Articoli

Mydoom, la fiera dell'incoscienza

di Paolo Attivissimo

thumbnail

04

Feb

2004

Incoscienti gli utenti che si fanno infettare, ma ancora più incoscienti gli amministratori di sistema e i produttori di antivirus che spammano la Rete con falsi avvisi di infezione assolutamente inutili

Una volta tanto non è colpa di Microsoft. Questa è una delle poche certezze in quella che ormai si delinea come la Caporetto della sicurezza informatica planetaria. Sì, perché Mydoom, nonostante il milione stimato di computer infetti, è uno dei virus più stupidi in circolazione: la sua unica particolarità di rilievo è che usa anche i circuiti peer-to-peer come Kazaa. Questo rende ancora più deprimente il suo successo.

Avesse sfruttato una vulnerabilità conosciuta di Windows, come perlomeno avevano l'astuzia di fare Blaster o Slammer/SQL Hell, avremmo potuto fare spallucce e dire che non era colpa nostra e non ci potevamo fare nulla. Ma Mydoom infetta soltanto se l'utente Windows apre il file allegato o scaricato dal circuito P2P e oltretutto fa spavaldamente a meno dell'antivirus, nonostante ci si sgoli da anni a ripetere che aprire gli allegati è pericoloso e girare per Internet con Windows senza antivirus aggiornato è stupido come presentarsi in pelliccia a una battuta di caccia: non ci si deve lagnare se poi si finisce impallinati.

Difendersi è insomma facilissimo. Si sperava che la lezione fosse stata imparata con i disastri di Happy99 e Iloveyou, o con il più recente sfacelo di Sobig. Macché: la cocciuta incoscienza degli utenti prosegue imperterrita. Di fronte a questa conferma del famoso detto che i due elementi più comuni dell'universo sono l'idrogeno e la stupidità, la mia proposta-provocazione di offrire account di posta che bandiscono gli allegati non sembra neanche tanto strampalata: avrebbe certo evitato del tutto l'infezione. Anche perché di quest'incoscienza fanno le spese anche gli utenti diligenti: la posta di tutta Internet è in crisi perché i server sono intasati dalle copie di Mydoom.

Forse il problema è che le raccomandazioni che scrivono da anni gli addetti ai lavori restano parcheggiate nelle riviste d'informatica e nei siti specializzati. La stampa generalista, che tanto potrebbe fare per creare consapevolezza del problema, emana soltanto irresponsabili proclami da panico a base di mafia russa, presunte "vendette" contro SCO da parte dei linuxiani (attenti, questa è diffamazione fatta senza uno straccio di prova) ed e-mail che infetterebbero al solo passarvi sopra con il mouse, tralasciando quello che serve veramente ma non fa spettacolo: i dettagli tecnici sulle facili difese da adottare.

Ci vuole una nuova forma di comunicazione. Forse noi smanettoni dovremmo attrezzarci con un adesivo da esporre sull'auto: "Chi apre gli allegati avvelena anche te. Digli di smettere". Così magari gli utenti incoscienti vengono a chiederci spiegazioni.


Colpa del virus? Non solo

L'incoscienza negli utenti comuni è però tutto sommato perdonabile: chi usa il computer senza farne il perno della propria esistenza non ha né tempo né voglia di studiare gli arcani delle vulnerabilità informatiche e ha il diritto di aspettarsi che un sistema operativo non sia un tale vergognoso colabrodo. E' assai meno perdonabile, invece, l'incoscienza dimostrata dai provider di Internet e dagli amministratori di rete aziendali: quelli che ci deliziano con le notifiche riguardanti virus che non abbiamo mandato.

Infatti Mydoom, come tutti i virus (o più propriamente worm) da anni a questa parte, falsifica l'indirizzo del mittente del messaggio che lo veicola, e lo fa attingendo alla rubrica degli indirizzi dell'utente infettato. In altre parole, il mittente di qualsiasi messaggio infetto da Mydoom non è quello indicato nel messaggio, ma un suo conoscente. Questo è un dettaglio ampiamente descritto da tutti i siti di sicurezza informatica.

Di conseguenza, è totalmente inutile rispondere al mittente apparente di un messaggio infetto e coprirlo d'insulti: non è lui o lei che ve l'ha mandato. Bastano tre neuroni in fila per capire questo semplice fatto.

Fatto che però sfugge a tanti, tanti amministratori di rete, che programmano i propri antivirus in modo che emettano automaticamente una notifica di messaggio infetto. Notifica che però l'antivirus ingenuamente invia al mittente falso indicato nel messaggio contaminato, ossia alla casella di posta di un utente che non c'entra nulla. Ecco perché state ricevendo così tanti avvisi che vi accusano di aver disseminato virus anche se siete sicuri di non essere infetti (o non potete esserlo neppure se voleste, perché usate Mac o Linux).

Questo naturalmente intasa ulteriormente la Rete di messaggi inutili: per ogni copia del virus che ricevono, questi antivirus rigurgitano un e-mail di notifica, raddoppiando il traffico. Siamo arrivati al ridicolo che le nostre caselle di posta sono ormai sgombre da Mydoom ma sono di nuovo intasate dalle notifiche inutili generate dagli antivirus.

A parte peggiorare il carico sui server di posta, questi avvisi ingannevoli contribuiscono a colmare le caselle di posta degli utenti, che già sono facilmente al limite del riempimento a causa delle copie del virus. Quando un utente ha la casella piena, i messaggi legittimi che gli vengono mandati tornano indietro respinti, e questo non solo causa disservizio, ma genera un altro messaggio di avviso e quindi altro traffico.

Sempre grazie alla strana coppia virus-notifica, le newsletter e le mailing list rischiano di smarrire iscritti, perché il software che le gestisce di solito disiscrive automaticamente gli indirizzi che danno errore un tot di volte di seguito: e in queste circostanze saranno molte le caselle a dare errore ripetutamente perché piene di virus e di notifiche.

Come se non bastasse, c'è anche il procurato allarme: è chiaro che un utente non esperto si fiderà della notifica e crederò di essere infetto, con tutta l'ansia che ne consegue, e che l'assistenza informatica delle aziende sarà sommersa di chiamate di dipendenti nel panico, da ispezionare e tranquillizzare uno per uno. Tutto questo per colpa di notifiche che non servono a nulla.

Si arriva al ridicolo quando ci si imbatte in quei gateway antivirus che non solo mandano un avviso inutile, ma allegano addirittura una copia del virus. Cerchiamo di capirci: questi programmi mandano un virus a un utente che non c'entra nulla. Roba da denuncia.

La situazione più sublime, però, si ha quando due di questi programmi che allegano copie del virus alle notifiche iniziano a notificarsi a vicenda. L'antivirus di A manda a B (che non è colpevole, perché non è il vero mittente del messaggio infetto) un avviso del tipo "guarda! mi hai mandato questo virus!" e allega una copia del virus. B risponde ad A notificandolo che anche A ha mandato un virus, e glielo allega. Così A replica di aver ricevuto un altro virus da B e glielo allega, B risponde notificando A.... e così via all'infinito. E poi ci si chiede come mai i server di posta s'impallano.


Non sparate al sysadmin

Alcuni dei quasi cento sysadmin italiani ai quali ho scritto chiedendo perché mai si ostinassero a mandarmi queste notifiche totalmente inutili hanno risposto che non avevano considerato il problema del sovraccarico dovuto alle notifiche e che avrebbero disattivato quest'opzione nei loro gateway, notificando d'ora in poi il destinatario anziché il falso mittente. Peccatori d'omissione, insomma, ma pronti a ravvedersi.

Altri, invece, ritengono che notificare il mancato arrivo di un messaggio perché bloccato dall'antivirus sia comunque un dovere tanto quanto inviare una notifica quando un messaggio non arriva a destinazione per uno dei tanti altri normali disguidi della Rete. Argomentano che lo si deve fare perché ci può essere ogni tanto chi manda un messaggio volontariamente (quindi senza falsificare il mittente) senza sapere di trasmettere un'infezione virale. Per esempio, un fornitore può mandare inconsapevolmente un documento o un programma infetto a un cliente, e in tal caso la notifica consente di avvisare il mittente del suo problema.

Il ragionamento fila, ma di fronte a collassi di mailserver come quelli che stanno avvenendo in questi giorni, non si può seguire un principio assoluto: bisogna valutare il male minore. Lasciare attivate le notifiche sicuramente causa danni enormi; disattivarle farà forse perdere qualche messaggio di chi manda (scientemente o meno) un virus usando il proprio indirizzo autentico. I più riluttanti potrebbero disattivare le notifiche almeno durante questi picchi d'infezione virale.


Notifica o spam?

Sono considerazioni condivise da molti dei produttori di antivirus. Graham Cluley, senior technology consultant di Sophos, nota che i primi sviluppatori di gateway antivirus pensarono fosse una buona idea includere una notifica automatica (autoresponder), ma che da allora "come si è visto con la crisi di MyDoom, gli autoresponder hanno in realtà peggiorato la situazione".

Cluley avvisa che oggi "i produttori di antivirus farebbero bene a disabilitare questa funzione se ancora esiste nei propri prodotti, e molti di essi hanno consigliato ai propri clienti di non usarla". Più chiaro di così.

Anche F-Secure, tramite Fabrizio Cassoni di Symbolic.it, è categorico a proposito delle notifiche, notando che nei suoi prodotti l'opzione di notifica è disattivata per default e che l'helpdesk ne sconsiglia sempre l'uso indiscriminato, lasciandola attiva solo sulla posta interna o in uscita, in modo da non causare disagi al di fuori della rete locale. Altri vendor di antivirus contattati in proposito non hanno rilasciato dichiarazioni.

Ci sono opinioni ancora più drastiche da parte delle vecchie volpi di Attrition.org, che si chiedono fra il serio e il faceto perché esistano ancora queste opzioni di notifica quando tutti sanno che non servono a nulla. La risposta sarebbe che la notifica è un ottimo veicolo pubblicitario: se ci fate caso, praticamente tutte le notifiche non si limitano a dire "messaggio respinto perché infetto", ma contengono fior di dettagli su quale antivirus ha bloccato l'oggetto infetto e dove comperarne una copia. Un'infezione come quella di Mydoom permetterebbe insomma ai produttori di antivirus di disseminare via e-mail un enorme numero di messaggi commerciali in favore dei propri prodotti.

La cosa ironica è che la notifica, se contiene quei dettagli, diventa una pubblicità inviata senza il consenso del destinatario: spam, insomma. E come dice il Garante per la protezione dei dati personali, "inviare e-mail pubblicitarie senza il consenso del destinatario è vietato dalla legge. Se questa attività, specie se sistematica, è effettuata a fini di profitto si viola anche una norma penale e il fatto può essere denunciato all'autorità giudiziaria. Sono previste varie sanzioni e, nei casi più gravi, la reclusione." Insomma, cari sysadmin così prodighi di notifiche, attenzione: qualche utente iracondo potrebbe anche denunciarvi come spammer o farvi finire nelle temute blacklist. Pensateci.


Ce n'è per tutti

Di responsabilità, nel caso di MyDoom, ce ne sono abbastanza per tutte le parti in gioco. A parte quella ovvia dell'autore del worm, c'è quella degli utenti imbranati che non ascoltano i semplici consigli degli esperti; ci sono gli amministratori di rete che peggiorano la situazione diffondendo notifiche inutili; e ci sono i produttori di alcuni antivirus, compresi quelli gratuiti e liberi come Amavis, che mantengono un'opzione di notifica resa obsoleta dall'evoluzione tecnologica dell'avversario. Sul ravvedimento operoso di chi crea virus, non più per vandalismo o vanagloria come un tempo ma per profitto, non possiamo contare: ma prima della prossima crisi sarebbe bello vedere qualche segno di cambiamento negli altri.