Thekey.iT

  • Aumenta dimensione caratteri
  • Dimensione caratteri predefinita
  • Diminuisci dimensione caratteri
Home }}} Articoli }}} Hacking }}} Ingannare i sistemi di scambio visite

Ingannare i sistemi di scambio visite

E-mail Stampa
Valutazione attuale: / 3
ScarsoOttimo 
In questo articolo viene messa in evidenza quanto siano fallaci e di come sia semplice ingannare i sistemi di scambio visite.

date:
+ 13 Aprile 2004 - (Prima stesura)
+ 26 Dicembre 2004 - (Ultima stesura riveduta e corretta per la pubblicazione)

luoghi:
+ Treno Eurostar Milano-Roma - (Prima stesura)
+ Casa mia - (Ultima stesura)

conoscenze necessarie:
+ HTML
+ Javascript
+ Nozioni di programmazione
+ Capacita' di adattamento

autore:
+ aeniGma a.k.a. Eremita Solitario (http://www.thekey.it)


::: PROLOGO
::: (pro...che??? sei a favore di un logo?)

Stavo navigando su internet quando mi sono imbattuto in uno dei tanti banner che pubblicizzano sistemi di scambio visite con sistemi multilivello per aumentare le visite al proprio sito. Sembrava carina la cosa, [soprattutto perché alcuni di questi sistemi promettevano anche facili guadagni... Balle...]

Dunque come poteo resistere alla tentazione di guadagnare un po di visite? Eccomi dunque iscritto ad una delle societa' che promuovevano il sistema, per vedere e capire meglio come funzionava il giochetto delle visite. Stavo per indirizzare migliaia di visite al mio sito... WOW non potevo crederci...



::: PERCHE' QUESTO ARTICOLO?
::: (ci sara un motivo se hai scritto sta roba)

Semplice, molto semplice miei cari lettori, sono sul treno Milano-Roma e non ho una mazza da fare se non giocare con la mia scheda Wireless ed Airsnort. (Non vi dico quante wireless non protette si incontrano... peccato non rimanere fermi abbastanza a lungo per fare un controllo della posta...) Ma no che sto dicendo, questo articolo non parla di wireless ma di scambio visite, aspettate un attimo che riavvio il cervello e carico il programma giusto...


Rebooting brain...
Crash...
Rebooting brain di nuovo...
Loading data file...


::: DI CHE PARLA STO ARTICOLO?
::: (della serie ma che cavolo stai scrivendo? fino a qui non si capisce una mazza)


Adesso di spiego "bene"...

Nell'articolo si parlera dei sistemi di scambio visite, della loro poca utilita' (poca ho detto non nulla...) e delle forti problematiche si "Sicurezza" che hanno nella loro implementazione. Verra' spiegato come sia facile per chiunque con un minimo di conoscenza di programmazione, automatizzare la visualizzazione e di conseguenza guadagnare crediti senza muovere un dito.

Ovviamente fate attenzione, sfruttare queste debolezze non e' corretto e rischiate di essere espulsi dal sistema o peggio denunciati per frode (in un contratto ho letto pure questo, non so quanto sia possibile ma l'ho letto dunque occhio io vi ho avvisato)


::: DIGRESSIONE
::: (che cavolo e' sta roba? digressione che vol dire?)

Spieghiamo in poche righe come funziona il gioco in questione: in pratica un sistema di scambio visite fa si che un webmaster iscritto al sistema possa far visualizzare il proprio sito ad altri webmaster iscritti in cambio di sue visite ad altri siti iscritti. Tutto questo viene realizzato via browser, senza nessun programma particolare.

Tecnicamente si tratta di visualizzare una pagina particolare con sue frame, in uno ci sta il sito che deve essere visto, nell'altro uan barra di controllo del sito che gestisce lo scambio delle visite.

Ovviamente ogni sistema ha la sua barra e le sue regole da rispettare, oltre che i suoi tempi di visualizzazione, e i suoi sistemi di controllo per ovviare alle frodi. Tutte queste differenze rendono il gioco diverso da sito a sito e di conseguenza piu' facile o meno da ingannare.


::: COME FUNZIONA LA VISUALIZZAZIONE DEI SITI IN PRATICA?
::: (entriamo nel vivo dell'articolo, vi ho gia fatto perdere abbastanza tempo)

Analizziamo ora le tecniche usate per visualizzare i siti del circuito, in pratica quello che accade e' molto semplice, nel nostro browser viene visualizzata una pagina con dei frame, in uno di questi frame viene visualizzata la pagina del sito iscritto al sistema, mentre in un altro frame compare una barra di controllo con delle informazioni che ci indicano cosa fare per farci accreditare il credito relativo la visualizzazione in atto. In genere si tratta di attendere un determinato lasso tempo (dai 15 ai 30 secondi ma anche piu') per poi cliccare un link particolare che ci permette di aver accreditato il punteggio delativo la visualizzazione e contemporaneamente passare al sito successivo per una nuova visualizzazione. Ho detto link particolare perche' questo link alcune volte e' costituito da un link testuale, altre da un'immagine e altre volte da una serie di immagini.


::: PAGINE DI CONTROLLO
::: (loro ci provano, ma noi siamo piu bravi)

Ogni tanto e del tutto in modo random il sistema visualizz al posto della pagina pubblicitaria o del link per proseguire una particolare pagina di controllo che impone un'attenzione particolare in quanto in essa viene richiesto di effettuare un'operazione un po' piu' complessa del semplice click, per esempio cliccare su una particolare forma o su un'immagine di un determinato colore o di inserire in una form un numero o delle lettere visualizzate in un'immagine, cosa che non e' cosi semplice da fare in automatico. Non e' pero' impossibile, basta avere abbastanza stimoli per volerlo fare. Io non ne ho abbastanza, e non credo di trovarne per ora.


::: DOVE STA IL PUNTO DEBOLE?
::: (se dopo sta roba non sveli tutto non finisco di leggere l'articolo)

Fino ad ora abbiamo parlato di come funziona il sistema, ora vediamo di capire dove sta il punto debole...

Il punto debole sta nel fatto che il tutto viene fatto con un semplice browser, che ovviamente esegue le operazioni sulla nostra macchina. Per ingannare il sistema basta dunque mettere tra il nostro browser e il sistema un piccolo proxy istruito a dovere per risolvere tutti i nostri problemi.

Il nostro proxy non dovra' fare molto, semplicemente provvedera' a modificare ad-hoc alcune pagine che transiteranno tramite di esso in modo da automatizzare il click sui link corretti. Con questo sistema nei log del sistema non risultera' nulla di anomalo, e non potranno accorgersi del "trucco". (Questo non é del tutto corretto, con un'attenta analisi dei log potrebbe essere facile riconoscere la ripetitivita' delle operazione entro tempi fissi, ma l'operazione non credo valga la candela)


::: COME SFRUTTARE A PROPRIO VANTAGGIO LA DEBOLEZZA?
::: (passiamo alla pratica e facciamo sto lavoretto)

Ora che abbiamo capito almeno a grandi linee come funziona il sistema, vediamo come sfruttare la sua debolezza intrinseca a nostro vantaggio e iniziamo a violentare un poco le pagine che ci vengono passate.

Riassumiamo i passaggi fondamentali per guadagnare crediti:

(1) - VISUALIZZO PAGINA CON PUBBLICITA'
(2) - ASPETTO TIMEOUT NECESSARIO
(3) - CLICCKO SUL LINK APPOSITO
(4) - RICOMINCIO IL CICLO DAL PUNTO 1

Se solo potessimo automatizzare il processo di click avremmo trovato il sistema per guadagnare crediti senza nemmeno guardare le pagine, basterebbe far iniziare il ciclo e poi ci penserebbe da solo a mantenersi in vita visualizzando tutte le pagine senza il nostro intervento, unico problema che avremmo e' la famigerata pagina di controllo di cui abbiamo parlato sopra, ma questa compare poche volte, possiamo anche gestirla a mano volendo.

-:- Problema 1 -:-

Per risolvere il problema del click possiamo tranquillamente utilizzare un piccolo javascript che si occupera' di simulare il click sul link corretto (quello del punto 3 della nostra sequenza di operazioni).

Lo script potrebbe essere per esempio una cosa di uesto genere:



{scr ipt language="javascript" type="text/javascript"}

top.location={URL A CUI PUNTA IL LINK DI RITORNO}

{/scr ipt}



Eventualmente potremmo aggiungere un timeout random sull'esecuzione dello script in modo da simulare un'attesa e nascondere meglio le tracce in caso di eventuale controllo sui tempi di accesso e caricamento delle pagine. Io consiglio un timeout tra 3 e 10 secondi, che e' il tempo che piu' o meno ci si metterebbe a cliccare manualmente. Si lo so che siete piu veloci ma meglio perdere qualche secondo in piu' e fare una cosa il piu' possibile credibile piuttosto che farsi beccare subito.

-:- Problema 2 -:-

Il secondo problema che si pone e' che lo script non deve essere inserito in tutte le pagine indistintamente, ma solo in quella che presenta il link incriminato che deve essere cliccato. Ma questo e' un problema secondario, a cui deve pensare il proxy, che iniettera' il nostro script solo quando vedra' transitare la pagina in questione.

Un'altra soluzione e' quella di usare un solo javascript per riconoscere la pagina e iniettare lo script in tutte le pagine del dominio interessato. E' una soluzione dal mio punto di vista un po' piu' complessa, ma non faccio molto testo, con javascript sono abbastanza una chiavica io. La soluzione credo sia comunque valida e funzionale e magari per qualcuno di voi molto piu' perseguibile.

-:- Problema 3 -:-

Studiato il modo di effettuare il click in automatico, siamo praticamente a meta' anzi di piu' di meta' del nostro lavoretto, ci resta infatti solo da risolvere il problema delle pagine di controllo, queste pagine infatti richiedono il nostro intervento come gia messo in evidenza precedentemente nell'apposito paragrafo (visto che a qualcosa servono pure i paragrafi che sembrano inutili?). A dire il vero con un po di smanettamento probabilmente si puo' pure bypassarne qualcuna di queste pagine, potreste provarci voi, anzi perche non ci provate?

Per ora per ovviare al problema aggiungeremo un altro script con un timeout maggiore di quello di attesa per il click automatico del link di ritorno e inietteremo questo script in tutte le pagine del dominio del sistema in modo che quando lo script si attiva attiri la nostra attenzione.

Lo script sara' qualcosa del genere:



{scr ipt language="javascript" type="text/javascript"}

function askme() {

    self.focus();

    alert("Help me!!!");

}

setTimeout('askme()',15000);

{/scr ipt}



In questo modo dopo 15 secondi che stiamo su una pagina, lo script porta in primo piano la finestra e visualizza un alert richiamando la nostra attenzione, nel caso in cui siamo invece su una pagina che viene ricaricata lo script non verra mai eseguito in quanto la pagina si ricarica prima del timeout. Ovviamente con questo sistema noi dobbiamo essere davanti al PC ma il nostro browser sara' minimizzato tutto il tempo e noi potremo faremo tutt'altro senza dover continuamente gestirlo.

-:- Conclusioni -:-

Con questa ultima operazione abbiamo praticamente risolto tutti i nostri problemi, dopo aver fatto partire il sistema, ci pensera' lui stesso ad effettuare i click necessari, e a farci guadagnare crediti per visualizzare il nostro sito sul sistema. Noi dovremo intervenire solo ed unicamente quando compariranno le pagine di controllo per aiutare il sistema a continuare o comunque solo nel caso in cui lo script non riesca a clicckare per qualsiasi motivo e venga eseguito il codice di timeout che richiama la nostra attenzione. Cosi noi potremmo fare tutt'altro con il nostro PC, potremmo tranquillamente lavorare, magari pure navigare ma di certo non dovremo passare inutilmente ore davanti al brower guardando siti che non ci interessano.


::: CONCLUSIONE
::: (era ora...)

Questo documento non e' del tutto esauriente e non vuole esserlo ma al tempo stesso e' piu' che sufficiente per chiunque abbia voglia di imparare qualcosa di nuovo, o di applicare in modo alternativo le proprie conoscenze.

Ovviamente le tecniche qui descritte possono essere applicate a qualunque cosa, per dire ho provato pure a modificare pagine con giochi online in modo da non poter perdere o da rimuovere le pealita' per esempio. Possiamo tranquillamente dire che gli usi sono infiniti, l'unico limite come sempre e' la fantasia.


::: RINGRAZIAMENTI
::: (e a me non mi rigrazi?)

Chi posso e devo ringraziare? Vediamo un po... Sicuramente il mio capo che mi ha portato a Roma per una riunione lasciandomi cosi una marea di tempo libero per scrivere questo documento che non lui non leggera' mai.

Poi devo ringraziare tutti gli amici "reali" e "virtuali" che mi danno man forte e mi spronano a scrivere qualche DOC ogni tanto.

Non da ultimi i lettori che leggeranno queste poche righe che spero trovino almeno un po' interessanti.

Ringrazio poi le ferrovie dello stato che hanno fornito la corrente elettrica al portatile che ho usato per scrivere il documento, almeno nella sua prima stesura.

Ringrazio inoltre U. che come sempre uso come cavia per la lettura dei miei deliri... Sei grande U. Grazie.

E poi... beh basta che mi son rotto, anzi no facciamo cosi, ringrazio tutti quelli che non ho nominato e che vogliono essere ringraziati. Cosi tutti sono contenti.

::: DISCLAIMER
::: (e ti pareva se non te le lavavi le mani)

Ovviamente io non sono assolutamente responsabile dell'utilizzo che fate delle informazioni che vi ho dato e che ho scritto in questo documento, non ne voglio sapere in alcun modo di quello che ci fate. Io vi do queste informazioni cosi come le avete lette, se le capite bene, se non le capite non mi interessa. Se con queste informazioni riuscite a far esplodere il forno a microonde di vostra mamma non venite a lamentarvi con me. Vi faccio notare come ultima cosa che se applicate queste informazioni per scopi illegali siete voi i responsabili e non io. Ricordate sempre che se sparate con un pistola a qualcuno siete voi i colpevoli che vanno in galera non chi vi ha insegnato ad usare la pistola.

::: APPENDICE 1 - Il Proxy da usare
::: (insomma hai parlato di proxy ma non ci dici quale hai usato????)

L'argomento qui e' molto vasto e in rete ho trovato molti proxy utilizzabili per lo scopo, potete usarne uno di questi oppure realizzarvene uno voi stessi. La cosa importante nel caso cercaste un proxy in rete e' che questi vi permetta di scriptarlo in modo semplice, e soprattutto vi dia la possibilita' di modificare le pagine che passano tramite di esso. Io per fare le prove ne ho realizzato uno in Perl. Posso pero' suggerirvi di usare Privoxy per le vostre prove, e' fantastico e vi permette di fare tutto quello che serve, e soprattutto e' indipendente da sistema operativo, potete infatti usarlo sia con Windows che con Linux. Caratteristica questa non indifferente.

Potete scaricare privoxy dal sito : http://www.privoxy.org/

::: APPENDICE 2 - I javascript da usare
::: (e con i javascript come la mettiamo?)

Gli script in javascript da realizzare devono essere ovviamente realizzati in base alla pagina che andiamo a modificare e dovranno di conseguenza essere studiati e realizzati dopo aver attentamente analizzato la pagina che vogliano violentare.

A grandi linee comunque tutti gli script a parte essere piu' o meno complessi che andremo a realizzare effettueranno le stesse operazioni:

1 - SIMULARE IL CLICK SUL LINK PER LA PAGINA SUCCESSIVA

2 - RICHIAMARE LA NOSTRA ATTENZIONE QUANDO NON SANNO COSA FARE (pagine di controllo)


::: FINE (EOF) :::
 

Google search

Ricerca personalizzata

Fatti riconoscere


Petizioni

stopsoftwarepatents.eu petition banner

Sondaggi

Choose your color
 

Random quote

Computers are incredibly fast, accurate, and stupid; Humans are incredibly slow, inaccurate and brilliant; Together they are powerful beyond imagination.

Albert Einstein

Social Bookmark

Facebook myspace del.icio.us digg mixx reddit stumbleupon Twitter Google
diggita OkNotizie Segnalo UpNews ZicZac Wikio Fai Informazione