Roma – Il mercato delle vulnerabilità vive un momento tumultuoso e il rapporto tra ricercatori e vittime di bug è sempre di più oggetto di dibattito, soprattutto dopo le prese di posizione pubbliche di Google e Microsoft in materia della trasparenza autimposta da programmi come Google Project Zero. Se è eticamente complesso tracciare un confine tra ciò che è giusto venga rivelato e ciò che è più responsabile sottacere, la security company FireEye, questa volta nel ruolo di vittima di una vulnerabilità, mostra di avere le idee chiare: a dimostrarlo, la battaglia mossa nei confronti della security company tedesca ERNW, che ha individuato i bug e avrebbe voluto renderli pubblici per il bene comune, a fini di studio.
L’azienda tedesca racconta nel proprio blog ufficiale di aver individuato delle falle nel pacchetto di software Malware Protection System di FireEye: i problemi erano stati segnalati nel mese di aprile alla security company statunitense, con la quale si era trovato un accordo per la disclosure dei problemi, prevista dopo i 90 giorni successivi e dopo il rilascio di patch correttive.
FireEye ha avuto modo di consultare i documenti che ERNW aveva preparato per la comunicazione pubblica del proprio operato di ricerca, e ha ritenuto che si spingessero troppo oltre: “Dal punto di vista di FireEye – spiega il fondatore di ERNW – contenevano troppi dettagli tecnici riguardo al funzionamento di MPS, entravano in dettagli non necessari per descrivere le vulnerabilità e, ancora peggio, avrebbero garantito informazioni ai malintenzionati”.
Nonostante la security company tedesca ritenesse di aver reso pubbliche le sole informazioni necessarie a comprendere il funzionamento dei bug, aveva accettato di rimuovere i tecnicismi che impensierivano FireEye, e aveva altresì accettato di rimandare la disclosure: all’inizio del mese di agosto un incontro faccia a faccia fra i vertici delle due aziende sembrava aver suggellato la versione definitiva del documento da poter diffondere , spiega ERNW.
La versione di FireEye è evidentemente diversa: non era trascorso nemmeno un giorno dall’incontro quando l’azienda tedesca ha ricevuto una comunicazione legale che, sulla base di presunte violazioni di proprietà intellettuale , diffidava ERNW dal diffondere informazioni relative al contesto della vulnerabilità. A questa prima diffida informale è seguita una ingiunzione del tribunale di Amburgo, che ha costretto ERNW a emendare la presentazione .
Il ricercatore Felix Wilhelm ha illustrato in pubblico le vulnerabilità nei giorni scorsi, in occasione della conferenza londinese 44CON: le slide del suo intervento, disseminate di espliciti riferimenti alla “censura” operata sulle informazioni, premettevano l’ incompletezza della propria relazione , da cui certi dettagli utili a comprendere la natura delle vulnerabilità sono stati omessi per via dei procedimenti legali in corso.
“Si sta comprimendo non solo la libertà di espressione ma anche la possibilità di avvertire e informare gli utenti, molti dei quali hanno partecipato all’evento – ha lamentato Steve Lord, fra gli organizzatori dell’evento – trovo bizzarra, assurda e non professionale la loro reazione alla ricerca”.
FireEye ha fornito la propria replica, assicurando che non sia intenzione dell’azienda ostacolare la disclosure delle vulnerabilità: “Non volevamo che venissero rese pubbliche alcune delle informazioni proprietarie che potrebbero mettere a rischio le nostre attività e i nostri utenti”.
Gaia Bottà
leggi i 33 commenti
-
Io non uso Tor
... perchè sono talmente scemo che neanche so come si fa.-
Re: Io non uso Tor
- Scritto da: Nome e cognome
... perchè sono talmente scemo che neanche so
come si
fa.[yt]qRLvqUbeU9o[/yt]
-
-
Con l'imodium la diarrea mi è passata
GALERA BASTONATE E CALCI IN XXXX A CHI USA TORRRR !!!E' COLPA VOSTRA SE HO UN PENE DI SOLI 10 CM, XXXXXXXX! -
Ho passato i 40 anni, ancora vergine...
GALERA A CHI USA TORRRRR!-
Re: Ho passato i 40 anni, ancora vergine...
- Scritto da: Fabio Aloisio
GALERA A CHI USA TORRRRR![img]http://i.imgur.com/EWeacqI.jpg[/img]
-
-
Ho la diarrea
Comunque adesso prendo un po' di imodium e sono a posto. -
...
Tor va abolito per il bene dell'umanità perchè serve ai criminali di tutte le risme per fare i loro sporchi affari!-
Re: ...
[img]http://treasure.diylol.com/uploads/post/image/646459/resized_lizard-meme-generator-hehhe-heh-heh-heh-637354.jpg[/img]
-
-
???
Ma cos'è tor? C'entra col calcio? (newbie)-
Re: ???
- Scritto da: utonto
Ma cos'è tor? C'entra col calcio? (newbie)Sì, è dove vanno i medici del calcio a comprare la roba da somministrare-
Re: ???
- Scritto da: hhhh
- Scritto da: utonto
Ma cos'è tor? C'entra col calcio? (newbie)
Sì, è dove vanno i medici del calcio a comprare
la roba da
somministrareMo non ho capito? (newbie)
-
-
-
Io non ho nulla da nascondere
Perchè sono un XXXXXXXX. Mi sono sempre appecoronato al gregge, da bambino facevo la spia per la maestra, ho sempre votato chi difende il padrone accodandomi alla moda del momento (berlusconi, lega, l'anno scorso renzi), speravo di essere in qualche modo ricompensato e invece mi ritrovo con un XXXXX di stipendio da impiegatuccio e in un appartamento dimXXXXX.Però almeno mica sono l'unico!-
Re: Io non ho nulla da nascondere
- Scritto da: Nome e cognome
Perchè sono un XXXXXXXX. Mi sono sempre
appecoronato al gregge, da bambino facevo la spia
per la maestra, ho sempre votato chi difende il
padrone accodandomi alla moda del momento
(berlusconi, lega, l'anno scorso renzi), speravo
di essere in qualche modo ricompensato e invece
mi ritrovo con un XXXXX di stipendio da
impiegatuccio e in un appartamento
dimXXXXX.
Però almeno mica sono l'unico!Bravo, anch'io, uguale! Siamo tutti XXXXXXXX e fieri di esserlo!!! -
Re: Io non ho nulla da nascondere
- Scritto da: Nome e cognome
Perchè sono un XXXXXXXX. Mi sono sempre
appecoronato al gregge, da bambino facevo la spia
per la maestra, ho sempre votato chi difende il
padrone accodandomi alla moda del momento
(berlusconi, lega, l'anno scorso renzi), speravo
di essere in qualche modo ricompensato e invece
mi ritrovo con un XXXXX di stipendio da
impiegatuccio e in un appartamento
dimXXXXX.
Però almeno mica sono l'unico![yt]Bt_kR7u6mM4[/yt]
-
-
la spiegazione e' chiara
dall'articolo non avevo capito bene che servisse questa stramberia... ma leggendo la m/l...(...)4) A certificate would permit service providers to remove their anonymity while preserving the anonymity of their clients5) Continued use of certs for .onion is important for companies like Facebook(...)serve alle AZIENDE che, per qualche motivo, si vogliono far riconoscere/essere trusted, (ANCHE) dentro la darknet. Il "ANCHE" e' necessario in quanto il cert viene dato dai soliti, e devi essere autenticabile e pagante "da fuori"Cio' ci porta a una bega collaterale, fastidiosa per FB appunto, e cosi' verra' sanata. FB aveva gia' ottenuto un cert per il suo .onion. Questo e' "normale" perche' le CA consentono di emettere cert per domain o ip non routabili. "sfortunatamente" cio' e' deprecabile da qualche anno e, pare, verra' proibito a fine anno..... quindi senza questo mod, FB avrebbe avuto problemi... :P(lateral rant: ma perche' diamine uno dovrebbe comprare un certificato verificabile su internet per un TLD inesistente (www.azienda.athome ) che ha senso solo in casa tua? Non potresti mettere una CA in casa e/o generare un selfsigned? RISPOSTA : si potrei, ma e' faticoso gestire i client e i miei utenti-bonobo hanno paura ad accettare i selfcert, allora compro della roba che non-ha-senso su internet, per evitare la fatica)Probabilmente cio' generera' anche alcuni strani effetti collaterali "fuori", visto che prima tentare di risolvere un .onion ti veniva sparato un NX DOMAIN... ma ora ..?(il link riportato dice una roba UN BEL PO' vaga : "Now, after the IETF and IANA's decision gets implemented in software products, computers will now ignore Web queries to a .onion domain, and forward users directly to their local Tor software without sending a blind DNS query over the Internet." . vedremo. )-
Re: la spiegazione e' chiara
ah beh si beh...-
Re: la spiegazione e' chiara
- Scritto da: ...
ah beh si beh...problemi di pecorite?
-
-
Re: la spiegazione e' chiara
- Scritto da: bubba
(il link riportato dice una roba UN BEL PO' vaga
: "Now, after the IETF and IANA's decision gets
implemented in software products, computers will
now ignore Web queries to a .onion domain, and
forward users directly to their local Tor
software without sending a blind DNS query over
the Internet." . vedremo.Vedere che? Se stai usando un browser qualunque senza Tor e provi ad accedere ad un dominio .onion sei un XXXXXXXX, se invece stai dentro Tor (per esempio con il TBB) il DNS resolving verrà fatto tramite la rete Tor stessa, come ora, e come documentato nel protocollo e verificabile nel codice sorgente pubblico del TBB. Non vedo problemi.
-
-
Spieghiamioci meglio
Quello che c'è scritto in questo articolo è abbastanza fuorviante e a tratti impreciso.TOR è in sostanza un PROXY a cui si collega il browser e ultimamente è stato integrato nel browser TOR stesso per cui non è più necessario lanciare Vidalia e compagnia.Quando il browser è proxato, ogni richiesta ai DNS passa dal proxy (anche quelle non sulla darknet), altrimenti l'anonimato va a farsi friggere, quindi sono i nodi esterni che fanno le richieste, come è giusto che sia e continuerà ad essere così per fortuna.Per quanto riguarda i domini .ONION poi, questi NON SONO MAI USCITI in nessun modo dalla Darknet, anche perché i DNS normali li ignorano, ma sono gestiti internamente e non ci sono nodi di uscita coinvolti.Se quindi dite che .onion è stato aggiunto ai domini locali è un bene perchè così usando un .onion da un browser "normale" non proxato, il browser rifiuterà la richiesta, invece di inviare al DNS una richiesta che sarebbe rifiutata ma comunque probabilmente registrata.Ma è tutto lì non c'è niente di più di prima riguardo la sicurezza degli utenti che usano propriamente TOR sulla giusta rete.-
Re: Spieghiamioci meglio
- Scritto da: Ingenuo
Quello che c'è scritto in questo articolo è
abbastanza fuorviante e a tratti
impreciso.alfoso copia, traduce e pubblica. la verifica della precisione del testo non fa parte dei suoi compiti (di nessuno in PI, ad essere precisi).
-
-
cioè?
ora si potranno dirottare i domini onion sulla clearnet?E questo sarebbe più sicuro (certificati a parte)? Stessa cosa per localhost: uno mappa le connessioni che non vuole far uscire su localhost, ma questi fanno in modo che un DNS le risolva cosicchè ciò che è privato esce fuori dal PC?Avrò capito male io...-
Re: cioè?
- Scritto da: hhhh
ora si potranno dirottare i domini onion sulla
clearnet?
E questo sarebbe più sicuro (certificati a
parte)?
Stessa cosa per localhost: uno mappa le
connessioni che non vuole far uscire su
localhost, ma questi fanno in modo che un DNS le
risolva cosicchè ciò che è privato esce fuori dal
PC?
Avrò capito male io...A me PARE DI CAPIRE che la cosa serva affinché i browser considerino i domini .onion "speciali" e NON inviino richieste ai server DNS "normali" per la risoluzione di quegli indirizzi. Questo per evitare che la tua navigazione in TOR lasci questo tipo di tracce (richieste di risoluzione DNS) sulla rete "in chiaro".SE ho capito bene... Tieni conto che non so bene come funzioni TOR, non so come venga gestita la risoluzione DNS al suo interno (immagino che ci sia un "client" TOR, che richiamerà dei propri server DNS, ma non lo so)...-
Re: cioè?
- Scritto da: Ciccio... un altro
A me PARE DI CAPIRE che la cosa serva affinché i
browser considerino i domini .onion "speciali" e
NON inviino richieste ai server DNS "normali" per
la risoluzione di quegli indirizzi. mhhhh.. è ragionevole, ma suppongo che i browser distribuiti in bundle con TOR siano già modificati per agire così.Però se fosse come dici ci sta, perché aumenterebbe la sicurezza delle soluzioni intermedie (browser standard non moddato + tor). Mi aspetto comunque un bug in questo giro, che permetterà di far risolvere gli onion al DNS pubblico e sgamare così tutti i navigatori drogati ;)-
Re: cioè?
- Scritto da: hhhh
Mi aspetto comunque un bug in questo giro, che
permetterà di far risolvere gli onion al DNS
pubblico e sgamare così tutti i navigatori
drogati
;)Chi lo sa, forse ad ogni richiesta di acXXXXX ad uno di questi domini speciali, il browser farà partire automaticamente una bella email diretta all'FBI (negli ultimi anni si sente parlare sempre di NSA... fatemi citare la cara vecchia FBI che andava di moda nei telefilm degli anni 90). ^_^-
Re: cioè?
Non è necessaria l'email.Ci pensa il gestore dei certificati SSL a registrare sul proprio server tutte le richieste HTTP e a metterle a disposizione delle autorità. -
Re: cioè?
E mi pare anche giusto che vengano messe a disposizione dell'Autorità. Perchè tu cos'hai da nascondere? -
Re: cioè?
- Scritto da: Fabio Aloisio
E mi pare anche giusto che vengano messe a
disposizione dell'Autorità.in ogni caso non accade così, si usano i certificati locali per validare.Se fosse così facile la sicurezza di TOR sarebbe una barzelletta (che poi per me lo è, ma non in modo così ovvio e spudorato).
Perchè tu cos'hai da nascondere?io niente, infatti vivo in una casa con pareti trasparenti. -
Re: cioè?
- Scritto da: hhhh
- Scritto da: Fabio Aloisio
E mi pare anche giusto che vengano messe a
disposizione dell'Autorità.
in ogni caso non accade così, si usano i
certificati locali per
validare.
Se fosse così facile la sicurezza di TOR sarebbe
una barzelletta (che poi per me lo è, ma non in
modo così ovvio e
spudorato).Allo stato attuale non risulta che il PROTOCOLLO usato da Tor sia mai stato bucato. TUTTI i casi di indagini su Tor (silkroad 1&2, ecc...) si basavano o su utenti che lasciavano attivo javascript, oppure falle nel browser (e non in Tor), oppure ancora errate configurazioni dei webservers su cui girava l'onion service, o ancora le buone vecchie indagini sui trasporti fisici delle merci illegali vendute tramite Tor.Non c'è una sola indagine in cui sia stata documentato l'uso di una falla in Tor in quanto tale. -
Re: cioè?
- Scritto da: Fabio Aloisio
E mi pare anche giusto che vengano messe a
disposizione dell'Autorità.
Perchè tu cos'hai da nascondere?eh no, o ti firmi "nome e cognome", "Voice of Raison" o io a questo gioco non ci sto'! -
Re: cioè?
- Scritto da: Fabio Aloisio
E mi pare anche giusto che vengano messe a
disposizione dell'Autorità.
Perchè tu cos'hai da nascondere?Il classico della serie: "Io non ho nulla da nascondere". Per forza, sei un povero XXXXXXXX! -
Re: cioè?
- Scritto da: Ciccio... un altro
- Scritto da: hhhh
Mi aspetto comunque un bug in questo giro, che
permetterà di far risolvere gli onion al DNS
pubblico e sgamare così tutti i navigatori
drogati
;)
Chi lo sa, forse ad ogni richiesta di acXXXXX ad
uno di questi domini speciali, il browser farà
partire automaticamente una bella email diretta
all'FBI (negli ultimi anni si sente parlare
sempre di NSA... fatemi citare la cara vecchia
FBI che andava di moda nei telefilm degli anni
90).
^_^Acclarato che sia tu, sia il tizio a cui rispondi non avete la più vaga idea di come funzioni il DNS resolving in Tor, forse sarebbe il caso che taceste, no? P.S.: no, non chiedetemi di spiegarvelo, non aiuto il prossimo aggratis. Se vi va leggetevi le specifiche protocollo. -
Re: cioè?
- Scritto da: Gioco a nascondino
Acclarato che sia tu, sia il tizio a cui rispondi
non avete la più vaga idea di come funzioni il
DNS resolving in TorNon c'entra un piffero come funziona il DNS in TOR.L'articolo parla di domini onion (e tanti altri), il fatto che alcuni di questi domini funzionino solo dentro TOR è solo incidentale.
-
-
-
-
