Gli account Gmail sono sempre più preziosi:

• 5 Million Gmail Emails $150.00
• 30 Million Yahoo Emails $250.00

E con soli $99.00 al mese potrete

Salient Features:

1. Sends 300,000 Emails Per Day
2. 2000 Emails Per Shot
3. All emails are delivered to Inbox to major domains like hotmail.com, yahoo.com, gmail.com, gmail.com and others. Guaranteed.
4. Your own PHP Mailer + Password Protected for security.
5. No SMTP Required.
6. Your IP is hidden for anonymity.

Insomma, basta disporre di un budget di circa $300.00 per cominciare (bene).

La versione con i sottotitoli in italiano è disponibile qui

E’ la seconda volta che ho a che fare con episodi che riguardano estorsione di denaro a causa di violazione del diritto di autore su flickr. Ragione per cui ho deciso di scrivere questo post con lo scopo di avvisare gli utenti di questo particolare genere di truffa. Ecco in breve come funziona.

• I truffatori cercano su internet, sui blog in particolare, pubblicazioni di foto prelevate da flickr (ancora meglio se sul post non viene riportata la fonte della foto).
• Prelevano la foto dal sito (o blog che sia) e la caricano sul proprio account flickr cambiandone la data di scatto e di caricamento.
• Le impostazioni di licenza vengono settate a “Tutti i diritti riservati“
• Immediatamente dopo contattano la vittima con una mail formale in cui viene descritta la violazione dei termini di licenza seguita da una richiesta in denaro per metterci una pietra sopra. Concludono la mail con la minaccia di agire per vie legali qualora la vittima si rifiuti di versare la somma (che si aggira intorno ai 100$) sul conto corrente indicato nella mail entro 10 giorni.

Nel primo caso non ha funzionato, e la cosa è scemata nel nulla dopo una serie di email in cui il truffatore cercava di mediare il riscatto, ma nel secondo tineye.com ha trovato la fonte originale della foto su flickr, soggetta a una licenza “Creative Commons 2.0” (per cui l’unico reato commesso dall’utente sarebbe stato quello di non aver citato la fonte) e non “Tutti i diritti riservati” come aveva riportato il truffatore sul suo account flickr.

L’immagine che vedete è la scansione del volantino che un mio collega ha trovato oggi nella cassetta della posta. Non via email ma via posta tradizionale.

Qualora lo fossero stati non sarebbero reperibili così facilmente su internet.

Fino a qualche tempo fa veniva a conoscenza di determinate informazioni solo chi frequentava appositi forum o canali irc. Questi luoghi non sono morti, anzi, continuano ad essere popolati con la frequenza di una volta. Ma oggi, a differenza di prima, pare che si stia facendo sempre più forte la necessità di rendere accessibile a tutti le informazioni sottratte ai big. Questo è un segnale forte, segno che qualcosa sta cambiando.

Giusto per rendere l’idea: questa è recente, mentre questa dork mostra le pagine indicizzate hacked site:pastebin.com. Per una ricerca più affinata è sufficiente inserire le giuste keyword nel motore di ricerca interno al sito Pastebin.

Aggiornamento: LulzSec e Anonymous hanno appena pubblicato i dati del CNAIPIC.

Come Dropbox sacrifica la privacy degli utenti per ridurre i costi

Avrei voluto fare una sintesi ma le riflessioni e i piccoli dettagli che emergono dal post sono così interessanti che sarebbe stato un peccato trascurarli.

In breve, Cardwell ha utilizzato un semplice codice javascript per generare all’interno di una pagina web una immagine nascosta che includa un oggetto di twitter, facebook o gmail. Nello specifico un oggetto che sia visibile solo agli utenti loggati. Se l’HTTP Status Code ritorna un 200 Cardwell può capire se l’utente è loggato (dunque registrato) a quel determinato sito/servizio.

Questo è il codice usato da Cardwell per verificare se un utente è loggato su Gmail

<img style="display:none;"
onload="logged_in_to_gmail()"
onerror="not_logged_in_to_gmail()"
src="https://mail.google.com/mail/photos/static/AD34hIhNx1pdsCxEpo6LavSR8dY
SmSi0KTM1pGxAjRio47pofmE9RH7bxPwelO8tlvpX3sbYkNfXT7HDAZJM_uf5qU2cvDJzlAWxu7-jaBPbDXAjVL8YGpI"
/>

Il tag img punta alla foto che Cardwell ha impostato sul suo account Gmail e, come possiamo vedere dal codice, lo script invoca due funzioni diverse logged_into_gmail e not_logged_into_gmail in base alla risposta http ricevuta.

La url a cui puntare per leggere lo status http non dev’essere necessariamente una immagine, potrebbe trattarsi di una pagina qualsiasi, basta assicurarsi che ritorni un codice 200 solo quando l’utente è loggato.

L’Abusing HTTP Status Codes è sicuramente una tecnica innovativa e merita di essere studiata e approfondita per valutare l’impatto sulla privacy. Sul sito trovate pubblicati alcuni esempi ma vi consiglio di leggere anche i commenti nei quali sono riportati ottimi spunti di riflessioni.

Il progetto è di Francis Brown e Rob Ragan ed è stato presentato al Defcon 18 e Black Hat 2010. Qui i pdf.

I file opml che ho importato sul reader: Google Hacking Alert e Bing Hacking Alert.

Francisco Amato (non fatevi illudere dal cognome, non è un mio parente ma un amico argentino), CEO di Infobyte Security Research, ha pubblicato una breve analisi sul comportamento alquanto anomalo di ÜberTwitter, uno dei più noti client twitter per blackberry.

In breve, tutte le volte che l’applicazione viene avviata, prima di ogni altra cosa, la stessa provvede a far recapitare al proprio server le seguenti informazioni estirpate dal vostro blackberry:

• Personal Identification Number BlackBerry (PIN)
• Phone Number
• e-mail
• Physical Location of equipment

Se tenete minimamente alla vostra privacy disinstallate l’applicazione. Se siete interessati ai dettagli e all’analisi del traffico vi consiglio di fare un salto sul blog e leggere per intero sul post di Francisco.