> >-----Messaggio originale-----
> >Da: [EMAIL PROTECTED]
> >[mailto:[EMAIL PROTECTED] Per conto di Enrico Bassetti
> >Inviato: lunedì 29 settembre 2008 16.59
> >A: [email protected]
> >Oggetto: Re: R: [ml] gateway residenziali e botnets
> >
> >Il giorno lun, 29/09/2008 alle 09.12 +0200, Rissone Ruggero
> >ha scritto:
> >> [zap] ma per la gran parte dei prodotti low cost non e'
> >certo cosi'.
> >> [zap]
> >
> >Sarà un caso, ma il mio D-Link 302T (che credo si possa definire "low
> >cost") ha un sistema di check delle firme dei FW caricati...
> >
> >Enrico
> >
> >
E sicuramente avrai caricato il firmware russo(firmato Dlink e quindi
riconosciuto dalla piattaforma) con ADAM2 per farlo diventare un bel
routerozzo...;-))
L'utilizzo dei gateway residenziali come ponte per delle botnets e' ovvio :
sono apparati Always On e senza nessun prodotto di sicurezza (o quasi)
installato, hanno una discreta banda a disposizione in upload e non sono sotto
l'occhio costante del proprietario.
Gli apparati forniti dagli ISP spesso presentano firmware "customizzati" o
"castrati" come direbbe qualcuno : spesso il cliente "smanettone" la prima cosa
che fa e' quella di googlare in rete per cercare il firmware modificato che gli
consenta di sfruttare tutti i 20MB, gli abbassi la latenza, ecc ecc..
E chi vuole creare una botnet secondo me sfrutta proprio questo fattore :
convincono ad installare un firmware "tarocco" consci del fatto che non tutti
poi passano a fargli un VA sopra.
Quando lavoravo nel testing capitava spesso di trovare firmware anche originali
su cui erano "dimenticate" porte (anche strane), ma sulle quali un test con
AMAP (o tool analoghi) dava risposte con patterns piu' o meno standard.
Le contromisure ci sono, ma come dicevo nella precedente mail, quelle efficaci
sono costose (se ragioniamo in termini di volumi) : si cerca di fornire un
firmware non buggato ( e quando cio' purtroppo avviene, vengono rilasciati
firmware nuovi in aggiornamento), che pero' vengono caricati solo se si tratta
di apparati Telecom agganciati alla rete di gestione remota.
Per tutti gli altri apparati (anche quelli in comodato di "vecchia" data), la
manutenzione e' affidata all'utente finale che, stando anche al contratto che
ha sottoscritto, non dovrebbe cercare di "manomettere" il firmware originale.
Ovviamente la colpa se poi si creano dei botnets attraverso i gateway
residenziali come dice hush e' al 99,9% del proprietario, non vedo come pero'
possa pensare che a farsene carico debbano essere gli ISP quando si tratta di
palesi violazioni contrattuali da parte del cliente finale.
Saluti
RR (cosi' qualcuno non mi chiama Dottore)
CONFIDENTIALITY NOTICE
This message and its attachments are addressed solely to the persons above and
may contain confidential information. If you have received the message in
error, be informed that any use of the content hereof is prohibited. Please
return it immediately to the sender and delete the message. Should you have any
questions, please contact us by replying to [EMAIL PROTECTED]
Thank you
www.telecomitalia.it
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
