Sebbene Wind, a fine Maggio, si sia affrettata a dichiare il contrario è sempre più chiaro che i server di Libero sono stati forzati. Difficile sapere se sia successo in un’unica tornata ovvero in tanti piccoli attacchi (probabilmente meno visibili sul carico dei server) ma il furto non si è limitato all’elenco degli utenti registrati al servizio di posta, quanto ad un rastrellamento metodico di tutti gli indirizzi e-mail in rubrica e nella corrispondenza di ogni casella.
Personalmente, ho vari account @libero.it registrati anni prima che nascessero servizi come GMail o Hotmail e mai chiusi per antico rispetto. [1] Molti, da anni, sono in controllo automatico su Gmail, alcuni invece li visito di rado in quanto legati ad attività che non seguo più. [2]
Alcuni giorni fa ho ricevuto il report di fallimento di due invii e-mail (“Mail delivery failed: returning message to sender”) che hanno evidenziato l’effettivo rastrellamento dei server di Libero. Per completezza riporto la notifica, ma se vuoi conoscere le mie conclusioni, salta più giù.
This message was created automatically by mail delivery software.
A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:
la****@unipa.it
SMTP error from remote mail server after RCPT TO:<la****@unipa.it>:
host esva.unipa.it [147.163.1.11]: 550 5.7.1 <la****@unipa.it>:
Recipient address rejected: Message rejected due to:
SPF fail - not authorized.
Please see http://www.openspf.net/Why?s=mfrom;
id=emanuele****@libero.it;ip=162.249.126.30;r=la****@unipa.it
------ This is a copy of the message, including all the headers. ------
Return-path: <emanuele****@libero.it>
Received: from [89.146.110.141] (port=56883 helo=mail.justinb.net)
by server.balletta.com with esmtpsa (TLSv1:DHE-RSA-AES256-SHA:256)
(Exim 4.82)
(envelope-from <emanuele****@libero.it>)
id 1XnOvD-0004qn-TK; Sun, 09 Nov 2014 03:36:36 -0600
Message-ID: <620397178266994CD3EE4C2411FF4294@mail.justinb.net>
From: "emanuele****" <emanuele****@libero.it>
To: "francesco****" <francesco****@libero.it>,
"marco ****" <marco****@gmail.com>, "la****" <la****@unipa.it>
Subject: =?ISO-8859-1?Q?FW=3A=09marco_****_t?=
Date: Sat, 9 Nov 2014 10:36:33 +0000
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_C5BF_F944EC38.50C76C62"
X-Priority: 3
X-MSMail-Priority: Normal
Importance: Normal
X-Mailer: Microsoft Windows Live Mail 16.4.3522.110
X-MIMEOLE: Produced By Microsoft MimeOLE V16.4.3522.110
This is a multi-part message in MIME format.
------=_NextPart_000_C5BF_F944EC38.50C76C62
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
http://familylazer.com/ea/qpnyltxmeseyfesgigaxunu.
vmbnqhxqfowfaifkmfzsqqlsztnn=gdsPerché questa certezza? Perché tra tutti gli indirizzi e-mail @libero.it che ho in collect su Gmail questo è stato l’unico a segnalarmi un tentativo (fallito grazie all’introduzione dell’SPF) di invio malevolo.
La prima domanda che mi son chiesto è stata: cosa ha questo indirizzo e-mail di diverso dagli altri? Come mai quei destinatari? Un semplice login su Libero.it ha svelato il mistero: nelle bozze di quella casella di posta erano rimaste tre mail verso i tre indirizzi utilizzati in quest’attacco (uno di questi era un mio professore dell’università). Nessun altro contatto presente in rubrica, nessun’altra mail in altre cartelle. A differenza di questa, tutte le altre mie caselle @libero.it sono completamente vuote. La tattica dell’ideatore di questo attacco è quindi abbastanza chiara ed ha valore tanto più che, ormai, le caselle si consultano sempre più frequentemente in IMAP.
Tra l’altro, ipotizzo che Wind sia al corrente sia del problema che dell’intrusione, in quanto i suoi record SPF nel 2009 erano:
v=spf1 ip4:212.52.84.101/32 ip4:212.52.84.102/31 ip4:212.52.84.104/29 ip4:212.52.84.112/32 ip4:212.52.84.43/32 ?all
mentre da fine Giugno 2014 sono:
v=spf1 ip4:212.52.84.101/32 ip4:212.52.84.102/31 ip4:212.48.25.128/25 include:srs.bis.na.blackberry.com include:srs.bis.eu.blackberry.com include:srs.bis.ap.blackberry.com -all
Cosa cambia? Indirizzi IP a parte, Wind ha messo in atto una modifica sostanziale.
La regola “?all” finale indicava:
I server e gli IP che ti ho indicato sono i miei o comunque io li autorizzo, ma se per caso ti arriva una mail del mio dominio da altre fonti ignora tutto questo e autorizzala lo stesso
La nuova regola SPF “-all” invece significa:
I server e gli IP che ti ho indicato sono i miei o comunque io li autorizzo e se per caso ti arriva una mail del mio dominio da altre fonti rifiutala
In pratica Wind ormai sta segnalando agli altri mail-server nel mondo di accettare la posta proveniente solo tramite i server da lei indicati e di rifiutare tutto il resto come metodo per contrastare queste ondate di spam da server sconosciuti.
Personalmente credo che farò transitare sempre meno posta dai loro server. Non mi preoccupa il furto dei dati (quello – purtroppo – può accadere a qualsiasi provider), quanto il silenzio stampa che regna intorno tutto questo: come fidarsi in futuro?
Emanuele
[1] Quando ho iniziato ad usare il web si navigava con “Yahoo Directory” e DMOZ, contenenti elenchi di siti web ed esisteva una regola – semplice e ormai sconosciuta ai più giovani – che sosteneva che “un buon link è un link che non muore mai”. Credo che nell’era dei servizi di short-url, quest’educazione, sia più che defunta ma a me piace credere ancora nelle sane, vecchie, regole.
[2] Ahimé, i sedicianni passano per tutti e certe nottate non tornano più.
grazie Emanuele per le utilissime info
un saluto a te ed ai tuoi silenziosi compagni di viaggio
Ciao, bell’articolo. Ho scoperto solo in questi giorni l’esistenza di questa vulnerabilità, perchè dei miei amici hanno ricevuto email con una bella lista di tutti gli indirizzi che avevo contattato tramite un vecchio account Libero semi-abbandonato.
Sono un tuo collega e come tanti appassionati mi informo quasi quotidianamente su argomenti simili. Inoltre sono cliente del gruppo Wind da sempre. Nonostante questo per circa due anni ho ignorato l’esistenza di questo problema, il che mostra quanto sia stata mantenuta sommersa la vicenda. Trovo grottesco che non sia scoppiato un caso enorme su questo argomento, è bastato il ridicolo comunicato del 24/5/2014 per pararsi i fondelli.
Fortunatamente ho usato poco l’indirizzo su Libero e sempre per comunicazioni banali, ma conosco persone che l’hanno usato per lavoro o altro, e hanno avuto notevoli disagi.
Potenzialmente, ogni persona che ha scambiato email con un utente di Libero ha regalato la sua email a una lista di spam.
Oggi è passato molto tempo da quando la falla è stata sfruttata ma ovviamente le liste di indirizzi correlati sono ormai in circolazione, inestinguibili. Se il fenomeno non fosse stato scoperto a “macchia di leopardo” penso ci sarebbero davvero stati gli estremi per una class action. Già se Wind avesse ammesso il fatto subito avrebbe dato la possibilità di correre ai ripari agli utenti non ancora colpiti e di sicuro non avrebbe attirato tutta la stizza che un comunicato così evasivo ha alimentato.
Mi ero perso questo tuo post ‘chicca’ … o forse semplicemente non me lo ricordavo. È stato bello leggerlo … anche a distanza di mesi!