© 2003-2006 by Paolo Attivissimo. Some rights reserved (alcuni diritti riservati).
Prima versione: 24/11/2003. Ultimo aggiornamento: 15/10/2006
Per studiare il funzionamento di un dialer senza correre rischi occorrono alcuni ingredienti, purtroppo non tutti a buon mercato.
Si tratta di un PC Windows destinato a essere infettato installandovi il dialer. A fine indagine, il PC va naturalmente "sterilizzato" e riportato in condizioni di sicurezza. Per farlo ci sono due modi:
Mi raccomando, non fate esperimenti su computer che usate per lavoro e se non sapete esattamente cosa state facendo. Ci si può far molto male con questi esperimenti, soprattutto all'altezza del portafogli.
E' preferibile avere un modem esterno, separato da quello usato per connettersi a Internet, e dotato di altoparlante,
in modo da poter udire chiaramente i toni di composizione del numero e
vedere, tramite le spie sul frontale, esattamente cosa sta facendo il
dialer (molti dialer "zittiscono" il modem, ma non possono fare a meno
di accendere le lucette).
Un modem interno è accettabile, ma di gran lunga più scomodo.
La cosa più importante è non collegare il modem-cavia al filo del telefono, in modo da evitare il rischio di collegarsi davvero a un numero 899 e trovarsi con una bolletta dolorosa. E' prudente chiedere comunque la disabilitazione dell'899 al proprio operatore telefonico.
E' essenziale, per la riuscita delle indagini, che programmiate il
modem in modo che componga il numero di telefono senza attendere il
tono di linea: in questo modo compone il numero anche se non è collegato
al filo del telefono.
Per scoprire il numero composto dal dialer, quando ci si imbatte in un dialer che nasconde il numero ci sono due metodi: uno di forza bruta e uno più sofisticato.
Il metodo di forza bruta offre la massima affidabilità, dato che si
basa sull'ascolto e sulla decodifica dei toni DTMF effettivamente
composti dal modem. Con questo sistema si è sicuri che il numero
identificato è effettivamente quello che viene composto dal modem e non
è mascherabile in alcun modo. In pratica, si registra digitalmente
l'audio della sequenza di toni composta dal modem e la si passa
attraverso un decoder DTMF,
ossia un programma che riconosce i toni presenti nella registrazione e
visualizza le cifre corrispondenti a ciascun tono. Ho trovato per
esempio un decoder DTMF presso Audio-software.com: costa 169 euro, ma è usabile gratuitamente in prova per 14 giorni.
In alternativa c'è il metodo più elegante di Portmon: un programma gratuito, disponibile per Windows 95/98/2000 e NT/XP, che "sniffa" (intercetta) tutto quello che transita sulla porta seriale, che è la porta che collega il modem al computer. Lo si avvia, si clicca sul menu Capture per selezionare la porta seriale sulla quale risiede il modem e poi si fa partire il dialer; fatto questo, si cerca "ATDT" o "ATDP"
(i preamboli di composizione di un numero) nella registrazione del
traffico effettuata da Portmon e si guarda il numero che compare subito
dopo queste due sigle: è il numero che il dialer ordina al modem di
comporre.
Portmon è disponibile presso Sysinternals.com. Ringrazio "cassioli" per la segnalazione.
Per sapere a chi è intestato il sito reclamizzato dal dialer si può usare il servizio whois tramite uno dei tanti siti che lo offre, come Geektools.com (http://www.geektools.com/whois.php), immettendo il nome del sito senza il prefisso "www". I dati riportati nella prima sezione dei risultati sono quelli dell'intestatario.
Per sapere dove si trova fisicamente il sito sparadialer si possono usare vari metodi:
La prima cosa da fare è visitare il sito sparadialer con Internet Explorer usando la macchina sacrificale, e si installa il dialer proposto, prendendo nota del contenuto delle schermate di installazione (se sono
indicati i prezzi, il nome della società che offre il dialer, eccetera) o meglio ancora catturando le schermate con un programma di grafica.
Fatto questo, si va in Accesso Remoto e si guarda se è stata creata
una nuova connessione: in tal caso si prende nota del numero composto,
se visibile.
Se il numero composto non è visibile oppure non ci sono novità in
Accesso Remoto, per scoprire il numero occorre usare la forza bruta:
lasciare che il modem lo componga, registrare i toni composti usando un
programma di registrazione audio, e dare la registrazione in pasto a un
decoder DTMF oppure a un programma che intercetti la comunicazione seriale, come descritto sopra.
Scoprire il numero composto è importante, perché consente di calibrare l'e-mail di segnalazione nel modo giusto: per esempio, se il sito sparadialer è pornografico e usa una numerazione 899, farlo bloccare non è un problema, perchè gli 899 non possono dare accesso a servizi erotici, osceni o pornografici (decreto legge 23 ottobre 1996, n.545, convertito dalla legge 23 dicembre 1996, che ha appunto vietato "i servizi audiotex dal contenuto erotico, osceno o pornografico", come descritto presso il sito della Polizia di Stato).
Se invece il dialer usa una numerazione non italiana (prefissi che iniziano per 00), l'azione è molto meno diretta e richiede maggior impegno per avere successo.
Un lettore (f.vanoni) segnala che per i dialer svizzeri (prefisso 0906) "sul sito dell'Ufficio Federale delle Comunicazioni (UFCOM) vi è la possibilità di verificare a chi sono intestati i numeri 'speciali', dagli 0800 gratuiti fino agli 090x 'premium Rate'".
Il nome del sito sparadialer rivela facilmente il nome del provider che lo ospita. Se si tratta di una sottosezione di un sito generalista,
di quelli che ospitano le pagine di chiunque, come Lycos.it o Xoom.it, è evidente che il provider è appunto il sito generalista.
Se invece il sito sparadialer ha un proprio nome e non è una sottosezione di un sito generalista (ad esempio www.sparadialer.com), occorre rintracciare il provider ospitante (hosting provider) usando gli strumenti della Rete, per esempio Visualroute.it.
Guardando l'ultima riga si ottiene l'indirizzo IP del sito
sparadialer e una descrizione della rete che lo ospita
("IT-DADA-970904"), dalla quale è facile capire che si tratta del
provider italiano Dada.it.
Ulteriore conferma viene immettendo il nome del sito in Netcraft.com:
A questo punto si visita il sito del provider
e si cerca un rimando alle pagine dedicate alla segnalazione di abusi e
simili (nel caso di Dada.it) in cui sia riportato un indirizzo di
e-mail da contattare per questo tipo di problemi.
Se il sito del provider non fornisce un indirizzo, si può immettere
il nome del provider in whois per scoprirlo o per avere un numero di
telefono da chiamare per chiederlo. Di solito, comunque, l'indirizzo di
e-mail per le segnalazioni di abusi del servizio è del tipo abuse@nomeprovider.
Se possibile, si reperiscono anche le condizioni di contratto (Acceptable use policy) del provider, in modo da verificare se ci sono clausole che vietano espressamente i dialer.
Fra i dati del provider c'è di solito anche l'indirizzo della sede legale. Se si trova in Italia, vale la pena di coinvolgere anche la Polizia delle Comunicazioni, mandando copia della segnalazione via e-mail al Compartimento regionale della regione in cui è situata la sede. L'elenco degli indirizzi è in una pagina apposita del sito della Polizia di Stato.
Se non è chiaro dove sia ubicato il sito, potete comunque inviare segnalazione all'indirizzo generale poltel.milano@mininterno.it.
Occorre tener presente che il provider non è quasi mai complice di chi usa i dialer. Va trattato di conseguenza: in modo fermo ma cortese. Occorre anche evitare di protestare per dialer che fanno legittimamente il loro lavoro, ossia avvisano chiaramente dei costi sostenuti dall'utente e non si autoinstallano in modo ostile.
Usando i dati reperiti nelle fasi precedenti, si scrive un e-mail
all'Abuse del provider e in copia carbone (CC) all'indirizzo della
Polizia delle Comunicazioni, con una falsariga di questo genere:
Oggetto: Vostro sito contenente dialer
Spettabile Azienda,
desidero segnalare che il sito [sito sparadialer], che risulta in hosting presso di Voi, è in violazione
delle leggi italiane
[facoltativo, se pertinente:] e della vostra Acceptable Use Policy
Nella fattispecie, induce allo scaricamento di un cosiddetto "dialer" che collega a una numerazione [specificare il tipo] 899 (audiotex).
[se è un sito porno su numero 899:] La violazione delle leggi italiane si configura in quanto i dialer che danno accesso a servizi pornografici tramite numerazione a prefisso 899 (audiotex) sono vietati dal decreto legge 23 ottobre 1996, n.545, convertito dalla legge 23 dicembre 1996, che ha appunto vietato "i servizi audiotex dal contenuto erotico, osceno o pornografico" (http://www.poliziadistato.it/pds/primapagina/899/899.htm).
Con la presente segnalazione che vi mette a conoscenza del comportamento illecito, la Vostra azienda diventa civilmente responsabile per tale attività e si attiva il Vostro obbligo di legge di agire, secondo quanto previsto dall'art. 17 c. 3 d. lgs. 70/2003.
Vi esorto pertanto a prendere gli opportuni provvedimenti per far cessare immediatamente l'attività illecita del Vostro cliente.
Copia della presente è inviata per conoscenza al Compartimento regionale competente della Polizia delle Comunicazioni.
A Vostra disposizione per qualsiasi chiarimento via e-mail presso [vostro indirizzo di e-mail] e telefonicamente al numero [omesso per privacy]
Distinti saluti
[firma]
E poi non resta che aspettare.
Se avete qualche dettaglio o correzione da contribuire a quest'indagine, scrivetemi presso topone@pobox.com. Grazie!