Hardware Upgrade Forum - View Single Post - In arrivo il peggior virus della storia???

W.S. · 25-11-2007, 10:33

Stanotte ci ho pensato un pochino (lo so, dovrei smettere di bere

)
C'è qualcosa che non quadra nel ragionamento che stiamo portando avanti sul funzionamento pratico:

Recuperare il virus da installare abbiamo detto che non è un problema, deve essere diffuso separatamente dal bombing ma qualche modo lo si trova, fin qui tutto ok.
Per funzionare, le mail devono essere del tutto indistinguibili rispetto alle "normali" mail. Quindi il virus non può capire se una mail viene da un account infetto o meno, altrimenti lo potrebbe fare pure un antivirus o un filtro sul server di posta.
Significa che il virus, per capire a chi non inviare le mail deve accedere ad una risorsa che non ha nulla a che vedere con le mail del bombing. La cosa più semplice sarebbe un elenco locale aggiornato tramite il virus stesso che, una volta installato, si connette al contatto che ha fatto il bombing e aggiorna questo elenco. Un miglioramento potrebbe essere la distribuzione della risorsa su tutti i client infetti. In questo caso però si diffonderebbero informazioni sugli account infetti (oltre alla dimensione) quindi questo elenco andrebbe segmentato in modo che ogni client abbia solo le info sugli account che conosce. L'utilizzo di server sarebbe svantaggioso in quanto ridurrebbe la distribuzione e creerebbe dei punti deboli.

Comunque, mettiamo che in qualche modo e da qualche parte ci sia questo elenco che ogni account infetto aggiorna ad intervalli regolari. Una soluzione potrebbe essere studiare il meccanismo di aggiornamento di questa risorsa e scrivere una procedura che lo replica. In questo modo, pur non avendo il virus installato, il mio account apparirà nell'elenco come infetto.
Se il meccanismo di aggiornamento fosse molto difficile da decifrare (vedi skype) allora la soluzione potrebbe non essere così semplice. Nella peggiore delle ipotesi, dovrebbe però essere quantomeno riconoscibile. La soluzione in questo caso sarebbe il blocco di questo traffico, l'identificazione dei client che lo emettono (gli infetti) e un qualche tipo di intervento su questi client. Questo è lo scenario peggiore...

Ovviamente tutto il ragionamento è basato su ipotesi, tranne per quanto riguarda il riconoscimento degli account infetti tramite le mail ricevute.
A livello teorico e astratto, la tecnica non ha punti deboli. Scendendo nei particolari si capisce che non è così banale implementarla.

Tutto sommato sono abbastanza ottimista, sono sicuro che la gente che sta studiando questa tecnica è ben consapevole di queste differenze. Spero che nel tempo ci concederanno qualche informazione più dettagliata sui loro studi.

25-11-2007, 10:33	#56
W.S. Senior Member Iscritto dal: Nov 2005 Messaggi: 1868	Stanotte ci ho pensato un pochino (lo so, dovrei smettere di bere ) C'è qualcosa che non quadra nel ragionamento che stiamo portando avanti sul funzionamento pratico: Recuperare il virus da installare abbiamo detto che non è un problema, deve essere diffuso separatamente dal bombing ma qualche modo lo si trova, fin qui tutto ok. Per funzionare, le mail devono essere del tutto indistinguibili rispetto alle "normali" mail. Quindi il virus non può capire se una mail viene da un account infetto o meno, altrimenti lo potrebbe fare pure un antivirus o un filtro sul server di posta. Significa che il virus, per capire a chi non inviare le mail deve accedere ad una risorsa che non ha nulla a che vedere con le mail del bombing. La cosa più semplice sarebbe un elenco locale aggiornato tramite il virus stesso che, una volta installato, si connette al contatto che ha fatto il bombing e aggiorna questo elenco. Un miglioramento potrebbe essere la distribuzione della risorsa su tutti i client infetti. In questo caso però si diffonderebbero informazioni sugli account infetti (oltre alla dimensione) quindi questo elenco andrebbe segmentato in modo che ogni client abbia solo le info sugli account che conosce. L'utilizzo di server sarebbe svantaggioso in quanto ridurrebbe la distribuzione e creerebbe dei punti deboli. Comunque, mettiamo che in qualche modo e da qualche parte ci sia questo elenco che ogni account infetto aggiorna ad intervalli regolari. Una soluzione potrebbe essere studiare il meccanismo di aggiornamento di questa risorsa e scrivere una procedura che lo replica. In questo modo, pur non avendo il virus installato, il mio account apparirà nell'elenco come infetto. Se il meccanismo di aggiornamento fosse molto difficile da decifrare (vedi skype) allora la soluzione potrebbe non essere così semplice. Nella peggiore delle ipotesi, dovrebbe però essere quantomeno riconoscibile. La soluzione in questo caso sarebbe il blocco di questo traffico, l'identificazione dei client che lo emettono (gli infetti) e un qualche tipo di intervento su questi client. Questo è lo scenario peggiore... Ovviamente tutto il ragionamento è basato su ipotesi, tranne per quanto riguarda il riconoscimento degli account infetti tramite le mail ricevute. A livello teorico e astratto, la tecnica non ha punti deboli. Scendendo nei particolari si capisce che non è così banale implementarla. Tutto sommato sono abbastanza ottimista, sono sicuro che la gente che sta studiando questa tecnica è ben consapevole di queste differenze. Spero che nel tempo ci concederanno qualche informazione più dettagliata sui loro studi. __________________ [ W.S. ]