Qualche giorno fa ho segnalato un anomalo comportamento di Google, erroneamente identificato come bug. Mi riferivo alla feature che associa l’etichetta me al propio indirizzo, feature che gli spammer usano per far comparire come mandate da voi stessi delle mail, anche se l’ottimo filtro di Google riesce comunque ad intercettare il contenuto come spam.
Oggi si tratta invece di una cosa più seria e decisamente più pericolosa, se rapportata al fatto che molti di noi utilizzano oggi l’indirizzo di GMail come email primario e di contatto per molti servizi. Prima di alzare i toni è comunque opportuno che dica che mi riferisco ad un bug di sicurezza patchato (corretto) già da almeno un anno.
Ma tocca fare un po’ di ricostruzione, almeno un anno, appunto, di tempo!
Verso fine Settembre 2007 GNUCitizen prima descrive sommariamente una pericolosa vulnerabilità nel meccanismo di autenticazione di GMail, e poi – dopo la comunicazione da parte di Google che affermava di aver fixato il bug – la documenta con il cosiddetto proof of concept. La tecnica usata prevede sostanzialmente che l’hacker riesca ad “impostare” dei filtri che possono forwardare la posta ricevuta presso un indirizzo di suo gradimento. Oltre a esporre messaggi privati, questa tecnica può essere resa arbitrariamente distruttiva in quegli scenari in cui l’utente abbia utilizzato la casella di GMail come – ad esempio – mail di contatto per la registrazione di domini.
Pochi giorni dopo – il primo Ottobre dello stesso Anno – ZDNet pubblica un post di Ryan Naraine, un security evangelist di Kaspersky Lab, che spiega l’opportunità per tutti gli utenti di andare a controllare i propri “filtri”. La patch infatti elimina la vulnerabilità che permette all’hacker di impostarli, ma non bonifica quelli già impostati.
Negli ultimi 12 mesi (secondo questo articolo su RWW) almeno due domini di una certa rilevanza sono stati rapiticon questa tecnica, ed il secondo molto di recente!
Ho l’abitudine di controllare periodicamente la casella spam di Gmail. Credo che l’unico valido motivo per fare ciò sia legato ad una fiducia non proprio totale nei confronti del filtro. Ho in sostanza paura che il filtro possa essere troppo severo e generare quindi dei falsi positivi.
Per questo motivo controllo periodicamente ciò che viene archiviato come spam e naturalmente svuoto tutto (per rendere meno oneroso il successivo controllo).
Bene, devo dire che il filtro funziona a dovere. Finora solo un messaggio etichettato spam per errore. E in questi giorni mi ha anche stupito positivamente, riuscendo ad intercettare dei messaggi di spam anche se l’indirizzo del mittente era…uh…il mio!!!
[Attenzione: in fondo al messaggio un update, la sicurezza del vostro account Gmail è con tutta probabilità salva.]
La prima volta che è successo, qualche giorno fa, ho archiviato la cosa come un baco in qualche mass-mailer che avesse, ahimè, anche il mio indirizzo. Poi sono andato a guardare gli header del messaggio. In Gmail potete vederli facendo click sulla freccina accanto a reply, e scegliendo fra le opzioni “Show original”. E negli header ho visto cose brutte:
Delivered-To: mioindirizzo@gmail.com
Received: by 10.142.104.12 with SMTP id b12cs7943wfc;
Tue, 11 Nov 2008 12:15:52 -0800 (PST)
Received: by 10.210.66.13 with SMTP id o13mr9588525eba.74.1226434551118;
Tue, 11 Nov 2008 12:15:51 -0800 (PST)
Return-Path: <mioindirizzo@gmail.com>
Received: from m85-94-175-97.andorpac.ad (m85-94-175-97.andorpac.ad [85.94.175.97])
by mx.google.com with ESMTP id g9si9762451gvc.0.2008.11.11.12.15.46;
Tue, 11 Nov 2008 12:15:51 -0800 (PST)
Received-SPF: neutral (google.com: 85.94.175.97 is neither permitted nor denied
by domain of mioindirizzo@gmail.com) client-ip=85.94.175.97;
Authentication-Results: mx.google.com; spf=neutral (google.com: 85.94.175.97 is neither
permitted nor denied by domain of mioindirizzo@gmail.com) smtp.mail=mioindirizzo@gmail.com
Date: Tue, 11 Nov 2008 12:15:51 -0800 (PST)
Message-Id: <4919e7f7.096c100a.3153.3259SMTPIN_ADDED@mx.google.com>
To: <mioindirizzo@gmail.com>
Subject: Barak and McCain's conssultants
From: <mioindirizzo@gmail.com>
MIME-Version: 1.0
Importance: High
Content-Type: text/html
Segue in testo del messaggio...
No ho particolare confidenza con in protocollo in questione, ma confrontando gli header con quelli di un messaggio legittimo la somiglianza è preoccupante. Purtroppo i pochipost(al momento) presenti nei relativi gruppi google non sono assolutamente d’aiuto.
I consigli che al momento posso dare sono abbastanza basilari:
[Attenzione: in fondo al messaggio un update, la sicurezza del vostro account Gmail è con tutta probabilità salva.]
cambiate password;
cambiate domanda segreta;
verificate o cancellate eventuali “account secondari” a cui avevate concesso l’accesso. Non mi riferisco agli account secondari di posta, me agli altri indirizzi che usate (se ne usate) per autenticarvi con i servizi di Google;
monitorate il fenomeno.
Conoscendo i personaggi in questione e l’attenzione verso questo prodotto, se la cosa dovesse diffondersi probabilmente ci metteranno una pezza.
Non mi fermo con le analisi. Spero di scoprire che si tratta di una banale configurazione di un client che si spaccia per un altro, nel qual caso (forse) c’è meno da preoccuparsi, ma vi invito comunque a verificare le vostre caselle spam. Chiaramente la preoccupazione più grande è che lo stesso messaggio possa essere mandato alla propria rubrica, ma al momento nessuno dei miei contatti ha riportato manifestazioni del genere. Uno di loro mi ha invece confermato di avere lo stesso problema dei messaggi auto-inviati.
Disclaimer: l’apertura di un messaggio di posta, specie dentro un browser con javascript abilitato, può causare l’esecuzione di codice maligno. Se non vi fidate dei messaggi che avete in spam e volete cancellarli senza correte rischi, eliminateli direttamente (“Delete all spam messages now”) senza aprirli.
UPDATE: Dopo pochi scambi di battute su FF (grazie a chi ha contributo alla discussione colmando la mia ignoranza), forse la cosa si può archiviare come un semplice tentativo di Socal Engineering tarato proprio su Gmail, e sulla sua funzionalità che associa l’etichetta “me” (come mittente) al proprio indirizzo di posta elettronica. Questo vuol dire che la sicurezza del vostro accont è con tutta probabilità inviolata (cioè la presenza di tali email non è un indice di effrazione).
Ho provatto a connettermi ad un smtp del provider (quindi non google) e inserendo a mano (tecnicamente spoofando) il campo “from” sono riuscito a riprodurre un messaggio per il 90% simile a quello che ho segnalato (ma mai identico negli header).
Il tentativo di autenticazione che Google cerca di fare tramite Sender Policy Framework non da un risultato significativo, ed è probabile che il filtro antispam tenga conto anche di questo.
Ad un conoscente è appena arrivata questa email, tutto sommato abbastanza ben fatta, e che a maggior ragione rappresenta un pericolo per il quasi ignaro utente.
Da: Google-AdWords [mailto:support-adwords@google.com] Inviato: giovedì 9 ottobre 2008 15.51 A: …. Oggetto: Submit your payment information.
——————————————————————————–
This message was sent from a notification-only email address that does
not accept incoming email. Please do not reply to this message. If you
have any questions, please visit the Google AdWords Help Centre at
https://adwords.google.com/support/?hl=en_GB
the page.
————————————————————————–
Hello,
Our attempt to charge your credit card for your
outstanding Google AdWords account balance was declined.
Your account is still open. However, your ads have been suspended. Once
we are able to charge your card and receive payment for your account
balance, we will re-activate your ads.
Please update your billing information, even if you plan to use the
same credit card. This will trigger our billing system to try charging
your card again. You do not need to contact us to reactivate your
account.
To update your primary payment information, please follow these steps:
1. Log in to your account at http://adwords.google.com/select (ndr: ho tolto il link, che era: http://www.adwords.google.com.agdopt.cn/select/Login)
2. Enter your primary payment information.
3. Click ‘Update’ when you have finished.
In the future, you may wish to use a backup credit card in order to
help ensure continuous delivery of your ads. You can add a backup
credit card by visiting your Billing Preferences page or visit the
AdWords Help Centre for more details:
Sincerely,
The Google AdWords Team
Thank you for advertising with Google AdWords. We look forward to
providing you with the most effective advertising available.
———————————————
Semplicemente evitate di cliccare sopra quel link camuffato (come dovreste fare praticamente in ogni caso!) e cestinate la mail. Sempre, sempre, sempre guardare l’indirizzo nascosto dietro il link.
Nei giorni scorsi ho sbirciato qualchepost un po’ polemico che denunciava, in alcuni casi con grande enfasi, la funzionalità di “pre-emptive search” presente nella OmniBox (la barra dell’indirizzo/casella di ricerca del nuovo browser). Per fortuna alcune voci fuori dal coro hanno un approccio più “razionale”.
Tale funzionalità, già presente in Google Suggest e nella search box di Firefox, prevede necessariamente l’invio di quanto finora scritto ai server di Google, che in risposta forniscono un elenco di valori (le potenziali keyword di ricerca) che vanno a popolare la combo.
Premesso che è una funzionalità disattivabile (anche se in maniera non immediata) e che personalmente me ne frego che Google sappia quante volte scrivo male una url, effettivamente qualche preoccupazioe sulla privacy mi sembra legittima, anche se paragonare questa funzionalità a quella di un keylogger (usato tipicamente per scopi maligni) mi sembra decisamente esagerato.
La socetà di Mountain View continua comunque a piacermi: nella sua politica di grande trasparenza e comunicazione ha infatti pubblicato un articolo in cui spiega sostanzialmente che:
il 98% di tali ricerche non sono semplicemente loggate;
il restante 2% viene loggato (in maniera randomica) per migliorare il servizio;
hanno deciso di cancellare quel 2% il prima posibile (tipo 24 ore dopo la registrazione);
implementeranno questa modifica probabilmente entro la fine del mese.
E vi dirò….finora l’unica cosa che mi manca è la barra degli indirizzi dell’ultimo Firefox, alla quale mi stavo velocemente e felicemente abituando. A parte questo devo dire che sulla maggior parte dei siti che frequento abitualmente, o per lo meno di quella decina che ho potuto testare da quando ho installato il browser, la user experience mi sembra…beh…corretta! Nessun problema ma neanche grosse rivoluzioni (con qualche eccezione, vedi in fondo al post).
Ho verificato dai log che il browser viene individuato come “Safari”, il che mi impedirà di vedere nei prossimi giorni (per pura curiosità) quanti utenti accedano qui col nuovo browser.
Una delle feature che ero curioso di testare è il task manager. Diciamo che nelle condizioni normali (come quelle che vedete rappresentate in finestra) è poco utile. Lo diventerà certamente per individuare eventuali memory hog: siti o plug-in che cominciano a mangiare la memoria senza smetterla più.
Ho anche verificato che su qualche sito che si basa sullo “user agent” per l’identificazione del browser (e non sul test delle effettive capacità) javascript viene ignorato, ovvero il server agisce come se non fosse disponibile.
L’eccezione a cui facevo riferimento è costituita da Picasa, il Flickr di Google (di Google?!? Ma vuoi vedere che…). Si tratta di una delle poche applicazioni web che ho sempre disdegnato, principalmente per il fatto che l’utilizzo di quella mostruosa interfaccia, pesantemente basata su javascript, mi è sempre risultato poco gradevole, con il browser sempre apparentemente congelato nel passaggio fra una finestra e l’altra. Ecco, questa è l’unica applicazione che io abbia provato finora nella quale il miglioramento di performance (non velocità pura, attenzione, ma piuttosto l’interattività della finestra, l’assenza di freeze) è notevolissima.
Altre webapp che beneficiano di un certo miglioramento (sempre limitandomi a quelle che ho provato stasera) comprendono il citato Flickr (specialmente l’interfaccia di amministrazione/organizzazione delle foto, geotagging compreso) e parzialmente anche Google Maps.
Se siete curiosi di provarlo, in pochi minuti dovreste riuscire a scaricare Chrome da qui. Il browser si installa praticamente da solo, e se avete l’accortezza di chiudere il vecchio browser durante l’installazione, quello nuovo importerà i vostri bookmark, le password salvate ed in generale le impostazioni.
Fra le cose che mi colpirono di più in occasione del Google I/O dello scorso Maggio, vi fu senza dubbio la presentazione di una versione “0.9” (o giù di lì) di Google Gears, a quel punto già ribattezzato solo “Gears”.
Chris Prince, Project Manager e di fatto papà del progetto la spiegò sostanzialmente così: Gears implementa le funzionalità di HTML5 anche per quei browser che non la implementano nativamente. Cioè – oggi – tutti.
Fra queste funzionalità non c’è solo la possibilità di depositare in locale delle informazioni (un local database) ma anche un oggetto canvas per gestire elaborazioni grafiche un po’ più evolute, un set di funzioni per gestire procedure javascript in multithreading (worker pool) ed altre amenità.
Nella simpatica presentazione del nuovo browser di Google, battezzato Chrome, che ho sfogliato stamattina, ho trovato diversi richiami a quel tipo di approccio: empower the browser, o meglio ancora, exploit the browser potential!
Mi pare superfluo replicare le migliaia di post (centinaia in italiano) che in queste ore/giorni segnalano l’uscita di una beta dell’atteso SDK. Piuttosto mi limito a segnalare una delle review meglo fatte (quella di Ars Tecnica) che entra un minimo nei dettagli della piattaforma.
Le cose (IMO) più significative:
C’è grande differenza, anche nelle API, fra questa versione e le precedenti, e benchè Google abbia pubblicato esaustiva documentazione sulle differenze, non è detto che il porting di un’applicazione sia semplice. D’altro canto non credo che qualcuno abbia investito massicciamente su un a piattaforma ancora dischiaratamente instabile.
L’interfaccia è decisamente migliorata e resa più uniforme.
E’ migliorato (parrebbe di molto) il set delle applicazioni fornite con lo stack [tag]Android[/tag].
Google has repeatedly touted the inclusiveness of an open platform as the primary quality that differentiates Android from competing mobile operating systems. Unfortunately, mismanagement and market pressures have largely undermined that advantage and disenfranchised some of the Linux enthusiasts in the third-party developer community.
Non credo ci siano mai stati dubbi sul fatto che il tema è di fondamentale importanza, soprattutto in un momento in cui il mercato rischia di essere invaso e monopolizzato dagli [tag]iPhone[/tag].
Qualcuno di voi si è cimentato con qualche sviluppo su questa piattaforma?
Scrive oggi Ars Tecnica che parrebbe fondata la notizia secondo cui Google avrebbe distributo delle versioni private del SDK di Android ai partecipanti (o ad acluni fra questi) alla Android Developer Challenge.
Third-party Android application developers, who have grown increasingly frustrated with the lack of SDK updates, were shocked to discover that Google has been secretly making new versions of the Android SDK available to the Android Developer Challenge (ADC) finalists under non-disclosure agreements.
Un Non-Disclosure Agreement (NDA), ovvero un Accordo di Non-Divulgazione sarebbe stato fatto firmare agli sviluppatori interessati.
Non proprio svelati, ma qualche passo verso l’apertura…
Oggi sul Blog Ufficiale di Google c’è un interessante articolo/post di Udi Manber, VP Engineering, Search Quality, che spiega perchè gli algoritmi di ranking siano tenuti così segreti, ma dichiara anche una certa …apertura.
E così si svela che il PageRank, tuttora in uso, è oggi solo una parte di un meccanismo ben più complesso, che tiene conto fra l’altro dei language models (la capacità di gestire frasi, sinonmi, errori…), query models (non solo il linguaggio, ma come le persone lo usano oggi), time models (interessante: ad alcune ricerche è megli rispondere con pagine fresche, ad altre con pagine che stanno lì da più tempo).
E poi la complessità del gestire le query in vari linguaggi, di combattere lo spam…
In definitiva, un articoletto che vale la pena di leggere, in attesa di qualche insight ancora più succulento!
Tanto per capire quello che non vi potete perdere, provate a dare un’occhiata ai materiali rilasciati dopo le sessioni diYokohama, Pechino e Taipei.
Yokohama, June 10
Shortly after Google I/O, we kicked off our 2008 Google Developer Days. The first stop was Yokohama, Japan. Andy Rubin and Takuya Oikawa started the day before 1100 developers, highlighting the Android user interface, the Earth API’s 3D graphics, and announcing Japan’s new Google Developer API Expert program. Videos and sessions are now available.
Beijing, June 12
Two days later, Marissa Mayer and Kai-Fu Lee opened Developer Day in Beijing for more than 2,000 developers, highlighting the effort between Google and local developer communities to collectively make the web better as a platform. Notably, we welcomed several new Chinese networks to the OpenSocial community, including 51.com, 51wan.com, Douban.com, Hainei.com, Tianji.com, Xiaonei.com, and YiQi.com. These networks join a few others that have already launched in China, including MySpace.cn and Tianya.cn, as well as CityIN.com, which has shipped a sandbox for developers. Beijing videos and sessions are here.
Taipei, June 14
Next on the schedule was Taipei’s first Google Developer Day, with 900 developers. In the developer showcase, we invited three developers to demonstrate web applications they’d built using Google APIs: Wei-chih Chiang, a student of Yi Shou University and his Photo Note site, Jun-Chieh Huang, founder of ischool, a website that integrates Google services for elementary and high schools in Taiwan, and FunP, a social website integrating OpenSocial features. Here are the Taipei videos and sessions.
Dopo la pausa estiva si ricomincia, partendo dall’Inghilterra, per arrivare alla Russia, passando fortunatamente anche per l’Italia!