Roma – Google ci riprova : al colosso di Mountain View sembrano piacere molto i festoni, le dorsali anche dette backbone , piazzati nelle profondità marine. Dopo l’exploit di Unity , il nuovo progetto prende il nome di Southeast Asia Japan Cable (SJC) e coinvolge molti dei partner già presenti nel predecessore. Si aprono così nuovi scenari in un mercato in forte crescita, alimentato da una richiesta di traffico sempre maggiore: il nuovo impianto alimenterà le comunicazioni tra USA e Asia, ma circolano già voci su possibili accordi commerciali di BigG per il la cablatura delle acque del continente africano.
I componenti della joint venture sono pressoché gli stessi del progetto Unity: Bharti Airtel , Global Transit, KDDI Corporation , SingTel . Il nuovo cavo è in realtà un prolungamento della rete Unity a cui collegherà paesi come Hong Kong, Tailandia, Filippine e Singapore. L’opera dovrebbe terminare nel 2011, un anno dopo la data stimata per il predecessore nippo-americano, comportando un investimento complessivo pari a circa 300 milioni di dollari. Attualmente il condizionale è d’obbligo: il programma è ancora in fase embrionale e si attendono dati e cifre ufficiali dai diretti interessati.
Negli ultimi anni si è verificata una vera e propria corsa all’oro per riempire i fondali marini di tubi pieni di cavi in fibra ottica. L’area del Pacifico è già piena di cantieri sottomarini e le previsioni per il futuro danno il fenomeno in costante crescita ed espansione. In soli cinque anni la domanda di traffico disponibile ha avuto un incremento del 64% solo nel bacino d’utenza del Pacifico. Logico per Google sentire odor di quattrini. La strategia messa in atto da BigG sarebbe la solita: essere ovunque per arrivare ovunque e a chiunque .
Il mercato asiatico fa gola a molti, ragion per cui il progetto Unity e la sua appendice SJC costituiscono un passo fondamentale che permette al colosso di ottenere un vantaggio significativo sui concorrenti, permettendogli di abbassare i costi e di avere più traffico a disposizione coprendo nuove zone in cui promuovere ed esportare i propri servizi.
Ed è proprio in base a questa filosofia che Google guarda con interesse ai futuri progetti in fase di studio che consentiranno di installare i backbone inerenti al continente africano: come riportato da ITWeb , Google avrebbe preso contatti lo scorso luglio con alcune compagnie telefoniche locali, tra cui Telkom SA , MTN , e Vodacom per vagliare la fattibilità dell’intero programma.
Inoltre Google avrebbe anche incontrato i vertici di InfraCo , compagnia operante nello sviluppo e nella realizzazione di infrastrutture che ha in cantiere la costruzione di un festone lungo la costa occidentale dell’Africa, nonché Seacom per il versante orientale. Una volta terminati i vari lavori si registrerebbe un incremento notevole della banda disponibile, riducendo magari anche il digital divide di molti paesi in via di sviluppo.
Vincenzo Gentile
( fonte immagine )
leggi i 142 commenti
-
Nella speranza che succeda...
Vediamo se qualcuno sarà in grado di utilizzare questa falsa falla....-----------------------------------------------------------Modificato dall' autore il 30 agosto 2008 09.43----------------------------------------------------------- -
Costi e fattibilità exploit...
Qualcuno ha pensato alla fattibilità di qualcosa di simile?I provider utilizzano sicuramente degli apparati di fascia alta per le architetture di POP e che siano Juniper, o Cisco i costi vanno ben oltre i 10000 dollari.Ammesso che qualcuno decida di investire una tale cifra per effettuare un exploit di questo tipo avrebbe necessità di inserirsi nel sistema sostituendosi ad uno degli hop e per fare questo dovrebbe conoscere la configurazione precisa dell'apparato in questione, e la relativa attestazione del cablaggio.Nonostante questo la sostituzione verrebbe vista dai sistemi di monitoring sicuramente utilizzati dagli ISP e questo indurrebbe gli stessi ad un controllo.Teniamo presente che i nodi nella maggior parte dei casi sono protetti da sistemi di sicurezza simili a quelli utilizzati nelle banche.A mio avviso quindi un attacco del genere può essere portato a termine solo con l'ausilio di personale interno all'ISP ma questo fa decadere l'utilità dell'attacco visto che il provider ha già la possibilità di intercettare il traffico.Concludendo l'azione mi sembra simile ad una rapina in banca, le classiche in cui si inserisce una foto sulla telecamera a circuito chiuso, la difficoltà di esecuzione e di utilizzo dei dati catturati fa diminuire il rapporto costi/benefici.Certo a scopo ludico sarebbe interessante...ma a questo punto basta trovarsi un lavoro in area networking!Non credete? -
Incredibile castoneria
Non ho parole, credo che chi scrive su un argomento specifico debba avere un minimo di conoscenze tecniche, o perlomeno verificare fonti e notizie con l'assistenza di un "esperto". In realtà chiunque abbia sentito parlare anche solo vagamente di BGP non può che rimanere scandalizzato di fronte alla superficialità della notizia, che rasenta veramente il ridicolo. Avevo già diradato le visite al portale, dando uno sguardo veloce a giorni alterni e leggendo una o due notizie veramente degne di menzione. Ora le cesserò del tutto, non vale il tempo impiegato. Per non parlare del tenore medio dei commenti dei lettori, anch'esso veramente triste. A mio parere PI si è trasformato in un paio d'anni da pubblicazione online degna di menzione (nell'ISP in cui lavoro lo seguono un paio di persone "in alto") a robetta alla stregua di riviste cartacee come Focus, senza offesa.Grazie per l'ottimo servizio gratuito reso in questi anni. Visto che non ho mai pagato un centesimo esso ho poco da recriminare se avete scelto un diversa linea editoriale :)Un (ex) fedele lettore.PS: un riferimento a caso:http://www.ietf.org/rfc/rfc2385.txt -
Non è tanto grave (non lo sarebbe se...)
conosco un pochettino il BGP...e il problema non è grave, o meglio: non dovrebbe esserci proprio...[a parte il fatto che è possibile autenticare i messaggi BGP che vengono scambiati... quindi SOLO se si ha il controllo degli Autonomous System è possibile "spedirli"]il BGP permette di fare il routing tra diversi Autonomous System, e permette all'admin di scegliere delle POLITICHE con cui farlo...è chiaro che se dici "usa il percorso migliore" e te ne freghi del resto, forse ti ingannano, ma dimentichiamo che (si spera) gli admin degli AS non siano totalmente scemi... e non permettano cambi di rotte immediate, e soprattutto alla c. di cane...inoltre: i router di bordo-AS sono collegati DIRETTAMENTE ad altri AS BEN CONOSCIUTI, e (si spera) rispettati...non solo: le policy che governano l'instradamento sono abbastanza flessibili, e vengono scambiati dei veri e propri path-vector (una specie di traceroute intra-AS)queste rotte si possono controllare abbastanza facilmente aprendo una nuova sessione con il BGP-speaker di ogni altro AS nel "cammino da percorrere", e vedere se le info offerte da quello "ciarliero" sono vere...insomma, un "medio" admin queste cose le dovrebbe sapere (e fare).il vero problema semmai sono i "right-click-administrator", e (visto che ce ne sono parecchi) forse è davvero il caso di preoccuparci...se siete interessati, qui trovate una buona spiegazione, neanche troppo dettagliata...http://www.ing.unibs.it/~salga/didattica/reti-b/docs/2008-reti-b-2d-egrp.pdf -
Quante persone?
Credo che i problemi come questo e quello dei DNS, non siano poi così semplici da sfruttare. Per riuscire a creare un exploit bisogna fare molta fatica, per non parlare di una conoscenza di base di internet moooooooolto ampia.Quindi: Nel mondo quante sono le persone che veramente possono sfruttare questi tipi di bug creandosi un exploit da soli e non scaricandolo di soliti siti? Sono relativamente poche o un ingegnere informatico (da 100 e lode, specializzato in sicurezza delle reti), puo sfruttare questa falla? -
e dagli con "criptata"
si dice cifrata!!! -
Secondo me
@Parolaro... non è del tutto vero quello che dici, o meglio se ci pensi è stato spiegato così per dare modo a tutti di comprendere.Un mio parere:Il costo non sarebbe molto sostenibile, in quanto non è una cosa da poco introdurre un sistema di crittografia, quindi tutto si riperquoterebbe in mdo negativo sugli utenti finali. Ma prima poi sono convinto che un qualcosa del genere dovrà per forza di cose essere attivata anche se in modi differenti.Complimenti per l'articolo -
attacchi statistici
Un modo abbastanza particolare per ottenere una chiave di criptazione anche piuttosto complessa richiede di avere una grossa mole di dati criptati, quindi si cerca di conoscere almeno una parte del contenuto con mezzi diversi.Con questa tecnica risulta molto più veloce decriptare i dati in transito (e generarne nuovi).Ora se riesci a metterti in mezzo alle comunicazioni di una banca con i suoi clienti ...http://findarticles.com/p/articles/mi_qa3926/is_200210/ai_n9129486-
Re: attacchi statistici
- Scritto da: vivo
Un modo abbastanza particolare per ottenere una
chiave di criptazione anche piuttosto complessa
richiede di avere una grossa mole di dati
criptati, quindi si cerca di conoscere almeno una
parte del contenuto con mezzi
diversi.
Con questa tecnica risulta molto più veloce
decriptare i dati in transito (e generarne
nuovi).
Ora se riesci a metterti in mezzo alle
comunicazioni di una banca con i suoi clienti
...
http://findarticles.com/p/articles/mi_qa3926/is_20Questo tipo di attacco statistico non è una novita nella crittanalisi, tuttavia bisogna capire quanto sia grande questa mole di dati.Per fortuna, la mole di dati tipicamente è talmente grande da essere pressochè ingestibile e anche se pensiamo che al giorno d'oggi le memorie di massa sono enormi, rimangono di diversi ordini di grandezza più lente delle memorie volatili... che sono di fatto le uniche a permettere un uso "pieno" del processore.In definitiva, quindi, non mi preoccuperei di questa tecnica di crittanalisi. Esistono diverse misure per azzerare questo rischio.
-
-
Info e approfondimenti
E' tutto interessante e decisamente più tecnico dell'ultima falla sul DNS.Ho raccolto delle informazioni e approfondito alcuni aspetti.Se volete dare un'occhiata lo trovate qui: http://www.armandoleotta.it/blog/Altra-falla-su-internet.htmlSpero possa essere utile a tutti.Just my 2 cents,A.-
Re: Info e approfondimenti
ciao, grazie mille, io non sono un tecnico e non posso capire gli aspetti tecnicicapisco solo gli aspetti di principio e di buon sensoma ho salvato la pagina che ci indichi e spero di poterla valorizzare in futuroin ogni caso un'ottima iniziativa la tua-
Re: Info e approfondimenti
Ti ringrazio.Se un non tecnico ha gradito vuol dire che gli sforzi di evitare eccessivi tecnicismi sono serviti.E' un bel risultato.A presto, qui, via mail o sul blog indicato.Saluti,A.
-
-
-
Interessante esempio di reinstradamento
guardate questo:http://www.ripe.net/news/study-youtube-hijacking.htmlPakistan Telekom annuncia gli IP di youtube e per 2 ore tutto il mondo chiede www.youtube.com a Pakistan Telekom!Infine: "Currently the RIPE community is discussing the introduction of digital certificates for Internet number resources. These certificates are intended to provide a tool to further enhance routing configuration throughout the Internet."°sleek°-
Re: Interessante esempio di reinstradamento
- YouTube announces 5 prefixes:A /19, /20, /22, and two /24sThe /22 is 208.65.152.0/22- Pakistans government decides to block YouTube- Pakistan Telecom internally nails up a more specific route (208.65.153.0/24) out of YouTubes /22 to null0 (the routers discard interface)- - - Somehow redists from static -
bgp, then to PCCW !!!!!!! - - -- Upstream provider sends routes to everyone else - Most of the net now goes to Pakistan for YouTube, gets nothing!- YouTube responds by announcing both the /24 and two more specific /25s, with partial success- PCCW turns off Pakistan Telecom peering two hours later3 to 5 minutes afterward, global bgp table is clean againAlso check on:"A Study of Prefix Hijacking and Interception in the Internet"
-
-
ma mi sembra
mi sembra un modo per incutere paure generali e iniziare a far spendere alla gente in fantomatici software sulla sicurezza. Il problema della sicurezza, per come la vedo io,si trova tra la tastiera e la seggiola :Da presto-
Re: ma mi sembra
- Scritto da: emanuele[...]
Il problema della
sicurezza, per come la vedo io,si trova tra la
tastiera e la seggiolaehehehhhh... forse non sta tutto lì... ma ci manca molto poco ,-)ciao -
Re: ma mi sembra
- Scritto da: emanuele
mi sembra un modo per incutere paure generali e
iniziare a far spendere alla gente in fantomatici
software sulla sicurezza. Il problema della
sicurezza, per come la vedo io,si trova tra la
tastiera e la seggiola
:DVediamo... C'era un SO in cui i virus entravano senza neanche un utente loggato, mi sembra che si chiamassero Blaste, Sasser, roba cosi'.Poi c'e quell'altro SO che se scarichi le email ti si infetta e non devi neanche leggere la mail per infettarti perche' il mailer non si fa i fatti suoi...Insomma togli sia l'utente che Windows e siamo quasi a posto.
a presto-
Re: ma mi sembra
- Scritto da: krane
- Scritto da: emanuele
mi sembra un modo per incutere paure generali e
iniziare a far spendere alla gente in
fantomatici
software sulla sicurezza. Il problema della
sicurezza, per come la vedo io,si trova tra la
tastiera e la seggiola
:D
Vediamo... C'era un SO in cui i virus entravano
senza neanche un utente loggato, mi sembra che si
chiamassero Blaste, Sasser, roba
cosi'.
Poi c'e quell'altro SO che se scarichi le email
ti si infetta e non devi neanche leggere la mail
per infettarti perche' il mailer non si fa i
fatti
suoi...
Insomma togli sia l'utente che Windows e siamo
quasi a
posto.
a prestoehehehh...ma è pur sempre l'utente che compra o installa windows...per cui alla fine sempre lì torniamo, no? all'utente...;-)
-
-
-
Complimenti a tutti!
COmplimenti a tutti, però credo che quando si affrontino questi argomenti, noi "tecnici" o appassionati, non dovremmo scannarci così, ma proporre questi argomenti a chi realmente comanda!Complimenti da parte mia ad entrambi...Chi ha sollevato il problema.Chi ha risposto.Paolo. -
Complimenti a tutti.
COmplimenti a tutti, però credo che quando si affrontino questi argomenti, noi "tecnici" o appassionati, non dovremmo scannarci così, ma proporre questi argomenti a chi realmente comanda!Complimenti da parte mia ad entrambi...Chi ha sollevato il problema.Chi ha risposto.Paolo. -
Ma usare la crittografia no eh?
Su internet viene utilizzato un protocollo standard di criptazione chiamato SSL, che viene utilizzato ad esempio per tutti gli url web https (connessione sicura, col lucchetto chiuso).Con questo protocollo se il server contattato non è quello realmente richiesto dal client e il traffico viene redirezionato in qualsiasi modo verso un server "fake", il client avverte l'utente che il certificato proposto dal server "fake" non è valido e la connessione viene immediatamente terminata.-
Re: Ma usare la crittografia no eh?
- Scritto da: Anonimo
Su internet viene utilizzato un protocollo
standard di criptazione chiamato SSL, che viene
utilizzato ad esempio per tutti gli url web https
(connessione sicura, col lucchetto
chiuso).
Con questo protocollo se il server contattato non
è quello realmente richiesto dal client e il
traffico viene redirezionato in qualsiasi modo
verso un server "fake", il client avverte
l'utente che il certificato proposto dal server
"fake" non è valido e la connessione viene
immediatamente
terminata.E' proprio per evitare questo tipo di problemi (man in the middle) che vengono usati i protocolli ad alto livello a cui ti riferisci. I sistemi "critici", insomma, volente o nolente sono già protetti dagli effetti realmente dannosi di questo tipo di attacchi.Questo "difetto architetturale" in realtà è un falso problema e la dimostrazione sta nel fatto che è conosciuto da moltissimo tempo e finora mai nessuno si è posto il problema di come risolverlo.
-
-
Un articolo scritto con i piedi?
Mi permetto di commentare alcuni punti (che mi tornano veramente poco) dell'articolo:1) Innanzitutto leggendo l'articolo sembra di capire (almeno personalmente) che "la grave falla" del BGP possa essere utilizzata da chiunque per dirottare il traffico di Internet.Falsissimo, in quanto la debolezza intrinseca del protocollo BGP è ristretta solo agli AS (Autonomous System).Nessun "normale" utente può sognarsi di fare poisoning sulle tabelle di routing dinamiche della rete.Dall'altra parte, tutti gli AS, che, in teoria, dovrebbero essere entri trusted (non sempre vero, vedi caso youtube, http://www.ripe.net/news/study-youtube-hijacking.html) sono registrati al RIPE.Inoltre tutto il traffico BGP ,quindi announcement buoni e cattivi vengono loggati, tant'è che è possibile prendere visione dello storico degli announcement BGP pubblicamente presso il sito del RIPE (http://www.ris.ripe.net/bgplay/)2) Se pure un AS dovesse effettuare dell'hijacking, non ci sarebbe niente di nuovo sotto il sole:Tutti sono a conoscenza del fatto che il traffico IP, transitando dal mittente alla destinazione attraversi numerosissimi hop. Hop nei quali il traffico può essere tranquillamente analizzato, loggato, ecc.Quindi il fatto che del traffico IP venga forzatamente dirottato su un AS anzichè un altro, non costituisce di per se un rischio più grosso della situazione standard (qualsiasi amministratore di rete potrebbe effettuare del logging sui normali punti di passaggio)Per questo motivo da più di 30 anni, qualcuno ha avuto l'accortezza di studiare ed implementare protocolli crittografici (non solo per avere un estetico lucchetto giallo nel browser)... eviterei di spendere altre parole su questo punto.3) "Un attacco del genere, l'ideale per lo spionaggio politico o industriale, sarebbe anche difficile da rilevare, poiché non lascia tracce evidenti sul suo cammino a meno che non ci si cimenti in grossolani tentativi di catturare enormi moli di traffico." - Come detto sopra, le industrie utilizzano da decenni soluzioni basate sulla crittografia (mai sentito parlare di VPN?)Attacchi di questo genere NON sono assolutamente difficili da rilevare in quanto (come già detto) tutti gli announcement degli AS vengono registrati (ed è molto facile controllare se da un momento all'altro un AS ha "coperto" un pool di indirizzi che fino al momento prima veniva annunciato da un altro AS)4) "La soluzione più ovvia, l'unica possibile, sarebbe trasformare il dialogo tra i diversi server da libero a soggetto ad autorizzazione." - La soluzione non è unica, ma, da molto tempo, sono disponibili diverse soluzioni... alcune già provate ed affidabili (vedi IPSEC) altre in via di studio (vedi IPv6 che, tra le tante novità, ispirandosi al lavoro fatto su IPSec, consente di adottare crittografia end to end direttamente a layer 3)5) "Il problema però, spiegano gli esperti, è duplice. Da un lato se anche soltanto un ISP dovesse rifiutare di collaborare, automaticamente l'intero apparato risulterebbe inutile..." - Come riportato nell'introduzione di qualsiasi testo di crittografia da scuole superiori da 10 anni a questa parte, non sono gli ISP che devono adottare soluzioni crittografiche, ma la crittografia deve riguardare gli endpoint più estremi, ovvero l'utente che fa la richiesta e il server che la riceve.Solo in questo caso l'utente può avere la sicurezza che nessuno che intercetti il traffico in un punto di passaggio possa risalirne al contenuto.Se, viceversa, la crittografia fosse affidata agli ISP, saremmo punto e a capo (chi ci garantirebbe che l'amministratore di sistema del proprio ISP non divulghi/disperda le proprie chiavi utilizzate o che non effettui lui stesso del logging?)Inoltre, lungi dal voler racchiudere il funzionamento di BGP in 4 righe, ci sono inoltre diverse inesattezze tecniche nell'articolo:6) ..."il server DNS traduce quella stringa in un numero, e i router degli ISP iniziano a cercare la strada migliore per raggiungere quella destinazione" -Falso: Se così fosse (cioè che i router cercassero la strada migliore ad ogni richiesta) internet avrebbe dei lag pazzeschi.7) "Il protocollo in questione serve proprio a questo: informa i suoi vicini o chiunque ne faccia richiesta di quali indirizzi conosce e di quale efficacia abbia nel raggiungerli, lasciando al richiedente la scelta su dove passare." -L'EBGP (BGP tra AS) NON informa "chiunque ne faccia richiesta" ma effettua un update solo tra i vicini.-Non è assolutamente il richiedente che sceglie dove passare. Ogni router a fronte di un forwarding sceglie il prossimo peer (tra quelli vicini) in base alla "mappa della rete" che si è costruita tramite scambi BGPPerdonate l'insolenza, ma questa sembra tanto l'ennesima notizia riciclata, scritta con i piedi e pompata per fare scena e fomentare inutili crisi di panico.Nella speranza di dar luogo a critiche costruttive e non a sterili ed inutili flame,Primiano Tuccihttp://www.primianotucci.com/-
Re: Un articolo scritto con i piedi?
La "penna" di questo pezzo non è nuova a prestazioni di questo tipo...ma evidentemente alla redazione va bene così.E' da tanto che lo dico... "PI" non è più quello di una volta, rovinato da articoli come questo e da altri ben più insulsi e inutili.Forse, invece di percorrere la strategia dell'avere numeri grossi di notizie, sarebbe meglio percorrere quella di averne meno ma più interessati, corrette e, soprattutto, originali...-----------------------------------------------------------Modificato dall' autore il 28 agosto 2008 11.03----------------------------------------------------------- -
Re: Un articolo scritto con i piedi?
grazie delle delucidazioni, molto gradite... :) -
Re: Un articolo scritto con i piedi?
Quando vedo cose scritte così bene da un mio quasi coetaneo (io 1984) che ha studiato informatica (io però mi sono fermato al 3° anno) mi rendo conto di quanto sono ignorante pur lavorando nel campoComplimenti davvero!..e grazie-
Re: Un articolo scritto con i piedi?
C'è anche chi si specializza nel ramo Reti, anche io lavoro nel campo e sono prossimo alla laurea (informatica), e pur sapendo di cosa si parla (e pur avendo capito tutte le spiegazioni) non avrei saputo fare un analisi cosi approfondita. Quindi anche da parte mia tanti complimenti, sei anche più giovane di me azz ti invidio un pochino ;)
-
-
Re: Un articolo scritto con i piedi?
Moolto interessanteComplimenti! -
Re: Un articolo scritto con i piedi?
Grande. -
Re: Un articolo scritto con i piedi?
Complimenti davvero.E' triste constatare il basso livello dell'articolo. Se su questa problematica, che conosco, mi sono reso conto anche grazie al tuo eccellente commento delle inesattezze, immagino quali corbellerie ci siano negli articoli su argomenti a me meno noti.Mi sa che è arrivato il momento di eliminare PI dai bookmarks giornalieri... -
Re: Un articolo scritto con i piedi?
- Scritto da: Primiano Tucci
Mi permetto di commentare alcuni punti (che mi
tornano veramente poco)
dell'articolo:
1) Innanzitutto leggendo l'articolo sembra di
capire (almeno personalmente) che "la grave
falla" del BGP possa essere utilizzata da
chiunque per dirottare il traffico di
Internet.
Falsissimo, in quanto la debolezza intrinseca del
protocollo BGP è ristretta solo agli AS
(Autonomous
System).
Nessun "normale" utente può sognarsi di fare
poisoning sulle tabelle di routing dinamiche
della
rete.
Dall'altra parte, tutti gli AS, che, in teoria,
dovrebbero essere entri trusted (non sempre vero,
vedi caso youtube,
http://www.ripe.net/news/study-youtube-hijacking.h
Inoltre tutto il traffico BGP ,quindi
announcement buoni e cattivi vengono loggati,
tant'è che è possibile prendere visione dello
storico degli announcement BGP pubblicamente
presso il sito del RIPE
(http://www.ris.ripe.net/bgplay/)
2) Se pure un AS dovesse effettuare
dell'hijacking, non ci sarebbe niente di nuovo
sotto il
sole:
Tutti sono a conoscenza del fatto che il traffico
IP, transitando dal mittente alla destinazione
attraversi numerosissimi hop. Hop nei quali il
traffico può essere tranquillamente analizzato,
loggato,
ecc.
Quindi il fatto che del traffico IP venga
forzatamente dirottato su un AS anzichè un altro,
non costituisce di per se un rischio più grosso
della situazione standard (qualsiasi
amministratore di rete potrebbe effettuare del
logging sui normali punti di
passaggio)
Per questo motivo da più di 30 anni, qualcuno ha
avuto l'accortezza di studiare ed implementare
protocolli crittografici (non solo per avere un
estetico lucchetto giallo nel browser)...
eviterei di spendere altre parole su questo
punto.
3) "Un attacco del genere, l'ideale per lo
spionaggio politico o industriale, sarebbe anche
difficile da rilevare, poiché non lascia tracce
evidenti sul suo cammino a meno che non ci si
cimenti in grossolani tentativi di catturare
enormi moli di
traffico."
- Come detto sopra, le industrie utilizzano da
decenni soluzioni basate sulla crittografia (mai
sentito parlare di
VPN?)
Attacchi di questo genere NON sono assolutamente
difficili da rilevare in quanto (come già detto)
tutti gli announcement degli AS vengono
registrati (ed è molto facile controllare se da
un momento all'altro un AS ha "coperto" un pool
di indirizzi che fino al momento prima veniva
annunciato da un altro
AS)
4) "La soluzione più ovvia, l'unica possibile,
sarebbe trasformare il dialogo tra i diversi
server da libero a soggetto ad
autorizzazione."
- La soluzione non è unica, ma, da molto tempo,
sono disponibili diverse soluzioni... alcune già
provate ed affidabili (vedi IPSEC) altre in via
di studio (vedi IPv6 che, tra le tante novità,
ispirandosi al lavoro fatto su IPSec, consente di
adottare crittografia end to end direttamente a
layer
3)
5) "Il problema però, spiegano gli esperti, è
duplice. Da un lato se anche soltanto un ISP
dovesse rifiutare di collaborare, automaticamente
l'intero
apparato risulterebbe inutile..."
- Come riportato nell'introduzione di qualsiasi
testo di crittografia da scuole superiori da 10
anni a questa parte, non sono gli ISP che devono
adottare soluzioni crittografiche, ma la
crittografia deve riguardare gli endpoint più
estremi, ovvero l'utente che fa la richiesta e il
server che la
riceve.
Solo in questo caso l'utente può avere la
sicurezza che nessuno che intercetti il traffico
in un punto di passaggio possa risalirne al
contenuto.
Se, viceversa, la crittografia fosse affidata
agli ISP, saremmo punto e a capo (chi ci
garantirebbe che l'amministratore di sistema del
proprio ISP non divulghi/disperda le proprie
chiavi utilizzate o che non effettui lui stesso
del
logging?)
Inoltre, lungi dal voler racchiudere il
funzionamento di BGP in 4 righe, ci sono inoltre
diverse inesattezze tecniche
nell'articolo:
6) ..."il server DNS traduce quella stringa in
un numero, e i router degli ISP iniziano a
cercare la strada migliore per raggiungere
quella
destinazione"
-Falso: Se così fosse (cioè che i router
cercassero la strada migliore ad ogni richiesta)
internet avrebbe dei lag
pazzeschi.
7) "Il protocollo in questione serve proprio a
questo: informa i suoi vicini o chiunque ne
faccia richiesta di quali indirizzi conosce e di
quale efficacia abbia nel raggiungerli, lasciando
al richiedente la scelta su dove
passare."
-L'EBGP (BGP tra AS) NON informa "chiunque ne
faccia richiesta" ma effettua un update solo tra
i
vicini.
-Non è assolutamente il richiedente che sceglie
dove passare. Ogni router a fronte di un
forwarding sceglie il prossimo peer (tra quelli
vicini) in base alla "mappa della rete" che si è
costruita tramite scambi
BGP
Perdonate l'insolenza, ma questa sembra tanto
l'ennesima notizia riciclata, scritta con i piedi
e pompata per fare scena e fomentare inutili
crisi di
panico.
Nella speranza di dar luogo a critiche
costruttive e non a sterili ed inutili
flame,
Primiano Tucci
http://www.primianotucci.com/Complimenti sentivo anche io leggendo che c'era qualcosa che non andava..sopratutto quando ho letto..."i router scelgono la strada migliore.." haha..sai che lag..complimenti per la spiegazione approfondita.-
Re: Un articolo scritto con i piedi?
Una piccola aggiunta: non si quotano 5000 righe per aggiungere "sono d'accordo" -
Re: Un articolo scritto con i piedi?
Complimenti, sei il re del quoting
-
-
Re: Un articolo scritto con i piedi?
tutti gli announcement degli AS vengono
registrati (ed è molto facile controllare se da
un momento all'altro un AS ha "coperto" un pool
di indirizzi che fino al momento prima veniva
annunciato da un altro
AS)Non sono d'accordo, gli ISP normalmente hanno tool di bandwidth management per cui possono accorgersi di brushi cali/aumenti del traffico instradato, ma non hanno allarmi con la granularità dell'annuncio degli IP assegnati alla singola società. A posteriori si può indagare e verificare il fenomeno, ma ormai il traffico è stato instradato altrove.
- La soluzione non è unica, ma, da molto tempo,
sono disponibili diverse soluzioni... alcune già
provate ed affidabili (vedi IPSEC) altre in via
di studio (vedi IPv6 che, tra le tante novità,
ispirandosi al lavoro fatto su IPSec, consente di
adottare crittografia end to end direttamente a
layer
3)La protezione degli annunci di routing va infatti a favore degli ISP, limitando la capacità di un ISP malevolo di danneggiare i propri clienti e la propria rete. In questo senso può essere utile.Per l'utente finale un ISP è sempre untrusted, ma il servizio di connettività deve garantirgli almeno un routing il più possibile stabile.Per il resto concordo con le tue osservazioni, stavolta Annunziata mi ha deluso..°sleek° -
Re: Un articolo scritto con i piedi?
per la prima volta nella mia vita di lettore di PI devo dar ragione a chi critica.... -
Re: Un articolo scritto con i piedi?
- Scritto da: Primiano Tucci
Mi permetto di commentare alcuni punti [...]complimenti, ottimo commento
Perdonate l'insolenza, ma questa sembra tanto
l'ennesima notizia riciclata, scritta con i piedi
e pompata per fare scena e fomentare inutili
crisi di
panico.già... l'ennesima notizia per fomentare UTILI crisi di panico allo scopo finale di controllare anche l'infrastruttura per arrivare alla fine al controllo totale della rete... -
Re: Un articolo scritto con i piedi?
Complimenti Primiano, sei stato molto preciso, puntuale e chiaro nell'esposizione.Grazie.-- Luca
-
-
Vorrà dire che...
Email e traffico importante viaggeranno crittati sulla rete con pgp e ssl, per il resto che spiino pure.Rimane scoperta la possibilità di intercettare traffico email per collezzionare indirizzi da spammare.-
Re: Vorrà dire che...
- Scritto da: Pessimismo e Fastidio
Email e traffico importante viaggeranno crittati
sulla rete con pgp e ssl, per il resto che spiino
pure.
Rimane scoperta la possibilità di intercettare
traffico email per collezzionare indirizzi da
spammare.Stai dimenticando il fatto di non far arrivare il traffico.
-
-
non ho capito bene
La falla, in pratica, viene sfruttata facendo credere al richiedente che la strada offerta sia buona o meglio priva di rischi.giusto?A cosa servirebbe richiedere una chiave di autenticazione? Basta che uno dei server usati siano sotto controllo di qualche tipo privo di scrupoli e salta tutto. è impossibile obbligare a dichiarare TUTTI i server esistenti.Ho capito male qualcosa? Ho sparato una bestialità?-
Re: non ho capito bene
- Scritto da: lufo88
La falla, in pratica, viene sfruttata facendo
credere al richiedente che la strada offerta sia
buona o meglio priva di
rischi.
giusto?
A cosa servirebbe richiedere una chiave di
autenticazione? Basta che uno dei server usati
siano sotto controllo di qualche tipo privo di
scrupoli e salta tutto. è impossibile obbligare a
dichiarare TUTTI i server
esistenti.
Ho capito male qualcosa? Ho sparato una
bestialità?Quasi :)Il problema non è nel far credere che la strada sia buona o senza rischi: il punto è che inserendosi, e dichiarando un piccolo range di indirizzi IP si diventa via preferenziale per alcuni percorsi da una macchina all'altra. L'autenticazione non viene mai richiesta, perchè questo protocollo non è nato per richiederla, in quanto suppone automaticamente che i nodi vadano bene. Quindi non si tratta di far credere che la strada sia affidabile, si comunica solo che si ha una strada per quel determinato numero di indirizzi ip.Quanto al problema da te esposto dell'autenticazione, in realtà credo che basterebbero gli ISP, più che i server, anche se non ne sono sicuro.
-
-
Questa cosa è nota da tempo
Questa vulnerabilità è più che nota, è stato oggetto di una mia tesina d'esame fatta 1 anno fa, quindi non è che sia proprio segreta.Nella mia tesina feci 2 prove: la prima consisteva nel dirottare tutto il traffico di una rete verso la mia e farlo morire, il secondo (evoluzione del primo) girare tale traffico alla rete di appartenenza, con ovvia possibilità di spiare.Bisogna tener conto che una cosa del genere può essere fatta solamente dai router che sono di proprietà delle società di telecomunicazione. Non penso che una connessione criptata tra tali router risolva il problema. Qui stiamo parlando di agire su cose che sono a basso livello nelle reti e ne coinvolgono la topologia, e la topologia di internet non è banale.La miglior difesa rimane l'attacco, chi non vuole essere spiato, deve usare LUI sistemi di criptazione -
Fatemi capire...
Ma .... se dirotto TUTTO il traffico su pochi singoli nodi, questi devono avere una capacità di flusso paurosa!!!!Oltre all'analisi/salvataggio degli stessi.Stiamo parlando di un provider o di Star Trek?????-
Re: Fatemi capire...
oh, a me basta regiridere pochi ip: quelli di Bancoposta, San paolo, Paypal, etc etc.....-
Re: Fatemi capire...
E poi ovviamente il traffico che si cambierebbe sarebbe quello DNS, non ogni singolo pacchetto. -
Re: Fatemi capire...
- Scritto da: fred
oh, a me basta regiridere pochi ip: quelli di
Bancoposta, San paolo, Paypal, etc etc.....Appunto un traffico da paura :)
-
-
-
Esiste già l'autenticazione
BGP non cripta gli update però li autentica, ovvero tramite un hash md5 si assicura che gli updates arrivino da un determinato peer, altrimenti li scarta. E' sufficiente configurare una password abbastanza robusta per evitare che possa essere scoperta.(conf-r) neighbor [ipAddr|peerG] password [pwd]Inoltre, per quanto ne so esiste un altro metodo per fare in modo che l'attacco non possa essere compiuto da una rete esterna a quella da cui avviene il peering, usando l'opzione ttl-security.In più va considerato che gli utenti che usano questo protocollo hanno altri sistemi di monitoraggio a supporto.Secondo me la notizia è un pò leggerotta. Dov'è una spiegazione tecnica del problema???-
Re: Esiste già l'autenticazione
Vero. L'allarme rimbalza qua e la ma con pochi accorgimenti i provider seri lo possono gestire tranquillamente-
Re: Esiste già l'autenticazione
intendi che l'ISP riceve un allarme nel caso di variazione relativa ad ogni singolo annuncio? non mi risultaper MArco: ti risulta che nei grandi peering point ad ogni ISP sia imposto di autenticare ogni altro ISP peer?-
Re: Esiste già l'autenticazione
Perchè no?
-
-
-
Re: Esiste già l'autenticazione
anche a me non convince -
Re: Esiste già l'autenticazione
- Scritto da: MArco
Secondo me la notizia è un pò leggerotta. Dov'è
una spiegazione tecnica del
problema???1. http://blog.wired.com/27bstroke6/2008/08/revealed-the-in.html2. http://blog.wired.com/27bstroke6/2008/08/how-to-intercep.html3. http://blog.wired.com/27bstroke6/files/edited-iphd-2.ppt4. http://www.cs.columbia.edu/~smb/papers/acsac-ipext.pdf (questo e' del 1989 !)piu' altra roba che trovi nei primi due link.Ciao.Gg-
Re: Esiste già l'autenticazione
- Scritto da: Giggi Giggi
- Scritto da: MArco
Secondo me la notizia è un pò leggerotta. Dov'è
una spiegazione tecnica del
problema???
1.
http://blog.wired.com/27bstroke6/2008/08/revealed-
2.
http://blog.wired.com/27bstroke6/2008/08/how-to-in
3.
http://blog.wired.com/27bstroke6/files/edited-iphd
4.
http://www.cs.columbia.edu/~smb/papers/acsac-ipext
piu' altra roba che trovi nei primi due link.
Ciao.
Ggoh, finalmente qualcuno che ha letto le fonti, prima di dire "e' leggerotta" :)non e' leggerotta, e' teoricamente nota da 20anni (Dio Bellovin!), l'utente casuale col suo peer adsl non puo giocare col bgp -bisogna stare nei posti giusti-, teoricamente e' anche ovviabile come si diceva nel thread (md5) anche se solo in parte, e' complicato non farsi notare (e qui quelli del blackhat hanno affinato le tecniche) ,ecc.-
Re: Esiste già l'autenticazione
- Scritto da: bubba
- Scritto da: Giggi Giggi
- Scritto da: MArco
Secondo me la notizia è un pò leggerotta.
Dov'è
una spiegazione tecnica del
problema???
1.
http://blog.wired.com/27bstroke6/2008/08/revealed-
2.
http://blog.wired.com/27bstroke6/2008/08/how-to-in
3.
http://blog.wired.com/27bstroke6/files/edited-iphd
4.
http://www.cs.columbia.edu/~smb/papers/acsac-ipext
piu' altra roba che trovi nei primi due link.
Ciao.
Gg
oh, finalmente qualcuno che ha letto le fonti,
prima di dire "e' leggerotta"
:)
si', beh, per leggerle le ho lette..
non e' leggerotta, e' teoricamente nota da 20anni
(Dio Bellovin!), l'utente casuale col suo peer
adsl non puo giocare col bgp -bisogna stare nei
posti giusti-, teoricamente e' anche ovviabile
come si diceva nel thread (md5) anche se solo in
parte, e' complicato non farsi notare (e qui
quelli del blackhat hanno affinato le tecniche)
,ecc...ma mi mancano le basi per una buona comprensione. cerchero' di rimediare :)Gg-
Re: Esiste già l'autenticazione
service password-encryption!router bgp 100redistribute ................neighbor 2.2.2.2 remote-as 200neighbor 2.2.2.2 description ****56K to ....neighbor 2.2.2.2 password 7 14191D3F5831782574:-) -
Re: Esiste già l'autenticazione
- Scritto da: anonimo
service password-encryption
!
router bgp 100
redistribute ................
neighbor 2.2.2.2 remote-as 200
neighbor 2.2.2.2 description ****56K to ....
neighbor 2.2.2.2 password 7 14191D3F5831782574
:-)come, di grazia ? :DGg
-
-
-
-
-
Piratiiiii...all'attacco!
E' l'occasione buona per far crollare internet.Almeno dopo l'industria non ci rompe più i maroni!-
Re: Piratiiiii...all'attacco!
Bravo, così vieni tagliato fuori dal mondo.Un commento davvero intelligente.-
Re: Piratiiiii...all'attacco!
- Scritto da: bravo
Bravo, così vieni tagliato fuori dal mondo.
E non sarò l'unico ma tutti.-
Re: Piratiiiii...all'attacco!
- Scritto da: Goblin74
- Scritto da: bravo
Bravo, così vieni tagliato fuori dal mondo.
E non sarò l'unico ma tutti.La nota positiva è che sarà molto più raro leggere idiozie come le tue.
-
-
-
Re: Piratiiiii...all'attacco!
- Scritto da: Goblin74
E' l'occasione buona per far crollare
internet.Almeno dopo l'industria non ci rompe più
i
maroni!...e poi come li scarichi gratis la musica e i film piratati?-
Re: Piratiiiii...all'attacco!
- Scritto da: ndr
...e poi come li scarichi gratis la musica e i
film
piratati?Io credo che il problema maggiore sarà un'altro...tipo quelli che lavorano ai provider, chi fa gli accessori per internet, le periferiche e a tutto il sistema per la distribuzione degli aggiornamenti dei software e periferiche.Sarà un problema mondiale e finalmente si capirà come internet e il P2P non sono mezzi che si devono sopprimere, limitare, controllare ma sfruttarne le potenzialità di condivisione dei contenuti e informazioni.Prima però è necessario che l'industria dell'intrattenimento se ne renda conto che quello che sta facendo, le leggi che vuole fare saranno un problema che si ritorcerà addosso a lei.E se ne renderanno conto anche i parlamentari europei e i politici che fanno i segugi senza tener conto degli utenti o, come lì chiamano loro, dei "pirati".Non me ne frega un cazzo se dopo non posso più scaricare, anzi sarà una gioia vedere se poi qualcuno compra qualcosa di così limitato come i cd audio, film e software con tutte quelle tecnologie di spionaggio che msdead e faker hanno più volte ripetuto. Vedremo come i lettori mp3 e il mercato che ci gira attorno cosa succederà, i giornali, le riviste e qualunque altra cosa.Vedremo come tutto quanto andrà a rotoli, distrutto, come l'importanza di internet e della sua neutralità sia fondamentale al mondo d'oggi, ritornare a 20 anni fa quando non c'era nulla, all'era preistorica.O i politici e l'industria accettano il P2P e lo legalizzano in un qualche modo, o mandiamo tutto a cagare che è meglio!!Siamo a dei livelli assurdi!Per proteggere i contenuti si deve limitare l'hardware, controllare le connessioni tutti, chiudere i siti dove non esistono neanche dei contenuti ma dei link, se uno ha un mp3 allora è per forza un "pirata", introdursi nelle attività di rete.Beh questo è assurdo e soprattutto, come msdead e faker hanno dimostrato, c'è una ignoranza spaventosa!Io non voglio essere il burattino dell'industria, di politici che non capiscono un tubo di cosa sia un pc e internet, di come funziona, che appena una major urla dolore la colpa è degli utenti, dei provider, di siti che hanno solo e soltanto dei file torrent, mentre invece i pirati veri fottono carte di credito, bucano server, i virus writer creano virus e quando lì scoprono si e no un mesetto di prigione, chi ammazza una persona due giorni in galera e poi è già fuori senza sborsare un ghello.Chi scarica invece 200.000 euro di multa e controllo totale, violazione di sistemi informatici privati, connessioni e accuse senza prove.Se il futuro deve essere il controllo totale, lo spionaggio sulla connessione, dei contenuti e tutto per proteggere delle canzoni, dei filmetti e dei softwarini di merda, allora vaffanculo internet!!O si cambia registro o preferisco che il web muoia e tutti dopo ci renderemo conto di cosa significa la parola "condivisione" ma soprattutto l'importanza di una rete come internet, una rete libera e neutrale!Almeno dopo problema pirateria risolto insieme a molti altri problemi e nessuno può venirmi a rompere i coglioni e ficcanasare su cosa c'è nel mio computer!
-
-
-
Qualcuno un paio di giorni fa...
Qualcuno un paio di giorni fa si meraviglio' del fatto che considerassi TOR poco più che un giocattolo......disse: "si ma tanto a livello di routing non possono far nulla" Allora oggi te lo richiedo: Sicurosicurosicuro? :)PS: ci sono anche parecchi altri metodi, stay tuned-
Re: Qualcuno un paio di giorni fa...
Considerare TOR poco più che un giocattolo è da ignoranti. Sicuramente Metadyne non ha alcuna conoscenza della crittografia. Wikipedia potrebbe aiutare. Forse già solo un minimo di conoscenza della matematica basterebbe.Il fatto di base è che TOR non può avere problemi per DNS o BGP alterati in quanto si basa su certificati SSL. Quindi se il nodo contattato non fosse quello realmente richiesto e il traffico venisse rediretto in un qualsiasi modo verso un nodo "fake", quest'ultimo non potrebbe decifrare le informazioni che gli vengono inviate. Inoltre il client TOR non accetterebbe le risposte come veritiere in quanto firmate con un certificato SSL non valido.-
Re: Qualcuno un paio di giorni fa...
- Scritto da: Anonimo
Considerare TOR poco più che un giocattolo è da
ignoranti. Sicuramente Metadyne non ha alcuna
conoscenza della crittografia. Wikipedia potrebbe
aiutare. Forse già solo un minimo di conoscenza
della matematica
basterebbe.
Il fatto di base è che TOR non può avere problemi
per DNS o BGP alterati in quanto si basa su
certificati SSL. Quindi se il nodo contattato non
fosse quello realmente richiesto e il traffico
venisse rediretto in un qualsiasi modo verso un
nodo "fake", quest'ultimo non potrebbe decifrare
le informazioni che gli vengono inviate. Inoltre
il client TOR non accetterebbe le risposte come
veritiere in quanto firmate con un certificato
SSL non
valido.Il fatto è che il nodo è quello richiesto. Se io mi inserisco come nodo con un range ridotto di indirizzi e il tuo traffico passa da me, io sono uno dei nodi che sono stati richiesti. E posso anche solo mettermi a loggare le informazioni. Non sono esperto di tor, ma credo di andare più o meno giusto. E anche se vado sbagliato, rimane i fatto che io posso bloccare il tuo traffico, tor o non tor, perchè se sono il nodo e non posso fare niente altro, ti disintegro i pacchetti, oppure non li facico passare, in ogni caso tu non comunichi con il server. Questo non leva che TOR possa avere la sua utilità, ma non credo che in questo caso possa essere di qualche aiuto se non in maniera collaterale.-
Re: Qualcuno un paio di giorni fa...
- Scritto da: Blackstorm
Il fatto è che il nodo è quello richiesto. Se io
mi inserisco come nodo con un range ridotto di
indirizzi e il tuo traffico passa da me, io sono
uno dei nodi che sono stati richiesti. E posso
anche solo mettermi a loggare le informazioni.
Non sono esperto di tor, ma credo di andare più o
meno giusto. E anche se vado sbagliato, rimane i
fatto che io posso bloccare il tuo traffico, tor
o non tor, perchè se sono il nodo e non posso
fare niente altro, ti disintegro i pacchetti,
oppure non li facico passare, in ogni caso tu non
comunichi con il server. Questo non leva che TOR
possa avere la sua utilità, ma non credo che in
questo caso possa essere di qualche aiuto se non
in maniera
collaterale.Una volta che lo distruggi non succede nulla poichè la richiesta viene inviata a tutti i routers, il tuo traffico poi viene instradato verso quello che fornisce in risposta il minor numero di hop. Indi se non replichi nulla il traffico dell'utente prende semplicemente un'altra strada, considerandoti "dead link".Il problema è se il nodo exploitante riesce a far suo l'instradamento...visto che può farci quello che vuole, ma non solo. Nel momento in cui riesci a far tuo quel traffico il router richiedente tiene in memoria che tu fornisci l'instradamento più rapido per quella determinata direzione...e lo fornirà ad altri in caso gli venga chiesto. Si espande a macchia d'olio...o è una considerazione sbagliata?
-
-
-
Re: Qualcuno un paio di giorni fa...
- Scritto da: Metadyne
Qualcuno un paio di giorni fa si meraviglio' del
fatto che considerassi TOR poco più che un
giocattolo...
...disse: "si ma tanto a livello di routing
non possono far
nulla"
Allora oggi te lo richiedo: Sicurosicurosicuro?
:)
PS: ci sono anche parecchi altri metodi,
stay
tunedUhm... sono curioso... hai qualche link?
-
-
mah..
pensate a quelli che scaricano film o musica se quelli della SIAE facessero una cosa del genere.. :)tutti segati fin dall'inizio..stiamo raggiungendo il limite..o si fa la rivoluzione e lo si porta ad un livello maggiore oppure esploderemmo tutti noi..-
Re: mah..
OH MIO DIO !!!L'olocausto è dietro l'angolo...I nostri giorni stanno per finire...MORIREMO TUTTI !!!!!........mah... :-
Re: mah..
... tuttavia la razza umana era sopravvissuta.-
Re: mah..
- Scritto da: otaku
... tuttavia la razza umana era sopravvissuta.Come lo creo il personaggio? Nanto o Hokuto? Dubbio esistenziale...
-
-
Re: mah..
- Scritto da: Star
OH MIO DIO !!!
L'olocausto è dietro l'angolo...
I nostri giorni stanno per finire...
MORIREMO TUTTI !!!!!
E ti dimentichi le 10 piaghe.
-
-
Re: mah..
..."esploderemmo" ?!?
-
-
un "falso" problema?
hanno "scoperto" questo problema? ci stanno dicendo che ci hanno pensato un attimo e forse un sistema del genere fa schifo? dopo 30 anni?spionaggio politico e industriale? non hanno certo bisogno di dirottare il traffico per farloil traffico può essere loggato, monitorato, eccetera? perché pensate che governi e mercati non stiano facendo niente per promuovere o imporre l'utilizzo esclusivo di protocolli cifrati su internet? addirittura in alcuni paesi i cittadini e le aziende non sono autorizzati a usare cifratura forte, e alle frontiere i dischi criptati devono essere controllatinoi siamo così condizionati che comunichiamo senza nessuna forma di protezione: email, moduli con i nostri dati, file di tutti i tipi, ci sono avvocati che usano una sola mail in tutto lo studio, a disposizione di segretarie, colleghi, praticanti.. email come virgilio e via andareadesso con il voip moltissimi (oggi in Italia forse la quasi totalità) non sanno che il creatore di pgp ha già realizzato un sistema di cifratura apposito per voip, ma chi lo usa? alzi la manoe pensate che questa nostra ignoranza non faccia "comodo" a qualcuno?-
Re: un "falso" problema?
- Scritto da: Jean Valjean
dopo 30 anni?Non hai pensato per 30 secondi prima di scrivere? Se tu considerassi cosa è internet (arpanet) e come è nata e cresciuta, ti accorgeresti che questi problemi erano privi di senso al momento della creazione dei protocolli.
spionaggio politico e industriale? non hanno
certo bisogno di dirottare il traffico per farloNemmeno chi commette altri reati ha bisogno di internet. Indubbiamente però è un grosso aiuto.
noi siamo così condizionati che comunichiamo
senza nessuna forma di protezione: email, moduli
con i nostri dati, file di tutti i tipi, ci sono
avvocati che usano una sola mail in tutto lo
studio, a disposizione di segretarie, colleghi,
praticanti.. email come virgilio e via andareE ci sono quelli che telefonano alla guida completamente ubriachi. E allora? Il comportamento incosciente di qualcuno non ha nulla a che vedere con eventuali complotti macchinati contro tutti.-
Re: un "falso" problema?
Quello che, credo, vuole far notare giustamente è che non c'è bisogno di arrivare a dirottare traffico attraverso di BGP poisoning ma che è molto più facile con altri metodi (uno su tutti, ingegneria sociale)-
Re: un "falso" problema?
il tuo richiamo all'ingegneria sociale è sobrio, limpido e lodevolela verità, come ci ricordano schneier e attivissimo, due nomi a caso, è che la violazione della sicurezza è un fatto piuttosto banale e che ha poco di romantico, ipertecnologico e via andareed è possibile solo perché la maggior parte di noi è ingenua oppure è ricattabile (la prima deriva dalla seconda)quindi usare un protocollo notoriamente non autenticato (ma ci sono molte email che funzionano come dei cestini dell'immondizia) non dovrebbe essere accettabilee non lo è, ma viene accettatograzie-----------------------------------------------------------Modificato dall' autore il 29 agosto 2008 07.59-----------------------------------------------------------
-
-
Re: un "falso" problema?
- Scritto da: www.aleksfalcone.org
- Scritto da: Jean Valjean
dopo 30 anni?
Non hai pensato per 30 secondi prima di scrivere?
Se tu considerassi cosa è internet (arpanet) e
come è nata e cresciuta, ti accorgeresti che
questi problemi erano privi di senso al momento
della creazione dei protocolli.
spionaggio politico e industriale? non hanno
certo bisogno di dirottare il traffico per farlo
Nemmeno chi commette altri reati ha bisogno di
internet. Indubbiamente però è un grosso aiuto.
noi siamo così condizionati che comunichiamo
senza nessuna forma di protezione: email, moduli
con i nostri dati, file di tutti i tipi, ci sono
avvocati che usano una sola mail in tutto lo
studio, a disposizione di segretarie, colleghi,
praticanti.. email come virgilio e via andare
E ci sono quelli che telefonano alla guida
completamente ubriachi. E allora? Il
comportamento incosciente di qualcuno non ha
nulla a che vedere con eventuali complotti
macchinati contro
tutti.Ragazzo, io ti stimo tantissimo... mi hai levato le parole dalla tastiera :D-
Re: un "falso" problema?
ti risponderò quando parlerai con parole tue
-
-
Re: un "falso" problema?
ciao, non stavo parlando di teorie del complottoin effetti penso parecchio, forse non nel tuo modorispondo prima all'esempio della guida da ubriachisecondo l'aci ogni anno ci sono circa 5.000 morti e 300.000 feritiquesto viene comunemente accettatosembrerebbe che moltissime famiglie d'italia abbiano un morto a causa della strada nella loro storia recentee anche questo viene ritenuto normale, parte dei comuni rischi della vitasi sentono molte notizie sugli incidenti, ma pochissime sui risultati dei processi per questi incidentiio non so se sia vero, ma l'impressione apparentemente diffusa è quella di una buona quota di impunità (una delle tante, sempre per parlare di impressioni, che sono quelle che mi interessano qui)ma se cade un albero in un viale alberato in una città parte un processo all'amministrazione pubblica, la quale nel frattempo difende strenuamente i suoi dipendenti (se non hanno rubato), spalma le responsabilità e riforma completamente il settorequesto è successo (cronaca) in una città del nord italia, circa una decina di anni fa, ma permettimi una parentesi su questa "riforma": oggi non viene messa in pratica da tutte le circoscrizioni per mancanza di fondi, come minimoma che tipo di riforma è? è una riforma organizzativa, che prende spunto da assunzioni statistiche e di letteratura, che sostanzialmente costruisce un processo alquanto arbitrario per mostrare a un eventuale giudice che è stato fatto tutto quello che si "doveva" e che il morto non c'entra con l'amministrazione pubblicaquesto per dire che sostanzialmente si vuole dare al giudice e al pubblico l'impressione di poter controllare un fenomeno che invece non è controllabile "per natura"questo è tanto più evidente se si pensa che la soluzione è peggio del problema: la principale causa di malattia (in senso lato) per molte specie di alberi è la potatura, ma il piano di sicurezza del comune dice che la soluzione è proprio la potatura programmataper esempio, due specie molto diffuse: il platano soffre del cancro colorato, che si diffonde molto più facilmente con le motoseghe infette e con la dispersione di segatura, e per il quale la cura è obbligatoria e consiste proprio nella demolizione controllata dell'albero (e se non sbaglio anche di quelli vicini) con la raccolta della segatura (ma sfido chiunque a dimostrarmi che non viene dispersa almeno in piccole quantità, se non altro per errori e imprecisioni);l'ippocastano invece (a parte un insetto esotico, oggi controllato) patisce moltissimo le potature, o l'asportazione delle branche ancor di più: questi interventi lo fanno deperire, aumentando il rischio di instabilitànonostante questo è stato fatto notare che il pubblico sostanzialmente accetta (o gli viene fatto accettare) un così alto numero di feriti e morti in autonobile, ma tolleranza zero verso gli alberiin francia (e in altri paesi) è un po' diverso: in molti parchi c'è semplicemente un avviso che dice di non entrare nel parco in caso di vento o pioggia forti (da noi, in moltissimi casi, non c'è)le alberate inoltre sono fatte (almeno nelle zone nuove) secondo criteri come l'impianto di alberi di dimensione maggiore, potature ridotte, rapida sostituzione a rotazione (in alcuni casi ogni 10 anni)sembra un approccio più aderente alla realtà, no?una volta ammesso che vi è in entrambi i casi una quota di fatalità, sembra naturale domandarsi perché si accetta il rischio di un automobile (poco naturale, perché dipende in fortissima misura dall'uomo) e non quello di un albero (più ovvio e naturale, e meno controllabile, ma che comunque dipende moltissimo dalle scelte dell'uomo)l'automobile è oggi (da decenni) un fattore socio economico importante nel nostro paese: sostiene l'industria (che però prende soldi anche dallo stato), alimenta un grande numero e volume di affari, dai servizi, alle riparazioni, alle strade, alle cure per i feriti, alle assicurazionicioè vi sono enormi interessi in gioco (ma non solo nel nostro paese) e chi guida spericolatamente a volte viene visto anche con una punta di divertimento (non sempre, ma succede)non pensi che questi interessi possano aver contribuito all'idea che avere spese enormi (3-4 stipendi all'anno) per correre rischi alti (prodotto coefficiente di rischio x entità del danno)?la mia risposta è sìse si volesse davvero rendere sicura un'automobile, le spese sarebbero molto alte (e infatti lo sono) ma soprattutto le limitazioni sarebbero fortissime, verrebbe assai meno la componente ludica dell'automobile, e probabilmente molte persone non spenderebbero più 70.000 euro per un suv o per un'auto veloce: in austria in alcune zone ci sono batterie di 9 autovelox fissi e ben visibili ogni pochi chilometri, è praticamente impossibile delinquere, e questo in italia non verrebbe accettato, e infatti non si faquesto ci dice semplicemente che non vi è un complotto, ma un progetto politico, e interessi corporativi che guidano le leggi, le opinioni, le scelte, gli indicatori macro-economici (ci tornerò, non è questa la sede)per esempio la famglia agnelli controllava sia il gruppo fiat sia la stampa (uno dei maggiori quotidiani nazionali, almeno allora); in effetti era comune vedere in prima pagina "notizie" come il lancio di un nuovo modello, o "recensioni imparziali" nelle pagine di costume;non solo, la famiglia vantava un senatore a vita, il cui peso, sarai d'accordo con me, sempre per logiche corporative e di conflitti di interessi reciproci, andava ben oltre il suo voto nella sede istituzionalese la gente gestisse meglio il rischio, quindi, vi sarebbero meno auto e meno costose, e meno soldi in giro (ma il pil, come ho già notato altrove qui, non ci rappresenta bene)torniamo a noi, ora: lo spirito di questa pur banale e superficiale riflessione vale anche per l'informatica: quanti interesse si potrebbero intaccare rendendo cosciente le persone dei costi e dei rischi reali dell'uso dell'informatica, ma soprattutto della sua a volte ingiustificata diffusione? chi userebbe il voip? chi comprerebbe su internet? chi lascerebbe i suoi effetti personali su un server di cui non sa nulla, e che pure ogni giorno gli viene proposto? un avvocato lo farebbe ancora? esisterebbe ancora l'informatica se si chiedessero reali garanzie? o almeno, in quale misura? forse nella misura dell'epoca in cui chi usava l'informatica sapeva quello che stava facendo anche perché i mezzi erano meno complessi?ho parlato molto delle automobili (il tema che tu mi hai suggerito) e poco dei computerma tu che probabilmente rifletti tanto prima di scrivere, saprai certamente estendere il mio ragionamento all'informatica, agli interessi collegati e al nuovo interesse che consiste nella possibilità di controllare le persone tramite il prodotto che gli si vendee tu rifletterai la prossima volta prima di accusarmi vanamente?-----------------------------------------------------------Modificato dall' autore il 29 agosto 2008 06.56-----------------------------------------------------------
-
-
-
Controllare gli utenti è da dilettanti
Giuda ballerino, ma che diavolo state dicendo???Quando io cammino per strada e chiedo informazioni a qualcuno "per andare dove devo andare", quella persona saprà dove sto andando. E allora? Chi se ne frega! Che altro può fare? Mi segue? Bè, tra decine di persone dovrei essere proprio sfigato per beccare un cretino del genere, e se proprio succede vedrò come comportarmi, non mi pare una tragedia. Mi manda nella direzione sbagliata? Oh, beh, questa poi... chiedo a un altro e ho già risolto il problema.Che cos'ho da nascondere? Il problema è che chi ci ha sempre controllati e spera di continuare a farlo in eterno non vuole concorrenti, vuole essere l'unico Grande Fratello possibile, altrimenti si sentirebbe un fratellino qualsiasi, magari un po' spione ma innocuo.Si perchè il problema è proprio il controllo! No, non evitare di farci controllare. Abbiamo l'echelon, basta dare uno schiaffo a un vigile per avere il telefono sotto controllo, le strade sono piene di telecamere (la maggior parte sono visibili, ma generalmente sono anche spente, il problema sono quelle piccolissime, che non vediamo), i chip sottopelle (cercate su Google "Paolo Dorigo"), stanno mettendo gli infami (padron, collaboratori di giustizia) perfino nei condomini di periferia per controllare quello che succede... in uno scenario come questo, che i pochi cervelli non del tutto addormentati riconoscono come apocalittico, noi ci preoccupiamo se qualcuno viene a sapere che sono andato sul Indymedia o su un sito porno. Ma ripeto, chi porcacciazozza se ne strafrega (sto cercando a fatica di evitare la censura) se vado su un sito e qualcuno viene a saperlo!! Sanno dove siamo, dove andiamo, cosa diciamo al telefono quando come perchè e a chi, e qualcuno perde anche solo un insulsissimo secondo della sua vita a pensare "adesso pincopallino.router.fastweb.it sa che ho visto questo sito"???? Ma no, è ridicolo, non ci credo, mi autoconvinco che questo articolo non esiste e, data l'ora, sto semplicemente sognando. Senza offesa per il giornalista, che è indubbiamente una persona intelligente, ma in questo caso non posso proprio trattenermi dal reagire a quello che leggo.****Perchè se invece questo articolo esiste e non sto sognando, chi lo ha scritto sta inconsapevolmente aiutando i Grandi Fratelli, quelli veri, ad essere sempre più grandi, onnipresenti, invisibili. Vogliono dare il certificato di attendibilità non più solo ai siti, ma anche ai router.Ma del resto i certificati li danno alle persone, alle etnie, ai popoli, alle idee, sarebbe proprio da ipocriti non darli ai router. Solo che chi non vuole essere controllato dovrebbe opporsi sempre e comunque.****Controllare gli utenti è da dilettanti, quando si possono controllare le infrastrutture.CONTROLLARNE UNO PER CONTROLLARNE CENTO. Dicendovi che ora sarete liberi dal controllo.Ma per piacere...-
Re: Controllare gli utenti è da dilettanti
- Scritto da: Federico Razzoli
Giuda ballerino, ma che diavolo state dicendo???
Quando io cammino per strada e chiedo
informazioni a qualcuno "per andare dove devo
andare", quella persona saprà dove sto andando. E
allora? Chi se ne frega! Che altro può fare? Mi
segue? Bè, tra decine di persone dovrei essere
proprio sfigato per beccare un cretino del
genere, e se proprio succede vedrò come
comportarmi, non mi pare una tragedia. Mi manda
nella direzione sbagliata? Oh, beh, questa poi...
chiedo a un altro e ho già risolto il
problema.
Il paragone non regge. Hai chiaro il concetto di eavesdropping? Hai chiaro che io potrei mettermi a fare da ponte su comunicazioni di qualsiasi tipo? Se io divento un nodo principale per le richieste di routing, a uel punto i pacchetti passano da me. E quando i pacchetti passano dalle mie parti, io ci posso fare quello che voglio. Per esempio? Corromperli. Prendiamo un caso banale: uso la tecnica descritta, e mi metto a fare da nodo per una buona mole di traffico. Fra tutto il vario traffico trovo, puta caso, il traffico di una banca. Tutte le transazioni degli utenti passano da me. Dici: tanto non ce la fai a decrittarle. Va bene, ma io mi limito a modificare i pacchetti in maniera casuale. Questo sai cosa vuol dire? DOS. E se lo faccio con tutto il traffico che mi passa, ottengo un DDOS.-
Re: Controllare gli utenti è da dilettanti
tutto giustissimo ma il ddos e' un'altra cosa.-
Re: Controllare gli utenti è da dilettanti
- Scritto da: dante
tutto giustissimo ma il ddos e' un'altra cosa.Se blocco i servizi di da/per più siti/società/quelcheè, per me è un distribuited dos... Si, lo so, magari non è la definizione corretta... però è distribuito lo stesso :D
-
-
Re: Controllare gli utenti è da dilettanti
Si, si, ho capito tutto questo. Quello che non capisco è perchè dovrebbe spaventarmi.Ti faccio un altro esempio. Una persona a me molto vicina, per sua sfortuna onesta, ha fatto qualche anno fa un giornale per corrispondenza. Corrispondenza normale, abbonamenti, coupon cartacei da ritagliare, buste, raccomandate, non email. Pagamenti con vaglia postale o carta di credito. Bene, aveva il numero di carta di credito di più di 500 persone, che non si sono preoccupate minimamente di cosa potesse farci lui con questi numeri. Queste persone sono state molto ingenue. Ma in compenso oggi, probabilmente, hanno paura a immettere il loro nome e cognome su Libero o Yahoo.Secondo me c'è qualcosa che non va in questi meccanismi.Tu mi parli di realtà. Bene, io ti dico che tutto questo non ha nulla a che vedere con la realtà, ma solo con la paranoia.Ti faccio un'altra domanda. Tu credi di avermi spaventato dicendomi cosa si può fare controllando un router. Sono cose che, ahimè, sapevo già. Ma ti sei mai chiesto cosa si può fare controllando:- una rete tv- una stazione radio- un sito giudicato credibile- i certificati di attendibilità- un giornale- una rivista- una scuola- un partito- un sindacato- uno studio legale- l'esercitoecc ecc ecc ecc?Non vedo perchè dovremmo preoccuparci dei router. Più esempi concreti mi fai e meno lo capisco.
-
-
Re: Controllare gli utenti è da dilettanti
- Scritto da: Federico Razzoli
Giuda ballerino, ma che diavolo state dicendo???
Quando io cammino per strada e chiedo
informazioni a qualcuno "per andare dove devo
andare", quella persona saprà dove sto andando. E
allora? Chi se ne frega! Che altro può fare?In questo caso, tu chiedi "Scusi, per andare al bancomat più vicino?" e quello ti risponde "Dietro l'angolo" e ti manda in un bancomat FALSO.Sostituisci ora il bancomat falso con:- il sito di e-banking che usi per il tuo conto corrente;- il sito BancoPosta;- il portale delle aste Ebay e quello dei pagamenti PayPal;- ...-
Re: Controllare gli utenti è da dilettanti
Ma sei fuori??? E' molto più semplice far saltare un bancomat... soprattutto se si vuole evitare di farsi arrestare...Se decido di fare qualcosa di illegale ricordami di non mettermi mai in società con te :)Scherzi a parte, ti sei mai accorto che fino a oggi siamo stati vittime di tutti gli inganni possibili tranne quelli che vengono paventati sui siti di informatica? :) Siate un po' più paranoici, o almeno più critici, nella realtà, e non abbiate paura dei pixel.
-
-
Re: Controllare gli utenti è da dilettanti
- Scritto da: Federico Razzoli
Giuda ballerino, ma che diavolo state dicendo???
Quando io cammino per strada e chiedo
informazioni a qualcuno "per andare dove devo
andare", quella persona saprà dove sto andando. E
allora? Chi se ne frega! Che altro può fare? Mi
segue? Bè, tra decine di persone dovrei essere
proprio sfigato per beccare un cretino del
genere, e se proprio succede vedrò come
comportarmi, non mi pare una tragedia. Mi manda
nella direzione sbagliata? Oh, beh, questa poi...
chiedo a un altro e ho già risolto il
problema.
Che cos'ho da nascondere? Il problema è che chi
ci ha sempre controllati e spera di continuare a
farlo in eterno non vuole concorrenti, vuole
essere l'unico Grande Fratello possibile,
altrimenti si sentirebbe un fratellino qualsiasi,
magari un po' spione ma
innocuo.
Si perchè il problema è proprio il controllo! No,
non evitare di farci controllare. Abbiamo
l'echelon, basta dare uno schiaffo a un vigile
per avere il telefono sotto controllo, le strade
sono piene di telecamere (la maggior parte sono
visibili, ma generalmente sono anche spente, il
problema sono quelle piccolissime, che non
vediamo), i chip sottopelle (cercate su Google
"Paolo Dorigo"), stanno mettendo gli infami
(padron, collaboratori di giustizia) perfino nei
condomini di periferia per controllare quello che
succede... in uno scenario come questo, che i
pochi cervelli non del tutto addormentati
riconoscono come apocalittico, noi ci
preoccupiamo se qualcuno viene a sapere che sono
andato sul Indymedia o su un sito porno. Ma
ripeto, chi porcacciazozza se ne strafrega (sto
cercando a fatica di evitare la censura) se vado
su un sito e qualcuno viene a saperlo!! Sanno
dove siamo, dove andiamo, cosa diciamo al
telefono quando come perchè e a chi, e qualcuno
perde anche solo un insulsissimo secondo della
sua vita a pensare "adesso
pincopallino.router.fastweb.it sa che ho visto
questo sito"???? Ma no, è ridicolo, non ci credo,
mi autoconvinco che questo articolo non esiste e,
data l'ora, sto semplicemente sognando. Senza
offesa per il giornalista, che è indubbiamente
una persona intelligente, ma in questo caso non
posso proprio trattenermi dal reagire a quello
che
leggo.
****
Perchè se invece questo articolo esiste e non sto
sognando, chi lo ha scritto sta inconsapevolmente
aiutando i Grandi Fratelli, quelli veri, ad
essere sempre più grandi, onnipresenti,
invisibili. Vogliono dare il certificato di
attendibilità non più solo ai siti, ma anche ai
router.
Ma del resto i certificati li danno alle persone,
alle etnie, ai popoli, alle idee, sarebbe proprio
da ipocriti non darli ai router. Solo che chi non
vuole essere controllato dovrebbe opporsi sempre
e
comunque.
****
Controllare gli utenti è da dilettanti, quando si
possono controllare le
infrastrutture.
CONTROLLARNE UNO PER CONTROLLARNE CENTO.
Dicendovi che ora sarete liberi dal
controllo.
Ma per piacere...Sei troppo figo quando copi l'esclamazione di Dylan Dog...http://vistabuntu.wordpress.com-
Re: Controllare gli utenti è da dilettanti
Sei troppo figo quando copi l'esclamazione di
Dylan Dog...E tu sei troppo figo quando dimostri che nonsai quotare, dai una risposta che non aggiunge niented'interessante alla discussione e ti fai pubblicita'al blog in sole 3 righe. -
Re: Controllare gli utenti è da dilettanti
Ehm... quelle erano le uniche due parole a cui non aspettavo risposta...
-
-
Re: Controllare gli utenti è da dilettanti
Ecco un altro complottista della domenica che non ha le benchè minime basi tecniche per sapere di cosa si stia parlando e se sia qualcosa di grave o no.Per favore, taci se non sai di cosa parli. -
Re: Controllare gli utenti è da dilettanti
- Scritto da: Federico Razzoli[...]
Controllare gli utenti è da dilettanti, quando si
possono controllare le
infrastrutture.
CONTROLLARNE UNO PER CONTROLLARNE CENTO.
Dicendovi che ora sarete liberi dal
controllo.a parte il resto (la possibilità di attacco "router-in-the-middle" in effetti c'è, con tutto quello che comporta)... mi sa tanto che hai centrato il vero "punto" della questione: la "soluzione" proposta è mooolto peggio del problema e porterebbe solo ad una internet "ufficiale" in cui al controllo sugli utenti si aggiunge in controllo totale della infrastrutturaed è ciò che governi e poteri economici voglionoCondizionamentoControlloCoercizioneciao-
Re: Controllare gli utenti è da dilettanti
Siamo d'accordo. Visto che il paragone che ho fatto prima secondo qualcuno non c'entrava, ne faccio un altro.Siccome capita (per fortuna) che chi non ha soldi rubi il portafoglio a chi li ha, le città sono militarizzate. I furti non incidono minimamente sulla qualità della nostra vita (i soliti cretini si astengano dal darmi risposte ovvie: a me il portafoglio l'hanno fregato 3/4 volte, e non ne ho fatto un dramma). Uso il presente perchè, anche se incidessero, la militarizzazione non li ha fatti calare nemmeno... non dico dell'1%, ma di 1 solo. Il problema, una delle cose che ci fa fare una vita di merda, è proprio la militarizzazione.Eliminare la libertà per salvare 20 euro.Eliminare i borseggiatori per fare gli interessi degli oppressori.
-
-
Re: Controllare gli utenti è da dilettanti
- Scritto da: Federico Razzoli
Controllare gli utenti è da dilettanti, quando si
possono controllare le infrastrutture.Infatti è proprio questo il problema: la possibilità di controllare una infrastruttura fondamentale della rete. Che avevi capito?
-
-
Ma figuriamoci...
...se telecom è disposta a sborsare qualcosa,ci son voluti quasi 10 anni prima che portasse l'adsl in molte parti d'italia e con un servizio pessimo...-
Re: Ma figuriamoci...
- Scritto da: Tigerman
...se telecom è disposta a sborsare qualcosa,ci
son voluti quasi 10 anni prima che portasse
l'adsl in molte parti d'italia e con un servizio
pessimo...Qui il problema è meno dispendioso: basterebbe UN SOFTWARE da installare su al massimo un CENTINAIO di router o poco più. L'investimento in materiale probabilmente non sarebbe superiore a quello di UN APPARATO ADSL.Il problema è piuttosto di tipo organizzativo (ovvero il personale che si deve mettere a fare la modifica su 100 router senza sbagliare comandi) ...-
Re: Ma figuriamoci...
Perchè secondo te è un lavoro che fanno a mano?? Guarda che è tutto automatizzato.... -
Re: Ma figuriamoci...
- Scritto da: SIGLAZY
Qui il problema è meno dispendioso: basterebbe UN
SOFTWARE da installare su al massimo un CENTINAIO
di router o poco più.
un centinaio?lol
-
-
-
Si si OK costa....
ma se i produttori di router in tutti questi anni (nei quali il problema era gia' conosciuto) si fossero messi daccordo nell implementare, almeno nei modelli "enterprise", un livello basato su ipsec o un suo subset per certificare il flusso di pacchetti ip tra router... a quest' ora ai provider al massimo sarebbe stato richiesto di aggiornare il firmware giusto per eventuali modifiche/miglioramenti al protocollo e via, almeno per risolvere l' aspetto tecnico, poi per quello politico e' una altro paio di maniche... ma gli ISP sottostanno a leggi che li obbligano a cose talmente assurde... una volta tanto potrebbe essere un motivo piu' serio e condiviso.non mi pare una cosa tanto complicata, onerosa... bastava pensarci prima e fare le cose gradualmente.-
Re: Si si OK costa....
bastava pensarci prima Perché non lo avevi proposto, prima?-
Re: Si si OK costa....
- Scritto da: Olmo
bastava pensarci prima
Perché non lo avevi proposto, prima? Perche' non e' il mio mestiere ne mipagano per questo ma ci sono persone che sono gia' lautamente remunerate?E soprattutto perche di questo problema ne so solo ora?FORSE eh?-----------------------------------------------------------Modificato dall' autore il 28 agosto 2008 13.14------------------------------------------------------------
Re: Si si OK costa....
MI COrreggo:In realta' la maggiorparte delle implementazioni di BGP fa' gia' uso di un sistema crittografico basato su MD5
-
-
-
-
Il BGP non funziona come descritto
vedo diverse imprecisioni in questo articolo-
Re: Il BGP non funziona come descritto
può essere ma una cosa è certa una modifica di questaportata non avverrà a mano che gli ISP non siano costrettiergo mai , calcolate solo il ping pong voluto dalla RIIA sulfatto di controllare ogni bit tramite gli ISP !!!!!!!!-
Re: Il BGP non funziona come descritto
Premesso c he non ne capisco assolutamente nulla, ma eventualmente passando ad ipv6 si risolverebbe?-
Re: Il BGP non funziona come descritto
- Scritto da: Giorgio
Premesso c he non ne capisco assolutamente nulla,
ma eventualmente passando ad ipv6 si
risolverebbe?No, è un problema intrinseco del protocollo BGP. Accetta sempre come vere le comunicazioni sulle metriche. -
Re: Il BGP non funziona come descritto
credo di no, perché si tratta di routing fra isp-
Re: Il BGP non funziona come descritto
si, ma anche se fosse.. basterebbe a livello software criptare i propri dati.. e poi via verso l'inifinito e oltre.. almeno sulle cose importanti come mail, voip ed altro.. poi il resto chi se ne frega? -
Re: Il BGP non funziona come descritto
- Scritto da: gino
si, ma anche se fosse..
basterebbe a livello software criptare i propri
dati.. e poi via verso l'inifinito e oltre..
e la chiave come la scambi? :)
almeno sulle cose importanti come mail, voip ed
altro.. poi il resto chi se ne
frega?"profilazione" e ho detto tutto. -
Re: Il BGP non funziona come descritto
mai sentito parlare di cifratura a chiave pubblica?chissenefrega se tutti conoscono la mia chiave pubblica, quella devono conoscerla per sapere che ssono stato io che ho firmato quella mail o che è indirizzata a me e che solo io posso aprirlaè della chiave privata che devi preoccupartie quella non si dà in giro -
Re: Il BGP non funziona come descritto
Il problema allora potrebbe essere: come faccio a sapere se la chiave pubblica che ho ricevuto è della persona a cui, effettivamente, voglio mandare un messaggio cifrato?Questo è risolvibile tramite controllo del fingerprint certo, però è una rottura de cojones in più :))- Scritto da: tuba
mai sentito parlare di cifratura a chiave
pubblica?
chissenefrega se tutti conoscono la mia chiave
pubblica, quella devono conoscerla per sapere che
ssono stato io che ho firmato quella mail o che è
indirizzata a me e che solo io posso
aprirla
è della chiave privata che devi preoccuparti
e quella non si dà in giro -
Re: Il BGP non funziona come descritto
e come fai a sapere se il controllo della fingerprint è realmente autentico?:D -
Re: Il BGP non funziona come descritto
- Scritto da: Genio Mancato
e come fai a sapere se il controllo della
fingerprint è realmente autentico?http://it.wikipedia.org/wiki/Web_of_trust -
Re: Il BGP non funziona come descritto
- Scritto da: tuba
mai sentito parlare di cifratura a chiave
pubblica?si usa per comunicazioni tipo posta elettronicaNella comunicazione in tempo reale criptata renderebbe stremamente lenta la comunicazioneGli stessi autori di RSA avevano prvisto una sessione iniziale in chiaro con scambio di una chiave simmetrica one time tramitre chiavi asimmetriche pubbliche e poi l'uso di tale chiave nella comunicazione.Purtroppo tale procedimento ha due tre punti deboli1) occorre l'accesso alla società di certificazione on line ed in chiaro e questo indirizzo può essere rediretto e quindi confermare tutte le chiavi (anche se errate) impedendo la comunicazione.... o per chi è bravo fare altro2) se la comunicazione viene intercettata prima dello scambio delle chiavi la chiave simmetrica può (dipende come si fa)essere intercettata3) si possono "truccare" i cerificati detenuti dall'utente se questo non li aggiona spesso o ridigere gli indirizzi indicati da tali certificati4) è possibile simulare l'utente commerciale nel caso di una banca quando sono noti le sue procedure...etcNessuno è mai sicuro
-
-
Re: Il BGP non funziona come descritto
- Scritto da: Giorgio
Premesso c he non ne capisco assolutamente nulla,
ma eventualmente passando ad ipv6 si risolverebbe?Si se nel momento del passaggio si fa un update del protocollo BGP.IPv4-
BGPv1 IPv6-
BGP-v2-
Re: Il BGP non funziona come descritto
- Scritto da: Ciano
- Scritto da: Giorgio
Premesso c he non ne capisco assolutamente
nulla, ma eventualmente passando ad ipv6 si
risolverebbe?
Si se nel momento del passaggio si fa un update
del protocollo BGP.
IPv4-
BGPv1 IPv6-
BGP-v2A bhe, allora si risolve anche con il 4 !!!Ma che razza di risposta ! -
Re: Il BGP non funziona come descritto
- Scritto da: Ciano
- Scritto da: Giorgio
Premesso c he non ne capisco assolutamente
nulla,
ma eventualmente passando ad ipv6 si
risolverebbe?
Si se nel momento del passaggio si fa un update
del protocollo
BGP.
IPv4-
BGPv1 IPv6-
BGP-v2Lo sai che attualmente si usa la versione 4?Comunque non e' una risposta la tua. Il BGP per come e' ora e' vulnerabile a prescindere dal protocollo IP.
-
-
-
-
Re: Il BGP non funziona come descritto
vedo diverse imprecisioni in questo articoloQuali? Mi interessa moltissimo.-
Re: Il BGP non funziona come descritto
- Scritto da: Olmo
vedo diverse imprecisioni in questo articolo
Quali? Mi interessa moltissimo.Mi sembra una buona introduzione a BGPhttp://segrinfo.ing.uniroma1.it/ingtlc/data/uploads/241BGP_2007.pdf
-
-
Re: Il BGP non funziona come descritto
"Il protocollo in questione serve proprio a questo: informa i suoi vicini o chiunque ne faccia richiesta di quali indirizzi conosce e di quale efficacia abbia nel raggiungerli, lasciando al richiedente la scelta su dove passare.""La scelta avviene unicamente in base alle informazioni fornite, prediligendo il passaggio nei nodi meno affollati: se due sistemi rispondono entrambi di conoscere una strada per raggiungere l'IP desiderato, la scelta cadrà inevitabilmente su quello che dichiarerà un range più ristretto di indirizzi"mentre wikipedia dice:"Si tratta di un protocollo di routing a indicazione di percorso (path vector), che non usa metriche di carattere tecnico ma prende le decisioni di instradamento basandosi su politiche (regole) determinate da ciascuna rete."anche io sapevo infatti che il BGP se ne frega delle prestazioni, ma è un protocollo con regole sue che dipendono da accordi politici ed economici. ditemi se sbaglio-
Re: Il BGP non funziona come descritto
- Scritto da: Genio Mancato
"Il protocollo in questione serve proprio a
questo: informa i suoi vicini o chiunque ne
faccia richiesta di quali indirizzi conosce e di
quale efficacia abbia nel raggiungerli, lasciando
al richiedente la scelta su dove
passare."
"La scelta avviene unicamente in base alle
informazioni fornite, prediligendo il passaggio
nei nodi meno affollati: se due sistemi
rispondono entrambi di conoscere una strada per
raggiungere l'IP desiderato, la scelta cadrà
inevitabilmente su quello che dichiarerà un range
più ristretto di
indirizzi"
mentre wikipedia dice:
"Si tratta di un protocollo di routing a
indicazione di percorso (path vector), che non
usa metriche di carattere tecnico ma prende le
decisioni di instradamento basandosi su politiche
(regole) determinate da ciascuna
rete."
anche io sapevo infatti che il BGP se ne frega
delle prestazioni, ma è un protocollo con regole
sue che dipendono da accordi politici ed
economici. ditemi se
sbaglioLa parola "politica" non intende "accordi politici", ma "politiche determinate da ciascuna rete", ossia "regole determinate da ciascuna rete". Quali sono queste regole?Si prediligono i nodi che hanno range più ristretti di indirizzi e che quindi si presumono con meno traffico, come scritto nell'articolo.-
Re: Il BGP non funziona come descritto
no no io intendevo proprio accordi POLITICI-economiciguarda qua: http://www.grid.unina.it/Didattica/RetiDiCalcolatori/inf/slides/RoutingParteTerza.pdfsu BGP:"la selezione del cammino è basata più su aspetti politici ed amministrativi(ad es. non passare attraverso concorrenti) che sul costo (ad es. # di ASattraversati)" -
Re: Il BGP non funziona come descritto
- Scritto da: CognomeENom e
- Scritto da: Genio Mancato
"Il protocollo in questione serve proprio a
questo: informa i suoi vicini o chiunque ne
faccia richiesta di quali indirizzi conosce e di
quale efficacia abbia nel raggiungerli,
lasciando
al richiedente la scelta su dove
passare."
"La scelta avviene unicamente in base alle
informazioni fornite, prediligendo il passaggio
nei nodi meno affollati: se due sistemi
rispondono entrambi di conoscere una strada per
raggiungere l'IP desiderato, la scelta cadrà
inevitabilmente su quello che dichiarerà un
range
più ristretto di
indirizzi"
mentre wikipedia dice:
"Si tratta di un protocollo di routing a
indicazione di percorso (path vector), che non
usa metriche di carattere tecnico ma prende le
decisioni di instradamento basandosi su
politiche
(regole) determinate da ciascuna
rete."
anche io sapevo infatti che il BGP se ne frega
delle prestazioni, ma è un protocollo con regole
sue che dipendono da accordi politici ed
economici. ditemi se
sbaglio
La parola "politica" non intende "accordi
politici", ma "politiche determinate da ciascuna
rete", ossia "regole determinate da ciascuna
rete". Quali sono queste
regole?
Si prediligono i nodi che hanno range più
ristretti di indirizzi e che quindi si presumono
con meno traffico, come scritto
nell'articolo.Non è vero, le politiche sono delle preferenze di selezione che normalmente riguardano i costi di transito (economici, guardo ad esempio quanto mi costa instradare il traffico su un AS piuttosto che su un altro, oppure preferisco altri router BGP appartenenti allo stesso AS) oppure altre motivazioni (non faccio transitare i miei dati per AS di certi paesi, ad esempio). Quello del range di indirizzi e' solo una delle possibili politiche usabili.Ad esempio posso preferire di inoltrare i dati sulle connessioni che hanno maggiore banda.Comunque non vengono usate metriche per stabilire il percorso da usare in quanto queste possono non essere comparabili tra reti diverse.
-
-
-
