Coords.net è “sentimentalmente” legato al Lago di Como e conduce molte delle sue attività di rilevamento geomatico proprio in questo magnifico territorio. Per questo motivo spesso consultiamo i servizi web offerti dal Comune di Como.
In questi giorni è stato pubblicato un nuovo sito dedicato al progetto di ammodernamento e valorizzazione del lungo lago Comasco: nuovolungolago.it
Con interesse abbiamo aperto il link ma, mentre il nostro browser iniziava a caricare la pagina web, il nostro antivirus ha cominciato a brillare in tutto il suo splendore come un allegro albero di Natale.
E’ risultato subito evidente come nella pagina sia contenuto un dialer che, ad insaputa dell’utente, cerchi di comporre il numero internazionale a pagamento maggiorato: 899300387.
Ma come è possibile che un sito pubblico possa nascondere un servizio a pagamento all’insaputa degli utenti?

La scoperta fatta ci ha fortemento incuriosito ed è per questo motivo che abbiamo cominiciato ad analizzare il caso.

Il nostro laboratorio è dotato di una linea ADSL e di un’infrastruttura capace di offrire un grado di sicurezza molto elevato. Per questo motivo, in piena sicurezza, ci siamo “divertiti” ad investigare.
Se avessimo avuto una comune connessione a 56k con un modem ed una linea telefonica avremmo corso il serio rischio di vedere la nostra bolletta telefonica pesantemente colpita dal costo di questo 899.

Per coloro che non sanno cosa sia un dialer o un servizio a pagamento 899 suggeriamo quest’articolo “Come difendersi dai dialer” di Paolo Attivissimo.

Inoltre facciamo presente che un dialer non e’ uno strumento intrinsecamente illegale, ma e’ legale solo quando fornisce tutte le informazioni “in modo chiaro e comprensibile, con ogni mezzo adeguato alla tecnica di comunicazione a distanza impiegata, osservando in particolare i principi di buona fede e di lealtà in materia di transazioni commerciali”.

Non crediamo il comune o il responsabile del sito abbiano volontariamente inserito questo codice fraudolento,tuttavia molti utenti in buona fede possono essere stati seriamente danneggiati da alcune scelte degli sviluppatori.

Spieghiamo meglio come si manifesta il problema:

All’interno della pagina, nella sua parte finale, è stato inserita una porzione di codice che rende possibile acquisire le statistiche d’accesso al sito web utilizzando un servizio gratuito offerto dalla società WebStat.ms.

Purtroppo questa procedura non si limita a raccogliere i dati ma, innesca sopratutto una serie di azioni potenzialmente pericolose per l’utente.
Attraverso diverse finestre pop-up e iframe aggirara le normali limitazioni del browser richiedendo all’utente la conferma per l’esecuzione di un applet java.
Solitamente per eseguire questo tipo di programmi è necessario che l’utente accetti un certificato digitale rilasciato dal publisher.
Nel nostro caso il certificato risulta emesso da “Base Activities Limited” e certificato da myprosi.info, la firma digitale sembra quindi convalidata da una fonte accreditata.
Tenuto presente che il tutto avviene all’interno di un sito affiliato al Comune di Como è comprensibile che l’utente medio accetti.
A questo punto il guaio è fatto. L’utente, accettando, ha permesso l’installazione di un software in grado di eseguire comandi malevoli rendendo quindi il computer infetto.
Il software è in grado di attuare comportamenti diversi ogni volta che viene eseguito rendendone ulteriormente difficoltosa l’identificazione.

L’editore di nuovolungolago.it utilizzando il servizio esterno offerto da WebStat.ms ha commesso un grave errore.
Questo servizio infatti è offerto gratuitamente a patto che l’editore accetti il seguente accordo, tratto da: Regolamento di WebStat.ms

“Webstat.ms ha ampia facoltà di operare tramite lo script inserito nei siti degli utenti , ivi compreso studi statistici , attività con fine di lucro incluso proposte di servizi audiotex con software di connessioni a valore aggiunto.Inserendo il codice javascript di Webstat.ms nel Vs sito autorizzate Webstat.ms a mandare qualsiasi tipo di codice informatico quali html,javascript,jscript,c#,activex,java tramite il codice inserito per controllare gli accessi del Vs sito e per qualsiasi altro fine ivi compreso l’apertura saltuaria di finestre secondarie contenenti codice informatico di tipo html,javascript,jscript,c#,activex,java ecc.. . Si autorizza Webstat.ms a rilevare ed operare azioni informatiche di qualsiasi genere tramite il codice javascript che inserite nelle vs pagine web a spostare su altro sito , anche di terze parti , le azioni informatiche derivate dallo script javascript senza doverne dare comunicazione. “

In pratica Webstat.ms avvisa l’editore del sito web ma non l’utente che intende avere carta bianca nel agire come meglio crede nei confronti dell’utente finale.
Se questo tipo di condotta sia perseguibile legalmente è tutt’oggi materia di studio.
Ma chi è stato cosi “stupido” da offrire le chiavi d’accesso ai computer di ignari cittadini ad una società simile?
Per di piu’ all’interno di un sito con una forte connotazione pubblica linkato nel portale del Comune?

Chidiamolo al Registro Nazionale per i domini .it:

Whois output for: nuovolungolago.it
Domain: nuovolungolago.it
Status: ACTIVE
Created: 2008-01-24 10:36:58
Expire Date: 2009-01-24
Last Update: 2008-01-24 10:36:58
Registrant
Name: Marco Fumagalli
ContactID: MF24472-ITNIC

Chi sia il Signor Fumagalli non lo sappiamo, che ruolo abbiano Lui ed il Comune di Como in questa scelta neppure.
Invitiamo entrambi a verificare con attenzione il sito che attualmente è pubblico e tutti gli utenti a controllare la propria bolletta telefonica.

Per qualsiasi chiarimento o supporto per rimuovere il software malevolo potete rivolgervi alla casella postale:
899nograzie@coords.net

Faremo del nostro meglio per aiutarvi =)