L’onda

Ieri sera pare che i tizi lì fuori abbiano deciso di rispolverare i vecchi fasti.

Riassunto delle puntate precedenti: dopo la chiusura di McColo, a Novembre, il flusso di spam uscente da botnet è crollato drasticamente, riportandosi su valori che non si osservavano da svariati mesi, e rimanendo tale più a lungo di quanto ci si aspettasse.

Quel che è accaduto, pare, è che, nel momento in cui sono stati eliminati dalla rete i server con funzioni primarie di comando delle botnet, chi le gestiva ne ha ovviamente perso il controllo (questi server sono detti, non a caso, “C&C”, ovvero Command&Control).

Soprattutto, molti dei bot in questione presentavano riferimenti ai server di controllo cablati in qualche misura nel codice stesso, con il risultato che le loro “creature” sono rimaste lì fuori, prive di governo ed inutilizzabili per chiunque.

Da ieri sera, invece, si è iniziato ad osservare quanto vedete qui accanto.

L'Onda

Nel corso di questi mesi si erano in effetti osservati svariati segnali che evidenziavano una ripresa dell’operatività di botnet, ma mai eventi con flussi paragonabili all’attuale e con una durata così protratta nel tempo.

Ora siamo, di fatto, estremamente vicini ai valori che si riscontravano nel corso dei mesi di Agosto/Settembre 2008, prima che il canto del cigno dei primi di Novembre (con valori quasi del 200% rispetto al periodo precedente) anticipasse la chiusura prima di Atrivo e poi di McColo.

Tuttto sommato, c’è da osservare che per riprendersi da quell’evento questi criminali hanno impiegato anche più tempo di quanto ci si aspettasse, a dimostrazione del fatto che, con un serio impegno e con una reale collaborazione tra gli operatori, è realmente possibile arginare queste operazioni.

Rimane il timore che abbiano imparato una lezione sul piano strettamente tecnico, e che “la prossima volta” i tempi di recovery saranno significativamente più compressi…

Read Full Post »

Gli avvoltoi della prima serata

Sì, anche io mi ci butto: il caso Englaro.

Non mi dilungherò sul merito della questione di coscienza, tanto chi mi conosce già sa come la penso.

Ciò di cui invece voglio trattare, come dice il titolo, è la quantità di avvoltoi televisivi che se ne sono occupati.

Vespa è riuscito ad andare in onda, a tempo di record, a circa mezz’ora di distanza dalla morte di Eluana. C’è da stimare che fosse pronto, sui blocchi di partenza, in attesa dell’ultimo respiro per dare il via allo show, altrimenti non ci sarebbero stati i tempi tecnici.

Apprendo oggi che Mentana è arrivato a dimettersi come segno di protesta nei confronti della scelta, da parte della rete, di non cambiare il palinsesto per fare altrettanto.

Personalmente, per quanto certo non guardi il Grande Fratello (o, quanto a quello, praticamente qualsiasi altra cosa nei palinsesti nostrani) nè lo preferisca a Mentana, sono felice che Mentana si sia dimesso.

Non certo perchè condivida la sua protesta, quanto perchè il solo fatto che volesse la prima serata mi fa forse preferire non averlo più in TV.

Read Full Post »

Sei!

L’altroieri (il 4 febbraio) il RIPE ci ha assegnato la prima allocazione IPv6, richiesta poco più di 24 ore prima.

Notevole.

Ci hanno appioppato una /32, che in soldoni significa circa 65 miliardi di miliardi di miliardi di indirizzi a disposizione. La mia fantasia ha limiti sufficienti a non avere idea di come diavolo potremo mai utilizzarli.

Quel che comunque è interessante è il fatto che, nonostante studiare IPv6 mostri oggettivamente abbastanza features da spaventare chiunque, tirare in piedi il routing (dinamico) IPv6 sulla backbone fino al datacenter, attivare il peering BGP con chi generosamente ci fornisce il transito IPv6, e pubblicare il primo record AAAA ha richiesto meno di una giornata, tanto che ieri sera già era tutto online.

Ovviamente, è solo il primo passo di una convivenza (tra me ed IPv6) che potrebbe rivelarsi  problematica, ma perlomeno pare io sia partito con il piede giusto.

Il prossimo è portare IPv6 fino alla ADSL di casa mia, ma temo che il routerino attuale abbia poche speranze di sopravvivere all’operazione…

Read Full Post »

Pharming

Oggi ho scritto un documentino stringato per il nostro HelpDesk interno, al fine di facilitare la risoluzione di “casi curiosi” quando forniscono assistenza a clienti con problemi di qualche tipo.

Dato che non mi costa nulla (son notoriamente pigro), ho pensato di mettere qui parte del testo, nella speranza possa essere utile a qualcuno.

Si noti che, comunque, non è nulla di particolarmente nuovo…

• Premessa numero 1: pharming

Il “pharming” è la pratica, da parte di malware, di “avvelenare” la risoluzione DNS dell’utente per dirigirlo in posti diversi da dove si aspetterebbe di andare. Ad esempio, se il malware scrive nel file hosts del client un indirizzo di suo gusto associato al sito di una banca, l’utente va sul sito scelto dall’attaccante anzichè su quello della banca. Questo permette scenari di phishing in cui l’utente non si accorge di nulla (o quasi), dato che crede di vedere il sito “vero“.
C’è una variante infida: anzichè avvelenare la risoluzione DNS locale, il malware si può limitare ad impostare il sistema operativo affinchè utilizzi un DNS di risoluzione sotto il controllo dell’attacante. In questo modo l’attaccante stesso può “smanacciare” le risoluzioni DNS in maniera centralizzata, operando sul suo DNS anzichè sulla macchina dell’utente.

• Premessa numero 2: Spamhaus DROP

E’ una lista di reti note per essere in pieno e diretto controllo di criminali informatici noti. Tipicamente, è su reti di questo tipo che risiedono i server DNS di cui al punto precedente.
DROP è pensata per essere utilizzata in nullrouting: vengono in tal modo inibite le comunicazioni tra la rete che applica DROP e le reti da essa listate. Se il nullrouting viene quindi eseguito dall’ISP, esso ha effetto su tutti i clienti dell’ISP stesso.

Quel che accade sommando le due cose è che se un utente “pharmato” ha un ISP che pratica tale nullrouting, il suo client non riesce a raggiungere il DNS usato per la risoluzione (ovvero quello dell’attaccante). Questo lo mette al riparo dall’essere oggetto delle truffe connesse al pharming (e da svariate altre spiacevoli cose) ma gli impedisce anche di navigare o di fare qualsiasi altra cosa richieda una risoluzione DNS.

Se quindi doveste incocciare in un PC con problemi che ha un DNS di risoluzione “fantasioso”, verificate se esso non sia in una rete DROPpata: se c’è, sapete cosa raccontare all’utente, che sarà (se è furbo) anche contento di aver avuto problemi di navigazione. Si noti tuttavia che è plausibile che vi sia o vi sia stato un evento di infezione che ha consentito la riscrittura del DNS di risoluzione e pertanto è assai opportuno un ciclo approfondito di “pulizia”…

Read Full Post »