QUESTI SITO USA I COOKIES E TECNOLOGIE SIMILARI (vedi dettagli)

Se non cambi la configurazione del browser, sei d'accordo. 

Thu26Feb200415:00
Un virus che non fa prigionieri
Fuoco! Nemici! Allarme! Internet è al collasso! Se avessi ricevuto un euro ogni volta che ho letto questa frase sui giornali, probabilmente sarei ormai ricco. La verità è che (come sempre) abbiamo visto un nuovo virus da record, e che (come sempre) non c'è nulla di terribilmente nuovo. Il fatto che più di due anni fa mi trovassi a scrivere più o meno le stesse riflessioni cupe di oggi non è un buon segno. Significa che il nostro modo di lavorare non è diventato più sicuro, e cioè, vista la crescita esponenziale del numero di utenti di Internet e del valore che vi associamo, significa che in senso globale siamo tutti molto meno sicuri di allora. Principalmente per colpa nostra.

Abbiamo messo scanner antivirus sui client, sui server, sul mailserver, li stiamo integrando anche nei firewall. E ancora i virus passano, filtrano, e devastano. Non solo, ma dopo aver devastato escono, rendendoci responsabili di ulteriori infezioni.

Certo che stavolta comunque la faccenda è stata grossa. Novarg, o MyDoom, o in qualunque altro modo qualcuno decida di chiamarlo (non possiamo cercare di unificare almeno i nomi? Sarebbe già un passo avanti...) ha fatto 500.000 vittime. Blaster ne fece 400.000. Stiamo pur sempre parlando di stime, quindi diciamo che capire quale dei due sia stato 'il peggiore' non è così semplice, e peraltro non è nemmeno tanto importante. Il punto è un altro. Code Red si propagava con gli exploit di IIS. E tutti gli esperti hanno predetto che quella era la nuova via dei worm. Nimda usava molteplici vettori di aggressione, e sono mesi che a ogni conferenza i produttori di antivirus ci annunciano che le minacce polivalenti sono il futuro dell'evoluzione dei virus. E via a parlare di patch, di management, di procedure, di prevention policies che consentano di bloccare il worm prima che arrivi...

Eppure, tutti questi ingegnosi sistemi di propagazione vengono battuti dal più vecchio e banale metodo del mondo. Una mail con il topic 'hi' oppure 'hello', e niente dentro salvo un allegato. Eseguibile. Quante volte glielo avremo ripetuto, agli utenti, che gli eseguibili 'NON' vanno aperti, mai, in nessun caso, da chiunque arrivino, anzi, specialmente se arrivano da persone fidate?

Capisco Nimda, e capisco BadTrans: entrambi, se aperti con il client sbagliato (Outlook) in una versione non patchata, si eseguivano da soli. Ma Novarg non lo fa: è l'utente che deve aprirlo. Certo, c'è qualche scusante, l'icona viene sostituita da quella di un file di testo, e l'estensione nascosta inserendo degli spazi nel nome del file (perché, perché, perché è possibile tutto ciò? Qualcuno, in casa Microsoft, ha una risposta?). Ma ci sono anche delle aggravanti: in alcuni casi il virus arriva in formato zip. Ed estrarlo per poi eseguirlo, volontariamente, non è più nemmeno disattenzione, rasenta la tendenza suicida.

Non parliamo poi di tutte le persone che dal lavoro leggono la posta non tramite il client aziendale (con antivirus) che la scarica tramite il firewall aziendale (con un altro antivirus, tanto per stare tranquilli), ma via Web mail. Magari in SSL, visto che il lucchettino sulla barra di Explorer significa che il sito è 'sicuro'. Così i virus possono passare dal gateway in tutta sicurezza e con rispetto della loro privacy. Resto dell'idea che le policy aziendali dovrebbero, finalmente, occuparsi di questo problema. Magari dando ai dipendenti una casella di posta non aziendale ma controllata ed esente da virus.

Tornando un attimo al discorso MyDoom, le due versioni del virus avevano un payload particolare, destinato a scattare il primo febbraio e a causare un denial of service, inondando di richieste due siti Web: nel worm originale il bersaglio era SCO (un tempo vendor di sistemi Unix, ma ormai nota al pubblico soltanto per la causa intentata contro IBM e contro il modello di sviluppo di Linux); una versione mutata invece ha come bersaglio Microsoft.

Chiaramente, qualcuno (il CEO di SCO Darl McBride) non ha perso tempo per insinuare che la comunità Linux sia il vero responsabile di questo flagello. E tutti i giornali del mondo non hanno perso tempo nel rimbalzare la notizia, nonostante il fatto che tutti i maggiori esperti di virus a livello mondiale si siano dichiarati concordi nel ritenerla ridicola. La struttura del worm infatti indica come il probabile obiettivo sia quello di compromettere quante più macchine possibile (esso infatti lascia una backdoor). Gli indiziati veri sono gli spammer professionisti. Altro che comunità Linux! Computerworld Italia - by Stefano Zanero