Gian Franco Baroni ha scritto:
From: Stefano Zanero <[EMAIL PROTECTED]>
Morale della favola: quando lo scopo e' fare hit, meglio
evitare di scrivere degli hoax atomici :D
Appunto...
Poi, dall'articolo, sembra che la costruzione di questo
super virus sia semplice.
Allora, per quale motivo non ne abbiamo ancora visto uno in
azione?
:-)
Scusatemi ma vorrei approfittarne per smontare la teoria anche dal punto
di vista della debolezza del protocollo SMTP e sue
estensioni/implementazioni.
1) I classici attacchi di diretory harvest/mail bombing/DoS su smtp
ormai sono facilmente eludibili grazie a firewall/throttling. Facciamo
un'esempio: se ho configurato bene il mio server smtp, non accetto più
di 50 email per connessione smtp e non accetto più 30 connessioni in 60
secondi. Per non parlare del fatto che non esporrei mai un server ad
accessi incondizionati senza un qualche sistema di firewalling.
2) Ormai server smtp senza una qualche forma di protezione contro
spam/virus sono rari, e comunque sia, aiutano ad eludere questo
pericoloso e famigerato virus "mafioso" ;-) (anche se non lo
prevengono). Facciamo un esempio: se ho configurato bene il mio server
avrò implementato almeno uno fra i sistemi di blacklisting degli
indirizzi IP, greylisting, OSPF, ecc ecc. Quante possibilità ci sono che
io riesca ad inviare migliaia di email infette o di spam senza essere
blacklistato? Quante email mi farà inviare il mio ISP senza bloccarmi?
Se non utilizzerò l'smtp del mio ISP, sarà registrato il dominio
utilizzato? Da chi? Come? Quando? Perchè? Con che indirizzo IP? E
sopratutto: se invio una mail con dominio hotmail.it, e l'smtp dalla
quale la invio non corrisponde ai record DNS registrati, in quanti me
l'accetteranno? Ammettendo che si riesca ad effettuare uno spoofing del
record MX, quanto tempo ci si starebbe per capirlo?
3) Se la mia macchina riesce ad inviare più di 1000 mail al minuto,
credo che me ne accorgerei (non riuscirei a lavorarci/navigarci), se ne
accorgerebbe il mio ISP e tutti quelli che riceveranno le mie mail. Se
sono un utente poco esperto chiamo il mio amico/tecnico di fiducia che
si accorge che c'è tanto traffico in uscita e se uso windows, come
minimo me la formatta. Nel frattempo mi hanno blacklistato l'IP con cui
mi collegavo (se ho un router sempre acceso con un ISP che non ruota gli
indirizzi), i laboratori delle maggiori aziende produttrici di antivirus
hanno già rilasciato le firme per il proprio antivirus ed i sistemi
antispam hanno elaborato le regole per fermare le mail che inviava il
mio pc. Il tutto nel giro di 24/48 ore.
Grazie per l'attenzione.
Dario Cavallaro
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
