Tales from the Machine Room


Home Page | Comments | Articles | Faq | Documents | Search | Archive | Tales from the Machine Room | Contribute | Login/Register

Me La Dai O No?

...No, fermi! Ca$$o avete capito??? Cominciamo dal principio che e' meglio va...

Alura, un paio di mesi fa (piu piu che meno), ricevo una mail da uno dei nostri clienti che riporta che il suo antivirus ha segnalato la presenza di un virus in una delle mail che sono passate attraverso il nostro sistema.

Io ho immediatamente richiesto maggiori informazioni (che mail, quando, che virus, che antivirus...). Dopo un penoso tira-e-molla sono finalmente riuscito ad avere le informazioni. Apparentemente la mail in questione non era stata filtrata dall'antivirus (Clamav) ma era stata in seguito marcata come spam ed inviata all'indirizzo di controllo spam del cliente. Ergo, riesco a pescarla dall'area di quarantena per lo spam e la controllo.

Bene, Clamav continua a considerarla non-virus. Prima che chiediate: Si. Io uso sempre l'ultimissima versione di Clamav e l'aggiornamento dei database e' fatto ogni 15 minuti.

La mail contiene senza alcun dubbio un file zippato, il quale contiene a sua volta un file chiamato "sarca$$o.doc_______________________________.exe". Ovviamente al posto di '_' c'erano degli spazi.

Un sistema di 'offuscatura' del nome che funziona solo se l'IQ del ricevente e' dell'ordine della cifra singola. Il che significa che funziona per il 70% degli utonti di interdet.

Dopo un controllo nell'eseguibile, deduco che questo affare e' in effetti una qualche sorta di virus/worm/schifezza. Lo spedisco a Clamav affinche' lo analizzino.

Nel frattempo decido di vedere se trovo un antivirus che mi individua sta cosa, il nostro cliente apparentemente usa Symantec (Norton) che rileva il virus sul client. Io voglio farlo a livello di server, ergo mi metto a cercare.

Dato che ho avuto buoni risultati da $noisalviamoilmondopuntocom.com, la prima cosa che faccio e' cercare di scaricarmi una copia di test di $antivirus. Scarico e comincio a vedere come e' possibile integrare questo coso nella nostra struttura. Si perche' per come e' strutturato il sistema adesso il sistema migliore sarebbe di poter richiamare l'antivirus su un singolo file alla volta, in modo da beccarmi il risultato dell'analisi e potermi stilare le classifiche "on line". Come viene fatto adesso per clamd.

Il problema e' che apparentemente $antivirus non fornisce piu' un sistema command-line per singolo file, o meglio, lo fa, ma ogni volta che lo esegui questo coso si ricarica in memoria tutto il database delle 'signature', con il risultato che UNA scansione ci impiega un minuto... il che non funziona se vuoi analizzare 3 milioni di mail al giorno.

Dopo un po' di madonne riesco a scrivere un wrapper intorno al loro daemon per fare l'analisi come la voglio io. A questo punto ho un sistema di test che funziona in maniera quasi decente. Si tratta di provarlo con un po' di dati "live". Ma... Perche' il sistema funzioni mi serve una licenza d'uso.

$Antivirus viene fornito solo con due tipi di licenze: 1) Per Dominio e 2) Per Utente. Non bisogna dire che nessuno dei due va bene per me.

Il mio problema e' che noi facciamo il lavoro di mail-washing per una serie di societa', alcune delle quali "rivendono" i nostri servigi, ergo: non ho modo di sapere quanti domini o quanti utenti andremo a processare il mese prossimo. Io so, piu o meno, che giornalmente noi processiamo circa 3 milioni di mail. Ma anche quello e' un dato abbastanza aleatorio.

Preparo pertanto una mail e la spedisco a $antivirus domandando se e' possibile avere una licenza di test con numero di utenti ILLIMITATO. Anche una licenza a tempo limitato ma senza limitazioni di utenti o di domini.

Nel frattempo, dato che non mi piace stare li' ad aspettare, vado a vedere il sito di $altroantivirus.

Li' trovo un link che dice "download trial version". Ok clicco e mi becco una bellissima form che mi chiede di compilare questo-e-quello. Compilo e mi becco una mail che mi dice "grazie per l'interesse, vi contatteremo per fornire ulteriori informazioni/istruzioni su come scaricare la vostra versione di prova". Oh che gioia.

Passano i giorni. E mi arriva una bella mail da un UL a caso di $antivirus che mi dice "ecco la tua licenza di test". Io chiappo la licenza, la carico sul server, faccio una rapida prova e nel giro di 30 secondi mi becco un messaggio di errore che mi dice che ho superato il numero di utenti possibile e che il sistema funzionera' in "modalita' limitata". Che significa che non mi fa passsare piu' una mail che e' una. Io guardo un attimo e nei meandri di questo cacchio di file di licenza c'e' scritto "10 utenti".

Dieci utenti?? Ma io ho chiesto illimitata!

Mail a $antivirus spiegando (di nuovo) il problema. Nel frattempo DaBoss ha sniffato puzza di brucio ed ha chiesto di essere messo in CC nel resto della corrispondenza. Ok. Un paio di giorni dopo mi arriva un altra mail da UL di $antivirus che mi dice "Ok, ecco una licenza per 5000 utenti. Ti basta?". Ma che mi piji 'er culo? DaBoss balza dentro e manda una mail dicendo "a noi serve una licenza ILLIMITATA".

Un paio di giorni dopo mi becco una ulteriore mail che dice "quale e' il vostro problema?"...

Ma pork$#$%@$@!! Te l'ho gia' spiegato almeno 3 volte quale e' il nostro problema. Se non puoi mandarmi quella ca$$o di licenza dimmelo subito no? Grumblesmurf...

Nel frattempo ricevo una mail da $altroantivirus che mi dice "grazie per aver scaricato la versione trial di $nostroantivirus, saremmo interessati a sapere come e' andato il test"... 'Momento... io ancora non ho scaricato niente! Perche' voialtri mi avete detto che mi avreste contattato per ulteriori informazioni. Ed io non ho piu' sentito niente!

Quindi... Me la dai sta cacchio di licenza/versione di prova o no?

Non devo dire che sto ancora aspettando una risposta no eh?

Davide
21/09/2009 08:00

Previous Next

Comments are added when and more important if I have the time to review them and after removing Spam, Crap, Phishing and the like. So don't hold your breath. And if your comment doesn't appear, is probably becuase it wasn't worth it.

13 messages this document does not accept new posts
z f killimitata? By z f k - posted 21/09/2009 08:14
Ma daaai; cosi' poi ve la noleggiate a tutto il mondo e alla fine loro restano con un solo cliente, per una sola licenza: voi.

CYA

--
z f k


maxxfi@ z f k By maxxfi - posted 21/09/2009 08:51

> Ma daaai; cosi' poi ve la noleggiate a tutto il mondo e alla fine loro restano con un solo cliente, per una sola licenza: voi.
>
> CYA
>
Quale parte di "anche a tempo limitato" ti e' sfuggita? :\)

--
maxxfi


Herr FranzSecondo me... By Herr Franz - posted 21/09/2009 08:36

fai prima ad esaminare le mail manualmente man mano che arrivano.Suvvia , tre milioni di mail non sono una gran cosa! Scommetto che in un paio di orette ce la fai....basta seguire la procedura giusta*!



*procedura giusta: cancellale tutte e poi dire alla cieca che erano spam/virus/sarc***o.

--
Herr Franz


RaDupoi By RaDu - posted 21/09/2009 09:04

Com'è andata a finire ?

--
RaDu


lkrclam & zip By lkr - posted 21/09/2009 09:09

moolto probabilmente dico 'na cazzata, ma occhio che di default clamav non fa la scansione di file compressi, non scende oltre un certo numero di directory etc...
(si, hai dimenticato di menzionarlo nella storia :D )

--
lkr


ringowrapper By ringo - posted 21/09/2009 13:41

Davide Bianchi wrote:
> Dopo un po' di madonne riesco a scrivere un wrapper intorno al loro daemon per
> fare l'analisi come la voglio io.

Qualche approfondimento su questo wrapper interesserebbe me e sicuramente altri affezionati lettori.

--
ringo


KurganBuffo comportamento.... By Kurgan - posted 21/09/2009 17:57

Buffo il comportamento di Clam... cioe` non credo che sia necessariamente un problema di files zippati o altro... perche` devo dire che lo uso da diversi clienti sull mail e nessuno mi ha mai detto che l'antivirus sui client (kasp, avg) abbia mai trovato virus che hanno attraversato indenni il Clam sul server.

C'e` da dire che l'affidabilita` dei report degli utenti non e` mai il massimo...

--
Il massimo danno con il minimo sforzo


DiegoStai invecchiando... By Diego - posted 21/09/2009 22:12

Qualche tempo fa sono sicuro che avresti mandato una mail smadonnante con:
"Quale parte di 'a noi serve una licenza ILLIMITATA' non ti è chiara?"

--
Diego


Luca BGDifficoltà del mestiere By Luca BG - posted 22/09/2009 12:12

Insisto a dire che la parte più difficile del mestiere è capire i varii meccanismi di funzionamento delle licenze dei varii fornitori. Sembra che li abbia studiati il fratello schizofrenico di Bartezzaghi...

--
Luca BG


Kurgan@ Luca BG By Kurgan - posted 23/09/2009 11:03

> Insisto a dire che la parte più difficile del mestiere è capire i varii meccanismi di funzionamento delle licenze dei varii fornitori. Sembra che li abbia studiati il fratello schizofrenico di Bartezzaghi...


Questo e` uno dei motivi per cui amo lavorare con il software libero, che sia open source o altro... devo preoccuparmi solo di installarlo e farlo andare, e non di capire se e come posso o non posso usarlo, quanto costa e qual'e` il modo per spendere il minimo di licenza per avere il risultato, litigare con le chiavi di attivazione, hardware o meno, eccetera.

--
Il massimo danno con il minimo sforzo


Guidoma By Guido - posted 23/09/2009 17:32

proprio con la Symantec ti devi andare ad impergolare? Se il loro supporto tennico è come l'antivirus c'è poco che puoi fare :D il NAV fa quello che vuole lui come gli pare a lui e da quello che racconti anche il loro Hell Dessssssk è tale e quale al NAV... :P
Però i meglio sono stati quelli di $altroantivirus... :D

--
Guido


kacheSoggetto By kache - posted 26/10/2009 22:31

Domanda forse stupida: visto che era un file di licenza, ed il numero di utenti massimi era in chiaro, non potevi modificarlo ed avere, quindi una licenza con utenti illimitati?

--
Poor little student...


Davide Bianchi@ kache By Davide Bianchi - posted 27/10/2009 08:37

> Domanda forse stupida: visto che era un file di licenza, ed il numero di utenti massimi era in chiaro, non potevi modificarlo ed avere, quindi una licenza con utenti illimitati?

Legalita', questa sconosciuta... Poi il file di licenza era un binario, in chiaro c'era la descrizione.

--
Davide Bianchi


13 messages this document does not accept new posts

Previous Next


This site is made by me with blood, sweat and gunpowder, if you want to republish or redistribute any part of it, please drop me (or the author of the article if is not me) a mail.


This site was composed with VIM, now is composed with VIM and the (in)famous CMS FdT.

This site isn't optimized for vision with any specific browser, nor it requires special fonts or resolution.
You're free to see it as you wish.

Web Interoperability Pleadge Support This Project
Powered By Gojira