abusi

Possono essere volontari, quelli del mascalzone che coscientemente cerca di affliggerci (esempio 1).

Return-Path: <admin@tiscali.it>
Received: from localhost (151.42.213.122) by mail-6.tiscali.it (6.7.019)
id 3FC11D420007DDC9 for pizzico@tiscali.it; Mon, 24 Nov 2003 09:46:32 +0100
Date: Mon, 24 Nov 2003 09:46:32 +0100 (added by postmaster@mail-6.tiscali.it)
Message-ID: <3FC11D420007DDC9@mail-6.tiscali.it> (added by postmaster@mail-6.tiscali.it)
From: admin@tiscali.it
To: Pizzico <pizzico@tiscali.it>
Reply-To: admin@tiscali.it
X-Mailer: The Bat! (v1.61)
X-Priority: 2 (High)
Subject: your account kicoecpw
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------4873DA470024640"

Possono essere involontari, quelli dell'utente che inconsciamente apre la via a worm autoreplicanti, per disattenzione o scarsa conoscenza del problema (esempio 2-3).

Return-Path: <domenicali.infedeli@tiscalinet.it>
Received: from vsmtp1.tin.it (212.216.176.221) by mail-8.tiscali.it (6.7.019)
id 3FC312D1000D2F71 for pizzico@tiscali.it; Tue, 25 Nov 2003 21:37:43 +0100
Received: from czbeozt (82.49.57.50) by vsmtp1.tin.it (7.0.019) id 3FC3690700035780; Tue, 25 Nov 2003 21:15:32 +0100
Date: Tue, 25 Nov 2003 21:15:32 +0100 (added by postmaster@virgilio.it)
Message-ID: <3FC3690700035780@vsmtp1.tin.it> (added by postmaster@virgilio.it)
FROM: "MS Security Assistance" <niitvzauzaa@advisor_microsoft.net>
TO: "Customer" <ebkvw.ffdaflm@advisor_microsoft.net>
SUBJECT: Last Patch
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="akjqvgxatmwodo"

Received: from vigili.tiscali.it (62.11.187.27) by mail-4.tiscali.it (6.7.019)
id 3FBCAC59003C3778 for pizzico@tiscali.it; Mon, 24 Nov 2003 10:49:33 +0100
Message-ID: <3FBCAC59003C3778@mail-4.tiscali.it> (added by postmaster@mail-4.tiscali.it)
From: "Marietta.Lasciamistare"<Consorzioparrucchieri@tiscali.it>
To: pizzico@tiscalinet.it
Subject: PILI-PA
date: Mon, 24 Nov 2003 10:52:17 +0100
MIME-Version: 1.0
X-MIMEOLE: Produced By Microsoft MimeOLE V5.50.4133.2400
X-Mailer: Microsoft Outlook Express 5.50.4133.2400
Content-Type: multipart/mixed;
boundary="----30040FA7_Outlook_Express_message_boundary"
Content-Disposition: Multipart message

Possono essere subiti, da utenti cui sono state forzate le porte del PC o regalato un CD installante programmi di spionaggio. Quest'ultimi vengono generalmente rilevati dall'Antivirus in fase di installazione e dal Firewall che ci richiede l'autorizzazione ad aprire la porta e connettersi in Rete.

Quindi, l'utilizzo congiunto di un buon programma antivirus e un buon programma firewall sono da intendersi indispensabili

per la sicurezza del Pc e della privacy (Windows XP già dispone di firewall, bisogna attivarlo), mentre sarà sempre e comunque opportuno evitare di eseguire allegati di posta inviati da sconosciuti (l'Antivirus potrebbe non essere aggiornato).

In ogni modo, intendiamo identificare correttamente l'untore, magari mascherato sotto falso nome assegnato dallo stesso replicante.

Per far ciò, dobbiamo analizzare gli identificativi (header) del messaggio originale, da proprietà del messaggio. Vedremo quindi una serie di dati del tipo riportato all'(esempio 1):

Apparentemente, il messaggio sembra inviato da admin@tiscali.it e quindi saremmo tentati di ritenerlo sicuro. Invece, il sospetto ci induce a verificare l'indirizzo IP di provenienza.

Forse non tutti sanno esistere un registro mondiale che assegnando gli indirizzi di accesso alla Rete, identifica i diversi Provider. Andiamo direttamente alla pagina: http://www.ripe.net/db/whois.html

Nel riquadro riservato alla chiave di ricerca inseriamo l'IP del messaggio ricevuto cioè, 151.42.213.122

Ci viene immediatamente fornita la risposta in questi termini (l'esposizione è verticale):

inetnum: 151.42.0.0 - 151.42.255.255
netname: IUNET-BNET42
descr:      IUnet
descr:      Via Lorenteggio 257
descr:      Milano, I-20100
country:   IT
admin-c: IIS1-RIPE
tech-c:    IIS1-RIPE
status:    ASSIGNED PA
mnt-by: AS1267-MNT
mnt-lower: AS1267-MNT
mnt-routes: AS1267-MNT
changed: hostmaster@arin.net
changed: hostmaster@arin.net
changed: er-transfer@ripe.net
changed: staff@iunet.it
source:    RIPE

route:        151.42.0.0/16
descr:        INFOSTRADA
origin:       AS1267
cross-mnt: AS1267-MNT
mnt-lower: AS1267-MNT
mnt-routes: AS1267-MNT
mnt-by:   AS1267-MNT
changed: hostmaster@iunet.it
changed: hostmaster@iunet.it
source:   RIPE

person: Infostrada Internet Staff
address: Infostrada SpA
address: Via Lorenteggio 257
address: I-20152 Milano
address: Italy
phone:   +39 02 413311
e-mail:    staff@iunet.it
nic-hdl:   IIS1-RIPE
mnt-by: AS1267-MNT
changed: hostmaster@iunet.it
source:   RIPE

oppure ancora con e-mail a < hostmaster@iunet.it >, modificato da < staff@iunet.it > (ovvero e per non sbagliare, entrambi). Questo indirizzo ufficiale del Provider vede talora disporre di un indirizzo specifico per le rimostranze, che nel caso non appare, generalmente denominato abuse e quindi possiamo provare ad utilizzare pure questo terzo indirizzo: abuse@iunet.it, inviando un messaggio comune ai tre destinatari.

Va segnalato ancora che "professionisti" incalliti usano sistemi di ridestinazione del messaggio, rendendo talora impossibile la loro corretta identificazione e neutralizzazione.

Per quanto attiene all'(esempio 2-3), possiamo tentare di avvertire domenicali.infedeli e Marietta.Lasciamistare che qualche loro corrispondente è stato incauto. Ma non è detto che tali nominativi siano reali e corretti. Meglio ricercare l'IP del Provider che peraltro, in questi casi, sarà subissato di segnalazioni e potrebbe nemmeno risponderci, già impegnato ad identificare l'untore.

Da ultimo, nel raccomandare ancora il regolare aggiornamento dei file di definizione virus, segnaliamo alcuni programmi di uso gratuito in ambito domestico, da ricercarsi nella versione per il vostro Sistema Operativo.

Caricati su: http://volftp.mytech.it/

ANTIVIRUS

AVG Free Edition.

Avast! Home Edition.

AntiVir Personal Edition.

FIREWALL

Omniquad Personal Firewall.

Kerio Personal Firewall.

Zone Alarm.

ABUSI