Ancora sul Sobig
Luca Giuzzi
giuzzi a lugbs.linux.it
Mer 10 Set 2003 15:22:44 UTC
On Wed, Sep 10, 2003 at 04:30:27PM +0200, Maurizio Paolini wrote:
>
> Per me, la tecnica di usare 'antivirus' non e' ottimale; e' un po' come
> curare solo i sintomi di una malattia senza andare alla radice.
>
Questo e' vero, ma purtroppo si devono effettuare alcune considerazioni:
a. non e' spesso possibile accedere fisicamente alle macchine
infette e nemmeno ai loro proprietari (con un bel randello);
b. le macchine infette possono avere indirizzi IP dinamici, per cui
l'approccio "blacklist" rischia di costringere a
congelare tutto un range e di colpire anche persone che non
c'entrano per nulla col problema [pensa al caso "providers"
tipo tiscali/fastweb/etc.];
c. l'utente medio di macchina infetta e' il classico soggetto che
"seleziona tutti i links che trova", vedi
'http://ars.userfriendly.org/cartoons/?id=20030823'
che, ahime', e' decisamente realistico;
d. i virus, sino a che esistono utenti del tipo (c), sono destinati
a rimanere e a propagarsi, indipendentemente dalla presenza
di antivirus; il problema per le altre persone e' (in questo
momento) soprattutto l'enorme quantita' di traffico che tende
a riempire tutte le caselle soggette a quota.
---
Venendo al punto:
1. La soluzione RBL e' praticabile per lo spam, ma
(secondo me) poco ragionevole contro i virus.
2. L'inserimento di filtri antivirus sui server SMTP `in uscita' e'
proponibile, ma poco pratico, soprattutto alla luce del fatto che
un worm puo' tranquillamente implementare la parte di protocollo
che gli serve.
3. Il bloccaggio di tutte le connessioni da/per porta 25 al di fuori
di `indirizzi ben noti' (i.e. impiegare whitelists) e' poco pratico
Rimane dunque la possibilita' di filtrare la posta in arrivo sui
server... questa e' una soluzione che nasconde i sintomi e, parzialmente,
riduce i rischi di propagazione dell'infezione; sicuramente non risolve
il problema ma quantomeno evita che la crescita sia esponenziale
[sarebbe interessante uno studio di tipo epidemiologico... secondo me
la crescita in presenza di antivirus rimane comunque superlineare]
ciao,
lg
--
Maggiori informazioni sulla lista
Lug
|