La BBC e la provocazione della botnet

[yorkeiser]

Formattando lo rimuovi di sicuro, ma senza arrivare a quello dovrebbe bastare la rimozione di qualsiasi applicazione sospetta si metta in ascolto su qualsiasi porta in attesa del "segnale di incipit" (molto poco informatichese, ma almeno si capisce) del DoS.
Oppure ci si fornisce di un qualsiasi sistema di filtraggio di pacchetti (ad esempio un firewall, sia software che hardware), ma qui passo la palla agli esperti di sicurezza, non essendo il mio campo in senso stretto.

[:.Blizzard.:]

Quote:

Originariamente inviato da yorkeiser

Poi qualcuno mi spiegherà anche cosa c'entrano gli antivirus con degli attacchi di tipo Dos/DDoS, basati sulla saturazione della banda in ingresso.

Questa è una tua, errata, deduzione. L'articolo non parla di uso di anti virus ai fini di prevenire un attacco di tipo DDoS, ma di utilizzo di questi e di maggiori norme di sicurezza per evitare che un PC si infetti e diventi quindi parte integrante di una botnet.

Quote:

I tipi stessi hanno acquistato una botnet, sulla quale possono installare tutto il software/processi che vogliono e mandare in giro tutti i pacchetti che desiderano e dove più gli aggrada (subendone le ovvie conseguenze penali poi), che c'entrano i virus ? Tra l'altro, mi pare la dimostrazione dell'acqua calda, di attacchi i tipo DoS REALI ne sono stati fatti e se ne fanno tutt'ora a iosa.

Dimostrazione dell'acqua calda? Non mi sembra che l'articolo proponga soluzioni miracolose. Anzi, se la questione fosse davvero così scontata non ci sarebbero più nemmeno attacchi DoS. Il fine dell'articolo è quello di porre maggiore attenzione sul problema della sicurezza e sulla sensibilizzazione degli utenti.

Quote:

Originariamente inviato da yorkeiser

Le botnet si acquistano legalmente, ogni ip costa qualche spicciolo al mese, come appunto hanno fatto gli stessi tizi della BBC.
Si possono ottenere anche illegalmente, per l'amor di dio, ma lì si sfruttano bachi dei vari sistemi operativi per ottenere permessi da superuser sul server, e quindi anche in quel caso gli antivirus c'entrano meno di zero. L'unica, magari, sarebbe patchare tutti i server appena vengono fuori nuovi casi di exploiting, ma è comunque una soluzione temporanea.

Su questo avrei un attimo a che ridire, per il semplice fatto che in un contesto così parlare di botnet legali è proprio un controsenso visto che nel gergo informatico le botnet hanno a che vedere con computer infetti. Certo è che puoi comprare legalmente i tuoi server, i tuoi IP, ecc. ecc. ma non c'entra molto con quello che è stato scritto.
Tutto il tuo ragionamento, oltre che esser partito con i toni sbagliati, è anche fondato sull'errata lettura dell'articolo che ti dicevo all'inizio.

Quote:

Ma nel caso il tuo pc è uno di questi zombie che puoi fare? formattando il disco togli il controllo?

Formattando quasi sicuramente si toglie il problema (il quasi sta per il fatto che in via mooolto teorica potrebbero esistere infezioni all'hardware, ma in pratica ancora non ne esistono, se non prototipi malfunzionanti).
Comunque una scansione approfondita con dei software di sicurezza potrebbe risolvere il problema. Certo è che bisogna scegliere i programmi che funzionano meglio.

Per un controllo del pc c'è la sezione apposita nella sezione Antivirus e Sicurezza del forum comunque.

http://www.hwupgrade.it/forum/showthread.php?t=1599737

[StateCity]

Ancora una volta lo dico e lo ripeto, Virus Troiani e zozzerie varie, possono entrare solo
se il sistema operativo e' modificabile.
Una Live di Linux su CD Rom e' molto piu' sicura di qualsiasi SO su Hard disk..
(se nel CD c'e' un troian, chi l'ha messo e' perfettamente identificabile)
fa fede anche l' md5sum, cosa che in vindov si sono scordati da un pezzo..

Il kernel del SO dovrebbe risiedere in pratica un HD Rom..
(questo in ambito militare sarebbe una garanzia molto migliore dei vari TPA e Palladium)

Ma e' chiaro che non lo faranno mai,
non rinunceranno ad insinuare paure nella gente e quindi vendere firewalle, antivirus, ecc. ecc.

augh

[:.Blizzard.:]

Quote:

Originariamente inviato da StateCity

Ancora una volta lo dico e lo ripeto, Virus Troiani e zozzerie varie, possono entrare solo
se il sistema operativo e' modificabile.
Una Live di Linux su CD Rom e' molto piu' sicura di qualsiasi SO su Hard disk..
(se nel CD c'e' un troian, chi l'ha messo e' perfettamente identificabile)
fa fede anche l' md5sum, cosa che in vindov si sono scordati da un pezzo..

Il kernel del SO dovrebbe risiedere in pratica un HD Rom..
(questo in ambito militare sarebbe una garanzia molto migliore dei vari TPA e Palladium)

Ma e' chiaro che non lo faranno mai,
non rinunceranno ad insinuare paure nella gente e quindi vendere firewalle, antivirus, ecc. ecc.

augh

Olè, ora siamo alla frutta.
A parte il fatto che non è che la distro live di Linux è l'unica infallibile, quindi puoi benissimo estendere il discorso dell'inalterabilità a qualsiasi SO su supporto di memoria a sola lettura. Oltretutto vorrei vedere a te a svolgere, sviluppare o interagire con applicazioni di un SO su CD.

Quindi il tuo reply lascia davvero il tempo che trova.

[StateCity]

Quote:

Originariamente inviato da :.Blizzard.:

Olè, ora siamo alla frutta.
A parte il fatto che non è che la distro live di Linux è l'unica infallibile, quindi puoi benissimo estendere il discorso dell'inalterabilità a qualsiasi SO su supporto di memoria a sola lettura. Oltretutto vorrei vedere a te a svolgere, sviluppare o interagire con applicazioni di un SO su CD.

Quindi il tuo reply lascia davvero il tempo che trova.

Io ho solo perfettamente raggione
il vecchio C64 non ha mai avuto problemi di virus
i virus sono arrivati con i supporti riscrivibili a fantasia del SO..

[:.Blizzard.:]

Quote:

Originariamente inviato da StateCity

Io ho solo perfettamente raggione
il vecchio C64 non ha mai avuto problemi di virus
i virus sono arrivati con i supporti riscrivibili a fantasia del SO..

http://virus.wikia.com/wiki/Com64/BHP
http://www.viruslist.com/en/weblog?weblogid=208187468

bastano per provare che non sai quello che scrivi?

[cdimauro]

Quote:

Originariamente inviato da StateCity

Ancora una volta lo dico e lo ripeto, Virus Troiani e zozzerie varie, possono entrare solo
se il sistema operativo e' modificabile.

Falso: basta una falla nel sistema.

Quote:

Una Live di Linux su CD Rom e' molto piu' sicura di qualsiasi SO su Hard disk..

Vedi sopra. Inoltre Linux non è l'unico s.o. che si può far girare da CD-Rom o DVD.

Quote:

(se nel CD c'e' un troian, chi l'ha messo e' perfettamente identificabile)
fa fede anche l' md5sum, cosa che in vindov si sono scordati da un pezzo..

Secondo te come fa Windows a riconoscere un driver WHDL da uno che non lo è?

Quote:

Il kernel del SO dovrebbe risiedere in pratica un HD Rom..

Non ti metterebbe al sicuro. Vedi sopra. Inoltre se il kernel fosse il ROM e il resto no, basterebbe sfruttare "il resto" per fregare il sistema.

Quote:

(questo in ambito militare sarebbe una garanzia molto migliore dei vari TPA e Palladium)

Ma anche no, visto un conto è eseguire codice (su ROM o dove vuoi) non firmato, e tutt'altra cosa eseguire codice firmato (su qualunque dispositivo di massa e non).

Quote:

Ma e' chiaro che non lo faranno mai,
non rinunceranno ad insinuare paure nella gente e quindi vendere firewalle, antivirus, ecc. ecc.

augh

Le solite leggende metropolitane trite e ritrite che sono dure a morire.

Il bello è che abbiamo già avuto modo di parlare delle stesse cose in un thread qualche mese fa, ma vedo che non è servito a nulla...

[StateCity]

Quote:

Originariamente inviato da :.Blizzard.:

http://virus.wikia.com/wiki/Com64/BHP
http://www.viruslist.com/en/weblog?weblogid=208187468

bastano per provare che non sai quello che scrivi?

il C64 a cassette, non ha mai sofferto di virus,
anche xche' era impossibile la replicazione del virus su nastro..
forse solo qualcosa di accademico, su floppy, ma neanche molto..

Quote:

Originariamente inviato da cdimauro

Falso: basta una falla nel sistema.

Il virus o c'e' o c'entra... puoi avere tutte le falle che vuoi, se il kernel e' su rom,
non ci entri, al limite puoi entrare in memoria, ma sarebbe annullato al prossimo riavvio.

Un ottimo sistema sarebbe fornire su rom anche il checksum degli applicativi.

Quote:

Originariamente inviato da cdimauro

Vedi sopra. Inoltre Linux non è l'unico s.o. che si può far girare da CD-Rom o DVD.

Thanks for the info

Quote:

Originariamente inviato da cdimauro

Non ti metterebbe al sicuro. Vedi sopra. Inoltre se il kernel fosse il ROM e il resto no, basterebbe sfruttare "il resto" per fregare il sistema.

Metti in rom anche il cheksum degli applicativi, e sara' vita difficile per qualunque troian o virus..

Quote:

Originariamente inviato da cdimauro

Ma anche no, visto un conto è eseguire codice (su ROM o dove vuoi) non firmato, e tutt'altra cosa eseguire codice firmato (su qualunque dispositivo di massa e non).

Le solite leggende metropolitane trite e ritrite che sono dure a morire.

Il bello è che abbiamo già avuto modo di parlare delle stesse cose in un thread qualche mese fa, ma vedo che non è servito a nulla...

Con il codice "firmato" si arriva ad una rigidita' del sistema improponibile,
e pensare che proprio i militari volevano, mezzi meccanici con le parti
facilmente intercambiabili..
Con TPA firme e controfirme anche solo scambiare hd da un PC all' altro, si blocca tutto..

Enjoy..

[cdimauro]

Quote:

Originariamente inviato da StateCity

il C64 a cassette, non ha mai sofferto di virus,
anche xche' era impossibile la replicazione del virus su nastro..

Molto difficile sì, impossibile direi proprio di no. Hai idea di come funzionava il meccanismo di lettura/scrittura dei dati su nastro?

Lo sai che, ad esempio, i famosi "turbo tape" si installavano in memoria?

Quote:

forse solo qualcosa di accademico, su floppy, ma neanche molto..

Su floppy sicuramente sì (posto che non ci fosse la protezione dalla scrittura).

Quote:

Il virus o c'e' o c'entra... puoi avere tutte le falle che vuoi, se il kernel e' su rom,
non ci entri, al limite puoi entrare in memoria, ma sarebbe annullato al prossimo riavvio.

Ma sarebbe comunque possibile, seppur limitato, come vedi.

Quote:

Un ottimo sistema sarebbe fornire su rom anche il checksum degli applicativi.

Metti in rom anche il cheksum degli applicativi, e sara' vita difficile per qualunque troian o virus..

Direi proprio di no. Ad esempio prima hai citato l'MD5, ma dovresti sapere che è stato crackato (anche lo SHA-1, se non erro). Le implicazioni di ciò sono ovvie.

Quote:

Con il codice "firmato" si arriva ad una rigidita' del sistema improponibile,

Qual è la differenza coi checksum di cui parlavi prima?

Quote:

e pensare che proprio i militari volevano, mezzi meccanici con le parti
facilmente intercambiabili..
Con TPA firme e controfirme anche solo scambiare hd da un PC all' altro, si blocca tutto..

Enjoy..

Non è affatto così. E ribadisco: qual è la differenza col sistema di checksum che vorresti utilizzare?

[StateCity]

rispondo solo ad alcuni punti che ho da fare..

Quote:

Originariamente inviato da cdimauro

Direi proprio di no. Ad esempio prima hai citato l'MD5, ma dovresti sapere che è stato crackato (anche lo SHA-1, se non erro). Le implicazioni di ciò sono ovvie.

Crakkato a livello accademico..

Quote:

Originariamente inviato da cdimauro

Qual è la differenza coi checksum di cui parlavi prima?

Non è affatto così. E ribadisco: qual è la differenza col sistema di checksum che vorresti utilizzare?

Scambia un Hard disk, scambia una CPU e il PC nn funziona piu'...
Very tattica militare..

[cdimauro]

Quote:

Originariamente inviato da StateCity

rispondo solo ad alcuni punti che ho da fare..

Rispondi pure quando vuoi: per me non c'è problema.

Quote:

Crakkato a livello accademico..

Ma anche no, visto che, una volta che è stato pubblicato, lo studio è potenzialmente utilizzabile da chiunque.

Quote:

Scambia un Hard disk, scambia una CPU e il PC nn funziona piu'...
Very tattica militare..

Basta portarsi dietro il keyring.

Comunque non hai risposto alla mia domanda.

[eraser]

Quote:

Originariamente inviato da StateCity

Ancora una volta lo dico e lo ripeto, Virus Troiani e zozzerie varie, possono entrare solo
se il sistema operativo e' modificabile.
Una Live di Linux su CD Rom e' molto piu' sicura di qualsiasi SO su Hard disk..
(se nel CD c'e' un troian, chi l'ha messo e' perfettamente identificabile)
fa fede anche l' md5sum, cosa che in vindov si sono scordati da un pezzo..

Il kernel del SO dovrebbe risiedere in pratica un HD Rom..
(questo in ambito militare sarebbe una garanzia molto migliore dei vari TPA e Palladium)

Ma e' chiaro che non lo faranno mai,
non rinunceranno ad insinuare paure nella gente e quindi vendere firewalle, antivirus, ecc. ecc.

augh

Non spenderò troppe parole sull'argomento, visto che la testardaggine di avere ragione purtroppo è un vizio duro a morire.

Bisogna innanzitutto distinguere l'utilizzo di un PC in ambito militare piuttosto che in ambito lavorativo/casalingo. Hanno esigenze totalmente differenti.

L'utilizzo di un sistema live non rende le cose del tutto più sicure. Nel momento in cui un sistema live parte, copia in memoria le parti fondamentali. In memoria sono modificabili tanto quanto un sistema regolare in uso. L'unico vantaggio è che, al riavvio, i file vengono ricaricati dal dispositivo di sola lettura e di conseguenza ogni modifica apportata in memoria viene rimossa. Aggiungo inoltre che solo per determinate infezioni è importante la possibilità di modificare i file del sistema operativo. Alla maggior parte non gliene frega assolutamente niente.

Dunque un malware non può esistere su sistemi live? Assolutamente falso. Un sistema live può salvare file, navigare su Internet, eseguire applicazioni alla stessa maniera. Come tale, può essere vittima di un'infezione.

Chiaro, il file verrà salvato in memoria e al riavvio sarà eliminato. Cosa cambia? Niente, cambia che al riavvio l'infezione sarà scomparsa. È sufficiente? No.

Ad un malware con funzionalità di password stealer, ad esempio, basta poter essere eseguito una volta per rubare le informazioni all'interno del PC e spedirle all'esterno. Sto facendo un esempio standard, senza considerare altre misure di sicurezza, dati crittografati e blablabla vari che all'utenza comune poco importano.

Vogliamo evitare l'eseguibilità di programmi se non quelli autorizzati presenti sul live CD? Benissimo. Credi che cambi come cosa? Un programma necessita di aggiornamenti, un browser può essere vulnerabile e, come tale, cadere in una pagina web che sfrutti quella vulnerabilità per l'esecuzione di codice da remoto. Non è neanche necessario (seppur sia la via più semplice) che il file malevolo venga scritto in memoria, basta che sia caricato all'interno della zona di memoria del browser. Stessa situazione: un possibile password stealer che ruberà le informazioni dal "live-PC".

Non voglio chiaramente parlare del rischio di collisioni MD5/SHA1 perché è stato dimostrato e può essere utilizzato, seppur ad oggi non se ne siano sentiti casi ecclatanti.

Cosa vai a risolvere con una distribuzione live CD? La persistenza di un'infezione. Un buon traguardo, via. Cosa vai a eliminare? Circa (anche oltre) il 70% dell'utenza che non avrà un sistema operativo di utilizzo facile, cosa che Microsoft si è proposta da tempo tra i suoi obiettivi.

L'utilizzo in ambito militare di un'applicazione tale richiede non solo che il sistema sia pulito, ma che non sia raggiungibile dall'esterno e che tutto quello a cui quel PC può accedere sia bonificato e sicuramente innocuo. Altrimenti è inutile che ci sia un live CD.

[StateCity]

Quote:

Originariamente inviato da eraser

....
......................................
Chiaro, il file verrà salvato in memoria e al riavvio sarà eliminato. Cosa cambia? Niente, cambia che al riavvio l'infezione sarà scomparsa. È sufficiente? No.
.......................................

e te pare poco...

[StateCity]

Quote:

Originariamente inviato da cdimauro

Rispondi pure quando vuoi: per me non c'è problema.

Ma anche no, visto che, una volta che è stato pubblicato, lo studio è potenzialmente utilizzabile da chiunque.

Ma per rendere 2 file diversi con lo stesso cheksum, non e' impresa da poco,
anche in termini di risorse di calcolo...

Quote:

Originariamente inviato da cdimauro

Basta portarsi dietro il keyring.

con TPA Hardware non lo vedo cosi' facile..

Quote:

Originariamente inviato da cdimauro

Comunque non hai risposto alla mia domanda.

Lo stesso metodo dei server, ma tutto assieme al OS in ROM...
di ogni applicativo si registra il md5sum certificato,
in esecuzione, invece dell' antivirus (che ha bisogno del pattern aggiornato),
si esegue un check di sistema in area R/W program user.

Cmq. oggi la new engennering punta tutto sulla complicazione delle cose semplici...

Cdi prenditi un auto che per smontare i fari, bisogna tirar giu' mezzo paraurti..
poi mi darai raggione..

[eraser]

Quote:

Originariamente inviato da StateCity

e te pare poco...

Beh via, un sistema operativo che non ti salva niente ed ogni volta che devi installare una nuova periferica con driver differenti devi rimasterizzare il cd...niente male

[cdimauro]

Quote:

Originariamente inviato da StateCity

Ma per rendere 2 file diversi con lo stesso cheksum, non e' impresa da poco,
anche in termini di risorse di calcolo...

In tal caso potresti spiegarmi come mai c'è la corsa al successore dello SHA-1, e l'invito ad adottarlo quanto prima?

Quote:

con TPA Hardware non lo vedo cosi' facile..

Se non ricordo male è previsto dalle specifiche TCPA.

Quote:

Lo stesso metodo dei server, ma tutto assieme al OS in ROM...
di ogni applicativo si registra il md5sum certificato,
in esecuzione, invece dell' antivirus (che ha bisogno del pattern aggiornato),
si esegue un check di sistema in area R/W program user.

Su questo ha risposto "eraser", ma continui a non rispondere alla mia precedente domanda.

Quote:

Cmq. oggi la new engennering punta tutto sulla complicazione delle cose semplici...

"Je' la natura" - Avvocato di Johnny Stecchino.

Quote:

Cdi prenditi un auto che per smontare i fari, bisogna tirar giu' mezzo paraurti..
poi mi darai raggione..

A me basta smontare le tue affermazioni.

Leggi: aspetto ancora una risposta a quella domanda. Inoltre ti faccio notare che nelle precedenti risposte hai "stranamente" salto dei miei quote.

[Fradetti]

mi piacerebbe sapere se in tutte le redazioni nazionali e regionali rai esiste un giornalista che sa cos'è una botnet

BBC sempre il meglio

[StateCity]

Quote:

Originariamente inviato da cdimauro

In tal caso potresti spiegarmi come mai c'è la corsa al successore dello SHA-1, e l'invito ad adottarlo quanto prima?

http://en.wikipedia.org/wiki/Md5sum
"Note that a cryptanalytic attack on the MD5 algorithm has been found[1] [2], which means a method has been found to calculate a file that will have a given md5sum in less than the time required for a brute force attack."

Quote:

Originariamente inviato da cdimauro

Se non ricordo male è previsto dalle specifiche TCPA.

il self check di bios con componenti sostituiti nn lo passa.. imho

Quote:

Originariamente inviato da cdimauro

Su questo ha risposto "eraser", ma continui a non rispondere alla mia precedente domanda.

la domanda era formulata male

Quote:

Originariamente inviato da cdimauro

"Je' la natura" - Avvocato di Johnny Stecchino.

e sti gran caxxi [cit.]

Quote:

Originariamente inviato da cdimauro

A me basta smontare le tue affermazioni.

smonta prima l'apple che ci trovi zio friz..

Quote:

Originariamente inviato da cdimauro

Leggi: aspetto ancora una risposta a quella domanda. Inoltre ti faccio notare che nelle precedenti risposte hai "stranamente" salto dei miei quote.

La domanda era forumlata male,
Cmq. ti ho detto che avevo fretta, mi dispiace, non ho tutto questo tempo...

Cmq. di una cosa ti devo dare atto, che tu gli avversari li batti per sfinimento..

[cdimauro]

Quote:

Originariamente inviato da StateCity

http://en.wikipedia.org/wiki/Md5sum
"Note that a cryptanalytic attack on the MD5 algorithm has been found[1] [2], which means a method has been found to calculate a file that will have a given md5sum in less than the time required for a brute force attack."

Appunto. Grazie per la conferma.

Quote:

il self check di bios con componenti sostituiti nn lo passa.. imho

Si parlava del keyring trasportabile qui.
La tua risposta non è pertinente.

Quote:

la domanda era formulata male

Qual è la parte che non comprendi? Così la riformulo.

Quote:

smonta prima l'apple che ci trovi zio friz..

Il chip Fritz ce l'ho nel mio stupendo ThinkPad R40, e l'ho saputo soltanto ANNI dopo.

Incredibilmente... sono sopravvissuto lo stesso.

Quote:

La domanda era forumlata male,

Vedi sopra: sottolinea pure la o le parti che non comprendi, e vedrò di riformularla in altri termini (anche se già era abbastanza semplice, e questa volta ammetto che avrei difficoltà io stesso a rielaborarla).

Quote:

Cmq. ti ho detto che avevo fretta, mi dispiace, non ho tutto questo tempo...

Non ti preoccupare: prenditi pure tutto il tempo che ti serve. Io so aspettare.

Quote:

Cmq. di una cosa ti devo dare atto, che tu gli avversari li batti per sfinimento..

E' quello che mi dicono in tanti da diversi anni. L'importante, però, è argomentare, e mi sembra che nelle mie risposte non manchino fatti e argomenti.

[StateCity]

Quote:

Originariamente inviato da cdimauro

Appunto. Grazie per la conferma.

conferma de che ?
dovresti creare un file il cui MD5 sia uguale all' originale, e che contenga
il virus o il troian mantenendo intatte le dimensioni..
nn mi sembra cosi' facile..

Quote:

Originariamente inviato da cdimauro

Si parlava del keyring trasportabile qui.
La tua risposta non è pertinente.

no, io parlavo delle brutale sostituzione dei un HD o altro componente in PC ad utilizzo militare..

Quote:

Originariamente inviato da cdimauro

Qual è la parte che non comprendi? Così la riformulo.

guarda con tutti questi post la domanda da un milione me la sono persa

Quote:

Originariamente inviato da cdimauro

Il chip Fritz ce l'ho nel mio stupendo ThinkPad R40, e l'ho saputo soltanto ANNI dopo.

Thanks for the info

Quote:

Originariamente inviato da cdimauro

Incredibilmente... sono sopravvissuto lo stesso.

dipende dalla liberta' concessa dal software

Quote:

Originariamente inviato da cdimauro

Vedi sopra: sottolinea pure la o le parti che non comprendi, e vedrò di riformularla in altri termini (anche se già era abbastanza semplice, e questa volta ammetto che avrei difficoltà io stesso a rielaborarla).

vedi sopra

Quote:

Originariamente inviato da cdimauro

Non ti preoccupare: prenditi pure tutto il tempo che ti serve. Io so aspettare.

grazie

Quote:

Originariamente inviato da cdimauro

E' quello che mi dicono in tanti da diversi anni. L'importante, però, è argomentare, e mi sembra che nelle mie risposte non manchino fatti e argomenti.

mica vivo di rendita o di un lavoro dove mi pagano per postare pensierini sul forum