La rete italiana in ginocchio? Non è tutta colpa dei malware
Torno a casa stasera dopo che mi sono stati segnalati alcuni articoli pubblicati da testate più o meno famose e che stanno rimbalzando da forum a forum.
Chiunque sia possessore di una linea ADSL qui in Italia si sarà reso conto che ultimamente la connessione è molto altalenante, con problemi di raggiungiblità di siti web e addirittura disconnessioni continue. Interessante notare come la colpa sia stata girata su malware informatici.
Cito, tra i tanti che sono usciti scelto a caso, alcune righe dell’articolo di Repubblica.it, raggiungibile a questo indirizzo.
Decine di tentativi prima di inviare una e-mail. Il tutto sembra avvenire ovunque in Italia e con i principali operatori. “È vero, ma non è colpa nostra: la causa è un’epidemia di malware, spyware e adware che sta colpendo i server Dns di tutti gli operatori”, dicono da Telecom Italia.
Il panorama informatico italiano sta vivendo un momento particolare dal punto di vista dei malicious software. In tutto il mondo si sono andate sviluppando nuove tipologie di attacchi, i cosiddetti attacchi mirati.
Cosa significa tutto ciò?
I virus writer si sono resi conto che lo scrivere un worm quale sono stati i vecchi Blaster o Sasser non porta a niente di buono se non ad una prova di forza. É vero, il worm si è diffuso in tutto il mondo in poche ore, ma ha attirato immediatamente tutti gli sguardi dei maggiori ricercatori di sicurezza al mondo, i quali hanno rilasciato aggiornamenti praticamente subito per i propri software antivirus. La stampa stessa ingigantisce subito la questione. L’unico risultato del virus writer è stato quello di far parlare di sé per qualche giorno, sapendo bene che i servizi segreti sono già sulle sue tracce. Quelli di Sasser e Blaster sono stati due tipi di attacco globale, una sorta di sparare alla cieca in mezzo alla folla.
Differentemente, se un virus writer - o chi ne è alle spalle - vuole ricavare qualcosa di buono dal frutto di un’infezione, deve studiare particolarmente bene un determinato obiettivo. Deve studiarne le vulnerabilità , i punti deboli, come aggirarli e ottenere quello che si vuole. Ecco che si vanno sviluppando quindi determinati tipi di trojan non più adibiti ad infezione globale, ma mirata verso, per esempio, una determinata azienda. Ovviamente il tutto cercando di fare il più silenzio possibile per evitare di essere riconosciuti e individuati.
L’Italia non è fuori da questo trend che si sta evolvendo a livello mondiale, anzi, in questi ultimi mesi è passata dalla parte non più di spettatore ma da quella della parte lesa.
Sono state infatti isolate notevoli infezioni scritte appositamente per colpire gli utenti italiani. Chi segue il mondo della sicurezza informatica, ma anche chi si diletta navigando sui forum online, conosce sicuramente il caso Gromozon - un caso di cui poche testate giornalistiche si sono occupate e che ha colpito per mesi silenziosamente centinaia di pc italiani.
Gromozon è stato appositamente studiato per il territorio italiano. Lo si capisce dai siti che trasmettevano l’infezione, raggiungibili esclusivamente se il pc era localizzato in Italia. Lo si capisce dal dialer che l’infezione installava, contenente ben nove numeri a pagamento con prefissi 899 e 892 attivi su territorio italiano.
Ancora, andiamo a parlare del più recente avvocato che avrebbe dovuto praticamente denunciare mezza Italia via e-mail, caso meglio conosciuto come infezione da Trojan.Spambot. Anche qui il famoso removal_tool.exe è stato scritto appositamente per il territorio italiano. Lo si può notare dall’e-mail che invia, scritta in un italiano perfetto e credibilissimo, lo si può capire dal fatto che se ne guarda bene dall’infettare pc utilizzati da polizia, carabinieri, enti governativi italiani o testate di informazione sempre italiane.
Per terminare, possiamo parlare altresì del Trojan.Hijacker che da giorni si diffonde anch’egli via e-mail. Anche questa e-mail scritta in italiano perfetto, anche questo trojan con funzioni di dialer, cioè di dirottare le chiamate dei modem analogici a numeri a pagamento italiani con prefisso 899.
Con questi tre nomi abbiamo coperto un lasso di tempo che va almeno da Maggio 2006 a Dicembre 2006, un periodo che ha visto come protagonista attivo l’intero panorama informatico italiano. Dibattere sul perché sia stata presa di mira l’Italia significherebbe aprire un secondo argomento immenso, interessante ma che poco importa al momento in questo articolo.
Quello su cui interessa porre l’accento invece è questo: al momento, per quanto siano diffuse queste infezioni in Italia, ritengo difficile che possano causare un traffico simile da rendere inagibile la connessione di un intero stato nazionale. Insomma, stiamo parlando della copertura nazionale!
Si parla di sovraffollamento dei DNS, di quei server che garantiscono la risoluzione del dominio in un indirizzo IP, causato dalle notevoli richieste dei malware. Ripeto, al momento la situazione - da quello che posso conoscere perlomeno - non risulta così critica da mettere in ginocchio un’intera rete italiana. Un’aggravante, questo probabile, ma niente più. Lo scorso anno abbiamo assistito a epidemie che hanno duramente colpito l’Italia e l’estero, con worm quali Netsky, MyDoom e Bagle, i quali altrettanto si inviavano via e-mail con numerosi varianti e frequenze di invio spaventosamente alte.
Sembra invece più un problema di infrastruttura. Lo stesso Luca Spada, CEO di NGI, ha commentato l’accaduto individuandone il problema in una saturazione di banda, con alcuni switch che non riescono più a gestire il traffico dei DLSAM.
Ma fermiamoci a pensare anche solo un secondo che sia un problema esclusivo di malware informatici. Possibile che l’infrastruttura italiana non sia capace di reggere né di risolvere questo problema che si sta prolungando non da giorni, ma da settimane e mesi? Per esperienza personale ho notato da parecchio tempo un degrado delle prestazioni della mia linea ADSL e sui forum i thread aperti a riguardo sono numerosi. Ok, qualcuno può dire: ma erano problemi differenti non era questo. Forse, probabile. O forse magari invece si tratta sempre dello stesso problema su punti differenti dell’infrastruttura.
Inoltre, prendiamo come esempio il Trojan.Spambot e il Trojan.Hijacker che sembrano essere - secondo gli articoli - le cause di tutto ciò. Entrambi fanno riferimento ad una pagina web dove gli utenti devono scaricare il trojan vero e proprio. Pagina web con domini differenti in alcuni casi ma stesso ip del server.
Abbiamo visto muoversi l’AAMS per censurare i siti internet che fornivano servizi di giochi d’azzardo, una lista di 600 siti ai quali gli utenti italiani non possono accedere - se non attraverso la modifica e l’utilizzo di server DNS internazionali. Perché dunque, tanto che già ormai l’atto di censura è stato fatto, non si utilizza questa idea per censurare quei server che trasmettono il trojan? Oppure, il modello dell’e-mail utilizzata da questi trojan è essenzialmente uguale, sebbene cambino alcune particolarità . Non sarebbe per esempio possibile filtrare a livello di server di posta le e-mail contenenti un tal determinato pattern?
Insomma, è vero che in Italia la disinformazione a livello di sicurezza informatica è veramente tanta e TUTTI gli utenti dovrebbero assolutamente utilizzare ALMENO un software antivirus, però in questo caso forse dare tutte le colpe ai virus informatici sembra suonare alquanto bizzarro e fuorviante.
Giovy’s Blog » Problemi con la vostra ADSL?
Dicembre 13th, 2006 at 08:39
[…] Stamattina ho avuto la conferma di tali problemi leggendo i feed (ne parlano anche Stefano, Marco ed impropriamente anche Repubblica.it).La colpa viene attribuita ad un problema ad alcuni DNS (plausibile ma improbabile, dato che cambiando DNS i problemi molte volte persistono), ad alcuni router di collegamento alle backbone internazionali (plausibile, e questo spiegherebbe il problema nel raggiungere alcuni siti "esteri") o ad una saturazione delle rete per colpa di virus, trojan e malware vari (mmmm… qui inizio ad essere molto scettico). […]
daniele_dll
Dicembre 13th, 2006 at 09:00
Secondo me telecom ha problemi con il routeing dei pacchetti
Un’amico mio, ieri, aveva il proprio ip che visualizzava prima un sito e poi un’altro sito, una cosa DECISAMENTE assurda, anche perché dopo un 5 minuti tornnava tutto normale!
Il server a cui puntava l’ip ovviamente non hostava quel sito ed era perfettamente configurato
Una cosa veramente assurda
francesco
Dicembre 13th, 2006 at 10:23
Alcuni problemi sul backbone telecom si sono manifestati più o meno un mese fa. Chi ha studiato la situazione ha visto che i pacchetti facevano tutt’altra strada rispetto al solito, come se parte di seabone (si chiama così la rete internazionale di telecom, vero?) fosse bloccata. L’effetto era che molti ip erano irraggiungibili e fra questi alcune web farm di akamai !
Per i DNS, sono mesi che la prima risoluzione di un dominio non avviene entro il timeout dei 2 secondi (nslookup) ma poi il caching aiuta….
Vittorio_Bo
Dicembre 13th, 2006 at 11:03
Ciao a tutti, cosa ne pensatee cosa ne pensa Marco a questo proposito della soluzione adottata da alcuni di uilizzare i cosidetti OPEN DNS?
Piega
Dicembre 13th, 2006 at 11:40
“Si parla di sovraffollamento dei DNS, di quei server che garantiscono la risoluzione del dominio in un indirizzo IP, causato dalle notevoli richieste dei malware. Ripeto, al momento la situazione - da quello che posso conoscere perlomeno - non risulta così critica da mettere in ginocchio un’intera rete italiana. Un’aggravante, questo probabile, ma niente più. Sembra invece più un problema di infrastruttura.”
Dipende se i malware mandano mail a domini random e inesistenti, questo provoca richieste esagerate ai dns.
daniele_dll
Dicembre 13th, 2006 at 11:45
Utilizzare altri server DNS, server Esterni, o anche server italiani non telecom, potrebbe parzialmente risolvere la soluzione, ma se ci sta un problema più basso, ovvero sul routing del pacchetti della rete telcom non cambierà molto, anzi magari è possibile che si accentui di più se ci stanno problemi con la rete internazionale che per l’appunto si aggiungono a quelli nazionali
Sinceramente sto usando quelli di virgilio da tempo e non ho quasi avuto problemi, qualche errore ogni tanto, anche se comunque l’ho notato perché facendo assistenza a ditte varie ricevo telefonate con una certa frequenza
Una soluzione potrebbe essere installarsi un server DNS in locale cosi da evitare il problema del routing dei pacchetti quando ci stanno i dati in cache, anche se alla fin fine se poi la richiesta viene persa nella giungla o viene spedita ad una destinazione errata non cambia poi tanto
daniele_dll
Dicembre 13th, 2006 at 11:52
@Piega:
anche se fosse vero fai questa considerazione: ci dovrebberò essere una tale quantità di pc infettati da un virus che APPOSITAMENTE faccia richieste direttamente ai server dns telecom o ai server dns usati dal pc riempendo la banda.
Questo, sarebbe possibile, solamente se:
- Ci fosse un malware di questo tipo in circolazione, ma sarebbe già stato rilevato
- La rete è strutturata male, cosa probabile
- Alcuni paesi hanno deciso di attaccarci, questa è surreale ma l’ho messo in lista lo stesso
Secondo te qual’è quella più probabile?
Per me è la terza: se la rete è strutturata ed ha problemi ed è gestita in maniera errata (vedi telecom) effettivamente a causa delle troppe richieste di risoluzione di indirizzi generati dai SO infettati si potrebberò avere questo tipo di problemi
E a questo aggiungo che se fosse solamente colpa dei malwares, tranne se questi sono stati “immessi” solamente in italia, ma la vedo difficile controllare la diffusione, tranne se il sistema virale funziona tramite bug di internet explorer e non tipo via email, si sentirebberò di problemi simili in altri paesi, invece, almeno da quanto leggo, non c’è nulla che si possa avvicinare a ciò ^^
Marco
Dicembre 13th, 2006 at 11:57
@Piega:
la situazione che si è venuta a creare a livello di malware in questo mese non è assolutamente più tragica di quando giravano come matti infezioni da Netsky o Bagle via e-mail un anno fa
Che si voglia parlare di un fenomeno, quello degli attacchi mirati, possiamo sì parlarne - è comunque qualcosa di nuovo che vengano sviluppati malware con target esclusivo l’Italia. Ma da qui a darne la colpa per il crollo dell’internet italiana mi suona molto bizzarro, non mi risulta che ci sia al momento un’ondata di nuovi malware tutti insieme - eccezion fatta per quelli indicati nell’articolo.
Apofis
Dicembre 13th, 2006 at 12:25
Vi giro parte dell’e.mail mandata alla sign.ra Palombelli in merito al servizio di martedì del tg5 delle 20.00.
Buondì,
lavoro da circa 12 anni nel settore informatico, occupandomi principalmente di Internet e sicurezza.
Il servizio, scadente nei contenuti, presentato Martedì 12 Dicembre al TG5 delle 20.00 è quanto di più falso sentito nella mia carriera. Vorrei tanto sapere chi ha inviato quel comunicato in redazione e chi, senza alcuna verifica, si è genuflesso ad esso in nome di cosa.
Da circa 2-3 settimane, principalmente da quando a Telecom Italia (di seguito chiamata solo TI) è stata bloccata l’offerta wholesale da agcom,
perchè non replicabile da parte dei suoi competitor (che in realtà non posso replicare nulla essendo DE FACTO sotto un monopolio TI).
Contestualmente però TI ha continuato nella vendita dei suoi profili fino a saturare, ormai, ogni centrale/dslam/piastra a sua disposizione.
Non solo, voglio riportare la vergognosa situazione che si legge nei forum tecnici, secondo cui, gli staff tecnici di numerosi ISP, vengono lasciati senza assistenza perchè alle 18.00 il responsabile TI di turno decide che è ora di smontare dal turno…….INQUALIFICABILE.
http://gaming.ngi.it/forum/showthread.php?t=418245&page=5
TI si è vista alle strette, mezza italia dalle 15.00 alle 23.00 ha la sua adsl praticamente inutilizzabile, ma invece di fare autocritica, ha pensato bene prima di far uscire un vergognoso articolo (NON FIRMATO da nessun dir. telecom) su un quotidiano online (Punto-Informatico.it)
http://punto-informatico.it/p.aspx?id=1806243&r=PI
poi evidentemente quando ha capito che in rete non ci vive più gente stupida, ha pensato di diffondere ad arte il panico in TV.
E quale migliore TV sensazionalista se non quelle del biscione??? Ed ecco il servizio bufala di ieri, con gli stessi contenuti NON VERITIERI dell’articolo.
Ovviamente avete dimenticato una cosa, le generazioni dall’80 in poi delle TV se ne fregano alla grande, quindi il panico l’avete fatto venire
a persone (45-50 anni in sù) che già hanno difficoltà coi pc e l’informatica. Complimenti, davvero un bel servizio reso!!!!!!
Sono sicuro che questo servizio vi è stato suggerito da TI, e sono sicuro non ci avete neanche pensato troppo ad impostarlo e trasmetterlo (a proposito, vi rendete conto che ogni volta che parlate d’informatica usate sempre le stesse vecchie, monotone e datate immagini????).
Nessuna agenzia che si occupa di virus e sicurezza informatica ha lanciato qualche minimo allarme in merito, Sophos, che stila ogni mese la classifica dei virus non ha notato nessun incremento di alcun genere: http://www.sophos.it/feeds
TrenDMicro, una istituzione nel settore dei virus, stima in poco più di 1000 i pc attualmente infetti in Italia…..1000 dott.ssa, non 10000000 come
dovrebbe essere per avere un impatto così elevato sulla connettività nazionale.
http://it.trendmicro-europe.com/enterprise/security_info/virus_map.php
Vorrei che Lei Dott.ssa si faccia carico di questa bufala e vorrei vedere al Tg5 delle 13.00 una netta e clamorosa smentita. Vorrei che facesse
il nome del dirigente Telecom che ha (?) inviato la nota in redazione su cui avete fatto il servizio.
Non posso sapere qual’è davvero il problema tecnico con sicurezza (non lavoro in TI), ma sicuramente le dico che non è colpa di virus, spyware o malware di sorta. Il problema è solo TECNICO ed è solo di TI, che poi ovviamente inflenza anche gli altri ISP/OLO.
Distinti Saluti
Zio
Dicembre 13th, 2006 at 14:21
Questo “articolo” fa semplicemente ridere, questo famoso “Gromozon” non è nemmeno nella lista dei malware più pericolosi in Italia, né per la Trend Micro http://it.trendmicro-europe.com/enterprise/security_info/virus_flash_map.php
(si può controllare la mappa per l’Italia)
né per la Kasperky labs
http://www.kaspersky.com/viruswatchlite?hour_offset=-2
E in questo momento in Italia non c’è NESSUNA emergenza virus e malware.
Nessuna meraviglia che sia “un caso di cui poche testate giornalistiche si sono occupate” visto che, come dice lo stesso autore, “[Gromozon] ha colpito per mesi silenziosamente centinaia di pc italiani”. E cosa dovrebbe determinare un virus/worm che ha colpito “centinaia” di computer italiani??? E’ ridicolo. I virus pericolosi sono quelli che hanno colpito DECINE, o CENTINAIA DI MIGLIAIA, di computer italiani, come “I love you” o “Melissa”.
Ma parlando in generale, a me sembra che in giro sulla rete ci siano troppi pr di una famosa azienda di telecomunicazioni in bancarotta.
Marco
Dicembre 13th, 2006 at 14:31
Sicuramente stai scherzando per quanto riguarda Gromozon
Beh, se non stai scherzando, ti consiglio magari di informarti meglio
Un articolo tecnico riguardo Gromozon è stato scritto proprio nell’ultimo numero di Virus Bulletin. Molte altre argomentazioni tecniche le trovi qui sul mio sito. Per altri commenti lascio a chi sicuramente risponderà a questa tua affermazione alquanto azzardata.
TNT
Dicembre 13th, 2006 at 15:13
Zio, non commento neanche… evidentemente non hai neanche la piu’ pallida idea di cosa dici. Non c’e’ neanche da discutere sulle questioni tecniche, se tu avessi un minimo ALMENO GUARDATO i forum di aiuto ti saresti reso conto che Gromozon e’ stato PER MESI l’infezione NUMERO UNO in Italia.
Poi ci lamentiamo della pochezza dell’informatica in Italia… quando c’e’ gente come questo qua…
francesco
Dicembre 13th, 2006 at 15:23
Riporto una mail delle 14:30 circa apparsa su un forum di NGI a firma di skyluke, ceo di ngi. E non so se ridere o piangere !
Il problema è stato trovato: alcuni trunk intra-switch ATM di TI che si saturano. Sono sostanzialmente gli switch che raccolgono il traffico di n DSLAM.
Ieri sera ho fatto cambiare instradamento a diversi clienti e magicamente il problema spariva.
La struttura che ci ha seguito ieri sera si occupa SOLO dei link di raccolta / VP percui ci ha rimandato alle unità territoriali che invece sono competenti per i DSLAM e il pezzo di rete sopra.
Questi ci hanno chiesto di aprire un ticket nel loro sistemi per ogni cliente problematico. Ovviamente è una richiesta assurda.
Ad aprire centinaia di ticket sul loro sistema ultra lento ci vorrebbe una settimana.
Ho appena mandato mail minatorie a mezza Telecom, vediamo cosa succede nel pomeriggio.
Vi invito anche a leggere: http://blog.quintarelli.it/
p.s. stiamo per mandare una mail a tutti i clienti per avere una mappatura chiara del problema.
francesco
Dicembre 13th, 2006 at 15:26
E questa è una possibile spiegazione:
http://blog.quintarelli.it/2006/09/ed_una_pessima_.html
daniele_dll
Dicembre 13th, 2006 at 15:59
Se fosse quello mi ci sarei avvicinato un po
Ho vinto una bambolina?
Zia
Dicembre 13th, 2006 at 17:35
Zio è un pirlone. Addio.
Zio
Dicembre 13th, 2006 at 17:35
Caro TNT, ma ci fai o ci sei? “Gromozon è stato per mesi l’infezione numero uno in Italia”… con “centinaia di computer infetti”????
Ma anche se fosse? ADESSO è una delle infezioni più importanti? Ti sfido a indicarmi una sola pagina di un produttore di antivirus serio che dica qualcosa del genere. Prima di allora, smetti di dire sciocchezze e buffonate.
Marco
Dicembre 13th, 2006 at 17:42
Ti ringrazio per averci dato dei produttori non seri, perché evidentemente Prevx non è seria
Detto questo, suppongo tu conosca alla perfezione la storia di Gromozon
Tanto basta.
Saluti
TNT
Dicembre 13th, 2006 at 17:51
A fine agosto, i computer infettati da Gromozon (il che vuol dire quasi esclusivamente computer Italiani) erano 250,000:
http://www.scmagazine.com/us/news/article/591084/gromozon-rootkit-infected-250000-pcs/
Zio, se fossi in te (non vorrei MAI essere in te) me ne andrei: non stai facendo una bella figura.
Zio
Dicembre 13th, 2006 at 17:54
A me sembra che questa “Prevx” sia l’ultima arrivata, infatti è la ditta dello “studente di informatica” che gestisce questo sito, e con “Gromozon” ha trovato un comodo sistema per farsi pubblicità grazie alla Rai e forse a qualche amico. Vedi:
http://www.prevx.com/gromozon.asp
Per “produttore di antivirus serio” intendo ditte come Norton, Kaspersky, Trend Micro. Ora vi saluto perché non ho tempo da perdere con queste sciocchezze.
Telecom naturalmente vi ringrazia.
“Il tipico tecnico informatico”… LOL
TNT
Dicembre 13th, 2006 at 17:55
Ah Zio, guarda anche questo
http://www.difesa.it/NR/rdonlyres/D4932D9D-3002-4F96-A87E-E394872B7AE6/11996/gromozonlinkoptimizer.pdf
Detto questo, chiudo. Non ho tempo da sprecare con gente tanto ignorante e arrogante… Addio, zio.
Zio
Dicembre 13th, 2006 at 17:57
TNT, tranquillo, tu non sarai mai in me. Infatti, io so leggere. All’indirizzo
http://www.scmagazine.com/us/news/article/591084/gromozon-rootkit-infected-250000-pcs/
si dice che il virus Gromozon ha infettato 250000 computer IN TUTTO IL MONDO, non in Italia (e comunque è una cifra gonfiatissima). Vi saluto consigliandovi di cambiare mestiere. Ciao.
TNT
Dicembre 13th, 2006 at 17:59
Zio, io invece ti consiglio di farti curare.
Marco
Dicembre 13th, 2006 at 18:03
TNT dai basta
Lascia perdere, chi è del mestiere sa la verità . La gente parla per sentito dire senza sapere cosa c’è dietro 
Ti ringrazio Zio per i commenti costruttivi
Ne prenderemo atto 
Stop ora ai flame
Marco
Zio
Dicembre 13th, 2006 at 18:09
Beh, comunque devo dire, signor Giuliani, che se non altro è onesto, visto che mi ha passato i commenti.
Come il tonno at Kerobe!
Dicembre 13th, 2006 at 19:30
[…] Nessuno spiegava con certezza quello che stava succedendo, poi ho trovato questo articolo su pcalsicuro.com che pare abbia qualcosa da dire in merito… questo “non sapere” da parte di chi invece dovrebbe sapere mi preoccupa alquanto, anche perchè in ambito professionale “qualcuno” che ti dia delle risposte e idelle nformazioni certe, dietro pagamento fior di canone, a volte lo si esige. Filed under PC e dintorni. | var blogTool = “WordPress”; var blogURL = “http://www.kerobe.com”; var blogTitle = “Kerobe!”; var postURL = “http://www.kerobe.com/?p=17″; var postTitle = “Come il tonno”; var commentAuthorFieldName = “author”; var commentAuthorLoggedIn = false; var commentFormID = “commentform”; var commentTextFieldName = “comment”; var commentButtonName = “submit”; […]
Andrea Maselli
Dicembre 13th, 2006 at 20:10
Io però fossi in voi non continuerei a rispondere ad un troll…
La gravità dell’infezione Gromozon è nota a tutti gli operatori del settore
Marco
Dicembre 13th, 2006 at 20:16
Ma si Andrea, quello é sicuro
Ci sono cose che non posso dire perche sono riservate, ma comunque chiunque nel settore sa appunto della gravitá della situazione e di quanto in ritardo siano intervenute le societá “serie”.
Lui ha esposto le sue motivazioni, gli altri le loro, mi sono preso anche degli “insulti” personali - non si insulta solo dicendo parolacce ma anche come si espongono certi pensieri - ma pace
Si va avanti, le critiche fanno parte del mondo. 
Buona serata a tutti
PS: piacere di conoscerti Andrea, sono molto felice di leggere le tue parole qui
L’amara verità del collasso della rete? « Luca Vasini » Blog
Dicembre 13th, 2006 at 21:12
[…] L’unico vero problema è la saturazione della rete italiana…. voi vi chiederete perchè? perchè anche telecom stavolta ha aumentato la banda delle proprio adsl non calcolando la reale portata della rete… Ho letto l’articolo di Marco Giuliani (http://www.pcalsicuro.com/main/2006/12/la-rete-italiana-in-ginocchio-non-e-tutta-colpa-dei-malware/) un’ottima analisi del problema che esclude a priori le cazzate della stampa e delle reti televisive… La stampa sarà “obbligata” a tacere? forse sa ma non lo vuole dire? non si saprà mai, sta di fatto che da questa immagine si capisce bene il problema… il problema del packet loss infatti non si verifica piu dopo le ore 22.30 circa… perchè? perchè la maggio parte dell’utenza home si scollega e il carico è molto ma molto inferiore […]
maverick
Dicembre 13th, 2006 at 21:58
Zio e’ quello che ha scritto Gromozon. TNT e Marco possibile che non l’avete capito?
francesco
Dicembre 13th, 2006 at 23:00
@zio
Zio, purtroppo ti devo smentire anche io. Non posso conoscere la tua esperienza diretta e putroppo non posso raccontarti la mia, ma stai sicuro che i pc infetti sono stati migliaia…. 1000 o 100000 non lo so ma se i produttori di antivirus continuano ancora oggi ad aggiornare i propri cleaner e le proprie definizioni per ripulire i pc dalle porcherie scaricate da gromozon… vuole dire che proprio una sciocchezza non è stata !
E scommetti che se arrivava alla Rai o Mediaset una velina della Telecom in cui si paralva di Gromozon la notizia finiva al tg delle 20 ?
Marco
Dicembre 14th, 2006 at 02:02
Dai ragazzi, stop di discutere sull’espansione del gromozon. Lo si sa tutti, non alimentiamo flame inutili
Lucass
Dicembre 14th, 2006 at 06:06
Zio Says ha ragione.
Gromzom ha infettato pochi utenti al massimo un centinaio,le grandi aziende,non ne hanno mai parlato e non sono corsi ai ripari aggiornando le firme o rilasciadno cleaner specifici.
Su,la realtà è questa,nel mondo non ci sono grandi aziendi,l’ultima grande azienda,aveva spedito il cleaner via e-mail ma a qualcuno non è piaciuta la mossa è così tutte(o quasi)le fonti di download sono state chiuse.
Ciao
PS:Marco,gentilmente aumenta le dimensioni,le lettere si vedono poco.
marcus
Dicembre 14th, 2006 at 10:04
é mai venuto in mente a nessuno che il problema di questo mancato instradamento di pacchetti possa essere dovuto ad un problema di compatibilità dispositivi ipv4 e ipv6…..
g
Dicembre 14th, 2006 at 14:58
Lucass: per aumentare le dimensioni non basta che tu ingrandisca la font dal tuo browser?
Antivirus = quella cosa che rende difficile spedire e ricevere e-mail in maniera sicura. È una semi-provocazione, ma chiunque abbia dovuto aiutare degli utenti a superare le barriere imposte alle connessioni imap/smtp + SSL dagli anti-virus più in voga, sa a cosa mi riferisco.
Lucass
Dicembre 14th, 2006 at 15:59
No,perchè mi si ingrandisce tutto in maniera spropositata,ciao
incubatec system status » Italia, Internet a singhiozzo
Dicembre 14th, 2006 at 16:12
[…] A quanto pare il problema e’ causato da malware, virus e spam che stanno sovraccaricando la rete. Ma ovviamente le flat ADSL da oramai 20 Mbit/s allacciate sempre sulla stessa rete dell’incumbent che poco fa ospitava flat ADSL da 2 Mbit/s soltanto (un decimo!) inevitabilmente fanno pensare ad un problema di saturazione di banda come abbiamo segnalate varie volte nei mesi precedenti come causa d’errore. LINKS PER ARTICOLI ESTERNI: http://punto-informatico.it/p.aspx?id=1806243 http://www.pcalsicuro.com/main/2006/12/la-rete-italiana-in-ginocchio-non-e-tutta-colpa-dei-malware/ […]
alessandro recchia
Dicembre 14th, 2006 at 21:14
Zio Says:
Dicembre 13th, 2006 at 17:54
A me sembra che questa “Prevx� sia l’ultima arrivata, infatti è la ditta dello “studente di informatica� che gestisce questo sito, e con “Gromozon� ha trovato un comodo sistema per farsi pubblicità grazie alla Rai e forse a qualche amico. Vedi:
http://www.prevx.com/gromozon.asp
Per “produttore di antivirus serio� intendo ditte come Norton, Kaspersky, Trend Micro. Ora vi saluto perché non ho tempo da perdere con queste sciocchezze.
Telecom naturalmente vi ringrazia.
“Il tipico tecnico informatico�… LOL
NO COMMENT!!
Prevx è famosa da anni e non aveva di certo bisogno di Gromozon per “scalare” posti in classifica.
Fabrizio Alberti
Dicembre 14th, 2006 at 21:50
Mi inserisco immettendo un mio personalissimo pensiero e qualche personale considerazione.
Oggi ho ricevuto il seguente link da collegi sysadmin http://blog.quintarelli.it/2006/12/circa_i_disserv.html e condivido l’analisi di Quintarelli, quanto la tua Marco.
Quel che anche a me nei giorni scorsi fa riflettere è che imho sicuramente ci troviamo forse per la prima volta, ad aver vissuto nel recente passato, e in parte anche nel presente, di azioni di attacco malware ad arte, per il pubblico internettiano italiano.
Tornando a quanto detto da Quintarelli è interessante l’ultmo passaggio: ad oggi, quindi, sono portato a credere che ci siano due problemi simultanei: saturazione e un DDOS. quanto la saturazione sia dovuta al DDOS, non so.
E penso che non lo sappia nessuno perchè difficilmente quantificabile.
C’è un pero’ almeno imho: leggo diversi forum informatici, seguo il ng sulla connettività adsl, e vedo che il problema è piuttosto diffuso, non solo chi ha Alice ne soffre. E vedo che leggendo i dns che soffrono dei problemi son sempre i soliti.. Che in fondo in fondo ci sia comunque qualcosa di vero sugli attacchi informatici??? Detta più palesemente, se il DNS di Tiscali o di XXX che vuoi prendere in esame, diverso da telecom, ha problemi, che c’entra Telecom? O siamo davvero arrivati al collasso?
Questo non credo, anche se ogni anno, vedendo i grafici del MIX, il traffico aumenta di circa un 40% questo almeno da 5/6 anni a questa parte…
Boh la mia sensazione è che davvero la situazione non si risolverà alla svelta.
Provocazione: perchè il 90% delle persone che adottano gli OpenDNS risolvono?
Francesco
Dicembre 15th, 2006 at 06:11
Ho avuto conferma da parte di un provider “medio” che il carico sui DNS è aumentato in maniera rilevante creando non pochi problemi di carico; gli accessi arrivano da IP non facenti parte delle loro sottoreti (ma non mi hanno specificato se arrivano dall’estero o dall’Italia) e arrivano “sparsi”, ovvero non c’è una macchina che fa milioni di richieste, ma tantissime macchine che ne fanno decine, quindi impossibili da filtrare sui firewall, ad esempio.
Ho chiesto ulteriori informazioni ma non me ne danno (almeno fin’ora).
Questo provider permetterà l’accesso ai suoi DNS “forwarders” solo alle sue sottorete e sposterà i domini di cui è “primario” su altre macchine…
Alberto G
Dicembre 15th, 2006 at 16:27
Linkoptimizer/Gromozon è una minaccia informatica da non sottovalutare. Che le ultime versioni causino dei BSOD in particolari situazioni è un fatto positivo, per certi versi. Io personalmente ho visto e curato (a volte manualmente, a volte supportato dai tool di rimozione specifici) decine di PC.
Credo invece che i DNS italiani siano effettivamente messi a dura prova da un sovraccarico di lavoro che risulta in un DDOS intermittente in questi giorni, tanto che alcune delle situazioni di mancata connessione si possono risolvere tramite la riconfigurazione dei DNS o tramite l’implementazione di server DNS ad uso di reti interne, ove possibile, evitando il forwarding verso i DNS di Telecom/Interbusiness che risultano rispondere a singhiozzo. Certo questo non esclude problemi infrastrutturali della rete italiana come concausa quasi certa dei malfunzionamenti; ma da quanto ho potuto vedere in questi giorni la risposta dei DNS di Telecom è effettivamente tardiva, tanto da generare un numero particolarmente inusuale di timeout delle richieste. OpenDNS potrebbe essere una soluzione, a meno che il cambio dei server DNS (o la loro designazione esplicita in presenza di connessioni con indirizzo e server DNS assegnati con DHCP) non provochi un sovraccarico anche su OpenDNS, cosa probabile solo in presenza di un numero rilevante di utenti che effettuano il cambio.
Saluti e ringraziamenti per il tool di rimozione, è più utile di quanto qualche parente serpente tenta di far credere.
Problemi tecnici adsl | Consulente Informatico - Sergio Gandrus
Dicembre 18th, 2006 at 14:34
[…] Per un 2-3 giorni i problemi sembravano risolti. Oggi la connessione fa di nuovo l’effetto jo-jo. Sono stato fra i primi a cambiare i DNS con quelli di OpenDNS ma, a quanto pare, non sembrano esserci stati miglioramenti di lunga durata. Un articolo di Marco Giuliani e la relativa discussione che ne è scaturita è ciò che si avvicina più di ogni altra scusa ufficale al mio pensiero. Postato in Connettività Post letto 1 volte […]
PC Al Sicuro » Archivio » Alcuni aggiornamenti sul caso ADSL
Dicembre 18th, 2006 at 18:10
[…] Torno oggi, liberato da esami universitari, sull’argomento che in questi giorni sta scuotendo il panorama informatico italiano: le condizioni attuali delle linee adsl. Cerco di ampliare in maniera piú completa e dettagliata i pensieri giá esposti in quest’articolo. […]
World of Blogcraft.org » Problemi di connessione
Dicembre 24th, 2006 at 11:59
[…] Da oggi è stata pubblicizzata, tramite le maggiori testate presenti sul web, la problematica che sta affliggendo gran parte delle utenze italiane: internet a singhiozzo, così intitola punto-informatico.it. La Telecom si giustifica con la scusa banale “è colpa di virus/malware“, ma non tutti sono disposti a crederci: Stefano Quintarelli (presidente dell’Associazione Italiana Internet Providers) per primo, insieme a Gigi Tagliapietra e Marco Giuliani. Si nutrono dubbi sull’effettiva capacità della rete italiana, e quindi delle infrastrutture che la compongono. Per evitare il problema di disconnessione dovuto alle query verso i DNS Telecom basta adottare i DNS di OpenDNS: […]
H5N1
Febbraio 15th, 2007 at 01:32
Mi sono letteralmente rotto i c……i!
Sono sempre MOLTO pacato, al massimo risulto offensivo solo attraverso un filo di sarcasmo, ma stavolta sono veramente stufo!
Il problema non sono i DNS, o meglio, non solo!
Io accedo alla rete Telecom attraverso un router.
Mi collego alla rete e utilizzo i DNS di OpenDNS che, però… non sono raggiungibili!
Attendo…
Attendo ancora… (sono molto paziente)
Alla fine il ping verso i DNS succitati riesce.
Ok, li utilizzo e vedo cosa succede.
Alice.it è raggiungibile, mentre i siti esteri no.
O meglio, effettuando un ping verso i nomi di dominio a volte vengono risolti, altre no.
Provo ad effettuarlo immettendo direttamente l’IP.
Richiesta scaduta.
Richiesta scaduta.
Richiesta scaduta.
Richiesta scaduta.
Richiesta scaduta.
Richiesta scaduta.
Qui di scaduto c’è solo l’Italia: un paese in cui la parola “liberalismo” è ancora utilizzata solo per propaganda politica; un paese dove esiste la censura (ma solo verso i “fastidiosi” per i soliti ignoti); un paese dove, nell’era dell’informazione
vige la disinformazione.
Problemi di connessione in Italia! « Il favoloso mondo di Lally
Aprile 9th, 2007 at 21:41
[…] Apr 9th, 2007 by simplyvolley La rete italiana in ginocchio? Non è tutta colpa dei malware […]
ADSL non va di pomeriggio: spiegazione del perché
Aprile 23rd, 2007 at 12:20
[…] Marco Giuliani ha scritto un articolo proprio sulla questione malware e anche un seguito. […]
Effe Blog » Blog Archive » Lentezza della velocità delle linee ADSL, seconda parte
Giugno 29th, 2007 at 21:53
[…] Marco Giuliani ha scritto un articolo proprio sulla questione malware e anche un seguito. […]
Effe Kappa
Luglio 18th, 2007 at 16:03
Lentezza della velocità delle linee ADSL, seconda parte…
All’inizio di questa vicenda nessuno ci capiva nulla ma, poco dopo, i più esperti e i più addentro nelle strutture di rete Italiana hanno cominciato a capire quale potesse essere la causa di tutto. Un dato significativo è che un problema simile si…
il Genio.com » ADSL non va di pomeriggio: spiegazione del perché
Novembre 4th, 2007 at 02:08
[…] Marco Giuliani ha scritto un articolo proprio sulla questione malware e anche un seguito. […]
CreazioniMayaWebDesign » Blog Archive » ADSL non va di pomeriggio: spiegazione del perché
Novembre 27th, 2007 at 18:08
[…] Marco Giuliani ha scritto un articolo proprio sulla questione malware e anche un seguito. […]