Feeds:
Posts
Comments

Archive for December, 2008

Spazi vivi

Microsoft Live SpamI lettori affezionati di Security Fix, l’ottimo angolo dedicato al mondo della sicurezza informatica del Washington Post, certamente non si saranno persi questo articolo, che in realtà si limita a rendere noto al pubblico della rubrica quel che di fatto già si vede da tempo nelle traps: i servizi di Microsoft sono attualmente una delle risorse più pregiate a disposizione degli spammer, e Microsoft pare non essere granchè interessata ad occuparsene.

In breve, il discorso, è questo: i portali di Microsoft (spaces.live.com in primis) stanno venendo utilizzati oramai da svariati mesi da parte di bot che effettuano registrazione ottenendone spazio web utilizzabile; spazio sul quale viene poi depositato il contenuto desiderato dallo spammer.

Lo spam può quindi partire con contenuti sufficientemente minimali da non “far scattare” le usuali metriche di filtraggio sui contenuti, contenendo invece semplici link che puntino allo spazio web suddetto.

Se non ci sono gli estermi per poter filtrare la singola mail sulla base della sua semplice provenienza (ovvero: se la mail non ci sta ragiungendo in direct-to-MX), significa che ci sono pochi “appigli” sulla base dei quali poter basare un filtraggio, salvo il link stesso.

Come i più avvezzi sapranno, ci sono progetti che si occupano espressamente di mantenere DNSBL contenenti domini avvistati come target di link all’interno di spam. Tra questi, il più noto ed affidabile è certamente SURBL.

Il problema (o “il vantaggio”, per lo spammer) è il fatto che SURBL, per policy, non lista domini che non siano sotto il diretto ed univoco controllo da parte dello spammer, e che -soprattutto- limita il listing al secondo livello. Ovvero, nel caso in questione, SURBL pubblica informazioni relative al fatto che “live.com” sia o meno un dominio in uso a spammer, ma nulla dice relativamente agli eventuali (ed abbondanti) sotto-domini dello stesso. (Ci sono in realtà svariate ragioni per questa scelta di SURBL, ma troppo lunghe da esaminare qui…)

Poichè evidentemente “live.com” non è risorsa di spammer, non viene listato, e con ciò anche l’informazione più significativa presente nello spam ricevuto diviene tutto sommato inutile, a meno che non iniziate a popolare (visti i numeri in gioco, meglio se in automatico), una vostra lista dei sotto-domini utilizzati per il giochino, da utilizzare poi come parte del vostro rulset.

Qui, ad esempio, trovate quelli da me rilevati nel corso degli ultimi 30 giorni precedenti a questo post (circa), con al fianco data e ora in cui essi sono stati listati. Prima che vi prendiate la briga di contarli, sono 6270.

La cosa più interessante (e grave), tuttavia, non è il numero in sè, quanto il fatto che, se provate a visitarli (attenzione: declino qualsiasi responsabilità qualora vi siano malware downloader dentro, non li ho certo verificati uno per uno, quindi fate a vostro rischio e pericolo) vedrete che la stragrande maggioranza di essi è ancora attiva, con i propri contenuti bellamente disponibili: casinò, pilloline, un po’ di porno tanto per gradire, ecc.

Se considerate che tutto ciò avviene in casa dell’azienda che annunciava come avrebbe eliminato lo spam dalla faccia della terra entro il 2006, ci sarebbe da ridere, se non ci fosse da piangere…

Read Full Post »

Tra le funzionalità indubiamente utili (per la propria vanità, ovviamente) di WordPress, c’è senza ombra di dubbio la sezione relativa alla reportistica. Sapere chi è arrivato sul vostro blog, da dove e, eventualmente, cercando cosa.

La curiosità è ralativa al “cercando cosa”.

Visto il tema degli articoli che normalmente metto qui, mi aspetterei ricerche relative a parole-chiave che abbiano attinenza ad eventi e nomi del mondo dello spam. Chessò, “Atrivo”, o “McColo”, o “botnet”. Ci sono anche queste, è vero.

Ma il maggior numero di ricerche riguarda, in varie scritture, “come craccare ftp”.

Ci deve essere un sacco di gente con le mani che gli prudono, lì fuori…

Read Full Post »

VM e HA: Kemari

Leggo e rigiro dal blog di Xen questo post.

In soldoni (ovvero semplificando parecchio), il gioco è questo: una macchina virtuale viene eseguita da un server Xen. L’immagine di tale VM viene tenuta sincronizzata con un secondo server Xen. Se si rileva che il primo server fisico (dove la VM sta “girando”) è morto, l’esecuzione della VM viene ripresa sul secondo server dal punto in cui tutto si era interrotto.

Non nego che alcuni dettagli mi lasciano indubbiamente perplesso, perchè penso che il timing delle operazioni di sincronia sia decisamente risicato, e immagino almeno una mezza dozzina di scenari in cui il disallineamento nello stato di esecuzione ha potenzialmente risultati pessimi.

Inoltre ho l’impressione che per poter rendere il giochino prestante (inteso come prestazioni della VM “replicata”), la rete utilizzata per le operazioni di sincronia dovrebbe garantire basse latenze, alti throughput ecc, poco compatibili con la “classica” Gigabit Ethernet.

E’ indubbio, tuttavia, che l’oggetto è assai interessante…

Read Full Post »

%d bloggers like this: