Tales from the Machine Room |
Home Page | Comments | Articles | Faq | Documents | Search | Archive | Tales from the Machine Room | Contribute | Set language to:en it | Login/Register
Alura, un paio di mesi fa (piu piu che meno), ricevo una mail da uno dei nostri clienti che riporta che il suo antivirus ha segnalato la presenza di un virus in una delle mail che sono passate attraverso il nostro sistema.
Io ho immediatamente richiesto maggiori informazioni (che mail, quando, che virus, che antivirus...). Dopo un penoso tira-e-molla sono finalmente riuscito ad avere le informazioni. Apparentemente la mail in questione non era stata filtrata dall'antivirus (Clamav) ma era stata in seguito marcata come spam ed inviata all'indirizzo di controllo spam del cliente. Ergo, riesco a pescarla dall'area di quarantena per lo spam e la controllo.
Bene, Clamav continua a considerarla non-virus. Prima che chiediate: Si. Io uso sempre l'ultimissima versione di Clamav e l'aggiornamento dei database e' fatto ogni 15 minuti.
La mail contiene senza alcun dubbio un file zippato, il quale contiene a sua volta un file chiamato "sarca$$o.doc_______________________________.exe". Ovviamente al posto di '_' c'erano degli spazi.
Un sistema di 'offuscatura' del nome che funziona solo se l'IQ del ricevente e' dell'ordine della cifra singola. Il che significa che funziona per il 70% degli utonti di interdet.
Dopo un controllo nell'eseguibile, deduco che questo affare e' in effetti una qualche sorta di virus/worm/schifezza. Lo spedisco a Clamav affinche' lo analizzino.
Nel frattempo decido di vedere se trovo un antivirus che mi individua sta cosa, il nostro cliente apparentemente usa Symantec (Norton) che rileva il virus sul client. Io voglio farlo a livello di server, ergo mi metto a cercare.
Dato che ho avuto buoni risultati da $noisalviamoilmondopuntocom.com, la prima cosa che faccio e' cercare di scaricarmi una copia di test di $antivirus. Scarico e comincio a vedere come e' possibile integrare questo coso nella nostra struttura. Si perche' per come e' strutturato il sistema adesso il sistema migliore sarebbe di poter richiamare l'antivirus su un singolo file alla volta, in modo da beccarmi il risultato dell'analisi e potermi stilare le classifiche "on line". Come viene fatto adesso per clamd.
Il problema e' che apparentemente $antivirus non fornisce piu' un sistema command-line per singolo file, o meglio, lo fa, ma ogni volta che lo esegui questo coso si ricarica in memoria tutto il database delle 'signature', con il risultato che UNA scansione ci impiega un minuto... il che non funziona se vuoi analizzare 3 milioni di mail al giorno.
Dopo un po' di madonne riesco a scrivere un wrapper intorno al loro daemon per fare l'analisi come la voglio io. A questo punto ho un sistema di test che funziona in maniera quasi decente. Si tratta di provarlo con un po' di dati "live". Ma... Perche' il sistema funzioni mi serve una licenza d'uso.
$Antivirus viene fornito solo con due tipi di licenze: 1) Per Dominio e 2) Per Utente. Non bisogna dire che nessuno dei due va bene per me.
Il mio problema e' che noi facciamo il lavoro di mail-washing per una serie di societa', alcune delle quali "rivendono" i nostri servigi, ergo: non ho modo di sapere quanti domini o quanti utenti andremo a processare il mese prossimo. Io so, piu o meno, che giornalmente noi processiamo circa 3 milioni di mail. Ma anche quello e' un dato abbastanza aleatorio.
Preparo pertanto una mail e la spedisco a $antivirus domandando se e' possibile avere una licenza di test con numero di utenti ILLIMITATO. Anche una licenza a tempo limitato ma senza limitazioni di utenti o di domini.
Nel frattempo, dato che non mi piace stare li' ad aspettare, vado a vedere il sito di $altroantivirus.
Li' trovo un link che dice "download trial version". Ok clicco e mi becco una bellissima form che mi chiede di compilare questo-e-quello. Compilo e mi becco una mail che mi dice "grazie per l'interesse, vi contatteremo per fornire ulteriori informazioni/istruzioni su come scaricare la vostra versione di prova". Oh che gioia.
Passano i giorni. E mi arriva una bella mail da un UL a caso di $antivirus che mi dice "ecco la tua licenza di test". Io chiappo la licenza, la carico sul server, faccio una rapida prova e nel giro di 30 secondi mi becco un messaggio di errore che mi dice che ho superato il numero di utenti possibile e che il sistema funzionera' in "modalita' limitata". Che significa che non mi fa passsare piu' una mail che e' una. Io guardo un attimo e nei meandri di questo cacchio di file di licenza c'e' scritto "10 utenti".
Dieci utenti?? Ma io ho chiesto illimitata!
Mail a $antivirus spiegando (di nuovo) il problema. Nel frattempo DaBoss ha sniffato puzza di brucio ed ha chiesto di essere messo in CC nel resto della corrispondenza. Ok. Un paio di giorni dopo mi arriva un altra mail da UL di $antivirus che mi dice "Ok, ecco una licenza per 5000 utenti. Ti basta?". Ma che mi piji 'er culo? DaBoss balza dentro e manda una mail dicendo "a noi serve una licenza ILLIMITATA".
Un paio di giorni dopo mi becco una ulteriore mail che dice "quale e' il vostro problema?"...
Ma pork$#$%@$@!! Te l'ho gia' spiegato almeno 3 volte quale e' il nostro problema. Se non puoi mandarmi quella ca$$o di licenza dimmelo subito no? Grumblesmurf...
Nel frattempo ricevo una mail da $altroantivirus che mi dice "grazie per aver scaricato la versione trial di $nostroantivirus, saremmo interessati a sapere come e' andato il test"... 'Momento... io ancora non ho scaricato niente! Perche' voialtri mi avete detto che mi avreste contattato per ulteriori informazioni. Ed io non ho piu' sentito niente!
Quindi... Me la dai sta cacchio di licenza/versione di prova o no?
Non devo dire che sto ancora aspettando una risposta no eh?
Davide
21/09/2009 08:00
Comments are added when and more important if I have the time to review them and after removing Spam, Crap, Phishing and the like. So don't hold your breath. And if your comment doesn't appear, is probably becuase it wasn't worth it.
illimitata? By z f k posted 21/09/2009 08:14
@ z f k By maxxfi posted 21/09/2009 08:51
Secondo me... By Herr Franz posted 21/09/2009 08:36
poi By RaDu posted 21/09/2009 09:04
clam & zip By lkr posted 21/09/2009 09:09
wrapper By ringo posted 21/09/2009 13:41
Buffo comportamento.... By Kurgan posted 21/09/2009 17:57
Stai invecchiando... By Diego posted 21/09/2009 22:12
Difficoltà del mestiere By Luca BG posted 22/09/2009 12:12
@ Luca BG By Kurgan posted 23/09/2009 11:03
ma By Guido posted 23/09/2009 17:32
Soggetto By kache posted 26/10/2009 22:31
@ kache By Davide Bianchi posted 27/10/2009 08:37
This site is made by me with blood, sweat and gunpowder, if you want to republish or redistribute any part of it, please drop me (or the author of the article if is not me) a mail.
This site was composed with VIM, now is composed with VIM and the (in)famous CMS FdT.
This site isn't optimized for vision with any specific browser, nor
it requires special fonts or resolution.
You're free to see it as you wish.