Transcript

1 BlogThis! attivissimo.blog/ La discarica della discarica dei miei deliri digitali Il contenuto di questo blog è tutelato dal diritto d'autore, ma se ne citate la fonte potete ripubblicarlo liberamente e gratuitamente. Le donazioni di focaccia sono comunque gradite. in tutto il Web in questo blog e nei suoi archivi Ricerca Webcam 2005/12/31 Come sta Valentin? Bene, grazie, e ha tanti amici. Inventati Questo articolo vi arriva grazie alle gentili donazioni di "davi-g", "andreamor" e "Andrea Peda****". L'articolo è stato aggiornato rispetto alla sua stesura iniziale. A quick note for English-speaking readers: if you're here because you received an annoying apparently from me and Googled for information, please note that it's a spoof sent by a vindictive spammer. I didn't send it. Check the full headers of the and you see the sender has been faked. Details are here. Sorry for the inconvenience. Ricordate Valentin, il ragazzo russo che spamma mezzo mondo chiedendo soldi perché (dice lui) muore di freddo a Kaluga, in Russia? Ormai la sua vicenda, già trattata dal Servizio Antibufala, sta diventando una telenovela, tanto è assurda e contorta. Ma vista l'ondata di gelo che ha colpito l'europa, magari vi siete impensieriti per lui. Tranquilli, ho buone notizie! Valentin sta bene, perlomeno a giudicare dal fatto che continua a spammare in quantità industriali e che si è inventato una nuova tecnica: fa "autenticare" i suoi messaggi da altre persone. Tutte regolarmente inesistenti. In pratica, al posto del solito appello diretto, lo spam di Valentin arriva ora sotto forma di un proveniente (apparentemente) da una terza persona, che consiglia di dare ascolto all'appello del povero ragazzo russo. Eccone un esempio, il cui mittente sarebbe un certo "Merlin Mccracken" (appleton1@blueyonder.co.uk), ma mi sono stati segnalati messaggi analoghi provenienti da altri mittenti, come "Lyman Montano", "Angelica Odom", "Daryl Velez", "Hubert Cornett", "Bruno Means", "Amalia Velazquez", "Kirk Quinterno" e altri, tutti riferiti a indirizzi del provider inglese Blueyonder.co.uk: On December 6, 2005, I received this interesting message from a poor Russian student. He is asking for little help due to the difficult situation. I was in another region and did not check my mailbox until now. Connessioni attivissimo.net Servizio Antibufala L'Acchiappavirus (compratelo!) Zeus News Apogeonline topone@pobox.com 1 of 24 1/1/06 21:30

2 I can't help because I have a lot of different problems myself, therefore I forward this message to all the s from my address-book in hope that you can help. Traduco: You can contact Valentin directly at: wmik@mailrus.ru I wish you a Merry Christmas! Il 6 dicembre 2005 ho ricevuto questo messaggio interessante da un povero studente russo. Chiede un po' di aiuto a causa della situazione difficile. Mi trovavo in un'altra regione e ho controllato solo ora la mia casella di posta. Io non posso aiutare, perché ho molti e vari problemi anch'io, per cui inoltro questo messaggio a tutti gli [sic] della mia rubrica nella speranza che possiate aiutare. Potete contattare Valentin direttamente presso: wmik@mailrus.ru Buon Natale! Un'altra novità a proposito di Valentin è che in almeno un caso ha variato il proprio appello, specificando la malattia che (a suo dire) affligge la madre: la chiama "atrophia zritelnogo nerva". Qualcuno ha idea di cosa significhi? Aggiornamento: grazie ai lettori che mi hanno chiarito che significa "atrofia del nervo ottico". Archivi Articoli recenti Molti lettori mi hanno scritto chiedendo come rispondergli e come impedirgli di fare danni ingannando le persone di buon cuore. C'è chi fa interposizione, fingendo di aver abboccato, e gli fa perdere tempo scambiando con lui molti messaggi senza però mai mandargli una donazione, e c'è chi gli manda allegati pesantissimi per intasargli la casella di posta. Non approvo questi comportamenti: mi limito a segnalarli. A mio parere, la cosa corretta da fare è rispondergli educatamente chiedendo prove della sua condizione (una foto, un documento medico, una conferma della Croce Rossa locale, eccetera). I più solerti possono anche segnalare il suo indirizzo di alle varie liste nere antispam, perché una cosa è assodata oltre ogni dubbio: Valentin si comporta in tutto e per tutto come uno spammer. Ciao e buon 2006! Aggiornamento (2005/12/31 16:00): Poche ore dopo la pubblicazione di questo articolo, ho ricevuto circa di iscrizione a mailing list di tutti i generi, accompagnati dalla dicitura "stupid gay Ativisimo" [sic]. Altri messaggi, inviati alle caselle di abuse di vari provider usando il mio indirizzo come mittente apparente, contengono questo testo tragicomicamente divertente: "Dear Internet Users: I wish you a Happy New Year 2006! Please send any banknote to my address and it will stop my old dishonest wife to leave me alone and go to the rich black man." ("Cari utenti Internet, vi auguro felice anno nuovo 2006! Per favore mandate qualsiasi banconota al mio indirizzo, così la mia vecchia e disonesta moglie smetterà di lasciarmi da solo e di andare all'uomo nero ricco") seguito dal mio indirizzo di casa (che è facilmente reperibile in Rete). 2 of 24 1/1/06 21:30

3 Ovviamente ho prontamente cestinato il tutto senza alcun problema: sono abituato ad attacchi ben più professionali, e i responsabili degli abuse non si fanno ingannare da trucchetti così miseri. Visti i tempi di reazione così rapidi, si direbbe proprio che Valentin legga assiduamente tutto quello che scrivo. Niente male, per uno che dice di essere un povero studente infreddolito. Offendermi? Vendicarmi? Non ci penso nemmeno: significherebbe dargli troppa importanza. Happy new year, Valentin. E alla prossima puntata. Pubblicato da Paolo Attivissimo : 12/31/ :17:00 AM 9 commenti Protection contre le spam Luttez efficacement et durablement contre l'avalanche de spam et virus Aml medical software Software per i medici del lavoro Gestione ambulatori medicina lavoro 2005/12/29 Sicurezza: guarda un'immagine sul Web e t'infetti Questo articolo vi arriva grazie alle gentili donazioni di "riccardo.camp***", "Noris.Trave***" e "arkadyn". L'articolo è stato aggiornato rispetto alla prima pubblicazione. F-Secure ha annunciato ieri (28 dicembre 2005) una falla estremamente grave in Windows, che consente di infettare un computer Windows semplicemente visitando un sito Web appositamente confezionato e contenente un'immagine, oppure ricevendo un e visualizzando l'immagine che vi è contenuta. Al momento in cui scrivo, Microsoft non ha ancora distribuito un aggiornamento (patch) che corregga la falla, che colpisce Windows XP anche se dotato di tutti gli aggiornamenti di sicurezza finora rilasciati. L'avviso ufficiale di Microsoft è disponibile presso Microsoft Technet (in inglese). Numerosi siti (alcuni sono indicati nella pagina di F-Secure), specialmente quelli porno e dedicati ai programmi pirata, stanno già usando questa tecnica di attacco per infettare i computer Windows con ogni sorta di spyware e altro software ostile, compresi programmi per controllare da remoto i computer delle vittime e programmi che fingono di essere antispyware e chiedono soldi (tramite carta di credito) per eliminare l'infezione trovata nel computer. Il sito di sicurezza Websense ha delle schermate e un filmato che mostrano il comportamento di un Windows infettato tramite questa falla, basata sull'uso di immagini nel formato WMF (Windows Metafile, da non confondere con i video in formato WMV). La falla è particolarmente grave e interessante perché colpisce anche gli utenti Windows che usano browser alternativi come Firefox o Opera. L'unica differenza, piuttosto importante, è che mentre chi usa Internet Explorer viene infettato direttamente appena visita il 3 of 24 1/1/06 21:30

4 sito-trappola, chi usa i browser alternativi viene avvisato da un messaggio di allerta e s'infetta solo se risponde affermativamente al messaggio. Anche la semplice visualizzazione di una cartella contenente un'immagine infetta tramite Esplora Risorse o il Fax Viewer di Windows è sufficiente a infettare. Sono a rischio gli utenti di Windows XP, ME, 2000 e Server A quanto mi risulta finora, gli utenti di altri sistemi operativi non sono colpiti da questa falla. Aggiornamento ( :30): secondo il bollettino Microsoft, sono a rischio anche gli utenti di XP Pro x64, Server 2003 x64, Windows 98 e 98 SE. Il problema nasce dalla natura particolare del formato grafico WMF, che fu introdotto da Microsoft in Windows 3.0: invece di rappresentare i singoli punti di un'immagine, contiene una serie di istruzioni di disegno che spetta al sistema operativo interpretare (è un esempio di formato di grafica vettoriale, insomma). Purtroppo le istruzioni possono essere confezionate in modo maligno e Windows non è capace di bloccare queste istruzioni ostili. Un altro aspetto di particolare interesse della falla è che chi ha Google Desktop è ancora più vulnerabile. Per infettarsi, in questo caso, è sufficiente scaricare l'immagine WMF infetta. Google Desktop, infatti, indicizza e legge subito il file scaricato e ne passa il contenuto infettante a Windows, che lo esegue automaticamente. Secondo F-Secure, su un PC Windows dotato di Google Desktop l'infezione ha luogo persino se si scarica il file usando una finestra DOS (tramite per esempio Wget) e anche se il file infetto non ha l'estensione WMF nel nome ma è comunque scritto nel formato WMF. Per il momento, in attesa che Microsoft rilasci un aggiornamento che corregga la falla, è opportuno bloccare l'interpretazione delle immagini WMF. Sunbelt, per esempio, consiglia di disabilitare il componente fallato di Windows (SHIMGVW.DLL): al prompt dei comandi (Start > Esegui), digitate REGSVR32 /U SHIMGVW.DLL e riavviate Windows. La disabilitazione è permanente fino a quando date il comando di riabilitazione, che è REGSVR32 SHIMGVW.DLL. Sunbelt avvisa che questo rimedio interferisce con la visualizzazione di tutti i tipi di immagine nel visualizzatore fax e immagini di Windows, quando viene invocato da Internet Explorer: in altre parole, può risultare piuttosto scomodo (ma sempre meno scomodo che trovarsi infetti). Sans suggerisce inoltre di applicare la funzione DEP del Service Pack 2 a tutti i programmi. Se non avete idea di cosa sia DEP, chiedete a un esperto di farlo per voi. Mi raccomando, prudenza! Pubblicato da Paolo Attivissimo : 12/29/ :04:00 AM 16 commenti Spam-schutz - Kostenlos Für Outlook und Outlook Express Kostenlos und effizient! AntiSpam, AntiVirus SpamAssassin based mail gateway Free Download! 4 of 24 1/1/06 21:30

5 2005/12/28 Progesterex, la pillola che ti sterilizza! Questo articolo vi arriva grazie alle gentili donazioni di "trepertre", "max.piemonts" e "cino63". Dopo le prime sporadiche segnalazioni nei giorni scorsi, sta prendendo a circolare freneticamente questo nuovo allarme per una presunta pillola in grado di sterilizzare una persona e usata, stando all'appello che gira via , dagli stupratori, che la metterebbero di nascosto nelle bibite delle loro vittime. Il testo dell'appello è grosso modo questo, con le solite varianti tipiche delle catene di Sant'Antonio: Sabato 10 settembre, una donna é stata rapita da 5 uomini. Dai referti medici e dai rapporti della polizia, risulta che la banda ha violentato la donna prima di lasciarla libera. Incapace di ricordarsi gli avvenimenti di quella sera, i test hanno confermato in seguito i ripetuti stupri ai quali é stata soggetta la donna, e tracce di Rohypnol nel suo sangue, nonché del Progesterex, che é una piccola pillola utilizzata essenzialmente per la sterilizzazione. Questo tipo di droga é utilizzata attualmente dagli autori degli stupri in pub, discoteche, etc., per violentare e sterilizzare le loro vittime. Il Progesterex é utilizzato dai veterinari per sterilizzare animali di grossa taglia. Si dice che il Progestex sia utilizzato insieme al Rohypnol, la cosiddetta "droga dello stupro". Come per il Rohypnol, tutto cio che bisogna fare é lasciar cadere la pillola nella bibita bevuta dalla vittima. La vittima stessa l'indomani non avrà più alcun ricordo degli avvenimenti della notte precedente. Il Progesterex, che si dissolve facilmente in qualsiasi bevanda, impedisce che la vittima rimanga incinta in seguito allo stupro; in questo modo, l'autore dello stupro non si deve preoccupare del fatto che un eventuale test di paternità possa identificarlo come padre del bambino, e quindi autore dello stupro stesso. Gli effetti della droga NON SONO TEMPORANEI, ma PERMANENTI. Il Progesterex é stato concepito per sterilizzare dei cavalli. Qualsiasi donna che lo prenda NON POTRA' MAI PIU' AVERE FIGLI. I violentatori possono ottenere questa droga contattando delle persone che studino in una scuola di veterinaria o in qualsiasi università. E' molto facile entrarne in possesso, e il Progesterex é sempre più diffuso. Credeteci o no, ci sono anche dei siti Internet che spiegano alle persone come usarlo. Per favore COPIATE (non cliccate su "inoltra", altrimenti l' diventerà rapidamente illeggibile a causa di tutti gli indirizzi che si accumuleranno) e INVIATE questa mail ai vostri familiari e amici, soprattutto alle ragazze. Fate attenzione quando uscite dai locali e NON LASCIATE MAI LE VOSTRE BEVANDE INCUSTODITE. Per favore fate lo sforzo di mandare quest' a tutti quelli che conoscete...uomini, informate tutte le vostre amiche (poiché la prossima vittima potrebbe essere vostra sorella o vostra figlia. L'appello è una bufala, e anche piuttosto vecchiotta: l'impagabile Snopes.com la rintraccia addirittura nel Non esiste alcun farmaco di nome Progesterex e non esiste alcun prodotto veterinario che abbia l'effetto descritto di sterilizzazione immediata e permanente. Tuttavia il consiglio di non lasciare incustodite le bevande è valido: non per via dell'inesistente Progesterex, ma per via del Rohypnol, che viene effettivamente usato dagli stupratori per drogare le proprie prede offrendo loro bevande contenenti questo farmaco. 5 of 24 1/1/06 21:30

6 Analizzando il messaggio emergono subito i classici ingredienti dell'appello-bufala: una notizia drammatica, data però senza precisarne datazione, luogo o fonti (in che anno e in quale città sarebbe avvenuto il rapimento? Da dove proviene la notizia?), e l'appello accorato a inoltrare l'allarme a tutti i propri conoscenti. La drammaticità dell'allarme può far mettere in disparte il buon senso e quindi non far notare l'ingrediente-bufala decisivo: la tesi proposta (sterilizzare la vittima per impedire il riconoscimento dello stupratore tramite il DNA dell'eventuale bambino) non ha senso: infatti per identificare l'autore di uno stupro non è affatto indispensabile ricorrere al DNA del bambino concepito e quindi una sterilizzazione temporanea o permanente sarebbe inutile in questo senso. Per l'identificazione sono sufficienti le tracce di fluidi corporei (scusate il giro di parole, ma i filtri antispam sono sempre in agguato) lasciate dall'aggressore e prelevabili subito dopo la violenza, anche se lo stupro non conduce a un concepimento. L'indicazione del pericolo (reale) costituito dal Rohypnol e da altri farmaci dissolvibili nelle bevande potrebbe far ritenere comunque utile quest'appello, ma è sempre molto pericoloso far viaggiare un'informazione vera a cavallo di una falsa: c'è il rischio che chi scopre quella falsa non creda neppure a quella vera. E' molto meglio dare un ammonimento fondato, preciso e circostanziato, piuttosto che condirlo di bugie basate sulla diceria di terza mano. E' insomma saggio raccomandare a tutti di non perdere d'occhio le bibite che vengono servite nei locali pubblici, perché i malintenzionati possono introdurvi droghe, ma senza accompagnare la raccomandazione con l'allarme-bufala del Progesterex. Chi lo fa rischia di perdere credibilità e rendere vana la raccomandazione. Pubblicato da Paolo Attivissimo : 12/28/ :36:00 PM 4 commenti Anti Spam at Server Level Stop all spam at server level with GFI MailEssentials- Free d/l No Spam Today spam filter Simplified Spam Removal. Works with all mail servers. Freeware version. 2005/12/27 Spam-virus natalizio Questo articolo vi arriva grazie alle gentili donazioni di "arch.gb", "info" e "giubileoa". Sta circolando una nuova serie di messaggi che tentano di infettare chi li riceve, spacciandosi per di comuni utenti che segnalano un sito contenente video natalizi divertenti. Ecco alcuni dei testi di questi messaggi-esca: a natale si è tutti più imbranati hehehe ciao tanti a uguri a natale dovremmo essere tutti più buoni, invece... a presto e auguri anche alla famiglia 6 of 24 1/1/06 21:30

7 scherzetto simpatico...eheheh a presto, vi auguro buone feste in africa non importa che tu sia leone o gazzella, l'importante è che... a presto, auguri di buone feste e buon anno! l'idiozia non manca mai nelle persone, soprattutto a natale, no comment meglio non pensarci tanti auguroni, ci sentiamo dopo le feste, a presto Il meccanismo è simile a quello già descritto in un articolo precedente. Visitando il sito, parte automaticamente Windows Media Player, che tenta di visualizzare un videoclip ma produce un messaggio d'errore. L'utente è così indotto a seguire la raccomandazione del sito, ossia scaricare e installare quelli che il sito chiama "codec aggiornati" ma sono in realtà virus: file eseguibili di nome VideoCodec3_05b_6.exe o simili, situati presso sito creato pochissimi giorni fa (il 22 dicembre scorso). Inviando uno di questi "codec" al sito della Kaspersky, che li analizza gratis in tempo reale, salta fuori che contiene il virus Trojan-Clicker.Win32.Bomka.a. A giudicare dalla diffusione dei messaggi-esca, il meccanismo di azione di questo virus è il seguente: un utente riceve il messaggio-esca, che sembra provenire da un conoscente. Incuriosito e rassicurato dalla fonte della raccomandazione, visita il sito dei filmati. Cerca di vederli e non ci riesce, e così segue il consiglio del sito: va all'altro sito, quello che ospita i "codec", e li scarica e installa, credendo che siano innocue aggiunte a Windows Media Player, mentre sono in realtà virus che infettano il suo PC (soltanto se usa Windows) e lo trasformano in disseminatore di ulteriori messaggi-esca. Non è noto se il virus abbia anche altri effetti. La raccomandazione è la solita: mai installare programmi o altri file eseguibili di origine non certa. Il sito goodmoviesmile.com è situato in Cina ma intestato apparentemente a un residente in Italia, secondo whois: Benutti, Victorio victorio_benutti@yahoo.com Via Bonanno Pisano, 111 Pisa, Italy Tuttavia è probabile si tratti di dati falsi, visto che il numero di telefono indicato risulta inesistente. Ciao da Paolo. Pubblicato da Paolo Attivissimo : 12/27/ :49:00 PM 17 commenti 7 of 24 1/1/06 21:30

8 2005/12/23 Aggiornamento sul software "pirata" dei politici Questo articolo vi arriva grazie alle gentili donazioni di "srl", "lucianol" e "riccardo.po***". La trasmissione Condor di Radiodue RAI si è occupata del caso dei manifesti di Forza Italia e di altri partiti apparentemente creati con software pirata, di cui ho scritto ieri, e mi ha interpellato per due chiacchiere: la puntata è ascoltabile, almeno per oggi, in streaming (formato Real) sul sito di Condor (io arrivo circa 9 minuti dopo l'inizio). Alcuni lettori segnalano una possibile spiegazione che non richiederebbe una vera e propria pirateria: il programma QuarkXPress, quello apparentemente piratato secondo l'accusa, è protetto da una chiave hardware che, in alcune versioni, si attacca a una porta del computer che nei modelli recenti non esiste più. Cito per esempio un messaggio di lux: "...nel mondo Mac molti grafici hanno una versione vecchia di Xpress in funzione su Mac OS X e ce l'hanno in perfetta regola. Solo che quella versione richiedeva una chiave hardware Adb per funzionare e i nuovi Mac non hanno più le porte Adb. Quindi in molti hanno una versione regolarmente acquistata ma ne usano ugualmente una craccata per risolvere il problema della chiavetta di cui sopra." C'è anche la testimonianza di antonio.merc**** per il mondo Windows: "... [ci sono] prodotti che hanno una chiave hw (tra qui XpRess) che non funziona sui nuovi pc che magari non hanno la porta parallela (e questo caso te lo posso dimostrare con un Pagemaker che abbiamo noi vecchio come il cucco ma che funziona su XP tranne che per la porta parallela, anzi per il driver della key hw, assente e me lo sono dovuto "craccare" per poter lavorare ma ho la chiave come soprammobile nel pc per eventuali controlli)." In altre parole, può capitare che un utente regolare di un programma come QuarkXPress usi una copia pirata pur avendo nel cassetto la regolare licenza d'uso del programma. In tal caso, sarebbe molto difficile parlare di vera e propria pirateria, dato che non ci sarebbe stato alcun danno al produttore del software, anche se tecnicamente si tratta di un utilizzo di una versione alterata e quindi di dubbia legalità. E' ironico, comunque, che i sistemi anticopia costringano l'utente onesto a diventare pirata. A chi ha avuto l'impressione che io volessi mettere in risalto soltanto il nome di Forza Italia e nascondere i nomi degli altri partiti "colpevoli" di pubblicare documenti apparentemente creati con software pirata, rispondo chiarendo che c'è una ragione tecnica e non politica, per la scelta: la prima stesura dell'articolo parlava soltanto di FI perché i blogger stavano denunciando il problema soltanto per i manifesti di FI. L'idea di controllare i siti degli altri partiti mi è venuta dopo. Il problema è che se cambio il titolo dell'articolo, Blogger cambia il link corrispondente, per cui chi lo ha linkato o citato non lo trova più. Così ho modificato soltanto l'articolo, e non il titolo, in modo da 8 of 24 1/1/06 21:30

9 includere anche un accenno ai documenti degli altri partiti. Abito all'estero, la politica italiana non m'interessa più, grazie al cielo, se non come forma di spettacolo e conferma delle ragioni per cui ho lasciato l'italia. Ciao da Paolo. Pubblicato da Paolo Attivissimo : 12/23/ :21:00 AM 14 commenti 2005/12/22 Forza Italia usa software pirata? Questo articolo vi arriva grazie alle gentili donazioni di "bigdealer", "Dr. Walter" e "cristiano.cas****". Questo articolo è stato aggiornato rispetto alla stesura originale. I blogger si sono scatenati ed è partito un frenetico passaparola online: i manifesti sul sito di Forza Italia sarebbero stati creati con una copia pirata di un programma di grafica digitale. Un classico esempio di predicare bene e razzolare male? In tal caso, Forza Italia è in buona compagnia, dato che i lettori hanno trovato altri partiti politici i cui siti recano segni apparenti di software pirata, come indicato nei commenti a questo articolo. E' presto per dirlo con certezza: gli indizi sono abbastanza pesanti, ma per ora (e per evitare querele) io qui posso soltanto esporre i fatti noti e indiscussi. Poi ognuno trarrà le conclusioni che preferisce, in attesa che qualcuno di Forza Italia e degli altri partiti spieghi la faccenda. I fatti sono questi: si può andare sul sito di Forza Italia e scaricare i manifesti della cosiddetta "operazione verità". Io, per esempio, ho scaricato ed analizzato questo manifesto alle 23:30 di oggi 21 dicembre 2005 (e ne ho conservata copia, caso mai servisse). Il manifesto è un documento PDF, le cui proprietà contengono la dicitura mostrata all'inizio di questo articolo: Creatore: QuarkXPress Passport.4.11 [k]. Ho visualizzato le proprietà usando un Mac, ma si possono visualizzare anche sotto Windows e Linux e, più in generale, con qualsiasi sistema operativo per il quale esista un lettore di file PDF. L'accusa di aver usato software pirata deriva dalla "k" fra parentesi quadre, usata comunemente per indicare un crack, ossia una copia pirata di un programma alla quale è stata tolta la protezione anticopia. QuarkXPress è un notissimo programma di grafica, che ha un costo piuttosto alto: 2199 euro, sul sito di Apple (che lo rivende ma non lo produce: il produttore è la Quark). Di conseguenza, è uno dei programmi più piratati. 9 of 24 1/1/06 21:30

10 Una ricerca in Google trova numerosi siti di software pirata che offrono proprio questa versione di QuarkXPress, con esattamente la medesima dicitura (attenzione, il link porta a un sito poco raccomandabile). Basta tutto questo per dire che Forza Italia ha usato software pirata? Sulla base di questi fatti, la "[k]" è a mio parere un indizio forte, ma non mi è possibile, per ora, escludere che la "[k]" sia dovuta ad altre cause. Qualcuno che ha una copia legale della medesima versione di QuarkXPress potrebbe controllare facilmente se compare questo simbolo nelle proprietà dei documenti PDF. Google trova anche altri siti contenenti documenti che recano la medesima "[k]" sospetta. Un'altra possibile giustificazione è quella che usò qualche tempo fa Microsoft quando fu beccata a usare file audio generati con un programma piratato, vale a dire che sì, il software era stato davvero piratato, ma non da Microsoft: si era trattato di un file realizzato da un subfornitore la cui legalità, si disse, non era stato possibile controllare fino a questo livello di dettaglio. E' presumibile che in effetti Forza Italia abbia affidato a terzi (utenti Mac, a giudicare dalle proprietà nel file) l'incarico di realizzare i file PDF dei manifesti e quindi potrebbe analogamente ritenersi non responsabile del rispetto delle norme antipirateria da parte dei propri subfornitori. Sia come sia, la scoperta è comunque fonte di imbarazzo ed è ovviamente sfruttabile a fini politici, soprattutto se non viene gestita dignitosamente (e in questi casi il silenzio non è dignitoso). Una bella segnalazione del pirata alla BSA da parte dei responsabili della campagna sarebbe un buon inizio per prendere le distanze dal pasticcio. Aggiornamento (2005/12/22 8:05): Nella versione iniziale di questo articolo avevo osservato che sarebbe stato comunque interessante farsi un giretto nei siti degli altri partiti per vedere come stanno le cose in quanto a rispetto delle leggi antipirateria tanto sbandierate di recente. Non l'ho fatto perché mi sembrava di aver frequentato a sufficienza luoghi di malaffare, ma come potete leggere nei commenti, la medesima "[k]" si trova nei siti di molti altri partiti e movimenti. Buona caccia, se riuscite a trattenere la nausea. Aggiornamento (2005/12/23 8:50): Esiste una spiegazione della "[k]" che non comporterebbe una vera e propria pirateria software. Approfondisco la questione in un articolo separato. Nota: se siete iscritti alla mia newsletter e non avete ricevuto via questo articolo, è per via di alcuni filtri antispam, che considerano spam qualsiasi messaggio contenente link al sito di Forza Italia. Pubblicato da Paolo Attivissimo : 12/22/ :36:00 AM 14 commenti 2005/12/21 Antibufala: attenti agli "euro" turchi! Questo articolo vi arriva grazie alle gentili donazioni di "valeriodiste****", "toni" e "renatoweb". Sta circolando dai primi di dicembre 2005 un allarme per la possibile 10 of 24 1/1/06 21:30

11 truffa perpetrata scambiando una moneta turca con quella da due euro grazie alla loro asserita somiglianza. Eccovi un esempio del testo dell'appello. Mamma li turchi!!! No seriamente, fate attenzione...se è vero, watch out... Dal 1 gennaio 2005, la Turchia ha una nuova moneta, la "nuova lira turca" (Yeni Turk Lirasi), che sostituisce la vecchia lira super svalutata, alla quale sono stati tolti non meno di sei zeri. Guardando la nuova moneta da 1 lira, salta subito all'occhio che assomiglia stranamente alla moneta da 2 euro. Se confrontiamo queste due monete, notiamo che hanno esattamente lo stesso aspetto (un anello di nickel che circonda la parte centrale in rame) e quasi la stesssa dimensione. Allo stesso modo, sull'altro lato è raffigurato, come molti euro, una testa (si tratta qui di Ataturk, come gli euro ci mostrano il re di Spagna, il re del Belgio, Dante, ecc.). L'unica differenza è il numero: al posto del 2 dei due euro, c'è un 1. Oltretutto, si può notare che questo 1 è graficamente molto simile all'1 di un euro. Questa moneta da una lira turca è quindi una abile imitazione, giuridicamente inattaccabile, della moneta da due euro. Vale 0,4 euro. Per il momento, siate prudenti e controllate che vi diano monete da 2 euro e non monete da una lira turca, poichè hanno cominciato a circolare. L'appello è solitamente accompagnato da un allegato costituito da un'immagine che mette a confronto lira turca e moneta da due euro. 11 of 24 1/1/06 21:30

12 Talvolta l'appello si "autentica" includendo un rimando alla voce dedicata alla nuova lira turca nell'enciclopedia libera e gratuita Wikipedia. Vediamo una per una le affermazioni contenute nell'appello. E' vero che la Turchia ha introdotto dal primo gennaio 2005 una nuova valuta che toglie sei zeri a quella vecchia, come spiega in inglese il sito ufficiale. E' vero che vi sono state segnalazioni di tentativi di usare, al posto delle euromonete, monete (non necessariamente turche) che vi somigliano (una mi è giunta da un lettore, annypan, per esempio), ma questa non è in sé una novità: errori e truffe di questo genere esistono da sempre, principalmente ai danni di distributori automatici. E' inesatto che la nuova lira turca vale 0,4 euro: attualmente (21 dicembre 2005) vale 0,62 euro. E' comunque vero che la lira turca vale meno dell'euromoneta alla quale assomiglia. Sono vere le immagini mostrate nell'appello: le monete hanno effettivamente l'aspetto presentato. E' invece discutibile, anche se non del tutto infondato, il tema principale dell'appello: la pretesa somiglianza fra la moneta da due euro e quella da una nuova lira turca. Le due monete hanno infatti differenze visive non proprio trascurabili: Le proporzioni dell'anello esterno e del disco interno sono diverse: l'anello esterno del 2 euro è più snello di quello della lira turca. Sulla moneta da due euro c'è scritto un "2" molto grande e c'è anche scritto "EURO", mentre sulla lira turca c'è scritto "1" e non c'è ovviamente alcun accenno all'euro. Sulla lira turca c'è una chiara scritta "Yeni Türk Lirasi", insieme alla falce di luna e la stella, simbolo della Turchia: due dettagli che dovrebbero risaltare non poco. E' però plausibile che una persona molto distratta o che ci vede molto poco possa non notare queste differenze. Tuttavia, se non nota differenze di questo tipo, non occorre certo tirare in ballo la lira turca per truffarla, perché non è in grado di distinguere neppure le euromonete e le possono rifilare qualsiasi cosa al posto del resto esatto. E' invece improbabile l'ipotesi proposta da alcune varianti dell'appello, secondo le quali la nuova lira turca potrebbe ingannare i distributori automatici. Infatti le dimensioni e il peso della lira turca sono sufficientemente differenti da quelle della moneta da due euro. La differenza è forse difficile da percepire per una persona (sto comunque cercando di procurarmi un campione di lira turca), ma non per i sensori di cui sono dotati normalmente i distributori automatici. Un lettore che lavora in banca (simone.san****) mi fornisce gentilmente i dati tecnici delle due monete, tratti dai siti della Banca Centrale Europea e da un sito governativo turco: Diametro: 25,75 mm (2 euro) contro 26,15 mm (lira turca) Spessore: 2,20 mm (2 euro) contro 1,95 mm (lira turca) Peso: 8,50 g (2 euro) contro 8,3 g (lira turca) Se vi interessa, grazie anche alle indagini dei lettori posso segnalarvi anche un elenco completo di immagini di tutte le banconote e monete turche (nuove e vecchie). 12 of 24 1/1/06 21:30

13 In conclusione: l'allarme ha un minimo di verità, ma non va limitato alla lira turca, perché chi si fa raggirare dalla lira turca è raggirabile anche da monete false molto grossolane e quindi deve fare attenzione in generale alle monete che gli vengono date. Ma questa è una raccomandazione che vale per tutti noi, che troppo spesso ritiriamo il resto senza controllarlo: l'appello non fa altro che ribadire il concetto in una forma che "funziona" (ossia induce fortemente a inoltrarlo a tutti) perché fa leva emotivamente sulla diffidenza verso gli stranieri. Pubblicato da Paolo Attivissimo : 12/21/ :25:00 AM 8 commenti 2005/12/20 Repubblica.it conferma la propria "tolleranza zero per le fandonie" Grazie ai tanti lettori che mi hanno segnalato un articolo sul sito di Repubblica che mi cita e nel contempo partorisce una bufala su di me, cosa particolarmente ironica se considerate che l'articolo si occupa dell'affidabilità delle notizie pubblicate sul Web e s'intitola "Operazione verità sul web tolleranza zero per le fandonie". L'articolo, infatti, contiene questa perla: "A cercare di venirne fuori ci ha pensato un giovane signore che si è inventato la professione di scova bufale online. Ha creato un 'Servizio Antibufala' per scoprire e consigliare cosa fare, caso per caso, di fronte alle false notizie che si propagano in rete. Si chiama Paolo Attivissimo, dopo un soggiorno negli Stati Uniti vive nel Canton Ticino, gira il mondo come moderatore di convegni, scrive, è esperto informatico e sul suo sito fornisce informazioni e strategie di difesa." Già dire che sono "giovane" è un po' azzardato (ma apprezzo le buone intenzioni), e darmi dell'"esperto informatico" sfiora l'usurpazione di titolo, ma la faccenda del "soggiorno negli Stati Uniti" è una bufala inventata di sana pianta. Non ho mai soggiornato negli USA: ci sono andato in vacanza qualche volta, ma nulla più. Come è possibile un errore del genere, considerato che dal resto dell'articolo si capisce chiaramente che la giornalista (Laura Kiss) ha consultato le informazioni personali presenti nel mio sito e la mia mini-biografia per documentarsi? Ho un'ipotesi che prego ardentemente sia sbagliata: che abbia letto distrattamente York (la città dove sono nato e dove ho vissuto per circa sei anni prima di trasferirmi con la famiglia in Svizzera) e l'abbia interpretato come New York. Errori macroscopici come questo dimostrano, per chi si diletta di indagini antibufala, che una singola fonte, per quanto apparentemente autorevole, è raramente sufficiente, e che anche i giornali (alcuni più di altri) prendono delle cantonate e quindi non possono essere considerati fonte assolutamente certa. Be', io il mio lavoro di "scova bufale" l'ho fatto. Adesso speriamo che Repubblica.it faccia la propria parte. Sarebbe un gesto di coerenza 13 of 24 1/1/06 21:30

14 nobile, specialmente se considerate che l'articolo critica l'affidabilità delle fonti informative indipendenti della Rete, come la Wikipedia, e oltretutto tira in ballo l'open source quando non c'entra nulla: "Orrore e delizia di Internet e dell open source: chiunque può scrivere qualsiasi cosa su chiunque e questa cosa va in rete. Fosse anche la bufala più incredibile." A quanto pare, invece, questi orrori possono capitare anche a chi non usa il software open source. Ciao da Paolo. Pubblicato da Paolo Attivissimo : 12/20/ :15:00 AM 19 commenti 2005/12/17 John DeLancie (Q di Star Trek) in Italia oggi e domani Questo articolo vi arriva grazie alle gentili donazioni di "andrea.e***", "claudio.bert***" e "mario.co***". John DeLancie, l'attore che ha interpretato il personaggio di Q in varie serie di Star Trek, sarà in Italia oggi e domani (17 e 18 dicembre), ad Abano Terme, vicino a Padova, alla Sticcon Reunion, raduno dei fan della serie. L'incontro è previsto per le di sabato 17 e le di domenica 18. Ci sarà anche Francesco Pannofino, voce italiana di "Q" oltre che di Denzel Washington, George Clooney, Antonio Banderas, Dan Aykroyd, Kurt Russell, Jean-Claude Van Damme, Joe Mantegna, e altri famosi attori. Un altro ospite interessante è Giovanni Mongini, noto scrittore italiano di fantascienza. Ci sarò anch'io, nella duplice veste di fan e di traduttore. So che la segnalazione arriva all'ultimo minuto, ma se siete da queste parti e non avete già preso impegni, potreste fare una capatina per vedere l'allegra banda di matti di cui ho il piacere di far parte. A differenza di altri eventi che ho segnalato, però, mi sembra corretto avvisare che questo è a pagamento. Aggiornamento (2005/12/20): Cominciano ad essere pubblicate in Rete le prime foto dell'incontro, rivelatosi una vera chicca grazie anche alla stupenda cortesia e disponibilità di tutti gli ospiti. Ricevo e segnalo con piacere la disponibilità delle foto scattate dalla Nave Archimede. 14 of 24 1/1/06 21:30

15 Pubblicato da Paolo Attivissimo : 12/17/ :20:00 AM 1 commenti 2005/12/11 Sony, nuova falla in altro sistema anticopia Questo articolo vi arriva grazie alle gentili donazioni di "fam.tasca", "iubatus" e "pot". Dopo la figuraccia disastrosa fatta con il sistema anticopia XCP, che infetta volontariamente i computer degli utenti e li rende vulnerabili, Sony rimedia un altro sfacelo. Anche il sistema MediaMax usato per proteggere (si fa per dire) i suoi dischi apre il computer degli utenti ad attacchi informatici, dando a tutti (aggressori esterni compresi) accesso totale al computer. La Electronic Frontier Foundation ha pubblicato un rapporto (PDF) che spiega la nuova vulnerabilità. In estrema sintesi, i dischi anticopia contenenti MediaMax installano sui PC Windows del software usando privilegi di accesso sbagliati: invece di essere eseguibile soltanto dall'utente normale, il software è eseguibile da chiunque, anche da comandi provenienti da Internet. Questo rende inutile la tattica di protezione, molto diffusa nelle aziende, di concedere agli utenti diritti limitati di esecuzione, in modo che non possano installare giochini o altre porcherie trovate in Rete, e permette sia attacchi dall'esterno, sia "attacchi" da parte dell'utente stesso, che può installare e modificare quello che gli pare. Un incubo per gli amministratori dei sistemi informatici. La EFF chiarisce la cosa con un'ottima analogia: Immaginate un dipendente al quale vengono date le chiavi del proprio ufficio e della porta d'ingresso all'edificio in cui lavora, ma non le chiavi degli altri uffici o del magazzino. Ci sono molti modi per ottenere un accesso più ampio: scassinare le serrature, sfruttare una serratura dimenticata aperta, o rubare le chiavi del responsabile della sicurezza dell'edificio. Questa vulnerabilità è un ulteriore modo di ottenere maggiore accesso, analoga a lasciare appese fuori dalla porta le chiavi del responsabile della sicurezza. Rubandole, il dipendente può acquisire maggiori privilegi, come per esempio accedere ad ufficio o locali per i quali non è autorizzato. Lo scenario di attacco descritto dalla EFF è questo: un utente normale (con diritti di accesso giustamente limitati) usa un computer Windows sul quale è stato suonato un CD dotato del sistema anticopia MediaMax. L'utente decide che non gli piacciono le limitazioni imposte dall'amministratore di sistema e decide di fare di testa propria, oppure visita un sito Web o apre un contenente un virus apposito. Grazie alla falla Sony bis, l'utente deve semplicemente sostituire il programma mmx.exe installato da MediaMax con un altro programma di suo gradimento, come un giochino o un programma per scaricare film. L'aggressore, invece, può (tramite per esempio una pagina infetta) sostituire mmx.exe con un altro programma ostile, che può per esempio aprire ulteriori falle nel sistema operativo o eseguire funzioni non autorizzate o semplicemente copiare o devastare i dati contenuti nel 15 of 24 1/1/06 21:30

16 computer. La volta successiva che un utente con privilegi di amministratore inserisce nel computer un CD MediaMax, scatta la trappola: al posto di mmx.exe viene eseguito il programma ostile. Questo significa che ogni computer Windows sul quale è stato suonato un disco Sony MediaMax contiene una trappola a tempo, che può scattare anche a distanza di mesi dall'infezione. Sony ha messo in Rete una prima patch di correzione di questa falla, ma la EFF dice che anche la patch è fallata. Così Sony ha pubblicato una seconda patch, che al momento viene studiata dagli esperti. La raccomandazione della EFF è, almeno per ora, di non installare queste patch. Sony ha pubblicato un elenco dei dischi infettati da questo sistema anticopia. A questo punto, la raccomandazione di sicurezza informatica non può che essere una: rifiutate di installare qualsiasi software proposto da CD musicali e non suonate CD anticopia nei vostri computer. Siamo arrivati infatti al paradosso che è più sicura la musica scaricata da Internet che quella confezionata dai discografici. Ciao da Paolo. Pubblicato da Paolo Attivissimo : 12/11/ :07:00 AM 8 commenti Videoproiettore autocostruito Questo articolo vi arriva grazie alle gentili donazioni di "bgmailbox", "tartam2002" e "skidonet". State pensando di acquistare un televisore gigante per Natale? Pensateci due volte, specialmente se avete considerato l'ipotesi di un videoproiettore. Ho fatto qualche indagine sull'argomento, visto che anch'io avevo pensato di sistemare l'impianto di casa, che uso sempre più spesso (con i figli piccoli è difficile poter uscire per andare al cinema, per cui ricorro ai DVD), e ho una soluzione decisamente originale e a basso costo da proporvi. Ci sono vari modelli di videoproiettore, e i centri commerciali ne sono pieni: sono molto compatti e ricordano i proiettori per diapositive. I prezzi sono abbordabili, specialmente se confrontati con quelli di un televisore al plasma o LCD di pari dimensioni; anzi, i videoproiettori sono l'unica vera soluzione se volete un "effetto cinema", ossia uno schermo gigante (oltre il metro). Richiedono però di poter oscurare la stanza anche di giorno, e non sono comodi da usare per uno zapping improvvisato, per cui non possono realmente sostituire un televisore, ma per le visioni-evento, tipo i film in DVD, sono impareggiabili. Tuttavia c'è una fregatura: la lampada dei videoproiettori dura poco e costa quasi quanto metà del proiettore. E' insomma una situazione simile a quella delle stampanti: costano poco, ma le cartucce e le testine hanno prezzi da capogiro e autonomie molto modeste. I costi a lungo termine di un videoproiettore, insomma, sono molto più elevati di quel che potreste pensare. 16 of 24 1/1/06 21:30

17 Durante le mie ricerche mi sono imbattuto in una soluzione davvero originale, da veri smanettoni: autocostruirsi un videoproiettore migliore di quelli in commercio e spendere molto, molto meno. Un videoproiettore, fondamentalmente, è composto da una fonte luminosa, da una "diapositiva" composta da un piccolo schermo a cristalli liquidi che visualizza l'immagine, e da una lente che focalizza e proietta quest'immagine sullo schermo. Per ottenere dimensioni compatte, i videoproiettori in vendita usano lampade molto piccole e schermi altrettanto minuscoli, che hanno costi molto elevati. La compattezza impone di concentrare tanta luce in poco spazio all'interno del proiettore, e questo è difficile e quindi costoso. Ma al posto del carissimo minischermo con minilampada si può usare un normale schermo LCD di un monitor: basta togliergli la retroilluminazione, in modo che diventi trasparente appunto come una diapositiva, e poi appoggiarlo su una lavagna luminosa. I risultati sono strabilianti, e oltre alla soddisfazione di autocostruirsi un videoproiettore c'è il piacere di risparmiare moltissimo sia come investimento iniziale (una lavagna luminosa di seconda mano costa poco) sia a lungo termine, perché le lampade delle lavagne luminose sono molto più a buon mercato e durevoli di quelle dei videoproiettori. Certo le dimensioni non sono compatte, e ci vuole un po' di attenzione e spirito pratico, ma se vi piace questo genere di sfide, ho trovato su Tom's hardware le istruzioni e le foto che mostrano come procedere. Mi raccomando, è importante assicurare il raffreddamento dello schermo LCD tramite una ventolina e proteggere lo schermo dalla polvere. Buon divertimento! Pubblicato da Paolo Attivissimo : 12/11/ :13:00 AM 7 commenti 2005/12/09 Alan Lee a Milano Alan Lee è stato ieri al Delos Day, a Milano, a presentare immagini e schizzi inediti tratti dal suo lavoro al Signore degli Anelli, ed ho avuto il piacere di conoscerlo e fargli da interprete. Su richiesta di Lee, non posso mostrarvi foto della sua presentazione, ma almeno una foto ricordo con lui sì... concedetemi questo momento di autocompiacimento. 17 of 24 1/1/06 21:30

18 Pubblicato da Paolo Attivissimo : 12/09/ :06:00 PM 7 commenti Firefox 1.5 fallato, ma non gravemente come sembrava Questo articolo vi arriva grazie alle gentili donazioni di "eversordvl", "gennies" e "paolo.bon****". Packetstorm Security ha annunciato una falla nella nuova versione, la 1.5, del popolare browser alternativo gratuito Firefox (disponibile per Linux, Mac e Windows in inglese e molte altre lingue, italiano compreso). La notizia è stata riportata inizialmente con molto allarme da parte di CNet.com. Tuttavia la falla è meno grave di quanto sembrasse inizialmente, e per molti utenti semplicemente non esiste. CNet.com ha pubblicato una rettifica. La reputazione di sicurezza di Firefox rimane quindi piuttosto solida, specialmente se confrontata con le numerose falle devastanti che persistono in Internet Explorer. E' per questo che consiglio da anni di usare Firefox o Opera al posto di Internet Explorer e pubblico il pulsante di invito a Firefox in questo blog. A proposito: se usate già Firefox, vi consiglio vivamente di aggiornarlo alla versione 1.5, che ha migliorato nettamente le proprie prestazioni. Per esempio, adesso è attivo l'aggiornamento automatico; quando chiudete e riavviate Firefox, riapre automaticamente le pagine Web che stavate consultando. Ci vuole però una piccola cautela: se usate le estensioni di Firefox (piccole applicazioni aggiuntive che ne estendono le funzioni, come la Netcraft Toolbar, utile per rivelare i siti-trappola), verificate che siano già uscite le versioni aggiornate di queste estensioni. Firefox 1.5, infatti, disabilita per sicurezza le estensioni non aggiornate, per cui potreste trovarvi con un Firefox limitato rispetto al solito. Firefox 1.5, fra l'altro, cerca automaticamente gli aggiornamenti delle estensioni. Se non sapete cosa sono le estensioni e non le usate, aggiornate Firefox senza preoccupazioni. Tornando alla presunta falla, si tratta di un errore nel modo in cui Firefox gestisce i titoli delle pagine Web se sono estremamente lunghi. Se Firefox si imbatte in una pagina che ha un titolo (quello che compare nella barra del browser) lunghissimo, creato con questo trucchetto, può piantarsi e rifiutarsi di ripartire. Il problema riguarda soltanto la versione Windows, e non si verifica sempre. Anzi, la Mozilla Foundation, che produce Firefox, non è riuscita a ricreare il problema nonostante numerosi tentativi, e lo stesso è successo a molti utenti. Per quanto risulta finora, il difetto (se si presenta) non causa danni all'integrità e alla stabilità del sistema operativo e quindi non dovrebbe consentire attacchi o penetrazioni del computer dell'utente. Semplicemente, Firefox si pianta. Questo non è comunque un bene, ed è opportuno che la falla venga corretta al più presto. Se vi imbattete in questo problema, potete rimediare in vari modi, descritti dal Sans Institute: Impostate Firefox in modo che non conservi la cronologia dei siti visitati: scegliete Strumenti - Opzioni - Privacy - Cronologia, poi cliccate su Svuota e impostate a zero il numero di giorni per il quale Firefox ricorda le pagine visitate. Trovate e cancellate manualmente il file history.dat, nel quale 18 of 24 1/1/06 21:30

19 viene memorizzato il titolo ostile, e riavviate Firefox; Firefox ricreerà automaticamente il file. Dopo aver chiuso Firefox, modificate il file prefs.js aggiungendo questa riga: user_pref("capability.policy.default.htmldocument.title.set","noaccess"); Usate l'estensione Noscript. Se vi imbattete in questo problema, segnalatelo (insieme alla vostra soluzione) nei commenti. Ciao da Paolo. Pubblicato da Paolo Attivissimo : 12/09/ :12:00 AM 17 commenti 2005/12/07 Strano minispam virale (*aggiornamento*) Questo articolo vi arriva grazie alle gentili donazioni di "archilup", "massimiliano.ferr****" e "carlo.para****". A partire dalle prime ore di oggi, un curioso mini-messaggio sta riempiendo caselle di posta, mailing list e forum della Rete italiana. Eccone alcuni esempi segnalatimi dai lettori: ciao a tutti, guardate quello dei gatti! :-) ciao a tutti, ho trovato dei filmati veramente simpatici, soprattutto il secondo!! da morire!!!!! guardate gli ultimi due!! Aggiornamento (2005/12/14): Successivamente si sono aggiunte varianti che puntano al sito Il mittente cambia nei vari messaggi e probabilmente è stato falsificato, oppure il messaggio è stato effettivamente spedito dalla casella di posta dalla quale dichiara di provenire, ma a insaputa dell'utente: in almeno un caso, infatti, l'indirizzo IP del mittente apparente coincide con quello effettivo dell'indirizzo di . Il messaggio è privo di link-trappola (è in testo semplice, senza codici HTML che nascondono link mascherati) e privo di allegati che possano trasportare virus. A prima vista, il sito citato nel messaggio presenta semplicemente dei rimandi a una collezione di video e non contiene codice ostile che possa iniettare virus o altre porcherie (ma è comunque opportuna molta prudenza nel visitarlo). L'unica particolarità è che digitando il nome del sito, senza la sottodirectory /72364/, si viene comunque rediretti a questa sottodirectory. Tuttavia il sito nasconde una trappola: i video non si scaricano correttamente, e il sito reca la dicitura "se hai problemi a visualizzare i video devi aggiornare i codec di Windows Media Player. Puoi trovare i 19 of 24 1/1/06 21:30

20 codec più aggiornati su VcodecDownload". La dicitura linka a che sembrerebbe offrire dei programmi da scaricare (per Windows). Il sito dice che sono codec che consentirebbero a Windows Media Player di visualizzare i video, ma è sempre molto pericoloso scaricare programmi da siti sconosciuti e di dubbia affidabilità. E' molto sospetto che il sito dei video e il sito dei codec siano entrambi intestati a un improbabile "Brad Robertson, P.O.Box 31607, Code 1000, Addis Ababa Beijing ET, tel: , fax: , brad22584@post.cz". Cosa c'entra Beijing, altro nome di Pechino, con Addis Abeba? E come mai i numeri di telefono e fax iniziano con tre zeri? E perché un utente etiope (o pechinese) dovrebbe avere una casella di posta col suffisso cz della Repubblica Ceca? Ci sono anche altri dati contraddittori. Inoltre la data di registrazione dei siti è recentissima (il 2 dicembre scorso) e la registrazione vale un solo anno: tipici segni di uno spammer o di un truffatore. A giudicare dalla qualità dell'italiano usato, e dal fatto che lo spam e il sito sono in italiano, sembra che si tratti di uno spam destinato specificamente agli italofoni. Il probabile meccanismo di attacco è questo: un utente riceve il messaggio di spam e, incuriosito, visita il sito dei filmati. Cerca di vederli e non ci riesce, e così segue il consiglio del sito: va all'altro sito, quello che ospita i "codec", e li scarica e installa, credendo che siano innocue aggiunte a Windows Media Player, mentre sono in realtà virus che infettano il suo PC Windows e lo trasformano in disseminatore di spam. Al momento questa è un'ipotesi non verificata ma basata sulle circostanze: non ho a disposizione una macchina Windows sacrificabile sulla quale confermare la probabile natura virale di questi "codec" altamente sospetti: se qualcuno ce l'ha, può segnalare nei commenti i risultati dell'installazione del software scaricato. Mi associo ai commenti già arrivati consigliando vivamente a chiunque abbia scaricato e installato questi "codec" di eseguire subito una pulizia antivirus usando un antivirus aggiornato. Va detto, tuttavia, che l'attacco è talmente recente che gli antivirus potrebbero non riconoscere l'infezione (AVG, per esempio, per ora non rileva pericoli), per cui conviene ripetere il controllo antivirus anche fra un paio di giorni, quando gli antivirus saranno stati aggiornati. Aggiornamento (2005/12/14): L'ipotesi è confermata, e gli antivirus cominciano a identificare correttamente il virus che viene installato quando si scarica e si installa uno dei falsi "codec". Ciao da Paolo. Pubblicato da Paolo Attivissimo : 12/07/ :10:00 PM 34 commenti 2005/12/06 Attenti agli inviti del Grande Fratello 20 of 24 1/1/06 21:30