Sarà una trappola?

Posted on January 12, 2010 by blogadmin

Un post veloce veloce, giusto per non perdere l’abbrivio. A metà dicembre mi è arrivato un avviso di un commento da moderare per questo post: “Ridondanza e difesa in profondità“. Il commento è il seguente:

Thanks! I have been looking for this info all day now.
My pc is not running like it should and I need to figure out how
to fix it soon. I have bookmarked your post so others can find it too on reddit.

Stavo per approvarlo, poi mi sono voluto togliere la curiosità di vedere cosa aveva trovato di utile in quel post, ed ho visto che:

  • il mio post è interamente in italiano, il commento è in inglese
  • nel mio post non ci sono indicazioni relative a trucchi, patch o codice che possano essere “leggibili” anche in un’altra lingua
  • il mio post però cita i nomi di diversi prodotti della “categoria” degli antivirus

Noto allora che il commento è estremamente generico e si adatterebbe a qualsiasi post. Vedo allora che l’autore, con un nome inglese,  indica come proprio sito web un sito che parla, già nel nome, di “spyware removal”. Visito il sito, che è altrettanto generico del commento, composto di tre o quattro pagine ch e parlano di un “prodotto” scaricabile per disinstallare spyware. Di questo prodotto, o di link per scaricarlo però non c’è traccia.

A questo punto, faccio una scommessa: secondo me, l’autore cerca di inserire a tappeto riferimenti al proprio sito su blog che parlino di antivirus e antispyware, in modo da raccogliere link, “autorevolezza” e ranking nei motori di ricerca. Poi, aggiungerà al proprio sito i link per scaricare il suo tool, che sarà invece uno spyware.

Io intanto tengo lì il commento da approvare, come promemoria: ogni tanto andrò a verificare. Se mi sono sbagliato e l’autore legge questo post (in italiano 😉 ), mi scriva pure per dirmi che mi sbaglio 🙂

Posted in ict, Sicurezza | Tagged , | 1 Comment

Trasferito, di nuovo

Posted on January 10, 2010 by blogadmin

Ad un anno dal trasferimento del sito a Network Solutions, ho nuovamente trasferito il sito. L’anno con Network Solutions è stato il peggiore dal punto di vista del servizio da quando, più di dieci anni fa, ho attivato telmon.org. A parte i problemi (frequenti) con la posta elettronica, di alcuni dei quali ho già accennato, la connettività è stata sempre traballante, tanto da rendere un patimento, se non a volte impossibile, anche una cosa semplice come aggiornare WordPress.

Quando un anno fa Lycos Europe ha improvvisamente chiuso, non ho scelto Network Solutions per la sua qualità, anzi: dato che da sempre il dominio telmon.org è registrato da loro, sospettavo che potessero esserci problemi, anche se non così gravi. Mi è capitato spesso di ricevere da mailing list messaggi come questo:

Hi. This is the qmail-send program at xxxx.net.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<[email protected]>:
Sorry, I couldn't find any host by that name. (#4.1.2)
I'm not going to try again; this message has been in the queue too long.

che sono un indicazione di irraggiungibilità/malfunzionamento del nameserver di telmon.org. Certamente mi sarò perso anche qualche messaggio da singoli corrispondenti, oltre che da mailing list. E dire che la posta elettronica dovrebbe essere uno dei servizi di base più resilienti ed affidabili che ci siano…

Tuttavia, a gennaio non avevo molto tempo per cercare un provider che mi convincesse di più, ed in fondo anche altri provider potrebbero avere ogni tanto lo stesso problema. Adesso il tempo l’ho dovuto trovare, perché un altro anno con Network Solutions non lo avrei sopportato. Del provider attuale avevo già sentito parlare bene, ma non avevo avuto tempo di valutarlo. Adesso, appena completato il trasferimento,  spero che le cose vadano meglio. Se doveste notare dei malfunzionamenti, vi prego di farmeli presenti. Grazie.

Posted in Uncategorized | 2 Comments

NAT Pinning

Posted on January 7, 2010 by claudio

Ecco un attacco interessante: l’autore lo chiama NAT pinning, e prevedo che, se è efficace in modo diffuso, avrà un grande successo: come credo di aver già detto, l’aggiornamento del “firmware” dei  router ADSL  è un evento eccezionale, e quindi anche se/quando il problema verrà corretto la vulnerabilità rimarrà diffusa.

Purtroppo non posso provare l’attacco sul mio router ADSL perché non è configurato per fare affidamento sul NAT 😉  (inizialmente sembrava che l’attacco funzionasse, ma in realtà stava funzionando un altro tipo di rimappatura, legittima).

Il problema è, in poche parole, che i moduli che implementano il NAT per i protocolli con contrattazione dinamica delle porte devono interpretare il protocollo applicativo e rimappare le porte di cui è stata richiesta l’apertura dal client sulla rete protetta: in qualche caso, ad esempio per l’ftp “attivo”, anche connessioni entranti. Tuttavia, questi moduli sono “minimali”, non capiscono l’intero protocollo: nel caso specifico, non capiscono se il traffico verso la porta 6667 è effettivamente traffico irc o è http: tutto quello che fanno è “intercettare” una stringa corrispondente, in irc, ad un comando che richiede l’apertura di una porta, e rimappano di conseguenza, aprendo un canale verso l’interno.

L’attacco dimostra dicevo, un principio importante: il NAT non è un meccanismo di sicurezza. Tutto quello che viene di sicurezza viene per caso e non in modo affidabile, e comunque non è molto. L’altra cosa dimostrata dall’attacco è il problema di “indovinare” il protocollo in base alla porta destinataria: vale per il NAT ma anche per i meccanismi di proxy trasparenti.

Infine, dimostra che da un firewall non bisogna aspettarsi più di quanto esplicitamente dichiarato: se il prodotto dichiara di permettere il funzionamento di irc attraverso il NAT, non è legittimo dedurne che impedirà connessioni entranti. È vero che qui stiamo parlando di prodotti molto di base, ma il principio di non ipotizzare per un firewall capacità oltre a quelle esplicitamente dichiarate vale in generale, particolarmente quando si tratta di interpretare protocolli applicativi.

Posted in ict, Sicurezza | Tagged , , , , , , | Comments Off on NAT Pinning