mercoledì 2 luglio 2014

No-IP Down, II.

Ho avuto modo di leggere meglio i dettagli dell'operazione che ha portato al down di No-IP da parte di microsoft, e devo dire che la situazione e' MOLTO peggiore di quanto appariva inizialmente. Nel senso che l'operazione messa in atto non era concepita per buttare giu' NO-IP ma per intercettarne il traffico. Il traffico di 4 milioni di persone.

A quanto leggo, con la scusa di dover bloccare un malware che a detta loro - ma non ci sono prove che soddisfano nella documentazione , vedo solo una congettura su come funzionerebbe il malware , supportata da nulla - non hanno "buttato giu' " NO-IP. Hanno chiesto al giudice di ordinare ai root servers di girare il traffico verso un DNS di microsoft, con l'intento di girarlo poi verso i dns originali. Forse, visto che l'intento non e' stato vincolato dai giudici.


Poi, siccome Microsoft ha sbagliato clamorosamente il calcolo di capacita', non e' stata capace di gestire il traffico che si e' tirata addosso, e il servizio e' andato in tilt. Non voglio commentare la professionalita' mostrata in questa fase.

La cosa , comunque,  e' menzionata chiaramente qui:

http://www.noip.com/blog/2014/06/30/ips-formal-statement-microsoft-takedown/

quando si scrive:

Apparently, the Microsoft infrastructure is not able to handle the billions of queries from our customers. Millions of innocent users are experiencing outages to their services because of Microsoft’s attempt to remediate hostnames associated with a few bad actors.
Had Microsoft contacted us, we could and would have taken immediate action. Microsoft now claims that it just wants to get us to clean up our act, but its draconian actions have affected millions of innocent Internet users.

Inoltre, se volete farvi un'idea piu' precisa della professionalita' di Microsoft, potete andare qui:

http://www.unchartedbackwaters.co.uk/pyblosxom/microsoft_noip_dos

io non commento.

Occorre pero' chiedersi cosa sarebbe successo se il giochino avesse funzionato.

Se il giochino avesse funzionato, Microsoft avrebbe INTERCETTATO il traffico di richieste di DNS verso i DNS di NO-IP, ponendosi come Man In the Middle. Ora, che cosa di preciso avrebbe potuto vedere? 

  • Se le richieste erano di tipo A o AAAA, allora avrebbe potuto vedere chi usava gli host serviti da NO-IP. Nel caso abbiate uno storage domestico, cioe', avrebbe potuto vedere chi lo usa e da dove.
  • Se le richieste erano di tipo A o AAAA, Microsoft avrebbe potuto mettersi tra l'utente e il suo storage domestico, visto che Microsoft possiede una certification authority riconosciuta dai browser(1), semplicemente rispondendo col proprio IP e facendo da proxy. 
  • Se le richieste erano di tipo MX, e voi usavate il vostro nome di host per ricevere posta, il risultato era che microsoft poteva sapere da quali domini partiva la richiesta, ovvero da quali domini stavate ricevendo posta.
  • Se le richieste erano di tipo MX, Microsoft avrebbe potuto rispondere col PROPRIO server SMTP, e mettersi in mezzo alla consegna di posta elettronica per quei domini (e poi magari consegnarla a voi).In pratica, intercettare la vostra posta.

 ora, giustificare una cosa con la necessita' di "studiare una botnet " e' semplicemenre RIDICOLO.

Per diverse ragioni:

  1. Microsoft non ha una storia di questo genere. Se lo facessero F-Secure, Kaspersky Lab o McAfee, forse sarebbero giustificati. Ma Microsoft non ha una storia analoga nel mondo della sicurezza informatica. Nessuno confonde il brand di Microsoft con quello di F-Secure.
  2. Le richieste DNS vengono servite in gran parte da cache. Come operazione l "filtraggio delle chiamate" non e' credibile, visto che non tutte sarebbero passate per il DNS MIM di Microsoft.
  3. Esiste la polizia. Nei paesi civilizzati, l'uomo bianco ha inventato una cosa che si chiama "forze dell'ordine", quella cosa che il cittadino avvisa quando e' soggetto ad un crimine. In effetti, in passato FBI ha fatto cose del genere. Ma FBI e' un pezzo dello stato mentre Microsoft e' un'azienda, e peraltro e' entrata in un business collaterale alla sua concorrenza ( i cloud storage che usano DDNS ).
  4. Anche ammesso che fosse una botnet, si sarebbe trattato di poche decine, forse centinaia di migliaia di macchine. Microsoft ha cercato di intercettare il traffico DNS di QUATTRO MILIONI di persone.Se fosse riuscita l'operazione, il 99% del traffico intercettato sarebbe stato legittimo: una vera e propria operazione di intercettazione di massa.
  5. Microsoft ha una storia di contravvenzioni e procedure da parte di  Bruxelles ( https://www.google.com/search?q=microsoft+multata+bruxelles&ie=utf-8&oe=utf-8 ) , tutte riguardanti comportamenti lesivi della concorrenza.
la domanda che viene spontanea e' : a CHE TITOLO un tribunale americano assegna ad un'azienda americana, nota peraltro per i suoi comportamenti lesivi della concorrenza,  il diritto e il POTERE di intercettare il traffico DNS QUATTRO MILIONI  di utenti di tutto il mondo, mai raggiunti da avviso di garanzia?

E perche' il giudice NON ha messo limiti a quanto Microsoft poteva fare con il potere cosi' ottenuto?

E la seconda domanda e' : che genere di cultura aziendale mostra Microsoft nel fare questo? 

Sulla prima domanda e' difficile fare valutazioni.La cultura giuridica negli USA e' molto dipendente dalla cultura personale del giudice, dal momento che il caso fa precedente, e Microsoft ha messo nell'accusa un paio di persone dal nome arabo. Cosa che non voglio commentare in relazione con la facilita' nell'ottenere un potere abnorme dal giudice. Sono certo che il giudice non abbia pensato al terrorismo e all' 11 settembre quando ha autorizzato l'operazione.

D'altro canto, subito dopo il fattaccio, in seguito alle minacce di no-ip di rivogersi ad avvocati, e' successo un fatto strano:


ovvero, e' stato portato un attacco DDOS contro il sito web di no-ip.org.


 ora, essendo io italiano non voglio commentare il fatto che abbiamo , a poche ore di distanza, qualcuno che agisce per  " protezione" e subito "qualcuno fa brutte cose al tuo negozio". Quando in italia qualcuno si propone di "proteggerti" e se qualcosa va storto "qualcun altro fa succedere una brutta cosa al tuo negozio" in generale pensiamo male.

Ma , siccome Microsoft e' un'azienda americana, sono certo che non ci sia la relazione che pensiamo tra le due cose, e non voglio che il mio giudizio sia distorto dalla mia cultura di origine.
Mi astengo quindi dal commentare questa evidente coincidenza per motivi culturali.

Il vero problema, pero', e' il seguente: abbiamo a che fare con un paese ove chiunque puo' chiedere di intercettare il traffico DNS, e potenzialmente (visto il ruolo dei DNS)  il traffico in generale, di 4 MILIONI di persone, nel caso in cui da quei servizi avvenga qualcosa di fastidioso, anche senza che un tribunale abbia accertato il crimine.

Mentre nei paesi normali i servizi offensivi vengono spenti oppure intercettati dalla polizia in un quadro chiaro di utilizzo, negli USA il giudice ordina che TUTTO il traffico dei DNS venga intercettato da un'azienda privata, senza porre alcuna regola ne' alcun limite all'utilizzo del traffico intercettato.

La natura del traffico intercettato e' tale che sia gli home storage che i siti web che i domini email di quei quattro milioni di utenti di NO-IP possono essere a sua volta intercettati con un MIM.

Onestamente, credo che anche in questo caso la misura sia colma.

Cosa farei io al vostro posto?

  1. Abbandonerei qualsiasi sistema di proprieta' di Microsoft, sinche' la cultura aziendale e il modus operandi di quell'azienda non cambiano. Outlook, Skydrive, Office365 , Exchange,  non sono sicuri se non possiamo fidarci della cultura aziendale di chi li fa. E la cultura aziendale mostrata in questa vicenda non e' confortante.
  2. Usare dei DDNS locali. Io per esempio ho scelto selfhost.de  ( https://selfhost.de ), in modo che una simile operazione sia possibile SOLO con il consenso della magistratura del vostro paese. Almeno, nel caso, potrete denunciare tali comportamenti illegali e ottenere facilmente un risarcimento.
  3. Nell'uso di DDNS locali, scegliere domini i cui tld siano sotto il controllo di autorita' nazionali ( .de , .it, etc) e non sotto il controllo americano. Evitare come la peste .com, .org e compagnia.
  4. Usare per il vostro home cloud , ESCLUSIVAMENTE certificati selfsigned, in modo da dover autorizzare manualmente il loro utilizzo sui browser. Molti browser infatti autorizzano automaticamente certificati emessi dalla certification authority di  Microsoft , per cui Microsoft stessa puo' scriversi un certificato per il vostro dominio(1) e farvi un MIM sul vostro home storage e il browser accettera' il certificato fasullo.
  5. Se usate un DDNS per ricevere email, fatto salvo che userete un certificato selfsigned, forzate il TLS anche nella ricezione dei messaggi, in modo da non ricevere nulla che non sia criptato. Non usate campi MX per il vostro DDNS.
  6. Rimuovete dalla lista delle CA "fidate" del  vostro browser la CA di Microsoft. La trovate menzionata in due forme, sia direttamente come Microsoft che come Baltimore Cybertrust Root. (1)

allo stato attuale, vista l'etica aziendale mostrata  da Microsoft in questa vicenda, non e' piu' sensato fidarsi.

Ah, si: a quanto pare non sono ancora state diramate attraverso Windows Update , delle patch per il sistema operativo che siano capaci di fermare i due malware dall'infettare i computer. Per essere un problema cosi' urgente da intercettare quattro milioni di utenti a tappeto... anche su questo e' meglio non commentare. 


(1)

Discussioni & Commenti (Il Salotto Buono di KEIN PFUSCH®).

Per postare nel gruppo, semplicemente cliccate sul tasto rosso a sinistra se l'argomento e' nuovo, oppure cliccate sugli argomenti per rispondere. In caso non siate iscritti il sistema vi guidera' all'accesso. In ogni caso il vostro indirizzo email non sara' pubblicato dal forum.

So che e' seccante, ma l'aumento del traffico sul sito mi obbliga ad usare un sistema piu' adatto alle mie disponibilita' di tempo, cioe' un sistema ove la quantita' di commenti da moderare NON cresca con la quantita' di traffico. Inoltre adesso gli argomenti non sono piu' legati al post, cosi' se volete iniziare un OT non c'e' problema come prima. Inizialmente i vostri messaggi verranno moderati, poi verrete sbloccati appena sara' chiaro che non siete troll. Una volta iscritti e' possibile postare sia attraverso il web (come prima) che via email (scegliendo di ricevere i messaggi via email). Quando vi iscrivete, per favore scrivete due righe di presentazione.Altrimenti non vi iscrivo.