spyware | Rev0lut1on 2.0 of my mind engine

Feb 2 2009

Google in tilt per 55 minuti in tutto il mondo per un semplice errore umano. Considerazioni sul ruolo di Google e di StopBadware.org

Sabato 31 Gennaio 2008, per la prima volta, Google ha commesso un piccolo semplice errore che ha coinvolto le ricerche sul web di tutto il mondo per ben 55 minuti: una eternità, considerando che Google gestisce oltre il 70% delle ricerche in rete con un database di oltre 8 miliardi di pagine web indicizzate, e considerando anche che per molti Google è sinonimo unico di motore di ricerca, nomina che si è guadagnato nel tempo grazie alla sua efficienza nelle ricercare le informazioni. Ho ripescato apposta questa definizione di Zeus News sul motore di ricerca più famoso al mondo risalente al 2005, che fa comprendere quanto è importante Google per tutti noi:

“Google è il più grande motore di ricerca del Web ma è anche una potenza economica, uno dei marchi più conosciuti, una forma culturale universale che rappresenta per la nostra generazione della Galassia Internet quello che può aver rappresentato l’Encyclopédie di Diderot per l’Illuminismo.”

Dopo questa altisonante affermazione, capirete come 55 minuti di black-out informativo possano incidere molto sul buon nome della società di Mountain View (qui le spiegazioni di Google e qui di StopBadware.org). E poco importa che Google non sia l’unico motore di ricerca, che esistano alternative forse altrettanto efficaci o comunque certamente in grado di sostituirlo per un breve periodo. Come, infatti, afferma Punto Informatico, questo episodio è stato

… capace di segnalare gli straordinari imbambolamenti di una generazione che senza Google si ritrova improvvisamente perduta.

La mia esperienza

Personalmente, verso le 15:45 mi è capitato di vedere questo messaggio di errore: ero a casa di mio fratello quando mi ha chiamato segnalandomi il problema con qualsiasi ricerca effettuasse, sia dal proprio Macbook che dall’iPod Touch. Dopo qualche attimo di confusione, in cui ho pensato a qualche problema di Google (idea subito scartata perché così esteso era assai improbabile), abbiamo così pensato ad un problema con il modem. Il caso ha voluto che dopo averlo spento e riacceso il problema non si era più ripresentato, relegando il problema ad una curiosa anomalia di Google ma circoscritta al nostro indirizzo ip dinamico. E’ stato solo il giorno dopo che ho letto che il problema aveva una portata planetaria e ho cominciato a riflettere sul fatto che anche io ero stato incredulo sul fatto che un tale problema potesse accadere in tutto il mondo e che potesse coinvolgere addirittura Google!

Il problema

C’è, però, chi si rasserena pensando che i danni potevano essere ben più gravi se non fosse stato un sabato quando la maggior parte degli uffici erano chiusi (sulla costa Pacifica e in Asia, per esempio, per via del fuso orario, le reazioni sono state meno evidenti). Ma il bello è che Google apparentemente funzionava come tutti gli altri giorni, ma, nel periodo di interruzione, quando gli utenti tentavano di eseguire una qualsiasi ricerca, in Italia e nel resto del mondo, tutti i risultati venivano indicati come potenzialmente dannosi. E se anche si decideva di proseguire comunque, l’utente veniva indirizzato ad una pagina che lo invitata a riprovare in un secondo momento perché il sito poteva presentare dei malware dannosi per il computer, impedendo di fatto di aprire il sito in questione. L’unico modo per raggiungere la pagina desiderata era quello di copiare manualmente l’url sulla barra degli indirizzi del browser o, più banalmente, aprendo il motore di ricerca concorrente Yahoo! (sarebbe interessante valutare il suo picco di accessi in quella pazza ora).

Il ruolo di Stopbadware.org è legittimo?

A questo punto verrebbe spontaneo chiedersi se tutti noi siamo Google-Dipendenti e se il ruolo di StopBadware.org, una iniziativa no-profit di due centri universitari per lo studio di Internet (Harvard e Oxford) e di una associazione di consumatori americana per combattere il “Badware” (ovvero l’insieme di Spyware, Malware e Adware), sia legittima. Già nel 2006, in un mio articolo, mi chiesi se era giusto dare a Google la possibilità di filtrare i siti che lui riteneva pericolosi e fonte di malware. E la domanda risulta oggi più che mai attuale dopo gli avvenimenti dello scorso Gennaio, considerando anche il fatto che la maggior parte dei malware e virus contenuti in quei siti agiscono sui sistemi Windows, mentre chi naviga con Linux o Mac OS X non soffre di questi problemi.

Una fama di efficienza assoluta distrutta in soli 55 minuti

E se anni di onorato ininterrotto servizio grazie alle eccezionale ridondanze dei datacenter di Mountain View hanno contribuito a fornire a Google un alone di fama epica, un semplice errore umano di un dipendente di Google (magari insonnolito dato che in California erano le 6 del mattino) che ha digitato uno “\” (backslash, che dovrebbe stare ad indicare tutti i siti internet) di troppo nella lista di siti internet da bannare (che solitamente viene inserita a mano), ha contribuito a ricordare a tutto il mondo che noi siamo dipendenti da Google e che senza saremmo, almeno momentaneamente, persi (dato che le alternative, molto spesso non sono altrettanto efficienti nelle serp, confermando di fatto la nostra google-dipendenza a livello planetario)!

55 minuti (in realtà secondo Google il tempo effettivo era di 40 minuti dato che il back-out non è stato continuo), duranti i quali un’ondata di sconforto, di confusione e, in rari casi, anche di panico, sui blog della rete ha attraversato l’Atlantico ed è arrivata in Europa. E i navigatori, con l’ausilio di tutti i social network che la rete poteva mettere loro a disposizione (tra i servizi di microblogging twitter è stato il re incontrastato), si sono scambiati milioni di messaggi preoccupati (più volte aleggiavano teorie cospiratorie alla stregua di questa) e opinioni. Quella che era la porta di accesso alla rete per antonomasia era diventata improvvisamente inutile, aprendo uno scenario inimmaginabile per chi usa internet: un mondo senza Google!

Tag:badware, Google, malware, spyware, twitt, virus

11 comments

Mar 29 2007

Tips: L’antivirus Trend Micro e i file che cambiano nome ad ogni riavvio di Windows

Posted by Antonio Troise

Trend Micro Dog Chi usa l’antivirus della Trend Micro, forse non si sarà accorto che nella cartella c:\windows\temp è possibile trovare l’icona di un buffo cagnolino che corre che è associata ad un file eseguibile con uno strano nome del tipo: LLC492.exe, JZD42.exe, YCADC7.exe …
Addirittura, se si riavvia Windows, il nome del file cambia in maniera del tutto casuale ma sempre mantenendo la forma criptica che lo caratterizzava. Se lo si prova a cancellare, questo viene comunque ricreato al successivo riavvio di Windows. Le sue dimensioni sono dell’ordine dei 170 KB e sono sempre variabili.
Quando lo scoprii pensai subito ad un malware o ad uno spyware, dato che i nomi randomici che cambiano ad ogni riavvio del sistema operativo (come per camuffarsi), sono tipici di questi deliziosi ospiti! Stranamente, però, nessuna strana chiave del “Run” era presente nel Registro di Configurazione. Quindi ho fatto girare (inutilmente) lo Strumento di rimozione malware per Microsoft Windows, l’ultima release di AdAware della Lavasoft e HijackThis. Ma dopo che tutti questi tool non rilevavano alcuno spyware, ho iniziato a girare per i forum per capire di cosa si trattasse.
Finalmente sul forum di Suspectfile mi hanno dato conferma di quanto avevo letto qui: non è altro che un file temporaneo di Trend Micro OfficeScan (e pare anche di Trend PC Cillin) e che viene salvata sempre nella directory c:\windows\temp e non è assolutamente pericoloso!
Certo che gli sviluppatori della Trend hanno avuto una bella fantasia a creare un file eseguibile con un iconcina del genere (forse uno Watch Dog, da qui l’origine del cane) e con un nome che cambia ad ogni riavvio, visto che è facilmente confondibile con un malware/spyware. Qualcuno ipotizza che magari è un modo per confondere i virus creati per colpire gli antivirus: se cambia sempre nome è difficile localizzarlo! E in effetti qui ho trovato la risposta, che traduco:

Il file è il servizio di Watchdog anti-hacking dell’OfficeScan della Trend Micro; questo servizio di Watchdog monitora continuamente il servizio client di OfficeScan: se vede che questo processo viene improvvisamente terminato da un attacco hacker o da un virus, è in grado di restartare il servizio. La modalità anti-hack propria di questo Watchdog prevede che debba avere un nome randomico in grado di prevenire eventuali virus o altre minacce che possano facilmente identificare il servizio e terminarlo.

Tag:adware, antivirus, malware, spyware, virus

2 comments

Mar 29 2007

Tips: Crash di Kerio Personal Firewall in seguito alla corruzione dei Winsock di XP

Posted by Antonio Troise

Oggi vi propongo una soluzione ad un problema abbastanza frequente per gli utilizzatori di Kerio Personal Firewall, il famoso firewall freeware della Sunbelt. In particolare, ogni qualvolta si accende il pc e si avvia Windows XP (stranamente l’errore non si ripresenta ai successivi riavvii di XP), può comparire un messaggio di errore come il seguente: Could not start DB server: socket() failed for udp socket: (10022) Argomento fallito non valido...

Quindi, subito dopo aver chiuso l’alert, verrà visualizzato il messaggio di crash del Kerio Personal Firewall. Ora, se si prova a navigare su internet, ciò risulterà impossibile in quanto il crash improvviso del firewall ha bloccato le porte e reso instabile i socket di comunicazione di XP. Per risolvere il problema, almeno temporaneamente, fino al successivo spegnimento/riaccensione del pc, è necessario riavviare XP (attenzione, senza spegnerlo!) e tutto tornerà a funzionare come prima.
La frequenza dell’errore, da statistiche personali, è di 1 crash ogni 4/5 riaccensioni, insomma abbastanza scocciante da cercare una soluzione.

All’inizio credevo fosse un problema di Kerio Personal Firewall, per cui ho disinstallato il prodotto e ho reinstallato l’ultima versione, ma il problema continuava a persistere.
La soluzione, l’ho trovata sul forum di CyberTechHelp e pare che sia riconducibile ad una imprecisata corruzione dei Winsock di Windows XP, dovuta, a volte, da trojan o spyware (programmi come Gator, Save, in particolare New.NET e WebHancer che corrompono valori di registro e impostazioni standard); Kerio, quindi, non fa altro che rilevare questo problema per poi crashare poiché non riesce a gestire correttamente l’evento (come volevasi dimostrare con un articolo di ieri, l’utente Windows non fa altro che passare il tempo a tentare di risolvere i problemi del proprio sistema operativo e cercare di ricacciare via i demoni dei virus e dei trojan!).

Per risolvere il problema, occorre, innanzitutto scaricare ed far girare WinsockFix, un applicativo standalone che permette di riparare le utility di Winsock e TCP, ripristinando alcune chiavi di default del Registro di Configurazione di Windows e ripulendo, di fatto, tutte le connessioni TCP/IP.

WinsockFix

Dopo aver fixato il proprio computer, sarà necessario riavviarlo per rendere effettive le modifiche.
ATTENZIONE: se avete una scheda di rete con impostati i valori come l’INDIRIZZO IP, la SUBNET MASK e il GATEWAY, al riavvio del PC questi settaggi verranno rimossi. Siete quindi pregati di salvarveli da qualche parte, per poi reinserirli al riavvio del sistema operativo.

Su un altro sito ho trovato che esistono altri tool (molto simili a dire la verità) per il ripristino dei valori di default dei Winsock: Winsock XP fix 1.2 (specifico per la piattaforma XP) e LSP-Fix (un’utility che puo’ essere utilizzata con varie versioni del sistema operativo Microsoft).

Spero che questa guida possa essere d’aiuto a qualcuno, in quanto è molto difficile trovare informazioni chiare a riguardo.

Tag:firewall, spyware, Tips, trojan, Windows

0 comments

Dic 13 2006

DNS in ginocchio in tutta Italia: è la verità?

Posted by Antonio Troise

Ha iniziato ieri sera il TG5 sbrodolando termini come Malware, Adware, Spyware e poi oggi ho letto l’articolo su Repubblica: In ginocchio l’internet italiana tutta colpa dei virus sui computer.
Io personalmente non ho di questi problemi, ma pare che mezza Italia non riesca a navigare. Già qualche giorno fa Davide, da quel di Trieste, mi aveva segnalato di non riuscire a raggiungere, con una connessione Alice ADSL, il suo sito e nemmeno il mio. All’inizio, siccome entrambi i siti risiedono su ~~UpsHost~~ BlooWeb, pensavo fosse un problema di allineamento dei DNS che non avevano ancora propagato l’IP su certi server. Ma pare, invece, che forse questo è un problema comune a molti, visto che sembrano essere utenti di molti diversi provider.
Su Repubblica leggo:

la causa è un’epidemia di malware, spyware e adware che sta colpendo i server Dns di tutti gli operatori”, dicono da Telecom Italia.
Tradotto: molti utenti hanno computer infetti da file cattivi, parenti dei virus informatici: spyware e adware, appunto. File che generano traffico all’insaputa degli stessi utenti, aprendo connessioni con altri computer, inviando e-mail. Lo fanno di solito a scopi di marketing, per monitorare le abitudini di navigazione degli utenti o per inondarli di pubblicità. In questo moto, intasano con un surplus di richieste i server Dns degli operatori.
I Dns sono come le rubriche telefoniche del web. I computer le consultano ogni volta che l’utente digita l’indirizzo di un sito web su un browser o usa un altro servizio internet basato su un nome a dominio, come la posta elettronica. I Dns danno al computer la direzione giusta per raggiungere il computer che può fornire quel servizio, in base al nome a dominio digitato.
Ma se ci sono troppi computer che vogliono consultare queste rubriche, perché manipolati da spyware e adware, è ovvio che il traffico sul web diventa come sulle autostrade durante l’esodo di agosto: a rilento, a passo d’uomo o proprio bloccato.
[…]
E’ il quarto giorno che l’Adsl è collassata. Per mandare un e-mail occorrono 20 tentativi e tutto il resto è fermo come un sasso. Il problema interessa un intero Paese e perfino le banche hanno problemi con le linee dati

Io sono scettico sul motivo: penso che se il problema esiste, la causa non possono essere solamente i Malware, Adware e Spyware: sono sempre esistiti e non credo che ora siano prolificati in tal misura da mettere in ginocchio i server DNS. Che sia in corso un qualche tipo di attacco distribuito DDoS?
Voi che ne pensate? Quale potrebbe essere la causa? Avete anche voi questi problemi? Mi farebbe piacere avere una vostra versione dei fatti.

Ma ecco come Repubblica ci dice di risolvere il problema, affacciandosi alla grande sul mondo dell’Opensource:

Eppure la soluzione è a portata di mano: basta riconfigurare le opzioni Dns sul proprio computer. Facile, anche se l’utente comune non lo sa. Su Windows, bisogna cliccare su Start/Impostazioni/Pannello di Controllo e poi entrare in Connessioni di rete. Qui cliccare con il tasto destro sul nome della connessione in uso, poi su Proprietà (dal menu che appare) e, nella nuova finestra, selezionare Protocollo Internet (TCP/IP) e clic su Proprietà. Il consiglio è attivare l’opzione Utilizza i seguenti indirizzi server DNS. A questo punto si possono usare gli Open Dns (http://www.opendns.com). A differenza degli altri Dns, quelli Open non sono gestiti da nessun operatore in particolare ma sono distribuiti sul territorio e hanno anche funzioni aggiuntive: avvisano se l’utente è finito su un sito-truffa. Per usare gli Open Dns bisogna compilare quei campi con questi numeri: 208.67.222.222 (DNS primario) e 208.67.220.220 (DNS secondario). Così ci si emancipa dai problemi che a periodi possono colpire i Dns italiani.

Infine, il consiglio è di fare una scansione con software antispyware gratuiti (per esempio Adaware). Serve a ripulire il proprio computer dall’eventuale presenza di quei file cattivi e accertarsi così di non essere parte in causa del problema che sta paralizzando l’Internet italiana.

Il problema è così sentito che Telecom, ha istituito un numero, il 19122, che fornisce soluzioni tecniche adeguate, che poi sono sempre le stesse: un buon antivirus, da lanciare di tanto in tanto, giusto perfare un po’ di pulizia.
Inoltre suggeriscono anche di utilizzare i seguenti server DNS: primario 151.99.125.1 e secondario 151.99.0.100.

Tag:adware, email, malware, server_dns, spyware, virus

6 comments