From ronchi a toth.it Sun Dec 2 23:40:36 2007 From: ronchi a toth.it (Francesco Ronchi) Date: Sun, 02 Dec 2007 23:40:36 +0100 Subject: [security] articolo su nuovo tipo di virus In-Reply-To: References: Message-ID: <47533464.5010109@toth.it> Mi lasciano perplesso alcune cose: se l'"esempio" riportato è reale, un ipotetico virus così descritto, per effettuare il suo mailbombing, ha due possibilità: 1) cercare di usare il server relay SMTP della rete su cui si trova (ISP, rete aziendale, ecc..) 2) inviare direttamente i messaggi. In entrambi i casi, la macchina infetta sarebbe facilmente tracciabile attraverso il suo IP address, e come accade ora per i virus/worm che generano SPAM, verrebbe velocemente bloccato nel giro di poco dai vari siti di blacklisting antispam o direttamente dal provider. Gestendo una piccola rete di macchine dedicate a corsi di informatica, ti posso garantire che basta pochissimo perchè un IP address venga registrato da tali meccanismi, innescando per forza di cose il blacklisting. Ma ci sono altri punti deboli: ad esempio, ammettendo di accettare il ricatto, un'ipotetica "vittima" accetterebbe di cedere buona parte della propria banda, oltre che della potenza di calcolo del proprio PC, alla causa del virus. E se il virus dovesse alzare la posta? magari chiedendo dei soldi? o utilizzando l'accesso guadagnato sulla macchina della vittima, per ricattare l'utente per esempio crittando o derubandolo dei dati personali? Sarebbe eccessivamente rischioso accettare in primis un simile ricatto, osservando l'escalation che ne potrebbe seguire. Il virus dovrebbe poi accettare in risposta, dalle vittime "consenzienti" un messaggio che lo avvisi di smettere il bombardamento. Questo implica 2 cose: il virus si rende riconoscibile (per ricevere il messaggio è necessario che la vittima conosca l'indirizzo del suo carnefice) e non lo metterebbe comunque al riparo da falsificazioni: con un po di reverse-engineering i produttori di antivirus potrebbero confezionare dei falsi messaggi in grado di "placare" il virus. In breve, un attacco del genere, anche se interessante a livello teorico, nel modo descritto avrebbe poco senso di esistere e pochissime chances di avere effetto. il tutto, ovviamente, IMHO. saluti Diego Tomaselli ha http://sicurezza.html.it/articoli/leggi/2450/il-virus-perfetto/ scritto: > Ciao a tutti, vi segnalo questo articolo apparso recentemente su html.it: > > "Il Virus Perfetto" > > > > Saluti, > > Diego > > ------------------------------------------------------------------------ > Concerti trailer e video divertenti! MSN Video > > -- > Il messaggio e' stato analizzato alla ricerca di virus o > contenuti pericolosi da *MailScanner* , > ed e' > risultato non infetto. > ------------------------------------------------------------------------ > > _______________________________________________ > security mailing list > security a itlists.org > http://itlists.org/mailman/listinfo/security -------------- parte successiva -------------- Un allegato HTML è stato rimosso... URL: http://itlists.org/pipermail/security/attachments/20071202/7dccdbd8/attachment.htm