Oh, hacking – Giulia Sarti &co.;

Tra commenti ed email, impazza ancora sul blog la discussone sulle email della Sarti (l’altra volta mi sono confuso con la Salsi) e cosi’, visto che il 9 maggio e’ fasta in Germania e piove che Dio la manda, mi sono messo a dare un occhio – senza darlo davvero per via delle leggi locali – a cio’ di cui si parla. Sono i pomeriggi uggiosi , quando per vincere la noia prendere in mano CPAN e perl.

E’ difficile avere a che fare con questioni di sicurezza informatica, per diversi motivi. Il primo e’ che possiamo parlare di un problema di sicurezza olistica o di uno di sicurezza della rete vera e propria, e potete giurarci che il vostro attaccante cerchera’ di spacciare per un attacco di rete quello che e’ invece un accesso fisico non autorizzato.

 

Il motivo e’ che, di solito, i filmati che ritraggono gli accessi fisici durano meno dei log tenuti sui sistemi informatici. Il che significa, essenzialmente, che se riusciamo ad ingannare qualcuno spacciando per assalto informatico un accesso fisico, entro qualche giorno non esisteranno piu’ i filmati dell’accesso fisico.
Il vostro attaccante, quindi, si sforzera’ quasi sempre di farvi credere di aver “hackerato” qualcosa, anche quando ha pagato una donna delle pulizie per trafugare dei nastri da un robot DLT. Cosi’, quando vi dicono che, secondo gli esperti, la mail di Giulia Sarti sarebbe stata forwardata su gmx  usando un fetchmail, direttamente dalla casella della sarti, la prima cosa che dovete fare e’ dubitarne. O meglio, a contestualizzare.
Ho potuto scaricare da par-anoia i files che sarebbero stati piratati informaticamente , e ovviamente il primo dei miei problemi e’ che la legge tedesca mi impedisce di leggere quei file. Posso tenerli perche’ il garante italiano non ha effetto qui, ma non posso leggere  al contenuto.
Cosi’, quello che ho potuto fare e’ accedere ad alcuni headers smtp, e fare alcune analisi, osservando cioe’ i nomi dei files (che in una directory MAILDIR hanno un loro significato preciso) e cercando di capire un attimo se vi sia qualche coerenza o qualche incoerenza , e specialmente se ci siano delle assunzioni false o meno.
Per esempio: le directory cur e new mostrano lo status dei messaggi secondo una precisa sintassi, ma esse rispecchiano la struttura avuta sul server di origine oppure no, qualora si istruisca fetchmail di conservare tale status. Fetchmail sembra essere stato istruito a riguardo, perche’ alcuni file sono in cur e altri in new, e lo sono in maniera piuttosto coerente, ma se quella della Sarti e’ una casella vecchia di svariati anni, non e’ quello lo stato che mi aspetto sul server. Oppure, la Sarti ha un bel pochino di arretrato.
Ovviamente l’ordine di lettura potrebbe essere stato cambiato DOPO, istruendo fetchmail di scaricare la posta e POI andando a leggere i messaggi, cosa che sembra quasi essere avvenuta. Il periodo di scaricamento sembra essere molto lungo, ma i nostri hacker si sono dimenticati di un piccolo dettaglio. Quadra. O meglio quadrerebbe. Perche’ i nostri hacker hanno dimenticato un dettaglio, legato al fatto che se volevano conoscere le email inviate da quei grillini, e’ proprio l’unica cosa che NON hanno fatto. Afferrato?
Insomma, gira e rigira e’ magari verissimo che le mail sono state girate su un account gmx, che vengano da un account hotmail, ma e’ anche vero che da uno che puo’ accedere alla posta inviata, l’accesso ad una inbox e’ un pochino, come dire, “limitativo”. Sembra quasi che l’unico accesso di questi pirati sia avvenuto con POP3, che non permette di scaricare la posta inviata, quando con le stesse credenziali potevano scaricare anche quella via imap4/http , oppure che avessero accesso solo a un computer configurato per scaricare usando POP3, il che li limitava alla posta inviata. 
Se volete capire la differenza, potete semplicemente aprirvi un account su hotmail, uno su gmx, e poi trasferire la posta da uno all’altro. Poi confrontate i vostri header con quelli dei messaggi. Noterete una differenza essenziale. E la noterete specialmente se conoscete la sequenza POP3 LIST/UIDL-RETR.
E’ altrettanto ovvio che chi irrompe nella vostra casella di email non voglia farsi raggiungere, cosi’ c’e’ stato un trasferimento e tutto quanto, ma si tratta essenzialmente di un bel gioco per ripulire i segni di una effrazione al client POP3, e se esaminate la differenza con le email di Tancredi Turco e dell’altro parlamentare su yahoo, capirete subito il perche’ non si siano dovuti incancrenire a fare il passaggio su gmx nel loro caso. Specialmente se andate a mettere, negli stessi periodi di tempo, le email di bernini e le mail della sarti, che secondo gli header sarebbero stati consolidati nello stesso account di gmx.
E ripeto, tutto questo potete farlo semplicemente esaminando gli header SMTP e il nome dei files nel caso degli utenti hotmail, cioe’ senza leggere i contenuti dei files, ovvero rispettando le leggi. (almeno quella tedesca nel mio caso. In quello italiano dovreste cancellarle). Per piu’ informazioni su come leggere gli headers senza contenuti , cercate su google “perl cpan Mail::Audit”.

Sembra, stranamente, che i nostri Hacker del PD conoscessero le credenziali, ma fossero limitati al protocollo POP3. Strano, perche’ non mancano cose come Mail::IMAPClient , o anche , nel cpan, WWW::Hotmail non e’ cosi’ difficile scaricare tutto, conoscendo le credenziali.

Ma se non conoscessimo le credenziali, e potessimo solo accedere fisicamente a dei client pop3 che le conoscono, questo e’ il massimo che saremmo capaci di fare. La domanda e’: che cosa ha limitato gli hacker del PD al protocollo POP3, che non poteva scaricare la posta inviata?

Io sospetto che questi signori siano stati limitati dal fatto di non conoscere affatto le credenziali e di non avere un reale accesso alle cassette di posta, ma di poter accedere ai computer client che scaricavano la posta con POP3.

Ovviamente dovrete fare una prova di ripetere l’esperimento, cioe’ creare UN account di gmx, col quale scaricherete DUE account ad intervalli regolari, nello stesso intervallo di tempo.(1)
Ripeto: siccome ci sono le indagini in corso non voglio star li’ a rompere, ma la mia convinzione personalissima, dopo aver esaminato gli header di quei messaggi ma non i messaggi, e’ che ci siano state delle intrusioni fisiche sui computer dei parlamentari, e piu’ di una. E che DOPO qualcuno si sia messo ad iniettare provvidenziali headers , fare giochini di trasporto, etc, per nascondere l’accesso fisico illegale.
Ma non e’ di questo che vorrei parlare, bensi’ del contenuto.
Voi direte: ma tu non puoi visionare un contenuto.
Vero. Ma un computer puo’ farlo. Esistono svariati sistemi di parental control filter online, molti dei quali hanno una comoda interfaccia http, facilissima da implementare in perl. Basta passare i contenuti delle caselle ad un filtraggio, e si ottiene facilmente che, per la Sarti (quella assalita in maniera piu’ vigliacca)
16 files ICRA 2005 na1+nb1,xa
07 files ICRA 2005 nz1,sa1
01 files ICRA 2005 nc1+sc1,ca1
Il linguaggio scritto di quelle email e’ considerato
21 files su 7700 ICRA 2005 la1,lc1
08 files su 7700 ICRA 2005 of1,lb1
02 files su 7700 ICRA 2005 oc1
in soldoni, significa che laddove esistono le policy piu’ restrittive sui minori, la mail della Sarti e’ visibile dopo i 12/14 anni con la sola eccezione di 3 files. Considerato che conosco quei sistemi e si tratta di sistemi che producono falsi positivi (2), direi che – si vedono i genitali di una persona UNA volta (e non posso sapere se sia lei, peraltro), che un paio di volte contiene discorsi tipo quelli di Grillo, e in questa 8 volte su 7700 email si dice “cazzo”. 21 volte ha usato o letto cose come “negro”, “stronza” ed altro. Oddio, quanto “porno”.
Ora, capite che con una simile densita’ di porno, la Sarti sia praticamente un’educanda. Ho gestito sistemi con parental control e content rating, e onestamente, una densita’ cosi’ bassa e’ rara. Specialmente se consideriamo che molta di quella roba viene RICEVUTA dalla Sarti, e che dentro c’e’ roba detta da Grillo con la sua consteta finezza.

E QUINDI MI FA INCAZZARE UN TITOLO COME “PORNORICATTO”.

Non c’e’ nessun cazzo di pornoricatto. So bene che i furboni che hanno scritto il titolo “Pornoricatto” si metteranno a cianciare di questioni soggettive, o di giudizi che sono personali. Ed e’ per questo che ho usato uno standard internazionale di content rating come ICRA/FOSI.
Se dovessimo andare in un tribunale a decidere se il “porno ricatto” derivi da qualcosa di “porno”, appunto, scopriremmo che  la Sarti, in sei anni, ha prodotto meno pornografia di Libero, che secondo la classificazione ICRA-FOSI se la cava MOLTO PEGGIO.
Ma il punto e’  che in 6 anni i contenuti INADATTI ai bambini siano 25 volte meno di quelli apparsi sulla repubblica in un giorno, e secondo lo stesso software , ~370 volte meno di una sola settimana di tgcom.it!
In pratica, nel pornoricatto manca proprio una cosa: il porno.
E sia chiaro, non sto menzionando il fatto che —oops— chi ha acceduto alla casella di posta di questi signori non sia MAI riuscito a scaricare la posta inviata (sembra quasi che abbiano acceduto ad un PC seminuovo che scarica la inbox via POP3 e solo quella, eh? Come se qualcuno avesse formattato un pc da zero per farlo usare ad un nuovo parlamentare e questo si sia sincronizzato via POP3 solo la inbox. OOOps!).
Sembra, stranamente, che i nostri Hacker del PD conoscessero le credenziali, ma fossero limitati al protocollo POP3. Strano, perche’ non mancano cose come Mail::IMAPClient , o anche , nel cpan, WWW::Hotmail non e’ cosi’ difficile scaricare tutto, conoscendo le credenziali.

Ma se non conoscessimo le credenziali, e potessimo solo accedere fisicamente a dei client pop3 che le conoscono, questo e’ il massimo che saremmo capaci di fare.

In pratica, cioe’, non siamo nemmeno certi – e non posso esserlo senza guardare il messaggio, cosa vietata – che la Sarti abbia INVIATO quella roba, anziche’ averla ricevuta.
Ora, io so benissimo che questi Hacker del PD non erano interessati alle mail INVIATE , cioe’ alle cose scritte da lei, ma solo a quelle ricevute, cioe’ a quelle scritte da altri. Se vuoi sputtanare uno, cerchi le cose che gli dicono gli altri e non quelle che dice lui, isn’t it? E considerando che c’e’ una sola foto equivoca in 7700, le probabilita’ dovevano essere davvero alte se avete trascurato la posta inviata, isn’t it?
Quindi, se attribuiamo quelle cose alla Sarti, occorre che qualcuno abbia spedito a lei  delle foto compromettenti… di lei. Altrimenti sarebbero tra la posta inviata, e non tra quella ricevuta, right?Anzi, a dire il vero non sappiamo cosa ci sia in quella inviata, visto che non e’ stata scaricata in nessun caso.
Qui entra in gioco la mia seconda incazzatura. Anche ammettendo che la Sarti abbia ricevuto foto esplicite di lei, parliamo di foto ricevute visto che gli Hacker hanno “dimenticato” quella inviata(toh, che sbadati!), come se avessero avuto a disposizione solo un computer seminuovo che aveva aggiornato solo la inbox.
Dov’e’ il “pornoricatto”? E specialmente, dov’e’ il “porno”?
E qui andiamo al secondo punto, cioe’ il mix di inesperienza e di abilita’ politica.
La Sarti potrebbe tranquillamente difendersi – specialmente nei confronti di Libero – obiettando semplicemente che si tratta di fotografie ricevute e non inviate, e che sia successo – forse – una volta che ha inviato roba piu’ sexy. Dico “forse” perche’ si tratta di posta ricevuta.
Lo avrebbe potuto fare , compresa una catastrofica querela ad un certo giornale (anche piu’ di uno), se un cosi’ “premuroso” Garante non avesse vietato di discuterne. Avete presente quando voi fate a cazzotti , e alcuni premurosi pacifisti vi dividono dall’avversario solo nel momento in cui siete voi a menare, e spariscono mentre mena lui?
Ecco, questo e’ il punto.
  • Qualcuno ottiene le email ricevute (ma non quelle inviate) dalla Sarti.
  • I giornali parlano di “Pornoricatto”, inventando la parte porno.
  • Arriva il garante che, oh, vieta di parlare delle foto, e cosi’ non si puo’ sputtanare alcun giornale.
 L’intervento del garante, in definitiva, ha semplicemente impedito alla Sarti una clamorosa querela verso chi ha parlato di “pornoricatto”. E qui arriva la mia seconda incazzatura.
Adesso quindi, vado a concludere con alcuni consigli:
  • Agli “Hacker del PD”: se davvero avete accesso gli account, e volete sputtanare qualcuno, scaricate anche la posta inviata. Se scaricate solo quella ricevuta, qualcuno pensera’ che abbiate avuto un accesso fisico illegale ad un computer appena installato/formattato, appena configurato per scaricare solo la imbox, tipo quelli dei nuovi parlamentari, e poi abbiate piciulato un pochino per far credere alle mailbox violate in rete. E’ difficile, capito, pensare che uno con l’accesso alla mailbox poi non scarichi la posta inviata, che fa vedere le cose imputabili alle persone. Eccazzo, basta fare un grep qualcosa | wc -l per notare la mancanza di un “From: ”  specifico. E no, le mailing list che mandano messaggi a nome tuo non fanno testo. Inoltre, iniettare degli header e’ sempre pericoloso, quando non si conosce l’architettura di una grossa server farm: si rischia di far sembrare che facciano tutto con un pugno di calcolatori. Gmx addirittura sempre con quello.
  • Ai giornalisti di Libero: in questi casi, il linguaggio tecnico e’ essenziale. Se sono violate le caselle postali, si scrive che sono state violate le caselle postali. Se – sono certo, per un lapsus freudiano ed una mancanza di dimestichezza – titolate che “Gli hacker hanno rubato dai computer dei parlamentari” (e non “dalle caselle di posta elettronica”) , e qualcuno nota che manca la posta inviata, e qualcuno (IO) sospetta che ci sia stato accesso fisico, sembra quasi che voi sappiate di preciso come siano state ottenute quelle email. Io non affermo una cosa del genere (sia chiaro!), ma se un maligno la affermasse, sarebbe difficile per voi dimostrare il contrario. Perche’ passi essere scambiati ingiustamente per hacker, ma essere scambiati per Hacker DEL PD per voi di Libero sarebbe davvero troppo.Isn’t it?
Ecco, oggi sono in vena di buoni consigli. E come si dice per i buoni consigli: a buon intenditore , poche cazzuole.
O no?
Uriel
(1) Ovviamente nessuno sospetta , nemmeno io – LOL – che gli header di gmx siano stati iniettati artificialmente. E’ ovvio che hotmail usi 6 server in croce per il roudrobin, con questa distribuzione statistica:

1927 pop3.hot.glbdns.microsoft.com [157.55.1.215]
88 pop3.hot.glbdns.microsoft.com [65.54.51.39]
2055 pop3.hot.glbdns.microsoft.com [65.55.162.199]
1481 pop3.hot.glbdns.microsoft.com [65.55.172.253]
2056 pop3.hot.glbdns.microsoft.com [65.55.32.247]
43 pop3.hot.glbdns.microsoft.com [65.55.39.135]

per uno dei due, mentre lo stesso served di gmx, nello stesso periodo di tempo, sempre per scaricare da hotmail la posta di bernini, ha questo:

585 pop3.hot.glbdns.microsoft.com [157.55.1.215]
65 pop3.hot.glbdns.microsoft.com [65.54.51.39]
532 pop3.hot.glbdns.microsoft.com [65.55.162.199]
428 pop3.hot.glbdns.microsoft.com [65.55.172.253]
297 pop3.hot.glbdns.microsoft.com [65.55.32.247]
44 pop3.hot.glbdns.microsoft.com [65.55.39.135]

Ed e’ assolutamente sicuro che per giorni e giorni userete gli stessi.La distribuzione e’ cosi’ cattiva che inizialmente mi sembrava che il RR funzionasse in maniera perlomeno discutibile. Anche cosi’ ci sarebbero da stabilire delle cose, ma non ho i mezzi per farlo.

(2) Li uso per filtrare i contenuti di mia figlia, quando gironzola per il web. Anche se state dietro al monitor con lei, quando vedete i contenuti assurdi e’ troppo tardi. Per come li ho regolati, bloccano in caso di sospetto, cioe’ a volte vedo sul monitor una o due immagini perse e alcune pagine vietate. Nel caso della Sarti, se avessi girato per la sua email, avrei avuto ben 1 immagine persa e qualche decine di pagine bloccate IN SEI ANNI.
(3) Ho usato la classificazione ICRA/FOSI :

ICRA label decoder

The table below shows the code for each ICRA descriptor.

Nudity
na 1 Exposed breasts
nb 1 Bare buttocks
nc 1 Visible genitals
nz 0 Nudity may be, but is not known to be, present
nz 1 No nudity
Sexual material
sa 1 Passionate kissing
sb 1 Obscured or implied sexual acts
sc 1 Visible sexual touching
sd 1 Explicit sexual language
se 1 Erections/explicit sexual acts
sf 1 Erotica
sz 0 Sexual material may be, but is not known to be, present
sz 1 No sexual material
Violence
va 1 Assault/rape
vb 1 Injury to human beings
vc 1 Injury to animals
vd 1 Injury to fantasy characters (including animation)
ve 1 Blood and dismemberment, human beings
vf 1 Blood and dismemberment, animals
vg 1 Blood and dismemberment, fantasy characters (including animation)
vh 1 Torture or killing of human beings
vi 1 Torture or killing of animals
vj 1 Torture or killing of fantasy characters (including animation)
vz 0 Violence may be, but is not known to be, present
vz 1 No violence
Language
la 1 Abusive or vulgar terms
lb 1 Profanity or swearing
lc 1 Mild expletives
lz 0 Potentially offensive language may be, but is not known to be, present
lz 1 No potentially offensive language
Potentially harmful activities
oa 1 Depiction of tobacco use
ob 1 Depiction of alcohol use
oc 1 Depiction of drug use
od 1 Depiction of the use of weapons
oe 1 Gambling
of 1 Content that sets a bad example for young children: that teaches or encourages children to perform harmful acts or imitate dangerous behaviour
og 1 Content that creates feelings of fear, intimidation, horror, or psychological terror
oh 1 Incitement or depiction of discrimination or harm against any individual or group based on gender, sexual orientation, ethnic, religious or national identity
oz 0 Potentially harmful activities may be, but are not known to be, depicted
oz 1 No potentially harmful activities
User generated content
ca 1 User-generated content such as chat rooms and message boards (moderated)
cb 1 User-generated content such as chat rooms and message boards (unmoderated)
cz 0 User generated content may be, but is not known to be, present
cz 1 No user-generated content
Context
xa 1 This material appears in an artistic context
xb 1 This material appears in an educational context
xc 1 This material appears in a medical context
xd 1 This material appears in a sports context
xe 1 This material appears in a news context

Legacy PICS vocabulary

In order to facilitate filtering for parents using PICS filters (such as Microsoft Internet Explorer’s Content Advisor), since April 2006 ICRA has also provided a simplified PICS interpretation of the current vocabulary alongside the RDF labels.

Nudity
n 0 No nudity: no bare buttocks, breasts or genitals in any context
n 1 Limited nudity: bare buttocks and/or breasts in artistic, medical, educational, sports or news context. No genitals in any context.
n 2 Some nudity: bare buttocks and/or bare breasts in any context; genitals only in artistic, medical, educational, sports or news context
n 3 Unrestricted nudity: nudity of any kind in any context, although this does not imply sexual content, which is described separately
Sexual material
s 0 No sexual material: no passionate kissing, obscured or implied sexual acts, no visible sexual touching, no explicit sexual language, no erections or explicit sexual acts, no erotica in any context
s 1 Limited sexual material: obscured or implied sexual acts and visible sexual touching may appear in an artistic, medical, educational, sports or news context. Passionate kissing may appear in any context. No explicit sexual language, no erections or explicit sexual acts, and no erotica in any context
s 2 Some sexual material: obscured or implied sexual acts, visible sexual touching, and passionate kissing may appear in any context. Explicit sexual language, erotica, erections or explicit sexual acts only in artistic, medical, educational, sports or news context
s 3 Unrestricted sexual material: sexual material of any kind, in any context, although this does not include sexual violence, which is described separately
Violence
v 0 No violence: no assault/rape; no injury, torture, killing or blood and dismemberment of humans, animals or fantasy characters (including animation) in any context
v 1 Limited violence: injury, torture, killing or blood and dismemberment of fantasy characters (including animation) only in artistic, medical, educational, sports or news context. No injury, torture, killing or blood and dismemberment of humans in any context. No assault/rape
v 2 Some violence: injury, torture, killing or blood and dismemberment of fantasy characters (including animation) in any context. Injury, torture, killing or blood and dismemberment of humans or animals only in artistic, medical, educational, sports or news context. No assault/rape
v 3 Unrestricted violence: violence of any kind in any context, including assault/rape
Language
l 0 No offensive language: no abusive or vulgar terms, no profanity or swearing, no mild expletives in any context
l 1 Limited offensive language: no abusive or vulgar terms in any context. Profanity, swearing, or mild expletives only in artistic, medical, educational, sports or news context
l 2 Some offensive language: abusive or vulgar terms only in artistic, medical, educational, sports or news context. Crude words, profanity or mild expletives in any context
l 3 Unrestricted offensive language: abusive or vulgar terms, profanity, swearing, or mild expletives in any context, although this does not include sexual language, which is described separately
Depiction of tobacco use
oa 0 No depiction of tobacco use: no depiction of tobacco use in any context
oa 1 Limited depiction of tobacco use: depiction of tobacco use only in artistic, medical, educational, sports or news context
oa 2 Unrestricted depiction of tobacco use: depiction of tobacco use in any context
Depiction of alcohol use
ob 0 No depiction of alcohol use: no depiction of alcohol use in any context
ob 1 Limited depiction of alcohol use: depiction of alcohol use only in artistic, medical, educational, sports or news context
ob 2 Unrestricted depiction of alcohol use: depiction of alcohol use in any context
Depiction of drug use
oc 0 No depiction of drug use: no depiction of drug use in any context
oc 1 Limited depiction of drug use: depiction of drug use only in artistic, medical, educational, sports or news context
oc 2 Unrestricted depiction of drug use: depiction of drug use in any context
Depiction of weapon use
od 0 No depiction of weapon use: no depiction of weapon use in any context
od 1 Limited depiction of weapon use: depiction of weapon use only in artistic, medical, educational, sports or news context
od 2 Unrestricted depiction of weapon use: depiction of weapon use in any context
Depiction of gambling
oe 0 No depiction of gambling: no depiction of gambling in any context
oe 1 Limited depiction of gambling: depiction of gambling only in artistic, medical, educational or news context
oe 2 Unrestricted depiction of gambling: depiction of gambling in any context
Content that sets a bad example for young children: that teaches or encourages children to perform harmful acts or imitate dangerous behaviour
of 0 No content that sets a bad example for young children: no content that sets a bad example for young children, that teaches or encourages children to perform harmful acts or imitate dangerous behaviour, in any context
of 1 Limited content that sets a bad example for young children: content that sets a bad example for young children, that teaches or encourages children to perform harmful acts or imitate dangerous behaviour, only in artistic, medical, educational, sports or news context
of 2 Unrestricted content that sets a bad example for young children: content that sets a bad example for young children, that teaches or encourages children to perform harmful acts or imitate dangerous behaviour, in any context
Content that creates feelings of fear, intimidation, horror or psychological terror
og 0 No content that creates feelings of fear, intimidation, horror or psychological terror: no content that creates feelings of fear, intimidation, horror or psychological terror in any context
og 1 Limited content that creates feelings of fear, intimidation, horror or psychological terror: content that creates feelings of fear, intimidation, horror or psychological terror only in artistic, medical, educational, sports or news context
og 2 Unrestricted content that creates feelings of fear, intimidation, horror or psychological terror: content that creates feelings of fear, intimidation, horror or psychological terror in any context
Incitement or depiction of discrimination or harm against any individual or group based on gender, sexual orientation, ethnic, religious or national identity
oh 0 No incitement or depiction of discrimination or harm against any individual or group: no incitement or depiction of discrimination or harm against any individual or group based on gender, sexual orientation, ethnic, religious or national identity in any context
oh 1 Limited incitement or depiction of discrimination or harm against any individual or group: incitement or depiction of discrimination or harm against any individual or group based on gender, sexual orientation, ethnic, religious or national identity only in artistic, medical, educational, sports or news context
oh 2 Unrestricted incitement or depiction of discrimination or harm against any individual or group: incitement or depiction of discrimination or harm against any individual or group based on gender, sexual orientation, ethnic, religious or national identity in any context
User generated content
c 0 No user-generated content: no user-generated content such as chat rooms and message boards in any context
c 1 Limited user-generated content: moderated user-generated content such as chat rooms and message boards content in any context
c 2 Some user-generated content: moderated user-generated content such as chat rooms and message boards in any context. Unmoderated user-generated content only in artistic, medical, educational, sports or news context
c 3 Unrestricted user-generated content: unmoderated user-generated content such as chat rooms and message boards in any context

Original (2000) ICRA vocabulary

The table below shows the codes for the ICRA vocabulary used between 2000 and June 2005

Nudity and sexual material
na 1 Erections and female genitals in details
nb 1 Male genitals
nc 1 Female genitals
nd 1 Female breasts
ne 1 Bare buttocks
nf 1 Explicit sexual acts
ng 1 Obscured or implied sexual acts
nh 1 Visible sexual touching
ni 1 Passionate kissing
nr 1 appears in an artistic context and is suitable for young children
ns 1 appears in an educational context and is suitable for young children
nt 1 appears in a medical context and is suitable for young children
nz 0 Nudity or sexual material may, but is not known, to be present
nz 1 No nudity or sexual material
Violence
va 1 Sexual violence/rape
vb 1 Blood and gore, human beings
vc 1 Blood and gore, animals
vd 1 Blood and gore, fantasy characters (including animation)
ve 1 Killing of human beings
vf 1 Killing of animals
vg 1 Killing of fantasy characters (including animation)
vh 1 Deliberate injury to human beings
vi 1 Deliberate injury to animals
vj 1 Deliberate injury to fantasy characters (including animation)
vk 1 Deliberate damage to objects
vr 1 appears in an artistic context and is suitable for young children
vs 1 appears in an educational context and is suitable for young children
vt 1 appears in a medical context and is suitable for young children
vu 1 appears in a sports context
vz 0 Violence may, but is not known to, be present
vz 1 No violence
Language
la 1 Explicit sexual language
lb 1 Crude words or profanity
lc 1 Mild expletives
lz 0 Potentially offensive language may, but is not known to, be present
lz 1 No potentially offensive language
Other topics
oa 1 Promotion of tobacco use
ob 1 Promotion of alcohol use
oc 1 Promotion of drug use
od 1 Gambling
oe 1 Promotion of weapon use
of 1 Promotion of discrimination or harm against people
og 1 Material that might be perceived as setting a bad example for young children
oh 1 Material that might disturb young children
oz 0 Topics in this section may, but are not known to, be present
oz 1 None of the “Other topics”
Chat
ca 1 Unmoderated chat
cb 1 Moderated chat suitable for children and teens
cz 0 Chat facilities may, but are not known to, be present
cz 1 No chat facilities