Il mercato delle vulnerabilità vive un momento tumultuoso e il rapporto tra ricercatori e vittime di bug è sempre di più oggetto di dibattito, soprattutto dopo le prese di posizione pubbliche di Google e Microsoft in materia della trasparenza autimposta da programmi come Google Project Zero. Se è eticamente complesso tracciare un confine tra ciò che è giusto venga rivelato e ciò che è più responsabile sottacere, la security company FireEye, questa volta nel ruolo di vittima di una vulnerabilità, mostra di avere le idee chiare: a dimostrarlo, la battaglia mossa nei confronti della security company tedesca ERNW, che ha individuato i bug e avrebbe voluto renderli pubblici per il bene comune, a fini di studio.
L’azienda tedesca racconta nel proprio blog ufficiale di aver individuato delle falle nel pacchetto di software Malware Protection System di FireEye: i problemi erano stati segnalati nel mese di aprile alla security company statunitense, con la quale si era trovato un accordo per la disclosure dei problemi, prevista dopo i 90 giorni successivi e dopo il rilascio di patch correttive.
FireEye ha avuto modo di consultare i documenti che ERNW aveva preparato per la comunicazione pubblica del proprio operato di ricerca, e ha ritenuto che si spingessero troppo oltre: “Dal punto di vista di FireEye – spiega il fondatore di ERNW – contenevano troppi dettagli tecnici riguardo al funzionamento di MPS, entravano in dettagli non necessari per descrivere le vulnerabilità e, ancora peggio, avrebbero garantito informazioni ai malintenzionati”.
Nonostante la security company tedesca ritenesse di aver reso pubbliche le sole informazioni necessarie a comprendere il funzionamento dei bug, aveva accettato di rimuovere i tecnicismi che impensierivano FireEye, e aveva altresì accettato di rimandare la disclosure: all’inizio del mese di agosto un incontro faccia a faccia fra i vertici delle due aziende sembrava aver suggellato la versione definitiva del documento da poter diffondere , spiega ERNW.
La versione di FireEye è evidentemente diversa: non era trascorso nemmeno un giorno dall’incontro quando l’azienda tedesca ha ricevuto una comunicazione legale che, sulla base di presunte violazioni di proprietà intellettuale , diffidava ERNW dal diffondere informazioni relative al contesto della vulnerabilità. A questa prima diffida informale è seguita una ingiunzione del tribunale di Amburgo, che ha costretto ERNW a emendare la presentazione .
Il ricercatore Felix Wilhelm ha illustrato in pubblico le vulnerabilità nei giorni scorsi, in occasione della conferenza londinese 44CON: le slide del suo intervento, disseminate di espliciti riferimenti alla “censura” operata sulle informazioni, premettevano l’ incompletezza della propria relazione , da cui certi dettagli utili a comprendere la natura delle vulnerabilità sono stati omessi per via dei procedimenti legali in corso.
“Si sta comprimendo non solo la libertà di espressione ma anche la possibilità di avvertire e informare gli utenti, molti dei quali hanno partecipato all’evento – ha lamentato Steve Lord, fra gli organizzatori dell’evento – trovo bizzarra, assurda e non professionale la loro reazione alla ricerca”.
FireEye ha fornito la propria replica, assicurando che non sia intenzione dell’azienda ostacolare la disclosure delle vulnerabilità: “Non volevamo che venissero rese pubbliche alcune delle informazioni proprietarie che potrebbero mettere a rischio le nostre attività e i nostri utenti”.
Gaia Bottà
-
cioè?
ora si potranno dirottare i domini onion sulla clearnet?E questo sarebbe più sicuro (certificati a parte)? Stessa cosa per localhost: uno mappa le connessioni che non vuole far uscire su localhost, ma questi fanno in modo che un DNS le risolva cosicchè ciò che è privato esce fuori dal PC?Avrò capito male io...Re: cioè?
- Scritto da: hhhh> ora si potranno dirottare i domini onion sulla> clearnet?> E questo sarebbe più sicuro (certificati a> parte)?> > > Stessa cosa per localhost: uno mappa le> connessioni che non vuole far uscire su> localhost, ma questi fanno in modo che un DNS le> risolva cosicchè ciò che è privato esce fuori dal> PC?> > Avrò capito male io...A me PARE DI CAPIRE che la cosa serva affinché i browser considerino i domini .onion "speciali" e NON inviino richieste ai server DNS "normali" per la risoluzione di quegli indirizzi. Questo per evitare che la tua navigazione in TOR lasci questo tipo di tracce (richieste di risoluzione DNS) sulla rete "in chiaro".SE ho capito bene... Tieni conto che non so bene come funzioni TOR, non so come venga gestita la risoluzione DNS al suo interno (immagino che ci sia un "client" TOR, che richiamerà dei propri server DNS, ma non lo so)...Re: cioè?
- Scritto da: Ciccio... un altro> A me PARE DI CAPIRE che la cosa serva affinché i> browser considerino i domini .onion "speciali" e> NON inviino richieste ai server DNS "normali" per> la risoluzione di quegli indirizzi. mhhhh.. è ragionevole, ma suppongo che i browser distribuiti in bundle con TOR siano già modificati per agire così.Però se fosse come dici ci sta, perché aumenterebbe la sicurezza delle soluzioni intermedie (browser standard non moddato + tor). Mi aspetto comunque un bug in questo giro, che permetterà di far risolvere gli onion al DNS pubblico e sgamare così tutti i navigatori drogati ;)Re: cioè?
- Scritto da: hhhh> Mi aspetto comunque un bug in questo giro, che> permetterà di far risolvere gli onion al DNS> pubblico e sgamare così tutti i navigatori> drogati > ;)Chi lo sa, forse ad ogni richiesta di acXXXXX ad uno di questi domini speciali, il browser farà partire automaticamente una bella email diretta all'FBI (negli ultimi anni si sente parlare sempre di NSA... fatemi citare la cara vecchia FBI che andava di moda nei telefilm degli anni 90). ^_^Spieghiamioci meglio
Quello che c'è scritto in questo articolo è abbastanza fuorviante e a tratti impreciso.TOR è in sostanza un PROXY a cui si collega il browser e ultimamente è stato integrato nel browser TOR stesso per cui non è più necessario lanciare Vidalia e compagnia.Quando il browser è proxato, ogni richiesta ai DNS passa dal proxy (anche quelle non sulla darknet), altrimenti l'anonimato va a farsi friggere, quindi sono i nodi esterni che fanno le richieste, come è giusto che sia e continuerà ad essere così per fortuna.Per quanto riguarda i domini .ONION poi, questi NON SONO MAI USCITI in nessun modo dalla Darknet, anche perché i DNS normali li ignorano, ma sono gestiti internamente e non ci sono nodi di uscita coinvolti.Se quindi dite che .onion è stato aggiunto ai domini locali è un bene perchè così usando un .onion da un browser "normale" non proxato, il browser rifiuterà la richiesta, invece di inviare al DNS una richiesta che sarebbe rifiutata ma comunque probabilmente registrata.Ma è tutto lì non c'è niente di più di prima riguardo la sicurezza degli utenti che usano propriamente TOR sulla giusta rete.Re: Spieghiamioci meglio
- Scritto da: Ingenuo> Quello che c'è scritto in questo articolo è> abbastanza fuorviante e a tratti> impreciso.alfoso copia, traduce e pubblica. la verifica della precisione del testo non fa parte dei suoi compiti (di nessuno in PI, ad essere precisi).la spiegazione e' chiara
dall'articolo non avevo capito bene che servisse questa stramberia... ma leggendo la m/l...(...)4) A certificate would permit service providers to remove their anonymity while preserving the anonymity of their clients5) Continued use of certs for .onion is important for companies like Facebook(...)serve alle AZIENDE che, per qualche motivo, si vogliono far riconoscere/essere trusted, (ANCHE) dentro la darknet. Il "ANCHE" e' necessario in quanto il cert viene dato dai soliti, e devi essere autenticabile e pagante "da fuori"Cio' ci porta a una bega collaterale, fastidiosa per FB appunto, e cosi' verra' sanata. FB aveva gia' ottenuto un cert per il suo .onion. Questo e' "normale" perche' le CA consentono di emettere cert per domain o ip non routabili. "sfortunatamente" cio' e' deprecabile da qualche anno e, pare, verra' proibito a fine anno..... quindi senza questo mod, FB avrebbe avuto problemi... :P(lateral rant: ma perche' diamine uno dovrebbe comprare un certificato verificabile su internet per un TLD inesistente (www.azienda.athome ) che ha senso solo in casa tua? Non potresti mettere una CA in casa e/o generare un selfsigned? RISPOSTA : si potrei, ma e' faticoso gestire i client e i miei utenti-bonobo hanno paura ad accettare i selfcert, allora compro della roba che non-ha-senso su internet, per evitare la fatica)Probabilmente cio' generera' anche alcuni strani effetti collaterali "fuori", visto che prima tentare di risolvere un .onion ti veniva sparato un NX DOMAIN... ma ora ..?(il link riportato dice una roba UN BEL PO' vaga : "Now, after the IETF and IANA's decision gets implemented in software products, computers will now ignore Web queries to a .onion domain, and forward users directly to their local Tor software without sending a blind DNS query over the Internet." . vedremo. )Re: la spiegazione e' chiara
ah beh si beh...Re: la spiegazione e' chiara
- Scritto da: ...> ah beh si beh...problemi di pecorite?Re: la spiegazione e' chiara
- Scritto da: bubba> (il link riportato dice una roba UN BEL PO' vaga> : "Now, after the IETF and IANA's decision gets> implemented in software products, computers will> now ignore Web queries to a .onion domain, and> forward users directly to their local Tor> software without sending a blind DNS query over> the Internet." . vedremo.Vedere che? Se stai usando un browser qualunque senza Tor e provi ad accedere ad un dominio .onion sei un XXXXXXXX, se invece stai dentro Tor (per esempio con il TBB) il DNS resolving verrà fatto tramite la rete Tor stessa, come ora, e come documentato nel protocollo e verificabile nel codice sorgente pubblico del TBB. Non vedo problemi.Io non ho nulla da nascondere
Perchè sono un XXXXXXXX. Mi sono sempre appecoronato al gregge, da bambino facevo la spia per la maestra, ho sempre votato chi difende il padrone accodandomi alla moda del momento (berlusconi, lega, l'anno scorso renzi), speravo di essere in qualche modo ricompensato e invece mi ritrovo con un XXXXX di stipendio da impiegatuccio e in un appartamento dimXXXXX.Però almeno mica sono l'unico!Re: Io non ho nulla da nascondere
- Scritto da: Nome e cognome> Perchè sono un XXXXXXXX. Mi sono sempre> appecoronato al gregge, da bambino facevo la spia> per la maestra, ho sempre votato chi difende il> padrone accodandomi alla moda del momento> (berlusconi, lega, l'anno scorso renzi), speravo> di essere in qualche modo ricompensato e invece> mi ritrovo con un XXXXX di stipendio da> impiegatuccio e in un appartamento> dimXXXXX.> > Però almeno mica sono l'unico!Bravo, anch'io, uguale! Siamo tutti XXXXXXXX e fieri di esserlo!!!Re: Io non ho nulla da nascondere
- Scritto da: Nome e cognome> Perchè sono un XXXXXXXX. Mi sono sempre> appecoronato al gregge, da bambino facevo la spia> per la maestra, ho sempre votato chi difende il> padrone accodandomi alla moda del momento> (berlusconi, lega, l'anno scorso renzi), speravo> di essere in qualche modo ricompensato e invece> mi ritrovo con un XXXXX di stipendio da> impiegatuccio e in un appartamento> dimXXXXX.> > Però almeno mica sono l'unico![yt]Bt_kR7u6mM4[/yt]???
Ma cos'è tor? C'entra col calcio? (newbie)Re: ???
- Scritto da: utonto> Ma cos'è tor? C'entra col calcio? (newbie)Sì, è dove vanno i medici del calcio a comprare la roba da somministrareRe: ???
- Scritto da: hhhh> - Scritto da: utonto> > Ma cos'è tor? C'entra col calcio? (newbie)> > Sì, è dove vanno i medici del calcio a comprare> la roba da> somministrareMo non ho capito? (newbie)...
Tor va abolito per il bene dell'umanità perchè serve ai criminali di tutte le risme per fare i loro sporchi affari!Re: ...
[img]http://treasure.diylol.com/uploads/post/image/646459/resized_lizard-meme-generator-hehhe-heh-heh-heh-637354.jpg[/img]Ho la diarrea
Comunque adesso prendo un po' di imodium e sono a posto.Ho passato i 40 anni, ancora vergine...
GALERA A CHI USA TORRRRR!Re: Ho passato i 40 anni, ancora vergine...
- Scritto da: Fabio Aloisio> GALERA A CHI USA TORRRRR![img]http://i.imgur.com/EWeacqI.jpg[/img]Con l'imodium la diarrea mi è passata
GALERA BASTONATE E CALCI IN XXXX A CHI USA TORRRR !!!E' COLPA VOSTRA SE HO UN PENE DI SOLI 10 CM, XXXXXXXX!Io non uso Tor
... perchè sono talmente scemo che neanche so come si fa.Grazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoLeggi gli altri commentiPubblicato il 14 set 2015Link copiato negli appuntiTi potrebbe interessare
![Gaia Bottà]()
Pubblicato il 14 set 2015Link copiato negli appunti
