Storie dalla Sala Macchine

Home Page | Commenti | Articoli | Faq | Documenti | Ricerca | Archivio | Storie dalla Sala Macchine | Contribuire | Imposta lingua:en it | Login/Register

Cos'e' sta' roba?

Qualche tempo fa, un po' annoiato, mi sono messo a scrivere quello che succede nel mio ufficio. Rimuovendo i nomi per proteggere i colpevoli. Le "storie", pubblicate inizialmente sul gruppo it.comp.os.linux.sys, hanno trovato ricezione favorevole. Onde per cui, ho deciso di "preservarle" per i posteri.

Personaggi usuali:

IO - Sono io.
CL - Clueless Luser, normale utente, non capisce un tubo di computer anche se dovrebbe usarli, ma pensa di saperne molto di piu'.
UL - Uber Luser, manager di primo livello o project-manager, non ne sa molto di piu' (qualche volta di meno), ma prende il doppio di stipendio.
SL - SuperLuser, manager di livello elevato. Vedi sopra.
SUSL - Super-Ultra-Super-Luser, CEO o simile.
HR - Human Resource, persona impiegata nell'Amministrazione del Personale.
Bob - Tutto il personale del supporto tecnico si chiama Bob. Seriamente.

Vedi anche le FAQ.

Me La Dai O No?

...No, fermi! Ca$$o avete capito??? Cominciamo dal principio che e' meglio va...

Alura, un paio di mesi fa (piu piu che meno), ricevo una mail da uno dei nostri clienti che riporta che il suo antivirus ha segnalato la presenza di un virus in una delle mail che sono passate attraverso il nostro sistema.

Io ho immediatamente richiesto maggiori informazioni (che mail, quando, che virus, che antivirus...). Dopo un penoso tira-e-molla sono finalmente riuscito ad avere le informazioni. Apparentemente la mail in questione non era stata filtrata dall'antivirus (Clamav) ma era stata in seguito marcata come spam ed inviata all'indirizzo di controllo spam del cliente. Ergo, riesco a pescarla dall'area di quarantena per lo spam e la controllo.

Bene, Clamav continua a considerarla non-virus. Prima che chiediate: Si. Io uso sempre l'ultimissima versione di Clamav e l'aggiornamento dei database e' fatto ogni 15 minuti.

La mail contiene senza alcun dubbio un file zippato, il quale contiene a sua volta un file chiamato "sarca$$o.doc_______________________________.exe". Ovviamente al posto di '_' c'erano degli spazi.

Un sistema di 'offuscatura' del nome che funziona solo se l'IQ del ricevente e' dell'ordine della cifra singola. Il che significa che funziona per il 70% degli utonti di interdet.

Dopo un controllo nell'eseguibile, deduco che questo affare e' in effetti una qualche sorta di virus/worm/schifezza. Lo spedisco a Clamav affinche' lo analizzino.

Nel frattempo decido di vedere se trovo un antivirus che mi individua sta cosa, il nostro cliente apparentemente usa Symantec (Norton) che rileva il virus sul client. Io voglio farlo a livello di server, ergo mi metto a cercare.

Dato che ho avuto buoni risultati da $noisalviamoilmondopuntocom.com, la prima cosa che faccio e' cercare di scaricarmi una copia di test di $antivirus. Scarico e comincio a vedere come e' possibile integrare questo coso nella nostra struttura. Si perche' per come e' strutturato il sistema adesso il sistema migliore sarebbe di poter richiamare l'antivirus su un singolo file alla volta, in modo da beccarmi il risultato dell'analisi e potermi stilare le classifiche "on line". Come viene fatto adesso per clamd.

Il problema e' che apparentemente $antivirus non fornisce piu' un sistema command-line per singolo file, o meglio, lo fa, ma ogni volta che lo esegui questo coso si ricarica in memoria tutto il database delle 'signature', con il risultato che UNA scansione ci impiega un minuto... il che non funziona se vuoi analizzare 3 milioni di mail al giorno.

Dopo un po' di madonne riesco a scrivere un wrapper intorno al loro daemon per fare l'analisi come la voglio io. A questo punto ho un sistema di test che funziona in maniera quasi decente. Si tratta di provarlo con un po' di dati "live". Ma... Perche' il sistema funzioni mi serve una licenza d'uso.

$Antivirus viene fornito solo con due tipi di licenze: 1) Per Dominio e 2) Per Utente. Non bisogna dire che nessuno dei due va bene per me.

Il mio problema e' che noi facciamo il lavoro di mail-washing per una serie di societa', alcune delle quali "rivendono" i nostri servigi, ergo: non ho modo di sapere quanti domini o quanti utenti andremo a processare il mese prossimo. Io so, piu o meno, che giornalmente noi processiamo circa 3 milioni di mail. Ma anche quello e' un dato abbastanza aleatorio.

Preparo pertanto una mail e la spedisco a $antivirus domandando se e' possibile avere una licenza di test con numero di utenti ILLIMITATO. Anche una licenza a tempo limitato ma senza limitazioni di utenti o di domini.

Nel frattempo, dato che non mi piace stare li' ad aspettare, vado a vedere il sito di $altroantivirus.

Li' trovo un link che dice "download trial version". Ok clicco e mi becco una bellissima form che mi chiede di compilare questo-e-quello. Compilo e mi becco una mail che mi dice "grazie per l'interesse, vi contatteremo per fornire ulteriori informazioni/istruzioni su come scaricare la vostra versione di prova". Oh che gioia.

Passano i giorni. E mi arriva una bella mail da un UL a caso di $antivirus che mi dice "ecco la tua licenza di test". Io chiappo la licenza, la carico sul server, faccio una rapida prova e nel giro di 30 secondi mi becco un messaggio di errore che mi dice che ho superato il numero di utenti possibile e che il sistema funzionera' in "modalita' limitata". Che significa che non mi fa passsare piu' una mail che e' una. Io guardo un attimo e nei meandri di questo cacchio di file di licenza c'e' scritto "10 utenti".

Dieci utenti?? Ma io ho chiesto illimitata!

Mail a $antivirus spiegando (di nuovo) il problema. Nel frattempo DaBoss ha sniffato puzza di brucio ed ha chiesto di essere messo in CC nel resto della corrispondenza. Ok. Un paio di giorni dopo mi arriva un altra mail da UL di $antivirus che mi dice "Ok, ecco una licenza per 5000 utenti. Ti basta?". Ma che mi piji 'er culo? DaBoss balza dentro e manda una mail dicendo "a noi serve una licenza ILLIMITATA".

Un paio di giorni dopo mi becco una ulteriore mail che dice "quale e' il vostro problema?"...

Ma pork$#$%@$@!! Te l'ho gia' spiegato almeno 3 volte quale e' il nostro problema. Se non puoi mandarmi quella ca$$o di licenza dimmelo subito no? Grumblesmurf...

Nel frattempo ricevo una mail da $altroantivirus che mi dice "grazie per aver scaricato la versione trial di $nostroantivirus, saremmo interessati a sapere come e' andato il test"... 'Momento... io ancora non ho scaricato niente! Perche' voialtri mi avete detto che mi avreste contattato per ulteriori informazioni. Ed io non ho piu' sentito niente!

Quindi... Me la dai sta cacchio di licenza/versione di prova o no?

Non devo dire che sto ancora aspettando una risposta no eh?

Davide
21/09/2009 08:00

Precedente Successivo

Commenti

I commenti sono aggiunti quando e soprattutto se ho il tempo di guardarli e dopo aver eliminato le cagate, spam, tentativi di phishing et similia. Quindi non trattenete il respiro.

13 messaggi this document does not accept new posts
z f k

illimitata? Di z f k postato il 21/09/2009 08:14

Ma daaai; cosi' poi ve la noleggiate a tutto il mondo e alla fine loro restano con un solo cliente, per una sola licenza: voi.

CYA -- z f k

maxxfi

@ z f k Di maxxfi postato il 21/09/2009 08:51

> Ma daaai; cosi' poi ve la noleggiate a tutto il mondo e alla fine loro restano con un solo cliente, per una sola licenza: voi.
>
> CYA
>
Quale parte di "anche a tempo limitato" ti e' sfuggita? :\) -- maxxfi

Herr Franz

Secondo me... Di Herr Franz postato il 21/09/2009 08:36

fai prima ad esaminare le mail manualmente man mano che arrivano.Suvvia , tre milioni di mail non sono una gran cosa! Scommetto che in un paio di orette ce la fai....basta seguire la procedura giusta*!



*procedura giusta: cancellale tutte e poi dire alla cieca che erano spam/virus/sarc***o. -- Herr Franz

RaDu

poi Di RaDu postato il 21/09/2009 09:04

Com'è andata a finire ? -- RaDu

lkr

clam & zip Di lkr postato il 21/09/2009 09:09

moolto probabilmente dico 'na cazzata, ma occhio che di default clamav non fa la scansione di file compressi, non scende oltre un certo numero di directory etc...
(si, hai dimenticato di menzionarlo nella storia :D ) -- lkr

ringo

wrapper Di ringo postato il 21/09/2009 13:41

Davide Bianchi wrote:
> Dopo un po' di madonne riesco a scrivere un wrapper intorno al loro daemon per
> fare l'analisi come la voglio io.

Qualche approfondimento su questo wrapper interesserebbe me e sicuramente altri affezionati lettori. -- ringo

Kurgan

Buffo comportamento.... Di Kurgan postato il 21/09/2009 17:57

Buffo il comportamento di Clam... cioe` non credo che sia necessariamente un problema di files zippati o altro... perche` devo dire che lo uso da diversi clienti sull mail e nessuno mi ha mai detto che l'antivirus sui client (kasp, avg) abbia mai trovato virus che hanno attraversato indenni il Clam sul server.

C'e` da dire che l'affidabilita` dei report degli utenti non e` mai il massimo... -- Il massimo danno con il minimo sforzo

Diego

Stai invecchiando... Di Diego postato il 21/09/2009 22:12

Qualche tempo fa sono sicuro che avresti mandato una mail smadonnante con:
"Quale parte di 'a noi serve una licenza ILLIMITATA' non ti è chiara?" -- Diego

Luca BG

Difficoltà del mestiere Di Luca BG postato il 22/09/2009 12:12

Insisto a dire che la parte più difficile del mestiere è capire i varii meccanismi di funzionamento delle licenze dei varii fornitori. Sembra che li abbia studiati il fratello schizofrenico di Bartezzaghi... -- Luca BG

Kurgan

@ Luca BG Di Kurgan postato il 23/09/2009 11:03

> Insisto a dire che la parte più difficile del mestiere è capire i varii meccanismi di funzionamento delle licenze dei varii fornitori. Sembra che li abbia studiati il fratello schizofrenico di Bartezzaghi...


Questo e` uno dei motivi per cui amo lavorare con il software libero, che sia open source o altro... devo preoccuparmi solo di installarlo e farlo andare, e non di capire se e come posso o non posso usarlo, quanto costa e qual'e` il modo per spendere il minimo di licenza per avere il risultato, litigare con le chiavi di attivazione, hardware o meno, eccetera.
-- Il massimo danno con il minimo sforzo

Guido

ma Di Guido postato il 23/09/2009 17:32

proprio con la Symantec ti devi andare ad impergolare? Se il loro supporto tennico è come l'antivirus c'è poco che puoi fare :D il NAV fa quello che vuole lui come gli pare a lui e da quello che racconti anche il loro Hell Dessssssk è tale e quale al NAV... :P
Però i meglio sono stati quelli di $altroantivirus... :D -- Guido

kache

Soggetto Di kache postato il 26/10/2009 22:31

Domanda forse stupida: visto che era un file di licenza, ed il numero di utenti massimi era in chiaro, non potevi modificarlo ed avere, quindi una licenza con utenti illimitati? -- Poor little student...

Davide Bianchi

@ kache Di Davide Bianchi postato il 27/10/2009 08:37

> Domanda forse stupida: visto che era un file di licenza, ed il numero di utenti massimi era in chiaro, non potevi modificarlo ed avere, quindi una licenza con utenti illimitati?

Legalita', questa sconosciuta... Poi il file di licenza era un binario, in chiaro c'era la descrizione. -- Davide Bianchi

13 messaggi this document does not accept new posts

Precedente Successivo

Copyright

Il presente sito e' frutto del sudore della mia fronte (e delle mie dita), se siete interessati a ripubblicare uno degli articoli, documenti o qualunque altra cosa presente in questo sito per cortesia datemene comunicazione (o all'autore dell'articolo se non sono io), cosi' il giorno che faccio delle aggiunte potro' avvisarvi e magari mandarvi il testo aggiornato.

Questo sito era composto con VIM, ora e' composto con VIM ed il famosissimo CMS FdT.

Questo sito non e' ottimizzato per la visione con nessun browser particolare, ne' richiede l'uso di font particolari o risoluzioni speciali. Siete liberi di vederlo come vi pare e piace, o come disse qualcuno: "Finalmente uno dei POCHI siti che ancora funzionano con IE5 dentro Windows 3.1".

Web Interoperability Pleadge Support This Project
Powered By Gojira