| V I S U A L I Z Z A D I S C U S S I O N E |
| admin |
Inserito il - 31/01/2004 : 10:50:22
Aggiornamento sul virus Mydoom
di Paolo Attivissimo
31/01/2004
Come avrete probabilmente notato, la posta di Internet è nel caos più
totale. Il virus Mydoom è responsabile soltanto in parte di questo
disastro: parte della colpa, infatti, spetta ai responsabili dei sistemi
informatici che irresponsabilmente diramano notifiche fasulle. Mi spiego
tra un attimo.
Prima, però, c'è una novità sul virus/worm, che va in genere sotto il
nome di Mydoom, anche se ciascuna società di produzione di antivirus lo
chiama con un nome diverso (bella furbata). Mydoom ha infatti già
generato una mutazione, Mydoom.B, che invece di colpire SCO ha come
bersaglio Microsoft. Anche questa mutazione inizierà l'attacco l'1 febbraio.
Inoltre molti lettori mi hanno chiesto chiarimenti sugli eventuali
pericoli che corrono ricevendo un messaggio infetto e su come
difendersi. Riassumo:
-- Mydoom NON HA EFFETTO SE NON APRITE L'ALLEGATO CHE LO CONTIENE. E'
quindi sufficiente imparare a non aprire gli allegati inattesi, anche se
sembrano provenire da un indirizzo autorevole o che conoscete.
-- Se ricevete un messaggio sospetto, è sufficiente cancellarlo senza
aprire l'allegato.
-- Mydoom ha effetto soltanto su computer che usano Windows. Chi usa
altri sistemi operativi (Mac, Linux, eccetera) non corre alcun pericolo.
-- Mydoom non usa il vostro programma di posta per spedirsi a nuove
vittime: ha un proprio programma di posta che agisce invisibilmente.
-- USATE UN ANTIVIRUS E TENETELO AGGIORNATO. Tutti gli antivirus
riconoscono Mydoom e lo eliminano se vi infettate.
-- USATE UN FIREWALL, per esempio Zone Alarm; lasciate perdere quello
integrato in Windows, perché non blocca il traffico uscente.
-- NON PERDETE TEMPO AD AVVISARE CHI VI MANDA MESSAGGI INFETTI. Il
mittente e' fasullo.
E' infatti importantissimo tenere presente che Mydoom, come del resto
praticamente tutti i virus da qualche anno a questa parte, falsifica il
mittente del messaggio che lo trasporta. In gergo questo si chiama
"spoofing". E' per questo che non bisogna avvisare i mittenti dei
messaggi infetti.
Esempio: Tizio è un utonto che, nonostante siano anni che l'intera
comunità informatica si sgola ad avvisare che non bisogna aprire gli
allegati senza un controllo antivirus, apre qualsiasi porcata gli venga
inviata. E così s'infetta con Mydoom.
Mydoom a questo punto legge la rubrica degli indirizzi di Tizio e usa il
proprio programma di posta integrato per inviare invisibilmente un
e-mail contenente una copia di se stesso agli utenti presenti nella
rubrica di Tizio (se Tizio avesse un firewall, come per esempio Zone
Alarm, questo invio verrebbe bloccato, ma Tizio è appunto un utonto). In
pratica, grazie alla sua dabbenaggine Tizio tenta di infettare
inconsapevolmente tutti quelli che conosce.
Per cercare di confondere le acque, Mydoom confeziona l'e-mail
falsificando il mittente: invece di dichiarare di provenire da Tizio, fa
sembrare che l'e-mail infetto provenga da un indirizzo pescato nella
rubrica di Tizio: per esempio, l'indirizzo di Sempronio. Così quando
Caio riceve il messaggio, crede che gliel'abbia mandato Sempronio anche
se in realtà proviene da Tizio. Caio s'inviperisce per il virus ricevuto
e quindi sommerge d'insulti Sempronio, che poverino non c'entra nulla.
La cosa che mi manda in bestia è che questo meccanismo è
comprensibilmente poco conosciuto fra gli utenti ordinari, ma dovrebbe
essere stranoto a chi fa informatica per lavoro. E invece gli
amministratori dei sistemi informatici configurano i propri antivirus in
modo da inviare una notifica al mittente di ogni messaggio ricevuto che
viene trovato infetto.
Ovviamente, essendo il mittente falso, finisce che mandano la notifica
alla persona sbagliata. Ecco perché state ricevendo, come me, non solo
dozzine di copie del virus, ma anche decine di avvisi del tipo
"attenzione, hai mandato un virus all'utente X", dove l'utente X è una
persona che non conoscete affatto, anche se siete assolutamente sicuri
di non essere infetti.
Insomma, pur essendo passati anni dall'avvento dello spoofing, c'è
ancora una mandria di imbecilli che pensa che sia una cosa intelligente
diramare notifiche di questo tipo fidandosi del mittente indicato dal
virus. Bella questa: un antivirus che si fida di un virus.
La conseguenza di quest'irresponsabilità generalizzata dei tecnici è che
la Rete è intasata non soltanto dal virus, ma anche dalle inutilissime
notifiche di questi incompetenti. Io mi sono stufato e sto rispondendo a
queste notifiche con una diffida a smettere di accusarmi ingiustamente
di essere untore e a piantarla di intasare la Rete inutilmente;
oltretutto, siccome queste notifiche fanno pubblicità sfacciata
all'antivirus, si configurano come spam, e sono quindi in violazione
delle leggi italiane sullo spamming. Se vi interessa, ve la mando.
Mi raccomando, quindi: tenete costantemente aggiornato il vostro
antivirus, non aprite gli allegati inattesi, ignorate le notifiche che
vi arrivano e tenetevi forte: già ora pare che un e-mail su tre sia
infetto da Mydoom, ma mi sa che il peggio deve ancora venire.
Ciao da Paolo.
--
-----------------------------------------------------------------------
Paolo Attivissimo Traduttore tecnico, divulgatore informatico
topone@pobox.com http://www.attivissimo.net
---------+---------+---------+---------+---------+---------+---------+-
|
| 1 U L T I M E R I S P O S T E (in alto le più recenti) |
| admin |
Inserito il - 31/01/2004 : 15:08:29
La diffida anti-notifica virus ai responsabili informatici
Visto che me l'avete chiesto in tanti, ecco il testo che uso io per
diffidare i responsabili dei sistemi informatici dal mandarmi notifiche
assolutamente inutili quando ricevono un virus/worm che ha falsificato
il mittente usando il mio indirizzo di e-mail.
Usatelo con giudizio, e soltanto con i provider italiani (a quelli
esteri non si applicano le leggi antispam italiane).
Gli indirizzi dei responsabili ai quali inviare la diffida sono
solitamente indicati nel testo delle notifiche che ricevete.
Due parole per i responsabili informatici che leggono questa newsletter:
la politica dei sysadmin e delle società produttrici di antivirus sarà
oggetto di un mio prossimo articolo per Apogeonline. Ho già ricevuto i
commenti di alcune società produttrici, che scaricano discutibilmente la
colpa sui sysadmin che non disabilitano l'opzione: se volete aggiungere
il vostro punto di vista, sarà naturalmente ben accetto. Scrivetemi a
topone@pobox.com
----- inizio testo ----
Egregi Responsabili di Sistema,
con la presente vi diffido dall'inoltrarmi ulteriori false comunicazioni
riguardanti presunti "virus" che vi avrei inviato.
Tali comunicazioni sono false in quanto è stranoto, fra gli addetti ai
lavori, che tutti i virus/worm da anni a questa parte fanno spoofing del
mittente. Pertanto è inutile e deleterio inviare notifiche al mittente
spoofato, perché NON E' LUI CHE VI HA INVIATO IL WORM.
Queste notifiche non soltanto generano irresponsabilmente inutile
allarme negli utenti meno esperti e traffico superfluo per i server di
posta già intasati dall'attuale ondata di attacchi del worm, ma
costituiscono vero e proprio SPAM.
Le vostre notifiche, infatti, contengono informazioni pubblicitarie
riguardanti i prodotti antivirali da voi adottati. Informazioni che io
non ho richiesto né desidero, e che mi vengono inviate da voi senza il
mio consenso e senza offrire una opzione di "opt-out", costituendo
pertanto una violazione delle leggi italiane vigenti.
Richiamo alla vostra attenzione il comunicato stampa del Garante per la
protezione dei dati personali del 3/12/2003, che ribadisce il concetto
che "inviare e-mail pubblicitarie senza il consenso del destinatario è
vietato dalla legge. Se questa attività, specie se sistematica, è
effettuata a fini di profitto si viola anche una norma penale e il fatto
può essere denunciato all’autorità giudiziaria. Sono previste varie
sanzioni e, nei casi più gravi, la reclusione."
http://www.garanteprivacy.it/garante/doc.jsp?ID=272444
A parte queste considerazioni legali, è ben noto che tutti i sistemi
antivirus consentono di disabilitare la notifica al mittente (apparente)
del messaggio infetto. Lasciare attiva quest'opzione di notifica è
quindi poco professionale ed estremamentedannoso per la Rete. Ne è prova
il fatto che ormai io, come molti altri utenti, ricevo più notifiche
errate che virus/worm.
State intasando Internet e i vostri stessi server di posta più di quanto
abbia fatto il worm. Vi invito pertanto a riflettere seriamente
sull'opportunità di disabilitare queste notifiche.
Distinti saluti
--- fine testo ----
Ciao da Paolo.
-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
(C) 2004 by Paolo Attivissimo (www.attivissimo.net).
|
|
![[AmadeuX BiblioForum]](https://www.amadeux.it/forum/immagini/amadeuxcomm1.jpg "[AmadeuX BiblioForum]")
