Jacopo Deyla

Esperto di Accessibilità e Usabilità

Deyla vs Aruba (Unicredit 2)

| Filed under Polemiche sterili

Registro e pubblico la simpatica conversazione che sto tenendo con Aruba.

La speranza è quella di avere il diritto a pubblicare quel che voglio, se questo non lede nessuno. E che i miei diritti (provati) valgano come i diritti di una banca (ipotetici)

Le premesse e le mie ipotesi sono nell’articolo Unicredit vs Deyla

Tutte le mail di Aruba terminano con un divieto di diffusione a persone diverse dal destinatario, essedno io il destinatario, diffondo (omettendo i dati dell’operatore)

22 Aprile – Aruba: ti abbiamo bloccato (bastardo)!

Gentile cliente,

nel dominio deyla.com a lei intestato e’ stata rilevata una pagina (percorso http://www.deyla.com/index.php?azione=2&vai=www.unicreditbanca.it) inserita per ottenere illegalmente i dati personali di clienti di un istituto di credito.

La pagina index.php è stata pertanto rinominata in index.php_RIMUOVERE per impedire ulteriori accessi, la
invitiamo a rimuovere tale materiale e a verificare eventuali bug di sicurezza presenti negli script utilizzati,
aggiornando all’ultima versione disponibile.

In mancanza di tali modifiche e in caso di nuove segnalazioni saremo tuttavia costretti a bloccare il dominio.

Cordiali Saluti,
==============================
Aruba S.p.A. – Webserver Staff
Aruba.it http://www.aruba.it
==============================

23 Aprile – Io: cosa succede? parliamone!

sottotitolo, è Pasqua e chiudete per 4 giorni, non bloccatemi per così tanto

Mi avete appena bloccato il dominio!
La pagina non serve assolutamente per avere i dati dei clienti unicredit,
non ha falle di sicurezza
e
vorrei una spiegazione sull’operazione effettuata,
o un contatto telefonico con cui chiarire la questione.

Jacopo Deyla
segue mio telefono

26 aprile – Aruba:  Fai phishing, controlla!

Gentile cliente,
come indicatole dal mio collega la pagina da lei indicata veniva utilizzata per operazioni malevole di phishing pertanto dovrà provvedere a mettere in sicurezza gli applicativo da lei utilizzati per evitare che il suo dominio possa essere usato ulteriormente come testa di ponte per l’esecuzione di medesime attività illecite.

Saluti
= = = = = = = = = = = = = = = = = = = =

segue firma dell’operatore e recapiti

26 Aprile – Io: sicuri? aiutatemi non voglio commettere altri crimini!

Intanto grazie
di avermi fornito qualche altro tipo di recapito e di avermi risposto.

Vorrei evitare che accada di nuovo, e sistemare le cose:

a me le cose risultano diverse:

- la index rinominata è il motore del sito (rinominandomela mi avete bloccato tutto il sito)
- la index non ha mai fatto phishing o meglio a me non risulta

Vorrei sapere da chi è giunta la segnalazione,
o almeno su quali dati è basata questa “accusa” di phishing,
a me non risulta faccia in alcun modo phishing.

PS
Chiedere a voi di rimuovere una pagina, non dovrebbe essere il secondo passaggio, prima chiederlo a me?
Non è un po’ drastica come azione?

27 Aprile – Aruba: Abbiamo tutti i diritti di bloccarti il sito quando vogliamo, e smetti di fare phishing!

Gentile cliente,
le ricordo innanzitutto quanto riportato (e da lei accettato in fase di ordine/rinnovo del dominio) presso il contratto di hosting del servizio da lei acquistato:

..
..
15) Obblighi, divieti e responsabilità del Cliente
15.4 A titolo esemplificativo ma non esaustivo, il Cliente si impegna a:
[..]
n) non effettuare phishing o altre azioni equivalenti di natura illecita tendenti a sottrarre agli utenti dati personali o altre informazioni riservate (a titolo esemplificativo ma non esaustivo: codici d’accesso, password, userID);
[..]
15.5 In caso di violazione o di presunta violazione anche di uno soltanto degli obblighi sopra indicati, Aruba avrà la facoltà di intervenire nelle forme e nei modi ritenuti opportuni per eliminare, ove possibile, la violazione o la presunta violazione ed i suoi effetti, e di sospendere e/o interrompere e/o disabilitare l’accesso al Servizio, immediatamente e senza alcun preavviso, riservandosi altresì il diritto di risolvere il contratto ai sensi del successivo Art. 19 e di trattenere le somme pagate dal Cliente a titolo di penale, salvo il risarcimento del maggior danno. Il Cliente prende atto ed accetta che nulla avrà da pretendere da Aruba a titolo di rimborso, indennizzo o risarcimento danni per i provvedimenti che la stessa avrà ritenuto opportuno adottare.
[..]
..
..

Come indicatole e come da link fornitole il suo dominio era utilizzato per operazioni malevole di phishing atte a rubare dati sensibili pertanto dovrà provvedere a mettere in sicurezza il suo applicativo per evitare il ripetersi di medesima situazione.

Oltre quanto indicatole non è possibile fornirle ulteriori informazioni.

Saluti
= = = = = = = = = = = = = = = = = = = =
solito operatore

27 Aprile РIo: Conosco il contratto, ma cerchiamo una soluzione costruttiva e ditemi perch̬ faccio phishing, vi prego!!

sottotitolo … ma l’avete almeno guardata la pagina incriminata?

“Nome Operatore”, grazie della risposta,
ma è poco costruttiva.

Conosco il contratto,
non c’è bisogno che lo citiate, non è un bel modo per giungere ad una felice conclusione di un problema.

Io chiedevo maggiori spiegazioni in senso costruttivo e preventivo, per evitare che mi danneggiate solo perchè qualcuno fa una segnalazione non supportata da alcun dato.

E’ vostro diritto bloccarmi anche solo per un sospetto, ma una pagina, prima di bloccarla (soprattutto se blocca l’intero sito), la si controlla, la si guarda almeno? L’avete fatto?

Temo di no: la pagina non faceva phishing erano gli utenti, distratti che la usavano nel modo sbagliato,
temo che per phishing si intendesse qualcosa che accade su qualsiasi altra pagina del mio sito, es.

http://www.deyla.com/index.php?azione=2&vai=www.auba.it

E’ phishing quella pagina?

Credo sia mio diritto saperlo, al fine di evitare il ripetersi di questa situazione.
Se non dovesse essere phishing, gradirei poter ripristinare la mia pagina così com’era.

grazie
Jacopo Deyla

28 Aprile – Aruba: cavoli tuoi, fai phishing ti blocchiamo. Sei tu che devi sistemare, anche se non sai cosa… sistema

Gentile cliente,
le ricordo innanzitutto che non è compito dello Staff di aruba.IT controllare/modificare o verificare la correttezza delle pagine inserite da ogni cliente: ogni utente stesso è responsabile delle pagine web che inserisce presso il proprio sito e pertanto le confermo che è compito di ogni singolo utente accertarsi che l’utilizzo di queste non possa contravvenire in nessun modo alla norme vigenti ed al contratto stesso che è stato accettato.

Come indicatole la pagina in questione era usata per effettuare phishing di dati ovvero veniva usata per lo spillaggio di dati sensibili di una banca:

In ogni caso, indipendentemente dalla pagina stessa come da lei stesso indicato , la pagine web del suo dominio risulta vulnerabile ad azioni di tipo XSS (cross-scripting) pertanto il suo dominio può esser usato, da terzi, come testa di ponte per qualsiasi operazione malevola che sia SPAM, phishing o altro.

dovrà per evitare un possibile blocco del suo dominio provvedere a mettere in sicurezza la sua pagina web in modo che non sia più vulnerabile a XSS

Saluti
solito operatore

28 Aprile – Io: non faccio phishing, e siete voi che me lo dovete provare…

sottotitolo: ma l’avete almeno guardata la pagina incriminata?

“Solito operatore” grazie,
ora mi è un po più chiara la questione.

ripeto: siete certi che la pagina facesse phishing? perché io i dati in
input li filtro e non vengono salvati nel db. non mi pare che in circa 7
anni da quando sono online sia mai successo.

temo sia una supposizione errata che non è basata su alcuna prova.

capisco la vostra posizione e le azioni intraprese ma è vostro obbligo,
nei miei confronti come cliente. verificare almeno a posteriori.

è come se io scrivessi ad arube che lei è un ladro e Aruba la
licenziasse solo per il sospetto. e non dico che dovesse provare la sua
innocenza, ma che nessuno verificasse se effettivamente manchi qualcosa…

fa phishing o davvero è esposta a xss? a me non risulta e voi non mi
dite in quale circostanza ciò sia avvenuto o come possa succedere

si parla di ipotesi e accuse non provate

quindi in mancanza di prove a supporto della tesi di phishing
rispristinerò la pagina al più presto e ritengo di averne diritto visti
i vostri chiarimenti

J

28 Aprile РAruba:̬ evidente che fai phishing non dobbiamo certo spiegartelo, correggi

Gentile cliente,
il fatto che inserendo in un browser i link

http://www.deyla.com/index.php?azione=2&vai=www.aruba.it

http://www.deyla.com/index.php?azione=2&vai=www.gazzetta.it

venga aperto la parte di sito inserita nel link stesso indica e dimostra chiaramente una vulnerabilità XSS della sua pagina web. In questo modo chiunque può inserire , sfruttando la vulnerabilità indicata, un qualsiasi indirizzo web ed usare a proprio piacimento il suo stesso dominio come testa di ponte per operazioni malevole di SPAM, PHISHING, ecc…

Le confermiamo inoltre che il problema indicatole si è verificato proprio a seguito dell’utilizzo di questa vulnerabilità: il suo dominio, era usato usato come testa di ponte per operazioni malevole di SPAM/ PHISHING e le confermiamo anche che il link indicatole in precedenza causava medesima situazione.

Il fatto che l’applicativo possa essere on line da 7 anni o anche da più tempo non può  essere considerata una motivazione valida per considerare il sito protetto e sicuro.

Per non riscontrare problemi e, indipendentemente dal link stesso che le era stato precedentemente indicato, dovrà provvedere a rendere la pagina index.php del suo dominio (così come tutte le altre pagine web del suo stesso sito) non più vulnerabili ad azioni del tipo XSS

Saluti
sempre il solito operatore vittima delle tue mail

28 Aprile – Io: si ma mi dite come faccio a fare phishing?

continuiamo a parlare di teoria:
dimistratemi quel che dite con un attacco di quel genere o io rimetto online la pagina

per me è sicura perché quell indirizzo viene processato, filtrato e aperto in un frame a parte ovvero proprio sul sito del chiamante e non sul mio.

finchè non mi mostrate un attacco del genere e non della teoria io ho tutti i diritti di rimettere online la pagina

29 Aprile – Aruba (brucia) e ancora maltratta il suo cliente

Gentile cliente,
i link stessi che le sono stati indicati rappresentano un conferma ed una prova (contrariamente a quanto da lei asserito) che le sue pagine web sono vulnerabili a XSS: come può vedere e come dimostratole si può inserire qualsiasi nome di sito ed usare il suo dominio in maniera malevola (basta inserire al posto di www.aruba.it un URL di un sito o di una pagina usata per operazioni malevole).

Inserendo una pagina o un link malevolo contrariamente a quanto da lei indicato, con questo tipo di vulnerabilità, il suo dominio può essere usato come testa di Ponte per l’invio di mail di SPAM o per operazioni di phishing, ecc..  infatti come URL non è presente quello del singolo dominio ma bensì quello del SUO DOMINIO.

in ogni caso, dimostratole chiaramente ed inequivocabilmente che il suo dominio è vulnerabile  ad XSS (perché su questo con i LINK che la abbiamo fornito non ci sono dubbi) la invitiamo a correggere questa situazione e questa vulnerabilità delle sue pagine web in quanto altrimenti ci potremo vedere costretti ad intervenire come contrattualmente previsto.

firmato il solito operatore

29 Aprile – Io:  Grazie per avermi dimostrato che non facevo phishing!

Caro operatore,
dopo un po’ che ti danno della testa di ponte, ci si comincia a stufare sai?!

Voglio solo ricordarti che stai parlando con un cliente, che per quanto ti scocci è quello che con la sua rete di clienti e di conoscenze porta soldi a chi ti paga lo stipendio.
In questo momento in cui Aruba ha subito un certo colpo per la credibilità del suo servizio, forse il vostro atteggiamento dovrebbe essere meno ottuso e più orientato alla soddisfazione di noi clienti.

Fissato questi punti provo a riepilogare, perchè ci stiamo un po’ perdendo:
1 -  mi avete bloccato il sito dicendo che facevo phishing ovvero acquisivo in modo illegale i dati dei clienti di Unicreditbanca.it
2 – dopo molta insistenza e varie mail il vostro personale tecnico non è mai stato in grado di dimostrarmi che lo abbia fatto e che la pagina incriminata lo facesse (di fatto stiamo parlando da un po’ solo di XSS)

La mia conclusione quindi è che se non siete riusciti a provare il mio phishing, avete bloccato in modo ingiustificato il mio sito.
E questo nonostante il contratto, lo ritengo un eccesso e un abuso e rivendico il mio diritto a mettere online la pagina rimossa.

Chiuso il discorso Phishing,
apriamo quello del cross site scripting di cui ora mi accusate, e che è un altro comportamento che potrebbe giustificare la rimozione delle pagine e chiusura del sito. Si tratta quindi di un argomento che mi sta a cuore e che per l’ennesima volta vorrei cercare di risolvere, approfittando delle vostre competenze tecniche, di molto superiori alle mie.

Lo scopo per cui è nato il motore di ricerca Deyla.com è quello di condividere link utili e  accessibili e di permettere alle persone di sconsigliare link inutili, pericolosi e inaccessibili. E’ in sostanza delicious qualche anno più vecchio, e un po’ meno noto.

Per fare questo, fa come tutti i motori: presenta una lista di risultati. Qualsiasi motore, se mandasse su siti “pericolosi” potrebbe essere accusato di comportamenti malevoli, se non ponesse un qualche tipo di rimedio, ad esempio avvisando l’utente. L’utente deve sempre essere libero di fare quel che vuole, a patto che sia consapevole di quel che fa.
La differenza tra il motore deyla.com e altri motori, è che deyla.com è diviso in frame, per evitare di dover fare sempre back col browser e per offrire immediatamente qualche informazione sul sito.

Questa è la tecnica di deyla.com per avvisare gli utenti che il sito che si sta visitando è o meno pericoloso ( l’url ncriminato di XSS ovvero www.deyla.com?azione=2&vai=sito ). La tecnica che lei afferma essere invece fonte di comportamenti malevoli è esattamente il suo contrario. E’ in sostanza un modo per segnalare siti dannosi, prima che Google, Firefox e gli altri  avessero inventato altri sistemi di segnalazione di Forgery.

Il problema di Deyla.com è solo che è nato prima e non è mai stato aggiornato. Ma sono state adottate tecniche per evitare XSS (questa) o altri potenziali tipi di attacchi (es. esecuzione di codice malevolo salvato nel db ecc.ecc.) in modo commisurato alle mie competenze tecniche. Fino ad oggi, sono stato in linea per 7 anni senza che vi fosse alcuna segnalazione del genere, è vero che non è una prova di sicurezza, ma d’altra parte un’applicazione è sicura finchè qualcuno non la viola… In ogni caso essere online da circa 7 anni è per me la prova di aver preso un numero di cautele sufficienti per garantire la sicurezza

Questa la conclusione del discorso, che spero aiuti a chiarire i malintesi.

Vorrei evitare di dovervi diffidare ufficialmente da rimettere mano alle mie pagine in modo ingiustificato.
Per ora visto il vostro atteggiamento,
posso solo ritenermi un cliente insoddisfatto con tutto quel che ne consegue.

Considererei per vostra convenienza chiuso il discorso,
cordiali saluti

2 maggio – Aruba: sempre la stessa solfa ma in tono più gentile

Gentile cliente,
la tecnica che lei ha indicato per l’apertura del suo dominio pone il suo stesso sito a rischio hacking come le è stato già indicato più volte: qualsiasi persona può inserire, sfruttando l’URL del suo dominio, il  percorso che vuole basandosi su pagine di altri siti e pertanto sfruttare il suo dominio per eseguire qualsiasi operazione malevola (questo le è stato già ampiamente descritto e dimostratole).

http://www.deyla.com/index.php?azione=2&vai=www.aruba.it

Le faccio un esempio: basta inserire, nel link sopra riportato, al posto di www.aruba.it l’indirizzo di un’altra pagina web per visualizzarla e pertanto, per terze persone, che vogliono usare il suo dominio per compiere operazioni malevole(illegali), sarà sufficiente sostituire medesimo indirizzo con quello utile ai loro scopi (una pagina di phishing, una pagina per fare mail bomb, ecc…): questo non deve avvenire per nessuna ragione e pertanto deve mettere in sicurezza il suo dominio.

Per fare ciò dovrà necessariamente evitare che il suo dominio venga utilizzato nella medesima maniera pertanto dovrà rivedere interamente la struttura del suo dominio secondo anche le sue conoscenze di programmazione oppure dovrà rivolgersi ad altri webmaster che la possano affiancare/seguire nello sviluppo del suo dominio.

Per il momento non interverremo ulteriormente presso il suo dominio ma se riceveremo ulteriori segnalazioni di operazioni malevole provenienti dal suo dominio oppure se questi verrà usato per operazioni illegali o tali da causare problemi ai nostri server, come contrattualmente previsto interverremo nella maniera ritenuta più opportuna.

Se non è soddisfatto del servizio che ha acquistato, le ricordo che il dominio è stato registrato come persona fisica pertanto potrà richiedere liberamente, in qualsiasi momento, la rescissione del servizio richiedendo anche il rimborso per il periodo non usufruito.

saluti (sempre lo stesso operatore)

2 maggio Io: Non ci capiamo, ma rifletteteci

non ci capiamo:

“Le faccio un esempio: basta inserire, nel link sopra riportato, al posto di www.aruba.it l’indirizzo di un’altra pagina web per visualizzarla e pertanto, per terze persone, che vogliono usare il suo dominio per compiere operazioni malevole(illegali), sarà sufficiente sostituire medesimo indirizzo con quello utile ai loro scopi (una pagina di phishing, una pagina per fare mail bomb, ecc…): questo non deve avvenire per nessuna ragione e pertanto deve mettere in sicurezza il suo dominio.”

è proprio una delle cose che voglio che succeda. Solo così il mio sito può permettere di segnalare frodi, siti pericolosi o siti utili e accessibili. Provi ad esempio http://www.deyla.com/index.php?azione=2&vai=www.sitomalevolodasegnalare.com
Apparirà un form per segnalare il sito, salvarlo su Deyla ed aggiungere commenti.
Se qualcuno mette una pagina di phishing, potrà segnalare agli altri che la pagina è di phishing. E’ un pro del sito Deyla.com, non è un difetto e non c’entra l’XSS.

In conclusione:

In tutti i casi, non mi avete ancora spiegato come avrebbe fatto il mio sito a fare phising.
Io penso di avere la risposta che no mi avete dato, ed è qui: http://www.deyla.com/p_commenti.php?vai=www.unicreditbanca.it&id_sito=3019
Il problema non è la mia pagina o il mio sito, ma sono gli utenti. I clienti unicredit, hannno inserito nel mio form i loro dati, nonostante fosse sempre scritto, in ogni passaggio, che non si trattave del sito Unicredit. Sbaglio?

non avrei mai detto che la cosa si sarebbe conclusa felicemente….

Unicredit vs Deyla

| Filed under Polemiche sterili

Oggi ho ricevuto questa comunicazione da Aruba

unicreditGentile cliente,

nel dominio deyla.com a lei intestato e’ stata rilevata una pagina (percorso http://www.deyla.com/index.php?azione=2&vai=www.unicreditbanca.it) inserita per ottenere illegalmente i dati personali di clienti di un istituto di credito.

La pagina index.php è stata pertanto rinominata in index.php_RIMUOVERE per impedire ulteriori accessi, la
invitiamo a rimuovere tale materiale e a verificare eventuali bug di sicurezza presenti negli script utilizzati,
aggiornando all’ultima versione disponibile.

In mancanza di tali modifiche e in caso di nuove segnalazioni saremo tuttavia costretti a bloccare il dominio.

Cordiali Saluti,
==============================
Aruba S.p.A. – Webserver Staff
Aruba.it http://www.aruba.it
==============================

Capisco e apprezzo la posizione di Aruba, che giustamente non ne vuole sapere di truffe, che non può controllare tutti i miliardi di pagine che ha sui suoi server.
Sono disposto ad accettare anche la rimozione immediata, perchè si deve tutelare. Sarebbe forse giusto che una cosa mia venisse tolta solo dopo la decisione di un giudice, ma vista la velocità della giustizia, posso capire anche questo. Immagino anche che questa scelta sia anche ampiamente giustificata da una qualche clausola del contratto che ho col provider. Non discuto su niente di tutto ciò, anzi capisco e apprezzo: anche io ho un conto su Unicredit e mi sento quasi tutelato da questa “violenza” nel rimuovere immediatamente la pagina.

Purtroppo la pagina è index.php, ovvero il motore che fa girare tutto il sito… e quindi se non pongo subito rimedio, tutto resta bloccato. E se qualcuno prende un provvedimento così forte contro di te, puoi anche essere molto comprensivo, ma  quel qualcuno deve essere disposto ad ascoltarti e in fretta. Ti sta arrecando un danno.

Ciò che mi spiazza è il non poter avere alcuna voce in capitolo: non se ne discute neanche, non si è disposti in alcun modo a rivedere le rispettive posizioni. Chiusura totale. Unicredit chiede, Aruba non verifica ma rimuove, io subisco e non ho ascolto.

Ma cos’à quella pagina per essere accusata di phishing? C’è il mio logo, il colore è verdino, non chiede alcun dato, dice solo che il sito è sconsigliato perchè gli utenti del mio sito giudicano il sito di Unicredit poco accessibile. sarà vero? Sarà falso? Sicuramente è democratico. E in questa vicenda di democratico, per ora  c’è poco. Adsso mi tocca pensare a cosa fare, per evitare di perdere tutte le mie pagine, che nascono con l’intento di aiutare i navigatori ad orientarsi tra siti accessibili e siti meno accessibili… altro che phishing.

Al di là dello sfogo e della lamentela quel che ne salta fuori è una simpatica lezione di usabilità.

I clienti dell’home banking si aspettano di trovare sulla home page di  Unicredit il form per accedere, che però  non c’è. Unicredit  ha semplicemente sbagliato un pezzo della home page.

L “‘inconsapevolezza” degli utenti dell’internet banking Unicredit

Io me la spiego così:

  • unigoogleL’utente “tipo” apre il browser (un browser lo chiamiamo noi, lui/lei la chiama “internet”)
  • La sua home page è google o un motore qualsiasi, non se l’è scelta comunque lui/lei
  • Non usa la barra dell’indirizzo, ma vede una bella casellona al centro e ci scrive dentro www.unicreditbanca.it
  • Gli salta fuori la lista di risultati e lui clicca sul mio… che è molto molto in fondo, ma un po’ più sotto i suoi occhi
  • Arriva su una pagina con frame, che sono brutti, ma sono funzionali a quel che fa il mio sito, ovvero ti fa vedere una pagina e insieme il mio motore, così che tu possa dare un voto, o scegliere un altro risultato
  • uni1L’utente non la capisce, ma vede un form (che serve per i commenti) e prova a cliccare, senza neanche leggere il bottone
  • A questo punto ma solo a questo punto, sempre nel frame, quello con sfondino verder, appare un form che richiede la registrazione, per evitare diffamazioni, per sapere chi vota, perchè ciascuno si assuma la responsabilità di quel che fa.

Il form appare così

registrati

Si può considerare phishing?

Occorrono diversi passaggi, l’aspetto è completamente diverso, e tutte le etichette dicono chiaramente quel che si sta facendo… ma per la banca Unicredit e di conseguenza  per Aruba pare sia phishing.
La cosa gravissima è la leggerezza delle persone a dare i propri dati di accesso, così, senza alcuna consapevolezza…

Come salvare l’utente dal mio non phishing?

Per ora, finchè Aruba non si degna di contattarmi per risolvere la questione, devo dare un disservizio ai miei utenti.
Sono dispiaciuto, la cosa danneggia la credibilità del mio sito, ma voglio evitare ulteriori ritorsioni.
Quindi ho rimesso su la mia buona e vecchia index page, ma per far capire chiaramente a quei cari clienti Unicredit un po’distratti, che non sono sul sito della loro banca, li ho dirottati qui…
http://www.deyla.com/index.php?azione=2&vai=www.unicreditbanca.it