— Programmi di posta “sicuri”
— Venticinque anni di spam
— XP consuma il 100% di risorse. Senza fare niente
Programmi di posta “sicuri”
Comprensibilmente, l’idea che basti una riga di codice HTML per mandare
in crash Internet Explorer, Frontpage e soprattutto Outlook, come
accennavo nella newsletter precedente (2003-36), non è piaciuta molto,
per cui sono arrivate varie richieste di sapere quali programmi di
posta alternativi si possono usare per evitare questo problema, e se vi
sono programmi che visualizzano la posta HTML senza interpretarla e
senza caricare eventuali “web bug” (microimmagini nascoste usate per
tracciarvi).
Sotto Linux, ci sono programmi come Kmail che permettono di disattivare
l’interpretazione dei codici HTML, e ci sono tutti i programmi
“classici” per l’e-mail, come pine, elm e compagnia bella in modalità
non grafica. I più esperti potranno anche installare filtri a monte che
rimuovono tutto l’HTML dai messaggi, lasciando soltanto il testo puro e
semplice. Ma non tutti possono permettersi di passare a Linux, per cui
sarebbe gradita qualche soluzione anche per gli utenti Windows.
Sono sicuro che ci sono molti programmi di posta per Windows che
permettono di disabilitare HTML e immagini, ma non li conosco
abbastanza da poterli consigliare con sicurezza, a parte l’impagabile e
robustissimo PopCorn (http://www.ultrafunk.com/products/popcorn), che
non visualizza immagini e non esegue codici HTML. Mi parlano tutti
molto bene di Pegasus (http://www.pmail.com).
Un programma che invece uso da tempo immemorabile e che quindi posso
raccomandare in fatto di sicurezza è Eudora (http://www.eudora.com),
che è gratuito e senza pubblicità nella versione “light”. Ho usato per
anni la 3.0.6, e recentemente ho installato la 5.2, che offre parecchie
funzioni comode in più.
(Nota personale: se vi state chiedendo come mai io, “apostolo di Linux”
come mi hanno definito, uso tuttora Eudora, che è un programma per
Windows, la risposta è semplice: sulle mie macchine convivono Linux e
Windows e uso l’uno o l’altro secondo convenienza. Ho un archivio di
anni di posta preziosa gestito con Eudora, e non ho ancora trovato un
programma Linux che mi garantisca di poter importare affidabilmente
quest’archivio. Per cui resto fedele a Eudora per la posta. Questo non
vuol dire che debba per forza usare Windows: grazie a Wine e CrossOver,
Eudora può girare anche sotto Linux).
Eudora 3.0.6 è freeware e ancora facilmente reperibile in Rete, e per
sua natura è immune alle trappole dell’HTML. E’ abbastanza furbo da
ignorare i codici HTML presenti nei messaggi e visualizzarne soltanto
il testo. Non è capace di visualizzare immagini, per cui non c’è
pericolo di finire vittima di web bug. Usare un programma così vecchio
è paradossalmente una nota tecnica di sicurezza: si chiama “security
through obsolescence”, ossia “sicurezza tramite obsolescenza”, o se
preferite una traduzione più schietta, “quello che non c’è non si può
rompere”.
Se invece volete una versione di Eudora un po’ più moderna, la 5.2
richiede alcune modifiche per renderla sicura. La prima è disattivare
l’uso di Internet Explorer per visualizzare i messaggi HTML (Tools >
Options > Viewing Mail e disattivare “Use Microsoft’s Viewer”). In
questo modo Eudora usa un proprio visualizzatore per mostrare i
messaggi HTML e non interpella Internet Explorer, tenendovi al riparo
dalle sue vulnerabilità. Nella stessa finestra, disattivate anche
“Allow executables in HTML content”, in modo che Eudora non esegua
eventuali istruzioni Javascript o ActiveX annidate nei messaggi, che
sono un’altra nota fonte di infezione e di attacco.
Per i Web bug, invece, basta assicurarsi che sotto Tools > Options
> Display sia disattivato “Automatically download HTML graphics”:
questo dice a Eudora di non scaricare dalla Rete eventuali immagini
linkate (non direttamente annidate) nei messaggi.
Un altro metodo anti-web bug suggerito da alcuni lettori consiste
nello scaricare la posta e scollegarsi da Internet prima di leggerla:
in questo modo, il programma di posta non può materialmente accedere a
Internet per ricevere la microimmagine e quindi confermare allo spammer
la vostra esistenza. E’ un consiglio molto pratico per chi si collega
via modem, ma non per chi ha connessioni permanenti (ADSL, Fastweb e
simili): staccare e riattaccare in continuazione il cavo di rete non è
salutare e oltretutto in certe configurazioni interrompe anche
l’accesso alla rete locale oltre che a Internet.
Venticinque anni di spam
Chi l’avrebbe mai detto: lo spam è nato ben venticinque anni fa. Se vi
interessa un po’ di cronologia, l’indirizzo del Museo dello Spam
(quello da mangiare) e le ultime novità in fatto di tecniche e leggi
antispam, date un’occhiata a questo mio articolo:
http://www.apogeonline.com/webzine/2003/05/07/01/200305070101
XP consuma il 100% di risorse. Senza fare niente
Se avete a disposizione una copia di Windows XP, provate a fare questo
piccolo esperimento (mi scuso se uso i nomi inglesi delle funzioni di
Windows, ma qui ho solo XP inglese). Premete Control-Alt-Canc per far
comparire il Task Manager e visualizzare la scheda Performance (quella
con l’indicazione del consumo delle risorse). Noterete che se non state
facendo nulla di speciale sul PC, l’utilizzo del processore è stabile
intorno al 10-20%, ed è normale che sia così.
Ora andate nel file manager (Esplora Risorse o come diavolo si chiama
in XP italiano, che io non ho) e cliccate con il pulsante destro su un
file qualsiasi. Compare un menu: lasciatelo lì e guardate l’utilizzo
del processore. Schizza al 100% e vi rimane indefinitamente, anche se
non state facendo nulla.
La scoperta non è mia, ma nasce da una segnalazione di The Inquirer
(http://www.theinquirer.net/default.aspx?article=9169), che a sua volta
cita un articolo di Neohapsis
(http://archives.neohapsis.com/archives/ntbugtraq/2003-q2/0028.html) di
Mark Luczkowski, che pare esserne il vero scopritore. Non è chiaro, a
dire il vero, se il consumo di CPU sia reale o meno: può darsi che si
tratti di un errore di indicazione del Task Manager, dato che a quanto
pare le altre applicazioni non subiscono rallentamenti o paralisi.
La cosa simpatica è che Mark riferisce di aver contattato Microsoft in
proposito e che Microsoft gli ha risposto che non sistemerà il difetto
perché “provocherebbe troppi cambiamenti in parti di codice troppo
vitali” e suggerisce di dare una cliccata col pulsante sinistro sul
file prima di cliccarvi sopra con il pulsante destro. Il che,
ovviamente, rende inservibile l’opzione “clicca una sola volta per
lanciare” (in stile Linux), che permette di aprire un file con una
cliccata sola invece che con un doppio clic.
In sè è una chicca e niente più, specialmente se il consumo di CPU è
soltanto apparente, ma il fatto che un difetto così apparentemente
superficiale vada a toccare “parti di codice vitali” la dice lunga
sulla caoticità e sull’ingarbugliamento dello sviluppo del software
Microsoft. Certo, adesso Microsoft permette a utenti altamente
selezionati di vedere il codice sorgente di Windows. Ma figuriamoci
cosa si può capire guardando codice così spaghettiforme. Siamo sicuri
che almeno loro, quelli di Microsoft intendo, ci capiscono?
Ciao da Paolo.
Questo articolo è una ripubblicazione della newsletter Internet per tutti che gestivo via mail all’epoca. L’orario di questa ripubblicazione non corrisponde necessariamente a quello di invio della newsletter originale. Molti link saranno probabilmente obsoleti.