Re: Nuova feature di sicurezza di IPv4

Ok, apprezzo il tuo sforzo di sembrare sincero buffer, pero' direi di
chiudere qui i thread dedicati al primo aprile :)

bye
Koba (moderatore)

ps: gia' che ci siamo:

http://www.deadly.org
http://www.cpan.org
http://www.grsecurity.net
...

Ah, parlando di cose serie, da domani sikurezza.org diventera' un
sito/rivista cartacea commerciale ed a pagamento, per cui pregherei tutti di
rispondere al questionario che verra' inviato via snail-mail al vostro
indirizzo di casa e di pagare l'apposito bollettino postale accluso,
dopodiche' riceverete l'esclusiva smart-card "sik.org" in silicio 18/10
autografata dai moderatori con l'accesso esclusivo ai tool che non vorreste
vedere nelle mani di chiunque <g> e al prestigioso repository di exploit
unreleased del r00tary club (rigorosamente in ipv7).


--- Enclosed, please find the posted message.
Date: Tue, 1 Apr 2003 16:02:29 +0200
From: "Angelo Dell'Aera" <buffer@antifork.org>
Subject: Re: Nuova feature di sicurezza di IPv4

On Tue, 1 Apr 2003 11:52:45 +0200
vjt <vjt@openssl.it> wrote:

> Data l`importanza della questione, mi pare opportuno segnalarla:
> 
>    ftp://ftp.rfc-editor.org/in-notes/rfc3514.txt
> 
> Notevole anche che FreeBSD gia` supporti il tutto:
> 
>    http://docs.freebsd.org/cgi/getmsg.cgi?fetch=819750+0+current/cvs-all


Una personalissima opinione sull'argomento.

Mentre leggevo mi  chiedevo se, a un certo punto,  come da copione, si
sarebbe  dipanata ai  miei occhi  qualche  realtà che  non riuscivo  a
cogliere. Sì perchè affidare la sicurezza ad  un bit che metto a 0 o a
1 attraverso una SOCK_RAW mi sembrava un pò riduttiva come metodologia
(soprattutto se poi a parlarne è un tale di nome Bellovin). Continuo a
leggere nell'attesa della luce e mi imbatto in questo.

   Multi-level insecure operating systems  may have special levels for
   attack programs;  the evil bit  MUST be  set by default  on packets
   emanating from programs running at such levels. However, the system
   MAY provide an API  to allow  it to  be  cleared for  non-malicious
   activity by users who normally engage in attack behavior.

L'ultima frase mi lascia di sasso  ma continuo a ripetermi che chi sta
scrivendo è Bellovin. Vado avanti allora.

   Some hosts scan other  hosts in a  fashion that can alert intrusion
   detection systems.   If  the scanning  is part of a benign research
   project, the evil bit  MUST NOT be set.   If the scanning per se is
   innocent, but the ultimate intent is evil  and the destination site
   has such an intrusion detection system, the evil bit SHOULD be set.

Comincio ad  essere seriamente perplesso  adesso.  Tutto questo  a che
scopo mi chiedo?  Si intende dire che gli  IDS di prossima generazione
si regoleranno  sulla base di  questo fantomatico bit? Perchè  se così
fosse, forse Steve Bellovin  sarebbe da rivalutare  come figura.  E se
così non fosse, sarebbe ugualmente da rivalutare perchè non si capisce
dove risiederebbe questo misterioso security enhancement.

Sconcertato dal fatto di essere arrivato alla fine della lettura senza
che l'illuminazione si sia manifestata, leggo queste righe.
 
7. Security Considerations

   Correct functioning of security mechanisms depend critically on the
   evil bit being set properly.  If faulty  components do  not set the
   evil bit to 1 when appropriate,  firewalls  will not be  able to do
   their jobs properly.   Similarly,  if the bit  is set to  1 when it
   shouldn't be, a denial of service condition may occur.

A questo punto,  mi sono chiesto se il mondo  aveva davvero bisogno di
tutto ciò.  Per la cronaca, ho preferito  andare a prendere un caffè e 
pensare ad altro.

-- 
Alla prossima,

Angelo Dell'Aera 'buffer' 
Emails : <buffer@antifork.org> 
	 <buffer@users.sourceforge.net>

Antifork Research, Inc.     
http://www.antifork.org


----- End forwarded message -----

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List