Ditribuzione di aggiornamenti Windows via rete P2P

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sistemi...p2p_56469.html

La modalità di distribuzione degli aggiornamenti di Microsoft potrebbe presto cambiare con l'adozione di una nuova soluzione basata su una rete P2P: in uno scenario simile non sarebbe più il solo Windows Update a diffondere aggiornamenti ma anche altri sistemi in rete

Click sul link per visualizzare la notizia.

[djfix13]

sulla "originalità" dei file abbiamo tutti dei dubbi non indifferenti e sul fatto che io o altri client dobbiamo tenere nel sistema file giusto per distribuirli ad altri (onere di spazio disco) o generare traffico in background non voluto (problema anche su connessioni a pagamento o con tetto massimo).
insomma o il servizio P2P è a sua volta sostenuto da partner-servers diaciamo così che aiutano MS nella distribuzione o la cosa client-client è solo bella in teoria.

[LMCH]

All'interno di una rete sicura la cosa avrebbe i suoi vantaggi in termini di traffico esterno e di sincronizzazione degli update.
Ma una cosa del genere si presta anche a scenari da "apocalisse di pc zombie" se non viene gestita in modo ultra-rigoroso da parte di Microsoft.

[floc]

non posso che concordare: all'interno della MIA rete, sui MIEI pc e' una ottima idea, risparmio tempo e banda. Da e verso altri? Neanche per idea: 1 non mi fido, 2 io la banda la pago, se in ms vogliono una mano che mi paghino, poi ne riparliamo. Ma pensa te

[Unrealizer]

Quote:

Originariamente inviato da djfix13

sulla "originalità" dei file abbiamo tutti dei dubbi non indifferenti e sul fatto che io o altri client dobbiamo tenere nel sistema file giusto per distribuirli ad altri (onere di spazio disco) o generare traffico in background non voluto (problema anche su connessioni a pagamento o con tetto massimo).
insomma o il servizio P2P è a sua volta sostenuto da partner-servers diaciamo così che aiutano MS nella distribuzione o la cosa client-client è solo bella in teoria.

sull'originalità dei file non ci sono dubbi: il PC scaricherebbe comunque lista dei file e relativi hash dai server MS, inoltre i cab degli update sono firmati digitalmente da Microsoft, qualunque tentativo di tampering verrebbe immediatamente individuato

per le connessioni a pagamento o con tetto massimo ("metered"): già in Windows 8 è possibile interrompere certe operazioni relative a Windows Update in questi casi (come la ricerca automatica di driver), immagino che anche questa funzione sia automaticamente bloccata in caso di connessioni del genere

Quote:

Originariamente inviato da LMCH

All'interno di una rete sicura la cosa avrebbe i suoi vantaggi in termini di traffico esterno e di sincronizzazione degli update.
Ma una cosa del genere si presta anche a scenari da "apocalisse di pc zombie" se non viene gestita in modo ultra-rigoroso da parte di Microsoft.

già scritto sopra riguardo la sicurezza, comunque si in casa sarebbe ottimo, ma anche nelle aziende: niente più maledizioni per settare WSUS

EDIT: altri siti che hanno riportato la notizia giorni fa hanno anche indicato che ci sono 3 settaggi: disattivato, solo rete locale, anche internet

vi ricordo che il problema della sicurezza non si pone

[ziozetti]

Per le aziende mi sembra una buona idea: si scarica una volta e si condivide.
Per il privato non vedo grande utilità, al massimo il risparmio di qualche minuto per lo scaricamento.

[EmBo2]

Quote:

Originariamente inviato da ziozetti

Per le aziende mi sembra una buona idea: si scarica una volta e si condivide.

forze per le aziende potrebbe essere più efficiente mettere su un server che conserva i pacchetti di Windows update e li distribuisce tramite active directory, senza generare traffico inutile a livello della rete aziendale e con maggiore possibilità di controllo nel caso ci siano pacchetti da NON distribuire

[sbaffo]

Poi come la mettiamo con i provider di turno che mettono i filtri p2p?

[Unrealizer]

Quote:

Originariamente inviato da EmBo2

forze per le aziende potrebbe essere più efficiente mettere su un server che conserva i pacchetti di Windows update e li distribuisce tramite active directory, senza generare traffico inutile a livello della rete aziendale e con maggiore possibilità di controllo nel caso ci siano pacchetti da NON distribuire

ed esiste già (ma rileggendo il tuo post mi sa che lo sapevi )

Quote:

Originariamente inviato da Bivvoz

Andiamo bene, già nell'articolo ci si pone il problema dell'originalità del file.
P2P non sappiamo come funziona!

I problemi di "originalità" sono gli stessi che ci sono con gli update ora, cioè che qualcosa cambi il server microsoft con un server truffaldino nel nostro pc.
Cioè se il server è update.microsoft.com nel nostro pc venga sostituito da scaricatiivirus.ladri.org
Perchè se il server MS ci manda l'update con hash del file è impossibile che tramite p2p venga scaricato un file diverso.

provaci, con FiddlerCore ci vogliono 10 minuti a farlo, puoi intercettare e decriptare anche il traffico HTTPS

peccato che:

1. Windows Update usa il certificate-pinning: non gli basta che sia un cert fidato, deve essere il suo certificato
2. i pacchetti di aggiornamento sono firmati digitalmente
3. il pc scarica comunque la lista file + hash dai server microsoft
4. suddetta lista è firmata digitalmente da microsoft

dai, è il terzo post in cui scrivo queste cose e ancora tiriamo fuori la questione della sicurezza, che è l'ultimo dei problemi

[LMCH]

Quote:

Originariamente inviato da Unrealizer

dai, è il terzo post in cui scrivo queste cose e ancora tiriamo fuori la questione della sicurezza, che è l'ultimo dei problemi

E' ragionando in quel modo che la sicurezza diventa il primo dei problemi.

Se ti connetti a qualcuno chiedendogli spezzoni per l'aggiornamento X, gli stai segnalando che sei vulnerabile a quello a cui X pone rimedio e tale vulnerabilità persiste sino a quando non avrai completato lo scaricamento e poi avviato l'aggiornamento.
E la vulnerabilità serve solo per entrare dentro, mica deve persistere anche dopo.

[Unrealizer]

Quote:

Originariamente inviato da LMCH

E' ragionando in quel modo che la sicurezza diventa il primo dei problemi.

Se ti connetti a qualcuno chiedendogli spezzoni per l'aggiornamento X, gli stai segnalando che sei vulnerabile a quello a cui X pone rimedio e tale vulnerabilità persiste sino a quando non avrai completato lo scaricamento e poi avviato l'aggiornamento.
E la vulnerabilità serve solo per entrare dentro, mica deve persistere anche dopo.

a questo in effetti non avevo pensato, hai ragione mi concentravo più sulla prevenzione del tampering (che è quello di cui parlavano i post che ho quotato poi)

[floc]

e comunque non sottovaluterei nemmeno il tampering. Semplicemente ora come ora a nessuno interessa piu' di tanto corrompere il torrent che ci stiamo scaricando (fenomeno invece avvenuto eccome su rete ed2k e kad ad opera delle major), se invece ms si mette a distribuire aggiornamenti via p2p mezzo mondo cerchera' di sfondare il protocollo ed e' ragionevolmente probabile che ci si riesca.

[Unrealizer]

Quote:

Originariamente inviato da floc

e comunque non sottovaluterei nemmeno il tampering. Semplicemente ora come ora a nessuno interessa piu' di tanto corrompere il torrent che ci stiamo scaricando (fenomeno invece avvenuto eccome su rete ed2k e kad ad opera delle major), se invece ms si mette a distribuire aggiornamenti via p2p mezzo mondo cerchera' di sfondare il protocollo ed e' ragionevolmente probabile che ci si riesca.

probabilmente diventerà un target ben più grande, però il sistema di sicurezza dovrebbe essere abbastanza robusto in teoria (dall'analisi che ho letto su XDA per lo meno, avevano provato a sfruttare Windows Update per bucare Windows Phone)

[Unrealizer]

E in tutto questo mi sono appena accorto che c'è un errore nel titolo

Ditribuzione invece che Distribuzione

[ziozetti]

Quote:

Originariamente inviato da Unrealizer

E in tutto questo mi sono appena accorto che c'è un errore nel titolo

Ditribuzione invece che Distribuzione

Quando scrivi i titoli prendendo le lettere via P2P può succedere.

[bobafetthotmail]

Quote:

Originariamente inviato da LMCH

Se ti connetti a qualcuno chiedendogli spezzoni per l'aggiornamento X, gli stai segnalando che sei vulnerabile a quello a cui X pone rimedio e tale vulnerabilità persiste sino a quando non avrai completato lo scaricamento e poi avviato l'aggiornamento.

Quello che avevo letto diceva che le scansioni per trovare macchine con vulnerabilità non patchate (ad un livello professionale, non dei ragazzini brufolosi) sono automatiche e generalmente gestite da botnet (altri PC o server gestiti da capre che sono stati infettati e fanno girare dei bot che fanno appunto il lavoro sporco).

In questo contesto, sapere le vulnerabilità dal sistema P2P (cioè quando le patch sono in distribuzione, finestra di tempo piuttosto limitata) non è che ti dia tutto questo vantaggio fondamentale sulle macchine aggiornate o in aggiornamento.
Le botnet lavorano PRIMA che la patch venga distribuita (in genere giorni o più) e in parte DOPO per cercare macchine gestite da capre che non le aggiornano.

E' invece molto utile per sapere quali macchine sono già aggiornate. I bot mandano una falsa richiesta di aggiornamento X tramite il P2P e tutte le macchine che gli offrono il file da scaricare le depenni dalla lista di quelle da testare per la vulnerabilità patchata dall'aggiornamento X.

Ritengo probabile che MS intenda usare un sistema del genere per farsi qualche statistichina informale.

[LMCH]

Quote:

Originariamente inviato da bobafetthotmail

In questo contesto, sapere le vulnerabilità dal sistema P2P (cioè quando le patch sono in distribuzione, finestra di tempo piuttosto limitata) non è che ti dia tutto questo vantaggio fondamentale sulle macchine aggiornate o in aggiornamento.
Le botnet lavorano PRIMA che la patch venga distribuita (in genere giorni o più) e in parte DOPO per cercare macchine gestite da capre che non le aggiornano.

Invece i vantaggi sono enormi, le botnet invece di "cercare vittime" (generando traffico potenzialmente sospetto) si propongono come fonti di aggiornamento ed aspettano che le vittime le contattino senza sprecare tempo con sistemi già patchati.
Non colpirebbero con più facilità solo le macchine mal gestite, ma anche quelle nuove-nuove che fanno il primo massiccio aggiornamento.

[bobafetthotmail]

Quote:

Originariamente inviato da LMCH

Invece i vantaggi sono enormi, le botnet invece di "cercare vittime" (generando traffico potenzialmente sospetto) si propongono come fonti di aggiornamento ed aspettano che le vittime le contattino senza sprecare tempo con sistemi già patchati.
Non colpirebbero con più facilità solo le macchine mal gestite, ma anche quelle nuove-nuove che fanno il primo massiccio aggiornamento.

Rileggi questo post con attenzione, http://www.hwupgrade.it/forum/showpo...4&postcount=10