Discussion:
articolo su nuovo tipo di virus
(too old to reply)
Mailing List Manager
2007-12-01 13:52:29 UTC
Permalink
----- Forwarded message from Diego Tomaselli <diegotom(at)hotmail.com> -----
From: Diego Tomaselli <diegotom(at)hotmail.com>
To: ml(at)sikurezza.org
Subject: articolo su nuovo tipo di virus

Ciao a tutti, vi segnalo questo articolo apparso recentemente su html.it:

"Il Virus Perfetto"

http://sicurezza.html.it/articoli/leggi/2450/il-virus-perfetto/

Saluti,

Diego
----- End forwarded message -----
Stefano Zanero
2007-12-02 09:47:47 UTC
Permalink
Post by Mailing List Manager
"Il Virus Perfetto"
http://sicurezza.html.it/articoli/leggi/2450/il-virus-perfetto/
Bello, posso fare alcune obiezioni ?

1) Se c'e' un meccanismo di disattivazione (se sei infetto non ricevi
mail di bombing) c'e' un meccanismo di C&C (command and control) che
puo' essere utilizzato per fingersi infetti ed evitare di ricevere le
mail suddette.

2) Se c'e' un modo, per i client infetti, di rendersi conto che stanno
ricevendo un mailbombing, e di dire "sono infetto, non scocciarmi",
basta usare quel modo per filtrare i suddetti messaggi a carrier-level

3) Basta un qualsiasi antivirus con una euristica anti-massmailer per
individuare un comportamento del genere

4) Se e' una ricerca supersegreta, scusa sai, ma vedo difficile che il
primo a saperlo sia html.it :)

Morale della favola: quando lo scopo e' fare hit, meglio evitare di
scrivere degli hoax atomici :D

Peraltro googlando c'e' almeno un'altra copia dello stesso articolo, o
lo hai postato su piu' siti, o te l'han copiato ;)
--
Cordiali saluti,
Stefano Zanero

Politecnico di Milano - Dip. Elettronica e Informazione
Via Ponzio, 34/5 I-20133 Milano - ITALY
Tel. +39 02 2399-4017
Fax. +39 02 2399-3411
E-mail: ***@elet.polimi.it
Web: http://home.dei.polimi.it/zanero/

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
rino lo turco
2007-12-02 16:37:24 UTC
Permalink
Domanda agli esperti di sicurezza.
è possibile realizzare un documento (ad esempio open office) che faccia
sapere al mittente che è stato letto?
In altri termini premesso che il documento contiene dati riservati e che
la loro conoscenza deve essere un atto di scelta e non un automatismo
come attuare cio'?
come fare in modo che il mittente sappia che il documento è stato letto
e quindi accettato nelle condizioni necessarie per la sua lettura?

rino
Alessio Cecchi
2007-12-03 13:11:51 UTC
Permalink
Ú possibile realizzare un documento (ad esempio open office) che faccia
sapere al mittente che Ú stato letto?
Mi sembra che i documenti in PDF, se letti con un reader di Adobe abbastanza
recente, possano dare questa conferma a chi ha prodotto il documento. Il
tutto inserendo del codice JavaScript nel documento.

Purtroppo non ho dettaglio ulteriori in merito.
Ciao
--
Alessio Cecchi is:
@ ILS -> http://www.linux.it/~alessice/
Assistenza Sistemi GNU/Linux -> http://www.cecchi.biz/
@ PLUG -> Presidente, http://www.prato.linux.it
killmeno9
2007-12-04 13:02:38 UTC
Permalink
Post by rino lo turco
In altri termini premesso che il documento contiene dati riservati e
che la loro conoscenza deve essere un atto di scelta e non un
automatismo come attuare cio'?
Il problema è un'altro: chi deve poter leggere, spedire, ricevere un
documento?
Post by rino lo turco
come fare in modo che il mittente sappia che il documento è stato
letto e quindi accettato nelle condizioni necessarie per la sua lettura?
Posta Elettronica Certificata dovrebbe essere la risposta alla tua
domanda pechè hai una ricevuta di ritorno come con una raccomandata con
ricevuta di ritorno.

La questione però dovrebbbe essere di più ampio respiro: come si può
gestire la riservatezza dei documenti in un ambiente di collaboration?
P.e. documento riservato sul pc, ho troppi strumenti per rubare il
documento: chiavi usb, dipostivi firewire, irda bluetooth, posta, client
irc, msn, ftp, etc, ftp etc..
Marco Ermini
2007-12-05 14:26:02 UTC
Permalink
Post by rino lo turco
Domanda agli esperti di sicurezza.
è possibile realizzare un documento (ad esempio open office) che faccia
sapere al mittente che è stato letto?
[...]

No, a meno che tu non possa installare un plug-in nel cervello dell'utente...

Uno ancora più utile potrebbe essere creato per capire se, oltre ad
averlo letto, l'ha pure compreso ;-)


Cordiali saluti
--
Marco Ermini
***@human # mount -t life -o ro /dev/dna /genetic/research
http://www.markoer.org/ - https://www.linkedin.com/in/marcoermini
"Jesus saves... but Buddha makes incremental back-ups!"
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Gian Franco Baroni
2007-12-03 11:21:14 UTC
Permalink
Post by Stefano Zanero
Morale della favola: quando lo scopo e' fare hit, meglio
evitare di scrivere degli hoax atomici :D
Appunto...
Poi, dall'articolo, sembra che la costruzione di questo
super virus sia semplice.
Allora, per quale motivo non ne abbiamo ancora visto uno in
azione?
:-)

Ciao

Gian Franco Baroni
-----------------------------------------------------------

/"\
\ / ASCII RIBBON CAMPAIGN
X AGAINST HTML MAIL
/ \
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
TNT
2007-12-03 15:02:15 UTC
Permalink
Post by Gian Franco Baroni
Post by Stefano Zanero
Morale della favola: quando lo scopo e' fare hit, meglio evitare di
scrivere degli hoax atomici :D
Appunto...
Poi, dall'articolo, sembra che la costruzione di questo super virus
sia semplice. Allora, per quale motivo non ne abbiamo ancora visto
uno in azione? :-)
Non me ne voglia l'autore, ma l'assurdita' dei contenuti e toni di
questo articolo e' cosi' palese che francamente mi chiedo come sia
possibile che sia stato pubblicato su un sito relativamente "serio".
L'unica cosa che questo articolo (le cui assurdita' tecniche/logiche
sono state mostrate ampiamente su it.comp.sicurezza.virus, fra l'altro)
riesce a fare e' gettare una PESSIMA luce sul sito che l'ha pubblicato.


..
Dario Cavallaro
2007-12-04 20:36:51 UTC
Permalink
Post by Gian Franco Baroni
Post by Stefano Zanero
Morale della favola: quando lo scopo e' fare hit, meglio
evitare di scrivere degli hoax atomici :D
Appunto...
Poi, dall'articolo, sembra che la costruzione di questo
super virus sia semplice.
Allora, per quale motivo non ne abbiamo ancora visto uno in
azione?
:-)
Scusatemi ma vorrei approfittarne per smontare la teoria anche dal punto
di vista della debolezza del protocollo SMTP e sue
estensioni/implementazioni.

1) I classici attacchi di diretory harvest/mail bombing/DoS su smtp
ormai sono facilmente eludibili grazie a firewall/throttling. Facciamo
un'esempio: se ho configurato bene il mio server smtp, non accetto più
di 50 email per connessione smtp e non accetto più 30 connessioni in 60
secondi. Per non parlare del fatto che non esporrei mai un server ad
accessi incondizionati senza un qualche sistema di firewalling.

2) Ormai server smtp senza una qualche forma di protezione contro
spam/virus sono rari, e comunque sia, aiutano ad eludere questo
pericoloso e famigerato virus "mafioso" ;-) (anche se non lo
prevengono). Facciamo un esempio: se ho configurato bene il mio server
avrò implementato almeno uno fra i sistemi di blacklisting degli
indirizzi IP, greylisting, OSPF, ecc ecc. Quante possibilità ci sono che
io riesca ad inviare migliaia di email infette o di spam senza essere
blacklistato? Quante email mi farà inviare il mio ISP senza bloccarmi?
Se non utilizzerò l'smtp del mio ISP, sarà registrato il dominio
utilizzato? Da chi? Come? Quando? Perchè? Con che indirizzo IP? E
sopratutto: se invio una mail con dominio hotmail.it, e l'smtp dalla
quale la invio non corrisponde ai record DNS registrati, in quanti me
l'accetteranno? Ammettendo che si riesca ad effettuare uno spoofing del
record MX, quanto tempo ci si starebbe per capirlo?

3) Se la mia macchina riesce ad inviare più di 1000 mail al minuto,
credo che me ne accorgerei (non riuscirei a lavorarci/navigarci), se ne
accorgerebbe il mio ISP e tutti quelli che riceveranno le mie mail. Se
sono un utente poco esperto chiamo il mio amico/tecnico di fiducia che
si accorge che c'è tanto traffico in uscita e se uso windows, come
minimo me la formatta. Nel frattempo mi hanno blacklistato l'IP con cui
mi collegavo (se ho un router sempre acceso con un ISP che non ruota gli
indirizzi), i laboratori delle maggiori aziende produttrici di antivirus
hanno già rilasciato le firme per il proprio antivirus ed i sistemi
antispam hanno elaborato le regole per fermare le mail che inviava il
mio pc. Il tutto nel giro di 24/48 ore.

Grazie per l'attenzione.

Dario Cavallaro
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
marco misitano
2007-12-03 16:42:10 UTC
Permalink
Post by Mailing List Manager
"Il Virus Perfetto"
http://sicurezza.html.it/articoli/leggi/2450/il-virus-perfetto/
Non 'sparo' ulterioremente, peró una curiositá mi resta:

dici: "È questo il caso di una ricerca molto particolare, finora rimasta
(non a caso) riservata solo ad un ristrettissimo gruppo di ricercatori
che, imbavagliati dai soliti accordi di riservatezza legati alla
brevettabilità del software, non sono autorizzati a sottoporre alla
comunità informatica un problema per il quale non hanno ancora trovato
la relativa soluzione."

Possiamo (noi comuni mortali) vedere gli atti o i risultati di questa
ricerca segretissima e che ha ispirato la scrittura di questo articolo ?

ciao
--
Marco Misitano
http://misitano.com

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Sandro Fontana
2007-12-04 16:19:56 UTC
Permalink
Post by rino lo turco
Domanda agli esperti di sicurezza.
è possibile realizzare un documento (ad esempio open office) che faccia
sapere al mittente che è stato letto?
In altri termini premesso che il documento contiene dati riservati e che
la loro conoscenza deve essere un atto di scelta e non un automatismo
come attuare cio'?
come fare in modo che il mittente sappia che il documento è stato letto
e quindi accettato nelle condizioni necessarie per la sua lettura?
rino
E' possibile realizzare dei documenti PDF i quali, per mezzo della
Adobe LiveCycle Enterprise Suite, possono avere delle policy di
sicurezza associate: apertura, stampa modifica ... condizionate ad
un accesso autenticato da parte dell'utente.

Vengono sfruttare le "Reader Extensions", codice presente in tutti i
reader Adobe, ma messe in esecuzione solo da PDF preparati ad-hoc.

Fra le funzioni e' presente anche il log delle operazioni effettuate
sul documento PDF.

Alcune policy possono essere gestite anche off-line; in generale la suite
da il meglio di se nella gestione sicura dei documenti, potendo fruire di una
connessione on-line con il server LiveCycle.


Saluti, S.




Sandro Fontana, CISSP, L.A. BS7799, CISM, CISA
mobile: +39 335 8125031 callto://sinetqnlap
Continue reading on narkive:
Loading...