Sono davvero stupefatto dalla rapidità e malizia di un gruppo di hacker che durante la giornata di ieri hanno approfittato di un tremendo marobolano della Symantec, nota azienda produttrice della suite antivirus Norton. Questa storia dovrebbe essere da monito per ogni azienda che ignora le necessità di comunicare in modo tempestivo con la sua clientela.
A causa di un bug lunedì è stata diffusa una versione dell’aggiornamento per alcune versioni non recenti di Norton che non recava con sè la firma digitale. Il programma era quindi incapace di riconoscere uno dei file, pifts.exe, e tempestava gli utenti di tremendi messaggi di errore.
Come fanno tutti i navigatori del giorno d’oggi, le vittime del bug sono andate ad informarsi al forum di supporto della Symantec. Purtroppo per loro, non si vedeva nessun post che parlasse del problema, nè degli utenti, nè tanto meno una comunicazione ufficiale. Lo smarrimento si tramutava ben presto in furore per quegli utenti che cercavano di lasciare un nuovo post: tutti i messaggi che contenevano la parola pifts.exe venivano automaticamente cancellati!
Ma che cosa era successo? Un gruppo di hacker a tempo di record si era accorto del problema, ed aveva fatto due cose:
- Aveva ingolfato di post privi di senso il forum della Symantec, un flood di messaggi che tra i caratteri casuali contenevano anche la stringa
pifts.exe. Gli amministratori hanno quindi reagito automaticamente, eliminando tutti i post che menzionavanopiftsper ore ed ore! - Aveva piazzato in cima a Google e agli altri motori di ricerca una pletora di siti che offrivano informazioni su
pifts.exe. In realtà, si trattava di siti malware.
Ovviamente gli utenti hanno reagito in modo prevedibile. Con il proprio antivirus fuori uso, sono andati a cercare informazioni altrove facendosi infettare.
Purtroppo, questo grave incidente è il frutto di una cattiva politica di comunicazione con il pubblico. Il forum di Symantec è gestito dagli impiegati dell’azienda, ma solo a tempo perso: secondo il loro portavoce non era il posto giusto in cui chiedere informazioni in caso di problemi. Peccato gli utenti non ne avessero idea…
Immagine da blog.taragana.com
AGGIORNAMENTO: allego la puntualizzazione di Symantec Italia, inviatami dalla gentile Paola Bramati, dell’ufficio stampa dell’azienda:
“Symantec ha rilasciato una patch, “PIFT.exe”, per gli utenti di Norton Internet Security e Norton Antivirus 2006 & 2007. Questa patch è circolata per circa 3 ore (dalle 16.30 alle 19.40 del 9 marzo Pacific Time). A causa di un errore umano, la patch è stata rilasciata “non firmata” da Symantec, cosa che ha portato a un avviso da parte del firewall dell’utente che ha causato una generale e comprensibile preoccupazione tra gli utenti, i quali hanno cominciato ad allertare Symantec. L’emissione di una patch non autenticata è un episodio raro che non comporta nessun problema di sicurezza ai nostri utenti. La patch ha raggiunto un numero limitato di clienti Norton per poi essere subito bloccata. Gli utenti Norton sono protetti e non c’è bisogno che prendano ulteriori provvedimenti per questa problematica. A seguito di questo episodio, si è verificata un’attività nel Norton User Forum collegata a PIFTS.exe. Alle 10.30 circa di lunedì 9 marzo, Symantec ha rilevato un abuso da parte di uno o più individui di Norton User Forum. Un nuovo account che ha iniziato a postare commenti sulla patch PIFTS.exe. Dopo pochi minuti, ne sono stati creati parecchi altri che hanno iniziato a inserire commenti: nelle prime ore, sono stati creati 200 account e inseriti 600 commenti. Se l’intento di questi spammer rimane ancora da capire, non sono stati aggiunti link maligni. Di seguito alcuni esempi di messaggi di spam trovati sul forum, che non contengono testo ma solo l’oggetto: • O LAWD IM CHOKIN ON PIFTS PLZ HALP • OH GOD YOU GOT CHOCOLATE IN MY PIFTS • If you wanna be my NORTON/ you gotta deal with my P ! F T S . E X E • IF PIFTS.EXE WAS HERE, THEN WHO WAS PHONE? • PIFTS.EXE PIFTS.EXE PIFTS.EXE PIFTS.EXE PIFTS.EXE PIFTS.EXE PIFTS.EXE • I LOVE MY PIFTS.EXE Symantec rispetta completamente il Norton Community Terms of Service che regolamenta il forum e non cancellerà questi post senza averne prima riscontrato una violazione. Non appena sarà stabilita la natura dei messaggi, Symantec provvederà a cancellare quelli di spam. Infine, segnaliamo anche che alcuni hacker stanno sfruttando la situazione. Se si cercano informazioni relative a PIFTS.exe sui maggiori motori di ricerca, tra i risultati è possibile trovare anche siti che tenteranno di distribuire malware tra i visitatori.”