3.hot.glbdns.microsoft.com [157.55.1.215]
88 pop3.hot.glbdns.microsoft.com [65.54.51.39]
2055 pop3.hot.glbdns.microsoft.com [65.55.162.199]
1481 pop3.hot.glbdns.microsoft.com [65.55.172.253]
2056 pop3.hot.glbdns.microsoft.com [65.55.32.247]
43 pop3.hot.glbdns.microsoft.com [65.55.39.135]
per uno dei due, mentre lo stesso served di gmx, nello stesso periodo di tempo, sempre per scaricare da hotmail la posta di bernini, ha questo:
585 pop3.hot.glbdns.microsoft.com [157.55.1.215]
65 pop3.hot.glbdns.microsoft.com [65.54.51.39]
532 pop3.hot.glbdns.microsoft.com [65.55.162.199]
428 pop3.hot.glbdns.microsoft.com [65.55.172.253]
297 pop3.hot.glbdns.microsoft.com [65.55.32.247]
44 pop3.hot.glbdns.microsoft.com [65.55.39.135]
Ed e' assolutamente sicuro che per giorni e giorni userete gli stessi.La distribuzione e' cosi' cattiva che inizialmente mi sembrava che il RR funzionasse in maniera perlomeno discutibile. Anche cosi' ci sarebbero da stabilire delle cose, ma non ho i mezzi per farlo.
1927 pop3.hot.glbdns.microsoft.com [157.55.1.215]
88 pop3.hot.glbdns.microsoft.com [65.54.51.39]
2055 pop3.hot.glbdns.microsoft.com [65.55.162.199]
1481 pop3.hot.glbdns.microsoft.com [65.55.172.253]
2056 pop3.hot.glbdns.microsoft.com [65.55.32.247]
43 pop3.hot.glbdns.microsoft.com [65.55.39.135]
per uno dei due, mentre lo stesso served di gmx, nello stesso periodo di tempo, sempre per scaricare da hotmail la posta di bernini, ha questo:
585 pop3.hot.glbdns.microsoft.com [157.55.1.215]
65 pop3.hot.glbdns.microsoft.com [65.54.51.39]
532 pop3.hot.glbdns.microsoft.com [65.55.162.199]
428 pop3.hot.glbdns.microsoft.com [65.55.172.253]
297 pop3.hot.glbdns.microsoft.com [65.55.32.247]
44 pop3.hot.glbdns.microsoft.com [65.55.39.135]
Ed e' assolutamente sicuro che per giorni e giorni userete gli stessi.La distribuzione e' cosi' cattiva che inizialmente mi sembrava che il RR funzionasse in maniera perlomeno discutibile. Anche cosi' ci sarebbero da stabilire delle cose, ma non ho i mezzi per farlo.
(2) Li uso per filtrare i contenuti di mia figlia, quando gironzola per il web. Anche se state dietro al monitor con lei, quando vedete i contenuti assurdi e' troppo tardi. Per come li ho regolati, bloccano in caso di sospetto, cioe' a volte vedo sul monitor una o due immagini perse e alcune pagine vietate. Nel caso della Sarti, se avessi girato per la sua email, avrei avuto ben 1 immagine persa e qualche decine di pagine bloccate IN SEI ANNI.
(3) Ho usato la classificazione ICRA/FOSI :