Nuovamente virus!

Ciao,

tanto per cambiare, ogni volta che esce un virus nuovo si scatenano i
flame "Mlist manda in giro virus"...ma noooooooooooooo!

Leggete qui, e ricordatevene in futuro (questo non vale ovviamente per i
nuovi iscritti che leggeranno per la prima volta queste parole) :-)

A presto

Elena


Mittente: Stefano Bagnara
Data: 29-11-2001 20:17

Ciao a tutta la lista,

viste le molte domande pervenute e i dubbi di molti iscritti sulla
possibilità che questa mailing list "sparga" e "replichi" virus vi scrivo
per fare un po' di chiarezza e darvi alcuni consigli. Inizialmente non
avrei voluto inviare questo messaggio alla lista poichè lo ritenevo
"off-topic" dal momento che esistono le mailing list sulla sicurezza ed
altre specifiche sui virus che trattano questi temi, quindi cercherò di
spiegare tutto in maniera dettagliata per evitare di aprire un intero
thread sull'argomento.

Innanzitutto vorrei rassicurarvi dicendovi che è molto improbabile (direi
"impossibile" ma sono un tecnico ed i tecnici non conoscono bene il
significato di questo termine ed eventualmente l'hanno dimenticato per
evitare che gli si potesse ritorcere contro :-) ) che il sistema di
gestione di mailing list che sta "sotto" a Mlist possa distribuire e/o
replicare virus. Di seguito vi elenco alcuni dei motivi più significativi:

1) la mailing list è gestita da un sistema unix e non windows ed è quindi
immune alla maggior parte dei virus esistenti (che tipicamente attaccano i
sistemi operativi microsoft poichè meno proteggibili e più diffusi)

2) ogni singola mail che arriva alla mailing list viene completamente
riscritta in testo semplice e privata di attachment o di qualunque header
non indispensabile: tutti i virus "noti" (e probabilmente qualunque virus
futuro) si "attaccano" (come attachment) alle mail che utilizzano da mezzo
di trasporto e quindi l'eliminazione di tutti gli attachment "disinfetta"
automaticamente ogni mail; inoltre alcune vulnerabilità di outlook express
e di outlook permettono l'esecuzione di codice contenuto nelle mail in
formato html che però Mlist legge e traduce in testo semplice eliminando
ogni possibile codice (anche quelli "maligni" ovviamente).

3) Come ultimo filtro esiste sempre la moderazione: ogni singola mail che
parte in direzione degli iscritti viene comunque "approvata" da una
moderatrice (Elena) che eventualmente ha il potere di modificare,
riscrivere e cancellare qualunque mail.

Mi direte: "E' inutile che ci elenchi tutti questi motivi, fatto sta che
abbiamo ricevuto dei virus via mail esattamente uguali a quelle che invia
mlist!"

Eccovi la spiegazione:

Alcuni virus in circolazione negli ultimi tempi, una volta che hanno
infettato una macchina, si inviano a tutti i contatti presenti in rubrica
del malcapitato utente della macchina infettata e spesso si inviano a
tutti i mittenti delle mail in arrivo.

Ora, quando questa mia mail verrà moderata da Elena (sperando che cancelli
gli "orrori" di ortografia) ognuno di voi riceverà una mail con me come
mittente e con [Mlist] aggiunto davanti al mio subject "[OT] Virus e Mlist

Leggete tutti" e come destinatario "Mlist" (ovvero tutti voi). Se qualcuno
di voi è infetto da uno di questi virus all'arrivo della mia mail
decideranno che sono il loro nuovo bersaglio e mi invieranno una risposta
contenente il virus in allegato. Mi troverò quindi decine di mail piene di
virus pronti ad "uccidere" il mio sistema. Queste mail però non passano
dal server di mlist, ma sono mail che partono da un utente di Mlist verso
un altro utente di Mlist (come una qualunque altra mail privata).

Spero che sia chiaro, quindi, che Mlist non può fare niente a parte
sensibilizzare i propri utenti al problema "Virus" e consigliare qualche
rimedio. A tal proposito consiglio a tutti di leggere attentamente una
mail di Fabio Metitieri intitolata "Virus Trans il cattivo" passata sulla
lista ieri e contenente informazioni molto utili su come liberarsi di uno
di questi virus che per altro non viene ancora riconosciuto dalla maggior
parte degli antivirus.

Vi chiederei di non mandare più segnalazioni alla lista del tipo "Mlist
infetta i suoi utenti" o "Mlist è stata colpita da un nuovo virus" perchè
fino ad ora si sono sempre rivelati falsi allarmi. Devo ammettere che per
un utente "non tecnico" può essere difficile riconscere la provenienza di
una email e per questo provo a spiegarvelo velocemente. Chiunque non sia
interessato ai dettagli più tecnici può tranquillamente interrompere la
lettura qui, grazie per l'ascolto e scusate l'intrusione.

Se siete ancora qua vi tocca il mattone tecnico!
Quasi tutti i client di posta (Outlook, Outlook Express, Eudora e molti
altri meno diffusi) permettono di guardare il dettaglio delle intestazioni
(header) di una mail in arrivo (per esempio in OE è sufficiente usare il
tasto destro del mouse sul titolo del messaggio e andare sulle proprietà,
mentre su Outlook sempre col tasto destro su "Opzioni" appare un riquadro
"Intestazioni internet" con l'intera intestazione originale del messaggio).

Le email provenienti da Mlist si possono riconoscere dalle seguenti
intestazioni:

Return-Path: mlist-owner@mlist.it
From: "Iscritto di mlist che ha inviato il contributo"

Reply-To: mlist@mlist.it
X-Loop: mlist@mlist.it
List-Help:
List-Subscribe:
List-Unsubscribe:
List-Post:
List-Owner:

Inoltre sarà presente anche un'intestazione "Received" che elenca i
passaggi di server che sono stati necessari per recapitare l'email a
partire dall'indirizzo del computer che l'ha inviata (nel nostro caso si
chiama imp.datasail.it ).

Questo campo è molto importante perchè è una delle poche intestazioni che
non possono essere "contraffate" da un utente maligno (o da un virus)
poichè vengono inserite dai server che smistano la posta all'atto dello
smistamento.

Mittente, destinatario ed le altre informazioni presenti in un messaggio
di posta elettronica sono invece "facilmente" falsificabili. In ogni caso
se un messaggio non contiene tutti gli header che ho elencato prima non
può essere stato generato dal sistema di gestione della mailing list di
mlist.

Un ultimo chiarimento: potete notare che l'intestazione che ho riportato
mette come mittente l'effettivo iscritto che ha contribuito alla lista, ma
se vi è capitato di rispondere a messaggi della mailinglist avrete notato
che la vostra risposta non va al mittente del messaggio ma bensì torna
alla lista in attesa di moderazione. Il motivo di questo strano
"funzionamento" è la presenza dell'intestazione "Reply-To:" che dice che
le risposte devono essere inviate a "mlist@mlist.it" e non al mittente del
messaggio (Non tutti i client di posta supportano questa intestazione ma
la maggior parte si).

Ora il virus del quale parlavamo prima "se ne frega" di questa
intestazione e cerca di infettare comunque il mittente (From:)
"rispondendo" a lui.

Per finire un consiglio per tutti gli utenti di Outlook (non l'express) e
di Eudora che utilizzano le "regole di posta in arrivo" per lo smistamento
dei messaggi della lista in una cartella apposita: Utilizzate la regola
"dove il messaggio contiene la seguente intestazione / il seguente testo
nell'intestazione" mettendo l'intestazione "X-Loop: mlist@mlist.it" (per
le mail di mlist-large: "X-Loop: mlist-large@mlist.it"): in questo modo è
più semplice che vengano messi effettivamente in quella cartella le sole
mail provenienti dalla lista. (P.S. il formato digest non contiene le
intestazioni citate e quindi è da gestire con le solite tecniche delle
regole sul mittente)

A questo punto spero di avervi "stancato" sufficientemente da evitare
vostre "lamentele" future :-))

Spero di aver fatto cosa gradita con questa mail e di non essere stato
troppo "pignolo" e mi impegno a rispondere (con calma) ad eventuali
obiezioni/suggerimenti.

Ciao a tutti i superstiti

Stefano Bagnara a.k.a. Bago

http://www.mlist.it/lista/bigl ietto.html?bdv=391


Elena Antognazza
icq:4560666
www.mlist.it
la lista sul webmarketing
www.powered.it
la lista sul webdesign