Un backbone marchiato Google

Il BGP non funziona come descritto
vedo diverse imprecisioni in questo articolo

Re: Il BGP non funziona come descritto
può essere ma una cosa è certa una modifica di questaportata non avverrà a mano che gli ISP non siano costrettiergo mai , calcolate solo il ping pong voluto dalla RIIA sulfatto di controllare ogni bit tramite gli ISP !!!!!!!!

Re: Il BGP non funziona come descritto
Premesso c he non ne capisco assolutamente nulla, ma eventualmente passando ad ipv6 si risolverebbe?

Re: Il BGP non funziona come descritto
- Scritto da: Giorgio> Premesso c he non ne capisco assolutamente nulla,> ma eventualmente passando ad ipv6 si> risolverebbe?No, è un problema intrinseco del protocollo BGP. Accetta sempre come vere le comunicazioni sulle metriche.

Re: Il BGP non funziona come descritto
credo di no, perché si tratta di routing fra isp

Re: Il BGP non funziona come descritto
- Scritto da: Giorgio> Premesso c he non ne capisco assolutamente nulla,> ma eventualmente passando ad ipv6 si risolverebbe?Si se nel momento del passaggio si fa un update del protocollo BGP.IPv4->BGPv1 IPv6->BGP-v2

Re: Il BGP non funziona come descritto
> vedo diverse imprecisioni in questo articoloQuali? Mi interessa moltissimo.

Re: Il BGP non funziona come descritto
- Scritto da: Olmo> > vedo diverse imprecisioni in questo articolo> > > Quali? Mi interessa moltissimo.Mi sembra una buona introduzione a BGPhttp://segrinfo.ing.uniroma1.it/ingtlc/data/uploads/241BGP_2007.pdf

Re: Il BGP non funziona come descritto
"Il protocollo in questione serve proprio a questo: informa i suoi vicini o chiunque ne faccia richiesta di quali indirizzi conosce e di quale efficacia abbia nel raggiungerli, lasciando al richiedente la scelta su dove passare.""La scelta avviene unicamente in base alle informazioni fornite, prediligendo il passaggio nei nodi meno affollati: se due sistemi rispondono entrambi di conoscere una strada per raggiungere l'IP desiderato, la scelta cadrà inevitabilmente su quello che dichiarerà un range più ristretto di indirizzi"mentre wikipedia dice:"Si tratta di un protocollo di routing a indicazione di percorso (path vector), che non usa metriche di carattere tecnico ma prende le decisioni di instradamento basandosi su politiche (regole) determinate da ciascuna rete."anche io sapevo infatti che il BGP se ne frega delle prestazioni, ma è un protocollo con regole sue che dipendono da accordi politici ed economici. ditemi se sbaglio

Re: Il BGP non funziona come descritto
- Scritto da: Genio Mancato> "Il protocollo in questione serve proprio a> questo: informa i suoi vicini o chiunque ne> faccia richiesta di quali indirizzi conosce e di> quale efficacia abbia nel raggiungerli, lasciando> al richiedente la scelta su dove> passare."> > "La scelta avviene unicamente in base alle> informazioni fornite, prediligendo il passaggio> nei nodi meno affollati: se due sistemi> rispondono entrambi di conoscere una strada per> raggiungere l'IP desiderato, la scelta cadrà> inevitabilmente su quello che dichiarerà un range> più ristretto di> indirizzi"> > mentre wikipedia dice:> "Si tratta di un protocollo di routing a> indicazione di percorso (path vector), che non> usa metriche di carattere tecnico ma prende le> decisioni di instradamento basandosi su politiche> (regole) determinate da ciascuna> rete."> > > anche io sapevo infatti che il BGP se ne frega> delle prestazioni, ma è un protocollo con regole> sue che dipendono da accordi politici ed> economici. ditemi se> sbaglioLa parola "politica" non intende "accordi politici", ma "politiche determinate da ciascuna rete", ossia "regole determinate da ciascuna rete". Quali sono queste regole?Si prediligono i nodi che hanno range più ristretti di indirizzi e che quindi si presumono con meno traffico, come scritto nell'articolo.

Re: Il BGP non funziona come descritto
no no io intendevo proprio accordi POLITICI-economiciguarda qua: http://www.grid.unina.it/Didattica/RetiDiCalcolatori/inf/slides/RoutingParteTerza.pdfsu BGP:"la selezione del cammino è basata più su aspetti politici ed amministrativi(ad es. non passare attraverso concorrenti) che sul costo (ad es. # di ASattraversati)"

Re: Il BGP non funziona come descritto
- Scritto da: CognomeENom e> - Scritto da: Genio Mancato> > "Il protocollo in questione serve proprio a> > questo: informa i suoi vicini o chiunque ne> > faccia richiesta di quali indirizzi conosce e di> > quale efficacia abbia nel raggiungerli,> lasciando> > al richiedente la scelta su dove> > passare."> > > > "La scelta avviene unicamente in base alle> > informazioni fornite, prediligendo il passaggio> > nei nodi meno affollati: se due sistemi> > rispondono entrambi di conoscere una strada per> > raggiungere l'IP desiderato, la scelta cadrà> > inevitabilmente su quello che dichiarerà un> range> > più ristretto di> > indirizzi"> > > > mentre wikipedia dice:> > "Si tratta di un protocollo di routing a> > indicazione di percorso (path vector), che non> > usa metriche di carattere tecnico ma prende le> > decisioni di instradamento basandosi su> politiche> > (regole) determinate da ciascuna> > rete."> > > > > > anche io sapevo infatti che il BGP se ne frega> > delle prestazioni, ma è un protocollo con regole> > sue che dipendono da accordi politici ed> > economici. ditemi se> > sbaglio> La parola "politica" non intende "accordi> politici", ma "politiche determinate da ciascuna> rete", ossia "regole determinate da ciascuna> rete". Quali sono queste> regole?> Si prediligono i nodi che hanno range più> ristretti di indirizzi e che quindi si presumono> con meno traffico, come scritto> nell'articolo.Non è vero, le politiche sono delle preferenze di selezione che normalmente riguardano i costi di transito (economici, guardo ad esempio quanto mi costa instradare il traffico su un AS piuttosto che su un altro, oppure preferisco altri router BGP appartenenti allo stesso AS) oppure altre motivazioni (non faccio transitare i miei dati per AS di certi paesi, ad esempio). Quello del range di indirizzi e' solo una delle possibili politiche usabili.Ad esempio posso preferire di inoltrare i dati sulle connessioni che hanno maggiore banda.Comunque non vengono usate metriche per stabilire il percorso da usare in quanto queste possono non essere comparabili tra reti diverse.

Si si OK costa....
ma se i produttori di router in tutti questi anni (nei quali il problema era gia' conosciuto) si fossero messi daccordo nell implementare, almeno nei modelli "enterprise", un livello basato su ipsec o un suo subset per certificare il flusso di pacchetti ip tra router... a quest' ora ai provider al massimo sarebbe stato richiesto di aggiornare il firmware giusto per eventuali modifiche/miglioramenti al protocollo e via, almeno per risolvere l' aspetto tecnico, poi per quello politico e' una altro paio di maniche... ma gli ISP sottostanno a leggi che li obbligano a cose talmente assurde... una volta tanto potrebbe essere un motivo piu' serio e condiviso.non mi pare una cosa tanto complicata, onerosa... bastava pensarci prima e fare le cose gradualmente.

Re: Si si OK costa....
> bastava pensarci prima Perché non lo avevi proposto, prima?

Re: Si si OK costa....
- Scritto da: Olmo> > bastava pensarci prima > > Perché non lo avevi proposto, prima? Perche' non e' il mio mestiere ne mipagano per questo ma ci sono persone che sono gia' lautamente remunerate?E soprattutto perche di questo problema ne so solo ora?FORSE eh?-----------------------------------------------------------Modificato dall' autore il 28 agosto 2008 13.14-----------------------------------------------------------

Re: Si si OK costa....
MI COrreggo:In realta' la maggiorparte delle implementazioni di BGP fa' gia' uso di un sistema crittografico basato su MD5

Ma figuriamoci...
...se telecom è disposta a sborsare qualcosa,ci son voluti quasi 10 anni prima che portasse l'adsl in molte parti d'italia e con un servizio pessimo...

Re: Ma figuriamoci...
- Scritto da: Tigerman> ...se telecom è disposta a sborsare qualcosa,ci> son voluti quasi 10 anni prima che portasse> l'adsl in molte parti d'italia e con un servizio> pessimo...Qui il problema è meno dispendioso: basterebbe UN SOFTWARE da installare su al massimo un CENTINAIO di router o poco più. L'investimento in materiale probabilmente non sarebbe superiore a quello di UN APPARATO ADSL.Il problema è piuttosto di tipo organizzativo (ovvero il personale che si deve mettere a fare la modifica su 100 router senza sbagliare comandi) ...

Re: Ma figuriamoci...
Perchè secondo te è un lavoro che fanno a mano?? Guarda che è tutto automatizzato....

Re: Ma figuriamoci...
- Scritto da: SIGLAZY> Qui il problema è meno dispendioso: basterebbe UN> SOFTWARE da installare su al massimo un CENTINAIO> di router o poco più. > un centinaio?lol

Controllare gli utenti è da dilettanti
Giuda ballerino, ma che diavolo state dicendo???Quando io cammino per strada e chiedo informazioni a qualcuno "per andare dove devo andare", quella persona saprà dove sto andando. E allora? Chi se ne frega! Che altro può fare? Mi segue? Bè, tra decine di persone dovrei essere proprio sfigato per beccare un cretino del genere, e se proprio succede vedrò come comportarmi, non mi pare una tragedia. Mi manda nella direzione sbagliata? Oh, beh, questa poi... chiedo a un altro e ho già risolto il problema.Che cos'ho da nascondere? Il problema è che chi ci ha sempre controllati e spera di continuare a farlo in eterno non vuole concorrenti, vuole essere l'unico Grande Fratello possibile, altrimenti si sentirebbe un fratellino qualsiasi, magari un po' spione ma innocuo.Si perchè il problema è proprio il controllo! No, non evitare di farci controllare. Abbiamo l'echelon, basta dare uno schiaffo a un vigile per avere il telefono sotto controllo, le strade sono piene di telecamere (la maggior parte sono visibili, ma generalmente sono anche spente, il problema sono quelle piccolissime, che non vediamo), i chip sottopelle (cercate su Google "Paolo Dorigo"), stanno mettendo gli infami (padron, collaboratori di giustizia) perfino nei condomini di periferia per controllare quello che succede... in uno scenario come questo, che i pochi cervelli non del tutto addormentati riconoscono come apocalittico, noi ci preoccupiamo se qualcuno viene a sapere che sono andato sul Indymedia o su un sito porno. Ma ripeto, chi porcacciazozza se ne strafrega (sto cercando a fatica di evitare la censura) se vado su un sito e qualcuno viene a saperlo!! Sanno dove siamo, dove andiamo, cosa diciamo al telefono quando come perchè e a chi, e qualcuno perde anche solo un insulsissimo secondo della sua vita a pensare "adesso pincopallino.router.fastweb.it sa che ho visto questo sito"???? Ma no, è ridicolo, non ci credo, mi autoconvinco che questo articolo non esiste e, data l'ora, sto semplicemente sognando. Senza offesa per il giornalista, che è indubbiamente una persona intelligente, ma in questo caso non posso proprio trattenermi dal reagire a quello che leggo.****Perchè se invece questo articolo esiste e non sto sognando, chi lo ha scritto sta inconsapevolmente aiutando i Grandi Fratelli, quelli veri, ad essere sempre più grandi, onnipresenti, invisibili. Vogliono dare il certificato di attendibilità non più solo ai siti, ma anche ai router.Ma del resto i certificati li danno alle persone, alle etnie, ai popoli, alle idee, sarebbe proprio da ipocriti non darli ai router. Solo che chi non vuole essere controllato dovrebbe opporsi sempre e comunque.****Controllare gli utenti è da dilettanti, quando si possono controllare le infrastrutture.CONTROLLARNE UNO PER CONTROLLARNE CENTO. Dicendovi che ora sarete liberi dal controllo.Ma per piacere...

Re: Controllare gli utenti è da dilettanti
- Scritto da: Federico Razzoli> Giuda ballerino, ma che diavolo state dicendo???> > Quando io cammino per strada e chiedo> informazioni a qualcuno "per andare dove devo> andare", quella persona saprà dove sto andando. E> allora? Chi se ne frega! Che altro può fare? Mi> segue? Bè, tra decine di persone dovrei essere> proprio sfigato per beccare un cretino del> genere, e se proprio succede vedrò come> comportarmi, non mi pare una tragedia. Mi manda> nella direzione sbagliata? Oh, beh, questa poi...> chiedo a un altro e ho già risolto il> problema.> Il paragone non regge. Hai chiaro il concetto di eavesdropping? Hai chiaro che io potrei mettermi a fare da ponte su comunicazioni di qualsiasi tipo? Se io divento un nodo principale per le richieste di routing, a uel punto i pacchetti passano da me. E quando i pacchetti passano dalle mie parti, io ci posso fare quello che voglio. Per esempio? Corromperli. Prendiamo un caso banale: uso la tecnica descritta, e mi metto a fare da nodo per una buona mole di traffico. Fra tutto il vario traffico trovo, puta caso, il traffico di una banca. Tutte le transazioni degli utenti passano da me. Dici: tanto non ce la fai a decrittarle. Va bene, ma io mi limito a modificare i pacchetti in maniera casuale. Questo sai cosa vuol dire? DOS. E se lo faccio con tutto il traffico che mi passa, ottengo un DDOS.

Re: Controllare gli utenti è da dilettanti
tutto giustissimo ma il ddos e' un'altra cosa.

Re: Controllare gli utenti è da dilettanti
- Scritto da: dante> tutto giustissimo ma il ddos e' un'altra cosa.Se blocco i servizi di da/per più siti/società/quelcheè, per me è un distribuited dos... Si, lo so, magari non è la definizione corretta... però è distribuito lo stesso :D

Re: Controllare gli utenti è da dilettanti
Si, si, ho capito tutto questo. Quello che non capisco è perchè dovrebbe spaventarmi.Ti faccio un altro esempio. Una persona a me molto vicina, per sua sfortuna onesta, ha fatto qualche anno fa un giornale per corrispondenza. Corrispondenza normale, abbonamenti, coupon cartacei da ritagliare, buste, raccomandate, non email. Pagamenti con vaglia postale o carta di credito. Bene, aveva il numero di carta di credito di più di 500 persone, che non si sono preoccupate minimamente di cosa potesse farci lui con questi numeri. Queste persone sono state molto ingenue. Ma in compenso oggi, probabilmente, hanno paura a immettere il loro nome e cognome su Libero o Yahoo.Secondo me c'è qualcosa che non va in questi meccanismi.Tu mi parli di realtà. Bene, io ti dico che tutto questo non ha nulla a che vedere con la realtà, ma solo con la paranoia.Ti faccio un'altra domanda. Tu credi di avermi spaventato dicendomi cosa si può fare controllando un router. Sono cose che, ahimè, sapevo già. Ma ti sei mai chiesto cosa si può fare controllando:- una rete tv- una stazione radio- un sito giudicato credibile- i certificati di attendibilità- un giornale- una rivista- una scuola- un partito- un sindacato- uno studio legale- l'esercitoecc ecc ecc ecc?Non vedo perchè dovremmo preoccuparci dei router. Più esempi concreti mi fai e meno lo capisco.

Re: Controllare gli utenti è da dilettanti
- Scritto da: Federico Razzoli> Giuda ballerino, ma che diavolo state dicendo???> > Quando io cammino per strada e chiedo> informazioni a qualcuno "per andare dove devo> andare", quella persona saprà dove sto andando. E> allora? Chi se ne frega! Che altro può fare?In questo caso, tu chiedi "Scusi, per andare al bancomat più vicino?" e quello ti risponde "Dietro l'angolo" e ti manda in un bancomat FALSO.Sostituisci ora il bancomat falso con:- il sito di e-banking che usi per il tuo conto corrente;- il sito BancoPosta;- il portale delle aste Ebay e quello dei pagamenti PayPal;- ...

Re: Controllare gli utenti è da dilettanti
Ma sei fuori??? E' molto più semplice far saltare un bancomat... soprattutto se si vuole evitare di farsi arrestare...Se decido di fare qualcosa di illegale ricordami di non mettermi mai in società con te :)Scherzi a parte, ti sei mai accorto che fino a oggi siamo stati vittime di tutti gli inganni possibili tranne quelli che vengono paventati sui siti di informatica? :) Siate un po' più paranoici, o almeno più critici, nella realtà, e non abbiate paura dei pixel.

Re: Controllare gli utenti è da dilettanti
- Scritto da: Federico Razzoli> Giuda ballerino, ma che diavolo state dicendo???> > Quando io cammino per strada e chiedo> informazioni a qualcuno "per andare dove devo> andare", quella persona saprà dove sto andando. E> allora? Chi se ne frega! Che altro può fare? Mi> segue? Bè, tra decine di persone dovrei essere> proprio sfigato per beccare un cretino del> genere, e se proprio succede vedrò come> comportarmi, non mi pare una tragedia. Mi manda> nella direzione sbagliata? Oh, beh, questa poi...> chiedo a un altro e ho già risolto il> problema.> > Che cos'ho da nascondere? Il problema è che chi> ci ha sempre controllati e spera di continuare a> farlo in eterno non vuole concorrenti, vuole> essere l'unico Grande Fratello possibile,> altrimenti si sentirebbe un fratellino qualsiasi,> magari un po' spione ma> innocuo.> > Si perchè il problema è proprio il controllo! No,> non evitare di farci controllare. Abbiamo> l'echelon, basta dare uno schiaffo a un vigile> per avere il telefono sotto controllo, le strade> sono piene di telecamere (la maggior parte sono> visibili, ma generalmente sono anche spente, il> problema sono quelle piccolissime, che non> vediamo), i chip sottopelle (cercate su Google> "Paolo Dorigo"), stanno mettendo gli infami> (padron, collaboratori di giustizia) perfino nei> condomini di periferia per controllare quello che> succede... in uno scenario come questo, che i> pochi cervelli non del tutto addormentati> riconoscono come apocalittico, noi ci> preoccupiamo se qualcuno viene a sapere che sono> andato sul Indymedia o su un sito porno. Ma> ripeto, chi porcacciazozza se ne strafrega (sto> cercando a fatica di evitare la censura) se vado> su un sito e qualcuno viene a saperlo!! Sanno> dove siamo, dove andiamo, cosa diciamo al> telefono quando come perchè e a chi, e qualcuno> perde anche solo un insulsissimo secondo della> sua vita a pensare "adesso> pincopallino.router.fastweb.it sa che ho visto> questo sito"???? Ma no, è ridicolo, non ci credo,> mi autoconvinco che questo articolo non esiste e,> data l'ora, sto semplicemente sognando. Senza> offesa per il giornalista, che è indubbiamente> una persona intelligente, ma in questo caso non> posso proprio trattenermi dal reagire a quello> che> leggo.> > ****> Perchè se invece questo articolo esiste e non sto> sognando, chi lo ha scritto sta inconsapevolmente> aiutando i Grandi Fratelli, quelli veri, ad> essere sempre più grandi, onnipresenti,> invisibili. Vogliono dare il certificato di> attendibilità non più solo ai siti, ma anche ai> router.> Ma del resto i certificati li danno alle persone,> alle etnie, ai popoli, alle idee, sarebbe proprio> da ipocriti non darli ai router. Solo che chi non> vuole essere controllato dovrebbe opporsi sempre> e> comunque.> ****> > Controllare gli utenti è da dilettanti, quando si> possono controllare le> infrastrutture.> > CONTROLLARNE UNO PER CONTROLLARNE CENTO.> Dicendovi che ora sarete liberi dal> controllo.> > Ma per piacere...Sei troppo figo quando copi l'esclamazione di Dylan Dog...http://vistabuntu.wordpress.com

Re: Controllare gli utenti è da dilettanti
> Sei troppo figo quando copi l'esclamazione di> Dylan Dog...E tu sei troppo figo quando dimostri che nonsai quotare, dai una risposta che non aggiunge niented'interessante alla discussione e ti fai pubblicita'al blog in sole 3 righe.

Re: Controllare gli utenti è da dilettanti
- Scritto da: dadada> > Sei troppo figo quando copi l'esclamazione di> > Dylan Dog...> > E tu sei troppo figo quando dimostri che non> sai quotare, dai una risposta che non aggiunge> niente> d'interessante alla discussione e ti fai> pubblicita'> al blog in sole 3 righe.Anticipato di 1 minuto azz!

Re: Controllare gli utenti è da dilettanti
[700 righe]- Scritto da: vistabuntu. wordpress. com> Sei troppo figo quando copi l'esclamazione di> Dylan> Dog...E tu sei troppo figo quando quotihttp://www.youtube.com/watch?v=kCscWlOiXd0> http://vistabuntu.wordpress.comE pure quando spammi:p

Re: Controllare gli utenti è da dilettanti
Ehm... quelle erano le uniche due parole a cui non aspettavo risposta...

Re: Controllare gli utenti è da dilettanti
Ecco un altro complottista della domenica che non ha le benchè minime basi tecniche per sapere di cosa si stia parlando e se sia qualcosa di grave o no.Per favore, taci se non sai di cosa parli.

Re: Controllare gli utenti è da dilettanti
- Scritto da: Federico Razzoli[...]> Controllare gli utenti è da dilettanti, quando si> possono controllare le> infrastrutture.> > CONTROLLARNE UNO PER CONTROLLARNE CENTO.> Dicendovi che ora sarete liberi dal> controllo.a parte il resto (la possibilità di attacco "router-in-the-middle" in effetti c'è, con tutto quello che comporta)... mi sa tanto che hai centrato il vero "punto" della questione: la "soluzione" proposta è mooolto peggio del problema e porterebbe solo ad una internet "ufficiale" in cui al controllo sugli utenti si aggiunge in controllo totale della infrastrutturaed è ciò che governi e poteri economici voglionoCondizionamentoControlloCoercizioneciao

Re: Controllare gli utenti è da dilettanti
Siamo d'accordo. Visto che il paragone che ho fatto prima secondo qualcuno non c'entrava, ne faccio un altro.Siccome capita (per fortuna) che chi non ha soldi rubi il portafoglio a chi li ha, le città sono militarizzate. I furti non incidono minimamente sulla qualità della nostra vita (i soliti cretini si astengano dal darmi risposte ovvie: a me il portafoglio l'hanno fregato 3/4 volte, e non ne ho fatto un dramma). Uso il presente perchè, anche se incidessero, la militarizzazione non li ha fatti calare nemmeno... non dico dell'1%, ma di 1 solo. Il problema, una delle cose che ci fa fare una vita di merda, è proprio la militarizzazione.Eliminare la libertà per salvare 20 euro.Eliminare i borseggiatori per fare gli interessi degli oppressori.

Re: Controllare gli utenti è da dilettanti
- Scritto da: Federico Razzoli> Controllare gli utenti è da dilettanti, quando si> possono controllare le infrastrutture.Infatti è proprio questo il problema: la possibilità di controllare una infrastruttura fondamentale della rete. Che avevi capito?

un "falso" problema?
hanno "scoperto" questo problema? ci stanno dicendo che ci hanno pensato un attimo e forse un sistema del genere fa schifo? dopo 30 anni?spionaggio politico e industriale? non hanno certo bisogno di dirottare il traffico per farloil traffico può essere loggato, monitorato, eccetera? perché pensate che governi e mercati non stiano facendo niente per promuovere o imporre l'utilizzo esclusivo di protocolli cifrati su internet? addirittura in alcuni paesi i cittadini e le aziende non sono autorizzati a usare cifratura forte, e alle frontiere i dischi criptati devono essere controllatinoi siamo così condizionati che comunichiamo senza nessuna forma di protezione: email, moduli con i nostri dati, file di tutti i tipi, ci sono avvocati che usano una sola mail in tutto lo studio, a disposizione di segretarie, colleghi, praticanti.. email come virgilio e via andareadesso con il voip moltissimi (oggi in Italia forse la quasi totalità) non sanno che il creatore di pgp ha già realizzato un sistema di cifratura apposito per voip, ma chi lo usa? alzi la manoe pensate che questa nostra ignoranza non faccia "comodo" a qualcuno?

Re: un "falso" problema?
- Scritto da: Jean Valjean> dopo 30 anni?Non hai pensato per 30 secondi prima di scrivere? Se tu considerassi cosa è internet (arpanet) e come è nata e cresciuta, ti accorgeresti che questi problemi erano privi di senso al momento della creazione dei protocolli. > spionaggio politico e industriale? non hanno> certo bisogno di dirottare il traffico per farloNemmeno chi commette altri reati ha bisogno di internet. Indubbiamente però è un grosso aiuto. > noi siamo così condizionati che comunichiamo> senza nessuna forma di protezione: email, moduli> con i nostri dati, file di tutti i tipi, ci sono> avvocati che usano una sola mail in tutto lo> studio, a disposizione di segretarie, colleghi,> praticanti.. email come virgilio e via andareE ci sono quelli che telefonano alla guida completamente ubriachi. E allora? Il comportamento incosciente di qualcuno non ha nulla a che vedere con eventuali complotti macchinati contro tutti.

Re: un "falso" problema?
Quello che, credo, vuole far notare giustamente è che non c'è bisogno di arrivare a dirottare traffico attraverso di BGP poisoning ma che è molto più facile con altri metodi (uno su tutti, ingegneria sociale)

Re: un "falso" problema?
il tuo richiamo all'ingegneria sociale è sobrio, limpido e lodevolela verità, come ci ricordano schneier e attivissimo, due nomi a caso, è che la violazione della sicurezza è un fatto piuttosto banale e che ha poco di romantico, ipertecnologico e via andareed è possibile solo perché la maggior parte di noi è ingenua oppure è ricattabile (la prima deriva dalla seconda)quindi usare un protocollo notoriamente non autenticato (ma ci sono molte email che funzionano come dei cestini dell'immondizia) non dovrebbe essere accettabilee non lo è, ma viene accettatograzie-----------------------------------------------------------Modificato dall' autore il 29 agosto 2008 07.59-----------------------------------------------------------

Re: un "falso" problema?
- Scritto da: www.aleksfalcone.org> - Scritto da: Jean Valjean> > dopo 30 anni?> > Non hai pensato per 30 secondi prima di scrivere?> Se tu considerassi cosa è internet (arpanet) e> come è nata e cresciuta, ti accorgeresti che> questi problemi erano privi di senso al momento> della creazione dei protocolli.> > > > spionaggio politico e industriale? non hanno> > certo bisogno di dirottare il traffico per farlo> > Nemmeno chi commette altri reati ha bisogno di> internet. Indubbiamente però è un grosso aiuto.> > > > noi siamo così condizionati che comunichiamo> > senza nessuna forma di protezione: email, moduli> > con i nostri dati, file di tutti i tipi, ci sono> > avvocati che usano una sola mail in tutto lo> > studio, a disposizione di segretarie, colleghi,> > praticanti.. email come virgilio e via andare> > E ci sono quelli che telefonano alla guida> completamente ubriachi. E allora? Il> comportamento incosciente di qualcuno non ha> nulla a che vedere con eventuali complotti> macchinati contro> tutti.Ragazzo, io ti stimo tantissimo... mi hai levato le parole dalla tastiera :D

Re: un "falso" problema?
ti risponderò quando parlerai con parole tue

Re: un "falso" problema?
ciao, non stavo parlando di teorie del complottoin effetti penso parecchio, forse non nel tuo modorispondo prima all'esempio della guida da ubriachisecondo l'aci ogni anno ci sono circa 5.000 morti e 300.000 feritiquesto viene comunemente accettatosembrerebbe che moltissime famiglie d'italia abbiano un morto a causa della strada nella loro storia recentee anche questo viene ritenuto normale, parte dei comuni rischi della vitasi sentono molte notizie sugli incidenti, ma pochissime sui risultati dei processi per questi incidentiio non so se sia vero, ma l'impressione apparentemente diffusa è quella di una buona quota di impunità (una delle tante, sempre per parlare di impressioni, che sono quelle che mi interessano qui)ma se cade un albero in un viale alberato in una città parte un processo all'amministrazione pubblica, la quale nel frattempo difende strenuamente i suoi dipendenti (se non hanno rubato), spalma le responsabilità e riforma completamente il settorequesto è successo (cronaca) in una città del nord italia, circa una decina di anni fa, ma permettimi una parentesi su questa "riforma": oggi non viene messa in pratica da tutte le circoscrizioni per mancanza di fondi, come minimoma che tipo di riforma è? è una riforma organizzativa, che prende spunto da assunzioni statistiche e di letteratura, che sostanzialmente costruisce un processo alquanto arbitrario per mostrare a un eventuale giudice che è stato fatto tutto quello che si "doveva" e che il morto non c'entra con l'amministrazione pubblicaquesto per dire che sostanzialmente si vuole dare al giudice e al pubblico l'impressione di poter controllare un fenomeno che invece non è controllabile "per natura"questo è tanto più evidente se si pensa che la soluzione è peggio del problema: la principale causa di malattia (in senso lato) per molte specie di alberi è la potatura, ma il piano di sicurezza del comune dice che la soluzione è proprio la potatura programmataper esempio, due specie molto diffuse: il platano soffre del cancro colorato, che si diffonde molto più facilmente con le motoseghe infette e con la dispersione di segatura, e per il quale la cura è obbligatoria e consiste proprio nella demolizione controllata dell'albero (e se non sbaglio anche di quelli vicini) con la raccolta della segatura (ma sfido chiunque a dimostrarmi che non viene dispersa almeno in piccole quantità, se non altro per errori e imprecisioni);l'ippocastano invece (a parte un insetto esotico, oggi controllato) patisce moltissimo le potature, o l'asportazione delle branche ancor di più: questi interventi lo fanno deperire, aumentando il rischio di instabilitànonostante questo è stato fatto notare che il pubblico sostanzialmente accetta (o gli viene fatto accettare) un così alto numero di feriti e morti in autonobile, ma tolleranza zero verso gli alberiin francia (e in altri paesi) è un po' diverso: in molti parchi c'è semplicemente un avviso che dice di non entrare nel parco in caso di vento o pioggia forti (da noi, in moltissimi casi, non c'è)le alberate inoltre sono fatte (almeno nelle zone nuove) secondo criteri come l'impianto di alberi di dimensione maggiore, potature ridotte, rapida sostituzione a rotazione (in alcuni casi ogni 10 anni)sembra un approccio più aderente alla realtà, no?una volta ammesso che vi è in entrambi i casi una quota di fatalità, sembra naturale domandarsi perché si accetta il rischio di un automobile (poco naturale, perché dipende in fortissima misura dall'uomo) e non quello di un albero (più ovvio e naturale, e meno controllabile, ma che comunque dipende moltissimo dalle scelte dell'uomo)l'automobile è oggi (da decenni) un fattore socio economico importante nel nostro paese: sostiene l'industria (che però prende soldi anche dallo stato), alimenta un grande numero e volume di affari, dai servizi, alle riparazioni, alle strade, alle cure per i feriti, alle assicurazionicioè vi sono enormi interessi in gioco (ma non solo nel nostro paese) e chi guida spericolatamente a volte viene visto anche con una punta di divertimento (non sempre, ma succede)non pensi che questi interessi possano aver contribuito all'idea che avere spese enormi (3-4 stipendi all'anno) per correre rischi alti (prodotto coefficiente di rischio x entità del danno)?la mia risposta è sìse si volesse davvero rendere sicura un'automobile, le spese sarebbero molto alte (e infatti lo sono) ma soprattutto le limitazioni sarebbero fortissime, verrebbe assai meno la componente ludica dell'automobile, e probabilmente molte persone non spenderebbero più 70.000 euro per un suv o per un'auto veloce: in austria in alcune zone ci sono batterie di 9 autovelox fissi e ben visibili ogni pochi chilometri, è praticamente impossibile delinquere, e questo in italia non verrebbe accettato, e infatti non si faquesto ci dice semplicemente che non vi è un complotto, ma un progetto politico, e interessi corporativi che guidano le leggi, le opinioni, le scelte, gli indicatori macro-economici (ci tornerò, non è questa la sede)per esempio la famglia agnelli controllava sia il gruppo fiat sia la stampa (uno dei maggiori quotidiani nazionali, almeno allora); in effetti era comune vedere in prima pagina "notizie" come il lancio di un nuovo modello, o "recensioni imparziali" nelle pagine di costume;non solo, la famiglia vantava un senatore a vita, il cui peso, sarai d'accordo con me, sempre per logiche corporative e di conflitti di interessi reciproci, andava ben oltre il suo voto nella sede istituzionalese la gente gestisse meglio il rischio, quindi, vi sarebbero meno auto e meno costose, e meno soldi in giro (ma il pil, come ho già notato altrove qui, non ci rappresenta bene)torniamo a noi, ora: lo spirito di questa pur banale e superficiale riflessione vale anche per l'informatica: quanti interesse si potrebbero intaccare rendendo cosciente le persone dei costi e dei rischi reali dell'uso dell'informatica, ma soprattutto della sua a volte ingiustificata diffusione? chi userebbe il voip? chi comprerebbe su internet? chi lascerebbe i suoi effetti personali su un server di cui non sa nulla, e che pure ogni giorno gli viene proposto? un avvocato lo farebbe ancora? esisterebbe ancora l'informatica se si chiedessero reali garanzie? o almeno, in quale misura? forse nella misura dell'epoca in cui chi usava l'informatica sapeva quello che stava facendo anche perché i mezzi erano meno complessi?ho parlato molto delle automobili (il tema che tu mi hai suggerito) e poco dei computerma tu che probabilmente rifletti tanto prima di scrivere, saprai certamente estendere il mio ragionamento all'informatica, agli interessi collegati e al nuovo interesse che consiste nella possibilità di controllare le persone tramite il prodotto che gli si vendee tu rifletterai la prossima volta prima di accusarmi vanamente?-----------------------------------------------------------Modificato dall' autore il 29 agosto 2008 06.56-----------------------------------------------------------

Banche, carte di credito ecc...
In giro si piange ancora per il pishing, ma questo è assai peggio!Potrebbero mettere su delle home di pagine di servizi finanziari clonate dagli originali attraverso cui dirottare gli utenti, e nessuno si accorgerebbe (tranne a prelievo dal cc eseguito) di nulla!Conviene ai siti sensibili incominciare ad attrezzarsi con chiavi pubbliche/private da distribuire agli utenti dei loro servizi, per certificare "l'originalità" della pagina web e a introdurre sistemi di cifratura più robusti per le password, visto che comunque questo non garantirebbe dalla sorveglianza di terzi il traffico fra utente e banca!

Re: Banche, carte di credito ecc...
Mi spiace ma in questo caso pure la criptazione viene a meno usando attacchi man in the middle.Esempio classico: -Alice manda a Bob la sua chiave pubblica-Bob cripta e manda il messaggio ad Alice-Alice decripta il messaggio con la chiave privata-Bob manda la sua chiave pubblica per la risposta-Alice critpa e manda il messaggio di risposta a Bob-Bob decripta il messaggio con la chiave privataEsempio con man in the middle:-Alice manda a Bob la sua chiave pubblica-Evi intercetta la chiave e la sostituisce con una sua chiave pubblica-Bob cripta e manda il messaggio ad Alice-Evi intercetta il messaggio lo decripta e lo ricripta con la chiave pubblica di Alice-Alice decripta il messaggio con la chiave privata-Bob manda la sua chiave pubblica per la risposta-Evi intercetta la chiave e la sostituisce con una sua chiave pubblica-Alice critpa e manda il messaggio di risposta a Bob-Evi intercetta il messaggio lo decripta e lo ricripta con la chiave pubblica di Bob-Bob decripta il messaggio con la chiave privata

Re: Banche, carte di credito ecc...
Peccato che i certificati debbano essere firmati da una authority e che il tuo Evi probabilmente ne utilizzerà uno autogenerato e autofirmato. I browser di Alice e di Bob non riconoscendo l'authority che ha firmato il certificato avvertiranno l'utente che potrà bloccare la comunicazione.

Re: Banche, carte di credito ecc...
E l'utente su IE7 schiaccherà il pulsante "ok non rompere le scatole" senza neanche leggere cosa c'è scritto

mah..
pensate a quelli che scaricano film o musica se quelli della SIAE facessero una cosa del genere.. :)tutti segati fin dall'inizio..stiamo raggiungendo il limite..o si fa la rivoluzione e lo si porta ad un livello maggiore oppure esploderemmo tutti noi..

Re: mah..
OH MIO DIO !!!L'olocausto è dietro l'angolo...I nostri giorni stanno per finire...MORIREMO TUTTI !!!!!........mah... :

Re: mah..
... tuttavia la razza umana era sopravvissuta.

Re: mah..
- Scritto da: otaku> ... tuttavia la razza umana era sopravvissuta.Come lo creo il personaggio? Nanto o Hokuto? Dubbio esistenziale...

Re: mah..
- Scritto da: Star> OH MIO DIO !!!> > L'olocausto è dietro l'angolo...> I nostri giorni stanno per finire...> > MORIREMO TUTTI !!!!!>E ti dimentichi le 10 piaghe.

Re: mah..
..."esploderemmo" ?!?

Qualcuno un paio di giorni fa...
Qualcuno un paio di giorni fa si meraviglio' del fatto che considerassi TOR poco più che un giocattolo......disse: "si ma tanto a livello di routing non possono far nulla" Allora oggi te lo richiedo: Sicurosicurosicuro? :)PS: ci sono anche parecchi altri metodi, stay tuned

Re: Qualcuno un paio di giorni fa...
Considerare TOR poco più che un giocattolo è da ignoranti. Sicuramente Metadyne non ha alcuna conoscenza della crittografia. Wikipedia potrebbe aiutare. Forse già solo un minimo di conoscenza della matematica basterebbe.Il fatto di base è che TOR non può avere problemi per DNS o BGP alterati in quanto si basa su certificati SSL. Quindi se il nodo contattato non fosse quello realmente richiesto e il traffico venisse rediretto in un qualsiasi modo verso un nodo "fake", quest'ultimo non potrebbe decifrare le informazioni che gli vengono inviate. Inoltre il client TOR non accetterebbe le risposte come veritiere in quanto firmate con un certificato SSL non valido.

Re: Qualcuno un paio di giorni fa...
- Scritto da: Anonimo> Considerare TOR poco più che un giocattolo è da> ignoranti. Sicuramente Metadyne non ha alcuna> conoscenza della crittografia. Wikipedia potrebbe> aiutare. Forse già solo un minimo di conoscenza> della matematica> basterebbe.> > Il fatto di base è che TOR non può avere problemi> per DNS o BGP alterati in quanto si basa su> certificati SSL. Quindi se il nodo contattato non> fosse quello realmente richiesto e il traffico> venisse rediretto in un qualsiasi modo verso un> nodo "fake", quest'ultimo non potrebbe decifrare> le informazioni che gli vengono inviate. Inoltre> il client TOR non accetterebbe le risposte come> veritiere in quanto firmate con un certificato> SSL non> valido.Il fatto è che il nodo è quello richiesto. Se io mi inserisco come nodo con un range ridotto di indirizzi e il tuo traffico passa da me, io sono uno dei nodi che sono stati richiesti. E posso anche solo mettermi a loggare le informazioni. Non sono esperto di tor, ma credo di andare più o meno giusto. E anche se vado sbagliato, rimane i fatto che io posso bloccare il tuo traffico, tor o non tor, perchè se sono il nodo e non posso fare niente altro, ti disintegro i pacchetti, oppure non li facico passare, in ogni caso tu non comunichi con il server. Questo non leva che TOR possa avere la sua utilità, ma non credo che in questo caso possa essere di qualche aiuto se non in maniera collaterale.

Re: Qualcuno un paio di giorni fa...
- Scritto da: Blackstorm> > Il fatto è che il nodo è quello richiesto. Se io> mi inserisco come nodo con un range ridotto di> indirizzi e il tuo traffico passa da me, io sono> uno dei nodi che sono stati richiesti. E posso> anche solo mettermi a loggare le informazioni.> Non sono esperto di tor, ma credo di andare più o> meno giusto. E anche se vado sbagliato, rimane i> fatto che io posso bloccare il tuo traffico, tor> o non tor, perchè se sono il nodo e non posso> fare niente altro, ti disintegro i pacchetti,> oppure non li facico passare, in ogni caso tu non> comunichi con il server. Questo non leva che TOR> possa avere la sua utilità, ma non credo che in> questo caso possa essere di qualche aiuto se non> in maniera> collaterale.Una volta che lo distruggi non succede nulla poichè la richiesta viene inviata a tutti i routers, il tuo traffico poi viene instradato verso quello che fornisce in risposta il minor numero di hop. Indi se non replichi nulla il traffico dell'utente prende semplicemente un'altra strada, considerandoti "dead link".Il problema è se il nodo exploitante riesce a far suo l'instradamento...visto che può farci quello che vuole, ma non solo. Nel momento in cui riesci a far tuo quel traffico il router richiedente tiene in memoria che tu fornisci l'instradamento più rapido per quella determinata direzione...e lo fornirà ad altri in caso gli venga chiesto. Si espande a macchia d'olio...o è una considerazione sbagliata?

Re: Qualcuno un paio di giorni fa...
- Scritto da: Metadyne> Qualcuno un paio di giorni fa si meraviglio' del> fatto che considerassi TOR poco più che un> giocattolo...> ...disse: "si ma tanto a livello di routing> non possono far> nulla" > > Allora oggi te lo richiedo: Sicurosicurosicuro? > :)> > > > > PS: ci sono anche parecchi altri metodi,> stay> tunedUhm... sono curioso... hai qualche link?

Piratiiiii...all'attacco!
E' l'occasione buona per far crollare internet.Almeno dopo l'industria non ci rompe più i maroni!

Re: Piratiiiii...all'attacco!
Bravo, così vieni tagliato fuori dal mondo.Un commento davvero intelligente.

Re: Piratiiiii...all'attacco!
- Scritto da: bravo> Bravo, così vieni tagliato fuori dal mondo.> E non sarò l'unico ma tutti.

Re: Piratiiiii...all'attacco!
- Scritto da: Goblin74> - Scritto da: bravo> > Bravo, così vieni tagliato fuori dal mondo.> > > > E non sarò l'unico ma tutti.La nota positiva è che sarà molto più raro leggere idiozie come le tue.

Re: Piratiiiii...all'attacco!
- Scritto da: Goblin74> E' l'occasione buona per far crollare> internet.Almeno dopo l'industria non ci rompe più> i> maroni!...e poi come li scarichi gratis la musica e i film piratati?

Re: Piratiiiii...all'attacco!
- Scritto da: ndr> ...e poi come li scarichi gratis la musica e i> film> piratati?Io credo che il problema maggiore sarà un'altro...tipo quelli che lavorano ai provider, chi fa gli accessori per internet, le periferiche e a tutto il sistema per la distribuzione degli aggiornamenti dei software e periferiche.Sarà un problema mondiale e finalmente si capirà come internet e il P2P non sono mezzi che si devono sopprimere, limitare, controllare ma sfruttarne le potenzialità di condivisione dei contenuti e informazioni.Prima però è necessario che l'industria dell'intrattenimento se ne renda conto che quello che sta facendo, le leggi che vuole fare saranno un problema che si ritorcerà addosso a lei.E se ne renderanno conto anche i parlamentari europei e i politici che fanno i segugi senza tener conto degli utenti o, come lì chiamano loro, dei "pirati".Non me ne frega un cazzo se dopo non posso più scaricare, anzi sarà una gioia vedere se poi qualcuno compra qualcosa di così limitato come i cd audio, film e software con tutte quelle tecnologie di spionaggio che msdead e faker hanno più volte ripetuto. Vedremo come i lettori mp3 e il mercato che ci gira attorno cosa succederà, i giornali, le riviste e qualunque altra cosa.Vedremo come tutto quanto andrà a rotoli, distrutto, come l'importanza di internet e della sua neutralità sia fondamentale al mondo d'oggi, ritornare a 20 anni fa quando non c'era nulla, all'era preistorica.O i politici e l'industria accettano il P2P e lo legalizzano in un qualche modo, o mandiamo tutto a cagare che è meglio!!Siamo a dei livelli assurdi!Per proteggere i contenuti si deve limitare l'hardware, controllare le connessioni tutti, chiudere i siti dove non esistono neanche dei contenuti ma dei link, se uno ha un mp3 allora è per forza un "pirata", introdursi nelle attività di rete.Beh questo è assurdo e soprattutto, come msdead e faker hanno dimostrato, c'è una ignoranza spaventosa!Io non voglio essere il burattino dell'industria, di politici che non capiscono un tubo di cosa sia un pc e internet, di come funziona, che appena una major urla dolore la colpa è degli utenti, dei provider, di siti che hanno solo e soltanto dei file torrent, mentre invece i pirati veri fottono carte di credito, bucano server, i virus writer creano virus e quando lì scoprono si e no un mesetto di prigione, chi ammazza una persona due giorni in galera e poi è già fuori senza sborsare un ghello.Chi scarica invece 200.000 euro di multa e controllo totale, violazione di sistemi informatici privati, connessioni e accuse senza prove.Se il futuro deve essere il controllo totale, lo spionaggio sulla connessione, dei contenuti e tutto per proteggere delle canzoni, dei filmetti e dei softwarini di merda, allora vaffanculo internet!!O si cambia registro o preferisco che il web muoia e tutti dopo ci renderemo conto di cosa significa la parola "condivisione" ma soprattutto l'importanza di una rete come internet, una rete libera e neutrale!Almeno dopo problema pirateria risolto insieme a molti altri problemi e nessuno può venirmi a rompere i coglioni e ficcanasare su cosa c'è nel mio computer!

Esiste già l'autenticazione
BGP non cripta gli update però li autentica, ovvero tramite un hash md5 si assicura che gli updates arrivino da un determinato peer, altrimenti li scarta. E' sufficiente configurare una password abbastanza robusta per evitare che possa essere scoperta.(conf-r) neighbor [ipAddr|peerG] password [pwd]Inoltre, per quanto ne so esiste un altro metodo per fare in modo che l'attacco non possa essere compiuto da una rete esterna a quella da cui avviene il peering, usando l'opzione ttl-security.In più va considerato che gli utenti che usano questo protocollo hanno altri sistemi di monitoraggio a supporto.Secondo me la notizia è un pò leggerotta. Dov'è una spiegazione tecnica del problema???

Re: Esiste già l'autenticazione
Vero. L'allarme rimbalza qua e la ma con pochi accorgimenti i provider seri lo possono gestire tranquillamente

Re: Esiste già l'autenticazione
intendi che l'ISP riceve un allarme nel caso di variazione relativa ad ogni singolo annuncio? non mi risultaper MArco: ti risulta che nei grandi peering point ad ogni ISP sia imposto di autenticare ogni altro ISP peer?

Re: Esiste già l'autenticazione
Perchè no?

Re: Esiste già l'autenticazione
anche a me non convince

Re: Esiste già l'autenticazione
- Scritto da: MArco> Secondo me la notizia è un pò leggerotta. Dov'è> una spiegazione tecnica del> problema???1. http://blog.wired.com/27bstroke6/2008/08/revealed-the-in.html2. http://blog.wired.com/27bstroke6/2008/08/how-to-intercep.html3. http://blog.wired.com/27bstroke6/files/edited-iphd-2.ppt4. http://www.cs.columbia.edu/~smb/papers/acsac-ipext.pdf (questo e' del 1989 !)piu' altra roba che trovi nei primi due link.Ciao.Gg

Re: Esiste già l'autenticazione
- Scritto da: Giggi Giggi> - Scritto da: MArco> > Secondo me la notizia è un pò leggerotta. Dov'è> > una spiegazione tecnica del> > problema???> > 1.> http://blog.wired.com/27bstroke6/2008/08/revealed-> > 2.> http://blog.wired.com/27bstroke6/2008/08/how-to-in> > 3.> http://blog.wired.com/27bstroke6/files/edited-iphd> > 4.> http://www.cs.columbia.edu/~smb/papers/acsac-ipext> > piu' altra roba che trovi nei primi due link.> > Ciao.> > Ggoh, finalmente qualcuno che ha letto le fonti, prima di dire "e' leggerotta" :)non e' leggerotta, e' teoricamente nota da 20anni (Dio Bellovin!), l'utente casuale col suo peer adsl non puo giocare col bgp -bisogna stare nei posti giusti-, teoricamente e' anche ovviabile come si diceva nel thread (md5) anche se solo in parte, e' complicato non farsi notare (e qui quelli del blackhat hanno affinato le tecniche) ,ecc.

Re: Esiste già l'autenticazione
- Scritto da: bubba> - Scritto da: Giggi Giggi> > - Scritto da: MArco> > > Secondo me la notizia è un pò leggerotta.> Dov'è> > > una spiegazione tecnica del> > > problema???> > > > 1.> >> http://blog.wired.com/27bstroke6/2008/08/revealed-> > > > 2.> >> http://blog.wired.com/27bstroke6/2008/08/how-to-in> > > > 3.> >> http://blog.wired.com/27bstroke6/files/edited-iphd> > > > 4.> >> http://www.cs.columbia.edu/~smb/papers/acsac-ipext> > > > piu' altra roba che trovi nei primi due link.> > > > Ciao.> > > > Gg> oh, finalmente qualcuno che ha letto le fonti,> prima di dire "e' leggerotta"> :)> si', beh, per leggerle le ho lette..> non e' leggerotta, e' teoricamente nota da 20anni> (Dio Bellovin!), l'utente casuale col suo peer> adsl non puo giocare col bgp -bisogna stare nei> posti giusti-, teoricamente e' anche ovviabile> come si diceva nel thread (md5) anche se solo in> parte, e' complicato non farsi notare (e qui> quelli del blackhat hanno affinato le tecniche)> ,ecc...ma mi mancano le basi per una buona comprensione. cerchero' di rimediare :)Gg

Fatemi capire...
Ma .... se dirotto TUTTO il traffico su pochi singoli nodi, questi devono avere una capacità di flusso paurosa!!!!Oltre all'analisi/salvataggio degli stessi.Stiamo parlando di un provider o di Star Trek?????

Re: Fatemi capire...
oh, a me basta regiridere pochi ip: quelli di Bancoposta, San paolo, Paypal, etc etc.....

Re: Fatemi capire...
E poi ovviamente il traffico che si cambierebbe sarebbe quello DNS, non ogni singolo pacchetto.

Re: Fatemi capire...
- Scritto da: fred> oh, a me basta regiridere pochi ip: quelli di> Bancoposta, San paolo, Paypal, etc etc.....Appunto un traffico da paura :)

Questa cosa è nota da tempo
Questa vulnerabilità è più che nota, è stato oggetto di una mia tesina d'esame fatta 1 anno fa, quindi non è che sia proprio segreta.Nella mia tesina feci 2 prove: la prima consisteva nel dirottare tutto il traffico di una rete verso la mia e farlo morire, il secondo (evoluzione del primo) girare tale traffico alla rete di appartenenza, con ovvia possibilità di spiare.Bisogna tener conto che una cosa del genere può essere fatta solamente dai router che sono di proprietà delle società di telecomunicazione. Non penso che una connessione criptata tra tali router risolva il problema. Qui stiamo parlando di agire su cose che sono a basso livello nelle reti e ne coinvolgono la topologia, e la topologia di internet non è banale.La miglior difesa rimane l'attacco, chi non vuole essere spiato, deve usare LUI sistemi di criptazione

non ho capito bene
La falla, in pratica, viene sfruttata facendo credere al richiedente che la strada offerta sia buona o meglio priva di rischi.giusto?A cosa servirebbe richiedere una chiave di autenticazione? Basta che uno dei server usati siano sotto controllo di qualche tipo privo di scrupoli e salta tutto. è impossibile obbligare a dichiarare TUTTI i server esistenti.Ho capito male qualcosa? Ho sparato una bestialità?

Re: non ho capito bene
- Scritto da: lufo88> La falla, in pratica, viene sfruttata facendo> credere al richiedente che la strada offerta sia> buona o meglio priva di> rischi.> giusto?> A cosa servirebbe richiedere una chiave di> autenticazione? Basta che uno dei server usati> siano sotto controllo di qualche tipo privo di> scrupoli e salta tutto. è impossibile obbligare a> dichiarare TUTTI i server> esistenti.> > Ho capito male qualcosa? Ho sparato una> bestialità?Quasi :)Il problema non è nel far credere che la strada sia buona o senza rischi: il punto è che inserendosi, e dichiarando un piccolo range di indirizzi IP si diventa via preferenziale per alcuni percorsi da una macchina all'altra. L'autenticazione non viene mai richiesta, perchè questo protocollo non è nato per richiederla, in quanto suppone automaticamente che i nodi vadano bene. Quindi non si tratta di far credere che la strada sia affidabile, si comunica solo che si ha una strada per quel determinato numero di indirizzi ip.Quanto al problema da te esposto dell'autenticazione, in realtà credo che basterebbero gli ISP, più che i server, anche se non ne sono sicuro.

Vorrà dire che...
Email e traffico importante viaggeranno crittati sulla rete con pgp e ssl, per il resto che spiino pure.Rimane scoperta la possibilità di intercettare traffico email per collezzionare indirizzi da spammare.

Re: Vorrà dire che...
- Scritto da: Pessimismo e Fastidio> Email e traffico importante viaggeranno crittati> sulla rete con pgp e ssl, per il resto che spiino> pure.> Rimane scoperta la possibilità di intercettare> traffico email per collezzionare indirizzi da> spammare.Stai dimenticando il fatto di non far arrivare il traffico.

Un articolo scritto con i piedi?
Mi permetto di commentare alcuni punti (che mi tornano veramente poco) dell'articolo:1) Innanzitutto leggendo l'articolo sembra di capire (almeno personalmente) che "la grave falla" del BGP possa essere utilizzata da chiunque per dirottare il traffico di Internet.Falsissimo, in quanto la debolezza intrinseca del protocollo BGP è ristretta solo agli AS (Autonomous System).Nessun "normale" utente può sognarsi di fare poisoning sulle tabelle di routing dinamiche della rete.Dall'altra parte, tutti gli AS, che, in teoria, dovrebbero essere entri trusted (non sempre vero, vedi caso youtube, http://www.ripe.net/news/study-youtube-hijacking.html) sono registrati al RIPE.Inoltre tutto il traffico BGP ,quindi announcement buoni e cattivi vengono loggati, tant'è che è possibile prendere visione dello storico degli announcement BGP pubblicamente presso il sito del RIPE (http://www.ris.ripe.net/bgplay/)2) Se pure un AS dovesse effettuare dell'hijacking, non ci sarebbe niente di nuovo sotto il sole:Tutti sono a conoscenza del fatto che il traffico IP, transitando dal mittente alla destinazione attraversi numerosissimi hop. Hop nei quali il traffico può essere tranquillamente analizzato, loggato, ecc.Quindi il fatto che del traffico IP venga forzatamente dirottato su un AS anzichè un altro, non costituisce di per se un rischio più grosso della situazione standard (qualsiasi amministratore di rete potrebbe effettuare del logging sui normali punti di passaggio)Per questo motivo da più di 30 anni, qualcuno ha avuto l'accortezza di studiare ed implementare protocolli crittografici (non solo per avere un estetico lucchetto giallo nel browser)... eviterei di spendere altre parole su questo punto.3) "Un attacco del genere, l'ideale per lo spionaggio politico o industriale, sarebbe anche difficile da rilevare, poiché non lascia tracce evidenti sul suo cammino a meno che non ci si cimenti in grossolani tentativi di catturare enormi moli di traffico." - Come detto sopra, le industrie utilizzano da decenni soluzioni basate sulla crittografia (mai sentito parlare di VPN?)Attacchi di questo genere NON sono assolutamente difficili da rilevare in quanto (come già detto) tutti gli announcement degli AS vengono registrati (ed è molto facile controllare se da un momento all'altro un AS ha "coperto" un pool di indirizzi che fino al momento prima veniva annunciato da un altro AS)4) "La soluzione più ovvia, l'unica possibile, sarebbe trasformare il dialogo tra i diversi server da libero a soggetto ad autorizzazione." - La soluzione non è unica, ma, da molto tempo, sono disponibili diverse soluzioni... alcune già provate ed affidabili (vedi IPSEC) altre in via di studio (vedi IPv6 che, tra le tante novità, ispirandosi al lavoro fatto su IPSec, consente di adottare crittografia end to end direttamente a layer 3)5) "Il problema però, spiegano gli esperti, è duplice. Da un lato se anche soltanto un ISP dovesse rifiutare di collaborare, automaticamente l'intero apparato risulterebbe inutile..." - Come riportato nell'introduzione di qualsiasi testo di crittografia da scuole superiori da 10 anni a questa parte, non sono gli ISP che devono adottare soluzioni crittografiche, ma la crittografia deve riguardare gli endpoint più estremi, ovvero l'utente che fa la richiesta e il server che la riceve.Solo in questo caso l'utente può avere la sicurezza che nessuno che intercetti il traffico in un punto di passaggio possa risalirne al contenuto.Se, viceversa, la crittografia fosse affidata agli ISP, saremmo punto e a capo (chi ci garantirebbe che l'amministratore di sistema del proprio ISP non divulghi/disperda le proprie chiavi utilizzate o che non effettui lui stesso del logging?)Inoltre, lungi dal voler racchiudere il funzionamento di BGP in 4 righe, ci sono inoltre diverse inesattezze tecniche nell'articolo:6) ..."il server DNS traduce quella stringa in un numero, e i router degli ISP iniziano a cercare la strada migliore per raggiungere quella destinazione" -Falso: Se così fosse (cioè che i router cercassero la strada migliore ad ogni richiesta) internet avrebbe dei lag pazzeschi.7) "Il protocollo in questione serve proprio a questo: informa i suoi vicini o chiunque ne faccia richiesta di quali indirizzi conosce e di quale efficacia abbia nel raggiungerli, lasciando al richiedente la scelta su dove passare." -L'EBGP (BGP tra AS) NON informa "chiunque ne faccia richiesta" ma effettua un update solo tra i vicini.-Non è assolutamente il richiedente che sceglie dove passare. Ogni router a fronte di un forwarding sceglie il prossimo peer (tra quelli vicini) in base alla "mappa della rete" che si è costruita tramite scambi BGPPerdonate l'insolenza, ma questa sembra tanto l'ennesima notizia riciclata, scritta con i piedi e pompata per fare scena e fomentare inutili crisi di panico.Nella speranza di dar luogo a critiche costruttive e non a sterili ed inutili flame,Primiano Tuccihttp://www.primianotucci.com/

Re: Un articolo scritto con i piedi?
La "penna" di questo pezzo non è nuova a prestazioni di questo tipo...ma evidentemente alla redazione va bene così.E' da tanto che lo dico... "PI" non è più quello di una volta, rovinato da articoli come questo e da altri ben più insulsi e inutili.Forse, invece di percorrere la strategia dell'avere numeri grossi di notizie, sarebbe meglio percorrere quella di averne meno ma più interessati, corrette e, soprattutto, originali...-----------------------------------------------------------Modificato dall' autore il 28 agosto 2008 11.03-----------------------------------------------------------

Re: Un articolo scritto con i piedi?
grazie delle delucidazioni, molto gradite... :)

Re: Un articolo scritto con i piedi?
Quando vedo cose scritte così bene da un mio quasi coetaneo (io 1984) che ha studiato informatica (io però mi sono fermato al 3° anno) mi rendo conto di quanto sono ignorante pur lavorando nel campoComplimenti davvero!..e grazie

Re: Un articolo scritto con i piedi?
C'è anche chi si specializza nel ramo Reti, anche io lavoro nel campo e sono prossimo alla laurea (informatica), e pur sapendo di cosa si parla (e pur avendo capito tutte le spiegazioni) non avrei saputo fare un analisi cosi approfondita. Quindi anche da parte mia tanti complimenti, sei anche più giovane di me azz ti invidio un pochino ;)

Re: Un articolo scritto con i piedi?
Moolto interessanteComplimenti!

Re: Un articolo scritto con i piedi?
Grande.

Re: Un articolo scritto con i piedi?
Complimenti davvero.E' triste constatare il basso livello dell'articolo. Se su questa problematica, che conosco, mi sono reso conto anche grazie al tuo eccellente commento delle inesattezze, immagino quali corbellerie ci siano negli articoli su argomenti a me meno noti.Mi sa che è arrivato il momento di eliminare PI dai bookmarks giornalieri...

Re: Un articolo scritto con i piedi?
Gentile lettore,Grazie per le precisazioni.Ho tentato di descrivere il funzionamento di questi meccanisimi, tutto sommato complessi, rendendoli il più possibile comprensibili.Se non avessi avuto ancora occasione di farlo, ti invito a leggere il documento rilasciato dai due esperti in questione durante l'ultimo defcon: nel loro caso, è stato proposto un metodo per superare appunto le limitazioni da te descritte nello sfruttamente del protocollo BGP.Ciò detto, naturalmente esistono già best practice consigliabili in questo settore: ciò non toglie che, cogliendo l'occasione, migliorare l'infrastruttura della rete e riammodernarla non sia un obiettivo disprezzabile.Un saluto,Luca

Re: Un articolo scritto con i piedi?
Gentile Luca,speravo in una tua replica, speravo che controbattessi o che concordassi con Tucci punto per punto. O al limite che sollevassi dei dubbi: a volte la verità sta un po' qui ed un po' là. Continuo a sperare in un prossimo articolo.Per ora resto molto deluso.Ciao.PS: Grazie Tucci per il mirabile esempio di competenza e dialettica. Chissa se PI ti proporrà una collaborazione...

Re: Un articolo scritto con i piedi?
Gentile Giulio,A chi farebbe comodo una polemica?Evidentemente, e questo sarà vero in molti altri casi, c'è chi di certe cose ne può sapere più di me e di molti altri.Se il mio articolo pecca di precisione, è giusto che un esperto puntualizzi.Resto convinto di aver spiegato dignitosamente la questione, e spero che la lettura di questo brano possa aiutare a chi di sicurezza e protocolli non sa nulla ad interessarsi in futuro a questo argomento.Se poi la faccenda dovesse travalicare la questione puramente espressiva, se dovessi realmente aver preso lucciole per lanterne - cosa pur sempre possibile poiché nessuno è perfetto, allora ben vengano le puntualizzazioni.D'altra parte, che cosa sarebbe un sito come PI senza i suoi lettori? Sarebbe un sito vuoto. E senza questo tipo di critiche non sentirei neppure lo stimolo ad "alzare l'asticella al prossimo salto". Vorrà dire che, la prossima volta, cercherò di essere più preciso nelle descrizioni. Buon pro mi faccia.Un saluto,Luca

Re: Un articolo scritto con i piedi?
dammi retta, lascia perdere l'informatica e buttati su qualcosa che ti sia piu' congeniale, tipo la cronaca rosa

Re: Un articolo scritto con i piedi?
> rendendoli il più possibile> comprensibili...e perseverando nell'infelice tendenza di trasformare PI da quotidiano tecnico a quotidiano quasi-informatico superficiale.Perché non accetate il fatto che chi si interessa di informatica abbastanza da seguire quotidianamente PI fino a leggere un articolo su un protocollo abbia probabilmente l'intenzione di avere informazione tecnica? Probabilmente i vostri lettori più affezionati sono sistemisti e sviluppatori.Personalmente, credo che se perdeste meno tempo a coniare parole come "nanocosi", "stuccare le falle", "pacco" per Service Pack e vi occupaste più di contenuti, ne guadagneremmo tutti.L'unica cosa veramente stupenda di PI, quando vuole mantenere leggero il tono, è la vignetta di Luca Schiavoni (che è un maledetto genio).Approfondimento, questo dovrebbe essere il vostro dictat.Invece, sembra facciate a gara con la rubrica Teconologie di Repubblica.it.Dai, è una provocazione: può essere esagerata, ma è sincera.

Re: Un articolo scritto con i piedi?
- Scritto da: Primiano Tucci> Mi permetto di commentare alcuni punti (che mi> tornano veramente poco)> dell'articolo:> > 1) Innanzitutto leggendo l'articolo sembra di> capire (almeno personalmente) che "la grave> falla" del BGP possa essere utilizzata da> chiunque per dirottare il traffico di> Internet.> Falsissimo, in quanto la debolezza intrinseca del> protocollo BGP è ristretta solo agli AS> (Autonomous> System).> Nessun "normale" utente può sognarsi di fare> poisoning sulle tabelle di routing dinamiche> della> rete.> Dall'altra parte, tutti gli AS, che, in teoria,> dovrebbero essere entri trusted (non sempre vero,> vedi caso youtube,> http://www.ripe.net/news/study-youtube-hijacking.h> Inoltre tutto il traffico BGP ,quindi> announcement buoni e cattivi vengono loggati,> tant'è che è possibile prendere visione dello> storico degli announcement BGP pubblicamente> presso il sito del RIPE> (http://www.ris.ripe.net/bgplay/)> > 2) Se pure un AS dovesse effettuare> dell'hijacking, non ci sarebbe niente di nuovo> sotto il> sole:> Tutti sono a conoscenza del fatto che il traffico> IP, transitando dal mittente alla destinazione> attraversi numerosissimi hop. Hop nei quali il> traffico può essere tranquillamente analizzato,> loggato,> ecc.> Quindi il fatto che del traffico IP venga> forzatamente dirottato su un AS anzichè un altro,> non costituisce di per se un rischio più grosso> della situazione standard (qualsiasi> amministratore di rete potrebbe effettuare del> logging sui normali punti di> passaggio)> Per questo motivo da più di 30 anni, qualcuno ha> avuto l'accortezza di studiare ed implementare> protocolli crittografici (non solo per avere un> estetico lucchetto giallo nel browser)...> eviterei di spendere altre parole su questo> punto.> > 3) "Un attacco del genere, l'ideale per lo> spionaggio politico o industriale, sarebbe anche> difficile da rilevare, poiché non lascia tracce> evidenti sul suo cammino a meno che non ci si> cimenti in grossolani tentativi di catturare> enormi moli di> traffico." > > - Come detto sopra, le industrie utilizzano da> decenni soluzioni basate sulla crittografia (mai> sentito parlare di> VPN?)> Attacchi di questo genere NON sono assolutamente> difficili da rilevare in quanto (come già detto)> tutti gli announcement degli AS vengono> registrati (ed è molto facile controllare se da> un momento all'altro un AS ha "coperto" un pool> di indirizzi che fino al momento prima veniva> annunciato da un altro> AS)> > 4) "La soluzione più ovvia, l'unica possibile,> sarebbe trasformare il dialogo tra i diversi> server da libero a soggetto ad> autorizzazione." > > - La soluzione non è unica, ma, da molto tempo,> sono disponibili diverse soluzioni... alcune già> provate ed affidabili (vedi IPSEC) altre in via> di studio (vedi IPv6 che, tra le tante novità,> ispirandosi al lavoro fatto su IPSec, consente di> adottare crittografia end to end direttamente a> layer> 3)> > 5) "Il problema però, spiegano gli esperti, è> duplice. Da un lato se anche soltanto un ISP> dovesse rifiutare di collaborare, automaticamente> l'intero> > apparato risulterebbe inutile..." > > - Come riportato nell'introduzione di qualsiasi> testo di crittografia da scuole superiori da 10> anni a questa parte, non sono gli ISP che devono> adottare soluzioni crittografiche, ma la> crittografia deve riguardare gli endpoint più> estremi, ovvero l'utente che fa la richiesta e il> server che la> riceve.> Solo in questo caso l'utente può avere la> sicurezza che nessuno che intercetti il traffico> in un punto di passaggio possa risalirne al> contenuto.> Se, viceversa, la crittografia fosse affidata> agli ISP, saremmo punto e a capo (chi ci> garantirebbe che l'amministratore di sistema del> proprio ISP non divulghi/disperda le proprie> chiavi utilizzate o che non effettui lui stesso> del> logging?)> > Inoltre, lungi dal voler racchiudere il> funzionamento di BGP in 4 righe, ci sono inoltre> diverse inesattezze tecniche> nell'articolo:> > 6) ..."il server DNS traduce quella stringa in> un numero, e i router degli ISP iniziano a> cercare la strada migliore per raggiungere> quella> destinazione" > > -Falso: Se così fosse (cioè che i router> cercassero la strada migliore ad ogni richiesta)> internet avrebbe dei lag> pazzeschi.> > 7) "Il protocollo in questione serve proprio a> questo: informa i suoi vicini o chiunque ne> faccia richiesta di quali indirizzi conosce e di> quale efficacia abbia nel raggiungerli, lasciando> al richiedente la scelta su dove> passare." > > -L'EBGP (BGP tra AS) NON informa "chiunque ne> faccia richiesta" ma effettua un update solo tra> i> vicini.> -Non è assolutamente il richiedente che sceglie> dove passare. Ogni router a fronte di un> forwarding sceglie il prossimo peer (tra quelli> vicini) in base alla "mappa della rete" che si è> costruita tramite scambi> BGP> > Perdonate l'insolenza, ma questa sembra tanto> l'ennesima notizia riciclata, scritta con i piedi> e pompata per fare scena e fomentare inutili> crisi di> panico.> Nella speranza di dar luogo a critiche> costruttive e non a sterili ed inutili> flame,> > Primiano Tucci> http://www.primianotucci.com/Complimenti sentivo anche io leggendo che c'era qualcosa che non andava..sopratutto quando ho letto..."i router scelgono la strada migliore.." haha..sai che lag..complimenti per la spiegazione approfondita.

Re: Un articolo scritto con i piedi?
Una piccola aggiunta: non si quotano 5000 righe per aggiungere "sono d'accordo"

Re: Un articolo scritto con i piedi?
Complimenti, sei il re del quoting

Re: Un articolo scritto con i piedi?
> tutti gli announcement degli AS vengono> registrati (ed è molto facile controllare se da> un momento all'altro un AS ha "coperto" un pool> di indirizzi che fino al momento prima veniva> annunciato da un altro> AS)Non sono d'accordo, gli ISP normalmente hanno tool di bandwidth management per cui possono accorgersi di brushi cali/aumenti del traffico instradato, ma non hanno allarmi con la granularità dell'annuncio degli IP assegnati alla singola società. A posteriori si può indagare e verificare il fenomeno, ma ormai il traffico è stato instradato altrove. > - La soluzione non è unica, ma, da molto tempo,> sono disponibili diverse soluzioni... alcune già> provate ed affidabili (vedi IPSEC) altre in via> di studio (vedi IPv6 che, tra le tante novità,> ispirandosi al lavoro fatto su IPSec, consente di> adottare crittografia end to end direttamente a> layer> 3)La protezione degli annunci di routing va infatti a favore degli ISP, limitando la capacità di un ISP malevolo di danneggiare i propri clienti e la propria rete. In questo senso può essere utile.Per l'utente finale un ISP è sempre untrusted, ma il servizio di connettività deve garantirgli almeno un routing il più possibile stabile.Per il resto concordo con le tue osservazioni, stavolta Annunziata mi ha deluso..°sleek°

Re: Un articolo scritto con i piedi?
per la prima volta nella mia vita di lettore di PI devo dar ragione a chi critica....

Re: Un articolo scritto con i piedi?
- Scritto da: Primiano Tucci> Mi permetto di commentare alcuni punti [...]complimenti, ottimo commento> Perdonate l'insolenza, ma questa sembra tanto> l'ennesima notizia riciclata, scritta con i piedi> e pompata per fare scena e fomentare inutili> crisi di> panico.già... l'ennesima notizia per fomentare UTILI crisi di panico allo scopo finale di controllare anche l'infrastruttura per arrivare alla fine al controllo totale della rete...

Re: Un articolo scritto con i piedi?
Complimenti Primiano, sei stato molto preciso, puntuale e chiaro nell'esposizione.Grazie.-- Luca

Ma usare la crittografia no eh?
Su internet viene utilizzato un protocollo standard di criptazione chiamato SSL, che viene utilizzato ad esempio per tutti gli url web https (connessione sicura, col lucchetto chiuso).Con questo protocollo se il server contattato non è quello realmente richiesto dal client e il traffico viene redirezionato in qualsiasi modo verso un server "fake", il client avverte l'utente che il certificato proposto dal server "fake" non è valido e la connessione viene immediatamente terminata.

Re: Ma usare la crittografia no eh?
- Scritto da: Anonimo> Su internet viene utilizzato un protocollo> standard di criptazione chiamato SSL, che viene> utilizzato ad esempio per tutti gli url web https> (connessione sicura, col lucchetto> chiuso).> > Con questo protocollo se il server contattato non> è quello realmente richiesto dal client e il> traffico viene redirezionato in qualsiasi modo> verso un server "fake", il client avverte> l'utente che il certificato proposto dal server> "fake" non è valido e la connessione viene> immediatamente> terminata.E' proprio per evitare questo tipo di problemi (man in the middle) che vengono usati i protocolli ad alto livello a cui ti riferisci. I sistemi "critici", insomma, volente o nolente sono già protetti dagli effetti realmente dannosi di questo tipo di attacchi.Questo "difetto architetturale" in realtà è un falso problema e la dimostrazione sta nel fatto che è conosciuto da moltissimo tempo e finora mai nessuno si è posto il problema di come risolverlo.

Complimenti a tutti.
COmplimenti a tutti, però credo che quando si affrontino questi argomenti, noi "tecnici" o appassionati, non dovremmo scannarci così, ma proporre questi argomenti a chi realmente comanda!Complimenti da parte mia ad entrambi...Chi ha sollevato il problema.Chi ha risposto.Paolo.

Complimenti a tutti!
COmplimenti a tutti, però credo che quando si affrontino questi argomenti, noi "tecnici" o appassionati, non dovremmo scannarci così, ma proporre questi argomenti a chi realmente comanda!Complimenti da parte mia ad entrambi...Chi ha sollevato il problema.Chi ha risposto.Paolo.

ma mi sembra
mi sembra un modo per incutere paure generali e iniziare a far spendere alla gente in fantomatici software sulla sicurezza. Il problema della sicurezza, per come la vedo io,si trova tra la tastiera e la seggiola :Da presto

Re: ma mi sembra
- Scritto da: emanuele[...]> Il problema della> sicurezza, per come la vedo io,si trova tra la> tastiera e la seggiolaehehehhhh... forse non sta tutto lì... ma ci manca molto poco ,-)ciao

Re: ma mi sembra
- Scritto da: emanuele> mi sembra un modo per incutere paure generali e> iniziare a far spendere alla gente in fantomatici> software sulla sicurezza. Il problema della> sicurezza, per come la vedo io,si trova tra la> tastiera e la seggiola> :DVediamo... C'era un SO in cui i virus entravano senza neanche un utente loggato, mi sembra che si chiamassero Blaste, Sasser, roba cosi'.Poi c'e quell'altro SO che se scarichi le email ti si infetta e non devi neanche leggere la mail per infettarti perche' il mailer non si fa i fatti suoi...Insomma togli sia l'utente che Windows e siamo quasi a posto.> a presto

Re: ma mi sembra
- Scritto da: krane> - Scritto da: emanuele> > mi sembra un modo per incutere paure generali e> > iniziare a far spendere alla gente in> fantomatici> > software sulla sicurezza. Il problema della> > sicurezza, per come la vedo io,si trova tra la> > tastiera e la seggiola> > :D> > Vediamo... C'era un SO in cui i virus entravano> senza neanche un utente loggato, mi sembra che si> chiamassero Blaste, Sasser, roba> cosi'.> Poi c'e quell'altro SO che se scarichi le email> ti si infetta e non devi neanche leggere la mail> per infettarti perche' il mailer non si fa i> fatti> suoi...> > Insomma togli sia l'utente che Windows e siamo> quasi a> posto.> > > a prestoehehehh...ma è pur sempre l'utente che compra o installa windows...per cui alla fine sempre lì torniamo, no? all'utente...;-)

Secure Sockets Layer
L'unica soluzione utile.......

Re: Secure Sockets Layer
esatto.la rete rimarrà sempre inaffidabile com'è, e sarà sempre compito degli host rimediare ai suoi problemi, è questa la filosofia di internet dopotutto.

Interessante esempio di reinstradamento
guardate questo:http://www.ripe.net/news/study-youtube-hijacking.htmlPakistan Telekom annuncia gli IP di youtube e per 2 ore tutto il mondo chiede www.youtube.com a Pakistan Telekom!Infine: "Currently the RIPE community is discussing the introduction of digital certificates for Internet number resources. These certificates are intended to provide a tool to further enhance routing configuration throughout the Internet."°sleek°

Re: Interessante esempio di reinstradamento
- YouTube announces 5 prefixes:A /19, /20, /22, and two /24sThe /22 is 208.65.152.0/22- Pakistans government decides to block YouTube- Pakistan Telecom internally nails up a more specific route (208.65.153.0/24) out of YouTubes /22 to null0 (the routers discard interface)- - - Somehow redists from static -> bgp, then to PCCW !!!!!!! - - -- Upstream provider sends routes to everyone else - Most of the net now goes to Pakistan for YouTube, gets nothing!- YouTube responds by announcing both the /24 and two more specific /25s, with partial success- PCCW turns off Pakistan Telecom peering two hours later3 to 5 minutes afterward, global bgp table is clean againAlso check on:"A Study of Prefix Hijacking and Interception in the Internet"

Info e approfondimenti
E' tutto interessante e decisamente più tecnico dell'ultima falla sul DNS.Ho raccolto delle informazioni e approfondito alcuni aspetti.Se volete dare un'occhiata lo trovate qui: http://www.armandoleotta.it/blog/Altra-falla-su-internet.htmlSpero possa essere utile a tutti.Just my 2 cents,A.

Re: Info e approfondimenti
ciao, grazie mille, io non sono un tecnico e non posso capire gli aspetti tecnicicapisco solo gli aspetti di principio e di buon sensoma ho salvato la pagina che ci indichi e spero di poterla valorizzare in futuroin ogni caso un'ottima iniziativa la tua

Re: Info e approfondimenti
Ti ringrazio.Se un non tecnico ha gradito vuol dire che gli sforzi di evitare eccessivi tecnicismi sono serviti.E' un bel risultato.A presto, qui, via mail o sul blog indicato.Saluti,A.

attacchi statistici
Un modo abbastanza particolare per ottenere una chiave di criptazione anche piuttosto complessa richiede di avere una grossa mole di dati criptati, quindi si cerca di conoscere almeno una parte del contenuto con mezzi diversi.Con questa tecnica risulta molto più veloce decriptare i dati in transito (e generarne nuovi).Ora se riesci a metterti in mezzo alle comunicazioni di una banca con i suoi clienti ...http://findarticles.com/p/articles/mi_qa3926/is_200210/ai_n9129486

Re: attacchi statistici
- Scritto da: vivo> Un modo abbastanza particolare per ottenere una> chiave di criptazione anche piuttosto complessa> richiede di avere una grossa mole di dati> criptati, quindi si cerca di conoscere almeno una> parte del contenuto con mezzi> diversi.> > Con questa tecnica risulta molto più veloce> decriptare i dati in transito (e generarne> nuovi).> > Ora se riesci a metterti in mezzo alle> comunicazioni di una banca con i suoi clienti> ...> > http://findarticles.com/p/articles/mi_qa3926/is_20Questo tipo di attacco statistico non è una novita nella crittanalisi, tuttavia bisogna capire quanto sia grande questa mole di dati.Per fortuna, la mole di dati tipicamente è talmente grande da essere pressochè ingestibile e anche se pensiamo che al giorno d'oggi le memorie di massa sono enormi, rimangono di diversi ordini di grandezza più lente delle memorie volatili... che sono di fatto le uniche a permettere un uso "pieno" del processore.In definitiva, quindi, non mi preoccuperei di questa tecnica di crittanalisi. Esistono diverse misure per azzerare questo rischio.

Secondo me
@Parolaro... non è del tutto vero quello che dici, o meglio se ci pensi è stato spiegato così per dare modo a tutti di comprendere.Un mio parere:Il costo non sarebbe molto sostenibile, in quanto non è una cosa da poco introdurre un sistema di crittografia, quindi tutto si riperquoterebbe in mdo negativo sugli utenti finali. Ma prima poi sono convinto che un qualcosa del genere dovrà per forza di cose essere attivata anche se in modi differenti.Complimenti per l'articolo

e dagli con "criptata"
si dice cifrata!!!

Quante persone?
Credo che i problemi come questo e quello dei DNS, non siano poi così semplici da sfruttare. Per riuscire a creare un exploit bisogna fare molta fatica, per non parlare di una conoscenza di base di internet moooooooolto ampia.Quindi: Nel mondo quante sono le persone che veramente possono sfruttare questi tipi di bug creandosi un exploit da soli e non scaricandolo di soliti siti? Sono relativamente poche o un ingegnere informatico (da 100 e lode, specializzato in sicurezza delle reti), puo sfruttare questa falla?

Non è tanto grave (non lo sarebbe se...)
conosco un pochettino il BGP...e il problema non è grave, o meglio: non dovrebbe esserci proprio...[a parte il fatto che è possibile autenticare i messaggi BGP che vengono scambiati... quindi SOLO se si ha il controllo degli Autonomous System è possibile "spedirli"]il BGP permette di fare il routing tra diversi Autonomous System, e permette all'admin di scegliere delle POLITICHE con cui farlo...è chiaro che se dici "usa il percorso migliore" e te ne freghi del resto, forse ti ingannano, ma dimentichiamo che (si spera) gli admin degli AS non siano totalmente scemi... e non permettano cambi di rotte immediate, e soprattutto alla c. di cane...inoltre: i router di bordo-AS sono collegati DIRETTAMENTE ad altri AS BEN CONOSCIUTI, e (si spera) rispettati...non solo: le policy che governano l'instradamento sono abbastanza flessibili, e vengono scambiati dei veri e propri path-vector (una specie di traceroute intra-AS)queste rotte si possono controllare abbastanza facilmente aprendo una nuova sessione con il BGP-speaker di ogni altro AS nel "cammino da percorrere", e vedere se le info offerte da quello "ciarliero" sono vere...insomma, un "medio" admin queste cose le dovrebbe sapere (e fare).il vero problema semmai sono i "right-click-administrator", e (visto che ce ne sono parecchi) forse è davvero il caso di preoccuparci...se siete interessati, qui trovate una buona spiegazione, neanche troppo dettagliata...http://www.ing.unibs.it/~salga/didattica/reti-b/docs/2008-reti-b-2d-egrp.pdf

Incredibile castoneria
Non ho parole, credo che chi scrive su un argomento specifico debba avere un minimo di conoscenze tecniche, o perlomeno verificare fonti e notizie con l'assistenza di un "esperto". In realtà chiunque abbia sentito parlare anche solo vagamente di BGP non può che rimanere scandalizzato di fronte alla superficialità della notizia, che rasenta veramente il ridicolo. Avevo già diradato le visite al portale, dando uno sguardo veloce a giorni alterni e leggendo una o due notizie veramente degne di menzione. Ora le cesserò del tutto, non vale il tempo impiegato. Per non parlare del tenore medio dei commenti dei lettori, anch'esso veramente triste. A mio parere PI si è trasformato in un paio d'anni da pubblicazione online degna di menzione (nell'ISP in cui lavoro lo seguono un paio di persone "in alto") a robetta alla stregua di riviste cartacee come Focus, senza offesa.Grazie per l'ottimo servizio gratuito reso in questi anni. Visto che non ho mai pagato un centesimo esso ho poco da recriminare se avete scelto un diversa linea editoriale :)Un (ex) fedele lettore.PS: un riferimento a caso:http://www.ietf.org/rfc/rfc2385.txt

Costi e fattibilità exploit...
Qualcuno ha pensato alla fattibilità di qualcosa di simile?I provider utilizzano sicuramente degli apparati di fascia alta per le architetture di POP e che siano Juniper, o Cisco i costi vanno ben oltre i 10000 dollari.Ammesso che qualcuno decida di investire una tale cifra per effettuare un exploit di questo tipo avrebbe necessità di inserirsi nel sistema sostituendosi ad uno degli hop e per fare questo dovrebbe conoscere la configurazione precisa dell'apparato in questione, e la relativa attestazione del cablaggio.Nonostante questo la sostituzione verrebbe vista dai sistemi di monitoring sicuramente utilizzati dagli ISP e questo indurrebbe gli stessi ad un controllo.Teniamo presente che i nodi nella maggior parte dei casi sono protetti da sistemi di sicurezza simili a quelli utilizzati nelle banche.A mio avviso quindi un attacco del genere può essere portato a termine solo con l'ausilio di personale interno all'ISP ma questo fa decadere l'utilità dell'attacco visto che il provider ha già la possibilità di intercettare il traffico.Concludendo l'azione mi sembra simile ad una rapina in banca, le classiche in cui si inserisce una foto sulla telecamera a circuito chiuso, la difficoltà di esecuzione e di utilizzo dei dati catturati fa diminuire il rapporto costi/benefici.Certo a scopo ludico sarebbe interessante...ma a questo punto basta trovarsi un lavoro in area networking!Non credete?

Nella speranza che succeda...
Vediamo se qualcuno sarà in grado di utilizzare questa falsa falla....-----------------------------------------------------------Modificato dall' autore il 30 agosto 2008 09.43-----------------------------------------------------------