R: R: [ml] gateway residenziali e botnets

> >-----Messaggio originale-----
> >Da: ml-bounces@xxxxxxxxxxxxx
> >[mailto:ml-bounces@xxxxxxxxxxxxx] Per conto di Enrico Bassetti
> >Inviato: lunedì 29 settembre 2008 16.59
> >A: ml@xxxxxxxxxxxxx
> >Oggetto: Re: R: [ml] gateway residenziali e botnets
> >
> >Il giorno lun, 29/09/2008 alle 09.12 +0200, Rissone Ruggero
> >ha scritto:
> >> [zap] ma per la gran parte dei prodotti low cost non e'
> >certo cosi'.
> >> [zap]
> >
> >Sarà un caso, ma il mio D-Link 302T (che credo si possa definire "low
> >cost") ha un sistema di check delle firme dei FW caricati...
> >
> >Enrico
> >
> >

E sicuramente avrai caricato il firmware russo(firmato Dlink e quindi riconosciuto dalla piattaforma) con ADAM2 per farlo diventare un bel routerozzo...;-))
L'utilizzo dei gateway residenziali come ponte per delle botnets e' ovvio : sono apparati Always On e senza nessun prodotto di sicurezza (o quasi) installato, hanno una discreta banda a disposizione in upload e non sono sotto l'occhio costante del proprietario.
Gli apparati forniti dagli ISP spesso presentano firmware "customizzati" o "castrati" come direbbe qualcuno : spesso il cliente "smanettone" la prima cosa che fa e' quella di googlare in rete per cercare il firmware modificato che gli consenta di sfruttare tutti i 20MB, gli abbassi la latenza, ecc ecc..
E chi vuole creare una botnet secondo me sfrutta proprio questo fattore : convincono ad installare un firmware "tarocco" consci del fatto che non tutti poi passano a fargli un VA sopra.
Quando lavoravo nel testing capitava spesso di trovare firmware anche originali su cui erano "dimenticate" porte (anche strane), ma sulle quali un test con AMAP (o tool analoghi) dava risposte con patterns piu' o meno standard.
Le contromisure ci sono, ma come dicevo nella precedente mail, quelle efficaci sono costose (se ragioniamo in termini di volumi) : si cerca di fornire un firmware non buggato ( e quando cio' purtroppo avviene, vengono rilasciati firmware nuovi in aggiornamento), che pero' vengono caricati solo se si tratta di apparati Telecom agganciati alla rete di gestione remota.
Per tutti gli altri apparati (anche quelli in comodato di "vecchia" data), la manutenzione e' affidata all'utente finale che, stando anche al contratto che ha sottoscritto, non dovrebbe cercare di "manomettere" il firmware originale.
Ovviamente la colpa se poi si creano dei botnets attraverso i gateway residenziali come dice hush e' al 99,9% del proprietario, non vedo come pero' possa pensare che a farsene carico debbano essere gli ISP quando si tratta di palesi violazioni contrattuali da parte del cliente finale.

Saluti
RR (cosi' qualcuno non mi chiama Dottore)


CONFIDENTIALITY NOTICE

This message and its attachments are addressed solely to the persons above and may contain confidential information. If you have received the message in error, be informed that any use of the content hereof is prohibited. Please return it immediately to the sender and delete the message. Should you have any questions, please contact us by replying to webmaster@xxxxxxxxxxxxxxxxx

        Thank you

                                        www.telecomitalia.it