Season’s Greetings and Happy New Year from Me
Ho postato un po’ di documentazione assortita al seguente link:
fatevi pure accesso (visto che pago di tasca mia la banda che ho pagato è limitata, abbiate pazienza se vi risulta un po lento :).
in questa locazione in futuro porrò anche altro materiale.
in caso vi siano materiali riservati di volta in volta creerò share dedicati con credenziali on demand.
ciao
Antonio
Your recording is now available on the WebEx service site. Click the link below to play it:
https://cisco.webex.com/ciscosales/lsr.php?AT=pb&SP=MC&rID=41164752&rKey=95f70948e334605a
Cisco Ironport web usage control webex-20091124 0917
Tuesday, November 24, 2009 10:17 am Berlin Time
1 Hour 23 Minutes
* You can forward this message to others to allow them to play back the recording. *
Aspetto sempre i vostri feedback 🙂
Antonio
Per qualche ora oggi non è stato disponibiule l’accesso a questo blog ed è tuttora indisponibile l’accesso al blog portadiferro2.blogspot.com
La ragione del blocco è legata agli agoritmi antispam in uso in google che hanno identificato i miei blog (sic) come spamblog. Per stessa ammissione di Google questi algoritmi sono piuttosto proni al falso positivo e visto che i contenuti dei miei blog parlano diffusamente di spam, malware e rimandano ad articoli sull’argomento evidentemente ho superato la soglia di “tolleranza” di questi meccanismi.
Il risultato è stata la disattivazione totale di tutte le risorse google a cui accedevo e la messa offline dei blog.
portadiferro è stato sbloccato in serata mentre per portadiferro2 sto ancora aspettando l’intervento da parte di Google. Sono spiacente per l’inconveniente che spero si risolva al piu presto.
Antonio
|
|
Buon Giorno
Oggi scrivo di security (oh che cosa curiosa) e, in particolare, di security sulla posta .
L’argomento di oggi è il Bounce.
Come sappiamo il protocollo SMTP è un protocollo che, per le sue caratteristiche, è estremamente esposto ad attacchi di diverso genere. Uno tra i tanti è il DoS tramite bounce attack.
In cosa consiste?
Si tratta di sovraccaricare la interfaccia SMTP con milioni di messaggi per far saturare il canale di posta e, se possibile, far riempire le code e magari far crollare il mailserver.
La generazione di tali messaggi viene demandadata a mailserver legittimi che rispondono legittimamente ad un errore di invio al mittente che, però, è ignaro della attività
L’attacco di per se è estremamente semplice da mettere in piedi ed è, al contempo, particolarmente complesso da fermare.
Per altro il problema del bounce può essere anche una conseguenza secondaria di altri attacchi (directory harvest, spam attack e via dicendo). Ma cerchiamo di capire di cosa stiamo parlando e di come si svolgono le cose.
Il primo step è capire cosa sia un Bounce.
Il bounce è nientre altro che la notifica che la mail inviata ad un mailserver è stata ricevuta (positive bounce o positive DSN) o non è stato possibile consegnarla (Bounce o DSN):
http://en.wikipedia.org/wiki/Bounce_message
•A bounce can be two things: –NEW email generated automatically by the receiving system, using information from the original message, sent “back” to the envelope sender –The act of telling the sender the message is rejected •DSN: Delivery Status Notification. IronPort supports only “Negative DSN”. •NDR: Non-delivery record, a.k.a. bounce.
Tale servizio è facoltativo, le RFC lo raccomandano ma non ne danno vincoli forti, anche in termini di struttura del messaggio di reply. Lo scopo del bounce è di notificare al mittente che non è stato possibile consegnare il messaggio al destinatario.
Senza il bounce notification un protocollo come l’SMTP che è, per sua natura, “unreilable” lascerebbe il mittente nel dubbio se la sua mail sia stata o meno deliverata correttamente al destinatario. Sbagliare un’indirizzo di mail è una esperienza che è capitata a chiunque, non avere la notifica dell’avvenuto errore diventerebbe un problema di gestione non secondario in caso di uso professionale di tale protocollo.
Il bounce quindi ha una sua utilità nell’ambito dell’invio della posta. Il problema è che per sua natura il bounce, che ha una sua ragione legittima di esistenza, può essere usato anche per altri scopi.
Data la natura arbitraria del formato è possibile, ad esempio, spingere un utente a cliccare su contatti email o link che indirizzano a servizi di spam o, come descritto in testa a questo post, provocare Denial of services e cosi via.
Vediamo come si genera un Bounce.
Durante la conversazione SMTP client e server della conversazione (mittente e destinatario se volete) si scambiano alcune informazioni.
qui sotto vedete un estratto semplificato di tali conversazioni
Una mail è la composizione di queste conversazioni.
La prima parte (envelope) compone di fatto la componente di indirizzamento SMTP ed è la base su cui vengono generati i bounce di tipo conversational.
la seconda parte (body) è quella che viene poi interpretata a livello di client di posta e da cui il client solitamente estrae le informazioni per i reply to e le altre attività.
Una prima osservazione importante è che il contenuto del campo envelope è obbligatorio in un qualsiasi scambio di posta elettronica. Anche in assenza di elementi nmel campo Data, la presenza degli elementi nel campo envelope è sufficiente per ricevere posta e rispondere. in caso di mancanza di altre indicazioni i client di posta prendono come riferimento per mittente e destinatario i campi dell’envelope.
Una seconda informazione importante è che il controllo sulla coerenza sintattica e correttezza di mittente e destinatario a livello SMTP viene fatta solo sull’envelope e non sul body, che viene gestito poi a livello superiore dal serverclient di posta.
Va inoltre osservato che in caso di posta gestita tramite certificati la unica area che viene soggetta alla coerenza è la componente data, la componente di envelope viene generata on the fly durante la conversazione smtp e quindi non è certificabile.
Questa significa in pratica che la parte di envelope è soggetta a spoofing in maniera molto semplice e che non vi sono obblighi di controllo di default che quanto dichiarato nell’envelope coincida con quanto dichiarato nel body.
Il Bounce viene generato (o può essere generato) in due momenti diversi: o a livello SMTP durante la conversazione con l’MTA di ricezione o a livello di server di posta client) analizzando i dati del body.
Tipicamente a livello di conservazione SMTP la risposta è immediata nel caso la MTA conosca l’elenco degli utenti.Questa carattersitica può essere utilizzata per effettuare directory harvest attack (che verranno esposti in pun prossimo post se volete).
L’interfacciamento con una sorgente LDAP in questo caso può facilitare la gestione solo nel caso si utilizzano meccanismi di ADHA (Anti- Directory Harvest Attack).
Nel caso la MTA non conosca questo elenco tutti i messaggi a questo livello vengono accettati (salvo problemi sintattici) e la generazione di un bounce viene redireta al livello successivo.
Consideriamo quindi come viene solitamante generata una risposta di bounce. Il messaggio che arriva, come detto, contiene una parte generata dalla conversazione SMTP (envelope) e poi dalla componente Body. Consideriamo quindi che ci sia un errore che impedisca la corretta ricezione del messaggio, il sistema genera una risposta di errore:
la struttura di questa risposta può variare sotto diversi aspetti: può, o meno, contenere il messaggio originale, può contenere o meno una parte di script automatico che descrive l’errore ed il relativo codice di errore generato (ad esempio: user unknown, mailbox full e cose del genere).
Una volta chiarito cosa sia il Bounce possiamo iniziare a capire cosa possiamo aspettarci:
supponiamo di avere lo scenario seguente:
un utente “A” invia un messaggio ad un utente “B”
se l’utente “A” sbaglia a scrivere la mail del destinatario abbiamo i seguenti scenari:
il destinatario a livello di conversazione SMTP conferma l’accettazione del messaggio e quindi la transazione continua.
in questo caso il server di partenza riceve un errore gia a livello di risoluzione DNS. La gestione dell’errore e la relativanotifica al mittente viene gestita direttamente dal server di invio.
In realtà la gestione dell’errore da parte del server mittente potrebbe essere legato anche ad un problema transiente (il DNS giu, oppure server di destinazione che no risponde per altri problemi). A questo proposito si fa riferimento alle indicazioni in RFC inerenti i retry e relativi errori.
in questo caso il server di destinazione comunica al mittente che il destinatario non esiste.
abbiamo fondamentalmente 2 casi:
fin qui siamo nel reame delle operazioni effettuare correttamente.
Complichiamo ora le cose introducendo una modifica al flusso di carattere illecito.
In questo caso la notifica dell’errore invece di essere inviata al mittente viene inviata ad una entità terza che non ha nulla a che vedere con la transazione in oggetto.
Il ricevente quindi si trova a ricevere un messaggio proveniente da una fonte legittima (pippo.com) che fa riferimento però ad una transazione da lui mai iniziata.
A causa della origine del meccanismo di generazione del Bounce, il mittente ha grosse difficoltà a controllare la veridicità, o meno, di tale notifica. Il fatto che la struttura di tale notifica è di contenuto variabile e che la sorgente è legittima rende la detection attraverso tradizionali motori antispam estremamente difficile se non quasi impossibile.
Ora immaginiamo di estendere la attività a molte fonti di invio:
Un attaccante attiva una botnet (1) per inviare a diverse fonti migliaia di messaggi (2) con forged sender errato. questi messaggi vengono processati dai vari riceventi e le relative bounce notification vengono inviate al reale target dell’attacco che si vede arrivare miolioni di bounce da sorgenti legittime.
in questa ottica “customer.com” deve sopportare una quantità di messaggi tale che potrebbe portare al collasso della sua struttura.
Per altro al fine di evitare che il sistema attaccato chiuda ai bounce provenienti da uno specifico server l’attacco conivolge non solo una o piu botnet ma anche una elevata quantità di host intermedi, rendendo la detection e la remediation estremamente difficile.
Il bounce, seppur prono ad essere utilizzato come strumento di attacco e disturbo, è un elemento fondamentale per il corretto funzionamento dei servizi di posta.
Eliminare i bounce notification non è la risposta corretta in quanto si incide sensibilmente sulla qualità del servizio offerto.
Le possibili alternative alla chiusura di tale fondamentale notifica sono l’utilizzo, in prima istanza, di una MTA di front end che isoli il mail server da internet.
Questa MTA è poi opportuno che sia in grado di interfacciarsi con una struttura LDAP (o AD) al fine di recuperare le mail degli utenti per ridurre il nuomero di transazioni effettuate col mailserver. Tale interfacciamento richiede 2 carattersitiche:
1) che la struttura LDAP (o AD) NON risieda sulla MTA per ragioni di sicurezza ma che vengano effettuate query specifiche alla bisogna.
2) che l’MTA sia in grado di offrire tecnologie anti Harvesting a corredo.
In questo modo l’impatto di un eventuale Ddos viene mitigato.
Un secondo possibile strumento è la introduzione di meccanismi di tagging sulla mail per identificare in maniera univoca i bounce generati in risposta a mail legittime.
l’idea di base è di sfruttare la caratteristicha per cui il client di posta vede il campo from proveniente dal body, mentre l’envelope può essere diverso.
supponiamo quindi che il server mittente sia capace di modificare, con una chiave univoca, i messaggi in uscita, alterando il campo from, ad esempio:
mail from: pippo@pippo.com –> (chiave1)pippo(chiave2)@pippo.com
Ora in caso di bounce il campo utilizzato sarebbe:
(chiave1)pippo(chiave2)@pippo.com
in questo modo il bounce generato da un errore legittimo viene identificato grazie alla presenza della chiave di tagging nell’indirizzo.
In questo caso diventa legittimo scartaretutti i bounce che siano inviati verso mittenti sprovvisti di questo Tag identificativo.
quindi il bounce per (chiave1)pippo(chiave2)@pippo.com viene accettato mentre quello per pippo@pippo.com viene scartato.
Questo meccanismo si chiama BATV Bounce Address Tagged Validation ed è uno strumento interessante per indirizzare questo tipo di problematiche.
il BATV definisce una struttura di tagging specifica:
un envelope sender del tipo
viene sostituito con
prvs=tag-value=mailbox@example.com
,
dove prvs
, “Simple Private Signature”, è lo schema di taggin definito al momento.
per maggiori indicazioni si può fare riferimento al relativo draft BATV.
Uno dei limiti intrinseci di questo meccanismo è legato al fatto che ad una analisi attenta del messaggio il campo mail from di envelope e body differiscono. Questo può comportare, in alcuni servizi di posta, alla errata interpretazione che si tratti di un forgin e quindi considerare la mail malevola.
Tipicamente questo comportamento si incontra con Lotus Notes e con alcuni servizi antispam.
Nelle implementazioni di ESA è possibile configurare questo servizio (Bounce Verification) sfruttando anche la possibilità di gestire eccezioni per dominio di posta, rendendone quindi possibile l’utilizzo anche in presenza di riceventi non compatibili.
Alla prossima
Antonio
La ultima sentenza europea sul crocifisso in classe mi ha mostrato, una volta di piu, che in Italia la cittadinanza non da adito, per se, ad un rispetto omogeneo delle prerogative morali e religiose.
Non potendo entrare nel merito giuridico della decisione, non avendo letto il dispositivo della sentenza, mi sento però in grado di fare alcune osservazioni sulle reazioni sentite in giro.
Premetto che faccio parte di una minoranza, sono un italiano agnostico, in un paese di profonde radici cattoliche che sarebbe assurdo non vedere. Ma faccio parte anche di uno stato laico che, in carta costituzionale, garantisce a tutti i cittadini libertà di culto e professa uguaglianza ed uguali diritti indipendentemente dalle preferenze politiche, religiose, di censo o sessuali di sorta.
La sentenza afferma in modo diretto ed inequivocabile che esiste, in Italia, un comportamento discriminatorio nei confronti di sensibilità religiose diverse da quella prevalente (la cattolico-cristiana) che potrebbero, quindi, sentirsi prevaricate di fronte a simbologie religiose cristiane imposte in aree di pertinenza laica.
La risposta a tale osservazione legittima e vieppiù ovvia (infatti non ci troviamo di fronte ad una presenza sincretica di piu simbologie religiose ma ad una di identità precisa), provoca delle reazioni contrastanti e, per molti versi, curiose.
Nell’ordine la prima perplessità mossa è il fatto che tale sentenza viene percepita come una indebita intromissione negli affari interni di uno stato. la osservazione è di per se risibile, la unione europea è stata campo di adesione volontario ed ad essa si è volontariamente demandata parte della sovranità nazionale. Questa cosa è imprescindibile dal concetto di europa, il demandare parte di diritto di sovranità è componente essenziale di qualsiasi accettazione di organi di governo sovranazionali. è una condizio sine qua non, non possiamo chiedere all’euuropa se, contestualmente, non doniamo.
la seconda grande parte dei commenti fa riferimento al fatto che la cultura prevalente è, nei fatti, cattolica e quindi la presenza del crocifisso nelle scuole fa riferimento non ad un presunto tentativo di proselitismo ma ad una normale rappresentazione delle abitudini del paese.
Vorrei, da questo punto di vista, però chiarire il punto ed il senso della vicenda. il tutto nasce da una richiesta formulata dalla madre di uno studente che, sentendosi discriminata dalla presenza del crocifisso in quanto atea o agnostica (in questo senso le notizie giornalistiche non sono state esaustive, pur essendo le due posizioni abbastanza diverse dal punto di vista concettuale), ne ha chiesto la rimozione.
A seguito di una risposta negativa utilizzando gli strumenti messi a disposizione dalla nostra legislazione la signora ha proseguito quella che riteneva una sua battaglia di diritto.
Ora il problema che sorge è: se la signora in questione si sentiva discriminata dalla presenza del crocifisso, perche la sua sensibilità è di minor importanza della prevalente? Esiste un diritto di superiorità nei confronti del cristianesimo? Questo in uno stato laico (ancorchè non laicista come quello francese che rigetta, in ambito pubblico, tutte le espressioni religiose demandandole rigidamente alla sfera privata) non dovrebbe eessere ammissibile. La sensibilità di un laico e di un cattolico sono, o almeno dovrebbero essere, uguali di fronte alla legge.
Ma cosi non è sentenzia il tribunale europeo che ravvisa, nel rifiuto da parte delle istituzioni italiane, di rispettare la legittima richiesta di una cittadina di non vedere prevaricata la sua sensibilità un atto discriminatorio, aggravato, aggiungo a mio personale titolo, dal fatto che compiuto nei confronti di una minoranza.
Ora la unica osservazione che troverei accettabile è inerente la risoluzione del conflitto tra chi ritiene offensiva la assenza di tale simbolo religioso in una aula pubblica.
Da questo punto di vista però risulta evidente come, essendo lo stato italiano laico, in caso di conflitto tra chi chiede la introduzione di un simbolo religioso e chi non la chiede si debba dare, per rispetto alle altre minoranze, ragione a chi chiede la rimozione del simbolo specifico. Cerchiamo di chiarirci: non si chiede la rimozione della fede cristiana ed i suoi simboli in maniera indiscriminata ma si dice:
1) se siamo in uno stato laico
2) e siamo in un luogo pubblico ove tale stato esercita le sue funzioni
in caso di conflitto sulla permanenza di un simbolo religioso questo debba essere rimosso per rispettare la sensibilità di chiunque a questo stato fa riferimento e da cui si aspetta paritetico interesse e rispetto.
Non si discute quindi il crocifisso per se ne come simbolo di una cultura prevalente ma si dice, in caso qualcuno sollevi obiezione di sorta questo va tolto per rispetto istituzionale delle diversità di credo.
Vi sono poi le espressioni piu colorite, che sono la maggiornaza dei commenti che si raccolgono per strada, sul fatto che bisogna fermare questi extracomunitari che vogliono comandare da noi e noi non imponiamo a loro di costruire chiese perchè ci vogliono imporre le moschee…etc etc (voci raccolte tra mamme che perlavano della vicenda fuori dalla scuola…vox populi).
Di fronte a questa colorita e variegata distribuzione di “nonsense” non si puo fare a meno di sollevare un amaro sorriso e chiedersi in che direzione la nostra cultura si stà muovendo.
A parte le considerazione che la vicenda nulla ha a che fare con l’islam, ma è stata mossa da una cittadina italiana di orifine finlandese (sic), questi commenti sono uno specchio di come la discussione culturale in Italia sia oramai ristagnata a livello di tifo calcistico e poco oltre. Dando al tifo calcistico il dovuto e superiore rispetto che merita di fronte a espressioni di bassa xenofobia e velato maldestro razzismo.
La realtà dei fatti è che una maggiore apertura e gestione flessibile di alcuni aspetti della ingerenza religiosa nel nostro paese sarebbe auspicabile anche, e sopratutto, da parte cattolica per preservare il valore spirituale di alcuni aspetti e combattere una volagre secolarizzazione. Citare il cricifisso come semplice simbolo culturale e non religioso è solo in parte vero, e ne sminuisce il valore che dovrebbe avere dal punto di vista spirituale per i veri cattolici.
L’Italia è un paese di forte tradizione cattolica: ne siano dimostrazione i tempietti che si trovano agli angoli delle strade con rappresentazioni sacre, la capillare distribuzione di chiese ed altri simboli religiosi. Possibile che la fede di questi cristiani sia cosi flebile e labile da vacillare se confrontata con la esigenza di un laico o di un appartenente ad una altra confessione di veder rispettata la sua sensibilità?
Possibile che l’affermazione della propia identità debba essere sostenuta tramite la prevaricazione arbitraria della minoranza non allineata?
Il senso della democrazia allora quale è? Se non sono cattolico non sono italiano? Anche se nato in Italia da genitori italiani, i cui genitori erano a loro volta italiani e cosi via, la mia italianità è legata in maniera inequivocabile al mio credo religioso o politico? E se cosi, mi auguro, non è quali sono i limiti di uno stato laico nei confronti della interferenza della sfera religiosa? Può uno stato laico impormi un simbolo religioso?
La questione è, in realtà, estremamente complessa e le ripercussioni sono molto piu ampie di quanto una semplice sentenza su di un crocifisso possa far apparire. Peccato che un argomento serio che meriterebbe la attenzione culturale corretta venga svilito in commenti e osservazioni vuote.
AI
Ciao a tutti
come sappiamo Cisco-IronPort ha promosso tutta una serie di novità volte a formare e dare strumenti al canale, questo di fatto comporta una maggiore facilità nel reperimento delle informazioni sui prodotti e le tecnologie. Il portale e il sito del supporto sono stati ulteriormente migliorati e qanche sul sito cisco adesso si trovcano informazioni approfondite e dettagliate sulle tecnologie Cisco Ironport.
mi sto intertogando quindi sul senso e la direzione che deve prendere questo blog, per non sovrapportsi o duplicare inutilmente risorse ufficiali già pienamente disponibili.
tra le direzioni che posso prendere nei prossimi post vi sono alcuni doverosi approfondimenti sulla nuova tecnologia introdotta su WSA (Cisco IronPort Web Usage Control o CIWUC), ma vorrei un feedback da chi questo blog legge e consulta.
Tra le cose che vorrei porrealla vostra attenzione, e quindi rivevere feedback inmerito, vi è la possibilità di postare articoli su:
SMTP base: corso sul protocollo e come funziona, con link e riferimenti alla vasta biblioteca che si trova su internet al riguardo
SMTP security: sapete cosa sono i bounce attack (joe job) o un directory harvest? e come funzionano?
Techical Collateral: DNS, Mx records, A records…che roba è?
Browsing Base: in parte coperto dalla introduzione al wsa, cosa succede quando andiamo su un sito del tipo WWW.xxx.xxx ?
Phyton: il linguaggio di scripting presente sulla piattaforma WSA ed ESA, riferimenti ed indicazioni su dovew trovare informazioni valide su internet.
insomma sto cercando di raccogliere idee per continuare ad offrire un servizio che abbia senso.
Fatemi sapere qualcosa, per favore 🙂 e possibilmente come post sul blog…
ciao
Antonio
Da: Maria Antonietta Vasi
Inviato: martedì 27 ottobre 2009 17:12
Oggetto: Invito al WebEx del 30 ottobre: NOVITA’ DA CISCO_IRONPORT
Priorità: Alta
Buonasera,
siamo lieti di invitarla a partecipare alla WebEx che si terrà venerdì 30 ottobre dalle ore 15.00 alle ore 16.00.
Di seguito troverà i relativi dettagli:
Agenda:
· Novità dal listino – nuove scontistiche
· Web Usage Control: licensing, funzionalità e competition
· Training di certificazione – Perchè essere partner certificati Cisco/IronPort
· Registration portal: come funziona e perchè è utile
· Q&A
Panelist:
Edoardo Albizzati
Antonio Ieranò
Meeting Number: 201 556 257
Meeting Password: IronPort
——————————————————-
To join this meeting %JoinMeetingTitle4SmartPhone%
——————————————————-
1. Go to https://ciscosales.webex.com/ciscosales/j.php?J=201556257
2. Enter the meeting password: IronPort
3. Click “Join Now”.
4. Follow the instructions that appear on your screen.
——————————————————-
To join the teleconference only
——————————————————-
1. Dial into Cisco WebEx (view all Global Access Numbers at
http://cisco.com/en/US/about/doing_business/conferencing/index.html
2. Follow the prompts to enter the Meeting Number (listed above) or Access Code followed by the # sign.
IMPORTANT NOTICE: This WebEx service includes a feature that allows audio and any documents and other materials exchanged or viewed during the session to be recorded. By joining this session, you automatically consent to such recordings. If you do not consent to the recording, do not join the session.
http://www.webex.com
We’ve got to start meeting like this(TM)
Grazie e buona serata!
Maria Antonietta Vasi
Account Manager
EXCLUSIVE NETWORKS
E-mail : mavasi@exclusive-networks.com
Mobile: 0039 345 2452620
Strada 4 – Palazzo Q7
20089 Milanofiori – Rozzano (MI)
Tel : +39 02 36538520
Fax : +39 02 36538520
Groups Website : www.exclusive-networks.com
Skype: anto.vasi