PDA

Visualizza versione completa : "M$" SPYWARE??? CASPEEEEEEEER !


eymerich
13-12-2000, 02.13.30
Ho trovato in questo sito una curiosa segnalazione...
a proposito del file RPCSS.EXE
speriamo che sia una maxi-balla altrimenti...

http://www.infoforce.qc.ca/spyware/ms.html

eymerich
13-12-2000, 23.10.44
Grazie a Rostor per il commento,ma possibile che oltre a lui nessun altro forumista abbia considerazioni in merito?
e dire che se non è una bufala colossale...qualche provvedimento bisogna prenderlo... come hanno già fatto altri in http://63.218.225.33/nocgi/Forum273/HTML/000050.html
_________________________________
Casper dove sei?Urge un tuo parere...
Caspeeeeeeeeeeeer

eymerich
14-12-2000, 00.19.15
uhm Rostor...sembra che solo tu e io ci preoccupiamo di questa cosa...:(e che ci stiamo parlando in codice...:cool:
anch'io non so cosa pensare...:confused:

eymerich
14-12-2000, 15.31.52
Ho visto...
:D:D:D

Flippy
14-12-2000, 15.34.05
Io a casa ho AtGuard e non ho avuto problemi...cosa che succede anche ad altri utenti del Newsgroup correlato

eymerich
14-12-2000, 15.52.49
Ciao Flippy
anch'io non ho avuto problemi.
Tuttavia avrai notato che non tutti gli utenti si sono ritrovati il file nel sistema,mentre c'è chi ha bloccato un tentativo di comunicazione proprio del file in questione;il che sembra aumentare la confusione e alimentare i dubbi.
Nel mio Win98 FE ad esempio c'è,o meglio ci sarà ancora per poco :D,non si sa mai...;)

McAlba
14-12-2000, 16.35.10
Ho dato un'occhiata sul sito della microsoft ed ho trovato alcune cose.
Primo, il file rpcss.exe compare nell'elenco dei file che si possono cancellare per creare un po' di spazio sull'hard disk (http://msdn.microsoft.com/library/winresource/dnwinnt/S8370.HTM) definendolo "Remote Procedure Call subsystem".
Questo file in effetti e' un server, (a volte) necessario per l'utilizzo della tecnologia COM. Serve per eseguire applicazioni COM da remoto e, per un utente domestico dovrebbe essere totalmente inutile.Per fare un esempio, questo file e' necessario per far si che in una rete (tipicamente locale) sia possibile eseguire applicazioni sui vari pc client tramite il server (come l'SMS, un software usato principalmente in ambito aziendale per diagnostica remota). A mio parere questa e' una bufala colossale, anche perche ho verificato le chiamate del programma, e non fa altro che richiamare funzioni dalla libreria advapi32.dll che non e' altro che una libreria di sistema che contiene delle api avanzate (quali funzioni che servono per leggere e scrivere sul registro, spegnere il sistema, funzioni di sicurezza e crittografia),utilizzabili da qualunque programmatore. Per finire, la descrizione che la microsoft da' di questa libreria e' :"Libreria di servizi API avanzati che supporta varie interfacce API contenenti numerose chiamate di protezione e del registro di configurazione".

[scusate le troppo ripetizioni usate, spero comunque di essere stato chiaro :) ]

[Edited by McAlba on 14-12-2000 at 16:38]

Flippy
14-12-2000, 16.38.25
Ciao McAlba
grande informazione!
Tutto qui :)

McAlba
14-12-2000, 16.45.00
Un'altra cosa:e' molto improbabile che qualcuno abbia dovuto bloccare l'uscita del programma rpcss.exe verso l'esterno, in quanto il suo unico scopo e' ricevere un messaggio dall'esterno su quale applicazione COM attivare, e quindi attivarla.

McAlba
14-12-2000, 16.52.46
(oggi le cose mi vengono in mente a pezzi...)
Il programma incriminato non contiene nessuna funzione NECESSARIA per poter comunicare in rete e quindi non ha la possibilita' di attivare connessioni verso l'esterno.

Rio
14-12-2000, 23.13.46
Scusami Mc Alba ho una domanda per te,
puoi spiegarmi perche allora il mio Norton firewall ha due permessi di comunicazione attivi (ora non più) per "Esplora risorse" (239.255.255250:1900 in uscita e 1025 in entrata).
Che cacchio deve comunicare esplora risorse quandoo è gia attivo Explorer e auto update?
Grazie.
PS E ' vero che la funzione di email scanning norton antivirus 2001 la fa svolgere ai siti symantec?

eymerich
14-12-2000, 23.18.50
Ottimo McAlba !!!
Finalmente un pò di chiarezza:)

"Questo file in effetti e' un server, (a volte) necessario per l'utilizzo della tecnologia COM. Serve per eseguire applicazioni COM da remoto e, per un utente domestico dovrebbe essere totalmente inutile."

e visto che è inutile io lo cancello;)

Grazie ancora per le esaustive informazioni
Ciao

___________________________________________
per Rio
(i post si sono accavallati...)
Tempo fa' due siti hanno tentato di comunicare con il mio Esplora risorse mettendo in allarme il mio firewall.Dal momento che si trattava di siti "non attendibili";)da allora ho costruito una regola che impedisce a Esplora risorse connessioni inbound e outbound.
Nel dubbio...io blocco e basta.



[Edited by eymerich on 14-12-2000 at 23:27]

Casper
15-12-2000, 02.48.58
dunque... ho sentito mcalba al telefono su questo argomento, ho controllato la documentazione ufficiale linkata e disponibile in rete, nonchè letto i post sul forum in inglese dove se ne sta discutendo. naturalmente, ho fatto una visitina alla pagina dove il fantomatico anon@somebody.net ha fatto la sua 'rivelazione'.

As a former employee of Microsoft in the know(?), I can testify that the Distributed COM (Component Object Model) Services are used to profile product key and other registration data as a future means to enforce software piracy laws that have yet to be adequately enforced at a Federal level.

è vero che Microsoft ha dichiarato, e non certo oggi o ieri, di essere al lavoro su tecniche di tracciamento del software utilizzato illegalmente. detto fra noi, ne ha tutto il diritto.
che il tracciamento avvenga attraverso i Distributed Component Object Model Services, e specificamente grazie a rpcss.exe è francamente ridicolo.

Microsoft has been compiling a massive database of names, registration codes, product keys, and linking them with data pulled from e-mail addresses stored in Outlook, Outlook Express, etc. as well as the serial numbers that can now be easily obtained from any Pentium-III CPU

stronzate. ammesso che raccolgano codici, a quali nomi li collegano? come e quando Outlook spedisce i contenuti della posta a Microsoft? e cosa se ne fanno? e che caxxo centra il serial (disattivabile) del PIII?

Microsoft has been coordinating their efforts clandestinely with other software manufacturers and predict law enforcement will be to a point where they can finally enforce copyright and anti-piracy laws by around 2005.

"clandestinely" un accidente: la BSA rompe le palle dalla mattina alla sera in piena luce del sole, addirittura con spot terroristici in TV, e Microsoft spende milioni di dollari ogni anno x cercare, trovare e massacrare chi copia e/o usa il suo software illegalmente. non hanno mai nascosto nulla, anzi divulgano fino all'ultima informazione, compreso quanto ce l'hai lungo, pur di sputtanarti e farti passare la voglia.

Needless to say, anyone who hasn't disabled RPCSS.EXE as mentioned above(?), has already been added to the database, via data that is encrypted and randomly submitted back to Microsoft upon access of the Internet.

la precisa ricostruzione di mcalba smentisce riga per riga il castello di carte di questo buffone. Microsoft è già stata beccata due volte a fare la furbetta con i dati riservati degli utenti, ma sempre attraverso il sito "windowsupdate", che fa una scansione del sistema x cercare aggiornamenti. non è questo il caso.

conclusione: se volete cancellare il file, fatelo. it's safe. all'analisi di un editor esadecimale risulta quasi completamente vuoto (20 k di pessimo codice, quindi), richiama due librerie dinamiche assolutamente innocenti e niente giustifica il sospetto che possa avere la benchè minima funzione spia.
prendete i provvedimenti che ritenete opportuni, ma non gonfiamo la cosa più dello stretto necessario (ovvero per niente) ;)

[Edited by casper74 on 15-12-2000 at 03:25]

Antares
15-12-2000, 03.52.40
Complimenti Casper, bella arringa. :) :D
Antares

Ps: parli di pessimo codice, ma per caso programmi?

Billow
15-12-2000, 11.12.41
Condivido.... in pieno l'opinione di Casper...

anche perchè i miei p.c. sono registrati a nome :
LOGODURO
MAFIA.....
stato: albania
professione: agente di commercio

dove mi vanno a pescare ....
dall'i.p ???

:D :D :D :D

Paperinik
15-12-2000, 12.33.58
Concordo con Casper e Billow, ma, da perfetto ignorante, con il windows update vengono trasmessi dati personali (se così li vogliamo chiamare) o no? :confused: Grazie

Casper
15-12-2000, 16.23.08
no... soprattutto perchè non saprei dove potrebbe prenderli. per avviare windows non si deve certo compilare un modulo residente su hard disk con l'anagrafica dell'utente :) però sarei disposto a scommettere che rilevano il codice di registrazione del sistema operativo. anche così, non vedo come possano dimostrare che questo o quell'altro sono copie illegali...

x Antares: giudico dall'analisi esadecimale... oltre il 50% dello spazio occupato dall'eseguibile è rappresentato da... vuoto assoluto. vabbè che sono solo 20 kb, ma da qui a gonfiarli apposta... ;)
no, io non programmo... detesto dover imparare la sintassi, non mi attira per niente. ho scritto "pessimo codice" basandomi sull'analisi esadecimale che ho fatto personalmente e su una breve chiacchierata con mcalba sull'argomento. lui invece programma ;)

[Edited by casper74 on 15-12-2000 at 16:26]

The Saint
15-12-2000, 19.41.11
Lo scopo del registrare i serial potrebbe essere puramente informativo.

Ovvero utile solo x fare delle statistiche su quanti sono i Win originali e quanti i non originali...

Cosa ci facciano poi con queste statistiche... boh!

Kikko
16-12-2000, 13.43.47
Non sono un esperto in materia ma vi assicuro che se non si e' super corazzati i nostri dati vanno dritti dritti dove devono andare..lo so perche' mi e' capitato di vedere all'opera persone qualificate...xxxx.... che tramite telekon rintracciano chiuque....
...Secondo le mie fonti non ci sculacciano solo per comodita' visto che dalla pirateria ne' hanno ricavato una diffusione capillare del loro s.o. ..cmq tra brave non so bene quando qualcosa scattera' e tutto sara' molto + difficile.

mi scuso per il linguaggio criptato e vago ma si capisce che su certi argomenti e' gia' un rischio solo parlarne...

A me hanno persino suggerito di comprare Win e metterlo solo soletto su una partizione in dual boot con un'altro win dove ci sono gli altri prog (non compr)
cosi' per navigare si e' legali e per il resto nessuno ne sa niente.....

Oblio
17-12-2000, 01.44.23
Ma insomma sti' benedetti files li dobbiamo cancellare o no??:confused:

Casper
17-12-2000, 01.58.32
'dobbiamo' non esiste... se vuoi rimuoverlo, fai pure. è un file del tutto insignificante ;)

Blade
21-12-2000, 15.26.12
Credo che non bisogna fossilizzarsi sul file incriminato, ma sulla questione siamo spiati si o no?
Recentemente microsoft in collaborazione con la polizia ha sgominato in puglia, se non sbaglio, una banda di contrabbandieri che rivendeva prodotti microsoft perfettamente contraffatti hai negozianti.
La cattura della banda è avvenuta grazie ha microsoft che con la sua polizia interna e attraverso controlli incrociati
ha potuto individuare nella zona della puglia molte copie del suo OS piratate, più del previsto... :)
ma come hanno fatto?
A buon intenditore poche parolo
La politica di bill è chiara prima ha permesso ha tutti di scopiazzare i suoi OS quando raggiungerà il monopolio totale metterà i suoi paletti, in parte già è avvenuto con l'ultima legge contro la pirateria.
Spero che quel momento avvenga presto cosi forse la gente si sveglierà e wintricks magari diventerà ,Lintricks, Betricks, Mactricks, ecc ecc :D :D :D :D

Paperinik
21-12-2000, 15.33.57
Originally posted by blade

A buon intenditore poche parolo
La politica di bill è chiara prima ha permesso ha tutti di scopiazzare i suoi OS quando raggiungerà il monopolio totale metterà i suoi paletti, in parte già è avvenuto con l'ultima legge contro la pirateria.
Spero che quel momento avvenga presto cosi forse la gente si sveglierà e wintricks magari diventerà ,Lintricks, Betricks, Mactricks, ecc ecc :D :D :D :D Ma insomma, se hai questa avversione per i prodotti Microsoft, non usarli; non mi risulta di essere una persona addormentata; se ti piace linux ed affini perché frequenti un forum che parla prevalentemente di Windows? Detto questo, absit iniuria verbo.

Casper
21-12-2000, 16.37.59
Microsoft ha una fortissima struttura commerciale sul territorio, mi sono informato sull'argomento fino alla nausea, a partire dai libri scritti dallo zio Bill. sono in grado di stabilire in tempo reale la diffusione dei loro prodotti... se poi i loro commerciali visitano aziende che palesemente fanno uso di software Microsoft che alla casa madre non risulta di aver venduto nella zona, i conti sono presto fatti.
non vorrei insistere più del necessario, ma sono ancora convinto che abbiano tutto il diritto di monitorare l'uso dei loro sistemi operativi, e di intervenire nei casi di violazione della licenza d'uso. lo sviluppo di Windows 2000 è costato diversi miliardi di dollari (miliardi, non milioni), se fossi nei loro panni sarei anche più feroce nel perseguire il mercato delle copie illegali.

posso parlare così da utente pagante e registrato di Windows Millennium Edition... capisco che qualcuno possa sentire sul collo il fiato della Guardia di Finanza, ma ciascuno è responsabile delle proprie scelte, no? ;)

eymerich
08-01-2001, 19.23.51
Originally posted by McAlba
Un'altra cosa:e' molto improbabile che qualcuno abbia dovuto bloccare l'uscita del programma rpcss.exe verso l'esterno, in quanto il suo unico scopo e' ricevere un messaggio dall'esterno su quale applicazione COM attivare, e quindi attivarla.
Il programma incriminato non contiene nessuna funzione NECESSARIA per poter comunicare in rete e quindi non ha la possibilita' di attivare connessioni verso l'esterno.

Riapro il thread solo per un aggiornamento sulla funzione del file RPCSS.exe
Nelle regole automatiche di Norton Internet Security 2001 è descritta così:
;Auto-Configuration File for Microsoft Office 2000 Professional Upgrade

[GENERAL]
FileName=rpcss.exe
ApplicationDescription=Microsoft Office 2000 Professional Upgrade

[MATCH:ANY]
Rules=POWER1

[RULE:POWER1]
RuleName=Office 2000 Professional Upgrade
Action=ALLOW
Direction=OUTBOUND
Protocol=TCP
Category=0
RemotePorts=135
__________________________________________________ __
Ne consegue che il programma è in grado di comunicare verso l'esterno(outbound)e ora ne è finalmente chiaro il motivo.

Rio
09-01-2001, 00.56.40
Concordo in pieno con Eymerich, stesso S.O. stesso risultato con NAV 2001! Come la mettiamo? (E dire che non avevo obbiettato a precedenti e dotte risposte....)

Casper
09-01-2001, 01.05.43
perdonami... i rules di Norton comprendono oltre 350 applicazioni il cui comportamento è previsto e x le quali viene permessa la connessione alla rete. come la mettiamo? ;)

eymerich
09-01-2001, 01.06.33
Originally posted by Rio
Concordo in pieno con Eymerich, stesso S.O. stesso risultato con NAV 2001! Come la mettiamo? (E dire che non avevo obbiettato a precedenti e dotte risposte....)


come la mettiamo?semplicemente che il programma è in grado di comunicare con l'esterno come gli altri...349 ;)mentre veniva asserito il contrario.come volevasi dimostrare.

ps:buongiorno Casper

[Edited by eymerich on 09-01-2001 at 01:14]

Casper
09-01-2001, 01.30.33
'buongiorno' anche a te, eymerich :) sempre nottambulo, eh?

parliamoci chiaro... quell'applicativo comunica con l'esterno solo su richiesta... NON contiene funzioni che gli permettano di prendere l'iniziativa. se tu ordini al sistema di attivare l'aggiornamento interattivo di Office 2000 (vers. inglese, per ora... in italiano non esiste ancora), cosa dovrebbe risponderti? come reagiresti a un "fankulizzati tesoro, non ti aggiorno 'na mazza, perchè sennò dici che faccio la spia con lo zio Bill" :D

siamo seri...

eymerich
09-01-2001, 01.34.59
"fankulizzati tesoro, non ti aggiorno 'na mazza, perchè sennò dici che faccio la spia con lo zio Bill"
:D :D :D [questa è stupenda] :D :D :D

Casper
09-01-2001, 01.38.59
:D

Rio
09-01-2001, 15.24.42
Signori scusate se mi permetto di allungare ancora un po la discussione...ma sarebbe cosa buona & giusta terminarla in maniera chiara una volta x tutte.
Se apro la schermata del mio firewall Norton (si Casper, sapevo che questo tipo di programma decide di "capa" sua guardandosene bene dal comunicarlo al povero utente finale cosa ha accesso alla rete o meno)ho un gran numero di porte tutte occupate da applicazioni Microsoft (fra cui anche "esplora risorse" in entrata e in uscita) ora mi chiedo, tralasciando il famoso file in questione (rpcss)di cui il mio computer da un pò è rimasto orfano :D come fare a sapere quali porte (o meglio quali voci) tenere abilitate e quali no per un uso "normale "? Pensavo a una lista di massima solo per sistemi operativi appena installati senza programmi di sorta (che tutti sappiamo poter essere anche spy)penso che potrebbe essere quantomeno interessante no?
Saluti.

eymerich
09-01-2001, 16.00.01
Per evitare che "faccia di capa sua" :) incomincia con l'aprire il menu delle opzioni avanzate e togli il segno di spunta a <Attiva creazione automatica regole firewall>.
Ciao

Rio
09-01-2001, 18.13.50
Grazie eymerich lo farò subito, ma sarebbe utile anche capire quali porte bloccare e perchè.(Sempre riguardo al solo S.O.)

eymerich
09-01-2001, 21.59.21
Originally posted by Rio
Grazie eymerich lo farò subito, ma sarebbe utile anche capire quali porte bloccare e perchè.(Sempre riguardo al solo S.O.)

Puoi trovare risposte specifiche visitando il sito(in inglese)
http://servicenews.symantec.com/cgi-bin/browse.cgi?group=symantec.support.win9x.nis.securi ty&product=nis&mini_version=nis2000&

Ciao

Rio
09-01-2001, 23.50.17
eymerich non posso fare altro che ringraziarti ancora per la dritta.
Saluti.

eymerich
10-01-2001, 00.22.25
Di nulla :).Saluti anche a te.