linux user group brescia
immagine del castello

Archivio della mailing list

Ancora sul Sobig

Luca Giuzzi giuzzi a lugbs.linux.it
Mer 10 Set 2003 15:22:44 UTC 
On Wed, Sep 10, 2003 at 04:30:27PM +0200, Maurizio Paolini wrote:
> 
> Per me, la tecnica di usare 'antivirus' non e' ottimale; e' un po' come
> curare solo i sintomi di una malattia senza andare alla radice.
> 

Questo e' vero, ma purtroppo si devono effettuare alcune considerazioni:
 a. non e' spesso possibile accedere fisicamente alle macchine
   infette e nemmeno ai loro proprietari (con un bel randello);
 b. le macchine infette possono avere indirizzi IP dinamici, per cui
   l'approccio "blacklist" rischia di costringere a
   congelare tutto un range e di colpire anche persone che non
   c'entrano per nulla col problema [pensa al caso "providers"
   tipo tiscali/fastweb/etc.];
 c. l'utente medio di macchina infetta e' il classico soggetto che
   "seleziona tutti i links che trova", vedi 
    'http://ars.userfriendly.org/cartoons/?id=20030823'
    che, ahime', e' decisamente realistico;
 d. i virus, sino a che esistono utenti del tipo (c), sono destinati
    a rimanere e a propagarsi, indipendentemente dalla presenza
    di antivirus; il problema per le altre persone e' (in questo
    momento) soprattutto l'enorme quantita' di traffico che tende
    a riempire tutte le caselle soggette a quota.

---
 Venendo al punto:
 1. La soluzione RBL e' praticabile per lo spam, ma
 (secondo me) poco ragionevole contro i virus.
 2. L'inserimento di filtri antivirus sui server SMTP `in uscita' e'
 proponibile, ma poco pratico, soprattutto alla luce del fatto che
 un worm puo' tranquillamente implementare la parte di protocollo
 che gli serve.
 3. Il bloccaggio di tutte le connessioni da/per porta 25 al di fuori
 di `indirizzi ben noti' (i.e. impiegare whitelists) e' poco pratico
 
 Rimane dunque la possibilita' di filtrare la posta in arrivo sui 
 server... questa e' una soluzione che nasconde i sintomi e, parzialmente,
 riduce i rischi di propagazione dell'infezione; sicuramente non risolve
 il problema ma quantomeno evita che la crescita sia esponenziale
 [sarebbe interessante uno studio di tipo epidemiologico... secondo me
 la crescita in presenza di antivirus rimane comunque superlineare]

ciao,
 lg
--

Maggiori informazioni sulla lista Lug