Problema sicurezza: Word il colpevole

Non hai capito parlavo dei .doc zippati con i quali un trojan si diffonderebbe più probabilmente...


Si, se ce l'hai il mail server o il proxy. Ma vorrei vedere chi si mette a configurare il mail server in questo modo solo come soluzione temporanea. Ci sono anche diverse problematiche aggiunte:
1) il maggior lavoro computazionale aggiunto di dover scompattare gli allegati e contrallarli
2) Quanti livelli di compressione fai controllare?
3) Se trovi un zip con dentro un .doc che fai blocchi la mail o solo l'allegato ? E se lo zip contiene dei doc e anche altri file blocchi l'intero allegato o ricomprimi l'archivio dopo aver cancellato i doc ?
...

1) avverti l'azienda di usare solo files openoffice,linki il plugin e scrivi un txt o una pagina
html con le istruzioni per installare il detto plugin.
2) blocchi tutti gli zip, rar etc. (cosa normale in una azienda) e li quaranteni (1 settimana di backup poi si autocancellano), livello computazionale zero. cancelli i .doc .
3) l'allegato .zip e' bloccato, la mail arriva comunque con un messaggio aggiuntivo:
tutti i files .doc sono cancellati, i files .zip e gli altri archivi sono in quarantena,
contattate l'amministratore se siete sicuri che l'archivio non contenesse files .doc
e non potete farvi ri-inviare i files in formato non compresso.

Bloccare gli archivi puo' sembrare restrittivo ma e' comunque una buona regola per bloccare
svariati files che fanno macello (spesso i piccoli .exe, ad esempio...)
Se preferisci puoi solo controllare l'indice dei files contenuti nell'archivio (la lista coi nomi dei
files) e cancellare solo quelli che all'interno contengono .doc o altri archivi: .zip ,.rar ,.ace,
etc. Livello computazionale molto basso (cancelli/quaranteni tutto lo zip se e' sospetto)
(Se sei un amministratore valido ed hai un PC con linux come firewall ci metti molto poco
a fare tutto cio'.)

Altrimenti ti godi il virus (tu e la rete che amministri e tutti i dipendenti).

giusto per dimostrare che non e' un task molto impegnativo: questo e'
il prototipo dello script necessario (elabora solo zip ed i rar con unrar , controlla
solo .doc .rar .zip .ace, che lo espanda chi ne ha necessita', la sintassi per ricavare le
estensioni e' quella di gentoo):

#!/bin/bash
FEXT=${1##*.}

if [ "x$FEXT" == "xzip" ] ; then
ACCA=`unzip -l $1 | cut -c 29-130 | grep -E "\."`
elif [ "x$FEXT" == "xrar" ] ; then
ACCA=`unrar lb $1 | grep -E "\."`
else
echo "file $1 unrecognized"
exit 0
fi
COUNT="0"
for line in $ACCA ; do
linext=${line##*.}
if [ "$linext" == "doc" ] || [ "$linext" == "zip" ] || [ "$linext" == "rar" ] || [ "$linext" == "ace" ] ; then
echo "FAIL: $line does not pass the check!!!"
let COUNT=COUNT+1
else
echo "OK, $line passed the check."
fi
done
if [ "$COUNT" == "0" ] ; then
echo "$1 file is safe"
else
echo "$1 file is going to quarantene"
fi

esistono antivirus per server di posta che fanno controlli negli archivi zip e rar senza bisogno di bloccarli a priori...
inviari messaggi agli utenti che dicono di contattare l'amministratore significa vedere aumentare a dismisura il carico di lavoro del'help desk... chiaro, lavorando in aziende sotto i 100 clients si potrebbe anche adottare questa "soluzione", ma le realtà produttive molto spesso superano il migliaio...

Tutto questo è ottimo in un mondo ideale ma come fa notare anche Phirephil troppo restrittivo IMO. Nella mia azienda siamo una 50ina di persone negli uffici ma se dovessero chiamarmi per aver l'allegato di ogni mail che arriva credo che impazzirei...

Ma gli antivirus non sono ancora pronti per questa vulnerabilità per questo che consigliano di bloccare i doc...

Ok, ragionavo in piccolo, in una realta' simile mandi il messaggio :"l'allegato e' stato
cancellato per motivi di sicurezza: i files .doc e gli archivi sono considerati a rischio.
Fatevi rimandare i files in formati non a rischio"

In questo modo vengono all'helpdesk solo i piu' disperati (i cui files potrebbero essere in quarantena.... nulla dissi nulla saccio )

Altra soluzione,forse piu' semplice, e' disinstallare office e installare openoffice su ogni
computer aziendale.

beh, l'articolo diceva che stanno aggiornando in queste ore... usando Antigen for Exchange (secondo me il migliore in assoluto) usi n motori di scansione diversi (i due di CA, command, Karspersky ecc. ecc), uno di questi di certo lo blocca.
in qualunque caso sempre a livello di AV lato server puoi bloccare gli allegati doc con un click, ed al limite li fai spedire via mail zippati e protetti con password, cosa che in genere i virus non fanno.

Ehm, con il piccolo dettaglio che cosi' non sei al sicuro dall'infezione..... se funziona come i
vecchi macrovirus qualsiasi .doc creato su un computer infetto e' infetto a sua volta,
nel caso l'unica soluzione e' bloccare del tutto lo scambio dei files .doc (senza contare che
consentire a tutti lo scambio di archivi bloccati da password/criptati in un'azienda sarebbe
sempre e comunque sconsigliabile.....)

sempre ragionando nel piccolo, immagino...

fare una disinstallazione centralizzata su svariati clients e la seguente installazione di un nuovo pacchetto software non mi sembra affatto "semplice"

in linea di massima per condividere files di office tra utenti della stessa azienda andrebbero usati fileservers, non messaggi di posta (anche se molti utenti proprio non lo capiscono). altrimenti ottime soluzioni sono rappresentate da applicativi quali sharepoint, che cmq necessitano di training all'utente.

va inoltre considerato le modalità con le quali è sfruttabile tale backdoor, i clients aziendali di solito non sono esposti direttamente su internet