Torno a casa stasera dopo che mi sono stati segnalati alcuni articoli pubblicati da testate più o meno famose e che stanno rimbalzando da forum a forum.
Chiunque sia possessore di una linea ADSL qui in Italia si sarà reso conto che ultimamente la connessione è molto altalenante, con problemi di raggiungiblità di siti web e addirittura disconnessioni continue. Interessante notare come la colpa sia stata girata su malware informatici.
Cito, tra i tanti che sono usciti scelto a caso, alcune righe dell’articolo di Repubblica.it, raggiungibile a questo indirizzo.
Decine di tentativi prima di inviare una e-mail. Il tutto sembra avvenire ovunque in Italia e con i principali operatori. “È vero, ma non è colpa nostra: la causa è un’epidemia di malware, spyware e adware che sta colpendo i server Dns di tutti gli operatori”, dicono da Telecom Italia.
Il panorama informatico italiano sta vivendo un momento particolare dal punto di vista dei malicious software. In tutto il mondo si sono andate sviluppando nuove tipologie di attacchi, i cosiddetti attacchi mirati.
Cosa significa tutto ciò?
I virus writer si sono resi conto che lo scrivere un worm quale sono stati i vecchi Blaster o Sasser non porta a niente di buono se non ad una prova di forza. É vero, il worm si è diffuso in tutto il mondo in poche ore, ma ha attirato immediatamente tutti gli sguardi dei maggiori ricercatori di sicurezza al mondo, i quali hanno rilasciato aggiornamenti praticamente subito per i propri software antivirus. La stampa stessa ingigantisce subito la questione. L’unico risultato del virus writer è stato quello di far parlare di sé per qualche giorno, sapendo bene che i servizi segreti sono già sulle sue tracce. Quelli di Sasser e Blaster sono stati due tipi di attacco globale, una sorta di sparare alla cieca in mezzo alla folla.
Differentemente, se un virus writer – o chi ne è alle spalle – vuole ricavare qualcosa di buono dal frutto di un’infezione, deve studiare particolarmente bene un determinato obiettivo. Deve studiarne le vulnerabilità, i punti deboli, come aggirarli e ottenere quello che si vuole. Ecco che si vanno sviluppando quindi determinati tipi di trojan non più adibiti ad infezione globale, ma mirata verso, per esempio, una determinata azienda. Ovviamente il tutto cercando di fare il più silenzio possibile per evitare di essere riconosciuti e individuati.
L’Italia non è fuori da questo trend che si sta evolvendo a livello mondiale, anzi, in questi ultimi mesi è passata dalla parte non più di spettatore ma da quella della parte lesa.
Sono state infatti isolate notevoli infezioni scritte appositamente per colpire gli utenti italiani. Chi segue il mondo della sicurezza informatica, ma anche chi si diletta navigando sui forum online, conosce sicuramente il caso Gromozon – un caso di cui poche testate giornalistiche si sono occupate e che ha colpito per mesi silenziosamente centinaia di pc italiani.
Gromozon è stato appositamente studiato per il territorio italiano. Lo si capisce dai siti che trasmettevano l’infezione, raggiungibili esclusivamente se il pc era localizzato in Italia. Lo si capisce dal dialer che l’infezione installava, contenente ben nove numeri a pagamento con prefissi 899 e 892 attivi su territorio italiano.
Ancora, andiamo a parlare del più recente avvocato che avrebbe dovuto praticamente denunciare mezza Italia via e-mail, caso meglio conosciuto come infezione da Trojan.Spambot. Anche qui il famoso removal_tool.exe è stato scritto appositamente per il territorio italiano. Lo si può notare dall’e-mail che invia, scritta in un italiano perfetto e credibilissimo, lo si può capire dal fatto che se ne guarda bene dall’infettare pc utilizzati da polizia, carabinieri, enti governativi italiani o testate di informazione sempre italiane.
Per terminare, possiamo parlare altresì del Trojan.Hijacker che da giorni si diffonde anch’egli via e-mail. Anche questa e-mail scritta in italiano perfetto, anche questo trojan con funzioni di dialer, cioè di dirottare le chiamate dei modem analogici a numeri a pagamento italiani con prefisso 899.
Con questi tre nomi abbiamo coperto un lasso di tempo che va almeno da Maggio 2006 a Dicembre 2006, un periodo che ha visto come protagonista attivo l’intero panorama informatico italiano. Dibattere sul perché sia stata presa di mira l’Italia significherebbe aprire un secondo argomento immenso, interessante ma che poco importa al momento in questo articolo.
Quello su cui interessa porre l’accento invece è questo: al momento, per quanto siano diffuse queste infezioni in Italia, ritengo difficile che possano causare un traffico simile da rendere inagibile la connessione di un intero stato nazionale. Insomma, stiamo parlando della copertura nazionale!
Si parla di sovraffollamento dei DNS, di quei server che garantiscono la risoluzione del dominio in un indirizzo IP, causato dalle notevoli richieste dei malware. Ripeto, al momento la situazione – da quello che posso conoscere perlomeno – non risulta così critica da mettere in ginocchio un’intera rete italiana. Un’aggravante, questo probabile, ma niente più. Lo scorso anno abbiamo assistito a epidemie che hanno duramente colpito l’Italia e l’estero, con worm quali Netsky, MyDoom e Bagle, i quali altrettanto si inviavano via e-mail con numerosi varianti e frequenze di invio spaventosamente alte.
Sembra invece più un problema di infrastruttura. Lo stesso Luca Spada, CEO di NGI, ha commentato l’accaduto individuandone il problema in una saturazione di banda, con alcuni switch che non riescono più a gestire il traffico dei DLSAM.
Ma fermiamoci a pensare anche solo un secondo che sia un problema esclusivo di malware informatici. Possibile che l’infrastruttura italiana non sia capace di reggere né di risolvere questo problema che si sta prolungando non da giorni, ma da settimane e mesi? Per esperienza personale ho notato da parecchio tempo un degrado delle prestazioni della mia linea ADSL e sui forum i thread aperti a riguardo sono numerosi. Ok, qualcuno può dire: ma erano problemi differenti non era questo. Forse, probabile. O forse magari invece si tratta sempre dello stesso problema su punti differenti dell’infrastruttura.
Inoltre, prendiamo come esempio il Trojan.Spambot e il Trojan.Hijacker che sembrano essere – secondo gli articoli – le cause di tutto ciò. Entrambi fanno riferimento ad una pagina web dove gli utenti devono scaricare il trojan vero e proprio. Pagina web con domini differenti in alcuni casi ma stesso ip del server.
Abbiamo visto muoversi l’AAMS per censurare i siti internet che fornivano servizi di giochi d’azzardo, una lista di 600 siti ai quali gli utenti italiani non possono accedere – se non attraverso la modifica e l’utilizzo di server DNS internazionali. Perché dunque, tanto che già ormai l’atto di censura è stato fatto, non si utilizza questa idea per censurare quei server che trasmettono il trojan? Oppure, il modello dell’e-mail utilizzata da questi trojan è essenzialmente uguale, sebbene cambino alcune particolarità. Non sarebbe per esempio possibile filtrare a livello di server di posta le e-mail contenenti un tal determinato pattern?
Insomma, è vero che in Italia la disinformazione a livello di sicurezza informatica è veramente tanta e TUTTI gli utenti dovrebbero assolutamente utilizzare ALMENO un software antivirus, però in questo caso forse dare tutte le colpe ai virus informatici sembra suonare alquanto bizzarro e fuorviante.
Secondo me telecom ha problemi con il routeing dei pacchetti
Un’amico mio, ieri, aveva il proprio ip che visualizzava prima un sito e poi un’altro sito, una cosa DECISAMENTE assurda, anche perché dopo un 5 minuti tornnava tutto normale!
Il server a cui puntava l’ip ovviamente non hostava quel sito ed era perfettamente configurato
Una cosa veramente assurda
Alcuni problemi sul backbone telecom si sono manifestati più o meno un mese fa. Chi ha studiato la situazione ha visto che i pacchetti facevano tutt’altra strada rispetto al solito, come se parte di seabone (si chiama così la rete internazionale di telecom, vero?) fosse bloccata. L’effetto era che molti ip erano irraggiungibili e fra questi alcune web farm di akamai !
Per i DNS, sono mesi che la prima risoluzione di un dominio non avviene entro il timeout dei 2 secondi (nslookup) ma poi il caching aiuta….
Ciao a tutti, cosa ne pensatee cosa ne pensa Marco a questo proposito della soluzione adottata da alcuni di uilizzare i cosidetti OPEN DNS?
“Si parla di sovraffollamento dei DNS, di quei server che garantiscono la risoluzione del dominio in un indirizzo IP, causato dalle notevoli richieste dei malware. Ripeto, al momento la situazione – da quello che posso conoscere perlomeno – non risulta così critica da mettere in ginocchio un’intera rete italiana. Un’aggravante, questo probabile, ma niente più. Sembra invece più un problema di infrastruttura.”
Dipende se i malware mandano mail a domini random e inesistenti, questo provoca richieste esagerate ai dns.
Utilizzare altri server DNS, server Esterni, o anche server italiani non telecom, potrebbe parzialmente risolvere la soluzione, ma se ci sta un problema più basso, ovvero sul routing del pacchetti della rete telcom non cambierà molto, anzi magari è possibile che si accentui di più se ci stanno problemi con la rete internazionale che per l’appunto si aggiungono a quelli nazionali
Sinceramente sto usando quelli di virgilio da tempo e non ho quasi avuto problemi, qualche errore ogni tanto, anche se comunque l’ho notato perché facendo assistenza a ditte varie ricevo telefonate con una certa frequenza
Una soluzione potrebbe essere installarsi un server DNS in locale cosi da evitare il problema del routing dei pacchetti quando ci stanno i dati in cache, anche se alla fin fine se poi la richiesta viene persa nella giungla o viene spedita ad una destinazione errata non cambia poi tanto 😀
@Piega:
anche se fosse vero fai questa considerazione: ci dovrebberò essere una tale quantità di pc infettati da un virus che APPOSITAMENTE faccia richieste direttamente ai server dns telecom o ai server dns usati dal pc riempendo la banda.
Questo, sarebbe possibile, solamente se:
– Ci fosse un malware di questo tipo in circolazione, ma sarebbe già stato rilevato
– La rete è strutturata male, cosa probabile
– Alcuni paesi hanno deciso di attaccarci, questa è surreale ma l’ho messo in lista lo stesso
Secondo te qual’è quella più probabile? 🙂
Per me è la terza: se la rete è strutturata ed ha problemi ed è gestita in maniera errata (vedi telecom) effettivamente a causa delle troppe richieste di risoluzione di indirizzi generati dai SO infettati si potrebberò avere questo tipo di problemi
E a questo aggiungo che se fosse solamente colpa dei malwares, tranne se questi sono stati “immessi” solamente in italia, ma la vedo difficile controllare la diffusione, tranne se il sistema virale funziona tramite bug di internet explorer e non tipo via email, si sentirebberò di problemi simili in altri paesi, invece, almeno da quanto leggo, non c’è nulla che si possa avvicinare a ciò ^^
@Piega:
la situazione che si è venuta a creare a livello di malware in questo mese non è assolutamente più tragica di quando giravano come matti infezioni da Netsky o Bagle via e-mail un anno fa 😉
Che si voglia parlare di un fenomeno, quello degli attacchi mirati, possiamo sì parlarne – è comunque qualcosa di nuovo che vengano sviluppati malware con target esclusivo l’Italia. Ma da qui a darne la colpa per il crollo dell’internet italiana mi suona molto bizzarro, non mi risulta che ci sia al momento un’ondata di nuovi malware tutti insieme – eccezion fatta per quelli indicati nell’articolo.
Vi giro parte dell’e.mail mandata alla sign.ra Palombelli in merito al servizio di martedì del tg5 delle 20.00.
Buondì,
lavoro da circa 12 anni nel settore informatico, occupandomi principalmente di Internet e sicurezza.
Il servizio, scadente nei contenuti, presentato Martedì 12 Dicembre al TG5 delle 20.00 è quanto di più falso sentito nella mia carriera. Vorrei tanto sapere chi ha inviato quel comunicato in redazione e chi, senza alcuna verifica, si è genuflesso ad esso in nome di cosa.
Da circa 2-3 settimane, principalmente da quando a Telecom Italia (di seguito chiamata solo TI) è stata bloccata l’offerta wholesale da agcom,
perchè non replicabile da parte dei suoi competitor (che in realtà non posso replicare nulla essendo DE FACTO sotto un monopolio TI).
Contestualmente però TI ha continuato nella vendita dei suoi profili fino a saturare, ormai, ogni centrale/dslam/piastra a sua disposizione.
Non solo, voglio riportare la vergognosa situazione che si legge nei forum tecnici, secondo cui, gli staff tecnici di numerosi ISP, vengono lasciati senza assistenza perchè alle 18.00 il responsabile TI di turno decide che è ora di smontare dal turno…….INQUALIFICABILE.
http://gaming.ngi.it/forum/showthread.php?t=418245&page=5
TI si è vista alle strette, mezza italia dalle 15.00 alle 23.00 ha la sua adsl praticamente inutilizzabile, ma invece di fare autocritica, ha pensato bene prima di far uscire un vergognoso articolo (NON FIRMATO da nessun dir. telecom) su un quotidiano online (Punto-Informatico.it)
http://punto-informatico.it/p.aspx?id=1806243&r=PI
poi evidentemente quando ha capito che in rete non ci vive più gente stupida, ha pensato di diffondere ad arte il panico in TV.
E quale migliore TV sensazionalista se non quelle del biscione??? Ed ecco il servizio bufala di ieri, con gli stessi contenuti NON VERITIERI dell’articolo.
Ovviamente avete dimenticato una cosa, le generazioni dall’80 in poi delle TV se ne fregano alla grande, quindi il panico l’avete fatto venire
a persone (45-50 anni in sù) che già hanno difficoltà coi pc e l’informatica. Complimenti, davvero un bel servizio reso!!!!!!
Sono sicuro che questo servizio vi è stato suggerito da TI, e sono sicuro non ci avete neanche pensato troppo ad impostarlo e trasmetterlo (a proposito, vi rendete conto che ogni volta che parlate d’informatica usate sempre le stesse vecchie, monotone e datate immagini????).
Nessuna agenzia che si occupa di virus e sicurezza informatica ha lanciato qualche minimo allarme in merito, Sophos, che stila ogni mese la classifica dei virus non ha notato nessun incremento di alcun genere: http://www.sophos.it/feeds
TrenDMicro, una istituzione nel settore dei virus, stima in poco più di 1000 i pc attualmente infetti in Italia…..1000 dott.ssa, non 10000000 come
dovrebbe essere per avere un impatto così elevato sulla connettività nazionale.
http://it.trendmicro-europe.com/enterprise/security_info/virus_map.php
Vorrei che Lei Dott.ssa si faccia carico di questa bufala e vorrei vedere al Tg5 delle 13.00 una netta e clamorosa smentita. Vorrei che facesse
il nome del dirigente Telecom che ha (?) inviato la nota in redazione su cui avete fatto il servizio.
Non posso sapere qual’è davvero il problema tecnico con sicurezza (non lavoro in TI), ma sicuramente le dico che non è colpa di virus, spyware o malware di sorta. Il problema è solo TECNICO ed è solo di TI, che poi ovviamente inflenza anche gli altri ISP/OLO.
Distinti Saluti
Questo “articolo” fa semplicemente ridere, questo famoso “Gromozon” non è nemmeno nella lista dei malware più pericolosi in Italia, né per la Trend Micro http://it.trendmicro-europe.com/enterprise/security_info/virus_flash_map.php
(si può controllare la mappa per l’Italia)
né per la Kasperky labs
http://www.kaspersky.com/viruswatchlite?hour_offset=-2
E in questo momento in Italia non c’è NESSUNA emergenza virus e malware.
Nessuna meraviglia che sia “un caso di cui poche testate giornalistiche si sono occupate” visto che, come dice lo stesso autore, “[Gromozon] ha colpito per mesi silenziosamente centinaia di pc italiani”. E cosa dovrebbe determinare un virus/worm che ha colpito “centinaia” di computer italiani??? E’ ridicolo. I virus pericolosi sono quelli che hanno colpito DECINE, o CENTINAIA DI MIGLIAIA, di computer italiani, come “I love you” o “Melissa”.
Ma parlando in generale, a me sembra che in giro sulla rete ci siano troppi pr di una famosa azienda di telecomunicazioni in bancarotta.
Sicuramente stai scherzando per quanto riguarda Gromozon 🙂
Beh, se non stai scherzando, ti consiglio magari di informarti meglio 🙂 Un articolo tecnico riguardo Gromozon è stato scritto proprio nell’ultimo numero di Virus Bulletin. Molte altre argomentazioni tecniche le trovi qui sul mio sito. Per altri commenti lascio a chi sicuramente risponderà a questa tua affermazione alquanto azzardata.
Zio, non commento neanche… evidentemente non hai neanche la piu’ pallida idea di cosa dici. Non c’e’ neanche da discutere sulle questioni tecniche, se tu avessi un minimo ALMENO GUARDATO i forum di aiuto ti saresti reso conto che Gromozon e’ stato PER MESI l’infezione NUMERO UNO in Italia.
Poi ci lamentiamo della pochezza dell’informatica in Italia… quando c’e’ gente come questo qua…
Riporto una mail delle 14:30 circa apparsa su un forum di NGI a firma di skyluke, ceo di ngi. E non so se ridere o piangere !
Il problema è stato trovato: alcuni trunk intra-switch ATM di TI che si saturano. Sono sostanzialmente gli switch che raccolgono il traffico di n DSLAM.
Ieri sera ho fatto cambiare instradamento a diversi clienti e magicamente il problema spariva.
La struttura che ci ha seguito ieri sera si occupa SOLO dei link di raccolta / VP percui ci ha rimandato alle unità territoriali che invece sono competenti per i DSLAM e il pezzo di rete sopra.
Questi ci hanno chiesto di aprire un ticket nel loro sistemi per ogni cliente problematico. Ovviamente è una richiesta assurda.
Ad aprire centinaia di ticket sul loro sistema ultra lento ci vorrebbe una settimana.
Ho appena mandato mail minatorie a mezza Telecom, vediamo cosa succede nel pomeriggio.
Vi invito anche a leggere: http://blog.quintarelli.it/
p.s. stiamo per mandare una mail a tutti i clienti per avere una mappatura chiara del problema.
E questa è una possibile spiegazione:
http://blog.quintarelli.it/2006/09/ed_una_pessima_.html
Se fosse quello mi ci sarei avvicinato un po 😀
Ho vinto una bambolina?
Zio è un pirlone. Addio.
Caro TNT, ma ci fai o ci sei? “Gromozon è stato per mesi l’infezione numero uno in Italia”… con “centinaia di computer infetti”???? 🙂
Ma anche se fosse? ADESSO è una delle infezioni più importanti? Ti sfido a indicarmi una sola pagina di un produttore di antivirus serio che dica qualcosa del genere. Prima di allora, smetti di dire sciocchezze e buffonate.
Ti ringrazio per averci dato dei produttori non seri, perché evidentemente Prevx non è seria 😉
Detto questo, suppongo tu conosca alla perfezione la storia di Gromozon 🙂 Tanto basta.
Saluti
A fine agosto, i computer infettati da Gromozon (il che vuol dire quasi esclusivamente computer Italiani) erano 250,000:
http://www.scmagazine.com/us/news/article/591084/gromozon-rootkit-infected-250000-pcs/
Zio, se fossi in te (non vorrei MAI essere in te) me ne andrei: non stai facendo una bella figura.
A me sembra che questa “Prevx” sia l’ultima arrivata, infatti è la ditta dello “studente di informatica” che gestisce questo sito, e con “Gromozon” ha trovato un comodo sistema per farsi pubblicità grazie alla Rai e forse a qualche amico. Vedi:
http://www.prevx.com/gromozon.asp
Per “produttore di antivirus serio” intendo ditte come Norton, Kaspersky, Trend Micro. Ora vi saluto perché non ho tempo da perdere con queste sciocchezze.
Telecom naturalmente vi ringrazia.
“Il tipico tecnico informatico”… LOL
Ah Zio, guarda anche questo
http://www.difesa.it/NR/rdonlyres/D4932D9D-3002-4F96-A87E-E394872B7AE6/11996/gromozonlinkoptimizer.pdf
Detto questo, chiudo. Non ho tempo da sprecare con gente tanto ignorante e arrogante… Addio, zio.
TNT, tranquillo, tu non sarai mai in me. Infatti, io so leggere. All’indirizzo
http://www.scmagazine.com/us/news/article/591084/gromozon-rootkit-infected-250000-pcs/
si dice che il virus Gromozon ha infettato 250000 computer IN TUTTO IL MONDO, non in Italia (e comunque è una cifra gonfiatissima). Vi saluto consigliandovi di cambiare mestiere. Ciao.
Zio, io invece ti consiglio di farti curare.
TNT dai basta 🙂 Lascia perdere, chi è del mestiere sa la verità. La gente parla per sentito dire senza sapere cosa c’è dietro 🙂
Ti ringrazio Zio per i commenti costruttivi 😉 Ne prenderemo atto 🙂
Stop ora ai flame 🙂
Marco
Beh, comunque devo dire, signor Giuliani, che se non altro è onesto, visto che mi ha passato i commenti.
Io però fossi in voi non continuerei a rispondere ad un troll…
La gravità dell’infezione Gromozon è nota a tutti gli operatori del settore
Ma si Andrea, quello é sicuro 🙂 Ci sono cose che non posso dire perche sono riservate, ma comunque chiunque nel settore sa appunto della gravitá della situazione e di quanto in ritardo siano intervenute le societá “serie”.
Lui ha esposto le sue motivazioni, gli altri le loro, mi sono preso anche degli “insulti” personali – non si insulta solo dicendo parolacce ma anche come si espongono certi pensieri – ma pace 🙂 Si va avanti, le critiche fanno parte del mondo. 🙂
Buona serata a tutti 🙂
PS: piacere di conoscerti Andrea, sono molto felice di leggere le tue parole qui 🙂
Zio e’ quello che ha scritto Gromozon. TNT e Marco possibile che non l’avete capito? 🙂 🙂 🙂
@zio
Zio, purtroppo ti devo smentire anche io. Non posso conoscere la tua esperienza diretta e putroppo non posso raccontarti la mia, ma stai sicuro che i pc infetti sono stati migliaia…. 1000 o 100000 non lo so ma se i produttori di antivirus continuano ancora oggi ad aggiornare i propri cleaner e le proprie definizioni per ripulire i pc dalle porcherie scaricate da gromozon… vuole dire che proprio una sciocchezza non è stata !
E scommetti che se arrivava alla Rai o Mediaset una velina della Telecom in cui si paralva di Gromozon la notizia finiva al tg delle 20 ?
Dai ragazzi, stop di discutere sull’espansione del gromozon. Lo si sa tutti, non alimentiamo flame inutili 🙂
Zio Says ha ragione.
Gromzom ha infettato pochi utenti al massimo un centinaio,le grandi aziende,non ne hanno mai parlato e non sono corsi ai ripari aggiornando le firme o rilasciadno cleaner specifici.
Su,la realtà è questa,nel mondo non ci sono grandi aziendi,l’ultima grande azienda,aveva spedito il cleaner via e-mail ma a qualcuno non è piaciuta la mossa è così tutte(o quasi)le fonti di download sono state chiuse.
Ciao
PS:Marco,gentilmente aumenta le dimensioni,le lettere si vedono poco.
é mai venuto in mente a nessuno che il problema di questo mancato instradamento di pacchetti possa essere dovuto ad un problema di compatibilità dispositivi ipv4 e ipv6…..
Lucass: per aumentare le dimensioni non basta che tu ingrandisca la font dal tuo browser?
Antivirus = quella cosa che rende difficile spedire e ricevere e-mail in maniera sicura. È una semi-provocazione, ma chiunque abbia dovuto aiutare degli utenti a superare le barriere imposte alle connessioni imap/smtp + SSL dagli anti-virus più in voga, sa a cosa mi riferisco.
No,perchè mi si ingrandisce tutto in maniera spropositata,ciao
Zio Says:
Dicembre 13th, 2006 at 17:54
A me sembra che questa âPrevxâ? sia lâultima arrivata, infatti è la ditta dello âstudente di informaticaâ? che gestisce questo sito, e con âGromozonâ? ha trovato un comodo sistema per farsi pubblicità grazie alla Rai e forse a qualche amico. Vedi:
http://www.prevx.com/gromozon.asp
Per âproduttore di antivirus serioâ? intendo ditte come Norton, Kaspersky, Trend Micro. Ora vi saluto perché non ho tempo da perdere con queste sciocchezze.
Telecom naturalmente vi ringrazia.
âIl tipico tecnico informaticoâ?⦠LOL
NO COMMENT!!
Prevx è famosa da anni e non aveva di certo bisogno di Gromozon per “scalare” posti in classifica.
Mi inserisco immettendo un mio personalissimo pensiero e qualche personale considerazione.
Oggi ho ricevuto il seguente link da collegi sysadmin http://blog.quintarelli.it/2006/12/circa_i_disserv.html e condivido l’analisi di Quintarelli, quanto la tua Marco.
Quel che anche a me nei giorni scorsi fa riflettere è che imho sicuramente ci troviamo forse per la prima volta, ad aver vissuto nel recente passato, e in parte anche nel presente, di azioni di attacco malware ad arte, per il pubblico internettiano italiano.
Tornando a quanto detto da Quintarelli è interessante l’ultmo passaggio: ad oggi, quindi, sono portato a credere che ci siano due problemi simultanei: saturazione e un DDOS. quanto la saturazione sia dovuta al DDOS, non so.
E penso che non lo sappia nessuno perchè difficilmente quantificabile.
C’è un pero’ almeno imho: leggo diversi forum informatici, seguo il ng sulla connettività adsl, e vedo che il problema è piuttosto diffuso, non solo chi ha Alice ne soffre. E vedo che leggendo i dns che soffrono dei problemi son sempre i soliti.. Che in fondo in fondo ci sia comunque qualcosa di vero sugli attacchi informatici??? Detta più palesemente, se il DNS di Tiscali o di XXX che vuoi prendere in esame, diverso da telecom, ha problemi, che c’entra Telecom? O siamo davvero arrivati al collasso?
Questo non credo, anche se ogni anno, vedendo i grafici del MIX, il traffico aumenta di circa un 40% questo almeno da 5/6 anni a questa parte…
Boh la mia sensazione è che davvero la situazione non si risolverà alla svelta.
Provocazione: perchè il 90% delle persone che adottano gli OpenDNS risolvono?
Ho avuto conferma da parte di un provider “medio” che il carico sui DNS è aumentato in maniera rilevante creando non pochi problemi di carico; gli accessi arrivano da IP non facenti parte delle loro sottoreti (ma non mi hanno specificato se arrivano dall’estero o dall’Italia) e arrivano “sparsi”, ovvero non c’è una macchina che fa milioni di richieste, ma tantissime macchine che ne fanno decine, quindi impossibili da filtrare sui firewall, ad esempio.
Ho chiesto ulteriori informazioni ma non me ne danno (almeno fin’ora).
Questo provider permetterà l’accesso ai suoi DNS “forwarders” solo alle sue sottorete e sposterà i domini di cui è “primario” su altre macchine…
Linkoptimizer/Gromozon è una minaccia informatica da non sottovalutare. Che le ultime versioni causino dei BSOD in particolari situazioni è un fatto positivo, per certi versi. Io personalmente ho visto e curato (a volte manualmente, a volte supportato dai tool di rimozione specifici) decine di PC.
Credo invece che i DNS italiani siano effettivamente messi a dura prova da un sovraccarico di lavoro che risulta in un DDOS intermittente in questi giorni, tanto che alcune delle situazioni di mancata connessione si possono risolvere tramite la riconfigurazione dei DNS o tramite l’implementazione di server DNS ad uso di reti interne, ove possibile, evitando il forwarding verso i DNS di Telecom/Interbusiness che risultano rispondere a singhiozzo. Certo questo non esclude problemi infrastrutturali della rete italiana come concausa quasi certa dei malfunzionamenti; ma da quanto ho potuto vedere in questi giorni la risposta dei DNS di Telecom è effettivamente tardiva, tanto da generare un numero particolarmente inusuale di timeout delle richieste. OpenDNS potrebbe essere una soluzione, a meno che il cambio dei server DNS (o la loro designazione esplicita in presenza di connessioni con indirizzo e server DNS assegnati con DHCP) non provochi un sovraccarico anche su OpenDNS, cosa probabile solo in presenza di un numero rilevante di utenti che effettuano il cambio.
Saluti e ringraziamenti per il tool di rimozione, è più utile di quanto qualche parente serpente tenta di far credere.
Mi sono letteralmente rotto i c……i!
Sono sempre MOLTO pacato, al massimo risulto offensivo solo attraverso un filo di sarcasmo, ma stavolta sono veramente stufo!
Il problema non sono i DNS, o meglio, non solo!
Io accedo alla rete Telecom attraverso un router.
Mi collego alla rete e utilizzo i DNS di OpenDNS che, però… non sono raggiungibili!
Attendo…
Attendo ancora… (sono molto paziente)
Alla fine il ping verso i DNS succitati riesce.
Ok, li utilizzo e vedo cosa succede.
Alice.it è raggiungibile, mentre i siti esteri no.
O meglio, effettuando un ping verso i nomi di dominio a volte vengono risolti, altre no.
Provo ad effettuarlo immettendo direttamente l’IP.
Richiesta scaduta.
Richiesta scaduta.
Richiesta scaduta.
Richiesta scaduta.
Richiesta scaduta.
Richiesta scaduta.
Qui di scaduto c’è solo l’Italia: un paese in cui la parola “liberalismo” è ancora utilizzata solo per propaganda politica; un paese dove esiste la censura (ma solo verso i “fastidiosi” per i soliti ignoti); un paese dove, nell’era dell’informazione
vige la disinformazione.