Questa strana mattina è iniziata attorno alle 7:35, quando è giunto uno strano messaggio al nostro indirizzo.
Riportiamo di seguito le header quasi complete del messaggio “anonimizzato” ricevuto alle 7:35 AM.
Received: from localhost (localhost [127.0.0.1])
by smtp.zedz.net (Postfix) with ESMTP id CD0B91AA387
for <webmaster [at] pontilex.org>; Thu, 17 Mar 2011 07:35:11 +0100 (CET)
Received: from smtp.zedz.net ([127.0.0.1])
by localhost (localhost [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id K+pQRihnCtYO for <webmaster [at] pontilex.org>;
Thu, 17 Mar 2011 07:35:09 +0100 (CET)
Received: by smtp.zedz.net (Postfix, from userid 1003)
id B76211AA393; Thu, 17 Mar 2011 07:34:53 +0100 (CET)
From: Nomen Nescio <nobody [at] dizum.com>
Comments: This message did not originate from the Sender address above.
It was remailed automatically by anonymizing remailer software.
Please report problems or inappropriate use to the
remailer administrator at <abuse [at] dizum.com>.
To: webmaster [at] pontilex.org
Subject: Violazione diritti di Copyright
Message-ID: <[email protected]>
Date: Thu, 17 Mar 2011 07:34:53 +0100 (CET)Spettabile redazione,
vogliate rimuovere le citazioni arbitrariamente copiate dal sito www.pontifex.roma.it
in merito all’articolo del 17 Marzo 2011 titolato:
“Se non sei gay e non la pensi come loro ti boicottano e ti minacciano. Ricevo email da un dipendente omosessuale di una catena di librerie di Milano che minaccia di rispedire all’editore tutte le copie del mio ultimo libro”Consultabili sul vostro sito al link:
http://pontilex.org/2011/03/spirito-maligno-esci-fuori-da-questa-libreria/Certi che l’accaduto non andrà più a verificarsi, inviamo cordiali saluti.
Michele Avv. Marino
La stranezza si è subito tramutata in curiosità perchè mentre ancora cercavo di comprendere il contenuto della mail è arrivata un secondo messaggio contenente più o meno lo stesso testo ma proveniente da un indirizzo diverso. Potete vedere nella prima immagine i due subject, quasi identici, in rapida sequenza.
Notate la breve distanza temporale tra i due messaggi di “info” e di “Nomen Nescio” (http://it.wikipedia.org/wiki/Nomen_nescio). Nell’elenco di messaggi trovate poi evidenza del susseguente scambio di mail con Carletto relativo al coinvolgimento del mitico Michele Marino in tutta questa vicenda, oltre che i messaggi tra me ed i gestori dei vari siti anonimizzanti coinvolti in questa “anomala” vicenda.
Vi mostriamo anche il contenuto delle due mail.
L’ultima immagine spiega anche la “stranezza” rilevata da CiDiPi nei nostri commenti. Egli scrive infatti:
si ma il problema è che la mail di Marino la abbiamo ricevuta io e te.!
come puoi vedere dallo screenshot….
il contenuto lo sapevamo solo io e te.!!!!!
che sono talmente scemo che ti invio una mail da un remailer se già hai il contenuto?
non capisco.!!!!
perbacco sono 30 anni che sto buttato su un pc, sarebbe da emerito idiota e non avrebbe scopo.!
tu sei sicuro di leggere solo tu la tua email?
altrimenti devo avere dei dubbi nel mio gruppo?
http://pontilex.org/2011/03/spirito-maligno-esci-fuori-da-questa-libreria/comment-page-1/#comment-9139
Chi ha inviato la seconda mail ha messo in copia anche il Geniale Webmaster (come chiaramente indicato in questa immagine oltre che in quella che ci ha mostrato Carletto). Nessun mistero dunque. Anzi il mistero è che nel commento parli di inviare una mail “da un remailer” pur essendone già in possesso.
Noi conosciamo i fatti. Ed i fatti sono che qualcuno, utilizzando la webmail di Aruba, ha inviato un messaggio il cui contenuto corrisponde quasi perfettamente al contenuto del messaggio anonimo che ho rievuto io, 5 minuti prima.
Il difetto di molte webmail è che all’interno delle header tengono traccia dell’indirizzo IP attraverso cui è stata composta la mail. Le header della mail ci consentono di gettare un poco di luce su questa stranissima ed interessantissima storia. Guardate infatti l’immagine seguente.
Abbiamo deciso di cancellare il primo ottetto dell’indirizzo IP da cui proviene la mail in modo da eliminare ogni alibi. Quindi possiamo affermare che il messaggio inviato questa mattina da “info [at] pontifex.roma.it” a me ed a “webmaster [at] pontifex.roma.it” proviene da un indirizzo IP che indicheremo con XX.19.136.3 e che risulta appartenere alla rete di Telecom.
Cambiamo temporaneamente discorso per segnalare che allo stesso orario del primo mail, il sistema antispam del nostro piccolo sito Pontilesso ha impedito la pubblicazione di un commento, catalogandolo come spam. Vi mostriamo il messaggio, certi che risulterà familiare 😆
Lasciamo visibile l’indirizzo IP perchè appartiene ad un noto servizio di anonimizzazione (Anonymouse), come facilmente verificabile attraverso whois: http://whois.domaintools.com/193.200.150.82
Torniamo all’argomento principale: le mail ricevute questa mattina e la loro provenienza reale.
Avete notato come di recente il caro amico Carletto si sia prodigato ripetutamente commentando i nostri articoli in questi giorni. Siamo in grado di mostrarvi l’indirizzo IP (nascondendo ovviamente la prima parte dello stesso) utilizzato da CdP in questi giorni.
Vedete dunque alcuni commenti lasciati a cavallo delle ultime 24 ore da Carletto sul nostro blog. Notate nulla? Non vi pare familiare l’indirizzo IP utilizzato da CdP nel lasciare i commenti? Non coincide forse con quello usato per mandare la mail qui sopra? 😆
Che dire? Carletto sarai anche un demonologo ma ho l’impressione che tu abbia grandi problemi con il tuo PC. Prova ad esorcizzare il tuo hard disk. E cospargi di acqua benedetta il tuo modem.
Beh admin, io anche senza l IP ….voglio dire, basta guardare la forma e lo stile della mail;
Il leggendario avv. scrive:
“Certi che l’accaduto non andrà più a verificarsi, inviamo cordiali saluti.
Michele Avv. Marino”
1) Certi (chi? se é solo uno, amen, amen, amenoché non usi il pluralia majestatis! Domanda da un milione di euro: chi tra i nostri PontifeSSi usa spesso la forma “noi”?..
2) ..l accaduto NON ANDRÀ piú a verificarsi? Ma che, l ha tradotto in italiano con bibelfish???Un avvocato che scrive cosí…mboh..
3) cordiali saluti in ..minuscolo??? Hmm..vorrei leggere il parere di Ale Cr a proposito…
Insomma admin…uno scherzetto pontifeSSo per l Unita´d´Italia. ):D
Beh CdP ci ha chiesto di mostrare dati di fatto e non ipotesi… Eccoli qui i dati di fatto 😀
):D
“si ma il problema è che la mail di Marino la abbiamo ricevuta io e te.!
come puoi vedere dallo screenshot….
il contenuto lo sapevamo solo io e te.!!!!!
che sono talmente scemo che ti invio una mail da un remailer se già hai il contenuto?
non capisco.!!!!
perbacco sono 30 anni che sto buttato su un pc, sarebbe da emerito idiota e non avrebbe scopo.!”
Tu lo dici Cidippino, tu lo dici…
Grazie per la tua analisi.
Ho smazzato tutto il giorno.
Sul server del mio ufficio / abitazione con Win Server 2008
ho trovato un Chimera Reverse
ed un 007 keylogger
Qui ho 6 postazioni, che sono a disposizione dei miei collaboratori, per i lavori di informatica, ma non dubito di nessuno.
L’indirizzo ip che hai postato (ocurando un ottetto) è effettivamente l’attuale ip assegnato al router aziendale / casalingo.
Il dubbio che mi sorge è come si sia istallato il Chimera Reverse.!!!!
Lo 007 keylogger è possibile, ma il Chimara qualcuno deve averlo messo.
Comunque, grazie a Dio e grazie a questo problema (dopo un pomeriggio di sudata) ho risolto il problema.
Adesso dovrebbe essere praticamente impossibile una cosa del genere.
Saluti e grazie.
C
Navigare con Explorer e Windows XP non è esattamente la soluzione più sicura…
se dovessi ricevere altre email provenienti dal mio indirizzo ip ti pregherei, cortesemente, di volermele segnalare.!
CdP scusami ma non ho modo di verificare costantemente il tuo indirizzo IP… Come posso sapere se le mail che ricevo arrivano dal tuo indirizzo?
Se tu mi scrivi, da quale indirizzo dovrebbero provenire le tue mail?
Puoi fare chiarezza su quest’ultima affermazione che trovo abbastanza oscura? Grazie.