Olimpo Informatico

[Michele]

Come Associazione di Eurorisparmiatori stiamo ricevendo tantissime mail con allegati di vario genere denominati "Status, hi, hello, Mail delivery sistem, Server report" oppure messaggi tecnici del tipo " The message cannot be represented in 7-bit ASCII encoding and has been sent as a bynary attachement". Per verificare il messaggio basta cliccare col tasto destro del mouse su proprietà e abbiamo visto dei codici astrusi che non sono altro file errati "virus" tenendo presente che abbiamo il sempre verde ZONE ALLARM ed un aggiornato antivirus gratuito AVG scaricabile dalla rette. Grazie a Paolo ed a questo sito di un utilità estrema e semplicemente navigabile. Armenise presidente AER

[maurizio]

Almeno di Attivissimo ci si puo' fidare!
Ciao

[Mattia]

Null'altro da dichiarare, oltre l'oggetto del messaggio

[Giancarlo]

... perché fa di tutta l'erba un fascio generalizzando la sua situazione a tutti gli utenti.

Nella sua replica al mio "Non sono fasulle!" dice che lui non sa che farsene delle notifiche.

Innanzitutto NON sono fasulle, vanno solo interpretate. E soprattutto sono inutili per casi come il suo, tutt'altro che comuni.

Io so benissimo cosa fare con le repliche.
Scrivo a chi ha il PC infettato, magari fornendogli lo strumento per risolvere il problema. Certo, l'ho potuto fare perché conosco bene la controparte. Perché quella particolare casella è dedicata a poche persone. Mi pare decisamente arrogante dire che non si può far nulla per aiutare chi è tanto stupido da essersi infettato. A me gli avvisi SERVONO e soprattutto NON possono essere definiti FASULLI. Se a Paolo danno fastidio perché il suo indirizzo email è conosciuto da migliaia di persone beh, che filtri queste risposte invece di chiedere che vangano abolite.

Io, nel mio piccolo aiuto chi, "stupido" rimane vittima e le ricevute sono uno strumento.

E' più normale il caso in cui il proprio indirizzo sia in mano a milioni di sconosciuti o il caso in cui sia in mano di qualche decina di amici?

In base a cosa Paolo stabilisce che il SUO problema di casella intasata è comune a chi invece CONOSCE tutti quelli che hanno il suo indirizzo è un caso risibile?

Il paragone con l'assegno ha ovviamente i limiti di ogni paragone. Certo che è altra cosa. Ma l'analogia va colta nell'utilità dell'informazione NONOSTANTE venga data a persona che non è direttamente responsabile. L'analogia prosegue perché quella persona può aiutare a risalire a chi spaccia gli assegni a suo nome ovvero alla macchina che spedisce i virus a suo nome.

[Paolo Attivissimo]

>Innanzitutto NON sono fasulle, vanno solo interpretate.

>Scrivo a chi ha il PC infettato, magari fornendogli lo strumento per risolvere il problema.

Non sono sicuro di capire come fai a interpretare chi e' il *vero* mittente e ha quindi il PC davvero infetto. Negli header della notifica c'e' nascosto l'indirizzo del vero mittente? Io non l'ho visto. C'e' forse il suo indirizzo IP o il nome della sua macchina, ma se il vero mittente ha un IP dinamico, come fai a rintracciarlo?

Chiedo per capire, non per far polemica.

> Certo, l'ho potuto fare perché conosco bene la controparte. Perché quella particolare casella è dedicata a poche persone.

Tu parli da utente comune. Io penso ai gestori dei server di posta, che si trovano i server intasati di posta di migliaia di notifiche (un sysadmin con cui parlavo ieri ne ha ricevute VENTIDUEMILA in un giorno) oltre che dai worm. Come possono fare questi sysadmin? Mica possono risalire a ciascun vero mittente: no, loro devono solo subire l'ondata di notifiche mandate da altri sysadmin imprevidenti. E' a livello di server che le notifiche causano veri problemi.

> Mi pare decisamente arrogante dire che non si può far nulla per aiutare chi è tanto stupido da essersi infettato.

Non arrogante: rassegnato. Lo si diventa quando si comincia a fare assistenza tecnica a un po' di utenti. Quando dici a qualcuno "non aprire gli allegati, non aprire gli allegati, non importa se te li manda tuo nonno dall'oltretomba o zio Bill in persona, NON APRIRE GLI ALLEGATI" e quello te li apre lo stesso, capisci che e' fatica sprecata. Quando gli chiedi quando hanno aggiornato l'antivirus l'ultima volta e ti dicono "mah, da poco... sara' qualche mese...", vai a dedicarti alla spremitura dei sassi, che e' piu' produttiva.

> A me gli avvisi SERVONO e soprattutto NON possono essere definiti FASULLI. Se a Paolo danno fastidio perché il suo indirizzo email è conosciuto da migliaia di persone beh, che filtri queste risposte invece di chiedere che vangano abolite.

gia' fatto. Ma io non penso al mio caso, che e' certamente abbastanza particolare. Ripeto, io penso piu' a monte ai server di posta che scricchiolano sotto il peso di queste notifiche.

>Io, nel mio piccolo aiuto chi, "stupido" rimane vittima e le ricevute sono uno strumento.

Gesto lodevole. A me, purtroppo, e' passata la pazienza di farlo. Sono ben lieto di aiutare chi e' disposto ad ascoltare e seguire i consigli; non sono disposto a perdere tempo con i tanti che fingono di ascoltare e poi fanno tutt'altro o si credono superiori a certe cose perche' loro "usano il Windows, quello nuovo, mica novantacinque".

>Il paragone con l'assegno ha ovviamente i limiti di ogni paragone. Certo che è altra cosa. Ma l'analogia va colta nell'utilità dell'informazione NONOSTANTE venga data a persona che non è direttamente responsabile.

no no, viene data a persona che non c'entra assolutamente nulla. Io ricevo notifiche contenenti indirizzi di persone che assolutamente non conosco ne' sono iscritte alla mia newsletter ne' mi hanno mai scritto.

Spiega, comunque, come rintracci il vero untore. La cosa mi interessa molto. Se esiste il modo, la situazione cambia completamente.

Ciao da Paolo.

[Giancarlo]

Paolo mi risponde che sono paranoico a pensare che il mittente "Sistema antivirus" o "Norton chissà cosa" potrebbe essere falso perché utilizzato dal virus. Quale paranoia?

Innanzitutto il fingersi "Mail Administrator" è una delle tattiche più usate proprio da MyDoom.

Secondo, l'indirizzo dell'amministratore è uno dei più facilmente reperibili.

Terzo, non mi ricordo più.

Però non mi va di essere irriso perché "ho tempo da perdere" ad aiutare i poveri stupidi che si infettano mentre Paolo è l'eroe che sa come meglio spendere il tempo informando gli astuti che leggono ZeusNews e fregandosene degli utonti. ma di chi sarà il merito se qualche malato viene curato? Di chi ha tempo da perdere o di chi fa la sua battaglia contro gli avvisi automatici?

Terzo... (m'è venuto in mente) i messaggi di notifica sono così standard che imitarli è un giochetto...

[Giancarlo]

Si possono trovare siti che spiegano come comportarsi con i virus, ma visto che mi viene chiesto nientedimeno che da Paolo Attivissimo...

1) Uso parecchie caselle diverse (per esempio quella con cui firmo è la cosiddetta "pubblica") tipicamente una per ogni "categoria" di persone. Che so, "registrazioni prodotti SW", "amici veri", "conoscenti", "cliente importante"... Quindi quando una casella è colpita so chi conosce quell'indirizzo.

2) Il virus/verme in questione usa la rubrica del PC colpito, mi capita di riconoscere come "mittenti" i nomi delle persone che interagiscono con la ditta "Cliente A". Non ci vogliono poteri particolare per capire che è il PC del "Cliente A".

3) Invio una normalissima email al Cliente A con il link a qualche sito che descrive il virus, cosa fa e come rimuoverlo. Spesso mando il link dell'antidoto (per esempio Stinger).

In un caso particolare, non trovando indicazioni, ho deliberatamente lanciato l'eseguibile dopo aver "radiografato" il PC con tool apposito per poter capire cosa toccava nel Registry e nei file.

Ho poi scritto le istruzioni per toglierlo.
Ora, Paolo, puoi definirlo uno stupido modo di perdere del tempo, oppure una sfida estrema a trovare soluzioni. C'è chi fa il record di apnea nel lago ghiacciato e chi dice quanto è stupido buttarsi nel lago ghiacciato. Opinioni.

Entrambe rispettabili.

Tu hai segnalato che molti avvisi degli antivirus si dimostrano inutili. Su questo ti ho dato ragione sin dall'inizio. Ma la soluzione è casomai darli con intelligenza (che vuol dire scritti in italiano e inglese comprensibile alla gente semplice) e limitati in quantità (come l'avviso "fuori sede" per capirci. Quindi la tua osservazione è rispettabile e mi farebbe piacere che rispettassi anche la mia di quelli che hanno già espresso perplessità sulla tua azione. Ciao

[Paolo Attivissimo]

>Paolo mi risponde che sono paranoico a pensare che il mittente "Sistema antivirus" o "Norton chissà cosa" potrebbe essere falso perché utilizzato dal virus. Quale paranoia?
Innanzitutto il fingersi "Mail Administrator" è una delle tattiche più usate proprio da MyDoom.

Un conto e' firmarsi "mail admin" come mittente, un conto e' spoofare un intero testo di notifica. Comunque intendevo "paranoia" nel senso che se non ci si fida delle notifiche i cui header sono verificabili come autentici, si scivola appunto nella paranoia. Non e' difficile distinguere un messaggio con mittente falsificato da uno autentico.

>Però non mi va di essere irriso perché "ho tempo da perdere" ad aiutare i poveri stupidi che si infettano mentre Paolo è l'eroe che sa come meglio spendere il tempo informando gli astuti che leggono ZeusNews e fregandosene degli utonti.

non intendevo dare del povero stupido a chi aiuta chi s'infetta. Aiutare chi inciampa e' sempre lodevole. Io mi riferisco a coloro che _non_vogliono_ essere aiutati: quelli ai quali si e' detto infinite volte di usare l'antivirus e non aprire gli allegati inattesi, ma lo fanno lo stesso. Quello e' l'utonto: non chi e' non e' informato, ma chi viene informato correttamente e poi fa tutto il contrario di quel che gli e' stato detto.

>Terzo... (m'è venuto in mente) i messaggi di notifica sono così standard che imitarli è un giochetto...

infatti penso sara' questo l'espediente psicologico usato dai prossimi virus.

Ciao da Paolo.

[franco]

Bravo grazie della esaustiva e completa spiegazione.

[Paolo Attivissimo]

>1) Uso parecchie caselle diverse (per esempio quella con cui firmo è la cosiddetta "pubblica") tipicamente una per ogni "categoria" di persone. Che so, "registrazioni prodotti SW", "amici veri", "conoscenti", "cliente importante"... Quindi quando una casella è colpita so chi conosce quell'indirizzo.

anche la tua mi sembra una situazione atipica

2) Il virus/verme in questione usa la rubrica del PC colpito, mi capita di riconoscere come "mittenti" i nomi delle persone che interagiscono con la ditta "Cliente A". Non ci vogliono poteri particolare per capire che è il PC del "Cliente A".

no, ma deve trattarsi di persone che conosci bene. In pratica, quella che fai e' una triangolazione. praticabile se il tuo giro di conoscenze e' ristretto e ricevi poche notifiche, impossibile per chi ha tanti conoscenti (senza essere "famosi", basta usare l'e-mail per lavoro per avere centinaia di contatti). E inapplicabile per chi ne ha piu' bisogno, ossia i sysadmin.

>Ora, Paolo, puoi definirlo uno stupido modo di perdere del tempo, oppure una sfida estrema a trovare soluzioni.

nessuna delle due: e' una forma di indagine dignitosissima. Pero' e' fattibile per un numero modesto di notifiche, non per le ondate.

> Quindi la tua osservazione è rispettabile e mi farebbe piacere che rispettassi anche la mia di quelli che hanno già espresso perplessità sulla tua azione. Ciao

Certo che la rispetto, come tutte le opinioni ragionevoli. Pero' non la condivido.

Ciao da Paolo.

[giacomo]

cosa è un firewall? come si procura? grazie per le risposte

[Paolo Attivissimo]

Vai a questo indirizzo:

http://www.attivissimo.net/security/dodecalogo/dodecalogo.htm

e leggi la regola 2, descrive il tutto.

Ciao da Paolo.

[Davide]

Ragazzi complimenti vedo che stae analizzando per benino il funzionamento di numerosi programmi e antivirus e state dando una delucidazione molto dettagliata di come i virus si evolvano. Direi che per uno sviluppatore di questi programmi la cosa potrebbe essere interessante. Vorrei poi far notare che la ditta di cui leggevo che già ad inizio Gennaioi aveva segnalato la possibilità di un attacco virale... beh gallina che canta ha fatto l'uovo? penzo che qualcuno lo abbia pensato, ma dubito che una azienda competente che ha ricevuto il treath del virus non lo abbia analizzato e previsto. Mi viene invece da pensare che la sua diffusione così alta sia dovuto al fatto che molto probabilmente su un nodo centrale della rete (un server di una ditta di telecom_unicazioni un pò grossa... a voi la scelta...) si sia infilato il virus, sia stato eseguito e per una settimana gli operatori non si siano accorti di nulla. Non vi sembra strano che i mass media abbiano taciuto invece di riportare la notizia come avevano fatto con Sober in prima serata?

[tiziano]

Nell'articolo manca solo dire cosa fare a chi è stato deficente, come me, ad aprire quell'allegato. Ora il mio computer di casa non ne vuole più sapere di collegarsi. Dopo l'inizio del 1° tentativo compare sullo schermo un fondo uniforme blu con scritte incomprensibili e dopo circa 5 secondi torna alla finestra di collegamento senza essersi collegato.
Grazie per le ulteriori informazioni che ci darete.

[Paolo Attivissimo]

>Nell'articolo manca solo dire cosa fare a chi è stato deficente, come me, ad aprire quell'allegato.

a) installare un antivirus e ripulire il computer
b) visitare un sito di produttore antivirus e scaricare l'apposito programmino di disinfezione

Se non puoi farlo dal computer infetto, usane un altro per scaricare il programmino o l'antivirus e poi installalo.

E la prossima volta stai piu' attento, per l'amor del cielo... ;-)

Ciao da Paolo.

[Ospite]

io ho dovuto redigere una forma molto più GENTILE di questa lettera. E la farò tradurre anche in inglese; è necessario ...

[x]

le notifiche antivirus sono una piaga terribile! io ho 25 utenti, ognuno che segue la sua serie di contatti. Ognuno di questi SINGOLI contatti, ha dei contatti. Fai girare mydoom per un po' e vedi da te l'impasto che si può creare. Dovrebbero essere GLI ALTRI, coloro che notificano, a sincerarsi (dato che abbiamo un pool FISSO di IP, in ditta) che l'e-mail con virus giunga effettivamente dal range di IP assegnato a noi ... e poi EVENTUALMENTE invii una notifica. Come postmaster ricevo anche le mail di chi invia ad un indirizzo sbagliato e non hai idea delle decine (sono fortunato) di mail di notifica degli antivirus al giorno che arrivano con utenti-inesistenti@miodominio.com ... ovvero il virus genera anche una serie di indirizzi inventati , seguiti dal nostro dominio. Alcuni con nomi propri di persone in inglese ad esempio, altri con funzioni aziendali o sistemistiche tipiche.
Un inferno!