martedì 1 luglio 2014

No-IP down.

Ho scritto tempo fa, quando parlavo di Go-Consumer, del fenomeno dei DNS dinamici. Non ne parlavo perche' si tratti di una forma di consumo, ma perche' essi permettono ad un altro servizio normalmente riservato ai "big" dell' IT, ovvero il cloud. Come avevo gia' spiegato, la stragrande maggioranza delle soluzioni proprietarie e non si basano su un DDNS, ovvero su un nome DNS fornito ad un IP dinamico. Avevo previsto un duro scontro non appena il "go consumer" fosse diventato un problema, e il momento e' arrivato.

La mossa di Microsoft per bloccare l'uso di cloud domestici , dal momento che attaccare i produttori di hardware era impossibile ed anche attaccare i produttori di software come own-cloud lo era, e' consistita nel chiedere ad un giudice di bloccare i domini di una singola azienda , no-ip.org, adducendo come scusa il fatto che" un malware poteva usare dei domini allo scopo di attaccare i suoi clienti".

Di motivi per pensare male di Microsoft riguardo alla decisione di chiedere ad un giudice di bloccare i domini di no-ip ce ne sono tanti. E riguardano la presunta motivazione della richiesta.

La lista dei domini bloccati la trovate qui:
 
 http://www.noticeoflawsuit.com/docs/Appendix%20B%20to%20Second%20Amended%20Order.pdf

Innanzitutto, la reazione e' inconcepibile. Se il TUO SISTEMA soffre di una falla che presta il fianco ad un malware, cercare di disarmare il malware colpendo uno dei sistemi con cui funzionerebbe (Il DDNS) e' stupido. Si otterra' solo un malware piu' evoluto che sfrutta la medesima debolezza del sistema di microsoft e non ha bisogno di DDNS, perche' magari usa DHT o TOR.

Sono state diramate patch per fare hardening dei sistemi microsoft contro questo "malware"? Sinora non risulta. Del resto, se esistessero tali patch, per quale ragione bloccare i DDNS? 

Ovviamente la panzana e' costruita per ingannare chi non ne va a fondo, ma il punto e' che i due malware usano i DDNS per infettare i computer che fanno girare microsoft windows. Benissimo. Quindi, la soluzione e' di bloccare i DNS? Strano, perche' bastera' allora un attacco basato su un altro risolutore (o sulla normale risoluzione inversa) per continuare a mietere vittime.


 e la cosa buffa e' che Microsoft non ha nemmeno cercato di nascondere la propria inconsistenza, postando sul proprio sito lo schema di cui sopra. Nello schema succede che (1) malvagi hackers che scrivono il malware "rilasciano il malware che infetta i computer delle vittime".

ovviamente, Microsoft non spiega come mai questi malvagi abbiano tanto agio nell'infettare i computer attaccati: c'e' una specifica vulnerabilita' in un prodotto Microsoft? Non e' dato saperlo. A quanto pare, comunque, qualsiasi sia il buco sfruttato dal malware, questo non e' tanto nelle preoccupazioni di microsoft: il sistema si tenga pure il buco, consentiamo pure ad un malware di penetrare il sistema e di raccogliere i dati, perche' tanto poi blocchiamo il modo col quale i dati tornano all'attaccante: il DDNS.

Ma si dovrebbe notare che  quando entra il gioco il DDNS, secondo lo stesso schema di microsoft, ormai il malware e' entrato nel sistema di microsoft e ha raccolto tutte le informazioni. A quel punto, la prossima versione dello stesso malware usera' magari una rete tor o una i2p o un semplice torrent con DHT, e il gioco sara' fatto. 

Se anche fosse vero quello che dice Microsoft, e l'attacco ai DDNS fosse dovuto alla necessita' di fermare questo malware, beh, il messaggio e' che Microsoft non e' IN GRADO di fermare le prime fasi dell'attacco, (infezione e raccolta di dati) ed e' cosi' costretta a ripiegare sull'attacco al DDNS. Insomma, la prossima versione di quel malware, che ovviamente non si basera' piu' su DDNS,  sara' mortale ed inarrestabile: questo e' il messaggio che filtra da questa azione, voluto o meno.

la seconda questione e' che no-ip.org e' un'azienda legittima e ha ceduto quei domini legalmente e dietro compenso. Anche nel caso dei domini gratuiti, si trattava comunque di un'attivita' legittima. E con questa trovata hanno distrutto il business di un'altra azienda.

Si tratta di un attacco senza precedenti, che pero' FA precedente: significa che posso chiedere ad un giudice di bloccare gmail.com o hotmail.com o outlook.com semplicemente dicendo che qualche malware lo usa e io devo proteggere i miei clienti.
in pratica, chiunque abbia un  interesse concorrente qualsiasi (per esempio: Microsoft ha dei servizi cloud e i personal cloud come owncloud  usano spesso i DDNS)  puo' farvi chiudere l'azienda semplicemente dicendo che dal vostro dominio sono arrivati attacchi.Del resto, se anche un malware non esistesse, basterebbe scriverlo.

Come dire, "bloccate hotmail perche' ricevo spam da li'"  . 

Microsoft non teme che qualche malvagio possa scrivere un malware basato su hotmail.com e poi , da sleale concorrente, chiederne la chiusura? No, non lo teme. La ragione e' molto semplice: se un cloud risiede negli USA il governo americano lo ama, perche' (secondo le leggi americane) il governo puo' leggerne i contenuti. E quindi nessun giudice li blocchera' mai, sono troppo comodi per spiare i cittadini.

Al contrario, se una persona usa un DDNS a casa per costruirsi il suo storage domestico a prezzi modici (e ormai anche case produttrici di primo ordine li stanno usando , vendendo milioni di pezzi) , al governo americano non piace piu'. Quindi non illudetevi: Microsoft che difende il suo cloud dall'erosione proveniente dai cloud domestici puo' chiedere ad un giudice l'abbattimento di un fastidioso servizio concorrente, mentre no-ip.org , anche se esistesse un malware che sfrutta le debolezze di windows per fare un DDOS  ai suoi DNS (notoriamente NON esistono malware per windows, isn't it?) non potra' certo fare lo stesso : ai giudici americani qualcuno piace di piu' e qualcun altro di meno.

Cosa resta ora di questa sentenza? Resta la consapevolezza che il giudice americano sia pericoloso per internet: dal momento che non si fanno scrupoli ad obbedire alle big , e' chiaro che aprire un'azienda di DDNS in USA e' pericolosissimo. E' sufficiente che qualcuno tra i tuoi concorrenti si inventi un malware che usa il tuo servizio, ed il giudice semplicemente ti chiude.   Ha ancora senso, allora, fare business IT negli USA?


Unfortunately, Microsoft never contacted us or asked us to block any subdomains, even though we have an open line of communication with Microsoft corporate executives.
a quanto pare, cioe', nella favola c'e' un altro punto dubbio: accortasi che i domini di no-ip.org venivano sfruttati da malintenzionati, Microsoft non si e' nemmeno degnata di scrivere una VELOCE email a no-ip. Ovviamente, ha preferito - per il bene dei suoi clienti! - affidarsi ai tempi della giustizia americana, che non sono esattamente veloci quanto un' email.

Allora, alla fine di questa vicenda, le domande da fare a Microsoft sono due:

  • L'unico modo di fermare il malware "bladabindi" e' di buttare giu' i DDNS, e non sono possibili patch ai sistemi operativi? Se si, cosa impedira' a bladabindi 2.0 di portare lo stesso attacco SENZA usare i DDNS?
  • La politica di microsoft per "proteggere i clienti" consiste nell'affidarsi ai tempi della giustizia locale, anziche' contattare le aziende coinvolte? Se quindi il DDNS usato fosse stato italiano, avreste lasciato in pericolo i clienti per i tempi richiesti dalla giustizia italiana?

 ovviamente, in un comportamento cosi' illogico rimane molto spazio per speculare.

E' inutile notare come , appena nasce un'alternativa i grandi storage cloud americani, sia essa megaupload o OwnCloud, succede regolarment che arriva un giudice e trova il modo di bloccare tutto con accuse assurde e applicazioni nevrotiche della legge.

Non e' piu' accettabile la tesi dell'incompetenza dei giudici verso un mondo di tecnologie nuove, perche' Internet esiste ormai da piu' di vent'anni e questa scusa non e' piu' accettabile. E' chiaro ormai che lo stato americano, sotto forma di dipartimento della giustizia, collabora ad un disegno che sembra orientato ad elminare manu militari ogni nascente concorrenza ai cloud provider statunitensi: e  a quanto si vede, colpendo i DDNS, si intende colpire il business dei cloud storage domestici, peraltro ormai  in vendita in quasi tutti i supermercati:




E' chiaro che la guerra contro i cloud domestici da parte dei grandi cloud americani - e  del governo che li spallegga perche' ci puo' leggere dentro -  continuera' ancora: i file degli utenti sono il nuovo petrolio.

Da qui a dire  , pero', che gli USA siano oggi il posto ideale per fare IT, oggi come oggi, ce ne passa e parecchio.  Con giudici del genere, quasi quasi vi conviene la Russia: chiunque,  e da oggi questo provvedimento fa precedente, puo' bloccare il vostro dominio se qualche altra azienda si sogna di dire che un malware - per il quale non c'e' rimedio sui sistemi stessi , sembra - usi i vostri servizi.

Qualsiasi cosa offriate adesso, insomma, farvi fuori se diventate pericolosi per qualche incumbent e' semplicissimo. Semmai anche nascera' qualche "next big thing" capace di indebolire i grandi del cloud, cioe', non dovete aspettarvela dagli USA, e neanche da paesi che sono proni alla giustizia americana: non appena questa tendenza nascesse, cioe', arriverebbe solerte il giudiche che per "bloccare un malware" vi toglie il dominio che e' vostro e che avete pagato.

Faccio notare infatti che VitalWerks, l'azienda che produce i servizi di no-ip.org e' americana, e quindi potra' almeno fare ricorso. Se una cosa simile viene fatta contro un'azienda straniera, normalmente (come nel caso di kim dot com) si aggiungono accuse deliranti all'inchiesta, col risultato che prima dovreste farvi mettere in carcere, e poi eventualmente si discute di un processo. Poiche', come nel caso di Kim Dot Com, rifiuterete la galera in assenza di prove - come non ce ne sono nel caso di megaupload - il vostro dominio rimarra' bloccato.

A quanto pare, i cloud domestici sono visti come un pericolo serio, e colpire i DDNS era l'unico modo per rallentarli un minimo. 

In realta', pero', questa prova non e' stata decisamente una prova di forza: DHT e' li' per quello, e che sia btsync o "http://syncthing.net/" , la cosa cambia poco. E' abbastanza chiaro che il business del DDNS e' facile da attaccare, per cui adesso i produttori di cloud domestici prenderanno sul serio la minaccia e si muoveranno.

Attualmente, la tecnologia DHT sembra l'unica in grado di compensare la debolezza e la facile dominabilita' dell'attuale sistema di DNS. E' usata da una darknet come i2P, ed ora che i produttori di cloud domestici si sono resi conto della debolezza del sistema di DDNS, la prossima generazione di sistemi cloud domestici conterra' dei client DHT per la sincronizzazione remota.

Il prossimo "go consumer" sara' molto, molto, molto piu' doloroso.


Discussioni & Commenti (Il Salotto Buono di KEIN PFUSCH®).

Per postare nel gruppo, semplicemente cliccate sul tasto rosso a sinistra se l'argomento e' nuovo, oppure cliccate sugli argomenti per rispondere. In caso non siate iscritti il sistema vi guidera' all'accesso. In ogni caso il vostro indirizzo email non sara' pubblicato dal forum.

So che e' seccante, ma l'aumento del traffico sul sito mi obbliga ad usare un sistema piu' adatto alle mie disponibilita' di tempo, cioe' un sistema ove la quantita' di commenti da moderare NON cresca con la quantita' di traffico. Inoltre adesso gli argomenti non sono piu' legati al post, cosi' se volete iniziare un OT non c'e' problema come prima. Inizialmente i vostri messaggi verranno moderati, poi verrete sbloccati appena sara' chiaro che non siete troll. Una volta iscritti e' possibile postare sia attraverso il web (come prima) che via email (scegliendo di ricevere i messaggi via email). Quando vi iscrivete, per favore scrivete due righe di presentazione.Altrimenti non vi iscrivo.