PI Hardware/ Zotac GeForce GTX280 AMP! Edition

di Alessandro Crea (PcTuner) - Dopo le G200 del Green Team, era lecito attendersi soluzioni overcloccate. Zotac è tra i più attivi del settore. Ecco la sua versione Amp! dell'ammiraglia GTX280. NVIDIA a tutta potenza

Roma – Dopo un periodo relativamente lungo in cui NVIDIA non ha rinnovato profondamente la sua architettura, limitandosi invece per quasi un anno a proporre semplici revisioni, ecco finalmente debuttare G200, una GPU che seppur non del tutto rivoluzionaria, rappresenta un’evoluzione netta e decisa della precedente in molti aspetti critici.

Mantenendo il precedente processore grafico fin nelle ultime schede video, NVIDIA si era trovata costretta a proporre la 9800GX2, al fine di mantenere lo scettro delle prestazioni assolute, sebbene a discapito del costo finale. Si tratta di una soluzione tecnica davvero complessa e pertanto particolarmente costosa, sia per NVIDIA che per l’utente finale, che vede l’adozione di due GPU G92 in un’unica scheda video. Questa scelta però, a differenza delle X2 di AMD-ATI, non vede due processori grafici montati su un unica scheda e uniti da un chip che faccia da bridge, bensì l’adozione di due PCB veri e propri, una per ciascuna GPU, uniti in un unico packaging.

Com’è facile intuire quindi NVIDIA, con la 9800GX2, ha mantenuto il primato delle prestazioni, ma proponendo una scheda dai limiti oggettivi, con consumi elettrici e produzione di calore alti, oltre che con un prezzo elevato. A queste soluzioni NVIDIA ne aveva poi accostate altre, basate su una discutibile politica di rebranding di prodotti precedenti, andando molto vicina a un danno d’immagine nei confronti della sua clientela più affezionata.

G200 sembra essere nata proprio per porre rimedio a tutto questo. Evolvendo l’architettura di G92, NVIDIA è stata infatti in grado di tornare a soluzioni architetturali molto più semplici e a singola GPU, continuando al contempo a offrire prestazioni estreme con i suoi prodotti.

Andiamo ora a vedere nel dettaglio quali siano le novità tecniche e come si comporta questa versione overcloccata di fabbrica proposta da Zotac.

Zotac GeForce GTX280 AMP! Edition: NVIDIA a tutta potenza

Di seguito la tabella con le caratteristiche tecniche della nuova GPU:

Specifiche tecniche 200
GeForce 9800GX2 GeForce GTX280 GeForce GTX260 GeForce GTX280 AMP!
GPU 2x G92 G200 G200 G200
Processo produttivo 65nm 65nm 65nm 65nm
GPU clock (MHz) 600 602 576 700
Stream Processor 2x 128 240 192 240
SPs clock (MHz) 1500 1296 1242 1400
Numero ROPs 2x 16 32 24 32
Texture Filtering Unit 2x 64 80 64 80
Ampiezza del bus (bit) 2x 256 512 448 512
Memory (MB) 2x 512 1024 896 1024
Frequenza di memoria (MHz) 2000 2214 1998 2300
Tipo di memoria GDDR3 GDDR3 GDDR3 GDDR3
Banda memoria (GB/s) 128 141.7 112 147.2

Come possiamo vedere G200 rappresenta un affinamento e un’evoluzione del precedente G92. NVIDIA ha cercato di potenziare gli aspetti architetturali chiave, in modo da riuscire ad ottenere prestazioni simili a quelle offerte dalla 9800GX2, ma senza dover ricorrere all’adozione di una doppia GPU.

Le novità tecniche di G200 sono state ampiamente discusse in precedenza, in questo articolo , qui ricapitoleremo quindi solo i tratti salienti.

Anzitutto NVIDIA ha praticamente quasi raddoppiato il numero di Stream Processor, che salgono da 128 nel caso di G92 a 240 per quanto riguarda la versione di G200 che equipaggia la GTX280. In questo modo le unità di elaborazione parallele sono state significativamente potenziate, eliminando la necessità di affiancare due G92 per ottenere risultati simili. Gli ingegneri del Green Team hanno proceduto nella stessa maniera anche per quanto riguarda le ROPs, passate da 16 a 32 e le Texture Filtering Unit, portate da 64 a 80.

Si tratta indubbiamente di ottimi interventi, che al tempo stesso hanno permesso a NVIDIA di semplificare tecnicamente la produzione industriale, abbassandone quindi i costi, ma mantenendo le prestazioni. Con questi interventi NVIDIA ha corretto tra l’altro i limiti tecnici che impedivano a G92 di mantenere valori di frame rate alti applicando i filtri alle massime risoluzioni.

Un altro campo di intervento è stata l’ampiezza del bus, che è raddoppiata, passando da 256 a 512bit, sempre per quanto riguarda la soluzione GTX280.

Sappiamo infatti quanto sia importante avere una banda passante adeguata, in grado di trasferire in modo efficiente l’enorme quantità di dati da elaborare contenuta nella RAM on board. In questo però i tecnici NVIDIA hanno scelto di seguire una strada antitetica a quella perseguita in casa AMD-ATI. Dove infatti quest’ultima ha preferito adottare RAM di tipo GDDR5, dotate di bus quadruplo, in modo da aumentare la bandwidth mantenendo al contempo l’ampiezza in bit e le frequenze di lavoro della generazione precedente, NVIDIA ha mantenuto le collaudate e ormai poco costose GDDR3, preferendo aumentare frequenze di lavoro e ampiezza del bus. I valori di clock di stream processor e chip sono invece rimasti grossomodo inalterati rispetto a quelli proposti dalla 9800GX2.

Si tratta indubbiamente di approcci tecnici diversi che rivelano tutta la differenza di impostazione di strategia delle due case antagoniste. AMD-ATI cerca infatti di contenere il più possibile consumi elettrici e sviluppo di calore, cercando al contempo di restare sempre competitiva nelle prestazioni della fascia Main Stream, che rappresenta la fetta più grossa del mercato, abbattendo contemporaneamente i prezzi dei suoi prodotti.

Per far questo quindi ha scelto di produrre una sola GPU per ogni generazione, senza differenze architetturali interne, scalando le prestazioni tramite un approccio che prevede l’aumento delle frequenze di lavoro e l’adozione di più GPU su un singolo PCB o l’utilizzo di più schede tramite Crossfire o CrossfireX. NVIDIA invece continua nella politica della differenziazione delle GPU a seconda della fascia di mercato, come si può notare anche dando un’occhiata alla soluzione GTX260 rispetto alla 280.

Le GPU destinate alla fascia cosidetta Enthusiast, sono quindi progetti particolarmente complessi e costosi. NVIDIA quindi punta, per queste soluzioni, non tanto a contenere consumi e calore, quanto a contenere il prezzo finale, già molto alto. Ecco allora che diventa più vantaggioso mantenere le GDDR3 ed aumentare frequenza e ampiezza di bus, piuttosto che il contrario, visti i costi molto maggiori delle DDR5 rispetto alle 3. Grazie all’accelerazione davvero enorme che lo sviluppo tecnico delle moderne GPU ha subito negli ultimi anni, queste hanno raggiunto livelli di complessità e di potenza di calcolo elevatissimi. Il parallelismo architetturale delle GPU, inoltre, le ha da sempre rese potenzialmente più adatte delle CPU per determinati tipi di calcolo.

È andato così sempre più aumentando un interesse per le potenzialità del calcolo basato sui processori grafici, tramite l’esecuzione di codice appositamente sviluppato. Tale concetto ha preso man mano forma negli ultimi anni e GPGPU Computing è il suo nome: grazie alle caratteristiche di alto parallelismo a cui abbiamo accennato, le attuali GPU sono in grado di svolgere in pochi minuti calcoli che necessiterebbero di molto più tempo anche da parte delle moderne CPU.

NVIDIA in questo campo è stata pioniera, sviluppando una soluzione chiamata CUDA, acronimo di Compute Unified Device Architecture. Tale soluzione rende possibile lo sfruttamento della capacità di calcolo delle GPU presenti nel sistema, mediante programmazione in linguaggio C. I campi di applicazione sono infiniti, dalla finanza all’astronomia, ma quello che più colpisce è, oltre alla schiacciante superiorità di calcolo, il rapporto costo/prestazioni, estremamente vantaggioso per qualsiasi campo di ricerca.

Senza ricorrere a costosissime soluzioni basate su supercomputer, un semplice sistema SLI a tre schede del tipo G200 metterebbe a disposizione ben 720 core per l’elaborazione in parallelo. Il risparmio di investimento richiesto, evidente tra le due soluzioni, non richiede ulteriori commenti.

Zotac GeForce GTX280 AMP! Edition: NVIDIA a tutta potenza

Ma CUDA non è una tecnologia appetibile solo da ricercatori e scienziati. Le sue applicazioni trovano spazio anche in un uso più quotidiano e vicino a noi. La codifica di filmati in formato HD è ad esempio un campo che trarrebbe grandi giovamenti dal calcolo parallelo messo a disposizione dalle GPU.

Zotac GeForce GTX280 AMP! Edition: NVIDIA a tutta potenza

Un ulteriore esempio di sfruttamento delle caratteristiche tecniche di una GPU è dato dalla capacità di CUDA di svolgere complesse simulazioni di fisica all’interno dei videogiochi.
Come sappiamo infatti, i motori fisici sono diventati negli ultimi anni sempre più complessi e in grado di offrire comportamenti realistici dei modelli tridimensionali, ma questo ha un prezzo che le CPU, non saranno presto più in grado di affrontare.

In quest’ottica, alcuni anni fa la compagnia AGEIA aveva iniziato a sviluppare e ad offrire sul mercato una soluzione, denominata PhysiX, per il calcolo fisico che non fosse più semplicemente un motore software da integrare nel gioco, come ad esempio l’Havok, ma una vera e propria piattaforma di sviluppo, unita a un supporto hardware, specificamente sviluppato per svolgere tale tipo di calcoli. Nonostante l’idea potenzialmente molto buona, AGEIA non è mai riuscita a diffondere il suo prodotto, sia a causa della bassa penetrazione distributiva, sia per il prezzo elevato della sua scheda, una spesa che in pochi avrebbero affrontato solo per aggiungere una fisica realistica ai giochi del momento.

NVIDIA però ha acquisito AGEIA ed ha integrato tecnologie e know-how con le caratteristiche delle sue ultime GPU, dando vita a quella che può essere considerata una vera rivoluzione, i cui frutti però si inizieranno a vedere solo tra qualche anno. È ormai prassi recente, sia per i produttori che montano GPU ATI che NVIDIA, adottare come layout della scheda quello delle reference board sviluppate dai due colossi, probabilmente al fine di abbattere i costi dovuti ad ulteriori sviluppi di layout personalizzati. Anche la GTX280 AMP! Edition di Zotac non fa quindi eccezione e la scheda è distinguibile solo per lo sticker posto sul frontale del dissipatore, con un drago in tipico stile Zotac.

Purtroppo, a livello estetico, questa scelta ha finito per uniformare tra loro tutti i brand, facendo definitivamente tramontare l’epoca, fino ai primi anni di questo decennio, in cui era possibile scegliere una scheda anche per un’estetica particolare, oltre che per le prestazioni o la qualità costruttiva.

La GTX280 di Zotac è quindi caratterizzata dal tipico dissipatore adottato da NVIDIA negli ultimi anni, dalle forme piuttosto squadrate e spigolose, di colore nero. Ovviamente, come è normale per schede di questa fascia, il sistema è di tipo dual slot, con ventola a turbina di dimensioni abbastanza generose, ma comunque relativamente silenziosa quando non a pieno regime di rotazione. La soluzione di raffreddamento utilizzata da NVIDIA è ancora più integrale di quella presente sulle ATI, non limitandosi a coprire solo la parte anteriore della scheda, ma estendendosi come un vero e proprio guscio anche sui lati e sul posteriore, sigillando quindi al suo interno l’intero PCB di colore nero, che si intravede soltanto da alcune feritoie lungo la sua superficie.

Il dissipatore adottato è del tipo a heatpipe già visto sulla GTX280 standard. Si tratta di un sistema molto sofisticato, con base e heatpipe in rame e alettatura in alluminio. Le heatpipe sono ben sette, alcune si sviluppano lungo l’intera base in modo da omogeneizzare il più possibile l’area di dissipazione, mentre altre salgono direttamente alle alette.

Il connettore bridge per l’uso della scheda in modalità SLI è coperto da un tappo in gomma, affiancato da un’uscita S/PDIF, anch’essa dotata di cappuccio. Le uscite posteriori sono le canoniche due DVI-I Dual Link e l’HDTV Out.

Zotac GeForce GTX280 AMP! Edition: NVIDIA a tutta potenza

Rimuovere la cover/dissipatore è abbastanza semplice e prevede la rimozione di tutte le viti presenti sul lato posteriore e la pressione tramite cacciavite piatto in corrispondenza di alcuni blocchi di ritenzione, tuttavia sconsigliamo come sempre tale operazione, in quanto invalida la garanzia della scheda.

Zotac GeForce GTX280 AMP! Edition: NVIDIA a tutta potenza
Clicca sull’immagine per ingrandirla

Il layout è ordinato, anche se densissimo di componenti. La versione overcloccata da Zotac non si differenzia da quella reference di NVIDIA e presenta anch’essa lo spostamento all’esterno della GPU di tutti i componenti necessari all’elaborazione dell’immagine 2D come il RAMDAC, i TMDS e altri segnali di input, output e transcodifica.

Zotac GeForce GTX280 AMP! Edition: NVIDIA a tutta potenza

I chip di memoria GDDR3 sono marcati Hynix e siglati H5RS5223CFR-N2C. Si tratta di chip da 0.83ns, in grado quindi di lavorare fino a 2400MHz di frequenza, anche se Zotac li ha tenuti di poco sotto, ossia a 2300MHz.

Zotac GeForce GTX280 AMP! Edition: NVIDIA a tutta potenza

La sezione di alimentazione è anch’essa molto complessa e prevede un’alimentazione a sei fasi per la GPU, accostata a una a tre fasi per i chip di memoria. Da notare che la GTX280 presenta due connettori PCI Express per l’alimentazione addizionale: uno da sei e uno da otto pin e che la scheda non partirà utilizzandone uno solo o anche due ma da sei pin ciascuno.

Configurazione di prova
CPU Intel Core 2 Quad Q6600
Freq./vCORE 3200MHz 400×8 / 1.376
Mainboard Asus P5E3 (chipset Intel X38)
RAM 2x1GB Crucial Ballistix Tracer PC2-800
Freq./Timing 961MHz / 5-5-5-18-2T
VGA Zotac GeForce GTX280 AMP! Edition 1024MB
HDD Samsung SpinPoint 250GB 7200rpm SerialATA
PSU Be Quiet! Dark Power Pro 1000W
Driver NVIDIA ForceWare 177.41
Sistema Operativo Microsft Windows Vista Ultimate 32bit SP1

Futuremark 3DMark 2006 Non ha bisogno di presentazioni, è il benchmark di riferimento per le schede video di ultima generazione. Tuttavia, è da considerarsi più un valore di riferimento generico che un indice assoluto di prestazioni.

Medal Of Honor: Airborne Il gioco sfrutta in modo intensivo gli effetti DirectX 9.0c, propri del potente motore grafico Unreal3 usato anche da altri titoli. Per garantire la comparabilità dei test, è stato creato un percorso ad-hoc grazie all’utility FRAPS 2.9.2.

Crysis Patch 1.2 È il titolo del momento: il primo a sfruttare un motore grafico basato principalmente sulle DirectX10 su scenari molto ampi e perciò risulta incredibilmente complesso da gestire anche per le schede video più potenti.

World In Conflict Così come Crysis, WIC implementa sia istruzioni DX9.0c che DX10, soprattutto per il rendering delle proprie scene ricche di fisica, geometria ed effetti particellari.

Per la prova dei consumi, il valore in idle esprime il consumo in Watt (PR) del sistema completo, mentre in full load ci si riferisce al picco massimo rilevato con Crysis GPU Benchmark a 1280*1024 4xAA. Il tester in uso è un Lafayette PC-300.

Ulteriori chiarimenti sulla metodologia adottata da PI Hardware per testare le schede video sono disponibili a questo indirizzo

3DMark 2006 evidenzia un generale allineamento di risultati tra le soluzioni basate su G92 e G200, con ovviamente un leggero vantaggio della versione AMP! di Zotac, grazie alle maggiori frequenze di clock per GPU e RAM.

Tuttavia, essendo 3DMark un test sintetico, tali risultati non sono destinati a ripetersi, come vedremo tra poco, con gli applicativi reali, in cui la superiorità architetturale di G200 emerge con maggior decisione.

Già con questo gioco, basato sul motore grafico Unreal 3, la situazione è differente. La GTX280 standard ottiene infatti prestazioni migliori del modello basato sul precedente G92, soprattutto salendo in risoluzione, la Zotac poi chiude sempre in testa, grazie all’overclock di fabbrica.

Con Crysis, a prima vista, il vantaggio prestazionale di G200 sembra affievolirsi un po’ a favore della soluzione basata su G92, con la GTX280 liscia che si avvicina come resa salendo di risoluzione e la AMP! Edition che invece risulta equivalente fin dalle risoluzioni più basse, grazie alle maggiori frequenze di lavoro.

Tuttavia è una situazione passeggera, dovuta forse alle prestazioni dei driver, maggiormente ottimizzati per la soluzione precedente, più nota e rodata, ma che è destinata a tornare alla normalità applicando i filtri.

In questo caso infatti torniamo a notare la superiorità di G200 su G92, davvero schiacciante. Salendo di risoluzione con dei filtri pesanti, possiamo vedere come il vecchio chip entri subito in crisi, non garantendo più la giocabilità già a 1280×1024. Si vede bene dunque come sia stato importante passare a soluzioni basate su un raddoppio di Stream Processor, ROPs e Texture Filtering Unit. I numeri sono quasi equivalenti a quelli offerti da due G92 in parallelo, ma chiaramente un bridge SLI non può offrire il raddoppio delle prestazioni garantite invece da una singola GPU più potente.

Una situazione identica è osservabile in World In Conflict, con la GTX280 che domina sulla 9800GX2 fin da subito e la Zotac che ovviamente fa ancora meglio a tutte le risoluzioni.

I limiti di potenza di calcolo di G92 vengono infatti solo in parte compensati da soluzioni a doppio chipset, mentre G200 si rivela decisamente superiore in tutti gli ambiti, segno che i tecnici NVIDIA hanno fatto un ottimo lavoro, individuando tutti quegli aspetti architetturali che frenavano G92 e sviluppandoli per rendere G200 una GPU completamente diversa in quanto a performance.

Applicando i filtri questa situazione non cambia, venendo semmai confermata e facendosi più chiara ed evidente. Se senza filtri la 9800GX2 era in testa, almeno alle risoluzioni più basse, qui chiude il gruppo delle schede testate fin da subito, anche se il divario prestazionale si assottiglia. Elaborare dei filtri così pesanti, infatti, è impresa ardua per qualsiasi scheda, ma G200 ha caratteristiche tecniche che gli permettono di farlo meglio di G92 a qualsiasi risoluzione e con qualsiasi impostazione. La GTX280 AMP! Edition chiude ovviamente sempre in testa. I consumi si riferiscono alla potenza in Watt (PR) richiesta dal sistema completo e sono rilevati tramite tester Lafayette PC-300 collegato direttamente all’alimentatore Be Quiet! Dark Power Pro 1000W.

Nonostante i valori di clock della soluzione Zotac siano superiori a quelli del modello standard, il lavoro svolto è stato ottimo, riuscendo a contenere l’aumento di consumi a una manciata di Watt. Nel complesso NVIDIA ha lavorato molto bene, ottenendo con la GTX280 una scheda più performante della precedente 9800GX2, diminunendone al tempo stesso i consumi. Zotac poi si supera, aumentando ulteriormente le prestazioni in maniera significativa e i consumi invece in modo del tutto marginale.

Performance di tutto rispetto anche per quanto riguarda il complesso dissipatore che, nonostante un aumento delle frequenze di clock, ha mantenuto le temperature della Zotac AMP! Edition tra i 42 e i 68°C, un incremento anche qui poco evidente rispetto alle temperature della GTX280 normale e, in generale, assai basse, soprattutto per schede di questa fascia. Dopo un anno di operazioni di marketing alquanto opinabili e poche vere novità tecniche, NVIDIA è tornata alla ribalta con questa nuova GPU e l’ha fatto alla grande. La GTX280 è, allo stato attuale, la scheda video più performante sul mercato e la versione overcloccata di Zotac è in grado di fare anche leggermente meglio della più potente soluzione a doppia GPU.

NVIDIA aggiunge a tutto ciò la possibilità di utilizzare questa scheda anche per scopi molto diversi dal gaming, rivelandosi quindi anche estremamente versatile. Mai come ora infatti si sta concretizzando la possibilità di impiegare G200 anche per impieghi di calcolo scientifico o, restando in ambito home, nell’encoding video ad alta risoluzione, ma anche per aggiungere una fisica realistica ai giochi di ultima generazione.

A tutto questo Zotac aggiunge prestazioni ancora più elevate a fronte di consumi e dissipazione del calore praticamente identici a quelli, per altro davvero buoni, della soluzione standard. Aiutata poi dal consistente taglio dei prezzi effettuato da NVIDIA sui suoi ultimi prodotti, la Zotac GeForce GTX280 AMP! Edition, per un prezzo di circa 439€ è davvero una soluzione appetibile, non solo per l’hardcore gamer, ma anche per chi svolge editing video o calcoli in ambiti lavorativi professionali.

In considerazione di tutto ciò, PI Hardware ha deciso di conferire alla Zotac GeForce GTX280 AMP! Edition il PcTuner Award:

Zotac GeForce GTX280 AMP! Edition: NVIDIA a tutta potenza

Si ringrazia Zotac Italia per averci fornito il sample in esame.

Zotac GeForce GTX280 AMP! Edition: NVIDIA a tutta potenza

Alessandro Crea
PcTuner

Tutte le recensioni di PI Hardware sono disponibili a questo indirizzo

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Ablo KJL scrive:
    Novità dall'aldiqua
    Buon giorno a tutti,Mi farebbe molto piacere se cortesemente a chi lo chiede gli si dà la possibilità di usare tre indirizzi DNS,se non altro riesce a scelgliere di usare internet.La favola dei tre porcellini, vede il lupo come unico assalitore, mentre qui 'cosi', sono tanti con molti.Gli indirizzi sono un po come le stringhe delle scarpe, hai voglia di fare tutti fiocchi e va bene mettere scarpe che di stringhe non ne hanno ma come si può notare si mettono di solito a copie di due, e si scelgono per necessità; dove non si scelgono si spera sia un esigenza individuale e non un' imposizione .Se tutto ciò non è avvenuto prima e solo per una certa necessità dove si mettono in campo delle risorse con delle possibilità, qui la crisi non ha dimensione che sia chiaro. Attualmente le stesse risorse 'oggi' sono cambiate sotto l'aspetto delle quantità, quindi ripeto che il bue deve avere quattro zampe e le scarpe vanno a coppie, poi per tutto il resto c'è mastercard.Gli esempi sono altamente intimidatori dove qui se si sbaglia c'e il bue con due scarpe e quindi non si va a ballare!.Saluti e buona giornata a Voi tutti. Sondaggio:Piaciuto il mio intervento? Si capisce giusto un pò, che occorrono almeno degli indirizzi del DNS?.Tu porti le scarpe?if = a siSi vuol dire che siete in tre, tu e due scarpe questi sono i DNS. E' tutto passo e chiudo.
  • battagliacom scrive:
    si andrebbe incontro ad altre vulnerabil
    da questa falla potrebbero nascerne di nuove, se per esempio viene riscontrata la falla in un sito di aggiornamento di un programma, la persona che la scopre può anche creare aggiornamenti per cambiare il programma a proprio piacimento a magari installare backdoor e malware vario.Se questa è una vulnerabilità dei DNS non solo solo i siti ad essere a rischio.
  • Altair scrive:
    Codice Rosso
    Data la portata del bug molto più ampia del previsto consiglio a tutti di controllare i certificati di connessioni https (usati nei siti "delicati" come per le banche) se esso corrisponde a quello dichiarato dal DNS potete dormire sonni tranquilli.Sempre che, naturalmente, non venga rotto l'algoritmo RSA, a questo punto la maggior parte delle comunicazioni criptate non lo sarebbero più.... ma questo è un altro discorso per ora (fortunatamente) molto lontano dalla realtà.
  • Dani scrive:
    Fare scomparire le societa'
    A quanto ho capito con questo meccanismo (non pericoloso per le transazioni perche' basate su HTTPS - sufficienti info negli altri commenti) sarebbe possibile fare letteralmente sparire intere societa' da internet: Google, Paypal, Microsoft etc. Chiaramente effetto limitato agli utenti dei DNS eventualmente coinvolti. Danni di non poco conto direi...
  • maxloi scrive:
    e i certificati SSL?
    Occhio... solitamente le banche e molti altri siti "delicati", sono protetti da certificati SSL in https... Secondo me l'exploit dei DNS non può "superare" questa, seppur piccola, barriera. O almeno non è sufficiente...
    • H5N1 scrive:
      Re: e i certificati SSL?
      Sì, ma moltissimi "utonti" non controlleranno la presenza del certificato...
      • maxloi scrive:
        Re: e i certificati SSL?
        peggio per loro!!! la gente deve capire che deve fare attenzione a quello che fa su Internet... Così come fa attenzione, quando va al bancomat, che nessuno stia a spiare il codice, deve fare attenzione al certificato. Del resto il phishing esiste da tempo, adesso hanno solo maggiori probabilità di cadere nella rete: se ci rimangono, tanto vale che vadano direttamente ad uno sportello a fare le loro operazioni...
        • ivo scrive:
          Re: e i certificati SSL?
          certo perchè tu invece controlli certificato per certificato ogni santa volta che ti colleghi ad un sito che usa SSL. Basta un certificato contraffato, in cui sia diverso anche SOLO UN CARATTERE, e non te accorgeresti mai. Sono d'accordo sul navigare responsabili, però è in grado di farlo l'1% della gente. Quindi scordati tutti i servizi online che ti piacciono tanto, se solo questa gente potrà utilizzarli in maniera "sicura". Non sarà conveniente per banche & co..
          • Dani scrive:
            Re: e i certificati SSL?
            Se il DN del certificato non corrisponde al nome dell'host (rispetto a quello inserito dall'utente, quindi CNAME etc non creano problemi), il browser non e' in grado di validarlo, producendo un warning all'utente. Quindi chi usa HTTPS e' assolutamente a posto.
          • ivo scrive:
            Re: e i certificati SSL?
            non è proprio corretto.. Https garantisce solamente la verifica della chiave SSL, per farlo interroga il dns. Se redirige quel traffico, la chiave te la convalida lui e buonanotte. Comunque parliamo di scenari FANTASCIENTIFICI e DIFFICILMENTE REALIZZABILI. Il problema c'è, è vero, ma verrà risolto in due ore (se non lo è già stato). Saranno pochissimi i DNS vulnerabili nel giro di pochi gg.
          • maxloi scrive:
            Re: e i certificati SSL?
            A parte questo, la verifica della chiave SSL non viene fatta "interrogando il DNS", ma interrogando il server che ha emesso il certificato SSL. Oltre a questo, le banche "serie" hanno un doppio codice: uno ti permette di LEGGERE quello che hai sul conto, l'altro ti permette di fare operazioni. Se anche dovessero "rubarmi" il primo codice, io sono comunque tranquillo.
  • Richiesto scrive:
    Dubbio probabilmente sciocco
    Sapevo che i DNS dialogano tra loro. Se uno non infetto chiede ad uno infetto? E' possibile che si verifichi questa cosa?
    • Richiesto scrive:
      Re: Dubbio probabilmente sciocco
      dubbio ancora più paranoico:se io avveleno e comunico al DNS che il DNS di "ordine superiore" è l'IP 1.2.3.4e l'ip 1.2.3.4 in realtà sono io (monto un DNS apposta e ci metto quello che voglio)è fattibile sta cosa o sto continuando a delirare?
      • Mino scrive:
        Re: Dubbio probabilmente sciocco
        - Scritto da: Richiesto
        dubbio ancora più paranoico:
        se io avveleno e comunico al DNS che il DNS di
        "ordine superiore" è l'IP
        1.2.3.4

        e l'ip 1.2.3.4 in realtà sono io (monto un DNS
        apposta e ci metto quello che
        voglio)

        è fattibile sta cosa o sto continuando a delirare?La falla risiede nella query che fai al DNS del tuo provider, una modifica al valore di DNS root non avviene tramite la query che il tuo client fa quando chiede di risolvere un nome.
  • Armando Gatto Topo scrive:
    randomizazione
    Un buon workaround semplice ed efficace e' usare una linea di iptables per randomizzare.E comunque passare a securedns come giustamente ci indica isc.
  • dino scrive:
    controllare sempre IP
    Si potrebbe controllare ogni volta che si entra nel sito a rischio l'indirizzo IP in modo sicuro con il comando ping www.aaaaaaaa.bb eseguito a riga di comando.
    • antonio scrive:
      Re: controllare sempre IP
      secondo te ping non usa gli stessi dns del tuo browser? Questo e' il "modo sicuro"?
      • dino scrive:
        Re: controllare sempre IP

        secondo te ping non usa gli stessi dns del tuo
        browser? Questo e' il "modo
        sicuro"?credevo di no!
      • ABC scrive:
        Re: controllare sempre IP
        - Scritto da: antonio
        secondo te ping non usa gli stessi dns del tuo
        browser? Questo e' il "modo
        sicuro"?Su Linux puoi usare "host" per risolvere l'IP di un nome.Funziona così:host Praticamente prima di fare una transazione, controlli con un paio o più di serverDNS diversi (uno italiano, OpenDNS e un'altro a scelta)...se gli IP coincidono tutti con il tuo DNS italiano che stai usando....allora non c'è pericolo; significa che funziona normalmente.Anche usare l'estensione "ShowIP" di firefox aiuta per questi controlli....ciao
        • Dawid999 scrive:
          Re: controllare sempre IP
          non è esattamente cosi,perchè gli altri dns dopo un tot di tempo (variabile) refreshano le loro entry richiedendo di nuovo la risoluzione del dominio al DNS originario dov'è registrato il dominio stesso.quindi se io agisco sul dns che gestisce in prima linea un dato dominio poi tutti gli altri facendo affidamento a quello punteranno all'ip da me impostato.
          • ABC scrive:
            Re: controllare sempre IP
            Il tot di tempo...sarebbero in media 3 giorni. ;) In linea teorica, basta che tra tutti i DNS ne trovi almeno uno che sia stato lasciato intoccato (ossia che ancora non si sia aggiornato) per capire che c'è qualcosa che non và con l'altro/gli altri DNS...
  • Tuxer scrive:
    Tiscali - Pirelli Netgate
    La cosa allucinante di tutta questa faccenda è che i provider Italiani come quello citato "continuano" a fare orecchie da mercante.Se avete anche voi quel rooter e nella vostra LAN avete un PC che vi fa da server DNS, anche aggiornando BIND all'ultima versione la vostra situazione cambia di poco.Questo perché quel ...come lo vogliamo definire..... quel CESSO di hardware che t'impongono per via del VoIP, non passa il nuovo test "source port randomness" aggiunto in questi giorni anche da quelli di DoxPara research. Qui ne trovate uno + dettagliato:https://www.dns-oarc.net/oarc/services/dnsentropyNon so se sia un problema reale o fittizio (dato che il server non è accessibile dall'esterno), ma è inutile dire che quelli di Tiscali continuano a tenerti obbligatoriamente legato al proprio hardware, che è pessimo per tanti punti di vista, compreso questo.Serve un firmware aggiornato per il Pirelli, e adesso a questi chi glie lo dice?Gli ho scritto diverse volte, perdendo tempo e attentando al mio sistema nervoso :-D , ma questi continuano a dirmi che per usufruire del VoIp devo anche navigare col loro hardware.E' un assurdo. Il mio router/modem ADSL Netgear passa quei test meglio di altri server DNS pubblici, e ha un firmware + vecchio del Pirelli; ma non lo posso usare, altrimenti niente telefono.A Tiscali dico solo: o aggiornate stò Pirelli qui, o mi date la possibilità di accedere al servizio Voice Over iP col MIO hardware. E' un anno che ve lo chiedo ormai. Siamo a braghe calate, e non solo per questo problema. Non possiamo accedere al firewall, creare un host demilitarizzato, bloccare le risposte ai ping provenienti dall'esterno sull'IP pubblico del router, etc. E ora non possiamo nemmeno decidere quale "elenco telefonico" consultare.Scusate lo sfogo, ma hanno i rotto i cosiddetti.Saluti
    • antonio scrive:
      Re: Tiscali - Pirelli Netgate
      in teoria se hai un tuo dns dovresti essere a posto
      • Tuxer scrive:
        Re: Tiscali - Pirelli Netgate
        Si, ho un mio DNS e non esce dalla LAN. Quindi il problema non dovrebbe esserci.Ma non passa quel test (="Source Port Randomness: POOR") per colpa dell'hardware di Tiscali.Ripeto: hardware IMPOSTO da loro. Lo compro un adattatore VoIP, ci metto i miei soldi. A loro non chiedo nulla, solo di farmi usare il mio di hardware visto che pensano che uno debba accedere alla rete secondo le LORO regole. Regole che dal punto di vista della sicurezza sono piuttosto blande.
        • Alessandrox scrive:
          Re: Tiscali - Pirelli Netgate
          Scusa , forse non ho ben capito ma mi pare che il problema stia nei server DNS non negli HW dei router (nei quali non e' implementato alcun server DNS)... io non so che razza di Router sia quello li ma in quelli "normali" i DNS si possono anche specificare manualmente e bypassare quello fornito dal provider... cosa che cmq si puo' fare anche a livello di S.O. ...
          • Tuxer scrive:
            Re: Tiscali - Pirelli Netgate
            - Scritto da: Alessandrox
            Scusa , forse non ho ben capito ma mi pare che il
            problema stia nei server DNS non negli HW dei
            routerIl problema è il seguente: "if your recursive nameserver is behind most forms of NAT/PAT device, the patch (=la patch per BIND, n.d.r) won't do you any good since your port numbers will be rewritten on the way out, often using some pretty nonrandom looking substitute port number". Il tizio continua, e dice: "Dan and I are working with CERT/CC on a derivative vulnerability announcement[...]". Qui trovi la fonte:http://www.circleid.com/posts/87143_dns_not_a_guessing_game/Lo stesso concetto lo trovi espresso anche qui: "Note: Routers, firewalls, proxies, and other gateway devices that perform Network Address Translation (NAT)more specifically Port Address Translation (PAT)often rewrite source ports in order to track connection state. When modifying source ports, PAT devices can reduce source port randomness implemented by nameservers and stub resolvers (conversely a PAT device can also increase randomness). A PAT device can reduce or eliminate improvements gained by patching DNS software to implement source port randomization." E il router Pirelli fornito da Tiscali fa proprio questo tipo di scherzo.https://www.kb.cert.org/CERT_WEB%5Cservices%5Cvul-notes.nsf/id/800113
          • antonio scrive:
            Re: Tiscali - Pirelli Netgate
            se sei l'unico autorizzato a fare ricorsione su quel dns server non ci sono problemi
    • HotEngine scrive:
      Re: Tiscali - Pirelli Netgate
      - Scritto da: Tuxer
      giorni anche da quelli di DoxPara research. Qui
      ne trovate uno +
      dettagliato:

      https://www.dns-oarc.net/oarc/services/dnsentropyQuattro GREAT con opendns...dns: 208.67.222.222 - 208.67.220.220
      • Tuxer scrive:
        Re: Tiscali - Pirelli Netgate
        Si Infatti.Ma son buoni anche i DNS di Tiscali. Passano quel test anche loro.Solo che il problema è se ti metti BIND (anche patchato) sulla tua LAN e sei "nattato" dal rooter Pirelli che ti danno loro.No so se mi sono spiegato. Sopra, in un reply ad Alessandrox, ho postato qual'è il problema e il perché sto Netgate di Tiscali conferma la pessima reputazione che ha.
  • ping laden scrive:
    token?
    I token non a tempo ma a sequenza non sono cosi' sicuri.Se col phishing riescono a prendere un paio di token che immetti nella pagina falsa, e poi i phishers si autenticano sul sito originale della banca prima che tu possa farlo, ti svuotano il conto.Per esempio SanPaolo utilizza token a sequenza.
    • pross scrive:
      Re: token?
      Che vuol dire "a sequenza"? Di certo non vuol dire che conoscendo 2 numeri ottenuti consecutivamente si può indovinare il terzo.Per quanto ne so la sequenza è di numeri casuali "cablati" nel token da qui a qualche anno.Anch'io ho il sistema di SanPaolo, non posso dire di sentirmi sicuro al 100%, ma è un ottimo sistema.
    • antonio scrive:
      Re: token?
      1) ti manca il pezzo in cui c'e' il certificato ssl che il browser verifica2) definire il concetto di token "a sequenza"
      • Mino scrive:
        Re: token?
        - Scritto da: antonio
        1) ti manca il pezzo in cui c'e' il certificato
        ssl che il browser
        verifica
        2) definire il concetto di token "a sequenza"Per Token a sequenza intende un token non calcolato in base a una variabile (es. ora/minuto/secondo) ma che viene riproposto ciclicamente dalla "chiavetta".Io ho tre RSA Token ID e il numero non è casuale o appunto calcolato in base a una variabile bensì il token contiene un numero di finito di codici che ripropone ciclicamente, penso che questo sia quello che intende con token a sequenza.
  • sirus scrive:
    Notare che l'Exploit è per BIND di Linux
    Notare che l'Exploit è per BIND di Linux. Linux è quindi il primo ad essere stato exploitato!
    • eeeehh scrive:
      Re: Notare che l'Exploit è per BIND di Linux
      - Scritto da: sirus
      Notare che l'Exploit è per BIND di Linux. Linux è
      quindi il primo ad essere stato
      exploitato!Forse non ho capito bene ma credo che l'implicazione corretta sia: "L'exploit è per BIND, quindi BIND è stato il primo DNS server ad esser stato scoperto come vulnerabile"; cosa c'entra Linux?
    • Enrico204 scrive:
      Re: Notare che l'Exploit è per BIND di Linux
      - Scritto da: sirus
      Notare che l'Exploit è per BIND di Linux. Linux è
      quindi il primo ad essere stato
      exploitato!1. E' open source, quindi è stato molto più facile trovare la vulnerabilità: fai un diff tra gli ultimi aggiornamenti e vedi quale è il fix.2. E' usato nel 90% dei casi: ergo, quelli che non aggiornano sono vulnerabili.3. Bind non gira *solo* su Linux, ma su tutti i sistemi che hanno un compilatore per il linguaggio con cui è scritto. Il che include *BSD ma anche MacOS e Windows.Perché come lo hai detto vuoi solo scatenare una flame war sul S.O. migliore. Ma hai completamente cannato il problema, che non è del S.O. ma di un programma.Enrico
    • SIGLAZY scrive:
      Re: Notare che l'Exploit è per BIND di Linux

      Notare che l'Exploit è per BIND di Linux. Linux è
      quindi il primo ad essere stato exploitato!Veramente BIND c'è anche per Windows e per tutte le versioni di Unix, quindi l'exploit funziona anche lì.Comunque il problema rimane che BIND è uno dei programmi-dinosauro rimasti ancora in giro, per colpa dell'azienda che lo produce e che monopolizza il Working Group di IETF.L'altro grande dinosauro è il server Sendmail, che sta lentamente scomparendo...
    • antonio scrive:
      Re: Notare che l'Exploit è per BIND di Linux
      l'esplua' e' per qualsiasi dns server che non randomizza la source port per query ricorsive. informati
    • ManyChoices scrive:
      Re: Notare che l'Exploit è per BIND di Linux
      - Scritto da: sirus
      Notare che l'Exploit è per BIND di Linux. Linux è
      quindi il primo ad essere stato
      exploitato!Sul fatto che e' per bind e non per linux, e che bind gira anche su altre piattaforme ti e' stato gia' risposto.Se invece vogliamo prendere di mira l'open direi che abbiamo un problema, nella notte dei tempi l'unico "robo" che poteva tenere in piedi il DNS era Bind (come per la posta c'era solo sendmail), adesso qualche alternativa open ci sarebbe, ocio che sottolineo open, con il DNS proprietario di altri produttori (per esempio MS ...) se sei un ISP ti puoi anche suicidare (essere uno dei famosi sistemi root e far girare un DNS marca MS non passa manco per il capo al piu' marcio dei sistemisti).Piu' in generale nella lunga diatriba open vs closed si puo' aggiungere che solo un incompetente direbbe che open e' privo di buchi, il discorso e' che si sostiene che e' piu' sicuro in quanto si ha maggior collaborazione per risolverli (qualunque programmatore puo' dare un'occhiata al codice e proporre soluzioni) e che mediamente nel mondo open sono piu' veloci a risolverli. Inoltre qui a open aggiungiamo gratis. La conclusione e' la solita quindi:tutto il sofware ha buchi, tra un sofware open con buchi (lasciamo stare la faccenda del piu' o meno sicuro, ognuno cita le sue cifre e il discorso e' piu' controvertibile) e magari anche gratis e uno closed con buchi a pagamento, quale conviene?Aggiungo che il mondo open ha prodotto ottime alternative a bind, purtroppo non prendono largo piede perche' anche l'open sconta la regola che fa la fortuna del closed: quello che adotti per primo lo conosci e anche se c'e' di meglio per la pigrizia di dover imparare qualcosa di nuovo, il tempo per implementarlo ecc. ecc. ti tieni la roba vecchia vd. Djbdns su google (e se volete tirarvi in casa 500 $ trovate un po' un buco, e' un pezzo che sono in offerta).Per chi non e' un superficialone e vuole una comparazione si vd.http://en.wikipedia.org/wiki/Comparison_of_DNS_server_software
    • Ponzio Pilato scrive:
      Re: Notare che l'Exploit è per BIND di Linux
      A parte il colossale abbaglio che hai preso, il pacchetto BIND per Linux è stato aggiornato con la patch di sicurezza già dal 9 Luglio 2008!
  • filippo calippo scrive:
    non ho capito bene
    Chiedo scusa a tutti.Non ho ancora capito bene, forse mi e' sfuggito o e' implicito, se il problema e' a livello di server del mio provider o anche del mio sistema operativo (qualunque esso sia).Grazie.
    • SIGLAZY scrive:
      Re: non ho capito bene

      Chiedo scusa a tutti.
      Non ho ancora capito bene, forse mi e' sfuggito o
      e' implicito, se il problema e' a livello di
      server del mio provider o anche del mio sistema
      operativo (qualunque esso sia).Il problema è sul server del tuo provider che fornisce la DNS cache.
  • pentolino scrive:
    https
    Io a sto punto mi fido solo di https (e simili).Se vedo avvertimenti di chiave cambiata mando a quel paese il sito.
    • abcdef scrive:
      Re: https
      Forse l'unico modo è mettere l'indirizzo IP direttamente...
      • pentolino scrive:
        Re: https
        non è detto, a parte che mettendo l' ip il sito potrebbe non essere risolto correttamente (è possibile associare più domini allo stesso IP e il sito corretto viene risolto proprio attraverso il nome), in ogni caso il sito al suo interno potrebbe chiamare altre pagine tramite URL e a quel punto saremmo da capo.Almeno con https c'è la garanzia di sapere con chi stai parlando (salvo bachi si intende)
        • SIGLAZY scrive:
          Re: https

          Almeno con https c'è la garanzia di sapere con
          chi stai parlando (salvo bachi si intende)In questo caso no:- Https garantisce solamente se la chiave può essere verificata ...- per verificare la chiave, il browser usa il DNS per interrogare l'emettitore della chiave ...- se il cracker redirige il traffico di verifica, può autenticare anche una chiave non valida ...
          • antonio scrive:
            Re: https
            minchiate, ripassati il funzionamento di httpssuggerimento: verificare la sezione riguardo le root ca
          • pentolino scrive:
            Re: https
            se al sito in questione mi sono già connesso la chiave risiede nel mio PC (o per essere più precisi nel browser), ed è quella che fa testo!Il tuo discorso è perfettamente valido se invece parliamo di un sito al quale mi connetto per la prima volta; a questo punto è chiaro che se mi dovesse capitare per un sito importante vedrò di prendere ulteriori precauzioni.
          • riddler scrive:
            Re: https
            E solo se il certificato e' self-signed o comunque non ho sul mio pc il certificato della root CA.
          • pentolino scrive:
            Re: https
            esatto, giusta precisazione
      • Ginger scrive:
        Re: https
        E come te la cavi con i sistemi multihomed???Non è che ogni server web ha un ip univoco...
        • Richiesto scrive:
          Re: https
          vabbè comunque sia funziona anche se è multihomed (uno degli IP è quello)
        • shared hosting scrive:
          Re: https
          - Scritto da: Ginger
          E come te la cavi con i sistemi multihomed???
          Non è che ogni server web ha un ip univoco...Certo, sicuramente il sito di una banca e' su uno shared hosting name-based.
          • utente scrive:
            Re: https
            - Scritto da: shared hosting
            - Scritto da: Ginger

            E come te la cavi con i sistemi multihomed???

            Non è che ogni server web ha un ip univoco...

            Certo, sicuramente il sito di una banca e' su uno
            shared hosting
            name-based.Beh, cedacri fornisce e gestisce i sistemi di home banking di diverse banche italiane dallo stesso ced, non so dirti se in shared hosting o no.
  • Tuxer scrive:
    E non è finita!
    Pare che in talune circostanze, le patch rilasciate in queste settimane non siano sufficienti. C'è - infatti - dell'altro:"Tom Cross of ISS-XForce correctly pointed out that if your recursive nameserver is behind most forms of NAT/PAT device, the patch won't do you any good since your port numbers will be rewritten on the way out, often using some pretty nonrandom looking substitute port numbers. Dan and I are working with CERT/CC on a derivative vulnerability announcement since it appears that most of the NAT/PAT industry does indeed have this problem. The obvious workaround is, move your recursive DNS to be outside your NAT/PAT perimeter, or enable your NAT/PAT device to be an ALG, or use TSIG-secured DNS forwarding when passing through your perimeter."http://www.circleid.com/posts/87143_dns_not_a_guessing_game/
    • Alessandrox scrive:
      Re: E non è finita!
      Ma il supporto ALG e' ormai implememtato un po' dappertutto....-----------------------------------------------------------Modificato dall' autore il 25 luglio 2008 11.46-----------------------------------------------------------
  • kattle87 scrive:
    La mia banka usa token
    e non ne sono mai stato così felice ;)
    • utente scrive:
      Re: La mia banka usa token
      - Scritto da: kattle87
      e non ne sono mai stato così felice ;)Si, peccato che basta che uno faccia un sito "proxy", per autenticarsi sulla tua banca con il token originale, e appena avuto l'accesso a te fa vedere che fai le operazioni che pensi di fare, e intanto lui autenticato sul sito reale della banca si fa i bonifici che vuole col tuo conto...
      • kattle87 scrive:
        Re: La mia banka usa token
        sì ma nessuno si spacca la testa per farla una roba del genere quando già può rubare migliaia di account di altre banche/numeri di carta di credito molto più facilmente
        • pippo scrive:
          Re: La mia banka usa token

          sì ma nessuno si spacca la testa per farla una
          roba del genere quando già può rubare migliaia di
          account di altre banche/numeri di carta di
          credito molto più
          facilmenteBuona fortuna...
        • utente scrive:
          Re: La mia banka usa token
          Insomma.. proprio la falsa sicurezza dei token che semplifica il lavoro, facendo in modo che molti di più abbocchino..Me lo sento dire ogni giorno da un sacco di persone "la mia banca è sicura perchè ho il token" e via di abbassamento della soglia di attenzione da parte dell'utente, pericolo gravissimo...
        • Beh scrive:
          Re: La mia banka usa token
          Ne sei proprio sicuro?
      • Stefan scrive:
        Re: La mia banka usa token
        Eh, ma ad ogni bonifico la mia banca mi chiede di nuovo il token. In tempo reale. Quindi...
        • utente scrive:
          Re: La mia banka usa token
          - Scritto da: Stefan
          Eh, ma ad ogni bonifico la mia banca mi chiede di
          nuovo il token. In tempo reale.
          Quindi...Quindi il sito "proxy pishing" ti ripete la pagina originale del sito della banca, ti chiede il codice, quando ha il codice smette di proporti la pagine originali del sito ma te ne crea simulando le operazioni che vuoi fare ed intanto con il tuo codice si fa il suo bel megabonifico che ti svuota il conto
          • TrollMan scrive:
            Re: La mia banka usa token
            - Scritto da: utente
            - Scritto da: Stefan

            Eh, ma ad ogni bonifico la mia banca mi chiede
            di

            nuovo il token. In tempo reale.

            Quindi...

            Quindi il sito "proxy pishing" ti ripete la
            pagina originale del sito della banca, ti chiede
            il codice, quando ha il codice smette di proporti
            la pagine originali del sito ma te ne crea
            simulando le operazioni che vuoi fare ed intanto
            con il tuo codice si fa il suo bel megabonifico
            che ti svuota il
            contoForse non hai capito: per fare un bonifico ci vuole un'altra password (che sia token o password scelta dall'utente). Senza di quella non si possono fare movimenti.
          • pippo scrive:
            Re: La mia banka usa token

            Forse non hai capito: per fare un bonifico ci
            vuole un'altra password (che sia token o password
            scelta dall'utente). Senza di quella non si
            possono fare
            movimenti.Forse non hai capito tu: l'unica cosa che cambia (e che tu non vedi) è il DESTINATARIO e la cifra del bonifico...
          • TrollMan scrive:
            Re: La mia banka usa token
            - Scritto da: pippo

            Forse non hai capito: per fare un bonifico ci

            vuole un'altra password (che sia token o
            password

            scelta dall'utente). Senza di quella non si

            possono fare

            movimenti.
            Forse non hai capito tu: l'unica cosa che cambia
            (e che tu non vedi) è il DESTINATARIO e la cifra
            del
            bonifico...SvegliaaaaaaaaaaaaaPrima devo fare un bonifico IO, non basta la semplice autenticazione per prosciugarmi il cont.
          • pippo scrive:
            Re: La mia banka usa token



            Forse non hai capito: per fare un bonifico ci


            vuole un'altra password (che sia token o

            password


            scelta dall'utente). Senza di quella non si


            possono fare


            movimenti.

            Forse non hai capito tu: l'unica cosa che cambia

            (e che tu non vedi) è il DESTINATARIO e la cifra

            del

            bonifico...

            Svegliaaaaaaaaaaaaa
            Prima devo fare un bonifico IO, non basta la
            semplice autenticazione per prosciugarmi il
            cont.Ho detto questo? Prova a SVEGLIARTI e rileggere :D
          • utente scrive:
            Re: La mia banka usa token
            Appunto, registra quella e la usa immediatamente.
          • TrollMan scrive:
            Re: La mia banka usa token
            - Scritto da: utente
            Appunto, registra quella e la usa immediatamente.Eh, devo prima fare un movimento io, non basta un'autenticazione.
          • pross scrive:
            Re: La mia banka usa token
            1. un primo fallimento nel login dovrebbe fare insospettire2. ad ogni bonifico corrisponde una notifica sms, che dà il tempo di annullare il bonifico, anche telefonicamente
          • utente scrive:
            Re: La mia banka usa token
            - Scritto da: pross
            1. un primo fallimento nel login dovrebbe fare
            insospettire

            2. ad ogni bonifico corrisponde una notifica sms,
            che dà il tempo di annullare il bonifico, anche
            telefonicamenteVoglio vedere quando migliaia di persone cercano di prendere la linea contemporaneamente per annullare un bonifico che succede...
        • Black Hat scrive:
          Re: La mia banka usa token
          ... e quindi il sito proxy prende in tempo reale il tuo token e lo gira al sito della tua banca, dove il bonifico che stavi facendo ovviamente non va a chi volevi tu ma ad un conto del phisher.Se non altro, correggetemi se sbaglio, quando la tua banca ti manda un sms o una mail in risposta al bonifico potresti accorgerti che l'operazione non è quella che ti aspettavi. E' vero che il phisher farà bonifici esattamente dello stesso importo dei tuoi, ma forse nei messaggi che ti manda la banca è indicato il destinatario e da quello ti accorgi che ti stanno rubando i soldi. Se il destinatario non c'è, pazienza, non ti resta che incrociare le dita.
      • Uby scrive:
        Re: La mia banka usa token
        - Scritto da: utente
        - Scritto da: kattle87

        e non ne sono mai stato così felice ;)

        Si, peccato che basta che uno faccia un sito
        "proxy", per autenticarsi sulla tua banca con il
        token originale, e appena avuto l'accesso a te fa
        vedere che fai le operazioni che pensi di fare, e
        intanto lui autenticato sul sito reale della
        banca si fa i bonifici che vuole col tuo
        conto...Ma un attacco del genere dovrebbe riprodurre anche il certificato SSL della banca, o sbaglio?
      • nome e cognome scrive:
        Re: La mia banka usa token
        - Scritto da: utente
        - Scritto da: kattle87

        e non ne sono mai stato così felice ;)

        Si, peccato che basta che uno faccia un sito
        "proxy", per autenticarsi sulla tua banca con il
        token originale, e appena avuto l'accesso a te fa
        vedere che fai le operazioni che pensi di fare, e
        intanto lui autenticato sul sito reale della
        banca si fa i bonifici che vuole col tuo
        conto...Ogni bonifico richiede la password dispositiva generata dal token e deve essere diversa da quella usata per l'operazione precedente.
        • utente scrive:
          Re: La mia banka usa token
          - Scritto da: nome e cognome
          - Scritto da: utente

          - Scritto da: kattle87


          e non ne sono mai stato così felice ;)



          Si, peccato che basta che uno faccia un sito

          "proxy", per autenticarsi sulla tua banca con il

          token originale, e appena avuto l'accesso a te
          fa

          vedere che fai le operazioni che pensi di fare,
          e

          intanto lui autenticato sul sito reale della

          banca si fa i bonifici che vuole col tuo

          conto...

          Ogni bonifico richiede la password dispositiva
          generata dal token e deve essere diversa da
          quella usata per l'operazione
          precedente.Infatti, ti fa vedere la pagina originale, ti chiede la password per fare l'operazione che stai facendo, tu metti la password ed IMMEDIATAMENTE fa un'altra operazione che vuole lui con la tua password sul sito originale, creando pagine fasulle che ti fanno credere che invece hai fatto l'operazione che volevi tu.Non è facile farlo ma neanche impossibile, e visto che chi ha il token si sente sicuro e abbassa la soglia di guardia, molti ci cascerebbero
          • Uby scrive:
            Re: La mia banka usa token
            Rifaccio la mia domanda: ma il sito "proxy" che vuole fare il man-in-the-middle, come fa a falsificare il certificato della banca, visto che si usa sempre SSL?È questo che mi sfugge.
          • utente scrive:
            Re: La mia banka usa token
            - Scritto da: Uby
            Rifaccio la mia domanda: ma il sito "proxy" che
            vuole fare il man-in-the-middle, come fa a
            falsificare il certificato della banca, visto che
            si usa sempre
            SSL?
            È questo che mi sfugge.Bah.. penso non ci sia un metodo per farlsificarlo, al massimo rigira tutto su http, e sta all'utente accorgersi che non è https la pagina.Ma qui ritoniamo al discorso di prima, della sensazione di sicurezza di tokens e oggetti simili che abbassano il livello di guardia degli utenti.
          • Uby scrive:
            Re: La mia banka usa token
            - Scritto da: utente
            - Scritto da: Uby

            Rifaccio la mia domanda: ma il sito "proxy" che

            vuole fare il man-in-the-middle, come fa a

            falsificare il certificato della banca, visto
            che

            si usa sempre

            SSL?

            È questo che mi sfugge.


            Bah.. penso non ci sia un metodo per
            farlsificarlo, al massimo rigira tutto su http, e
            sta all'utente accorgersi che non è https la
            pagina.
            Ma qui ritoniamo al discorso di prima, della
            sensazione di sicurezza di tokens e oggetti
            simili che abbassano il livello di guardia degli
            utenti.Ma come fai a "redirigere" da https ad http? Se il browser fa una richiesta in https la fa criptata, mica accetta roba in chiaro.Inoltre quando faccio logout dall'account bancario firefox mi manda un alert grosso così con scritto che si sta abbandonando una connessione cifrata per una in chiaro, e di stare in guardia. Non so come si comportano gli altri browser, ma suppongo ci sia un comportamento simile.
  • Marco Marcoaldi scrive:
    Scoperto l'acqua calda ! :D
    Il problema della risposte UDP è stato sempre oggetto di blind spoofing ! Ne + Ne - !Azzeccare il numero di porta .... 65535 - 1024 ... con ripetuti tentativi e un po' di fortuna ..... ! ;D
    • Lemon scrive:
      Re: Scoperto l'acqua calda ! :D
      - Scritto da: Marco Marcoaldi
      Il problema della risposte UDP è stato sempre
      oggetto di blind spoofing ! Ne + Ne -
      !

      Azzeccare il numero di porta .... 65535 - 1024
      ... con ripetuti tentativi e un po' di fortuna
      ..... !
      ;DTi ricordo il query_id, non è semplice come dici tu nel caso del DNS
      • Marco Marcoaldi scrive:
        Re: Scoperto l'acqua calda ! :D
        16 bit ..... ! :DSiamo nel 2008 non nel 1994 :D
        • Lemon scrive:
          Re: Scoperto l'acqua calda ! :D
          - Scritto da: Marco Marcoaldi
          16 bit ..... ! :D

          Siamo nel 2008 non nel 1994 :DSono 65536 possibilità, se il query_id è generato casualmente non è così semplice beccarlo perchè nel frattempo che mandi i pacchetti spooffati arriva la risposta del DNS corretto. Certo, a lungo andare o su attacchi di massa qualcosa racimoli, su un attacco mirato devi avere tanta ma tanta pazienza anche perchè devi beccare il momento giusto della richiesta e se perdi quello... bhe, potresti aspettare ancora a lungo se a sua volta il destinatario ha un DNS interno con cache.
          • Marco Marcoaldi scrive:
            Re: Scoperto l'acqua calda ! :D
            Concordo ! ;DErano i tempi dell'attacco di natale di mitnik ! :D
  • kotaro scrive:
    Tiscali e colombo-bt
    Con i dns di tiscali vedo il fake del sequestro della guardia di finanza, con opendns solo la scritta.Con i dns di tiscali l'ip di www.colombo-bt.org e' 217.144.82.26 (Londra), con opendns e' 194.145.248.7 ...
    • Alfredo Algelo scrive:
      Re: Tiscali e colombo-bt
      Io, che ho su una cache DNS attaccata ai root-DNS, dietro NAT e firewall (e dovrei essere abbastanza tranquillo), vedo 87.236.194.90, con la sola scritta.Stesso risultato dai DNS di fastweb e da quelli di un università.87.236.194.90 -
      Rep. Ceca (chevvordì?)
      • kotaro scrive:
        Re: Tiscali e colombo-bt
        - Scritto da: Alfredo Algelo
        Io, che ho su una cache DNS attaccata ai
        root-DNS, dietro NAT e firewall (e dovrei essere
        abbastanza tranquillo), vedo 87.236.194.90, con
        la sola
        scritta.
        Stesso risultato dai DNS di fastweb e da quelli
        di un
        università.
        87.236.194.90 -
        Rep. Ceca (chevvordì?)si e' giusto, ma e' riferito a colombo-bt.org, www.colombo-bt.org ha un altro ip 197......comunque, vuoi sapere a chi appartiene l'ip a cui vengono indirizzati gli utenti dei dns di tiscali?217.144.82.26 e' molto probabilmente di pro-music.orghttp://www.wikio.it/comments/?infoid=65329222 (tralascia tutte le supposizioni sulla vicenda colombo)
        • Alfredo Algelo scrive:
          Re: Tiscali e colombo-bt
          www.colombo-bt.org -
          194.145.248.7 (da più DNS)ma 194.145.248.7 risponde lapidariamente con un location: colombo-bt.org e nient'altro.Vabbè, a me interessa solo sapere che i miei DNS sono tranquilli.
      • antonio scrive:
        Re: Tiscali e colombo-bt
        secondo te il tuo firewall con che algoritmo 'randomizza' le source port per le richieste ricorsive? Scommettiamo usa sempre un set abbastanza piccolo di porte riciclandole in maniera sequenziale? A quel punto non ti serve a niente la patch del dns server perche' sei vulnerabile
    • rei scrive:
      Re: Tiscali e colombo-bt
      Come è possibile che dalle macchine dell'ufficio se faccio un ping su "www.colombo-bt.org" mi risponde "127.0.0.1" ???I DNS sono quelli di telecom impostati su un router cisco.NB: nel file host non c'è
    • david74 scrive:
      Re: Tiscali e colombo-bt
      - Scritto da: kotaro
      Con i dns di tiscali vedo il fake del sequestro
      della guardia di finanza, con opendns solo la
      scritta.

      Con i dns di tiscali l'ip di www.colombo-bt.org
      e' 217.144.82.26 (Londra), con opendns e'
      194.145.248.7
      ...Da rete Matrix (Gruppo Telecom) colombo-bt.org è 87.236.194.90, mentre www.colombo-bt.org è 194.145.248.7.-----------------------------------------------------------Modificato dall' autore il 25 luglio 2008 12.14-----------------------------------------------------------
  • Hey ma scrive:
    Ma non è che magari colombo-bt
    Ma non è che magari colombo-bt soffre di questo bug? (idea)
    • kotaro scrive:
      Re: Ma non è che magari colombo-bt
      - Scritto da: Hey ma
      Ma non è che magari colombo-bt soffre di questo
      bug?
      (idea)No, e' tiscali che sembra essere la prima vittima
    • iluvatar scrive:
      Re: Ma non è che magari colombo-bt
      No, per due motivi:1) La perquisizione della casa di almeno un admin è stata riportata da fonti attendibili2) Questo genere di attacchi colpisce il singolo DNS, o al massimo, di più DNS, ma comunque non aggiornati, ed è improbabile che tutti i DNS italiani siano non aggiornati e attaccati per lo stesso sito.
      • kotaro scrive:
        Re: Ma non è che magari colombo-bt
        - Scritto da: iluvatar
        No, per due motivi:
        1) La perquisizione della casa di almeno un admin
        è stata riportata da fonti
        attendibili
        2) Questo genere di attacchi colpisce il singolo
        DNS, o al massimo, di più DNS, ma comunque non
        aggiornati, ed è improbabile che tutti i DNS
        italiani siano non aggiornati e attaccati per lo
        stesso
        sito.Infatti lo vedono solo quelli di tiscali, l'immagine intendo.E i suoi dns sono vulnerabili.
        • maxloi scrive:
          Re: Ma non è che magari colombo-bt
          ok, ma state parlando di tiscali, il provider più scarso che abbiamo in italia... non che gli altri siano infinitamente superiori, ma almeno non sono al loro livello...
          • loop0 scrive:
            Re: Ma non è che magari colombo-bt
            - Scritto da: maxloi
            ok, ma state parlando di tiscali, il provider più
            scarso che abbiamo in italia... non che gli altri
            siano infinitamente superiori, ma almeno non sono
            al loro
            livello...E questa coglion@ta da quale cilindro di fesserie la tiri fuori? Brutte esperienze personali? Cose che capitano.Per quanto riguarda la risoluzione del dominio di cui sopra, non è un bug dei dns dell'ISP. Spesso e volentieri quando un sito viene sequestrato dalla guardia di finanza o comunque dall'autorità pubblica., i provider ne vengono informati. E alcuni di questi impostano i loro DNS in modo da fare un "redirect" verso una pagina che informa l'utente dell'avvenuto sequestro.La stessa tecnica viene utilizzata quando si vuole inibire l'accesso a determinati siti, come è accaduto in Italia per i portali di scommesse on-line stranieri. E infatti bastava - per raggiungerli ugualmente - usare un DNS non Italiano.Se ci fate caso però, `194.145.248.7` (=''www.colombo-bt.org'' secono i dns non Tiscali) non c'entra nulla col dominio in questione, ma appartiene a "alphonse.prq.se" (+ precisamente: addr248-7-26.alphonse.prq.se), e si trova in Svezia". Provate a inserire nel vostro browser proprio quell'indirizzo: "http://194.145.248.7" e guardate dove andate a finire.Se invece scrivete: "http://www.colombo-bt.org/", e usate un DNS non tiscali, esso si trasforma "magicamente" in "http://colombo-bt.org", cioè senza il www. iniziale. E nella pagina leggerete questo: "Access denied in execution of an Italian Court Authority injunction". Cioè, in pratica, venite redirezionati. Oltre che con OpenDNS, provate con questi 2 dns pubblici: 4.2.2.1, 4.2.2.2; il risultato è identico.Invece il dominio colombo-bt.org (senza il www.), viene correttamente "risolto" anche dai dns tiscali come: 87.236.194.90 (=
            Repubblica Ceca).In conclusione: quella messa in piedi da Tiscali è una semplice tecnica di redirect che non ha nulla a che vedere coi bug di cui si parla nell'articolo.
          • maxloi scrive:
            Re: Ma non è che magari colombo-bt
            Tiscali fa schifo e basta. A parte la mia "esperienza negativa", ogni qualvolta che mi sono imbattuto "su di loro", ho rafforzato la mia idea. L'ultima volta l'anno scorso: premttendo che in azienda abbiamo fastweb in fibra (10mbit) più una linea di backup ADSL ngi (2mbit) ora sostituita con telecom 20mbit, facendo un windowsupdate sui server, anche per scaricare un aggiornamento da 20Mb, ci mettevo ORE. Switchando sulla linea d backup, in qualche minuto avevo l'update. Facendo un tracert con gw fastweb, mi sono accorto che per arrivare sui server di windowsupdate fastweb si appoggiava a TISCALI. Ho fatto qualche altra prova su altri server USA, e il problema era identico. Passavo per tiscali e le velocità facevano a dir poco schifo. La adsl di ngi era 10 volte più veloce di fastweb in fibra!Oppure prova a vedere i server di mirror appoggiati su tiscali, come quello di ANTIVIR. Ogni volta hanno una versione STRAVECCHIA, spesso e volentieri con licenza già scaduta. Morale, non sono c@glionate, tiscali fa schifo e basta.
          • loop0 scrive:
            Re: Ma non è che magari colombo-bt
            No amico, Tiscali fa schifo a te e a quelli come te che si son trovati per via della zona e delle centrali nelle medesime condizioni.Problema che riguarda purtroppo tutti i provider Italiani.Ma aspetta un momento.Con quali ISP paragoni Tiscali? Fastweb in fibra? NGI??Non è con quelli che devi fare i paragoni.Altre questione.Fa talmente schifo Tiscali che è stato uno dei primi a patchare i propri nameserver per correggere le vulnerabilità di cui si parla da queste parti. Prima anche di chi dovrebbe stare + di una spanna sopra di loro: fastweb, tanto per fare nomi e cognomi.Io ho una 4 megabit e va benissimo. Mai problemi di connessione, di banda, niente filtri su applicazioni di rete, e pago meno di 20 euro al mese. Ma non vengo qui a dire che Tiscali è il miglior provider Italiano.Pertanto, cosi come la bufala dei DNS Tiscali buggati, continuo a ritenere affermazioni come la tua coglion@te.
          • maxloi scrive:
            Re: Ma non è che magari colombo-bt
            Piccino (non posso ovviamente riferirmi all'età, in quanto al momento mi è sconosciuta)... sono stato tra i primi ad aver avuto un pop Internet quando Internet stessa è nata. Parlo per cognizione di causa, non sono un "utente ADSL". Fastweb fa schifo così come fanno schifo TI, Libero, etc., se rapportate agli ISP "stranieri" (che quando "arrivano in italia" adeguano le proprie offerte/servizi a quelli esistenti... tanto... gli italiani sono polli e non capiscono un ca**o). Tiscali però è l'ultima degli ISP italiani, sia in termini puramente tecnici (il personale, del resto, è sottopagato più ancora che dalle altre parti, quindi i bravi fuggono abbastanza in fretta) che tecnologici che economici. La tua 4Mb avrà "velocità di punta" ridicole, paragonate agli altri ISP, soprattutto su server "outside italy" e soprattutto se paragonata ad NGI, che appartiene ad INET, che a sua volta è il repository delle migliori menti informatiche italiane, CNR a parte. Tecnologicamente e tecnicamente INET non ha eguali, tiscali non può nemmeno essere confrontata con loro. INET vende banda a telecom italia, a libero, alla rai, alla ferrari, alla fiat... alle più grosse aziende italiane. NGI si può definire "l'offerta INET al pubblico" e purtroppo non è strutturata bene, soprattutto commercialmente, ma, tanto per dirtene una, i gamers (che sono le persone che hanno necessità di una banda sicura, pulita ed efficente) vedono solo loro.Tiscali ha delle strutture infinitamente sottodimensionate, non può avvantaggiarsi di grossi contratti commerciali con i grossi backbone europei o americani come possono fare gli altri ISP perchè, economicamente, è come confrontare un minimarket con l'intera catena dell'auchan. Quindi, le c@glionate, forse non sono io a dirle... ma chi legge avrà le sue idee in proposito o se le potrà fare...
          • loop0 scrive:
            Re: Ma non è che magari colombo-bt
            Amico, il mio "coglion@te" era una metafora e non un'offesa personale.Tu hai parlato del peggior ISP Italiano. E io non sono d'accordo che questo sia Tiscali. Ma non dico nemmeno che sia il migliore.A me delle velocità di punta e altre cose non m'interessa. So che l'ISP dei 4 megabit che mi fornisce si trattiene circa il 10-12%. Scarico a 437Kb/s e in Up sono sui 55. E allora? Dove stà il problema?? Si trattengono un pò di banda? E che mi frega. Dovrebbero upgradarmi a 8 mega, ma non ho voglia di sbattermi e aspetto che lo facciano loro.Non ho problemi di prestazioni con torrent e su rete ed2k: non filtrano nulla. Niente offuscamenti e menate varie. Gli altri fanno altrettanto? Allo stesso prezzo?Stiamo parlando di ADSL sotto i 20 euro al mese, non dei "COLLETTI" che ti "stirano" fastweb e NGI. Telecom? A telecom non gli do una lira bucata di quello che entra in casa mia per vivere. Prendono un canone di 24 a bimestre - o quanto è oggi non lo so - per il telefono e vogliono anche quello per l'ADSL?Ma ho forse detto che Tiscali è al livello di NGI? O migliore?Ho contestato la tua affermazione che Tiscali sarebbe il peggiore d'Italia. Peggiore d'Italia? Rispetto a chi?E Wind scusa? Vogliamo parlare di wind/libero/infostrada/tele2 o come cavolo si chiamano?Poi dici di essere nato con Internet. Bene professore, però hai preso come buona la panzana del DNS bacato di Tiscali, senza verificare che si trattava di un semplice redirect.E colto la palla al balzo per sparare la tua sentenza. Interessante.Io a differenza di te non ho problemi di traceroute con Tiscali. Dove sta la verità?Io se permetti la tua non la prendo come tale. O mi vuoi parlare pure di ping e latenze? Non m'interessano. Non sono un gamer, altrimenti avrei preso NGI.Visto che ti piacciano le metafore, al tuo 'piccino' rispondo con la stessa di prima: coglion@te.
  • Dumah Brazorf scrive:
    Abbandonare la nave...
    ... o evitare di accedere a siti che richiedono password per un (bel) po'...Qual'era il link per controllare se il proprio server DNS era aggiornato?
    • mah scrive:
      Re: Abbandonare la nave...
      - Scritto da: Dumah Brazorf
      Qual'era il link per controllare se il proprio
      server DNS era
      aggiornato?aspetta... non c'e' nell'articolo? oOhttp://www.doxpara.com/
      • Ponzio Pilato scrive:
        Re: Abbandonare la nave...
        Su Linuze avevo già aggiornato da tempo i pacchetti BIND (gestione server DNS) e DNSMASQ (DNS e DHCP server).Su http://www.doxpara.com/ mi viene detto che:"Your name server, at XX.XX.XX.XX, appears to be safe"... ma vatti a fidare ...
        • Tba scrive:
          Re: Abbandonare la nave...
          ... appears vulnerable to DNS Cache Poisoning.All requests came from the following source port: 1234E chi si fida :)
    • Io Io scrive:
      Re: Abbandonare la nave...
      - Scritto da: Dumah Brazorf
      ... o evitare di accedere a siti che richiedono
      password per un (bel)
      po'...i certificati a che servono?
      • SIGLAZY scrive:
        Re: Abbandonare la nave...
        - Scritto da: Io Io
        - Scritto da: Dumah Brazorf

        ... o evitare di accedere a siti che richiedono

        password per un (bel)

        po'...

        i certificati a che servono?A verificare USANDO ANCHE IL DNS che il sito sia attendbile ...Ma se il server attraverso il quale fai la verifica non è attendibile ...
    • pippo scrive:
      Re: Abbandonare la nave...
      Bhè il problema è grave lo stesso, pero' è sufficiente verificare l'indirizzo IP del server. Io uso dei semplici add-on come Server Spy e ShowIP, e la prima cosa che ho fatto all'apertura di un conto online è stato segnarmi l'ip del sito della banca.Potranno anche crackare il dns, ma il sito contraffatto non potrà avere lo stesso IP di quello originale!Per gli aggiornamenti anche lì si dovrebbero impostare i repositori con gli ip...
Chiudi i commenti