[OT] Virus e Mlist - Leggete tutti

Ciao a tutta la lista,

viste le molte domande pervenute e i dubbi di molti iscritti sulla
possibilità che questa mailing list "sparga" e "replichi" virus vi scrivo
per fare un po' di chiarezza e darvi alcuni consigli. Inizialmente non
avrei voluto inviare questo messaggio alla lista poichè lo ritenevo
"off-topic" dal momento che esistono le mailing list sulla sicurezza ed
altre specifiche sui virus che trattano questi temi, quindi cercherò di
spiegare tutto in maniera dettagliata per evitare di aprire un intero
thread sull'argomento.

Innanzitutto vorrei rassicurarvi dicendovi che è molto improbabile (direi
"impossibile" ma sono un tecnico ed i tecnici non conoscono bene il
significato di questo termine ed eventualmente l'hanno dimenticato per
evitare che gli si potesse ritorcere contro :-) ) che il sistema di
gestione di mailing list che sta "sotto" a Mlist possa distribuire e/o
replicare virus. Di seguito vi elenco alcuni dei motivi più significativi:

1) la mailing list è gestita da un sistema unix e non windows ed è quindi
immune alla maggior parte dei virus esistenti (che tipicamente attaccano i
sistemi operativi microsoft poichè meno proteggibili e più diffusi)

2) ogni singola mail che arriva alla mailing list viene completamente
riscritta in testo semplice e privata di attachment o di qualunque header
non indispensabile: tutti i virus "noti" (e probabilmente qualunque virus
futuro) si "attaccano" (come attachment) alle mail che utilizzano da mezzo
di trasporto e quindi l'eliminazione di tutti gli attachment "disinfetta"
automaticamente ogni mail; inoltre alcune vulnerabilità di outlook express
e di outlook permettono l'esecuzione di codice contenuto nelle mail in
formato html che però Mlist legge e traduce in testo semplice eliminando
ogni possibile codice (anche quelli "maligni" ovviamente).

3) Come ultimo filtro esiste sempre la moderazione: ogni singola mail che
parte in direzione degli iscritti viene comunque "approvata" da una
moderatrice (Elena) che eventualmente ha il potere di modificare,
riscrivere e cancellare qualunque mail.

Mi direte: "E' inutile che ci elenchi tutti questi motivi, fatto sta che
abbiamo ricevuto dei virus via mail esattamente uguali a quelle che invia
mlist!"

Eccovi la spiegazione:

Alcuni virus in circolazione negli ultimi tempi, una volta che hanno
infettato una macchina, si inviano a tutti i contatti presenti in rubrica
del malcapitato utente della macchina infettata e spesso si inviano a
tutti i mittenti delle mail in arrivo.

Ora, quando questa mia mail verrà moderata da Elena (sperando che cancelli
gli "orrori" di ortografia) ognuno di voi riceverà una mail con me come
mittente e con [Mlist] aggiunto davanti al mio subject "[OT] Virus e Mlist

  • Leggete tutti" e come destinatario "Mlist" (ovvero tutti voi). Se
  • qualcuno di voi è infetto da uno di questi virus all'arrivo della mia mail
    decideranno che sono il loro nuovo bersaglio e mi invieranno una risposta
    contenente il virus in allegato. Mi troverò quindi decine di mail piene di
    virus pronti ad "uccidere" il mio sistema. Queste mail però non passano
    dal server di mlist, ma sono mail che partono da un utente di Mlist verso
    un altro utente di Mlist (come una qualunque altra mail privata).

    Spero che sia chiaro, quindi, che Mlist non può fare niente a parte
    sensibilizzare i propri utenti al problema "Virus" e consigliare qualche
    rimedio. A tal proposito consiglio a tutti di leggere attentamente una
    mail di Fabio Metitieri intitolata "Virus Trans il cattivo" passata sulla
    lista ieri e contenente informazioni molto utili su come liberarsi di uno
    di questi virus che per altro non viene ancora riconosciuto dalla maggior
    parte degli antivirus.

    Vi chiederei di non mandare più segnalazioni alla lista del tipo "Mlist
    infetta i suoi utenti" o "Mlist è stata colpita da un nuovo virus" perchè
    fino ad ora si sono sempre rivelati falsi allarmi. Devo ammettere che per
    un utente "non tecnico" può essere difficile riconscere la provenienza di
    una email e per questo provo a spiegarvelo velocemente. Chiunque non sia
    interessato ai dettagli più tecnici può tranquillamente interrompere la
    lettura qui, grazie per l'ascolto e scusate l'intrusione.

    Se siete ancora qua vi tocca il mattone tecnico!
    Quasi tutti i client di posta (Outlook, Outlook Express, Eudora e molti
    altri meno diffusi) permettono di guardare il dettaglio delle intestazioni
    (header) di una mail in arrivo (per esempio in OE è sufficiente usare il
    tasto destro del mouse sul titolo del messaggio e andare sulle proprietà,
    mentre su Outlook sempre col tasto destro su "Opzioni" appare un riquadro
    "Intestazioni internet" con l'intera intestazione originale del messaggio).

    Le email provenienti da Mlist si possono riconoscere dalle seguenti
    intestazioni:

    Return-Path: mlist-owner@mlist.it
    From: "Iscritto di mlist che ha inviato il contributo"

    Reply-To: mlist@mlist.it
    X-Loop: mlist@mlist.it
    List-Help:
    List-Subscribe:
    List-Unsubscribe:
    List-Post:
    List-Owner:

    Inoltre sarà presente anche un'intestazione "Received" che elenca i
    passaggi di server che sono stati necessari per recapitare l'email a
    partire dall'indirizzo del computer che l'ha inviata (nel nostro caso si
    chiama imp.datasail.it ).

    Questo campo è molto importante perchè è una delle poche intestazioni che
    non possono essere "contraffate" da un utente maligno (o da un virus)
    poichè vengono inserite dai server che smistano la posta all'atto dello
    smistamento.

    Mittente, destinatario ed le altre informazioni presenti in un messaggio
    di posta elettronica sono invece "facilmente" falsificabili. In ogni caso
    se un messaggio non contiene tutti gli header che ho elencato prima non
    può essere stato generato dal sistema di gestione della mailing list di
    mlist.

    Un ultimo chiarimento: potete notare che l'intestazione che ho riportato
    mette come mittente l'effettivo iscritto che ha contribuito alla lista, ma
    se vi è capitato di rispondere a messaggi della mailinglist avrete notato
    che la vostra risposta non va al mittente del messaggio ma bensì torna
    alla lista in attesa di moderazione. Il motivo di questo strano
    "funzionamento" è la presenza dell'intestazione "Reply-To:" che dice che
    le risposte devono essere inviate a "mlist@mlist.it" e non al mittente del
    messaggio (Non tutti i client di posta supportano questa intestazione ma
    la maggior parte si).

    Ora il virus del quale parlavamo prima "se ne frega" di questa
    intestazione e cerca di infettare comunque il mittente (From:)
    "rispondendo" a lui.

    Per finire un consiglio per tutti gli utenti di Outlook (non l'express) e
    di Eudora che utilizzano le "regole di posta in arrivo" per lo smistamento
    dei messaggi della lista in una cartella apposita: Utilizzate la regola
    "dove il messaggio contiene la seguente intestazione / il seguente testo
    nell'intestazione" mettendo l'intestazione "X-Loop: mlist@mlist.it" (per
    le mail di mlist-large: "X-Loop: mlist-large@mlist.it"): in questo modo è
    più semplice che vengano messi effettivamente in quella cartella le sole
    mail provenienti dalla lista. (P.S. il formato digest non contiene le
    intestazioni citate e quindi è da gestire con le solite tecniche delle
    regole sul mittente)

    A questo punto spero di avervi "stancato" sufficientemente da evitare
    vostre "lamentele" future :-))

    Spero di aver fatto cosa gradita con questa mail e di non essere stato
    troppo "pignolo" e mi impegno a rispondere (con calma) ad eventuali
    obiezioni/suggerimenti.

    Ciao a tutti i superstiti e BUON COMPLEANNO ad ELENA ;-)
    Bago

    ==============================================
    Stefano Bagnara - Technical Manager
    Impression S.p.A. - "serving your e-success"
    via Malpighi 88/14 - 48018 Faenza (RA)
    s.bagnara@impression.it - www.impression.it
    tel: +39 0546 689011 - fax: +39 0546 689012
    ==============================================