Poi, siccome Microsoft ha sbagliato clamorosamente il calcolo di capacita’, non e’ stata capace di gestire il traffico che si e’ tirata addosso, e il servizio e’ andato in tilt. Non voglio commentare la professionalita’ mostrata in questa fase.
La cosa , comunque, e’ menzionata chiaramente qui:
http://www.noip.com/blog/2014/06/30/ips-formal-statement-microsoft-takedown/
quando si scrive:
Apparently, the Microsoft infrastructure is not able to handle the billions of queries from our customers. Millions of innocent users are experiencing outages to their services because of Microsoft’s attempt to remediate hostnames associated with a few bad actors.
Had Microsoft contacted us, we could and would have taken immediate action. Microsoft now claims that it just wants to get us to clean up our act, but its draconian actions have affected millions of innocent Internet users.
Inoltre, se volete farvi un’idea piu’ precisa della professionalita’ di Microsoft, potete andare qui:
http://www.unchartedbackwaters.co.uk/pyblosxom/microsoft_noip_dos
io non commento.
- Se le richieste erano di tipo A o AAAA, allora avrebbe potuto vedere chi usava gli host serviti da NO-IP. Nel caso abbiate uno storage domestico, cioe’, avrebbe potuto vedere chi lo usa e da dove.
- Se le richieste erano di tipo A o AAAA, Microsoft avrebbe potuto mettersi tra l’utente e il suo storage domestico, visto che Microsoft possiede una certification authority riconosciuta dai browser(1), semplicemente rispondendo col proprio IP e facendo da proxy.
- Se le richieste erano di tipo MX, e voi usavate il vostro nome di host per ricevere posta, il risultato era che microsoft poteva sapere da quali domini partiva la richiesta, ovvero da quali domini stavate ricevendo posta.
- Se le richieste erano di tipo MX, Microsoft avrebbe potuto rispondere col PROPRIO server SMTP, e mettersi in mezzo alla consegna di posta elettronica per quei domini (e poi magari consegnarla a voi).In pratica, intercettare la vostra posta.
ora, giustificare una cosa con la necessita’ di “studiare una botnet ” e’ semplicemenre RIDICOLO.
Per diverse ragioni:
- Microsoft non ha una storia di questo genere. Se lo facessero F-Secure, Kaspersky Lab o McAfee, forse sarebbero giustificati. Ma Microsoft non ha una storia analoga nel mondo della sicurezza informatica. Nessuno confonde il brand di Microsoft con quello di F-Secure.
- Le richieste DNS vengono servite in gran parte da cache. Come operazione l “filtraggio delle chiamate” non e’ credibile, visto che non tutte sarebbero passate per il DNS MIM di Microsoft.
- Esiste la polizia. Nei paesi civilizzati, l’uomo bianco ha inventato una cosa che si chiama “forze dell’ordine”, quella cosa che il cittadino avvisa quando e’ soggetto ad un crimine. In effetti, in passato FBI ha fatto cose del genere. Ma FBI e’ un pezzo dello stato mentre Microsoft e’ un’azienda, e peraltro e’ entrata in un business collaterale alla sua concorrenza ( i cloud storage che usano DDNS ).
- Anche ammesso che fosse una botnet, si sarebbe trattato di poche decine, forse centinaia di migliaia di macchine. Microsoft ha cercato di intercettare il traffico DNS di QUATTRO MILIONI di persone.Se fosse riuscita l’operazione, il 99% del traffico intercettato sarebbe stato legittimo: una vera e propria operazione di intercettazione di massa.
- Microsoft ha una storia di contravvenzioni e procedure da parte di Bruxelles ( https://www.google.com/search?q=microsoft+multata+bruxelles&ie=utf-8&oe=utf-8 ) , tutte riguardanti comportamenti lesivi della concorrenza.
E perche’ il giudice NON ha messo limiti a quanto Microsoft poteva fare con il potere cosi’ ottenuto?
ovvero, e’ stato portato un attacco DDOS contro il sito web di no-ip.org.
Mi astengo quindi dal commentare questa evidente coincidenza per motivi culturali.
- Abbandonerei qualsiasi sistema di proprieta’ di Microsoft, sinche’ la cultura aziendale e il modus operandi di quell’azienda non cambiano. Outlook, Skydrive, Office365 , Exchange, non sono sicuri se non possiamo fidarci della cultura aziendale di chi li fa. E la cultura aziendale mostrata in questa vicenda non e’ confortante.
- Usare dei DDNS locali. Io per esempio ho scelto selfhost.de ( https://selfhost.de ), in modo che una simile operazione sia possibile SOLO con il consenso della magistratura del vostro paese. Almeno, nel caso, potrete denunciare tali comportamenti illegali e ottenere facilmente un risarcimento.
- Nell’uso di DDNS locali, scegliere domini i cui tld siano sotto il controllo di autorita’ nazionali ( .de , .it, etc) e non sotto il controllo americano. Evitare come la peste .com, .org e compagnia.
- Usare per il vostro home cloud , ESCLUSIVAMENTE certificati selfsigned, in modo da dover autorizzare manualmente il loro utilizzo sui browser. Molti browser infatti autorizzano automaticamente certificati emessi dalla certification authority di Microsoft , per cui Microsoft stessa puo’ scriversi un certificato per il vostro dominio(1) e farvi un MIM sul vostro home storage e il browser accettera’ il certificato fasullo.
- Se usate un DDNS per ricevere email, fatto salvo che userete un certificato selfsigned, forzate il TLS anche nella ricezione dei messaggi, in modo da non ricevere nulla che non sia criptato. Non usate campi MX per il vostro DDNS.
- Rimuovete dalla lista delle CA “fidate” del vostro browser la CA di Microsoft. La trovate menzionata in due forme, sia direttamente come Microsoft che come Baltimore Cybertrust Root. (1)
Ah, si: a quanto pare non sono ancora state diramate attraverso Windows Update , delle patch per il sistema operativo che siano capaci di fermare i due malware dall’infettare i computer. Per essere un problema cosi’ urgente da intercettare quattro milioni di utenti a tappeto… anche su questo e’ meglio non commentare.
(1)