{"id":9621,"date":"2014-12-10T17:38:10","date_gmt":"2014-12-10T16:38:10","guid":{"rendered":"https:\/\/www.dreamsworld.it\/emanuele\/?p=9621"},"modified":"2019-03-20T15:10:37","modified_gmt":"2019-03-20T14:10:37","slug":"i-server-di-libero-sono-stati-bucati-e-wind-lo-sa","status":"publish","type":"post","link":"https:\/\/www.dreamsworld.it\/emanuele\/2014-12-10\/i-server-di-libero-sono-stati-bucati-e-wind-lo-sa\/","title":{"rendered":"I server di Libero sono stati bucati (e Wind lo sa)."},"content":{"rendered":"

Sebbene Wind, a fine Maggio, si sia affrettata a dichiare il contrario<\/a> \u00e8 sempre pi\u00f9 chiaro che i server di Libero sono stati forzati<\/strong>. Difficile sapere se sia successo in un’unica tornata ovvero in tanti piccoli attacchi (probabilmente meno visibili sul carico dei server<\/em>) ma il furto non si \u00e8 limitato all’elenco degli utenti registrati al servizio di posta, quanto ad un rastrellamento metodico<\/em> di tutti gli indirizzi e-mail<\/strong> in rubrica e nella corrispondenza di ogni casella.<\/p>\n

Personalmente, ho vari account @libero.it<\/em> registrati anni prima che nascessero servizi come GMail o Hotmail e mai chiusi per antico rispetto. [1]<\/sup><\/a> Molti, da anni, sono in controllo automatico su Gmail, alcuni invece li visito di rado in quanto legati ad attivit\u00e0 che non seguo pi\u00f9. [2]<\/sup><\/a><\/p>\n

Alcuni giorni fa ho ricevuto il report di fallimento di due invii e-mail (“Mail delivery failed: returning message to sender”<\/em>) che hanno evidenziato l’effettivo rastrellamento dei server di Libero. Per completezza riporto la notifica, ma se vuoi conoscere le mie conclusioni<\/strong>, salta pi\u00f9 gi\u00f9.<\/p>\n

This message was created automatically by mail delivery software.\r\n\r\nA message that you sent could not be delivered to one or more of its\r\nrecipients. This is a permanent error. The following address(es) failed:\r\n\r\n  la****@unipa.it\r\n    SMTP error from remote mail server after RCPT TO:<la****@unipa.it>:\r\n    host esva.unipa.it [147.163.1.11]: 550 5.7.1 <la****@unipa.it>:\r\n    Recipient address rejected: Message rejected due to:\r\n    SPF fail - not authorized.\r\n    Please see http:\/\/www.openspf.net\/Why?s=mfrom;\r\n    id=emanuele****@libero.it;ip=162.249.126.30;r=la****@unipa.it\r\n\r\n------ This is a copy of the message, including all the headers. ------\r\n\r\nReturn-path: <emanuele****@libero.it>\r\nReceived: from [89.146.110.141] (port=56883 helo=mail.justinb.net)\r\n        by server.balletta.com with esmtpsa (TLSv1:DHE-RSA-AES256-SHA:256)\r\n        (Exim 4.82)\r\n        (envelope-from <emanuele****@libero.it>)\r\n        id 1XnOvD-0004qn-TK; Sun, 09 Nov 2014 03:36:36 -0600\r\nMessage-ID: <620397178266994CD3EE4C2411FF4294@mail.justinb.net>\r\nFrom: \"emanuele****\" <emanuele****@libero.it>\r\nTo: \"francesco****\" <francesco****@libero.it>,\r\n \"marco ****\" <marco****@gmail.com>, \"la****\" <la****@unipa.it>\r\nSubject: =?ISO-8859-1?Q?FW=3A=09marco_****_t?=\r\nDate: Sat, 9 Nov 2014 10:36:33 +0000\r\nMIME-Version: 1.0\r\nContent-Type: multipart\/alternative;\r\n boundary=\"----=_NextPart_000_C5BF_F944EC38.50C76C62\"\r\nX-Priority: 3\r\nX-MSMail-Priority: Normal\r\nImportance: Normal\r\nX-Mailer: Microsoft Windows Live Mail 16.4.3522.110\r\nX-MIMEOLE: Produced By Microsoft MimeOLE V16.4.3522.110\r\n\r\nThis is a multi-part message in MIME format.\r\n\r\n------=_NextPart_000_C5BF_F944EC38.50C76C62\r\nContent-Type: text\/plain; charset=ISO-8859-1\r\nContent-Transfer-Encoding: quoted-printable\r\n\r\nhttp:\/\/familylazer.com\/ea\/qpnyltxmeseyfesgigaxunu.\r\nvmbnqhxqfowfaifkmfzsqqlsztnn=gds<\/code><\/pre>\n
Perch\u00e9 questa certezza?<\/strong> Perch\u00e9 tra tutti gli indirizzi e-mail @libero.it che ho in collect<\/em> su Gmail questo \u00e8 stato l’unico a segnalarmi un tentativo (fallito grazie all’introduzione dell’SPF<\/a><\/em>) di invio malevolo.
\nLa prima domanda che mi son chiesto \u00e8 stata: cosa ha questo indirizzo e-mail di diverso dagli altri? Come mai quei destinatari?<\/em> Un semplice login su Libero.it<\/em> ha svelato il mistero: nelle bozze di quella casella di posta erano rimaste tre mail verso i tre indirizzi utilizzati in quest’attacco (uno di questi era un mio professore dell’universit\u00e0<\/em>). Nessun altro contatto presente in rubrica, nessun’altra mail in altre cartelle. A differenza di questa, tutte le altre mie caselle @libero.it sono completamente vuote<\/strong>. La tattica dell’ideatore di questo attacco \u00e8 quindi abbastanza chiara ed ha valore tanto pi\u00f9 che, ormai, le caselle si consultano sempre pi\u00f9 frequentemente in IMAP<\/a>.<\/p>\n
Tra l’altro, ipotizzo che Wind<\/em> sia al corrente<\/strong> sia del problema che dell’intrusione, in quanto i suoi record SPF nel 2009 erano:<\/p>\n
v=spf1 ip4:212.52.84.101\/32 ip4:212.52.84.102\/31 ip4:212.52.84.104\/29 ip4:212.52.84.112\/32 ip4:212.52.84.43\/32 ?all<\/code><\/p>\n
mentre da fine Giugno 2014 sono:<\/p>\n
v=spf1 ip4:212.52.84.101\/32 ip4:212.52.84.102\/31 ip4:212.48.25.128\/25 include:srs.bis.na.blackberry.com include:srs.bis.eu.blackberry.com include:srs.bis.ap.blackberry.com -all<\/code><\/p>\n
Cosa cambia?<\/strong> Indirizzi IP a parte, Wind ha messo in atto una modifica sostanziale<\/strong>.
\nLa regola “?all”<\/em> finale indicava:<\/p>\n
I server e gli IP che ti ho indicato sono i miei o comunque io li autorizzo, ma se per caso ti arriva una mail del mio dominio da altre fonti ignora tutto questo e autorizzala lo stesso<\/p><\/blockquote>\n
La nuova regola SPF<\/a> “-all”<\/em> invece significa:<\/p>\n
I server e gli IP che ti ho indicato sono i miei o comunque io li autorizzo e se per caso ti arriva una mail del mio dominio da altre fonti rifiutala<\/p><\/blockquote>\n
In pratica Wind ormai sta segnalando agli altri mail-server<\/strong> nel mondo di accettare la posta proveniente solo tramite i server da lei indicati e di rifiutare tutto il resto come metodo per contrastare queste ondate di spam<\/strong> da server sconosciuti.<\/p>\n
Personalmente credo che far\u00f2 transitare sempre meno posta dai loro server. Non mi preoccupa il furto dei dati (quello – purtroppo – pu\u00f2 accadere a qualsiasi provider<\/em>), quanto il silenzio stampa<\/strong> che regna intorno tutto questo: come fidarsi in futuro?<\/p>\n
Emanuele<\/strong><\/p>\n
[1]<\/a> Quando ho iniziato ad usare il web si navigava con “Yahoo Directory<\/em>” e DMOZ<\/a>, contenenti elenchi di siti web ed esisteva una regola – semplice e ormai sconosciuta ai pi\u00f9 giovani – che sosteneva che “un buon link \u00e8 un link che non muore mai”.<\/em> Credo che nell’era dei servizi di short-url, quest’educazione, sia pi\u00f9 che defunta ma a me piace credere ancora nelle sane, vecchie, regole.<\/p>\n
[2]<\/a> Ahim\u00e9, i sedicianni passano per tutti e certe nottate non tornano pi\u00f9.<\/p>\n","protected":false},"excerpt":{"rendered":"
Sebbene Wind, a fine Maggio, si sia affrettata a dichiare il contrario \u00e8 sempre pi\u00f9 chiaro che i server di Libero sono stati forzati. Difficile sapere se sia successo in un’unica tornata ovvero in tanti piccoli attacchi (probabilmente meno visibili … Leggi ancora →<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"activitypub_content_warning":"","activitypub_content_visibility":"","activitypub_max_image_attachments":4,"activitypub_interaction_policy_quote":"anyone","activitypub_status":"","footnotes":""},"categories":[4],"tags":[1426,1090,1148,1225,115,966,356,1179,1147,1196,23,116],"class_list":["post-9621","post","type-post","status-publish","format-standard","hentry","category-internet","tag-disinformazione","tag-disservizio","tag-e-mail","tag-furto","tag-infostrada","tag-server","tag-servizi-web","tag-sicurezza","tag-spam","tag-virus","tag-web","tag-wind"],"jetpack_featured_media_url":"","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/www.dreamsworld.it\/emanuele\/wp-json\/wp\/v2\/posts\/9621","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.dreamsworld.it\/emanuele\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dreamsworld.it\/emanuele\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dreamsworld.it\/emanuele\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dreamsworld.it\/emanuele\/wp-json\/wp\/v2\/comments?post=9621"}],"version-history":[{"count":0,"href":"https:\/\/www.dreamsworld.it\/emanuele\/wp-json\/wp\/v2\/posts\/9621\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.dreamsworld.it\/emanuele\/wp-json\/wp\/v2\/media?parent=9621"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dreamsworld.it\/emanuele\/wp-json\/wp\/v2\/categories?post=9621"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dreamsworld.it\/emanuele\/wp-json\/wp\/v2\/tags?post=9621"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}