Come indagare su un dialer

© 2003-2006 by Paolo Attivissimo. Some rights reserved (alcuni diritti riservati).

Prima versione: 24/11/2003. Ultimo aggiornamento: 15/10/2006

Gli ingredienti

Per studiare il funzionamento di un dialer senza correre rischi occorrono alcuni ingredienti, purtroppo non tutti a buon mercato.

Il computer "sacrificale"

Si tratta di un PC Windows destinato a essere infettato installandovi il dialer. A fine indagine, il PC va naturalmente "sterilizzato" e riportato in condizioni di sicurezza. Per farlo ci sono due modi:

Mi raccomando, non fate esperimenti su computer che usate per lavoro e se non sapete esattamente cosa state facendo. Ci si può far molto male con questi esperimenti, soprattutto all'altezza del portafogli.

Il modem

E' preferibile avere un modem esterno, separato da quello usato per connettersi a Internet, e dotato di altoparlante, in modo da poter udire chiaramente i toni di composizione del numero e vedere, tramite le spie sul frontale, esattamente cosa sta facendo il dialer (molti dialer "zittiscono" il modem, ma non possono fare a meno di accendere le lucette).

Un modem interno è accettabile, ma di gran lunga più scomodo.

La cosa più importante è non collegare il modem-cavia al filo del telefono, in modo da evitare il rischio di collegarsi davvero a un numero 899 e trovarsi con una bolletta dolorosa. E' prudente chiedere comunque la disabilitazione dell'899 al proprio operatore telefonico.

E' essenziale, per la riuscita delle indagini, che programmiate il modem in modo che componga il numero di telefono senza attendere il tono di linea: in questo modo compone il numero anche se non è collegato al filo del telefono.

Il software

Per scoprire il numero composto dal dialer, quando ci si imbatte in un dialer che nasconde il numero ci sono due metodi: uno di forza bruta e uno più sofisticato.

Il metodo di forza bruta offre la massima affidabilità, dato che si basa sull'ascolto e sulla decodifica dei toni DTMF effettivamente composti dal modem. Con questo sistema si è sicuri che il numero identificato è effettivamente quello che viene composto dal modem e non è mascherabile in alcun modo. In pratica, si registra digitalmente l'audio della sequenza di toni composta dal modem e la si passa attraverso un decoder DTMF, ossia un programma che riconosce i toni presenti nella registrazione e visualizza le cifre corrispondenti a ciascun tono. Ho trovato per esempio un decoder DTMF presso Audio-software.com: costa 169 euro, ma è usabile gratuitamente in prova per 14 giorni.

In alternativa c'è il metodo più elegante di Portmon: un programma gratuito, disponibile per Windows 95/98/2000 e NT/XP, che "sniffa" (intercetta) tutto quello che transita sulla porta seriale, che è la porta che collega il modem al computer. Lo si avvia, si clicca sul menu Capture per selezionare la porta seriale sulla quale risiede il modem e poi si fa partire il dialer; fatto questo, si cerca "ATDT" o "ATDP" (i preamboli di composizione di un numero) nella registrazione del traffico effettuata da Portmon e si guarda il numero che compare subito dopo queste due sigle: è il numero che il dialer ordina al modem di comporre.

Portmon è disponibile presso Sysinternals.com. Ringrazio "cassioli" per la segnalazione.

Gli strumenti della Rete

Per sapere a chi è intestato il sito reclamizzato dal dialer si può usare il servizio whois tramite uno dei tanti siti che lo offre, come Geektools.com (http://www.geektools.com/whois.php), immettendo il nome del sito senza il prefisso "www". I dati riportati nella prima sezione dei risultati sono quelli dell'intestatario.

Per sapere dove si trova fisicamente il sito sparadialer si possono usare vari metodi:

L'indagine

Prima fase: l'infezione

La prima cosa da fare è visitare il sito sparadialer con Internet Explorer usando la macchina sacrificale, e si installa il dialer proposto, prendendo nota del contenuto delle schermate di installazione (se sono indicati i prezzi, il nome della società che offre il dialer, eccetera) o meglio ancora catturando le schermate con un programma di grafica.

Seconda fase: scoprire il numero

Fatto questo, si va in Accesso Remoto e si guarda se è stata creata una nuova connessione: in tal caso si prende nota del numero composto, se visibile.

Se il numero composto non è visibile oppure non ci sono novità in Accesso Remoto, per scoprire il numero occorre usare la forza bruta: lasciare che il modem lo componga, registrare i toni composti usando un programma di registrazione audio, e dare la registrazione in pasto a un decoder DTMF oppure a un programma che intercetti la comunicazione seriale, come descritto sopra.

Scoprire il numero composto è importante, perché consente di calibrare l'e-mail di segnalazione nel modo giusto: per esempio, se il sito sparadialer è pornografico e usa una numerazione 899, farlo bloccare non è un problema, perchè gli 899 non possono dare accesso a servizi erotici, osceni o pornografici (decreto legge 23 ottobre 1996, n.545, convertito dalla legge 23 dicembre 1996, che ha appunto vietato "i servizi audiotex dal contenuto erotico, osceno o pornografico", come descritto presso il sito della Polizia di Stato).

Se invece il dialer usa una numerazione non italiana (prefissi che iniziano per 00), l'azione è molto meno diretta e richiede maggior impegno per avere successo.

Un lettore (f.vanoni) segnala che per i dialer svizzeri (prefisso 0906) "sul sito dell'Ufficio Federale delle Comunicazioni (UFCOM) vi è la possibilità di verificare a chi sono intestati i numeri 'speciali', dagli 0800 gratuiti fino agli 090x 'premium Rate'".

Terza fase: scoprire il provider

Il nome del sito sparadialer rivela facilmente il nome del provider che lo ospita. Se si tratta di una sottosezione di un sito generalista, di quelli che ospitano le pagine di chiunque, come Lycos.it o Xoom.it, è evidente che il provider è appunto il sito generalista.

Se invece il sito sparadialer ha un proprio nome e non è una sottosezione di un sito generalista (ad esempio www.sparadialer.com), occorre rintracciare il provider ospitante (hosting provider) usando gli strumenti della Rete, per esempio Visualroute.it.

[grafico di visualroute]

Guardando l'ultima riga si ottiene l'indirizzo IP del sito sparadialer e una descrizione della rete che lo ospita ("IT-DADA-970904"), dalla quale è facile capire che si tratta del provider italiano Dada.it.

Ulteriore conferma viene immettendo il nome del sito in Netcraft.com:

[analisi di netcraft.com]

Quarta fase: trovare l'Abuse e il regolamento

A questo punto si visita il sito del provider e si cerca un rimando alle pagine dedicate alla segnalazione di abusi e simili (nel caso di Dada.it) in cui sia riportato un indirizzo di e-mail da contattare per questo tipo di problemi.

Se il sito del provider non fornisce un indirizzo, si può immettere il nome del provider in whois per scoprirlo o per avere un numero di telefono da chiamare per chiederlo. Di solito, comunque, l'indirizzo di e-mail per le segnalazioni di abusi del servizio è del tipo abuse@nomeprovider.

Se possibile, si reperiscono anche le condizioni di contratto (Acceptable use policy) del provider, in modo da verificare se ci sono clausole che vietano espressamente i dialer.

Quinta fase: scegliere il compartimento della Polizia delle Comunicazioni di zona

Fra i dati del provider c'è di solito anche l'indirizzo della sede legale. Se si trova in Italia, vale la pena di coinvolgere anche la Polizia delle Comunicazioni, mandando copia della segnalazione via e-mail al Compartimento regionale della regione in cui è situata la sede. L'elenco degli indirizzi è in una pagina apposita del sito della Polizia di Stato.

Se non è chiaro dove sia ubicato il sito, potete comunque inviare segnalazione all'indirizzo generale poltel.milano@mininterno.it.

Sesta fase: la letterina

Occorre tener presente che il provider non è quasi mai complice di chi usa i dialer. Va trattato di conseguenza: in modo fermo ma cortese. Occorre anche evitare di protestare per dialer che fanno legittimamente il loro lavoro, ossia avvisano chiaramente dei costi sostenuti dall'utente e non si autoinstallano in modo ostile.

Usando i dati reperiti nelle fasi precedenti, si scrive un e-mail all'Abuse del provider e in copia carbone (CC) all'indirizzo della Polizia delle Comunicazioni, con una falsariga di questo genere:

Oggetto: Vostro sito contenente dialer

Spettabile Azienda,

desidero segnalare che il sito [sito sparadialer], che risulta in hosting presso di Voi, è in violazione delle leggi italiane

[facoltativo, se pertinente:] e della vostra Acceptable Use Policy

Nella fattispecie, induce allo scaricamento di un cosiddetto "dialer" che collega a una numerazione [specificare il tipo] 899 (audiotex).

[se è un sito porno su numero 899:] La violazione delle leggi italiane si configura in quanto i dialer che danno accesso a servizi pornografici tramite numerazione a prefisso 899 (audiotex) sono vietati dal decreto legge 23 ottobre 1996, n.545, convertito dalla legge 23 dicembre 1996, che ha appunto vietato "i servizi audiotex dal contenuto erotico, osceno o pornografico" (http://www.poliziadistato.it/pds/primapagina/899/899.htm).

Con la presente segnalazione che vi mette a conoscenza del comportamento illecito, la Vostra azienda diventa civilmente responsabile per tale attività e si attiva il Vostro obbligo di legge di agire, secondo quanto previsto dall'art. 17 c. 3 d. lgs. 70/2003.

Vi esorto pertanto a prendere gli opportuni provvedimenti per far cessare immediatamente l'attività illecita del Vostro cliente.

Copia della presente è inviata per conoscenza al Compartimento regionale competente della Polizia delle Comunicazioni.

A Vostra disposizione per qualsiasi chiarimento via e-mail presso [vostro indirizzo di e-mail] e telefonicamente al numero [omesso per privacy]

Distinti saluti

[firma]

E poi non resta che aspettare.

Commenti o segnalazioni?

Se avete qualche dettaglio o correzione da contribuire a quest'indagine, scrivetemi presso topone@pobox.com. Grazie!