Da circa una settimana, chi gestisce un forum basato su IP.Board (al secolo Invision Power Board, o semplicemente “Invision” per gli amici), deve affrontare un notevole incremento delle registrazioni spam.

Il tool usato per questi attacchi sembra essere XRumer, un vero e proprio flagello, come l’ho definito su AmpleTech. XRumer è un’applicazione scritta da un programmatore russo, la cui prima versione ahimé funzionante risale a circa un anno fa. In queste ultime settimane ha fatto la sua comparsa la versione 4.0, ed è apparsa inoltre una lista di forum-bersaglio molto espansiva.

Chi è stato colpito avrà notato sicuramente il moltiplicarsi di iscrizioni di utenti dalle seguenti caratteristiche:

  • XRumer compila tutti i campi del profilonickname composto, solitamente, da parole e/o nomi solitamente leggibili in inglese o russo, nel quale è presente almeno una lettera in maiuscolo;
  • IP di registrazione estero, il quale comunque cambia ad ogni registrazione in quanto XRumer utilizza proxy e anonimizzatori per sferrare i suoi attacchi;
  • e-mail di registrazione costituite per la maggior parte da indirizzi @gmail.com e @mail.ru;
  • tutti i campi del form di registrazione compilati (spesso in modo non corretto, ma comunque compilati);
  • alcuni hanno, addirittura, regolare signature e avatar.

Tutti gli amministratori coscienziosi avranno già attivo il CAPTCHA durante la registrazione (che XRumer supera senza problemi) e il controllo delle registrazioni tramite invio del link di conferma all’e-mail specificata dall’utente. Il vero e proprio problema è che XRumer riesce, non sempre, ma in molti casi, a superare questa verifica. Non è chiaro se gli spammers confermino i link manualmente o se XRumer riesca a emulare il sistema di registrazione di IP.Board, fattostà che si hanno registrazioni di spammer confermate.

Con tutti i metodi di autodifesa di IP.Board divenuti inutili, l’amministratore si trova di fronte due alternative:

  • chiudere le iscrizioni della board;
  • impostare la doppia verifica delle registrazioni (e-mail all’utente + convalida manuale da parte dell’amministratore stesso).

Inutile spendere parole sulle conseguenze di entrambe le azioni: chiudere le iscrizioni significa rifiutare gli utenti sia buoni che cattivi; mentre per la doppia verifica ci vuole un amministratore che passi la sua giornata nel pannello di amministrazione a controllare le registrazioni.

A dirla tutta, Invision ha dimostrato di non saper assolutamente gestire l’emergenza. Tanto per iniziare, i thread di supporto sono stati pubblicati nell’area riservata agli utenti registrati e in possesso di licenza valida. Secondo: il primo fix è stato reso disponibile dopo circa 7 giorni delle prime avvisaglie, lasciando quindi scoperte le spalle degli amministratori per molto tempo. Rendiamoci conto che un forum di dimensioni medie come AmpleTech riceveva in media una registrazione ogni 13 minuti: se non fossi intervenuto impostando la doppia convalida dell’utente, mi sarei ritrovato con all’incirca 800 spammer nel forum.

Oltretutto, almeno dalla mia esperienza personale, il fix di cui sopra è una soluzione troppo semplicistica: non fa altro che cambiare il metodo in cui viene generato il CAPTCHA. Non solo, alla Invision si sono proprio sprecati e hanno messo a disposizione anche nuovi font e nuovi background per il CAPTCHA stesso, invitando gli admin a cancellare i vecchi. Sinceramente avevo pochissime speranze che la patch potesse funzionare, e infatti non sono stato smentito: tutto questo non è servito assolutamente a niente sul mio forum, che ha continuato a subire le registrazioni malevole esattamente come prima dell’applicazione della patch.

Passa un’altra giornata e, qualcuno, finalmente, alla Invision riesce ad accendere il computer e si accorge di quello che stava succedendo. E dice: “Ma perché risolvere il problema! Semplicemente appiccichiamo il problema a qualcun altro!”. Ed è così che nasce IP.Board 2.3.6, nuova versione del forum che comprende il fix inutile di cui ho parlato prima, più il supporto per reCAPTCHA: un sistema di CAPTCHA indipendente (quindi slegato da Invision) e gratuito. Attivando il supporto a reCAPTCHA, Invision dice che gli utenti potranno avere un sistema che si aggiorna allo stesso passo in cui evolvono le tecniche di spamming…

Il problema è che, se non avete una licenza di Invision, o se vi è scaduta anche 10 minuti fa, non vi è concesso di aggiornare. Gli aggiornamenti si scaricano esclusivamente dall’area utente Invision, a seconda delle sottoscrizioni attive in quel periodo. Se non paghi la licenza completa, non prendi aggiornamenti.

Praticamente è come se un qualsiasi utente di Windows dovesse pagare un canone annuale per scaricare gli aggiornamenti da Windows Update, del costo dello stesso sistema operativo.

E quel che è peggio, è che se hai la licenza di IP.Board scaduta, non puoi scaricare nemmeno i bugfix né gli aggiornamenti di sicurezza (e qui si parla di mettere a repentaglio la sicurezza e l’integrità di interi siti web).

Se non ritenete giusto pagare fior fior di quattrini per una licenza di Invision (quando l’ultima major release è stata rilasciata nel Settembre 2004), l’unica possibilità che vi si prospetta è quella di ricorrere a questa mod gratuita. In pratica questa modifica gratuita fa esattamente quello che fa la patch 2.3.6 di Invision: sostituisce il CAPTCHA originale di IP.Board con quello di reCAPTCHA.

La patch è compatibile con tutte le versioni 2.2.x e 2.3.x di IP.Board, e chiaramente non importa nulla se avete la licenza attiva o scaduta. L’unica noia è che bisogna modificare il codice PHP di alcune pagine del forum: ma è un impegno che vi prenderete con molta gioia, al pensiero che tutte le registrazioni spam saranno da quel momento in poi bloccate.

XRumer ci fa un baffo se abbiamo reCAPTCHA