mercoledì 5 marzo 2008

Il problema della sicurezza in rete e la pubblicazione degli IP come elenchi o elenchi di URLS

Come potete vedere su molti post di questo blog ho provveduto a cancellare le liste degli ip e i whois degli hoster ITALIANI relativi, a seguito di un messaggio che ho ricevuto e che mi ha fatto riflettere su alcuni punti che cerchero' di esporre poiche' pare che il pubblicare dette liste, secondo alcuni, crei PROBLEMI DI SICUREZZA, all'intero sistema Internet collegato al singolo provider.

Il problema sicurezza:
A mio avviso se si trova in rete un sito, anche italiano, con problemi, pagine con link malware, exploit, javascripts o codici che lo compromettono ed anche pagine aggiunte con problemi di questo tipo, perche' bisognerebbe NON evidenziare il pericolo indicando pubblicamente il relativo indirizzo IP o/e il dominio ?! (si tratta di IP e dominio pubblico presente in rete, consultabile e tramite whois riconducibile a chi lo gestisce e NON di IP privato come, tanto per fare un esempio, di chi si collega in rete da casa).
Forse perche' qualcuno potrebbe capire che quel dominio o l'intero server e' vulnerabile, forse perche' chi legge gli ip potrebbe tentare di compromettere il sito gia colpito?
Secondo me sarebbe come se transitando davanti ad una banca si notasse che e' stata svaligiata e si evitasse di dare l'allarme perche' si potrebbe capire che la banca in questione e' vulnerabile ai rapinatori e la notizia non apparisse quindi sui quotidiani di informazione o in tv.
Non credo che hackers o malintenzionati abbiano bisogno di consultare una lista di IP compromessi DA LORO per poter tentare attacchi a servers; esistono, credo tecniche ben piu efficienti di questa.
Il problema sta' nella vulnerabilita' delle applicazioni, nei sistemi operativi e in tutto quello che e' collegato al funzionamento di un server web, alla competenza (spesso scarsa) di chi gestisce l'hosting di questi siti e di chi li crea.
Un elenco di siti, si badi bene, gia' compromessi, se mai evidenzia e rende pubblico quanto avvenuto permettendo a chi eventualmente NON NE ERA a conoscenza (e vista la quantita' e le date di compromissione dei siti sembrano in molti che ignorino i fatti) , di intervenire ed eliminare il pericolo.

Il cercare poi di avvisare via mail o altro sistema chi gestisce i siti viene fatto, ma visto i numeri presenti e' praticamente impossibile riuscire a raggiungere tutti ed oltretutto la maggior parte dei provider non risponde alle mails e sembra anzi che avvisarli del problema sia una seccatura in piu' per l 'hoster e non una cosa utile.

Se si trattasse di 10... 20 ...30 siti e di pochi providers si potrebbe tentare di avvisare tramite messaggi di email, ma stiamo parlando di 500... 1000 ....e piu' siti e come ripeto il 99% delle mails inviate NON RICEVE RISPOSTA, e quindi il pubblicare gli IP o i domini in questione puo' essere una soluzione praticabile per informare.

Pensate un attimo se, PER QUESTIONI DI SICUREZZA, non venissero pubblicate in rete le liste IP o le urls da bloccare che vengono utilizzate nei firewalls, nei software antivirus, nei programmi che filtrano internet per evitare di venire colpiti da maleware o navigare su siti con problemi ? Cosa succederebbe, potremmo pure buttare tutti questi softwares... a volte quasi indispensabili per una sicura navigazione.

E come altro esempio le urls di siti, anche o meglio molto spesso governativi, sensibili a XSS, non dovremmo pubblicare neanche questi elenchi perche' potrebbero evidenziare problemi di sicurezza ??? ma pare invece che si pubblichino e anche frequentemente .... (ci sono siti creati apposta solo per questo e anche molti blogs pubblicano questi ed altri elenchi)

In altre parole, non credo che , PER QUESTIONI DI SICUREZZA, sia una giustificazione forse valida per bloccare pubblicazione di dati IP di siti e servers compromessi.

A me rimane ancora qualche dubbio ..... a chi giovi il fatto di non rendere pubbliche le liste degli ip compromessi.

In ogni caso visto che non sono pagato da nessuno per il blog e questo e', e rimane,al momento, un hobby, per evitare di dover mettere mano a quanto pubblico e modificarlo in seguito ad osservazioni future , da questo momento verranno pubblicate solo le pagine di hacking trovate senza, nel limiti del possibile, alcun riferimento a IP, elenchi di IP o urls collegate.

Edgar

Nessun commento: