P2P: il vero nemico della privacy

19 Agosto 2007

http://www.flickr.com/photos/cloppy/276540410/

Riprendendo il discorso sull’importanza dei client nella messa in sicurezza di una rete va evidenziata l’importanza delle applicazioni P2P che contribuiscono in almeno due maniere all’insicurezza di un host:

  • vulnerabilità insite nell’applicazione
  • misconfigurazione e/o utilizzo non consapevole

Inoltre c’è da evidenziare anche il fatto che le reti P2P di nuova generazione sono difficilmente individuabili e isolabili.
Oltre a questo bisogna prendere in considerazione tutte le problematiche relative alla violazione dei copyright e all’utilizzo indiscriminato della banda (data la sua natura il P2P, se non limitato, in breve tempo prende possesso di gran parte della banda disponibile).

E` interessante soprattutto il secondo aspetto riguardante la non configurazione delle applicazioni P2P. Il problema è che queste applicazioni vengono spesso installate e configurate da utenti che ignorano completamente i concetti base delle reti e le minime misure di sicurezza. Spesso viene mantenuta la configurazione di default che in genere è molto permissiva per permettere il funzionamento in gran parte delle situazioni possibili, altre volte viene azzardata una configurazione che se è possibile peggiora ancora di più la situazione.

Uno dei misfatti più comuni è la condivisione dell’intero disco o di intere cartelle come Documenti e simili. E` di poche settimane fa lo studio della Tiversa Inc. che ha rilevato che sulla rete Limewire, ma non solo, sono in condivisione una gran quantità di documenti riservati del governo statunitense messi in condivisione da impiegati dei vari enti e agenzie.
Il CEO del Lime Group sottolinea che spesso queste condivisioni oltre che inconsapevoli sono anche involontarie in quanto indotte da malware nascosto, scaricato insieme a file regolari, che ha la funzione di indicizzare l’intero hard-disk.

Per curiosità ho fatto delle prove utilizzando le reti eDonkey, Slsk e Gnutella e in meno di mezz’ora di ricerca il risultato è stato allarmante, ho individuato:

  • hard-disk di una macchina interna alla rete del comune di Firenze interamente condiviso; e quindi archivi, lettere, incarichi, deleghe, appalti e dati personali in grande quantità;
  • cartella documenti condivisa di un commercialista di Milano con tanto di bilanci, contratti, bonifici, lettere a banche e Ministeri vari, estratti conto di clienti che ignorano che i loro dati sensibili circolano liberamente per la rete;
  • intero hard-disk di un’azienda agricola di Taranto completo di fatture, dati sui clienti, contratti e dati di conti bancari.

Oltre a ciò viene fuori una grande quantità di coppie username/password di account email e di forum ma anche dati relativi a conti correnti online (c’è chi è stato capace di salvare i propri dati bancari in un file dal nome FileImportante-Dati-PostePay.txt) e dati personali (copie di carte d’identità, tessere sanitarie, codici fiscali, passaporti…). E ancora:

  • file di configurazione dei browser web che ora permettono anche di salvare le password (non sono in chiaro ma facilmente decifrabili);
  • file di configurazione di client IM/IRC con tanto di log e password;
  • interi archivi email;
  • copie di backup di siti internet con tanto di database contenente dati (email, numero di CC) degli utenti iscritti.

Insomma data la diffusione del P2P la situazione non è confortante. Vista la natura del problema la soluzione deve prevedere contromisure tecniche e soprattutto contromisure comportamentali. Senza entrare nei dettagli, per chi gestisce grandi reti (università, biblioteche, enti pubblici, etc.) vista l’importanza dei dati in ballo le contromisure devono essere drastiche: oltre a bloccare (nei modi e nelle misure possibili) il traffico P2P occorre definire una politica rigida sull’installazione di software e bisogna educare i propri utenti alla sicurezza.
Gli utenti domestici, a cui nessuno può negare l’utilizzo di applicazioni P2P, invece devono prendere coscienza dei rischi a cui vanno incontro con un utilizzo security-free del P2P.

Posted by e
Filed in P2P, privacy, sicurezza
Leave a Comment »

PISA contro Skype

16 Agosto 2007

http://www.flickr.com/photos/nathangibbs/70425448/

Ancora dal BlackHat 2007: PISA contro Skype o più precisamente Protocol Identification via Statistical Analysis per identificare i nuovi protocolli P2P.

Nelle applicazioni P2P si nota un’evoluzione determinata da cause non necessariamente tecniche. I protoccoli P2P si sono dovuti via via adeguare ai giri di vite dei legislatori e degli ISP e alle sempre più precise tecniche di rilevazione degli amministratori di rete. Il frutto di queste necessità è Skype, ovvero al posto dei vecchi limpidi protocolli dalle specifiche pubbliche si iniziano a vedere degli oscuri protocolli proprietari (Skype ne è il capostipite).

All’ultimo BlackHat, Rohit Dhamankar e Rob King della TippingPoint hanno presentato un sistema di identificazione basato sull’analisi statistica del traffico.
Gli autori partono dal presupposto che d’ora in poi i protoccoli P2P, ma non solo, faranno grande uso di crittografia e dunque le vecchie tecniche di identificazione basate sull’analisi del contenuto dei pacchetti scambiati risulteranno completamente inutili.
Il PISA rappresenta il traffico in uno spazio a 10 dimensioni i cui assi sono: la dimensione media dei pacchetti verso il client e verso il server, i tempi di risposta, sulla deviazione standard dei suddetti parametri e sulla differenza di traffico tra server e client e infine l’entropia di Shannon. Quest’ultima viene utilizzata per determinare se il protocollo usa una qualche forma di crittografia oppure dati in chiaro.
La sperimentazione per questo sistema è stata condotta cercando di venire a capo di uno dei grandi problemi degli amministratori di rete: separare il traffico Skype da tutto il resto. Gli incoraggianti risultati, basati sulle proprietà statistiche dei protocolli, hanno stabilito che è possibile identificare il traffico prodotto da Skype, con un minimo errore, analizzando solo 600 pacchetti (ovvero circa 1,5 secondi di chiamata).

L’approccio è sicuramente interessante ma bisogna valutare, come al solito in queste situazioni, i falsi positivi generati da una simile analisi. Il codice non è ancora disponibile, quindi non ci resta che attendere sintonizzati su http://dvlabs.tippingpoint.com/projects/PISA

Da citare: statistics is like a bikini that reveals what is interesting and hides what is vital.

Posted by e
Filed in P2P, blackhat, hacking, networking, sicurezza
Leave a Comment »