In queste ultime due settimane il noto fornitore di hosting a prezzi “popolari” Tophost sta chiudendo numerosi siti accusati di illecita attività di spam.
Non è nostra intenzione in questa sede valutare l’attività o la professionalità di Tophost ma semplicemente quella di esporre alcuni fatti.
Normalmente l’incauto intestatario di questi domini riceve da Tophost dapprima un messaggio e-mail di questo tenore:
Salve, abbiamo ricevuto molte segnalazioni di invio di posta non richiesta (SPAM/UCE) tramite il suo sito o riconducibile ad esso. Le ricordo che l’invio non sollecitato di posta e’ una attivita’ che danneggia l’intera collettivita’, e’ largamente ritenuta riprovevole ed è illecita in molte giurisdizioni, compresa l’Italia.
Ciò detto la invitiamo a contattarci per darci informazioni in merito, ed in base a queste il settore amministrativo deciderà se riattivare o meno il servizio.
A questo segue un generico invito a controllare il proprio PC e verificare la presenza di eventuale malware: alla candida risposta dell’interessato che assicura che no, il suo pc non è infetto, il sito viene riattivato per poi chiuderlo definitivamente pochi giorni dopo “avendo verificato che l’attività di spam continua”. Dal nostro modesto punto di vista ci giunge notizia di circa una decina di siti che hanno subito questa triste sorte, ma è facile pensare che il numero debba essere molto più elevato.
Tutto questo potrebbe anche rientrare nel novero dei legittimi interventi da parte di un fornitore che si veda costretto a punire l’abuso di un servizio. Tuttavia ci sono diverse cose nel comportamento di Tophost che non ci convincono del tutto e che cercherò di sintetizzare in alcune brevi osservazioni, lasciando al lettore il giudizio.
1. Tophost non fornisce all’interessato alcuna evidenza tecnica di tale “attacco” di spam: nessuna email viene mostrata all’utente, nessuna indicazione dell’IP di provenienza dello spam, nessuna indicazione del server smtp utilizzato, nessun log che dia prova di accessi illeciti.
2. Tophost si limita ad ammettere, nel migliore dei casi, che l’utente è stato vittima del furto delle credenziali di uno dei suoi account POP. L’utente dal canto suo non riceve più la posta in quanto le sue password POP vengono respinte, facendo presupporre che qualcuno le abbia cambiate.
3. Cambiare le password dei POP su Tophost presuppone che qualcuno abbia accesso al pannello di controllo dell’utente cosa che richiede la conoscenza dello user e della password dell’utente (diverse da quelle del POP).
4. Un eventuale malware presente nel pc dell’utente, anche nell’ipotesi che avesse potuto rubare la password durante l’attività di ricezione della posta dal POP, non potrebbe in alcun modo avere le credenziali di accesso per poterla cambiare a suo piacimento.
5. La maggioranza dei casi che abbiamo verificato NON utilizzava i server smtp di Tophost: non è chiaro dunque come un ipotetico furto della password di un account POP possa permettere l’invio di spam massiva.
6. In un caso da noi esaminato, l’utente aveva registrato presso Tophost diversi domini, alcuni dei quali non utilizzati direttamente da lui ma da suoi conoscenti. L’utente quindi poteva accedere al pannello di controllo di questi domini “indiretti” ma non riceveva posta da tali domini in quanto utilizzati materialmente da altri soggetti. Un eventuale malware presente nel pc di questo utente come avrebbe potuto sniffare la password di un POP non utilizzato in alcun modo da quell’utente?
7. Da quanto detto al punto 3 e 6, l’unica spiegazione possibile è che siano state rubate le credenziali per l’accesso al pannello di controllo dell’utente con le quali lo spammer potrebbe ovviamente cambiare tutte le password dei domini amministrati direttamente o indirettamente dall’utente. Ma Tophost di fatto nega questa ipotesi e insiste sul furto delle password degli account POP.
8. Teoricamente il furto delle credenziali di accesso al pannello di controllo potrebbe avvenire in questa maniera: furto della password dei POP (in un modo ancora tutto da chiarire visto che tutti i casi che abbiamo potuto verificare i pc degli utenti erano privi di virus), richiesta di nuova password per il pannello di controllo (millantando una password smarrita) e ricezione della stessa. Attenzione: lo spammer in questa fase non ha ancora potuto cambiare la password del POP, quindi deve essere certo di scaricare la email contenente la nuova password del pannello di controllo PRIMA che la stessa venga scaricata dall’utente legittimo. La procedura ha una tempistica un po’ stretta ed improbabile ma sulla carta è possibile. Ma allora viene da chiedersi: perchè Tophost non cambia subito tutte le password, compresa quella del pannello di controllo e ne dà comunicazione all’utente legittimo?
E comunque questa procedura – conosco la password di un POP e mi faccio mandare da Tophost una nuova password per il pannello di controllo – fa acqua da più parti: prima di tutto lo spammer dovrebbe conoscere anche lo user dell’utente prima di poter richiedere una nuova password; secondariamente, le comunicazioni di Tophost vengono generalmente inviate all’utente ad un indirizzo email “terzo”, ovvero facente parte di un dominio non amministrato da Tophost stessa (questo era il caso ad esempio di almeno 3 dei siti chiusi che abbiamo potuto esaminare) e dunque fuori dalla portata dello spammer.
9. In molti casi da noi verificati, l’utente utilizzava un server di posta personale (MS Exchange o altri) nel quale erano configurati altri POP di posta oltre a quelli di Tophost: come mai i casi di spam si sono verificati solo per i domini amministrati da Tophost?
10. Una nota “commerciale”: perchè Tophost non indica sul proprio sito e NEMMENO sulle sue fatture, un qualunque numero di telefono per poter essere contattata direttamente?
11. E finisco con un inquietante avviso di “malfunzionamento” che Tophost stessa ha pubblicato sul proprio sito di supporto SOLO un mese fa:
[20110105] Funzionamento Tophost
Ci scusiamo per il disagio causato dalla non raggiungibilità del sito www.tophost.it a causa di sciocche attività effettuate da un perditempo. Purtroppo il mondo ne è pieno.
Siamo intervenuti tempestivamente e rassicuriamo i clienti sull’integrità dei loro dati sensibili, che risultano protetti.
Siamo anche riusciti a individuare l’autore della bravata e raccolto le informazioni utili al caso. Provvederemo ad effettuare regolare denuncia a nome e cognome.
L’annuncio è publico e visibile qui.
Quella benevole rassicurazione “sull’integrità” dei dati sensibili degli utenti non può non scatenare qualche preoccupazione.
A questo dobbiamo aggiungere la scarsa trasparenza di Tophost che non fornisce all’utente nessun elemento per poter eventualmente tracciare le responsabilità. Devo dire che persino le banche, in caso di furto delle credenziali di una tessera bancomat (come è avvenuto da molti POS presenti in supermercati e altri negozi), credono alla buona fede del cliente e rimborsano le somme sottratte illecitamente: la condanna di Tophost avviene invece unilateralmente senza concedere all’utente nemmeno il diritto di replica.
Siamo certi che le sorprese non sono finite, le segnalazioni di altri siti chiusi ci pervengono di ora in ora e forse avrò modo di tornare sull’argomento con qualche elemento investigativo ulteriore.
Aggiornamento
Abbiamo verificato un caso di un utente proprietario di diversi domini ciascuno con POP di posta distinti: alcuni di questi venivano utilizzati in in pc diversi e non in rete tra loro. Ebbene sono state cambiate le password a tutti i POP. Cade a nostro avviso l’ipotesi che questo possa essere dovuto ad un pc infetto visto che i POP non erano configurati nella stessa macchina e la probabilità che tutti i pc fossero infettati dallo stesso malware è praticamente nulla.
Si ripropone l’evidenza che gli spammer abbiano potuto impadronirsi delle credenziali amministrative dell’utente e da lì abbiano avuto la possibilità di cambiare tutte le password a piacimento, ma se questo fosse vero, come mai non avrebbero cambiato anche la password amministrativa ma solo quelle dei POP?
La conclusione per noi più ovvia è che gli spammer abbiano sfruttato una breccia di sicurezza nella rete del provider.
Al momento da un paio di giorni la situazione è tranquilla e non abbiamo segnalazione di nuovi casi. Forse si è trovata la falla?
D’altra parte problemi di spam massivi su Tophost non sono nuovi come si può vedere qui. In quel caso il problema si rivelò essere un firewall non funzionante correttamente.
