[Ninux-Wireless] [ninux-roma] Attacchi DoS in olsrd Was: "Malfunzionamento" a Gallia

Saverio Proto zioproto a gmail.com
Dom 25 Maggio 2014 20:27:54 CEST


Ciao Alessandro,

allora mi spieghi benissimo come hai fatto ? :)

vedendo i messaggi con un TTL ad un certo numero come hai fatto con
certezza a capire che i messaggi spoofati arrivavano da Gallia ?
Questo ancora non è chiaro dalla tua spiegazione. Sicuramente c'è un
conto (magari grossolano) che hai fatto e ci vuoi spiegare.
Ho anche pensato che forse avevate un email di massima ed avete
mandato un email che era un mezzo bluff per vedere se uscivo allo
scoperto. Dacci maggiori dettagli.

Inoltre mi dici se il tuo metodo funzionava anche un caso di TTL
spoofato ? Se lanciavo i messaggi con hopcount gia settato a 10,
avresti saputo dire con certezza che l'attacco passava da Gallia ?
Ripeto, che succede se faccio m->v4.hopcnt = XXX ?

Soluzioni:
1) Se riesci col tuo metodo a capire da dove partono i pacchetti
spoofati bisogna isolare fisicamente il nodo attaccante.
2) Bisogna in generale creare domini IGP piu piccoli. Non dico di
arrivare come fanno i greci dove ogni nodo è un AS separato, ma
potremmo fare delle frontiere dove si parla BGP in modo da limitare il
dominio nel quale un attaccante può operare.

Per la "non fiducia" non ti preoccupare, è reciproca ! Sono mesi che
cambiato la politica di accesso ai miei apparati di Ninux :)
Sinceramente trovo controproducente condividere l'accesso ai miei
apparati con un gruppetto chiuso che non scrive nemmeno una email su
nodi-roma mentre analizza un problema per 3 giorni... e poi scrive
solo a cose finite "ho risolto".

Saverio


Il 25 maggio 2014 14:45, Alessandro Gnagni <alessandro a gnagni.it> ha scritto:
> Va be save, hai sempre ragione tu.
> All'inizio sembrava un problema di configurazioni da parte di pierluigi
> sulle sue macchine.
> Dopo aver appurato che era tutto ok ieri sera alle 9 mi sono messo a cercare
> di analizzare la cosa a fondo.
> Io posso spiegare benissimo come ho fatto, solo onestamente non mi fido più
> di te.
> Io avrei preferito che tu agissi con maggior chiarezza, cosa che tu chiedi
> sempre agli altri.
> Tanto ormai solo quello che fai tu è giusto... noi sbagliamo sempre.
> Ma non riesci a fare le cose comunicando con gli altri? Siamo una community,
> tu invece ti sei rintanato nel tuo antro a scrivere codice per creare bug.
> Lo sappiamo tutti che volendo olsr è attaccabbile in milioni di modi, ma per
> questo tuo bug hai creato un problema, senza proporrere una soluzione.
>
> Il 25/mag/2014 13:50 "Saverio Proto" <zioproto a gmail.com> ha scritto:
>>
>> Il 25 maggio 2014 10:13, Netsoul <hackerredenti a outlook.com> ha scritto:
>> >
>> > Una volta queste cose venivano organizzate. Certo, il gestore non doveva
>> > conoscere la metodologia, ma almeno l'arco > temporale in cui si sarebbero
>> > svolti i pentest. Almeno a me così hanno insegnato. Farlo "al buio"  e poi
>> > vantarsi di
>>  > averlo deliberatamente fatto vuol dire aver  mettesso in difficoltà
>> persone che magari proprio in quell'arco temporale
>> > avevano bisogno della rete o più semplicemente stavano cercando di
>> > risolvere piccoli bug (che poi non capisci se è >stato il tuo bug a fottere
>> > la rete o la rete che fotte te)
>> > Boh, forse sbaglio io eh! Ma "ai miei tempi"  se volevi fare una cosa
>> > fatta bene e professionale avvisavi e poi postavi >l'eventuale dump a
>> > beneficio di tutti...
>>
>> Ciao Netsoul,
>>
>> il tuo nick mi è nuovo, quindi prima di tutto piacere di conoscerti.
>>
>> le tue osservazioni sono corrette, ma io non volevo solo fare un
>> esperimento tecnico, ma un esperimento "community".
>>
>> Ero ti spiego perché farlo "al buio".
>>
>>
>> Parte tecnica:
>> abbiamo capito che con una patch da 4 righe si può fare un attacco DoS
>> che funziona.
>> abbiamo capito che se il TTL non è forgiato possiamo capire a quanti
>> hop da noi è l'attaccante, e provare a identificarlo.
>>
>> Parte community:
>> fino alla risoluzione del problema non è girata nemmeno una email su
>> lista wireless o nodi-roma. C'è quindi un gruppetto che lavora per
>> fatti suoi. Un gruppetto chiuso. Questo è una male per la community.
>> Non vengono coinvolte tutte le persone nelle cose tecniche ma solo gli
>> amichetti.
>>
>> solo alla soluzione del problema è stato a questo punto scritto su
>> nodi-roma, ma perché? tanto valeva scrivere a me ? E' stato scritto
>> perché si doveva additare "il cattivo". A quel punto tanta gente
>> simpatizzante di Andrea e con poche competenza tecnica ha rincarato la
>> dose attaccando "il cattivo". Si è arrivati a richiedere una punizione
>> con per "il cattivo". Ci vorrebbe qualcuno con piu competenze di me in
>> psicologia per analizzare in fenomeno.
>>
>> La parte tecnica è andata totamente in secondo piano. Non sono stati
>> dati dettagli di come è stato trovato l'attaccante. Non sono state
>> date risposte alle domande tecniche fatte. Io avevo lanciato degli
>> inviti interessati come l'articolo sul blog ma non mi è stato dato
>> alcun seguito.
>>
>> era proprio questo tipo di esperimento che volevo fare !
>> questa community ha bisogno di una cura :)
>>
>> ciao,
>>
>> Saverio
>> _______________________________________________
>> Wireless mailing list
>> Wireless a ml.ninux.org
>> http://ml.ninux.org/mailman/listinfo/wireless
>
>
> _______________________________________________
> Wireless mailing list
> Wireless a ml.ninux.org
> http://ml.ninux.org/mailman/listinfo/wireless
>



Maggiori informazioni sulla lista Wireless