[FUG-BR] [OFF TOPIC] Re: The Internet's Biggest Security Hole
Adalto Lima Moreira
adaltolm em gmail.com
Quarta Agosto 27 11:26:48 BRT 2008
eu tambem so a favor de trocar roteadores por maquinas comuns, mas pelo
custo
povo acha que cisco é caixa preta, que tem coisa que só cisco faz... e na
verdade só limita o ambiente
mas na verdade nao precisa ser maquina comum
tem um monte de opção basta introduzir um conceito de arquitetura aberta
tem centenas de opcoes de hardware sem partes moveis, que seria o problema
das maquinas comuns, com mais poder de processamento que cisco, com menos
custo, e mais vantagens, basta por um mikrotik, tinybsd, ou linux, seja o
que for...
mas realmente da um off topic
agora eu me preocupo com todas essas tecnologias "falhas por design"
porque os designs novos continuam sendo falhos
veja dnssec que lixo
curioso que a NSA e toda a inteligencia americana nunca fez nada, nem de
vagar, sem causar alarde
tem que vir povo na defcon e jogar na cara o que todo mundo sabe: internet é
frágil e qualquer um pode causar um caos, basta decidir
já torço que decidam, que isso se torne ataque comum, pelo simples fato que
parece que só a ação causará reação
senão fica igual smtp: todo mundo sabe que é lixo, mas ninguem toma coragem
de reimplementar ou por qmtp no lugar
2008/8/27 Renato Frederick <frederick em dahype.org>
> Não vejo motivo para ganhar mais rugas ou cabelos brancos por causa disto.
>
> A implementação é falha por design(assim como o Ipv4 é, a Ethernet é...) e,
> um marginal dentro da telecom pode fazer o "ataque", da mesma maneira que
> outro marginal pode avacalhar uma rede Ethernet com um notebook e
> envenenamento de MAC...
>
> Claro que as proporções são enormemente diferentes, mas o conceito é o
> famoso "inseguro por design".
>
> Quanto a substituir roteadores por maquinas rodando software, não entrarei
> no mérito da questão, mas EU não trocaria indiferente desta ou outra
> questão... creio que é mais uma questão gerencial/administrativa do que
> técnica... tem muitos pontos para pesar e considerar, daria para fazer
> outro
> OFFTOPIC :-)
>
>
>
> > -----Original Message-----
> > From: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] On
> > Behalf Of Patrick Tracanelli
> > Sent: Wednesday, August 27, 2008 11:01 AM
> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > Subject: [FUG-BR] [OFF TOPIC] Re: The Internet's Biggest Security Hole
> >
> > Giancarlo Rubio escreveu:
> > > "...The tactic exploits the internet routing protocol BGP (Border
> > > Gateway Protocol) to let an attacker surreptitiously monitor
> > > unencrypted internet traffic anywhere in the world, and even modify it
> > > before it reaches its destination...."
> > >
> > > http://blog.wired.com/27bstroke6/2008/08/revealed-the-in.html
> > >
> >
> > Tai, um desse OFF TOPIC que dá gosto de ler :D
> >
> > Quando eu li esse artigo ontem a noite só consegui ter um pensamento:
> > nossa senhora ehhuauha. Um cliente meu causou problema parecido,
> > divulgando bitmask errado aos seus peers. O que me impressionou foi o
> > peer (que não é qualquer operadora, por sinal é a principal) permitir.
> > Quer dizer, não tem sequer uma regra pra validar isso. A gente tem um
> > ambiente aqui em um cliente com iBGP e eBGP e quando um dos 4 peers
> > nossos anunciam pro principal, temos regras de "deny" (no OpenBGP) pra
> > garantir que uma "cidade" só anuncie o que realmente pertence a ela.
> >
> > Bom, mas o final do artigo deixa claro porque o Disclosure tá sendo
> > feito: pra que os detentores de AS demandem solução eficiente. Quero ver
> > coragem.
> >
> > A historia do YouTube foi comentada na lista OpenBSD Misc, mas eu não
> > dei muita atenção. Será que foi um teste prático? hehehe.
> >
> > OpenBGP criptografa mas não assina as publicações, mas acredito que
> > seria bem rápido e fácil fazer isso.
> >
> > Quero ver é o que vai acontecer agora se começarem a causar esses
> ataques.
> >
> > Porem, o problema do DNS é maior em proporção, porque teoricamente
> > qualquer um consegue explorar. Ja o ataque MITM do roteamento BGP, o
> > individuo tem que ser um AS válido. Mas, como ele reenvia o tráfego pro
> > destino original, pode ser que ninguém nunca perceba... ou que perceba
> > tarde demais.
> >
> > O bom é que se o o BGP se baseia em confiança, agora dependemos também
> > de confiança, dos engenheiros de tráfego, pra que ninguem faca isso
> > hehehe. O engraçado é que é uma coisa que todo mundo sempre soube. Fosse
> > sem querer, fosse por crença e boa fé no ser humano, nunca se imaginou
> > que isso pudesse estar sendo feito. Sempre tem aquele pensamento, "tem
> > alguem cuidando disso...", pois é, mas nem sempre tem.
> >
> > Pra mim é só um motivo a mais pra defender commodity hardware redundante
> > fazendo roteamento BGP, ao inves de Cisco ou Juniper. Um upgrade pra
> > sBGP seria mais simples e menos oneroso do que um upgrade no PC do meu
> > irmão pra jogar F.E.A.R.
> >
> > --
> > Patrick Tracanelli
> >
> > FreeBSD Brasil LTDA.
> > Tel.: (31) 3516-0800
> > 316601 em sip.freebsdbrasil.com.br
> > http://www.freebsdbrasil.com.br
> > "Long live Hanin Elias, Kim Deal!"
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd