E’ un problema di cui mi sono accorto solo ieri. Provando a pingare ad esempio www.google.it ricevevo un timeout nella richiesta e il 100% dei pacchetti persi. Dal momento che riuscivo a navigare e la risoluzione DNS funzionava senza problemi mi sono insospettito. Sono andato per esclusione ed ho verificato che il problema fosse presente non solo su Windows ma anche su Linux e sia sul mio pc fisso che sul portatile.
Ho variato i resolver DNS ma il ping continuava a non funzionare. Solo il ping verso computer della mia LAN non aveva problemi ma qualsiasi indirizzo esterno non rispondeva ai miei ICMP echo request (il ping insomma).
Ho pensato fosse un problema del mio router così l’ho scollegato e ho attaccato direttamente il modem ethernet di Alice negoziando direttamente la connessione PPPoE. Neanche questa modifica ha permesso il ping verso l’esterno.
Così ho usato il servizio web Network-Tools.com per effettuare il ping di www.google.it senza riscontrare alcun problema. Quindi ho effettuato un ping verso il mio indirizzo IP assegnato da Alice/Telecom e ho ricevuto un timeout.
Insomma tutta questa spiegazione per dire che sono abbastanza sicuro che i sysadmin di Telecom/Alice abbiano imposto una policy molto restrittiva inibendo le ICMP echo request sia verso l’esterno, sia dall’esterno verso un indirizzo IP Telecom/Alice. Con Wireshark non riesco a leggere alcun messaggio che mi riesca a chiarire meglio la situazione.
C’è qualche cliente Alice Adsl in ascolto che ha gli stessi problemi?

UPDATE: (16-3-07) Ho inviato una lettera a Punto Informatico e spero al più presto possano pubblicarla per portare alla luce il problema. Ovviamente il ping continua a non funzionare…

La newsletter di LinuxSecurity mi ha fatto scoprire un articolo di InfoWorld sul recente attacco sferrato contro i DNS root server il 6 Febbraio (consiglio la lettura del blog /home/liquidat sull’argomento).
L’autore Roger A. Grimes ha intervistato Ken Silva, chief security officer di VeriSign, società a cui è affidata la gestione di uno dei 13 root server.
Silva ha dato qualche informazione in più sulle modalità dell’attacco condotto da ignoti che, probabilmente sfruttando macchine “zombie”, hanno inondato 3 root server con richieste DNS malformate da indirizzi IP spoofed. Circa 1Gb di dati malformati al secondo hanno piegato le risorse dei root servers G (gestito dallo U.S. Department of Defense) L (gestito da ICANN), e M (gestito dal Giappone).
Per prevenire attacchi di questo tipo secondo Silva sarebbe necessario per tutti gli ISP adottare il cosiddetto egress filtering, un metodo per controllare il traffico in uscita (consiglio la lettura di Egress filtering for a healthier Internet) . Comunque per chi gestisce i root server la soluzione più efficace a detta del security officer di VeriSign rimane sempre la stessa e cioè la over-capacity: aumentando costantemente il numero di macchine dedicate alla risoluzione dei nomi qualsiasi attacco è destinato a fare danni minimi.

Dopo i rootkit che infettano il BIOS ecco arrivare dei possibili ospiti indesiderati anche per schede ethernet e schede video che utilizzino PCI, AGP e PCI Express.
A descrivere il funzionamento di questa nuova generazione di rootkit è stato sempre il security researcher John Heasman (già autore del paper sui BIOS rootkit) in un pdf molto dettagliato.


Per ora i pericoli sono limitati, come ha spiegato Heasman a Security Focus, in ogni caso l’unica barriera concreta, a detta del ricercatore, consisterebbe nell’utilizzo di hardware dotato di Trusted Platform Module (TPM). Come dire: dalla padella alla brace…

Le intercettazioni telefoniche qui in Italia sono diventate una mania. Un pò meno lo è l’analisi forense di una SIM/USIM card alla ricerca di dati nascosti. Esistono software che riescono ad effettuare delle immagini delle SIM e in seguito ne analizzano il contenuto offrendo un valido aiuto nelle investigazioni. Purtroppo si tratta di tool proprietari e a pagamento (EnCase) o utilizzati dalle forze dell’ordine (Cards4Labs). L’unico software opensource fin’ora a disposizione è TULP2G, un framework sviluppato in C# per Windows in grado di estrarre data object dalle SIM.

Ma la musica cambierà presto. A prometterlo tre ricercatori dell’Università di Brescia: Fabio Casadei, Antonio Savoldi, Paolo Gubian. I tre stanno sviluppando un nuovo tool chiamato SIMbrush, completamente opensource, scritto in C e utilizzabile sia su Gnu/Linux che su Windows. Il software permette un dump dei dati di una SIM e la creazione di un’immagine su cui effettuare tutte le analisi possibili preservando l’integrità della scheda. Questa specie di “dd” inoltre restituisce come output anche un report in XML con molte informazioni sui dati immagazzinati nella SIM.

I principali vantaggi di SIMbrush sono l’estrazione dell’intero filesystem di una SIM/USIM, oltre a dati nascosti e non standard, la possibilità di eseguire più istanze del software senza inchiodare la macchina su cui lo si usa. Come svantaggio invece i ricercatori segnalano la lentezza: l’estrazione dei dati di una SIM può richiedere più di un’ora.

SIMbrush è stato testato su un portatile Toshiba con Suse Professional 9.3 e uno smart card reader Athena. Le card analizzate vanno da una vecchia 8KB EEPROM GSM fino a SIM e USIM 128KB GSM/GPRS. Informazioni approfondite sul tool sono disponibili nel pdf Forensics and SIM cards: an Overview mentre due siti davvero interessanti segnalati dai tre ricercatori per reperire software per “giocare” con le SIM card sono M.U.S.C.L.E. e Electronic Evidence Information Center.

Grazie a Snapfiles che proprio oggi segnala Colasoft MAC Scanner 1.1, un network scanner avanzato che visualizza anche i MAC address, ho trovato un altro software molto interessante prodotto dalla stessa software house cinese: Colasoft Packet Builder.

In pratica si tratta di un tool che permette all’utente di forgiare pacchetti ARP, IP, TCP, UDP utilizzando un’interfaccia grafica ben fatta. Ogni volta che si crea un nuovo pacchetto viene utilizzato di default un template che successivamente può essere modificato impostando valori a proprio piacimento. Insomma una sorta di hping, l’ottimo tool per Linux di Salvatore Sanfilippo, però in versione Windows e con possibilità di importazione di file generati da sniffer come Wireshark (ex Ethereal), Colasoft Capsa (tool a pagamento della setssa software house di Packet Builder) e WildPackets EtherPeek/OmniPeek

Veloce segnalazione per un progetto che insinua un pò di paranoia in tutti gli utilizzatori di pendrive: USB Hacksaw.


Il software in realtà è l’unione di più programmi: USB Switchblade, USBDumper, Blat e Stunnel. L’obiettivo di USB Hacksaw è quello di carpire i documenti salvati su una pendrive al momento dell’inserimento su un computer infetto e inviarli via mail. Per ora si tratta di un proof-of-concept ma è uno spunto interessante per capire come le pendrive possano essere facili prede di un eventuale codice maligno presente sul sistema a cui siano connesse.