Da parte mia, ho avuto modo di provare le potenzialità di facebook dal punto di vista tecnico e di sviluppo, si tratta di un application platform molto bene organizzato e semplice da utilizzare, dal punto di vista sociale spero vi rendiate conto quale è la fine dei vostri dati quando quotidianamente giocherellate con i vostri amici on-line…. questo, e ne parlerò più avanti è un esempio di come oggi più che mai scendiamo a diversi compromessi pur di avere la *sensazione* di utilizzare una tecnologia nuova dal titolo *web 2.0* .

[Via nonaka]

Le ultime righe di Romeo sul Data Retention mi hanno spinto ad approfondire un pò la questione Facebook.

Che Facebook fosse la più grande cloaca a sfondo “Commercial Information Gathering¹” che s’era mai vista sul web, era chiaro fin da subito.

Facebook è un network, un grafo fittissimo di relazioni composto da:

• Nodi
  • Le Persone - Ogni nodo è composto da tutte le informazioni che minuziosamente² abbiamo compilato sul nostro profilo, dalle applicazioni con cui ci bombardano³, dalle foto, dai commenti, dai messaggi
  • Le Community - Mettono in relazione le persone su interessi specifici⁴. Veri e propri Super Nodi di concentrazione d’informazione
• Archi
  • Sono le relazioni con gli altri elementi (Nodi). Ogni Arco uscente dal nostro piccolo profilo punta innegabilmente verso un altro nodo, portando con se informazioni sul
    • Tipo di relazione (amicizia, random friendship…)
    • Peso della relazione basato sul numero di interazioni con il nodo (messaggi, applicazioni scambiate/usate ecc…
    • … whatever…

Vuoi vedere quali amici hai comune con Tizio piuttosto che Caio? Puoi farlo

Vuoi sbirciare le interazioni tra gli elementi del network? Puoi farlo⁵

Vuoi effettuare un sondaggio su ampia scala avendo tutte le informazioni che richiedi già correlate per sesso, età, locazione geografica, nazionalità, gusti di ogni genere, hobby, relazioni sociali e quant’altro?

Romeo ci dimostra con una semplice applicazione che si può fare!

If you do not think you will use Facebook again and would like your account deleted, we can take care of this for you. Keep in mind that you will not be able to reactivate your account or retrieve any of the content or information you have added. If you would like your account deleted, please contact us using this form and confirm your request.

Io cancello il mio account su Facebook tu?

1. Il paragone con l’Intelligence è un pò forte ma rande comunque l’idea [↩]
2. Si, ho anche io un account facebook [↩]
3. Mai dato un’occhiata al processo di registrazione di una application? Guardate le CheckBox! [↩]
4. Le community sono tematiche ovviamente [↩]
5. Chi ha detto mini-feed? [↩]

Tags: delete account, facebook, information gathering

Mi imbatto in un articolo qualche giorno fà in cui si parlava proprio di RBNNetwork

Se c’è un caso in cui la parola “cybercrimine” è particolarmente appropriata è quello in cui rientra la banda di bravi ragazzi telematici di Russian Business Network, il provider di servizi di rete che dall’antica città russa costituisce la testa di ponte di alcuni dei peggiori attacchi e minacce attualmente in circolazione su Internet.

Ne parla diffusamente il Washington Post, che in un articolo mette assieme le poche informazioni disponibili pubblicamente sull’organizzazione e qualche indiscrezione degli addetti ai lavori. La conclusione? Senza regolamentazioni legali sopranazionali forti, RBN non potrà che continuare a prosperare.

Sarà ma la mia oramai implacabile curiosità mi porta a vedere di che si tratta. Sarà mai che riesco a trovare un hosting decente
Prendo i miei appunti di “information gathering”, che un giorno di questi devrò passare in formato elettronico necessariamente, e comincio a farmi un pò i fatti di questi tizi.

Per prima cosa un bel ping al loro dominio ci sta più che bene

ma qualcosa mi dice che non sarà una strada percorribile.

Fantastico, semplicemnete superbo … il loro dominio viene distribuito con redirezione su di un indirizzo di localhost 127.x.y.z, ok questi non sono stupidi! Ma non demordo giocano con i DNS? Bene!

Dig (un tool un programma)

#dig @dns.cineca.it rbnnetwork.com SOA

Siamo una rete universitaria no? Allora facciamola questa ricerca applicata…

; <<>> DiG 9.3.4 <<>> @dns.cineca.it rbnnetwork.com SOA
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58129
;; flags: qr rd ra; QUERY:1, ANSWER:1, AUTHORITY:2, ADDITIONAL:0
;; QUESTION SECTION:
;; rbnnetwork.com.              IN   SOA
;; ANSWER SECTION:

rbnnetwork.com.         3284    IN   SOA     ns1.rbnnetwork.com.
                                             support.rbnnetwork.com. 
;; AUTHORITY SECTION:
rbnnetwork.com.         3284    IN   NS      ns2.rbnnetwork.com.
rbnnetwork.com.         3284    IN   NS      ns1.rbnnetwork.com.
;; Query time: 16 msec
;; SERVER: 130.186.1.53#53(130.186.1.53)
;; WHEN: Wed Oct 17 15:33:17 2007
;; MSG SIZE  rcvd: 112

Perfetto, un DNS da qualche parte doveva pur rispondere, aggiungiamo un pò di magia (ANY al posto di SOA) alla query

rbnnetwork.com.  3600  IN  SOA  ns1.rbnnetwork.com.
                                support.rbnnetwork.com.
rbnnetwork.com.  3600  IN  NS   ns1.rbnnetwork.com.
rbnnetwork.com.  3600  IN  NS   ns2.rbnnetwork.com.
rbnnetwork.com.  3600  IN  TXT  "v=spf1 ip4:208.72.171.180 mx"
rbnnetwork.com.  3600  IN  MX   10 mail.rbnnetwork.com.
rbnnetwork.com.  3600  IN  A    127.0.0.1

Ops! I DNS sono come le portinaie sanno tutto.

Informazioni che ne tiriamo fuori:

• presenza di due NS server (ns1, ns2) rispettivamente con IP 81.95.144.3, 81.95.145.3
• con un reverse DNS (host -a $IP) scopriamo che 208.72.171.180 che fà riferimento a mail.4stat.org
• scopriamo l’arcano del 127.0.0.1, si vede chiaramente che fa riferimento ad un campo A puntato sul dominio
• mail.$DOMAIN e support.$DOMAIN puntano a 127.0.0.1 e sono tutti CNAME

Ora viene il bello. Finalmente siamo riusciti a tirare fuori da questo marasma degli indirizzi IP (molto vicini quindi presumibilmente appartenenti alla stessa assegnazione)

Whois (lasciamo all’immaginazione cosa fà)

#whois 81.95.144.3

Boom!

inetnum:   81.95.144.0 - 81.95.147.255
netname:   RBNET
descr:     RBusiness Network
admin-c:   RNR4-RIPE
tech-c:    RNR4-RIPE
mnt-by:    RBN-MNT
status:    ASSIGNED PA
country:   PA
remarks:   INFRA-AW
changed:   noc@rbnnetwork.com 20060620
source:    RIPE

Prime informazioni:

• L’intera classe di indirizzi assegnati ai tizi per il dominio specificato, ottima informazione per cominciare un test perimetrale (host by host)
• Finalmente la descizine dei tizi in questione (come se uno a questo punto non li conoscesse)
• Country: PA? Uhm vedremo!
• L’indirizzo email del NOC modificato nel giugno del 2006
• …continua

role:       RBusiness Network Registry
address:    RBusiness Network
address:    The Century Tower Building
address:    Ricardo J. Alfari Avenue
address:    Panama City
address:    Republic of Panama
phone:      +1 401 369 8152
remarks:    Points of contact for RBusiness Network Operations
remarks:    ------------------------------------------------------
remarks:    Routing and peering issues:         noc@rbnnetwork.com
remarks:    SPAM and Network security issues: abuse@rbnnetwork.com
remarks:    Customer support:               support@rbnnetwork.com
remarks:    General information:               info@rbnnetwork.com
remarks:    ------------------------------------------------------
e-mail:     noc@rbnnetwork.com

continuiamo con le informazioni:

• Capito il PA di prima? Il tutto risiede (almeno sulla carta) a Panama
• La via corretta non è Alfari ma Alfaro (santo Google)
• Un numero di telefono (appena ricarico skype faccio una prova)
• Alcune email di contatto (fà ridere la report mail per lo spam abuse)
• … continua

Finalmente gli admin-c ed i tech-c:

e-mail:    noc@rbnnetwork.com
admin-c:   JK4668-RIPE
tech-c:    JI424-RIPE
nic-hdl:   RNR4-RIPE
mnt-by:    RBN-MNT
changed:   support@rbnnetwork.com 20070304
source:    RIPE

Con qualche altra interrogazione ai database RIPE scopriamo che

• JK4668-RIPE si chiama John Kerch(finto sicuramente) il suo numero di telefono è +1 401 369 8152 e risponde a questa mail ripe@rbnnetwork.com
• JI424-RIPE si chaima Joseph Igopolo(finto anche lui?)il suo numero di telefono è +1 401 369 8152 (ma guarda un pò) e risponde a questa mail support@rbnnetwork.com (di sicuro un alias)
• ancora …

% Information related to '81.95.144.0/20AS40989
route:     81.95.144.0/20
descr:     TcS Network
origin:    AS40989
mnt-by:    RBN-MNT
changed:   support@rbnnetwork.com 20060608
source:    RIPE

Vediamo con ultima cosa che tutta “la baracca” ICT degli RBN sembra essere gestita dalla TcS Network che fà capo sempre alle stesse persone.

Riassumendo

Qualcuno s’è preso la bega di star dietro a questa associazione che, senza sbilanciarsi può definirsi, a delinquere:

The Russian Business Network (also known as RBN) is a Russian Internet Service Provider based in St. Petersburg which is notorious for its hosting of illegal and dubious businesses, including child pornography, phishing and malware distribution sites.^[1]

The RBN has been described as “the baddest of the bad”. It offers web hosting services and internet access to all kinds of criminal and immoral activities, with individual activies earning up to $150m in one year. Businesses that take active stands against such attacks are sometimes targetted by denial of service attacks originating in the RBN network.^[2] RBN sells its services to these operations for $600 per month.^[1]

The business is difficult to trace. It is not a registered company, and its domains are registered to anonymous addresses. Its owners are known only by nicknames. It does not advertise, and trades only in untraceable electronic transactions.^[2]

Maggiori e più dettagliate informazioni qui

[digg=http://www.digg.com/security/RBNNetwork_Information_gathering_FreeUser_Binary_People]

Tags: cybercrime, hacking, information gathering, rbn, rbnnetwork