Descritto il funzionamento teorico di un nuovo tipo di virus, contro il quale gli antivirus odierni non potrebbero fare nulla, nemmeno se aggiornati!!!

http://sicurezza.html.it/articoli/leggi/2450/il-virus-perfetto/

Descritto il funzionamento teorico di un nuovo tipo di virus, contro il quale gli antivirus odierni non potrebbero fare nulla, nemmeno se aggiornati!!!

http://sicurezza.html.it/articoli/leggi/2450/il-virus-perfetto/

Confesso che non ci ho capito nulla !! (L'ho letto 2 volte) :rolleyes:

è una cazzata.

Basta farsi una nuova casella email e cancellare quella vecchia e il problema magicamente sparisce.
Basta che la gente usi webmail che i virus non possono leggere la rubrica.
Mi sorprendo che html scriva queste cose, lo reputavo un sito serio.

Per chi non ha capito,in un pc infetto da questo "virus",il malware recupera tutti gli indirizzi email nella rubrica e inizia a mandarvi un numero infinito di e-mail, rendendo inutilizzabile la casella e offrendo la cessazione dell'attacco se l'utente colpito acconsente ad infettarsi.
e questa secondo html sarebbe lafine del mondo informatico...

è una cazzata.

Basta farsi una nuova casella email e cancellare quella vecchia e il problema magicamente sparisce.
Basta che la gente usi webmail che i virus non possono leggere la rubrica.
Mi sorprendo che html scriva queste cose, lo reputavo un sito serio.

Per chi non ha capito,in un pc infetto da questo "virus",il malware recupera tutti gli indirizzi email nella rubrica e inizia a mandarvi un numero infinito di e-mail, rendendo inutilizzabile la casella e offrendo la cessazione dell'attacco se l'utente colpito acconsente ad infettarsi.
e questa secondo html sarebbe lafine del mondo informatico...

Ciao.

Mi permetto di difendere l'articolo e la testata:

Primo: cambiare il proprio indirizzo email non è proprio una bella cosa... è chiaramente un fastidio, sia per te che per chi deve aggiornare la propria rubrica (e a molti non piace indispettire amici/amiche/clienti/fornitori...) e non sempre è possibile (per esempio se è una mail di lavoro, l'affare si complica, anche se è certamente possibile continuare a cambiare indirizzo...)

...ma poi fino a quando saresti al sicuro? basta una mail forwardata che contenga il tuo nuovo indirizzo e che finisce nelle grinfie di un sistema infetto, e sei da capo a dodici...

Secondo: a parte il fatto che un virus è in grado di prendere gli indirizzi email anche dalle email stesse e non solo dalla rubrica, è vero che il virus non riuscirebbe a carpire nuovi indirizzi da chi usa una webmail... tuttavia questo non ha alcun legame col fatto che il tuo indirizzo sarà certamente presente nella rubrica di qualcun altro che usa un client standard e che (se si infetta) sarà perfettamente in grado di inondare la tua casella webamail con centinaia di messaggi casuali. Il fatto che il virus con te non possa funzionare, in pratica non ti salva, ed è questa la distruttiva novità di un virus del genere.

In sostanza, se TUTTI usassero una webmail immune da virus, avresti ragione, mentre noi viviamo in un mondo dove milioni di persone usano un client di posta...

E dato che a "salvarsi" dal mailbombing saranno proprio coloro che usano un client (in quanto infettabili) il discorso webmail=salvezza si inverte completamente, perchè la salvezza dal virus significa automaticamente la "morte" per mailbombing.

Per cui dubito che la gente decida di migrare su una webmail quando sa che con quella è condannato a subire il mailbombing, no? non è nella natura umana sacrificarsi per un beneficio lontano nel tempo ("Io passo alla webmail e quando tutto il mondo sarà passato alla webmail i virus non esisteranno, nel frattempo, rinuncio a leggere e scrivere email, in fiduciosa attesa che il mondo capisca...")

A logica, avverrà l'esatto contrario: chi usa una webmail, se non sarà salvato (in un modo ancora non chiaro) dal proprio gestore, sarà costretto a passare su un client infettabile (o a cambiare continuamente indirizzo, ovviamente...)

Terzo: "la fine del mondo informatico" non viene affatto prospettata, viene solo ipotizzato un incremento esponenziale del traffico email (molti PC infetti che generano un traffico centinaia e forse migliaia di volte superiore alla norma) che potrebbe sovraccaricare sia i server di posta, ovviamente, ma anche i server DNS, dai quali tutta internet e non solo la posta, praticamente, dipende.

A tua disposizione per qualsiasi chiarimento.

Ciao,

Diego

.

Il peggior virus della storia esiste da tempo: si chiamano Utonti

e te ne puoi rendere conto leggendo la sezione aiuto sono infetto, c'è da mettersi le mani nei capelli!

Gente che usa XP senza nemmeno il primo Service Pack :muro:

altro che webmail...

Qualche volta, in preda a delirio, mi avvicino alla sezione che dici tu.....come oggi !!
Poi leggo che "uno" usa il pc sempre connesso ad internet con un soft P2P senza firewall e pensa di avere un virus,visto che Avast..........

Ma come è possibile non fuggire subito a gambe elevate....:doh:
Se fossi nell'ambiente della chiesa proporrei la beatificazione per i gruppi d'aiuto.....;)

a parte il fatto che comunque sia se nei messaggi viene messo un contenuto casuale, perchè appunto dice questo, allora è possibilissimo stopparne la propagandazione...
non mi sembra difficile farne un filtro :D

poi in ogni casosi tratta di una casella email e basta salvarsi le cose importanti (dopo 2 giorni di bombardamento lo farai) e poi ogni giorno fai un "delete all".. semplice efficace e non vedo il bisogno di questo allarmismo.

altra cosa fondamentale è che il virus si replica proprio con questi messaggi quindi basta controllare la dimensione degli allegati e zacchete.. addio vermicello :D

poi dipende che webmail si usa, certo è che fino a che si usa libero.it come webmail anche la semplice pubblicitàè un grosso problema da affrontare quotidianamente..

Di questo fantomatica scoperta fantasmagorica ipersegreta che nessuno sa che nessuno tira fuori?

bhè... siamo stati obbligati anche noi a non parlarne :fagiano:

:rotfl:

bhè... siamo stati obbligati anche noi a non parlarne :fagiano:

:rotfl:




Obbligati al silenzio, come qualsiasi spia del KGB... :mc:

Aridatece franco e ciccio, almeno quelli facevan ridere...

:rotfl: :rotfl: :rotfl: :rotfl: :rotfl:

A me sembra una cosa realizzabile solamente "ad hoc", cioè un semplice attacco di reverse mail bombing, diretta cioè verso il mail server di determinate aziende col fine di bloccargli i servizi di posta elettronica. Niente di nuovo quindi....
E comunque secondo me il peggior virus della storia è stato Windows Millennium.... gli antivirus non riuscivi nemmeno ad installarceli.... :D :D :D

Ragazzi, vi sta sfuggendo la chiave dell'articolo: il ricatto e il bersaglio.
Questa tecnica è considerata nuova proprio perché sposta l'obiettivo del maleware dai bersagli infetti a quelli sani.

Il mailbombing è solo un esempio, di fatto la tecnica è applicabile a qualsiasi attacco dos. Il concetto è che un maleware simile punta a rendere inutilizzabile un servizio agli utenti sani, spingendoli così all'auto infezione volontaria.
Da tenere presente anche che se io sono l'utente di una macchina infetta, posso intervenire direttamente. Se non ho accesso alla macchina infetta e l'infezione mi crea dei disagi, la situazione è più complicata da risolvere.

Ma infatti una tecnica simile è stata già implementata dai virus-writer (si presume originaria della russia), ed è stata classificata come Ransomware, ovvero riscatto.
Viene applicata al contenuto di hard disk, cartelle o qualsiasi altra cosa, e consta di un semplice files (il virus in pratica) il quale crittografa i dati target chiedendo poi un vero e prorpio riscatto all'utente per riottenere i suoi dati.

Al di là di come possano fare per ottenere il pagamento (che sinceramente non mi spiego) mi sembra un tantino migliore di una cosa come quella oggetto di questo 3d, perchè quantomeno potrebbe essere redditizia, e ai soldi si sa, non ci sputa sopra nessuno. ;)

Si, ma in quella tecnica il bersaglio è l'utente infetto, in questa quello sano.

A me sembra una cosa realizzabile solamente "ad hoc", cioè un semplice attacco di reverse mail bombing, diretta cioè verso il mail server di determinate aziende col fine di bloccargli i servizi di posta elettronica. Niente di nuovo quindi....
E comunque secondo me il peggior virus della storia è stato Windows Millennium.... gli antivirus non riuscivi nemmeno ad installarceli.... :D :D :D

allora non hai mai conosciuto il norton!!! :asd:

ecco, ad esempio, l'ultima sua mostruosità: http://www.hwupgrade.it/forum/showthread.php?t=1608745 :D

allora non hai mai conosciuto il norton!!! :asd:

ecco, ad esempio, l'ultima sua mostruosità: http://www.hwupgrade.it/forum/showthread.php?t=1608745 :D

Sigh.... :( ed ora chi ci proteggerà da chi ci deve difendere? :D :D :D

a parte il fatto che comunque sia se nei messaggi viene messo un contenuto casuale, perchè appunto dice questo, allora è possibilissimo stopparne la propagandazione...
non mi sembra difficile farne un filtro :D

Nell'articolo forse non è chiaro, ma i messaggi casuali viaggiano SEPARATAMENTE dal virus...

Quindi...

Fare un filtro è semplice se escludi, ad esempio, i messaggi contenenti "viagra".

Prova a scrivere un filtro senza sapere cosa ti invierò... tieni conto che posso anche inviarti parole che usi tutti i giorni, tipo "ciao", tanto per fare un esempio... per portarti un esempio estremo, il virus potrebbe anche prendere come "spunto" dei messaggi reali e mandarteli anche se a te non te ne può fregà de meno... :-)

In sostanza non puoi filtrare qualcosa di casuale... non potrebbe farlo neanche un essere umano, senza prima leggere il messaggio e capire che è un falso, figurati un software...


poi in ogni casosi tratta di una casella email e basta salvarsi le cose importanti (dopo 2 giorni di bombardamento lo farai) e poi ogni giorno fai un "delete all".. semplice efficace e non vedo il bisogno di questo allarmismo.


Cancellare tutti i propri messaggi ti pare una soluzione??? mah!

E poi non è che dopo due giorni il bombardamento finisca... dato che gli utenti infetti rimarranno infetti e continueranno a bombardarti... anzi continueranno a farlo in modo sempre crescente...


altra cosa fondamentale è che il virus si replica proprio con questi messaggi quindi basta controllare la dimensione degli allegati e zacchete.. addio vermicello :D


Spero che ora sia più chiaro: i virus viaggiano in messaggi a sè stanti, i messaggi casuali non contengono il virus, altrimenti sarebbe proprio facile bloccarli!!!


poi dipende che webmail si usa, certo è che fino a che si usa libero.it come webmail anche la semplice pubblicitàè un grosso problema da affrontare quotidianamente..

...bravo... e non solo quella di libero... moltiplica quello spam per cento... randomizzalo e poi immagina come gestire la situazione...

Ciao,

Diego

Di questo fantomatica scoperta fantasmagorica ipersegreta che nessuno sa che nessuno tira fuori?

Le fonti rischiano il posto di lavoro, sorry...

Obbligati al silenzio, come qualsiasi spia del KGB... :mc:

Aridatece franco e ciccio, almeno quelli facevan ridere...

:rotfl: :rotfl: :rotfl: :rotfl: :rotfl:

Girano veramente tanti tanti soldi dietro le soluzioni antivirus e antispam (brevettate o brevettabili...)

Per cui le fonti rischiano veramente di far perdere tanti e tanti soldi a chi avrebbe potuto, lavorandoci su in segreto, sviluppare anche una soluzione e brevettarla.

Tuttavia l'articolo è molto dettagliato e quindi pubblicamente confutabile nei sui assunti, che sono completamente slegati da chi può averci pensato per primo, concordi?

Ciao,

Diego

Ma infatti una tecnica simile è stata già implementata dai virus-writer (si presume originaria della russia), ed è stata classificata come Ransomware, ovvero riscatto.
Viene applicata al contenuto di hard disk, cartelle o qualsiasi altra cosa, e consta di un semplice files (il virus in pratica) il quale crittografa i dati target chiedendo poi un vero e prorpio riscatto all'utente per riottenere i suoi dati.

Al di là di come possano fare per ottenere il pagamento (che sinceramente non mi spiego) mi sembra un tantino migliore di una cosa come quella oggetto di questo 3d, perchè quantomeno potrebbe essere redditizia, e ai soldi si sa, non ci sputa sopra nessuno. ;)

Allore le differenze con il riscatto che descrivi sono:
- il ricatto viene operato verso TUTTI GLI UTENTI e non verso un singolo sito-vittima alla volta
- l'arma non è flusso di dati identificabile (le fonti sono molte di più e i pacchetti sono indistinguibili da quelli "normali" in quanto costituiti da mail casuali)
- lo scopo non è abbattere un servizio ma dare fastidio a un utente umano
- la richiesta è quella di divenire complice e non quella di pagare un riscatto

Inoltre, quando un sito viene ricattato da qualcuno che lo sta attaccando con un qualche tipo di DOS, è sempre possibile far configurare di conseguenza i propri router... ma un conto è un sito web che può pagare un sistemista (come può pagare un ricatto, infatti...) un altro conto è il singolo utente che viene sommerso da messaggi casuali e che si lamenta col proprio ISP chiedendo che facciano qualcosa...

E l'ISP che potrà fare? non potendo distinguere, automaticamente, i messaggi "cattivi" da quelli "buoni", sarebbe costretto a bloccare tutti i messaggi provenienti da un determinato provider all'interno del quale esistono utenti infetti... la qual cosa è di per sè inaccettabile (oltre che formalmente illegale, in molti paesi, Italia compresa).

Per quanto riguarda i soldi, è chiaro che fare il ricattatore russo è molto rischioso (non è alla portata di tutti riuscire a farsi pagare senza essere rintracciabile) mentre le motivazioni che potrebbero spingere i virus-writers a produrre questo virus sono le stesse identiche che li spingono a sviluppare i virus che già conosciamo, no??? :-)

Ciao,

Diego

Sigh.... :( ed ora chi ci proteggerà da chi ci deve difendere? :D :D :D

Linux:O associato sempre al CERVELLO;)

mentre le motivazioni che potrebbero spingere i virus-writers a produrre questo virus sono le stesse identiche che li spingono a sviluppare i virus che già conosciamo, no??? :-)
Il brutto è che gli effetti potrebbero essere molto più pesanti di quanto non siamo abituati.

Però rimane ancora qualcosa di teorico, nella realtà potrebbe non essere così facile creare una situazione tanto insostenibile. Bisognerebbe infettare parecchie macchine... anche se in effetti partendo da una botnet già esistente potrebbe creare un bel grattacapo.

@Ferdy78: a livello teorico non cambia nulla il sistema operativo. A livello pratico, di certo aiuta a non diventare degli untori. Anche se purtroppo potremmo comunque subire le conseguenze dell'infezione. Il cervello sicuramente torna utile, bisogna capire come, teniamo presente che non è un problema risolvibile sulla nostra macchina.

Domanda, se sono attaccato ed ho la casella di posta intasata come fanno a contattarmi ? :D

Domanda, se sono attaccato ed ho la casella di posta intasata come fanno a contattarmi ? :D
con piccione viaggiatore.....:O
:D :D
scherzavo...

praticamente...come dice w.s....con una botnet potrebbero fare ciò...ma...teoricamente no:confused: ;perchè?

praticamente...come dice w.s....con una botnet potrebbero fare ciò...ma...teoricamente no:confused: ;perchè?

Per come la vedo io, teoricamente è più facile. Ragionando in pratica escono tutti quei problemi (tra cui quello sollevato da GmG) che rendono la cosa un tantino complessa.
Giustissimo studiarla comunque, non va assolutamente sottovalutata. Non dico di alzare subito gli scudi e professare la fine della rete, penso solo che è un attacco da approfondire. Se poi si rilevarà catastrofico o irrealizzabile (o qualsiasi via di mezzo) solo il tempo e una maggiore comprensione potranno dircelo.

Per come la vedo io, teoricamente è più facile. Ragionando in pratica escono tutti quei problemi (tra cui quello sollevato da GmG) che rendono la cosa un tantino complessa.

beh dai...il problema sollevato da gmg non si pone:se accetti l'infezione..accetterai pure i malware che ti apriranno tanti back-doors tanto da renderti il sistema una forma di gruviera...per farti pervenire messaggi e ricatti non avrebbero che la scelta....
al limite la difficoltà(per il virus stesso) è lo scremare,fra tutti i possibili contatti in rubrica,quelli che sono già infetti o meno...e se la lista è "vergine"...il bomb mailing partirebbe indiscriminatamente a tutti i contatti della lista stessa...
di teorico c'è(imho)che l'utente preso di mira cambi accuont fanculizzando le loro mire...;)

beh dai...il problema sollevato da gmg non si pone:se accetti l'infezione..accetterai pure i malware che ti apriranno tanti back-doors........

mi correggo:
ho scritto 'na cazzata:
il problema si pone eccome....nel come fare ad accettare l'infezione...:doh:

Nell'articolo forse non è chiaro, ma i messaggi casuali viaggiano SEPARATAMENTE dal virus...

Quindi...

Fare un filtro è semplice se escludi, ad esempio, i messaggi contenenti "viagra".

Prova a scrivere un filtro senza sapere cosa ti invierò... tieni conto che posso anche inviarti parole che usi tutti i giorni, tipo "ciao", tanto per fare un esempio... per portarti un esempio estremo, il virus potrebbe anche prendere come "spunto" dei messaggi reali e mandarteli anche se a te non te ne può fregà de meno... :-)

In sostanza non puoi filtrare qualcosa di casuale... non potrebbe farlo neanche un essere umano, senza prima leggere il messaggio e capire che è un falso, figurati un software...
in realtà puoi e ti spiego anche come:
attivi il risponditore automatico per tutti i messaggi che non hanno in oggetto e in posizione iniziale [non leggere]. (possibilmente scritto in un immagine)
con il risponditore comunichi come deve essere formulato l'oggetto per essere ritenuta valida l'email.
per evitare di fare noi stessi mailbombing basta mettere la regola che il risponditore ignorerà gli uteriori messaggi non conformi inviati dall'indirizzo [email protected] per tot ore

seè una persona fisica ad aver inviato il messaggio si adeguirà alle regole.
per le maillist invece basta fare un filto che le spsota dal cestino alla "cartella news".


Cancellare tutti i propri messaggi ti pare una soluzione??? mah!

E poi non è che dopo due giorni il bombardamento finisca... dato che gli utenti infetti rimarranno infetti e continueranno a bombardarti... anzi continueranno a farlo in modo sempre crescente...
quello che dicevo io è che dopo due giorni hai assoluta certezza che sei sotto mailbombing quindi tieni quello che devi tenere (lo spedisci su altra casella o lo salvi in locale) e il resto lo elimini essendo spam o mail non importanti.
facendo così non hai in 4 giorni la casella con 1Gb di spazio occupato ed è sicuramente più snella da consultare giornalmente per poter salvare quello che si vuole salvare (altrimenti impossibile).



Spero che ora sia più chiaro: i virus viaggiano in messaggi a sè stanti, i messaggi casuali non contengono il virus, altrimenti sarebbe proprio facile bloccarli!!!
sì infatti, per il contenuto casuale lo ho spiegato sopra mentre per il virus si fa il controllo sulla dimensione dell'allegato.



...bravo... e non solo quella di libero... moltiplica quello spam per cento... randomizzalo e poi immagina come gestire la situazione...

Ciao,

Diego
già immaginato :D

in realtà puoi e ti spiego anche come:
attivi il risponditore automatico per tutti i messaggi che non hanno in oggetto e in posizione iniziale [non leggere]. (possibilmente scritto in un immagine)
con il risponditore comunichi come deve essere formulato l'oggetto per essere ritenuta valida l'email.

Si, tecnicamente funziona, ma voglio vedere la percentuale di persone disposta ad applicare una cosa del genere... Se un cliente mi manda una mail e gli arriva una risposta del tipo "rimandamela con questa cifra nell'oggetto altrimenti non l'accetto" ... secondo me perdo almeno metà della clientela.

La dimostrazione è che lo spam è ancora diffuso. La soluzione che proponi funzionerebbe benissimo, solo che la maggior parte degli utenti non ne vuole sapere di utilizzarla.

parlavo per il singolo utente sotto attacco...
che arà inapplicabile per aziende e liberi professionisti :(

un professionista sarà spinto ad accettare solo mail con certificazione elettronica ed ecco che finalmente questo mercato incomincia a produrre utili :D

un professionista sarà spinto ad accettare solo mail con certificazione elettronica ed ecco che finalmente questo mercato incomincia a produrre utili :D

:D

Confesso che non ci ho capito nulla !! (L'ho letto 2 volte) :rolleyes:

...mea culpa... cercherò di essere più brutale: se io e te siamo conoscenti, e il mio sistema è infetto e trova il tuo indirizzo email sul mio sistema, io senza saperlo inizierò a inviarti decine di messaggi uno diverso dall'altro, con mittenti veri, fasulli, con messaggi veri e fasulli, insomma tutta roba senza senso il cui unico scopo è darti fastidio... questo dicasi mailbombing... nel contempo il virus ti "dice", sempre via mail, qualcosa tipo: "installa questo allegato e il bombardamento cesserà, altrimenti sarà sempre peggio". Ora immagina che i tuoi conoscenti infetti siano due o tre, ognuno dei quali può inviarti senza problemi, decine e decine di messaggi insensati... alla fine cederai al ricatto e ti installerai il virus, che "comunicherà" con le altre macchine infette dicendo loro qualcosa tipo "ok sono infetto, non mi bombardate". Per cui tu tornerai a usare la tua mail, però sarai infetto e starai anche tu mandando messaggi insensati a chi ancora non si era infettato...

Ora è più chiaro? Spero di sì... :-)

Ciao,

Diego

Cioè ci stiamo preoccupando per un virus che ancora manco esiste?

Più che una notizia mi sembra un'idea da dare a qualcuno cos' magari lo programma...

Se è tanto pericoloso si potrebbe evitare di sbandierare cose tipo: "siamo rovinati, c'è un modo per fare un virus che non potremo fermare mai!!!"

Domanda, se sono attaccato ed ho la casella di posta intasata come fanno a contattarmi ? :D

Resterebbe un problema tuo purtroppo... :-)

Nel senso...

Svuoteresti la casella, probabilmente a manella... sempre se ti interessa ancora usarla...

Se poi non ci trovassi il virus (la soluzione), andresti sui forum a cercare aiuto...

Troveresti che l'unica soluzione è infettarsi, per cui cercheresti il virus tra la tua posta, e se non ci riesci perchè troppo intasata, cercheresti nei circuiti P2P, dato che è molto probabile che il virus si sia pure copiato nelle cartelle classicamente condivise... o forse lo scaricheresti da qualche sito che si sarà persino spinto a metterlo a disposizione per "salvare" quelli come te... oppure, molto probabilmente, te lo faresti passare da un amico che ha "risolto" prima di te...

Insomma, resta un problema tuo e non del virus, nè dei sistemi infetti, ovviamente, per i quali continuare a bombardarti non è certo fonte di problemi di coscienza... :-)

Ciao,

Diego

praticamente...come dice w.s....con una botnet potrebbero fare ciò...ma...teoricamente no:confused: ;perchè?

Anche solo un PC infetto è in grado di inviare centinaia di messaggi all'ora... per capirci, per fare spam basta un PC, e se quello stesso PC se la prende con pochi malcapitati anzichè con una lista di milioni di vittime... in teoria ne basta anche solo uno di sistema infetto per cominciare a dare veramente fastidio a pochi... dopodichè basta che uno di quei pochi faccia altrettanto, e la crescita diventa esponenziale.

Ad ogni modo, per ogni worm basato sul social engineering si pone lo stesso problema (come distribuirlo inizialmente), e purtroppo fino ad ora questo non è stato assolutamente uno scoglio insormontabile, quindi... secondo me non sono necessarie grandi botnet per farlo circolare...

Ciao,

Diego

al limite la difficoltà(per il virus stesso) è lo scremare,fra tutti i possibili contatti in rubrica,quelli che sono già infetti o meno...e se la lista è "vergine"...il bomb mailing partirebbe indiscriminatamente a tutti i contatti della lista stessa...


E' un piccolo problema, per il virus, perché:

-se ti sei infettato, è probabilissimo che la mail dalla quale hai preso l'allegato per infettarti sia ancora nella tua inbox, per cui il virus appena installatosi lo riconoscerà, lo eliminerà e si sarà "segnato" chi è che te l'ha gentilmente inviato, per cui eviterà di bombardare lui e tutti i tuoi contatti dai quali vede che il virus è arrivato (il mittente vero quello infetto, ricordo che sarà probabilmente criptato e quindi leggibile solo da parte del virus e non da parte degli utenti)

- inoltre il mailbombing probabilmente partirà molto lentamente... proprio per evitare di intasare una casella prima di averle dato la possibilità di cedere al ricatto... quindi il problema per il virus è decisamente trascurabile


di teorico c'è(imho)che l'utente preso di mira cambi accuont fanculizzando le loro mire...;)

Soluzione valida finchè anche il tuo nuovo indirizzo non finirà in qualche mail forwardata da amici degli amici su un sistema infetto... per cui dovrai di nuovo comunicare a tutti (amiche incluse...) il tuo ulteriore nuovo indirizzo... loro dovranno aggiornare la loro rubrica un'altra volta... tu ti dovrai reiscrivere alle tue newsletter.... insomma non è proprio una bella cosa cambiare indirizzo ogni due settimane... per non parlare del fatto che la tua mail potrebbe essere una mail di lavoro... immagina il lavoraccio per gli amministratori... ristamparti i biglietti da visita distribuiti inutilmente due settimane fa... e immagina il fastidio che arrecheresti ai tuoi clienti e fornitori... insomma come soluzione non è proprio esente da "costi", non trovi?

Comunque complimenti perchè stanno venendo fuori dettagli interessanti che non avevo potuto includere nell'articolo per ovvie questioni di spazio e leggibilità.

Ciao,

Diego

installerai il virus, che "comunicherà" con le altre macchine infette dicendo loro qualcosa tipo "ok sono infetto, non mi bombardate". Per cui tu tornerai a usare la tua mail, però sarai infetto e starai anche tu mandando messaggi insensati a chi ancora non si era infettato...

Riflessioni che mi vengono in merito.

1 Mi sembra una cosa molto complicata che un virus dica ai PC di smettere il bombardamento
2 Supponendo che il virus sia in grado di farlo, allora uno che ci capisce un po' analizzando il virus potrebbe tranquillamente trovare il modo di dire agli altri PC di non bombardarlo senza infettarsi a suo volta
3 Il virus si autodistrugge, più PC sono infettati più il virus è inutile

Soluzione valida finchè anche il tuo nuovo indirizzo non finirà in qualche mail forwardata da amici degli amici su un sistema infetto... per cui dovrai di nuovo comunicare a tutti (amiche incluse...) il tuo ulteriore nuovo indirizzo... loro dovranno aggiornare la loro rubrica un'altra volta... tu ti dovrai reiscrivere alle tue newsletter.... insomma non è proprio una bella cosa cambiare indirizzo ogni due settimane... per non parlare del fatto che la tua mail potrebbe essere una mail di lavoro... immagina il lavoraccio per gli amministratori... ristamparti i biglietti da visita distribuiti inutilmente due settimane fa... e immagina il fastidio che arrecheresti ai tuoi clienti e fornitori... insomma come soluzione non è proprio esente da "costi", non trovi?


Diego
:( :( :cry:

in realtà puoi e ti spiego anche come:
attivi il risponditore automatico per tutti i messaggi che non hanno in oggetto e in posizione iniziale [non leggere]. (possibilmente scritto in un immagine)
con il risponditore comunichi come deve essere formulato l'oggetto per essere ritenuta valida l'email.
per evitare di fare noi stessi mailbombing basta mettere la regola che il risponditore ignorerà gli uteriori messaggi non conformi inviati dall'indirizzo [email protected] per tot ore

seè una persona fisica ad aver inviato il messaggio si adeguirà alle regole.
per le maillist invece basta fare un filto che le spsota dal cestino alla "cartella news".


Bene, è una soluzione, ma "informarli (automaticamente) in qualche modo del sistema per contattarti" significa inviare un messaggio automatico a tutti gli indirizzi sconosciuti che ti scrivono... vale a dire che per ogni messaggio casuale generato dagli infetti, tu ne generi un altro per tentare di spiegargli come contattarti, e probabilmente un mailserver da qualche parte ne genererà un altro ancora per segnalarti che il tuo messaggio che spiega come contattarti non è stato recapitato perchè il messaggio casuale era generato da un mittente sconosciuto... oppure il virus avrà impersonato qualcuno di realmente esistente che non ti voleva contattare, ma che comunque riceverà il tuo messaggio automatico... praticamente il traffico, già aumentato dai virus, sarebbe moltiplicato per due o per tre... per non parlare del fatto che se una persona vera ti scrive e tu la avvisi che per contattarti deve scrivere qualcosa nell'oggetto... se anche quella persona usa un sistema come il tuo, risponderà al tuo messaggio chiedendoti di fare qualcosa per dimostrare che non sei un utente infetto che lo sta bombardando...

Fosse stato così semplice risolvere il problema spam, saremmo già tutti felici e contenti. ;-)



quello che dicevo io è che dopo due giorni hai assoluta certezza che sei sotto mailbombing quindi tieni quello che devi tenere (lo spedisci su altra casella o lo salvi in locale) e il resto lo elimini essendo spam o mail non importanti.
facendo così non hai in 4 giorni la casella con 1Gb di spazio occupato ed è sicuramente più snella da consultare giornalmente per poter salvare quello che si vuole salvare (altrimenti impossibile).


...si però... o smetti di usare l'indirizzo bombardato... o ti tocca comunque ogni giorno andarci a controllare se è arrivato qualcosa di importante in mezzo spam casuale sempre crescente!

E se dismetti l'indirizzo bombardato... sarai costretto a dare a chi ti vuole contattare il tuo indirizzo nuovo... che prima o poi è certo che finirà su una macchina infetta... e sarai da capo a dodici... dopo aver perso tempo, tu e i tuoi amici, ad aggiornare le vs rispettive rubriche... senza pensare ai professionisti ovviamente, che mai vorrebbero obbligare i propri clienti ad aggiornare continuamente le rispettive rubriche... insomma un bel fastidio... tanto vale infettarsi, se il virus non è poi così cattivo, eh ehe eh ;-)



sì infatti, per il contenuto casuale lo ho spiegato sopra mentre per il virus si fa il controllo sulla dimensione dell'allegato.


Fermare la propagazione del virus sarebbe semplice (come lo sarebbe oggi per i virus "normali") tuttavia il problema è fermare il mailbombing, e se lo fermi con un sistema di Challenge/Response incorri in un numero di problemi enorme.

Ad ogni modo, anche nell'ipotesi di trovare degli aggiustamenti a tali sistemi, si tratterebbe di un'enorme rivoluzione nel campo della comunicazione elettronica, per cui comunque l'articolo avrebbe ragione a parlare di grandi sconvolgimenti...

Ciao,

Diego

Riflessioni che mi vengono in merito.

1 Mi sembra una cosa molto complicata che un virus dica ai PC di smettere il bombardamento
2 Supponendo che il virus sia in grado di farlo, allora uno che ci capisce un po' analizzando il virus potrebbe tranquillamente trovare il modo di dire agli altri PC di non bombardarlo senza infettarsi a suo volta
3 Il virus si autodistrugge, più PC sono infettati più il virus è inutile
pure che un virus sappia riconoscere parole chiave per impedire il dowload di sw per contrastarlo...tipo il gromozon...eppure l'ha fatto...:rolleyes:

parlavo per il singolo utente sotto attacco...
che arà inapplicabile per aziende e liberi professionisti :(

un professionista sarà spinto ad accettare solo mail con certificazione elettronica ed ecco che finalmente questo mercato incomincia a produrre utili :D

In questo caso l'articolo avrebbe comunque ragione, visto che, "grazie" a sto nuovo tipo di virus, assisteremmo ad una vera e propria rivoluzione nel campo della comunicazione elettronica, dato che finora davvero pochi hanno adottato l'email certificata...

Tuttavia il problema resta... che si fa nel frattempo? cioè prima che il mondo intero abbia adottato l'email certificata??? Non lo vedo come un processo very fast...

Cioè ci stiamo preoccupando per un virus che ancora manco esiste?

Più che una notizia mi sembra un'idea da dare a qualcuno cos' magari lo programma...

Se è tanto pericoloso si potrebbe evitare di sbandierare cose tipo: "siamo rovinati, c'è un modo per fare un virus che non potremo fermare mai!!!"

Hai ragione... ma purtroppo la storia ci insegna che se un'arma può essere costruita, sarà costruita.

Per cui meglio discutere di come difendersi, perchè tanto ormai a un certo livello questa ricerca era già nota, sebbene non ancora pubblica, e quindi sarà solo questione di tempo, indipendentemente dall'autocensura che possiamo imporci...

Mi spiace,

Diego

Riflessioni che mi vengono in merito.
1 Mi sembra una cosa molto complicata che un virus dica ai PC di smettere il bombardamento


Come scritto nell'articolo, per farlo al virus basta criptare l'indirizzo del mittente quando spedisce il virus in giro, poi gli basta decrittarlo quando lo riceve dagli altri per capire chi è infetto e chi no. Si può fare facilmente, pensaci un attimo, non c'è bisogno che i PC "parlino" effettivamente.


2 Supponendo che il virus sia in grado di farlo, allora uno che ci capisce un po' analizzando il virus potrebbe tranquillamente trovare il modo di dire agli altri PC di non bombardarlo senza infettarsi a suo volta


Questa è un'idea intelligente... ma proprio per questo la ricerca in questione aveva optato per un sistema di comunicazione semplice ma non bypassabile come quello descritto sopra... cioè per dimostrare di essere infetto non c'è alcun linguaggio in codice, che si potrebbe anche imitare... si tratta di "osservare" il comportamento di un sistema anzichè di comunicarci effettivamente, non so se mi sono spiegato...

Comunque è un'ottima osservazione.

3 Il virus si autodistrugge, più PC sono infettati più il virus è inutile

Questa non mi è chiara.... il virus è utile in quanto ti evita di venir bombardato... se anche tutto il mondo fosse infetto (cosa impossibile) il virus resterebbe utile, farebbe funzionare i sistemi infetti e avrebbe ottenuto il suo scopo, cioè essere stato installato su un grande numero di macchine... perchè dici che si autodistruggerebbe???

Questa non mi è chiara.... il virus è utile in quanto ti evita di venir bombardato... se anche tutto il mondo fosse infetto (cosa impossibile) il virus resterebbe utile, farebbe funzionare i sistemi infetti e avrebbe ottenuto il suo scopo, cioè essere stato installato su un grande numero di macchine... perchè dici che si autodistruggerebbe???

Non è che si autodistrugge..però una volta che installo il virus, mi difendo dal bombing e inizio a spammare alla mia rubrica. Tra le persone che bombardo presenti nella mia rubrica il virus dovrebbe iniziare ad escludere l'indirizzo di chi coloro che mi stanno bombardando, in quanto sono già infetti, cioè hanno accettato di installare il virus e sono immuni.
Ora, capisco che sia un po' paradossale, ma per ipotesi restringiamo il mondo a 1000 utenti. Una volta che tutti i 1000 utenti accosentono all'installazione del virus, chi rimane da bombardare?
Cioè..praticamente il virus se funziona così contine anche l'antivirus che tutti dovrebbero usare per proteggersi. Allora installiamo direttamente il virus e risolviamo il problema. Sarebbe diverso se il virus...vabbè..questa non la dico visto che prima criticavo chi suggerisce idee per fare malware :D

pure che un virus sappia riconoscere parole chiave per impedire il dowload di sw per contrastarlo...tipo il gromozon...eppure l'ha fatto...:rolleyes:

Un conto è riconoscere parole chiave da un databese, un altro monitorare la presenza di un programma installato (il virus) su chissà quanti PC (tutta la nostra rubrica) ed evitare di bombardarli.

Sicuramente è fattibile, ma mi pare che un virus del genere richiederebbe una capacità di eleborazione oltre che un notevole utilizzo di banda. Mi sembra un po' troppo complicato. Il punto di forza di un virus è anche essere invisibile e fare il suo lavoro di nascosto.

Un conto è riconoscere parole chiave da un databese, un altro monitorare la presenza di un programma installato (il virus) su chissà quanti PC (tutta la nostra rubrica) ed evitare di bombardarli.

Sicuramente è fattibile, ma mi pare che un virus del genere richiederebbe una capacità di eleborazione oltre che un notevole utilizzo di banda. Mi sembra un po' troppo complicato. Il punto di forza di un virus è anche essere invisibile e fare il suo lavoro di nascosto.

Scusami non ho spiegato bene io: se io sono infetto, per capire se anche tu lo sei, non ho bisogno di "monitorarti" in qualche strano modo a distanza (nel qual caso avrei problemi di firewall e indirizzi IP da scovare in qualche modo).

Mi basta infatti vedere se anche tu mi invii il virus con dentro criptato il tuo indirizzo, almeno una volta ogni due/tre giorni, per esempio, e il gioco è fatto.

Intendevo questo per "monitorare senza bisogno di parlare".

Ora è più chiaro?

Ciao,

Diego

...mea culpa... cercherò di essere più brutale: se io e te siamo conoscenti, e il mio sistema è infetto e trova il tuo indirizzo email sul mio sistema, io senza saperlo inizierò a inviarti decine di messaggi uno diverso dall'altro, con mittenti veri, fasulli, con messaggi veri e fasulli, insomma tutta roba senza senso il cui unico scopo è darti fastidio... questo dicasi mailbombing... nel contempo il virus ti "dice", sempre via mail, qualcosa tipo: "installa questo allegato e il bombardamento cesserà, altrimenti sarà sempre peggio". Ora immagina che i tuoi conoscenti infetti siano due o tre, ognuno dei quali può inviarti senza problemi, decine e decine di messaggi insensati... alla fine cederai al ricatto e ti installerai il virus, che "comunicherà" con le altre macchine infette dicendo loro qualcosa tipo "ok sono infetto, non mi bombardate". Per cui tu tornerai a usare la tua mail, però sarai infetto e starai anche tu mandando messaggi insensati a chi ancora non si era infettato...

Ora è più chiaro? Spero di sì... :-)

Ciao,

Diego


Mica tanto sai.....
Mica tutti aprono le e-mails con windows.....
E come farebbe un "virus" scritto presumo per windows ad infettare macchine come MAC, ad esempio Leopard adesso ha ottenuto pure la certificazione UNIX,........o Linux ?

Mica tanto sai.....
Mica tutti aprono le e-mails con windows.....
E come farebbe un "virus" scritto presumo per windows ad infettare macchine come MAC, ad esempio Leopard adesso ha ottenuto pure la certificazione UNIX,........o Linux ?

Vabbè..per fortuna la maggior parte dei virus non sono multipiattaforma, ed è anche per questo che i sistemi operativi meno diffusi ne risentono meno...

Forse non ho capito ancora bene, ma a me sembra molto meglio di tanti altri virus..come dicevo prima se per esserne immuni basta averlo..allora installiamolo tutti

Cmq questa preview del virus è proprio ridicola, rilasceranno anche una beta o un demo da provare? Per quando è prevista l'uscita? Mi pare di parlare del prossimo clamoroso gioco nextgen previsto per chissà quando! :D

Mica tanto sai.....
Mica tutti aprono le e-mails con windows.....
E come farebbe un "virus" scritto presumo per windows ad infettare macchine come MAC, ad esempio Leopard adesso ha ottenuto pure la certificazione UNIX,........o Linux ?

Questo nuovo tipo di virus, anche se quasi certamente non infetterà i sistemi operativi da te citati, comunque sarà in grado di danneggiarne i relativi utenti, in quanto questi saranno presi di mira dai sistemi infetti, senza alcuna possibilità di difendersi, nel senso che, anche se non infetti, si vedranno comunque sommersi dai messaggi senza senso provenienti dagli utenti infetti.

In altre parole, se non puoi infettarti, sono solo "cavoli tuoi", dal punto di vista del virus.

Subirai il mailbombing e basta, dato che al virus interessa infettare (e proteggere) quanti più sistemi tra quelli con lui compatibili (cioè macchine Microsoft con client di posta, per esempio).

Quindi il tuo dubbio relativo ai sistemi operativi non infettabili di colpo si ribalta a sfavore di chi non può infettarsi... interessante no?

Non è che si autodistrugge..però una volta che installo il virus, mi difendo dal bombing e inizio a spammare alla mia rubrica. Tra le persone che bombardo presenti nella mia rubrica il virus dovrebbe iniziare ad escludere l'indirizzo di chi coloro che mi stanno bombardando, in quanto sono già infetti, cioè hanno accettato di installare il virus e sono immuni.
Ora, capisco che sia un po' paradossale, ma per ipotesi restringiamo il mondo a 1000 utenti. Una volta che tutti i 1000 utenti accosentono all'installazione del virus, chi rimane da bombardare?


Coloro che, eventualmente, decidessero di disinstallarsi il virus... :-)

Praticamente il virus continuerebbe a vivere e a fare i comodi suoi all'interno dei 1000 sistemi infetti, e nel contempo terrebbe sott'occhio gli altri sistemi, che devono continuare a "rimbalzarsi" il virus stesso per continuare a dimostrare di non "meritare" la ripresa del bombardamento punitivo...


Cioè..praticamente il virus se funziona così contine anche l'antivirus che tutti dovrebbero usare per proteggersi. Allora installiamo direttamente il virus e risolviamo il problema.

Questo infatti sarà il ragionamento della maggior parte degli utenti... il fatto è che tu non puoi sapere cos'altro combina sto virus sul tuo PC... quindi è sempre un rischio ospitarlo... e comunque ti consuma risorse... immagina poi che ne esistano N versioni diverse... dovresti installarle tutte... insomma dovresti fidarti dei virus-writers, in sostanza...

il fatto è che tu non puoi sapere cos'altro combina sto virus sul tuo PC...

Questo era quello che intendevo nel pezzo di frase che non hai riportato in quote :D

idea balzana....ma se....
si realizzasse un sistema che impedisce l'invio di "qualsiasi"mail se non dopo previo imput da parte di un lettore d'impronte?
se tutti i sistemi pc fossero equipaggiati con un sw e hw simile,e imho non credo che comporti una spesa ingiustificata,nessun malware riuscirebbe ad espandere alcuna infezione...o no?:mbe:

idea balzana....ma se....
si realizzasse un sistema che impedisce l'invio di "qualsiasi"mail se non dopo previo imput da parte di un lettore d'impronte?
se tutti i sistemi pc fossero equipaggiati con un sw e hw simile,e imho non credo che comporti una spesa ingiustificata,nessun malware riuscirebbe ad espandere alcuna infezione...o no?:mbe:

è sempre la solita storia!: troverebbero un bug nel software che gestisce l'hardware del lettore e la sfrutterebbero a proprio vantaggio per scopi malevoli! :fagiano: :stordita:

è sempre la solita storia!: troverebbero un bug nel software che gestisce l'hardware del lettore e la sfrutterebbero a proprio vantaggio per scopi malevoli! :fagiano: :stordita:
humn...insomma...non saprei:
un lettore con interfaccia usb non rappresenterebbe altro che un interuttore hw:
nessun sw in questione,se non quello di finestra d' avviso....e se il sistema ti chiedo un 'autorizzazione o richiede l'autentificazione mentre stai effettuando ben altro che l'invio di mail...ti porrai ben il dubbio di chi altro"sarà" a voler inviare mail..;)
se tutti i sistemi in rete avessero un accorgomento simile...e se gli utenti si tenessero al sicuro il proprio lettore...forse si risolverebbe già a monte un sacco di probabili o future infezioni...se non altro si potrebbe limitare pure lo spam da botnet.

Stanotte ci ho pensato un pochino (lo so, dovrei smettere di bere :) )
C'è qualcosa che non quadra nel ragionamento che stiamo portando avanti sul funzionamento pratico:

Recuperare il virus da installare abbiamo detto che non è un problema, deve essere diffuso separatamente dal bombing ma qualche modo lo si trova, fin qui tutto ok.
Per funzionare, le mail devono essere del tutto indistinguibili rispetto alle "normali" mail. Quindi il virus non può capire se una mail viene da un account infetto o meno, altrimenti lo potrebbe fare pure un antivirus o un filtro sul server di posta.
Significa che il virus, per capire a chi non inviare le mail deve accedere ad una risorsa che non ha nulla a che vedere con le mail del bombing. La cosa più semplice sarebbe un elenco locale aggiornato tramite il virus stesso che, una volta installato, si connette al contatto che ha fatto il bombing e aggiorna questo elenco. Un miglioramento potrebbe essere la distribuzione della risorsa su tutti i client infetti. In questo caso però si diffonderebbero informazioni sugli account infetti (oltre alla dimensione) quindi questo elenco andrebbe segmentato in modo che ogni client abbia solo le info sugli account che conosce. L'utilizzo di server sarebbe svantaggioso in quanto ridurrebbe la distribuzione e creerebbe dei punti deboli.

Comunque, mettiamo che in qualche modo e da qualche parte ci sia questo elenco che ogni account infetto aggiorna ad intervalli regolari. Una soluzione potrebbe essere studiare il meccanismo di aggiornamento di questa risorsa e scrivere una procedura che lo replica. In questo modo, pur non avendo il virus installato, il mio account apparirà nell'elenco come infetto.
Se il meccanismo di aggiornamento fosse molto difficile da decifrare (vedi skype) allora la soluzione potrebbe non essere così semplice. Nella peggiore delle ipotesi, dovrebbe però essere quantomeno riconoscibile. La soluzione in questo caso sarebbe il blocco di questo traffico, l'identificazione dei client che lo emettono (gli infetti) e un qualche tipo di intervento su questi client. Questo è lo scenario peggiore...

Ovviamente tutto il ragionamento è basato su ipotesi, tranne per quanto riguarda il riconoscimento degli account infetti tramite le mail ricevute.
A livello teorico e astratto, la tecnica non ha punti deboli. Scendendo nei particolari si capisce che non è così banale implementarla.

Tutto sommato sono abbastanza ottimista, sono sicuro che la gente che sta studiando questa tecnica è ben consapevole di queste differenze. Spero che nel tempo ci concederanno qualche informazione più dettagliata sui loro studi.

Se il traffico e le risorse sono cifrate, non riesci a studiare un bel nulla del virus.

Piuttosto viene da chiedersi, quali potrebbero essere i risvolti di un attacco del genere. diegotom, tu dici che lo scopo finale è quello di alterare il funzionamento del sistema. Un'infezione a crescita esponenziale come questa descritta potrebbe effettivamente danneggiare l'intero sistema, ma a che pro? Danneggiando irrimediabilmente il sistema le comunicazioni via email cesserebbero e la cosa sarebbe problematica anche per i creatori stessi del virus se il loro scopo è lucrare.

Se il traffico e le risorse sono cifrate, non riesci a studiare un bel nulla del virus.
Vedi "caso peggiore". In questa situazione non serve capire come funziona il meccanismo, basta riconoscerlo (anche per esclusione).

Certo trovare una motivazione o un fine che può spingere qualcuno a progettare un attacco simile non è semplice. In effetti ci andrebbero di mezzo pure gli attaccanti.
Si va dalla schizofrenia alla concorrenza sleale di un determinato provider che vuole mettere i bastoni tra le ruote ai concorrenti... o una swhouse di antivirus che vuole vendere i propri prodotti.
Il fatto è che non importa se c'è un motivo o meno che può spingere qualcuno ad usare questa tecnica, l'importante è capirla e studiare delle contromisure da utilizzare nel caso peggiore. Senza farsi prendere dal panico, senza scatenare paure infondate, semplicemente per capire la minaccia.

idea balzana....ma se....
si realizzasse un sistema che impedisce l'invio di "qualsiasi"mail se non dopo previo imput da parte di un lettore d'impronte?
se tutti i sistemi pc fossero equipaggiati con un sw e hw simile,e imho non credo che comporti una spesa ingiustificata,nessun malware riuscirebbe ad espandere alcuna infezione...o no?:mbe:

Ehm... il fatto è che andrebbe imposto per Legge a livello mondiale... e il motivo è presto detto... se ci pensi, anche ora TU non puoi mandare email se non digiti prima la password del tuo computer per accenderlo... ma io come faccio a saperlo???... in sostanza IO non posso sapere se tu sulla tua macchina hai installato un sistema di sicurezza + o - sicuro... quindi mi devo fidare (se voglio anche solo leggere un tuo messaggio...)

Tutta l'architettura SMTP si basa sulla fiducia, per questo è fallibile... per semplificare al massimo... alla fine il discorso si riduce a due macchine che "parlano", solo che l'amministratore di una macchina non è l'amministratore anche dell'altra, perciò nessuno dei due può sapere quale siamo le policies di sicurezza adottate dall'altro all'interno della propria rete... siano esse delle password o dei lettori di impronte...

Ciao,

Diego

Stanotte ci ho pensato un pochino (lo so, dovrei smettere di bere :) )


Finalmente ho l'occasione di quotarti e quindi di ringraziarti, dato che molto spesso ho potuto fare a meno di rispondere a dei post perchè c'eri tu che avevi già provveduto! :-)

Quindi approfitto: thanks!




C'è qualcosa che non quadra nel ragionamento che stiamo portando avanti sul funzionamento pratico:


Allora... leggi i miei commenti fino in fondo prima di cominciare eventualmente a rispondere, perchè magari sono riuscito a spiegarmi meglio "strada facendo" lungo il messaggio... :-)



Recuperare il virus da installare abbiamo detto che non è un problema, deve essere diffuso separatamente dal bombing ma qualche modo lo si trova, fin qui tutto ok.
Per funzionare, le mail devono essere del tutto indistinguibili rispetto alle "normali" mail.


Questo vale solo per le mail casuali, quelle che fanno parte del bombardamento, non vale invece per le mail contenenti il virus stesso, che anche se fossero tutte uguali... non ti consentono di salvarti dal mailbombing...


Quindi il virus non può capire se una mail viene da un account infetto o meno,


Il virus può "capire" solo i messaggi contenenti il virus... i quali all'interno portano cifrato l'indirizzo di chi è infetto.

Il problema di capire se un messaggio casuale provenga o meno da una macchina infetta per lui non si pone, perchè, essendo infetto, semplicemente non viene bombardato... :-)


altrimenti lo potrebbe fare pure un antivirus o un filtro sul server di posta.


Esatto! per questo motivo non può farlo nemmeno il virus... solo che il virus non ne ha bisogno perchè non viene bombardato... :-)


Significa che il virus, per capire a chi non inviare le mail deve accedere ad una risorsa che non ha nulla a che vedere con le mail del bombing.


Esatto! E questa risorsa sono le mail in arrivo contenenti il virus stesso...


La cosa più semplice sarebbe un elenco locale aggiornato tramite il virus stesso che, una volta installato, si connette al contatto che ha fatto il bombing e aggiorna questo elenco.


La cosa più semplice è invece vedere da chi arriva il virus e registrarselo, senza bisogno di "connettersi" e aggiornare qualcosa... cioè il virus mantiene una propria lista di "complici" e per tenerla aggiornata gli basta controllare se i complici continuano a mandargli il virus stesso... e lo stesso varrà per i suoi complici nei suoi confronti... il pc infetto continua ad inviare il virus anche ai complici che già sono teoricamente infetti, così da segnalare loro "ehilà io sono sempre infetto come voi".

Nessuna connessione particolare, nessuna lista esterna: l'unico modo per provare di essere infetto è continuare a spedire il virus. E l'unico modo per sapere se gli altri sono ancora infetti è controllare se fanno altrettanto nei miei confronti... è più chiaro ora?


Un miglioramento potrebbe essere la distribuzione della risorsa su tutti i client infetti. In questo caso però si diffonderebbero informazioni sugli account infetti (oltre alla dimensione) quindi questo elenco andrebbe segmentato in modo che ogni client abbia solo le info sugli account che conosce.


Infatti è questa l'idea cui si è pervenuti... ma si pensa che non sia necessario effettuare anche la "distribuzione" tra i vari client infetti, nel senso che ognuno può essere autonomo, e anzi sarebbe pericoloso (dal punto di vista del virus) instaurare comunicazioni che poi possono essere "emulate" e quindi sfruttate contro il virus stesso. Inoltre ogni client infetto si ritroverebbe con liste enormi, potenzialmente infinite, di contatti, e non ce la farebbe nemmeno a gestirle.

Per cui, come vedi, alla fine la distribuzione su tutti i client (ma senza "condivisione di liste") è la soluzione + semplice + efficace + efficiente + "sicura".


L'utilizzo di server sarebbe svantaggioso in quanto ridurrebbe la distribuzione e creerebbe dei punti deboli.


Infatti con il sistema che ho cercato di chiarire, non ve n'è alcun bisogno... basta vedere da chi arriva (e continua ad arrivare) il virus...


Comunque, mettiamo che in qualche modo e da qualche parte ci sia questo elenco che ogni account infetto aggiorna ad intervalli regolari.


OK, sulla "propria" macchina esisterà questo elenco (sempre criptato ovviamente!).


Una soluzione potrebbe essere studiare il meccanismo di aggiornamento di questa risorsa e scrivere una procedura che lo replica. In questo modo, pur non avendo il virus installato, il mio account apparirà nell'elenco come infetto.


Sì ma l'elenco risiede sempre sulla macchina infetta... non sulla tua... è sempre una risorsa esterna sulla quale non hai controllo... :-)


Se il meccanismo di aggiornamento fosse molto difficile da decifrare (vedi skype) allora la soluzione potrebbe non essere così semplice. Nella peggiore delle ipotesi, dovrebbe però essere quantomeno riconoscibile. La soluzione in questo caso sarebbe il blocco di questo traffico, l'identificazione dei client che lo emettono (gli infetti) e un qualche tipo di intervento su questi client.


Individuare gli infetti potrebbe essere fatto (già al giorno d'oggi) perchè emettono il virus (riconoscibile).

Il problema è che dovrebbe essere l'ISP dell'utente (suo cliente...) a intervenire... con tutto ciò che ne può conseguire... da notare che l'ISP non ci guadagna AUTOMATICAMENTE la salvezza per i propri utenti... perchè l'ISP può bloccare i proprio utenti infetti e può evitare di fare mailbombing verso gli altri ISP... ma non può fare il contrario... dovrebbe aspettarsi che anche gli altri ISP facciano altrettanto... ma poi altrettanto cosa? praticamente "ricatterebbero" l'utente infetto dicendogli "o ti togli il virus o non mandi + email, nemmeno legittime"... come detto, già oggi potrebbero farlo ma preferiscono non inimicarsi i clienti...

Comunque questa è una delle ipotesi di cui parlavo quando facevo riferimento, nell'articolo, a "conflitti d'interesse tra ISP"...

Ad ogni modo, sarebbe una soluzione molto "costosa": traffico bloccato... contattare utenti che non capiscono cosa succede o cosa devono fare per liberarsi del virus... certo sarebbe una svolta epocale, perchè se passa un principio del genere... anche lo spam (che passa spesso da sistemi infettati "classicamente" già oggi) avrebbe un bello stop, ma io non ci credo, alla severità degli ISP dico... però vedremo.


Ovviamente tutto il ragionamento è basato su ipotesi, tranne per quanto riguarda il riconoscimento degli account infetti tramite le mail ricevute.
A livello teorico e astratto, la tecnica non ha punti deboli. Scendendo nei particolari si capisce che non è così banale implementarla.


Spero di aver chiarito che invece è più banale (e anche + difficile da contrastare) di come l'hai pensata, perchè ogni sistema infetto mantiene la propria lista di utenti infetti... :-)


Tutto sommato sono abbastanza ottimista, sono sicuro che la gente che sta studiando questa tecnica è ben consapevole di queste differenze. Spero che nel tempo ci concederanno qualche informazione più dettagliata sui loro studi.

La speranza è sempre l'ultima a morire... :-)

Ciao e grazie ancora per gli altri interventi,

Diego

Piuttosto viene da chiedersi, quali potrebbero essere i risvolti di un attacco del genere. diegotom, tu dici che lo scopo finale è quello di alterare il funzionamento del sistema.


Secondo me quella sarà una conseguenza, ma non lo scopo di un eventuale virus-writer, il cui obiettivo chiaramente può essere lo stesso identico che ha oggigiorno con i virus attuali... il suo scopo è avere sotto controllo + sistemi possibile, poi quello che ci fa è tutto da vedere!


Un'infezione a crescita esponenziale come questa descritta potrebbe effettivamente danneggiare l'intero sistema, ma a che pro?


Infatti lo scopo del virus-writer non sarà certamente quello di fare danni così elevati da rendere inutili i sistemi di cui è venuto in possesso... il problema potrebbe però sorgere per i virus "fatti male", che pur non volendo distruggere il sistema potrebbero farlo inavvertitamente...


Danneggiando irrimediabilmente il sistema le comunicazioni via email cesserebbero e la cosa sarebbe problematica anche per i creatori stessi del virus se il loro scopo è lucrare.

Giustissimo. Il fatto è che scrivere un virus così semplice è alla portata di qualsiasi programmatore... il che include programmatori non in grado di calcolare la portata dei loro errori quando moltiplicati per milioni di macchine...

Esatto! E questa risorsa sono le mail in arrivo contenenti il virus stesso...
[...]
cioè il virus mantiene una propria lista di "complici" e per tenerla aggiornata gli basta controllare se i complici continuano a mandargli il virus stesso...
[...]
Nessuna connessione particolare, nessuna lista esterna: l'unico modo per provare di essere infetto è continuare a spedire il virus. E l'unico modo per sapere se gli altri sono ancora infetti è controllare se fanno altrettanto nei miei confronti... è più chiaro ora?
:D si, non avevo preso in considerazione il fatto che il virus usasse delle mail per diffondere se stesso. E nemmeno che usasse se stesso per capire chi è infetto e chi no. In effetti è + semplice di quanto pensassi.

Infatti è questa l'idea cui si è pervenuti... ma si pensa che non sia necessario effettuare anche la "distribuzione" tra i vari client infetti, nel senso che ognuno può essere autonomo, e anzi sarebbe pericoloso (dal punto di vista del virus) instaurare comunicazioni che poi possono essere "emulate" e quindi sfruttate contro il virus stesso.
Bhe ma l'emulazione è comunque possibile no? E' più dannosa rispetto a quanto pensassi perchè significa contribuire alla diffusione del virus se non viene fatta correttamente:
Se si riesce a scrivere una procedura che replica i messaggi che il virus usa per diffondersi (e quindi per segnalare la sua presenza) e la si utilizza solo verso quegli account che ci inviano il virus (quindi solo verso quelli infetti) possiamo fingerci infetti. E' un po paradossale e di fatto significa aiutare il virus, anche se non molto visto che lo invieremmo solo ad account già infetti. Però questa procedura ci permetterebbe di apparire infetti pur senza installare il virus.

Ad ogni modo, sarebbe una soluzione molto "costosa": traffico bloccato... contattare utenti che non capiscono cosa succede o cosa devono fare per liberarsi del virus... certo sarebbe una svolta epocale, perchè se passa un principio del genere... anche lo spam (che passa spesso da sistemi infettati "classicamente" già oggi) avrebbe un bello stop, ma io non ci credo, alla severità degli ISP dico... però vedremo.
Sisi sarebbe una vera rivoluzione. Sinceramente non so nemmeno se mi piacerebbe... ha delle implicazioni pesantissime. Bho, penso che solo per valutare le conseguenze di un intervento simile potremmo andare avanti per un bel po :D

Spero di aver chiarito che invece è più banale (e anche + difficile da contrastare) di come l'hai pensata, perchè ogni sistema infetto mantiene la propria lista di utenti infetti... :-)
Si, effettivamente si :)

Ciao e grazie ancora per gli altri interventi
Grazie a te!
Non capita spesso di parlare di cose nuove su HW :)

Bhe ma l'emulazione è comunque possibile no? E' più dannosa rispetto a quanto pensassi perchè significa contribuire alla diffusione del virus se non viene fatta correttamente:
Se si riesce a scrivere una procedura che replica i messaggi che il virus usa per diffondersi (e quindi per segnalare la sua presenza) e la si utilizza solo verso quegli account che ci inviano il virus (quindi solo verso quelli infetti) possiamo fingerci infetti. E' un po paradossale e di fatto significa aiutare il virus, anche se non molto visto che lo invieremmo solo ad account già infetti. Però questa procedura ci permetterebbe di apparire infetti pur senza installare il virus.


In teoria sarebbe possibile... l'unico problema (a parte scrivere una procedura personalizzata per ogni tipo di SO, client e webmail...) è che i vari sistemi AV (a qualsiasi livello operino, sia esso lato server o client) dovrebbero permettere al virus di continuare a circolare, anche se solo tra utenti infetti (o finti tali). In pratica ogni virus blackmailer diverrebbe immortale... e ad ogni modo il traffico sarebbe comunque molto + di quello odierno, se conti che la "comunicazione" tra infetti (finti o veri) è fatta di allegati che rimbalzano tra tutti gli account del pianeta, in pratica... moltiplica questo traffico per ogni nuova variante di questi virus che potrebbe essere creata ogni giorno... però finora non ho sentito niente di meglio, nel senso che almeno con questa emulazione si eviterebbero i ben + numerosi messaggi di mailbombing e non si interromperebbero le comunicazioni legittime con filtri troppo restrittivi per essere accettabili... vedremo!

Ciao,

Diego

Si, decisamente come soluzione non indica scenari rosei :(

Però potrebbe essere un punto di partenza, voglio dire la contro-tecnica va approfondita.
Si potrebbe fare in modo che oltre alle mail con il virus invii anche le istruzioni per toglierlo ed installare il falso-virus. Una volta che il falso-virus installato sulla mia macchina vede che da un indirizzo arriva sia il virus che il falso-virus, lo toglie dall'elenco degli account infetti. Non è granchè ma almeno abbiamo qualcosa che assomiglia ad una cura :D
La cosa divertente è che la cura usa la stessa tecnica del virus per diffondersi :D (senza mail-bombing, quello non serve visto che ogni utente infetto dovrebbe essere felice di curarsi).

Purtroppo è tutto molto teorico. Non viviamo in un mondo in cui tutti collaborano, quindi non è detto che tutti si curino, non è detto che le soluzioni dei vari antivirus siano compatibili tra loro (chissà perchè ho paura che sarebbe esattamente il contrario). I soliti noti potrebbero sfruttare delle mail simili a quelle del falso-virus per diffondere dei virus a loro volta (in pratica questa soluzione aumenterebbe la fiducia degli utenti verso l'esecuzione degli allegati).
Insomma... potrebbe essere una strada da percorrere, andrebbe approfondita tenendo conto dei difetti e problemi che introduce...

A presto

Discussione interessante: non entro nel merito della questione (non vedo la ragione per affrontare qualcosa che non esiste) ma ci sono alcuni passaggi che mi hanno incuriosito:
Le fonti rischiano il posto di lavoro, sorry...
E per cosa? per aver rivelato al mondo un terribile ed inconfessabile segreto?.
Girano veramente tanti tanti soldi dietro le soluzioni antivirus e antispam (brevettate o brevettabili...)
Appunto: ed io dubito che, se si prospettasse un evento come quello descritto nell’articolo, le software house produttrici di antivirus restino a girarsi i pollici rischiando il tracollo finanziario.
Per cui le fonti rischiano veramente di far perdere tanti e tanti soldi a chi avrebbe potuto, lavorandoci su in segreto, sviluppare anche una soluzione e brevettarla.
Questa non la ho capita: si prospetta l’apocalisse informatica e le software house ci lavorano su in gran segreto?.
Proprio perchè si tratterebbe di elevato rischio di infezione di massa, tutte le parti coinvolte, avrebbero almeno 200 ragioni per diffondere la notizia e non per nasconderla.
Mettiamola come deve essere messa (ed è una storia che tutti conosciamo): sono, per prime, le software house ad invadere la rete di virus, per poi, magicamente, tirare fuori la soluzione: è una (sporca) legge di mercato.
Altra cosa: chi sarebbe il ricattatore e chi il ricattato? partiamo dal presupposto che tutto questo si possa realizzare: se voglio ricattare qualcuno (e lo faccio per la grana, mica per sentirmi dire …. quanto sei bravo …..), ricatto le prime fonti che mi assicurano guadagni tangibili; e non sono coloro che utilizzano i client di posta, ma i provider che forniscono il servizio da una parte e, le software house dall'altra (e, magari, ci provo anche con la Microsoft, giusto per non farmi mancare nulla).
O, davvero, dobbiamo pensare che la finalità del ricatto sia più ludica, ovvero: se vuoi continuare a navigare tranquillo, devi infettarti?.
Tuttavia l'articolo è molto dettagliato e quindi pubblicamente confutabile nei sui assunti
Non ci vedo nulla che possa essere confutato: viene, semplicemente, ipotizzata la possibilità di sfruttare una tecnica che ha, quale unica finalità, non quella di invadere il mondo con nuove forme virali ma, più semplicemente, fare soldi ..... complici writer e produttori di antivirus; nulla di nuovo o che non si sappia e conosca già.

Bene, è una soluzione, ma "informarli (automaticamente) in qualche modo del sistema per contattarti" significa inviare un messaggio automatico a tutti gli indirizzi sconosciuti che ti scrivono... vale a dire che per ogni messaggio casuale generato dagli infetti, tu ne generi un altro per tentare di spiegargli come contattarti, e probabilmente un mailserver da qualche parte ne genererà un altro ancora per segnalarti che il tuo messaggio che spiega come contattarti non è stato recapitato perchè il messaggio casuale era generato da un mittente sconosciuto... oppure il virus avrà impersonato qualcuno di realmente esistente che non ti voleva contattare, ma che comunque riceverà il tuo messaggio automatico... praticamente il traffico, già aumentato dai virus, sarebbe moltiplicato per due o per tre... per non parlare del fatto che se una persona vera ti scrive e tu la avvisi che per contattarti deve scrivere qualcosa nell'oggetto... se anche quella persona usa un sistema come il tuo, risponderà al tuo messaggio chiedendoti di fare qualcosa per dimostrare che non sei un utente infetto che lo sta bombardando...

Fosse stato così semplice risolvere il problema spam, saremmo già tutti felici e contenti. ;-)
è evidente che se arriva un'email di risposta composta come descritto da me possa mettere in allarme il proprietario il quale se esiste prenderà i giusti provvedimenti.
non è un problema mio il traffico ma del provider e ho accuratamente evitato di parlare del provider proprio perchè applicano già un controllo sul traffico.
Se un client genera traffico costante di email viene bloccato dallo stesso provider SMTP!
cio' significa che il virus per eseguire mailbombing debba usare un server SMTP libero da controlli ed è ancora più facile impedire l'arrivo di quelle email sia da parte del provider che dell'utente.



...si però... o smetti di usare l'indirizzo bombardato... o ti tocca comunque ogni giorno andarci a controllare se è arrivato qualcosa di importante in mezzo spam casuale sempre crescente!

E se dismetti l'indirizzo bombardato... sarai costretto a dare a chi ti vuole contattare il tuo indirizzo nuovo... che prima o poi è certo che finirà su una macchina infetta... e sarai da capo a dodici... dopo aver perso tempo, tu e i tuoi amici, ad aggiornare le vs rispettive rubriche... senza pensare ai professionisti ovviamente, che mai vorrebbero obbligare i propri clienti ad aggiornare continuamente le rispettive rubriche... insomma un bel fastidio... tanto vale infettarsi, se il virus non è poi così cattivo, eh ehe eh ;-)
se la usi così poco non c'è problema a rifarne una nuova di casella email.




Fermare la propagazione del virus sarebbe semplice (come lo sarebbe oggi per i virus "normali") tuttavia il problema è fermare il mailbombing, e se lo fermi con un sistema di Challenge/Response incorri in un numero di problemi enorme.

Ad ogni modo, anche nell'ipotesi di trovare degli aggiustamenti a tali sistemi, si tratterebbe di un'enorme rivoluzione nel campo della comunicazione elettronica, per cui comunque l'articolo avrebbe ragione a parlare di grandi sconvolgimenti...

Ciao,

Diego
come ho detto sopra il sistema c'è già in uso :)
non ho letto gli ulteriori sviluppi da questa tua risposta in avanti, ma lo farò con calma.. :)

... ricatto le prime fonti che mi assicurano guadagni tangibili; e non sono coloro che utilizzano i client di posta, ma i provider che forniscono il servizio da una parte e, le software house dall'altra (e, magari, ci provo anche con la Microsoft, giusto per non farmi mancare nulla).
O, davvero, dobbiamo pensare che la finalità del ricatto sia più ludica, ovvero: se vuoi continuare a navigare tranquillo, devi infettarti?.
Oppure uso questa tecnica per ottenere una grande botnet che poi potrò usare a piacimento per fare soldi.

Per come la vedo io non contano le motivazioni, conta capire come funziona e come si può contrastare. :)

Si, decisamente come soluzione non indica scenari rosei :(
Però potrebbe essere un punto di partenza, voglio dire la contro-tecnica va approfondita.


Concordo.


Si potrebbe fare in modo che oltre alle mail con il virus invii anche le istruzioni per toglierlo ed installare il falso-virus.


Una specie di spam? :-) Sì comunque sono d'accordo.


Una volta che il falso-virus installato sulla mia macchina vede che da un indirizzo arriva sia il virus che il falso-virus, lo toglie dall'elenco degli account infetti.
Non è granchè ma almeno abbiamo qualcosa che assomiglia ad una cura :D
La cosa divertente è che la cura usa la stessa tecnica del virus per diffondersi :D (senza mail-bombing, quello non serve visto che ogni utente infetto dovrebbe essere felice di curarsi).


:-)))


Purtroppo è tutto molto teorico. Non viviamo in un mondo in cui tutti collaborano, quindi non è detto che tutti si curino,


Però per salvarsi dal mailbombing non sarebbe necessario che tutti si curassero...


non è detto che le soluzioni dei vari antivirus siano compatibili tra loro (chissà perchè ho paura che sarebbe esattamente il contrario).


Beh se fossero costretti a emulare il virus... (anzi i virus, plurale) in teoria dovrebbero essere costretti e emularli tutti nello stesso modo...

Il problema sorge se un antivirus invece di emularlo lo blocca... in quel caso però chi ci rimette è solo l'utente protetto da questo antivirus, perchè sarebbe sano, non emulerebbe neppure e si beccherebbe solo il mailbombing... durerebbe poco come antivirus... :-)


I soliti noti potrebbero sfruttare delle mail simili a quelle del falso-virus per diffondere dei virus a loro volta (in pratica questa soluzione aumenterebbe la fiducia degli utenti verso l'esecuzione degli allegati).


Vabbè il finto-virus andrebbe fatto scaricare da qualche sito, non inviato via mail...


Insomma... potrebbe essere una strada da percorrere, andrebbe approfondita tenendo conto dei difetti e problemi che introduce...

A presto

Concordo.

Ciao,

Diego

Discussione interessante: non entro nel merito della questione (non vedo la ragione per affrontare qualcosa che non esiste)


...per non farsi cogliere a mutande calate?


E per cosa? per aver rivelato al mondo un terribile ed inconfessabile segreto?.


...perchè una eventuale soluzione potrebbe essere brevettabile?

...perchè una eventuale soluzione, se già pronta al momento giusto, prima della concorrenza, garantirebbe un enorme vantaggio?


Appunto: ed io dubito che, se si prospettasse un evento come quello descritto nell’articolo, le software house produttrici di antivirus restino a girarsi i pollici rischiando il tracollo finanziario.


Concordo. Infatti, proprio per il giro di soldi coinvolto, i ricercatori poco riservati rischiano il posto (persino qui in italia, figurati negli USA)


Questa non la ho capita: si prospetta l’apocalisse informatica e le software house ci lavorano su in gran segreto?.


Certo.

Immagina che si stia parlando di una casa farmaceutica che ha scoperto un virus terribile.

La scelta + logica è quella di tenere il virus al sicuro (segreto) e nel frattempo studiare un vaccino, senza dare la possibilità ai concorrenti di fare altrettanto.


Proprio perchè si tratterebbe di elevato rischio di infezione di massa, tutte le parti coinvolte, avrebbero almeno 200 ragioni per diffondere la notizia e non per nasconderla.


Questo infatti è stato il ragionamento di chi ha voluto diffondere la notizia.

Ma non è un ragionamento in accordo coi "boss"... :-)


Mettiamola come deve essere messa (ed è una storia che tutti conosciamo): sono, per prime, le software house ad invadere la rete di virus, per poi, magicamente, tirare fuori la soluzione: è una (sporca) legge di mercato.


Potresti aver ragione... :-)


Altra cosa: chi sarebbe il ricattatore e chi il ricattato? partiamo dal presupposto che tutto questo si possa realizzare: se voglio ricattare qualcuno (e lo faccio per la grana, mica per sentirmi dire …. quanto sei bravo …..), ricatto le prime fonti che mi assicurano guadagni tangibili; e non sono coloro che utilizzano i client di posta, ma i provider che forniscono il servizio da una parte e, le software house dall'altra (e, magari, ci provo anche con la Microsoft, giusto per non farmi mancare nulla).
O, davvero, dobbiamo pensare che la finalità del ricatto sia più ludica, ovvero: se vuoi continuare a navigare tranquillo, devi infettarti?.


E' apparentemente ludica... oltre a implementare questo "giochino" il virus può fare anche altro, cioè le solite cose che fa adesso (sparare spam, cercare n. di carte di credito, password, etc etc).

Quindi il fine non è il ricatto... il ricatto è solo un mezzo per contagiare + sistemi di quanto riescano già a fare oggi...


Non ci vedo nulla che possa essere confutato: viene, semplicemente, ipotizzata la possibilità di sfruttare una tecnica che ha, quale unica finalità, non quella di invadere il mondo con nuove forme virali ma, più semplicemente, fare soldi ..... complici writer e produttori di antivirus; nulla di nuovo o che non si sappia e conosca già.

Questo è un altro discorso, e mi trova perfettamente d'accordo.

Tuttavia qualcosa di nuovo c'è... anche se i fini sono gli stessi, i mezzi cambiano!

Ciao,

Diego

è evidente che se arriva un'email di risposta composta come descritto da me possa mettere in allarme il proprietario il quale se esiste prenderà i giusti provvedimenti.


Questo se tutti usano lo stesso sistema di challenge-response... per non parlare del fatto che le "email di risposta composta come descritto da te" possono essere rifatte pari pari per farti mailbombing... :-)

Comunque il concetto è: quello che descrivi è un sistema di Challenge-Response e ne esistono tantissime versioni già sviluppate al giorno d'oggi per combattere lo spam, ma purtroppo si è visto che hanno troppi svantaggi nell'uso pratico...


non è un problema mio il traffico ma del provider e ho accuratamente evitato di parlare del provider proprio perchè applicano già un controllo sul traffico.


Intendevo dire che se anche fosse implementata una globale soluzione di challenge-response... il traffico sarebbe così elevato da intasare sul serio la rete... per cui diventerebbe anche un problema tuo...


Se un client genera traffico costante di email viene bloccato dallo stesso provider SMTP!


Questo in un mondo ideale... se fosse così lo spam fatto dai client infetti non esisterebbe già oggi...


cio' significa che il virus per eseguire mailbombing debba usare un server SMTP libero da controlli


....oppure non usare per niente un server SMTP...


ed è ancora più facile impedire l'arrivo di quelle email sia da parte del provider che dell'utente.


Perdonami, ma dire "ancora + facile" mi sembra esagerato, altrimenti appunto già lo spam non esisterebbe...

Comunque, certo, dei sistemi per tentare di arginare il fenomeno già ci sono.

Il problema è: se ora si riesce a malapena a fermare 90 messaggi su 100 di spam... se un giorno quei messaggi di spam diventano 1.000... se i meccanismi di difesa non cambiano, tu anzichè riceverne 100-90=100 ne ricevi 1.000-900=100...


se la usi così poco non c'è problema a rifarne una nuova di casella email.


ebbè grazie... :-)

Questo se tutti usano lo stesso sistema di challenge-response... per non parlare del fatto che le "email di risposta composta come descritto da te" possono essere rifatte pari pari per farti mailbombing... :-)

Comunque il concetto è: quello che descrivi è un sistema di Challenge-Response e ne esistono tantissime versioni già sviluppate al giorno d'oggi per combattere lo spam, ma purtroppo si è visto che hanno troppi svantaggi nell'uso pratico...



Intendevo dire che se anche fosse implementata una globale soluzione di challenge-response... il traffico sarebbe così elevato da intasare sul serio la rete... per cui diventerebbe anche un problema tuo...



Questo in un mondo ideale... se fosse così lo spam fatto dai client infetti non esisterebbe già oggi...



....oppure non usare per niente un server SMTP...



Perdonami, ma dire "ancora + facile" mi sembra esagerato, altrimenti appunto già lo spam non esisterebbe...

Comunque, certo, dei sistemi per tentare di arginare il fenomeno già ci sono.

Il problema è: se ora si riesce a malapena a fermare 90 messaggi su 100 di spam... se un giorno quei messaggi di spam diventano 1.000... se i meccanismi di difesa non cambiano, tu anzichè riceverne 100-90=100 ne ricevi 1.000-900=100...



ebbè grazie... :-)

mio no di sicuro, le uniche email che scarico in locale sono quelle aziendali mentre quelle personali le visualizzo tramite estensione di Firefox, che se fossi preda di mail bombing risolverei in tempo zero, o non mi connetto alla casella o la tramuto in alias-email cosicchè cadranno nel vuoto :D
come vedi il pc rimarrebbe non oggetto del problema essendo il gestore delle email un provider completamente differente dal fornitore della connessione internet.

Replicare il mio messaggio seguendo le mie indicazioni prevede la lettura di caratteri in un immagine ".png" non c'è attualemnte nessun worm/virus/both che legga in un'immagine dei codici o parole :D

Guarda che bloccare dei server che fanno mailbombing impieghi solo 2 ore, non ci vogliono giorni!
stessa cosa per quanto riguarda l'invio delle email in formato veramente anonimo è veramente difficile trovare i server non inseriti in blacklist e quindi che farebbero cestinare in automatico la possibile email inviata...

secondo me vedi la situazione più grigia di quanto in realtà sia.
_ Se usasse server liberi per eseguire il mailbombing significa che in massimo 2 ore sia in blacklist quel server (il 98% dei provider adottano 3 grosse liste ormai ritenute punto di riferimento) quindi tutti i server e client bloccano l'arrivo di quei messaggi, il virus dovrebbe cercare nuovi server e via così.. è molto più difficile passare inosservati rispetto a usare server come repositori di malware che appunto prima di bloccarli in modo globale possono pasdsare settimane :D

_ Se usasse il server impostato dall'utente come server SMTP in 30min quell'utente è bloccato dal suo stesso provider :D

mio no di sicuro, le uniche email che scarico in locale sono quelle aziendali mentre quelle personali le visualizzo tramite estensione di Firefox

Quindi se ne ricevi migliaia senza senso... non è un problema??? non mi è chiaro...


che se fossi preda di mail bombing risolverei in tempo zero, o non mi connetto alla casella

???

o la tramuto in alias-email cosicchè cadranno nel vuoto :D

Scusa ma... o cadono nel vuoto tutti i messaggi, anche quelli legittimi... oppure ti vengono inoltrati dall'alias tutti i messaggi, compresi quelli casuali... o no???

come vedi il pc rimarrebbe non oggetto del problema essendo il gestore delle email un provider completamente differente dal fornitore della connessione internet.

Sì ma... il problema è un altro... capire quali messaggi sono buoni e quali senza senso... chi lo fa, se non tu???


Replicare il mio messaggio seguendo le mie indicazioni prevede la lettura di caratteri in un immagine ".png" non c'è attualemnte nessun worm/virus/both che legga in un'immagine dei codici o parole :D


Giusto. Il problema è che se usiamo questo sistema sia io che te... se io ti scrivo e tu mi rispondi con un'immagine che devo leggere... anche il mio sistema antispam ti risponderà con un messaggio che tu dovresti leggere per dimostrare di essere un essere umano... e come fai a sapere che devi leggerlo se il tuo sistam antispam ancora blocca la mia posta??? per non parlare del traffico generato in caso di mailbombing... per ogni messaggio casuale il tuo sistema manderebbe in giro un'immagine da leggere... probabilmente a indirizzi inesistenti... i quali genererebbero altrettanti messaggi di errore dai relativi server che non riescono a recapitarli... messaggi di errore che non ti arriverebbero, ma che forse causerebbero l'invio di un altro messaggio contenente un immagine perchè l'errore ti arriva da un mittente sconosciuto... insomma il traffico generale dovuto al mailbombing sarebbe moltiplicato per due o per tre se tutti usassero un sistema del genere... sistema che già al momento è adottabile contro lo spam, ma che finora non ha avuto successo in quanto presenta troppi problemi di gestione e reciproca compatibilità...


Guarda che bloccare dei server che fanno mailbombing impieghi solo 2 ore, non ci vogliono giorni!


Scusa ma spiegati meglio, sennò non computo... Di chi stai parlando? Chi dovrebbe bloccare cosa? Le RBL? I provider? Gli amministratori? E cosa intendi per "server", visto che le email possono esserti spedite anche senza passare da server?


stessa cosa per quanto riguarda l'invio delle email in formato veramente anonimo è veramente difficile trovare i server non inseriti in blacklist e quindi che farebbero cestinare in automatico la possibile email inviata...


I server SMTP dei provider sono liberi e non vengono più bloccati (come successo in passato, vedi link di seguito) perchè il danno è troppo grande (troppi messaggi legittimi eliminati) per non parlare appunto del fatto che non è necessario usare dei server per inviare email...


secondo me vedi la situazione più grigia di quanto in realtà sia.


Io vedo semplicemente che lo spam, nonostante le varie soluzioni in giro, è ancora vivo e vegeto, e se un giorno salta fuori qualcosa di peggio (quantitativamente e qualitativamente) non vedo come si possa ovviarvisi con soluzioni che già oggi funzionano così così...


_ Se usasse server liberi per eseguire il mailbombing significa che in massimo 2 ore sia in blacklist quel server (il 98% dei provider adottano 3 grosse liste ormai ritenute punto di riferimento)


In tali liste non vengono più inseriti i server liberi, perchè soluzione troppo drastica che in passato ha danneggiato pesantemente gli utenti teoricamente protetti, vedi, ad esempio, quanto denuncia spamhaus in merito a Tiscali UK: "we would not have been able to do much about it. We could not for example have listed those smarthosts in the Spamhaus Block List because that would have generated enormous "false positives" and would not have been in the interests of SBL users"
(http://www.spamhaus.org/organization/statement.lasso?ref=6)

In tali liste vengono inseriti range molto ristretti di indirizzi IP, la cui gestione è praticamente manuale (soprattutto lo sblocco) e quindi impossibile da immaginare se riferita ad un contesto "esteso", soprattutto per via degli indirizzi IP dinamici.

Il blocco automatico o semiautomatico avviene quando uno spammer invia spam alle caselle spamtrap gestite da spamhaus, cosa che un virus molto difficilmente farebbe... in quanto non troverebbe tali indirizzi-trappola sui vari sistemi infetti...
(Vedi sempre nella stessa pagina citata: "As the spammers had selected to spam specific networks, Spamhaus would not expect to have seen that spam in our Spamtraps")


quindi tutti i server e client bloccano l'arrivo di quei messaggi


...e tutti... io la vedrò troppo grigia ma tu la vedi troppo rosea, scusa... :-)

Purtroppo lo spam esiste, questa è la realtà.

Spamhaus, che fa ciò che tu dici, dichiara di bloccare il 75% dei messaggi (http://www.spamhaus.org/effective_filtering.html).

Anche nell'ipotesi che spamhaus mantenesse una tale percentuale (e non ci credo, aumentando di molto il numero di fonti) comunque passarebbe il 25% di schifezze... che se riferite a 100 messaggi al giorno, sarebbero accettabili, ma che che se riferite a 1000 o più...

Ma anche se fosse che il 98% dei provider usassero tali liste, e anche nella remota ipotesi che in tali liste venissero inseriti tutti i sistemi infetti del pianeta (o i loro server SMTP) e anche se il traffico di messaggi casuali non intasasse tali sistemi, comunque resta il fatto che quasi nessuno usa tali liste per rifiutare direttamente i messaggi, preferendo (giustamente) taggarli o spostarli in una casella apposita (questo perchè con tali liste i messaggi buoni finiscono troppo spesso per essere scambiati per cattivi). Quindi il problema te lo ritroveresti nella casella di posta indesiderata, praticamente inutilizzabile (se vuoi cercarci messaggi "buoni").


il virus dovrebbe cercare nuovi server e via così.. è molto più difficile passare inosservati rispetto a usare server come repositori di malware che appunto prima di bloccarli in modo globale possono pasdsare settimane :D


Concordo. Il problema è che, indipendentemente dai server che ospitano malware, lo spam può essere facilmente identificato come tale anche grazie al fatto che contiene determinati link a determinati siti (infetti o contenenti pubblicità) mentre i messaggi casuali non avrebbero alcuna caratteristica in comune l'uno con l'altro...

Quindi certo, si potrebbe anche pensare che ogni ISP si mettesse a tenere sotto controllo i propri utenti... cosa che già oggi potrebbero fare ma non fanno, perchè dovrebbero mantenere un callcenter di veri tecnici e perchè avrebbero paura di perdere clienti paganti... addirittura molti non impediscono nemmeno ai virus di circolare, basta pensare che i virus ad oggi più diffusi sono ben noti sin dal 2006 o dal 2005...


_ Se usasse il server impostato dall'utente come server SMTP in 30min quell'utente è bloccato dal suo stesso provider :D

Questa è una cosa che sento spesso ripetere in molti forum, ma sinceramente mi sembra un po' una leggenda metropolitana... intendo dire... in ogni contratto è ormai specificato il divieto di fare spam... ma in nessuna faq dei provider ho trovato qualcosa che spieghi cosa fare se il server SMTP risponde qualcosa tipo "non puoi inviare email perchè risulti essere mittente di spam, disinfetta il tuo pc" o roba del genere... come non ho trovato utenti che su qualche forum abbiano mai riscontrato un tale problema... ammetto che le parole chiave per cercare tali casi siano troppo vaghe... per cui può darsi tranquillamente, anzi quasi certamente, che io mi sbagli... l'unica cosa che so per certo è che se qualche provider in giro per il mondo annuncia di voler scollegare sul serio i propri utenti infetti, questa diventa una notizia, il che significa che chiaramente gli altri non lo fanno...

E poi, cosa più importante, anche se qualche ISP lo facesse, questo non salverebbe i suoi utenti dal mailbombing proveniente dagli altri ISP... quindi sarebbe una soluzione funzionante solo se migliaia di ISP nel mondo si mettessero d'accordo... in teoria già oggi esistono degli accordi tra ISP... il problema è farli rispettare e verificare se vengono rispettati e come reagire verso chi non li rispetta... bloccare le comunicazioni, anche quelle legittime, è una soluzione troppo dannosa per tutte le parti in causa, e alla fine si risolve in altri "ricatti" a cascata:

- "se non controlli i tuoi utenti, da te non ricevo + niente, fa niente se i miei utenti si lamentano col mio callcenter perchè non ricevono, fa niente se è illegale bloccare la corrispondenza privata"

- "se non ti disinfetti il pc, ti impedisco di spedire mail, anche legittime, fa niente se la Legge in teoria me lo vieta, fa niente se non sei capace e non ho abbastanza tecnici per aiutarti, fa niente se magari cambierai provider perchè comincerai ad odiarmi non capendo che è colpa tua"

Insomma per me resta grigia uguale... l'email diventerà un mezzo sempre meno affidabile e comodo... su questo ho pochi dubbi, qualsiasi soluzione si adotterà, credo...