--- Begin Message ---
- From: Marco Pennelli <heart@xxxxxxxxxxx>
- To: lugbari@xxxxxxxxxxxxxx
- Date: Sat, 19 Jul 2003 03:36:04 +0200
Salve a tutti, dopo l'adozione di filtri remoti sulle porte 25/tcp, 110/tcp e 143/tcp per tutti gli utenti adsl rendendo inacessibile la possibilità di offrire servizi di posta, Infostrada ha deciso di fare di meglio per far stressare i propri clienti. Bisognava forzare la visualizzazione del primo sito dopo essersi collegati, ma tecnicamente era abbastanza difficile e bisognava comunque rendere la cosa trasparente all'utenza, al sistema operativo e al browser. Come fare? Beh semplice, facendo un hijacking della connessione TCP verso il sito che _avremmo_ voluto vedere inizialmente. Mi spiego meglio, da circa due giorni gli utenti di Libero ADSL, si sono visti come prima pagina dopo essersi collegati, non quella da loro scelta, ma una imposta per ignoti motivi. Io personalmente avevo pensato ad un bug di Mozilla Firebird, visto che avevo avuto un crash per il troppo caldo e il browser all'avvio delle macchine e quindi della connessione ADSL, mi apriva sta pagina al posto di quella preimpostata del LUG. Pensiero buttato lì, ho avuto da fare e non mi sono interessato più di tanto, poi dopo aver sentito altri utenti lamentarsi del fastidioso problema, ho deciso di iniziare a capirci qualcosa. Quello che sono riuscito a capire, facendo dei test con altre persone, è che Infostrada ha architettato un sistema che appena ci si collega, il peer adotta un qualche tipo di filtro che matcha la nostra prima connessione verso un servente http, ovvero un sito web. Il meccanismo aspetta che ci sia un nostro HTTP GET verso l'host in questione e che fa vi direte? Semplice, prende il pacchetto del sito destinato a noi e lo manipola, mettendo nella parte HTTP una location che ci redireziona verso http://captive.libero.it wow! Praticamente si mette in mezzo tra noi e l'host che contiene il nostro sito web preferito che abbiamo messo come pagina iniziale o comunque il primo sito che vogliamo andare a vedere e modifica i pacchetti dal sito a noi, lasciando inalterati indirizzo d'origine e destinazione. Quindi facendo un tcpdump o comunque cercando di monitorare il traffico, vedremmo che è l'host remoto che ci redireziona a quella pagina. Esempio, mi collego, apro il browser, metto www.lugbari.org, monitorizzo e vedo che è lugbari.org che mi redireziona a captive.libero.it. Faccio lo stesso con www.google.it e vedo che è quest'ultimo che mi redireziona lì. Ma come dicevo, non è così, c'è qualcuno che manipola i pacchetti e lo fa non dicendoci niente. Di solito per cose così si finisce dietro le sbarre e allora perchè Infostrada può farlo? Perchè ha pensato ad un sistema che faccia l'hijacking di una nostra connessione senza pensare alla legge? Dimenticavo, nella location che ci redireziona alla loro pagina web, ci sono vari parametri tra cui l'ip del sito web che volevamo vedere, l'ip del nostro peer ed il nostro username di connessione. Probabilmente questi dati li prende dal peer stesso. Ora, chiedo agli avvocati del gruppo, è possibile fare qualcosa? Filtrare è già fastidioso, ma manipolare pacchetti come un individuo dalle brutte intenzioni, non è illegale? Perchè se non fosse così, io da oggi comincio a fare la stessa cosa su banche, assicurazioni, governi, boh quello che mi passa per la mente. E se fosse illegale e ad Infostrada/Wind non dicessero nulla, io smetterei di pagare la bolletta. Per finire, siamo sempre più controllati, Internet sta diventando una barzelletta, gli standard vengono derisi ed ecco i risultati. Questo non è un caso da sottovalutare e lo dico con fermezza, presto farò un articolo su questa faccenda, appena ho chiare determinate dinamiche di questo sistema da loro architettato. Buona notte e se pensate che sia un hacker a farvi giochetti, non preoccupatevi, è solo Wind! :))) -- /\_/\ heart at LugBari ( o.o ) Born to run UNIX > ^ < Computer Science belongs to all Humanity! _______________________________________________ lugbari mailing list lugbari@xxxxxxxxxxxxxx http://lists.linux.it/listinfo/lugbari
--- End Message ---