Perché i provider fanno pagare l'antivirus?

Se lo chiede un lettore, secondo cui nel tempo molti saranno gli effetti negativi delle politiche di sicurezza dei fornitori di servizi di rete. Ma è davvero sbagliato pagare per difendersi dai virus?


Roma – Da un paio di settimane mi arrivano delle email contenenti il virus W32.Sobig . Fin qui nulla di strano. Egualmente non c’è nulla di strano che il from sia james, o john@mke.it, un falso indirizzo del dominio che gestisco. Quello che è maggiormente strano è che anche su un altro dominio che gestisco sempre di Aruba arrivino gli stessi messaggi, non uno naturalmente, ma almeno una ventina nell’ultima settimana. Inoltre, guardando il forum di Aruba ho notato come il problema non sia solo mio ma anche di altri utenti ai quali viene in genere risposto dall’assistenza tecnica su come funziona il virus e che è disponibile un upgrade antispamming e antivirus.

Naturalmente non sono in grado di valutare quanto ciò sia dovuto ad una incurante gestione dei database dei domini oppure sia un fenomeno generalizzato, tuttavia per dimensioni questo sta diventando preoccupante oltreché seccante. Mi domando invece quantomai sia opportuno che i provider, piuttosto che la responsabilità dei contenuti pubblicati nei siti da loro gestiti, per i quali sono quasi sempre rintracciabili gli autori, debbano invece assumersi precise policy di controllo rispetto alla gestione dei DNS sia che gli abusi avvengano attraverso i propri server, sia che indirettamente ciò porti danno ai domini che essi gestiscono.

E’ certo che maggior profitto si raggiunga nel breve termine attraverso la duplicazione dei servizi, o meglio nella realizzazione di un servizio da rivendere a più utenti, rendendo cosi necessario per ognuno l’acquisizione di software antivirus, antispamming ed altro ancora; tuttavia sono sicuro che nel lungo termine ciò porterà ad un peggioramento generale della rete, dell’utilizzo di Internet e della posta elettronica, e una riduzione nella
realizzazione degli stessi siti web amatoriali o meno che provider come Aruba stanno promuovendo (e che hanno determinato il loro successo). E nulla sarebbe più facile che impedire la diffusione direttamente dai server di questi provider.

Il problema è che se da un lato istituzioni come la Comunità Europea cercano di diffondere precise direttive per combattere questi fenomeni, la stessa urgenza e necessità non è sentita da coloro che operano direttamente sul mercato e che, a fronte di una legge imposta, si troveranno nella necessità di ignorarla o aggirarla o travisarne i “principi ispiratori” per continuare a promuovere la vendita di questi servizi… sempre che sia una buona legge. E paradossalmente avranno tutto l’interesse perchè tali abusi continuino.

Diverso sarebbe invece se quelle stesse istituzioni diffondessero maggiormente le ragioni di quanto si stia facendo per impedire la diffusione di spam e virus, coinvolgendo direttamente gli ISP nella realizzazione di leggi, regolamenti e quant’altro, illustrando i vantaggi di una politica volta alla diffusione di tecnologie e servizi informatici che porti ad un mercato più accessibile a nuovi operatori e più produttivo per clienti e fornitori di servizi.

Aruba naturalmente non c’entra. O meglio, centra in tutto questo come gli altri provider che diffondo servizi “avanzati” di antispamming, antivirus o antidialer. “Supermail” di Tiscali, “MailXL” di Libero, e altri.

Perché un conto è spendere poco per avere un servizio minimale, un altro è essere costretti a pagare per mantenere standard di servizio accettabili… che una volta erano gratuiti.

Cordialmente,
Francesco Benini
mke.it

Caro Francesco
sono due i punti essenziali, mi pare, del tuo ragionamento.
Per il primo posso dire che i provider in Italia *non sono responsabili* dei contenuti pubblicati dai siti che ospitano, ciò nonostante ve ne sono alcuni che preferiscono censurare certi contenuti pubblicati sui propri network approfittando di discutibili policy di hosting.
Per il secondo, per quanto riguarda i virus (e lo spam), va detto che sono proprio i provider quelli che negli anni hanno pagato il prezzo più alto per la circolazione indebita di email infette, capaci di intasare le reti. Non ci vedo nulla di male, davvero, se per ridurre il numero di email invasive che arrivano all’utente il fornitore di servizi chieda qualche euro in più.
E’ vero, una volta era diverso. Ma i tempi sono cambiati.
Un saluto, a presto, Lamberto Assenti

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    30/09/2004
    ...ma che dite? Era valido dal 1/10/2003 al 30/09/2004!!!https://digitalid.verisign.com/cgi-bin/Xquery.exe?issuerSerial=66fffd39461718043de1f62b40d13fea&Template=retailCertByIssuer&form_file=../fdf/srv_userQueryResult.fdf&qmCompileAlways=yes
    • Anonimo scrive:
      Re: 30/09/2004? No, link diverso.
      - Scritto da: Anonimo
      ...ma che dite?
      Era valido dal 1/10/2003 al 30/09/2004!!!

      https://digitalid.verisign.com/cgi-bin/XquerySi vede che anche lassù qualcuno legge PI e si è precipitato a rinnovarlo perchè fino a stamattina il certificato era EXPIRED. vedi anche: https://digitalid.verisign.com/cgi-bin/Xquery.exe?Template=authCertByIssuer&form_file=../fdf/authCertByIssuer.fdf&issuerSerial=495eba18213e10a06fbd8623afbe524a
  • Anonimo scrive:
    Anche al 187.it dove si pagano le bollet
    Anche al 187.it dove si pagano le bollette il certificato di protezione SSL è scaduto. Se il certificato non viene rinnovato (bisogna pagare e probabilmente telecom 187 si è dimenticato di pagare) risulta scaduto.
  • Anonimo scrive:
    Banca di Roma
    La stessa anomalia è accaduta per molto tempo anche per l'accesso ai servizi on line della Banca di Roma, cosa ancor più scandalosa se si pensa alla criticità dei servizi bancari on line e a quanto le banche sono zelanti verso i propri clienti!:|
    • DPY scrive:
      Re: Banca di Roma
      - Scritto da: Anonimo
      La stessa anomalia è accaduta per molto
      tempo anche per l'accesso ai servizi on line
      della Banca di Roma, cosa ancor più
      scandalosa se si pensa alla criticità dei
      servizi bancari on line e a quanto le banche
      sono zelanti verso i propri clienti!Non so per la banca di Roma, ma molti enti (vedi ad esempio il Ministero delle Finanze) usano siti protetti con certificati creati in proprio, che inizialmente il browser non riconosce. Anche a livello di banche, esiste ad esempio questo serviziohttp://www.crfossano.it/E-banking_CRF.htmche utilizza un certificato di questo genere. E' il primo che ho trovato cercando su google, quindi non so come funzioni e quanto sia diffuso, resta il fatto che usa un certificato casalingo . Detto fra noi, non è che la cosa sia così elegante, ma per i sistemi di home banking la debolezza del sistema è solo durante l'installazione: se è prevista una procedura di attivazione dell'account che non sia imitabile da terzi (i.e. il server deve inviare dei dati che solo il cliente conosce e il cliente deve verificare questi dati prima di andare avanti) e debba essere effettuata dopo la ricezione del certificato, credo che i rischi siano minimi.
  • Anonimo scrive:
    Che pressapochismo....
    Vorrei essere stupito di quanto affermato nell'articolo, ma, purtroppo, devo dire che non lo sono più di tanto (la qualità degli interventi di P.I., anche se mediamente buona, ci fa spesso assistere a degli alti e bassi francamente imbarazzanti). Ma con che pressapochismo si può affermare che per l'operatore TIM è forse meglio rimuovere il certificato che aggiornarlo....ma stiamo scherzando? Ma sapete qualcosa di quello di cui state parlando? Avete un'idea del livello di documentazioni e verifiche richieste per avere un certificato Verisign rilasciato allo scopo richiesto? Pensate che basti pagare? Ma per favore! In Italia esiste un centro Verisign che si può visitare e contiene sette diversi livelli di sicurezza che vanno dal badge all'entrata alle chiavi d'accesso gemelle. Sia chiaro: io non lavoro per Verisign (e sono sicuramente critico su certe risibili iniziative come quella del redirect forzato dei .com e .net inesistenti), ma so a cosa serva un certificato, che valore abbia e, soprattutto, mi rendo conto di cosa significa sicurezza in Internet (cosa che non è così chiara a tutti, a quanto pare). Se vi appaiono degli warning al popup di accesso ad una connessione https, magari è il caso di cercare di capire perché, non di cliccare comunque su OK, per poi lamentarsi dell'inutilità dei certificati. Ricordate, l'unico warning, tutto sommato, "ammesso" è quello della trusted root certificate authorities (a seconda, naturalmente del livello di importanza dell'accesso), che comunque è da controllare, ma se vi appare uno qualunque degli altri 2 warnings (non coincidenza url/IP server https, timestamp), non cliccate su OK, c'è qualcosa che non va.-Zoroastro-
    • Anonimo scrive:
      Re: Che pressapochismo....
      se vado sul sito di TIM e ci trovo un certificato scaduto vuol dire solo che il sistema non fungepoi e' chiaro che e' complicato, senno' come si fanno pagare?
    • DPY scrive:
      Re: Che pressapochismo....
      Ma sapete qualcosa di quello di
      cui state parlando? Avete un'idea del
      livello di documentazioni e verifiche
      richieste per avere un certificato Verisign
      rilasciato allo scopo richiesto?In realtà non ne ho idea, ma spero che sia un po' migliorato dopo questo episodio http://punto-informatico.it/p.asp?i=35541in cui Verisign ha fatto una ben magra figura. Un altra cosa che mi ha lasciato sempre perplesso è il costo di questi certificati: è pur vero che le puntuali verifiche sull'identità di chi richiede il certificato avranno un valore e quindi sono anche una spesa per l'ente certificatore, però... prendiamo l'esempio di http://www.trustitalia.it , azienda affiliata a Verisign e quindi considerabile a tutti gli effetti la sua emanazione per le nostre zone: a listino un certificato per singolo server a 40 bit ha un costo di ? 475,37 per un anno e ? 798,00 per due. In pratica acquistandolo per due anni c'è uno sconto del 16% circa, che si può supporre dovuto alla necessità di non ripetere gli stessi controlli per due anni di seguito. Lo stesso certificato, ma a 128 bit, ha un costo di ? 947,57 per un anno e ? 1.688,70 per due, pari a uno sconto del solo 11%. Ora, se le procedure per ottenere i due certificati sono identiche, perché quello a 128 bit deve costare quasi il doppio? Solo perché i loro computers hanno utilizzato un po' più di tempo di CPU?
      Sia chiaro:
      io non lavoro per Verisign (e sono
      sicuramente critico su certe risibili
      iniziative come quella del redirect forzato
      dei .com e .net inesistenti), ma so a cosa
      serva un certificato, che valore abbiaAllora se sai come funzionano le cose saprai anche che all'utenza basta non ricevere avvisi nel momento in cui entra in un sito protetto: se questo non succede che il certificato sia stato emesso da Verisign o da un altro ente i cui certificati sono presenti nella dotazione standard dei browser non ha la minima importanza, nessun cliente andrà mai a questionare se il certificato è firmato da GeoTrust (tanto per dirne uno) invece che da Verisign. Il bollino dorato a questo livello serve per fare bella figura, ma è tecnicamente inutile in quanto non dice nulla che non possa essere ricavato direttamente dal certificato, al massimo potrebbe servire per scoprire che il certificato è stato revocato, ma se fosse così il venditore in malafede lo rimuoverebbe subito.Tutto questo discorso serve a dire che se esistono n certificatori, la debolezza del sistema si misura sul certificatore più debole, non su quello più forte: io posso essere un certificatore che manda gli investigatore privato sulle tracce dei loro clienti prima di conceder loro un certificato, ma se un altro ente mio pari lo da a cani e porci dopo controlli minimi, questo ente mina tutto il sistema.
      • Anonimo scrive:
        Re: Che pressapochismo....
        Sul costo, sinceramente, posso anche essere d'accordo con te. Sinceramente, ritengo che anche il costo sia (oltre che naturalmente un modo per sfruttare economicamente il proprio status di "ente di certificazione affermato", ma del resto, è un brand come un altro ;-) ) anche una sorta di ulteriore metodo di selezione.Detto questo, concordo che il valore del sistema si regge sull'anello più debole delòla catena, ma è anche vero che non è così semplice essere inseriti di default nelle trusted root certification authorities del browser. E' naturale che se poi l'utente decide di inserire una qualunque CA nelle proprie trusted lo fa di sua spontanea volontà. Certo, mi rendo conto che il metodo è un po' complicato, soprattutto per l'utente medio, ma si tratta dell'unico e più valido modo per poter avere transazioni sicure. E' comunque vero che le root CA posso creare CA delegate esclusivamente all'emissione di certificati con specifici ed esclusivi scopi (in base anche all'OID del certificato stesso). Quello che conta realmente è la chain di creazione del certificato, strutturata in modo tale che se cade la sicurezza di un certificato, la caduta si espande solo fino all'ente certificatore stesso e non oltre, fino all'ente certificatore originario.Si tratta, ne convengo, di una realtà complessa, ma solo quanto è complessa comunque la questione. E' comunque vero che almeno basarsi sui tre livelli base di warning di un popup d'accesso ad un secure channel è alla portata di tutti e che se c'è un warning, questo dovrebbe comuqnue portare ad una certa prudenza. Non pretendo certo che l'utente domestico vada a controllare lo scopo di emissione del certificato o se è digitalmente firmato con hashcode MC5 o SHA-1.Ciao-Zoroastro-
  • Anonimo scrive:
    Solo perchè è TIM ?
    Verisign avrà avvisato una trentina di volte il responsabile del sito certificato ... ma, questo (ir)responsabile, probabilmente manco sapeva di cosa si trattasse.Anzi, sicuramente i suoi filtri antispam gli hanno brutalmente incenerito l'avviso di scadenza del certificato.Non servono i certificati ?Provate ad andare qui:https://www.thwate.comUn certificato scaduto, rilasciato dalla Snake Oil e con un CN che non c'entra nulla.A me è capitato di scrivere male l'indirizzo ... e, se fatto bene il sito, ci sarei cascato come un pollo ... che pollo che sono.I certificati servono, e serve anche il granu salis dell'utente che dovrebbe rendersi conto di quello che fa.Non mi va di fare pubblicità, ma Verisign e altri operatori del settori, mi hanno fatto e mi fanno penare parecchio per ottenere un certificato, volgiono una miriade di "assicurazioni" e "dimostrazioni" che "io sono io e sono anche quello che io dico di essere".Un mese prima che il certificato scada, i Certificatori mi bombardano di avvisi. Se poi trascuro ... il pollo (ormai è deciso), sono io.Dateci il nome del responsabile del sito TIM ... pubblicheremo su internet la foto della sua flagellazione ;)))In http, non https, ovvio :)Dave
    • Anonimo scrive:
      Re: Solo perchè è TIM ?

      Non servono i certificati ?Se sono sul sito di TIM stai sicuro che NON MI SERVE di sapere che Verisign sa che TIM e' TIM
      • Anonimo scrive:
        Re: Solo perchè è TIM ?
        - Scritto da: Anonimo
        Se sono sul sito di TIM stai sicuro che NON
        MI SERVE di sapere che Verisign sa che TIM
        e' TIMHo paura che tu, e temo anche l'articolista, non abbiate capito bene lo scopo di un certificato.Hint: hijacking, dns cache poisoning
  • DPY scrive:
    Il problema è leggermente diverso
    Il bollino Verisign fa riferimento a un certificato di un sito timshop.tin.it che non sembra più esistere. Al suo posto, chiedendo di acquistare una ricarica si viene reindirizzati su https://iltelefonino.tim.it , che questa volta ha un certificato valido. Nulla di più facile che sia stata cambiata la struttura dei siti protetti, e nessuno si sia ricordato di modificare il link di quel solo bollino, alla fin fine non mi sembra una cosa così grave.
    • edc scrive:
      Re: Il problema è leggermente diverso
      Sono perfettamente d'accordo. E' facile, quando si fa l'aggiornamento periodico del certificato, dimenticarsi che va anche modificato il sito per cambiare il link del bollino, (che peraltro non ha alcun valore pratico, ma solo informativo). Certo tim non ci fa una gran figura...
  • avvelenato scrive:
    i certificati non servono.
    dopo aver visto dialers certificati, siti porno certificati, ci mancano solo i virus certificati e stabiliremo definitivamente che i certificati, se non vengono rilasciati con criteri più saldi del vile denaro, non servono A NULLA. avvelenato non certificato
    • Anonimo scrive:
      Re: i certificati non servono.
      - Scritto da: avvelenato
      avvelenato non certificatoBeh, che aspetti... certificati!
    • DPY scrive:
      Re: i certificati non servono.
      - Scritto da: avvelenato
      dopo aver visto dialers certificati, siti
      porno certificati, ci mancano solo i virus
      certificati e stabiliremo definitivamente
      che i certificati, se non vengono rilasciati
      con criteri più saldi del vile denaro, non
      servono A NULLA.Calma, qui c'è un fraintendimento: il certificato non attesta alcunché riguardo la serietà del possessore, attesta esclusivamente che l'entità che possiede il certificato è quello che sostiene di essere. Tanto per fare un esempio, tu come privato puoi acquisire un tuo certificato e con questo firmare le email che mandi in giro. Se io sono l'ente certificatore, devo rilasciarti il certificato dopo che mi sono accertato della tua identità, non mi serve né la fedina penale né il certificato di buona condotta, né mi interessa sindacare sulla tua vita. Ovviamente in questo modo io attesto che tu sei chi dici di essere, più o meno come fa il comune quando ti rilascia la carta di identità, ma esattamente come il comune non ti rilascio alcun certificato di buona condotta. Che poi i siti SSL (e anche i creatori di dialer) usino il discorso del certificato come argomento promozionale che certifichi la loro serietà è un altro discorso.
Chiudi i commenti