c.m.g
17-10-2007, 17:54
P2P: Il Grande Fratello ti sta guardando?
http://www.datamanager.it/immaginilo/4/spy-eye.jpg
Chi si cela dietro server ed utenti spia che affollano i circuiti P2P, non necessariamente utilizzati per lo scambio illegale di files protetti da copyright? Una interessante indagine di tre ricercatori dell’Università della California, Riverside, svela tutti i retroscena della guerra aperta messa in atto dalle Majors contro Emule e simili, con notevoli implicazioni sulla privacy degli utilizzatori.
L’ultima frontiera della guerra delle Majors contro il fenomeno dello scambio illegale di files protetti da diritto d’autore ha la sua nuova arma. Sono i server spia, da tempo utilizzati sui circuiti P2P per il tracciamento del traffico e l’individuazione di utenti che scambiano illegalmente materiale protetto. Ma chi si nasconde in realtà dietro gli IP “spioni”?
Una indagine condotta da tre ricercatori del Dipartimento Computer Science & Engineering della University of California Riverside (http://www1.cs.ucr.edu/) svela interessanti retroscena sulla vicenda con alcuni elementi sicuramente strabilianti che dovrebbero far riflettere coloro i quali si sentono sicuri nello scambiare files copyright-pretected, ma anche semplicemente coloro che utilizzano “legalmente” i circuiti P2P per lo scambio di files di grandi dimensioni, non fosse altro per le implicazioni sulla privacy.
Il Dott. Michalis Faloutsos unitamente al Dott. Laxmi Bhuyan ed allo studente Anirban Banerjee hanno svolto la minuziosa indagine scandagliando la rete alla ricerca di IP “sospetti”.
A loro abbiamo posto alcune domande.
DMO: Quando avete iniziato lo studio sui circuiti del P2P.
Il lavoro è stato svolto nell’arco di tre mesi, utilizzando un client gnutella (mutella versione 0.4.5) opportunamente modificato per creare query automatiche e raccogliere informazioni dalla rete Gnutella.
DMO: Quali gli elementi più inaspettati emersi dallo studio?
Il 100% dei clients che abbiamo utilizzato per l’esperimento era oggetto di monitoraggio da parte di IP presenti nelle BlockList
DMO: Per l’esperimento avete utilizzato keywords correlate a materiali protetti da copyright?
Si, le parole chiave utilizzate sono semplicemente state prelevate dalla classifica musicale di MTV e da altre simili
DMO: Server spia, utenti spia, chi c’è sulle reti P2P?
Il nostro esperimento era appunto volto a verificare “a chi” ci si relaziona quando si scaricano files. Il risultato è stato che una grandissima parte degli IP raccolti, appartenevano ai cosiddetti indirizzi BOGONs.
DMO: Qual è la nazione più aggressiva nello spionaggio in questo senso?
A livello geografico abbiamo registrato una maggiore attività in questo senso verso clients P2P situati nella West Coast americana. Seguono nell’ordine Europa ed Asia.
DMO Ci sarà una nuova versione del vostro studio? Con quali novità?
Sì il lavoro è sempre in progress, continuiamo a monitorare la situazione e stiamo prevedendo di inserire uno studio anche su altri tipi di rete P2P.
Lo studio dei tre ricercatori è iniziato raccogliendo informazioni sugli IP “sospetti” di appartenere ad entità-spia. Questo è stato fatto raccogliendo informazioni da una serie di progetti software opensorce che hanno appunto l’obiettivo di raccogliere questi range di IP per includerli nelle cosiddette Blocklists . Dopodichè il Team ha analizzato più di 100 Gb di traffico TPC (header) cercando appunto di quantificare la percentuale di rischio per gli utilizzatori di essere spiati.
Il risultato è stato sconcertante, soprattutto pensando agli aspetti legati alla privacy e soprattutto alla luce del fatto che il P2P non è ad uso esclusivo di chi vuole condividere illegalmente files protetti ma è anche molto utilizzato, ad esempio, per scambiare files di grandi dimensioni. Pensiamo alle “corpose” distribuzioni Linux ma non solo.
Il 100% dei pacchetti è passato attraverso IP presenti nelle blocklists.
Altro aspetto interessante è che i 5 IP-Range principali la fanno da padrone, contribuendo a circa il 94% del totale degli Ip presenti nelle Blocklists. Eliminando queste serie di IP la percentuale di possibilità di essere spiati scende drasticamente all’1%.
Ma l’indagine ha portato ad altri elementi: gli UPs (Ultra peers), i nodi a larghissima banda che si comportanto da “centrale” hanno la medesima probabilità di essere tracciati rispetto ai leaf nodes, in contrasto all’opinione diffusa secondo cui questi “super-nodi” – gli UPs appunto – sarebbero soggetti a maggiore spionaggio.
Ma chi sta spiando?
La disamina sulle identità del grande fratello del P2P, svela qualche risultato inatteso.
Intanto, , meno dello 0,5% degli IP “unici” contattati durante l’esperimento sono risultati esplicitamente di proprietà di media companies.
La maggior parte invece degli ip presenti nelle Blocklists appartengono al Governo e a corporate-lists (circa il 71% del totale, cioè 2 volte e mezzo in più delle Educationals, delle spyware e delle adware lists messe insieme).
Questo aspetto apparentemente "normale" nasconde invece qualche elemento di riflessione. La grande frequenza di contatto con alcune reti commerciali, la loro presenza all'interno di Blacklists insinuano infatti il sospetto che a queste entità gli ISP commissionino il lavoro di raccogliere dati sugli utenti che si collegano per scaricare materiale.
L'ipotesi secondo la quale questi privati non siano consci del fatto che i loro server siano parte di un circuito P2P accettando connessioni da parte di soggetti che scaricano materiale (in modo legale e non) appare priva di fondamento in ragione del fatto che ogni volta che i ricercatori hanno cercato di scaricare un file dopo una ricerca dal loro client, questi server sono entrati a far parte dei server "fornitori" ed hanno tenuto traccia dei loro dati (pensare ad una scarsa attenzione all'aspetto sicurezza sembra quindi ipotesi da scartare). I server in questione in sostanza avevano tutti i files più popolari pronti ad essere scaricati ed il downtime era pressochè nullo, il che elimina definitivamente lo scenario che le macchine in questione fossero state trasfromate in BOT, notoriamente caratterizzate da connessioni lente. (Una botnet è una rete di computer collegati ad internet che, a causa di falle nella sicurezza o mancanza di attenzione da parte dell'utente e dell'amministratore di sistema, vengono infettati da virus informatici o trojan i quali consentono ai loro creatori di controllare il sistema da remoto.)
Interessante anche il fatto che in molte Blacklist sono risultati invece presenti gruppi di IP non allocati, i cosiddetti BOGONS.
BOGON è l’acronimo utilizzato per descrivere blocchi di IP non allocati dallo IANA (Internet Assigned Numbers Authority) e dal RIR (Regional Internet Registries) agli ISP e alle organizzazioni e tutti gli IP riservati per usi privati e speciali dell’RFC.
Considerato che questi blocchi di IP risultano non assegnati oppure riservati per usi speciali, non dovrebbero essere “presenti” su internet. La verità è che invece spesso questi IP appaiono eccome ed anzi risultano essere i più utilizzati per usi illeciti (avendo appunto la caratteristica di garantire l’anonimato) dagli attacchi DoS, allo spamming e a tutte le altre attività di hacking correlate a problemi di sicurezza.
In sostanza quindi, la maggior parte delle entità più attive nello spionaggio presenti nelle Blocklist sono risultate, in questa ricerca, appartenere a organizzazioni che vogliono rimanere anonime. Su 15 “entità” presenti nelle Blocklist raccolte dagli studiosi durante l’esperimento ben 12 appaiono infatti come BOGON.
La ricerca condotta da Michalis Faloutsos, Laxmi Bhuyan e Anirban Banerjee dell’Università della California, Riverside - corredata da tutti gli aspetti tecnici con grafici e tabelle - è liberamente scaricabile cliccando qui (http://www1.cs.ucr.edu/store/techreports/UCR-CS-2006-06201.pdf)
Fonte: datamanager.it (http://www.datamanager.it/articoli.php?visibile=1&idricercato=21708)
http://www.datamanager.it/immaginilo/4/spy-eye.jpg
Chi si cela dietro server ed utenti spia che affollano i circuiti P2P, non necessariamente utilizzati per lo scambio illegale di files protetti da copyright? Una interessante indagine di tre ricercatori dell’Università della California, Riverside, svela tutti i retroscena della guerra aperta messa in atto dalle Majors contro Emule e simili, con notevoli implicazioni sulla privacy degli utilizzatori.
L’ultima frontiera della guerra delle Majors contro il fenomeno dello scambio illegale di files protetti da diritto d’autore ha la sua nuova arma. Sono i server spia, da tempo utilizzati sui circuiti P2P per il tracciamento del traffico e l’individuazione di utenti che scambiano illegalmente materiale protetto. Ma chi si nasconde in realtà dietro gli IP “spioni”?
Una indagine condotta da tre ricercatori del Dipartimento Computer Science & Engineering della University of California Riverside (http://www1.cs.ucr.edu/) svela interessanti retroscena sulla vicenda con alcuni elementi sicuramente strabilianti che dovrebbero far riflettere coloro i quali si sentono sicuri nello scambiare files copyright-pretected, ma anche semplicemente coloro che utilizzano “legalmente” i circuiti P2P per lo scambio di files di grandi dimensioni, non fosse altro per le implicazioni sulla privacy.
Il Dott. Michalis Faloutsos unitamente al Dott. Laxmi Bhuyan ed allo studente Anirban Banerjee hanno svolto la minuziosa indagine scandagliando la rete alla ricerca di IP “sospetti”.
A loro abbiamo posto alcune domande.
DMO: Quando avete iniziato lo studio sui circuiti del P2P.
Il lavoro è stato svolto nell’arco di tre mesi, utilizzando un client gnutella (mutella versione 0.4.5) opportunamente modificato per creare query automatiche e raccogliere informazioni dalla rete Gnutella.
DMO: Quali gli elementi più inaspettati emersi dallo studio?
Il 100% dei clients che abbiamo utilizzato per l’esperimento era oggetto di monitoraggio da parte di IP presenti nelle BlockList
DMO: Per l’esperimento avete utilizzato keywords correlate a materiali protetti da copyright?
Si, le parole chiave utilizzate sono semplicemente state prelevate dalla classifica musicale di MTV e da altre simili
DMO: Server spia, utenti spia, chi c’è sulle reti P2P?
Il nostro esperimento era appunto volto a verificare “a chi” ci si relaziona quando si scaricano files. Il risultato è stato che una grandissima parte degli IP raccolti, appartenevano ai cosiddetti indirizzi BOGONs.
DMO: Qual è la nazione più aggressiva nello spionaggio in questo senso?
A livello geografico abbiamo registrato una maggiore attività in questo senso verso clients P2P situati nella West Coast americana. Seguono nell’ordine Europa ed Asia.
DMO Ci sarà una nuova versione del vostro studio? Con quali novità?
Sì il lavoro è sempre in progress, continuiamo a monitorare la situazione e stiamo prevedendo di inserire uno studio anche su altri tipi di rete P2P.
Lo studio dei tre ricercatori è iniziato raccogliendo informazioni sugli IP “sospetti” di appartenere ad entità-spia. Questo è stato fatto raccogliendo informazioni da una serie di progetti software opensorce che hanno appunto l’obiettivo di raccogliere questi range di IP per includerli nelle cosiddette Blocklists . Dopodichè il Team ha analizzato più di 100 Gb di traffico TPC (header) cercando appunto di quantificare la percentuale di rischio per gli utilizzatori di essere spiati.
Il risultato è stato sconcertante, soprattutto pensando agli aspetti legati alla privacy e soprattutto alla luce del fatto che il P2P non è ad uso esclusivo di chi vuole condividere illegalmente files protetti ma è anche molto utilizzato, ad esempio, per scambiare files di grandi dimensioni. Pensiamo alle “corpose” distribuzioni Linux ma non solo.
Il 100% dei pacchetti è passato attraverso IP presenti nelle blocklists.
Altro aspetto interessante è che i 5 IP-Range principali la fanno da padrone, contribuendo a circa il 94% del totale degli Ip presenti nelle Blocklists. Eliminando queste serie di IP la percentuale di possibilità di essere spiati scende drasticamente all’1%.
Ma l’indagine ha portato ad altri elementi: gli UPs (Ultra peers), i nodi a larghissima banda che si comportanto da “centrale” hanno la medesima probabilità di essere tracciati rispetto ai leaf nodes, in contrasto all’opinione diffusa secondo cui questi “super-nodi” – gli UPs appunto – sarebbero soggetti a maggiore spionaggio.
Ma chi sta spiando?
La disamina sulle identità del grande fratello del P2P, svela qualche risultato inatteso.
Intanto, , meno dello 0,5% degli IP “unici” contattati durante l’esperimento sono risultati esplicitamente di proprietà di media companies.
La maggior parte invece degli ip presenti nelle Blocklists appartengono al Governo e a corporate-lists (circa il 71% del totale, cioè 2 volte e mezzo in più delle Educationals, delle spyware e delle adware lists messe insieme).
Questo aspetto apparentemente "normale" nasconde invece qualche elemento di riflessione. La grande frequenza di contatto con alcune reti commerciali, la loro presenza all'interno di Blacklists insinuano infatti il sospetto che a queste entità gli ISP commissionino il lavoro di raccogliere dati sugli utenti che si collegano per scaricare materiale.
L'ipotesi secondo la quale questi privati non siano consci del fatto che i loro server siano parte di un circuito P2P accettando connessioni da parte di soggetti che scaricano materiale (in modo legale e non) appare priva di fondamento in ragione del fatto che ogni volta che i ricercatori hanno cercato di scaricare un file dopo una ricerca dal loro client, questi server sono entrati a far parte dei server "fornitori" ed hanno tenuto traccia dei loro dati (pensare ad una scarsa attenzione all'aspetto sicurezza sembra quindi ipotesi da scartare). I server in questione in sostanza avevano tutti i files più popolari pronti ad essere scaricati ed il downtime era pressochè nullo, il che elimina definitivamente lo scenario che le macchine in questione fossero state trasfromate in BOT, notoriamente caratterizzate da connessioni lente. (Una botnet è una rete di computer collegati ad internet che, a causa di falle nella sicurezza o mancanza di attenzione da parte dell'utente e dell'amministratore di sistema, vengono infettati da virus informatici o trojan i quali consentono ai loro creatori di controllare il sistema da remoto.)
Interessante anche il fatto che in molte Blacklist sono risultati invece presenti gruppi di IP non allocati, i cosiddetti BOGONS.
BOGON è l’acronimo utilizzato per descrivere blocchi di IP non allocati dallo IANA (Internet Assigned Numbers Authority) e dal RIR (Regional Internet Registries) agli ISP e alle organizzazioni e tutti gli IP riservati per usi privati e speciali dell’RFC.
Considerato che questi blocchi di IP risultano non assegnati oppure riservati per usi speciali, non dovrebbero essere “presenti” su internet. La verità è che invece spesso questi IP appaiono eccome ed anzi risultano essere i più utilizzati per usi illeciti (avendo appunto la caratteristica di garantire l’anonimato) dagli attacchi DoS, allo spamming e a tutte le altre attività di hacking correlate a problemi di sicurezza.
In sostanza quindi, la maggior parte delle entità più attive nello spionaggio presenti nelle Blocklist sono risultate, in questa ricerca, appartenere a organizzazioni che vogliono rimanere anonime. Su 15 “entità” presenti nelle Blocklist raccolte dagli studiosi durante l’esperimento ben 12 appaiono infatti come BOGON.
La ricerca condotta da Michalis Faloutsos, Laxmi Bhuyan e Anirban Banerjee dell’Università della California, Riverside - corredata da tutti gli aspetti tecnici con grafici e tabelle - è liberamente scaricabile cliccando qui (http://www1.cs.ucr.edu/store/techreports/UCR-CS-2006-06201.pdf)
Fonte: datamanager.it (http://www.datamanager.it/articoli.php?visibile=1&idricercato=21708)