spaventosa situazione con android, Re: [Soci SLIP] Il rapporto Juniper [Era: spaventosa situazione con android]

[loredana]

Per me il soggetto appropriato continua ad essere lo stesso, del
rapporto juniper non ci dici niente, vincolato come ti ritieni dal
segreto d'ufficio :)

n Sun, 2011-05-22 at 19:41 +0200, Lucio Crusca wrote:
 
> :) lo ribatto solo perché continui a dire che è un problema specifico di 
> Android! Ok va bene, non serve che cerchi di spiegarmelo di nuovo, ho capito 
> il tuo punto di vista molti messaggi fa, solo che non lo condivido.

Diciamo che anch'io ho capito il tuo molti messaggi fa, solo che non lo
condivido :)

Diciamo anche che io NON continuo a dire che e' un problema specifico di
android da un po' di messaggi fa, mentre tu sembri continuare a dire che
NON e' un problema con android. Forse possiamo metterci daccordo dicendo
che il problema e' NON SOLO di android, inteso come sistema operativo di
una classe di dispositivi, ma che e' anche dei desktop e quant'altri? E
fare un passettino avanti? Insomma, il vero colpevole e' google, e certo
chi ha un dispositivo mobile con android passera' molto piu' tempo di
chi ha un ipad con quel problema... E anche di chi ha un desktop.  

> > > Scusami se ti correggo di nuovo su questo aspetto, ma il problema del
> > > ClientLogin NON porta ad un attacco MITM:
> >
> > Scusato, ma faccio fatica a capire di quale correzione si tratti.
> >
> > "Volevamo sapere se fosse davvero possibile lanciare un impersonation
> > attack (significa che qualcuno si mette in mezzo ad una comunicazione
> > tra due, impersonificando l'una o l'altra parte, altrimenti detto
> > man-in-the-middle attack, n.d.r.) 
> 
> La correzione è proprio qui, dove hai aggiunto del tuo alla traduzione ed hai 
> dato per scontate delle cose sbagliate. Un impersonation attack non è 
> altrimenti detto MITM. Sono due cose diverse. Nel MITM, l'utente sta usando un 
> servizio ed in mezzo c'è il terzo uomo che agisce in diretta, di nascosto e 
> modifica i pacchetti in transito. Un'impersonation attack è invece un furto 
> d'identità e l'identità rubata viene usata in differita. In realtà sono 
> dettagli poco rilevanti dal punto di vista della nostra disquisizione, ma li 
> segnalo solo perché così diamo informazioni corrette.

Va bene ... se mettersi in mezzo con un access point non si qualifica
come man-in-the-middle-attack lasciamo perdere ... tu fammi capire come
l'utente possa godere del fatto che si tratti di uno e non dell'altro...
Ma meglio essere pignoli. 
 
> > "Per collezionare tokens di autenticazione su larga scala, un avversario
> > potrebbe metter su' un access point wifi con un SSID (nome della rete,
> > n.d.r.) comune di una rete wireless non crittografata, per esempio
> > T-mobile, attwifi, startbucks (comuni negli stati uniti, n.d.r.). Con i
> > parametri di default, i telefoni android si connettono automaticamente
> > ad una rete registrata in precedenza e molte applicazioni si
> > sincronizzano immediatamente.
> 
> Sì questa parte preferivo non citarla, perché denota ancora una volta la 
> scarsa preparazione del team di ricercatori, su cui non volevo infierire 
> ulteriormente. Un qualsiasi dispositivo (Android o meno, ma parliamo pure di 
> Android che ci sta tanto a cuore al momento) non usa solo il nome della rete 
> (SSID) per decidere che la rete è conosciuta e che quindi può connettersi, ma 
> usa anche il BSSID, che poi sarebbe il mac address del router. Conseguenza? Se 
> metti su un access point con SSID = "T-Mobile" Android non si connetterà 
> affatto in modo automatico, ma sarà l'utente che dovrà selezionare la rete (e 
> c'è scritto che è una rete non protetta) e connettersi. Quindi questo modo di 
> raccogliere tokens fallirebbe miseramente.

Forse ti sei perso un piccolo particolare o forse si sbagliano loro: con
i parametri di default, dicono, android si connette ad una qualsiasi
rete CHE ABBIA GIA' REGISTRATO IN PRECEDENZA. Di qui, il fatto che
l'attacco viene portato avanti configurando l'ssid di reti aperte che
sono diffuse sul territorio, tipo startbuck o t-mobile.  Puo' darsi che
i poveretti si siano inventati tutto, o non sappiamo proprio niente di
quel che si dicono, ma e' improbabile che sia davvero cosi'. Magari e'
solo mal espresso o non preciso o manca un pezzetto di informazione che
possiamo ricostruire. 

Io un dispositivo mobile android non ce l'ho e non mi pare che mi serva,
per cui difficilmente ce l'avro' mai, ma un laptop che con la wifi
attivata si collega alla prima rete aperta che trova in giro, magari
all'aeroporto, senza chieder piu' niente a nessuno io l'ho gia' visto.
Anche uno che si collega ad una rete protetta di cui ha memorizzato le
credenziali, se per questo. Tu no? E' la ragione per cui disattivo la
radio. Assamai.

Mi sbaglio? Si sbagliano loro? Ti sbagli tu? Non si sbaglia nessuno, ma
ci manca un pezzo per far quadrare la faccenda?

> > Lucio non mi ha risposto, ma com'e la rete del Veloce? 
> 
> Non ho risposto perché lo sai anche tu, è aperta. 

Ma forse non lo sanno altri che leggono, o non ci pensano, o non ne
capiscono le implicazioni ne' le conseguenze (non questa particolare di
cui stiamo discutendo, in generale) che ne derivano. Rientra nei compiti
di slip informarli su una questione di tale rilevanza? Educare all'uso
corretto della tecnologia? Senza partiti presi ne' manicheismi? Se si',
allora diciamoglielo che potenzialmente stiamo parlando anche di una
rete che li riguarda da vicino, cosi' magari aumenta il loro interesse
per una questione che, a mio parere, e' rilevante. 

> > Magari viene
> > usata per "rubarvi" i token per i servizi google :) Scherzo, ma immagino
> > che sia perfettamente fattibile, se e' aperta.
> 
> Esatto, è possibile (poi ovviamente non succede). 

Perche' no? E perche' non da qualsiasi altra rete aperta? 

> La cosa da capire è che ciò 
> è possibile anche se vi connettete a quella rete con un normale notebook 
> invece che con un dispositivo Android (ah già, non dovevo più ribatterlo...).

Giuro che io l'ho capito, giuro, bbastaaa :)

Ma anche CON un dispositivo android. Ah gia, perche' insistere? In
fondo, se non lo hanno fatto finora con i desktop, di bucarci di brutto,
e invece lo hanno gia' fatto e magari lo faranno sempre di piu' con i
dispositi mobili android, perche' insistere a sottolineare il vero
problema? Ti pare?

Meglio fare i sottili e continuare a far le pulci e a dir che non ci
riguarda e son tutti cattivoni sul libro paga di windows mentre a noi
che ci frega che tanto  stiam con linux. Ma gia', non dovrei piu'
insistere :) Accendete beati i vostri cellulari, lasciateli agganciare a
tutte le reti di questo mondo, scaricate le vostre applicazioni e non
pensateci piu'. 

> > > No, non esiste alcuna libreria per Android o per altri sistemi che
> > > implementi ClientLogin.
> > 
> > Qui c'e la loro documentazione:
> > 
> >   http://code.google.com/apis/accounts/docs/AuthForInstalledApps.html
> 
> E quindi? Quella è la documentazione, non una liberia.

E io ho detto che e' una libreria? Siccome se ne parla, sono andata a
vedermi cos'e', per capire come si usa clientlogin e ho messo il link
per documentazione mia e di altri eventuali, caso mai qualcun altro
invece di starsene la domenica con il cellulare in mano a far il tifo
sulla nostra partita si fosse incuriosito, vedi mai, e volesse dare
un'occhiata :)

E' il mio modo di procedere un pochino. E' servito a me per capire,
magari serve ad altri, non mi costa metter il link a disposizione di
tutti, lo faccio. Se non serve a nessuno, va bene anche cosi', serve a
me e non ci rimetto niente.

> > > Sì il kill switch è una porcheria, sono d'accordo
> > 
> > Ed e' una funzione di android? A che livello e' implementata?
> 
> A livello di applicazione Market. Se stai senza market, non c'è più il kill 
> switch.

No, scusa. Fammi capire. Se io non uso le applicazioni disponibili
tramite il market, non ho il kill switch NE' google ha alcun modo di 
mettersi a far qualcosa sul mio dispositivo? In nessun modo, per nessuna
ragione? Uhm...

> Si puo' davvero pensare che l'utente possa mai disabilitarla?
> 
> Per ora solo rinunciando al Market.
> 
> > Ed essere sicura che sia stata davvero disabilitata? Come?
> 
> Come dicevo manca ad oggi un'opzione semplice che permetta all'utente di 
> disabilitare il kill switch a suo rischio e pericolo ed è ciò che auspico che 
> Google aggiunga al più presto, ma temo che non accadrà.

Ma un utente potrebbe rinunciare al market? Ha senso? Chiedo perche' non
so. Se l'utente e' comunque costretto ad usare il market per far
qualsiasi cosa sensata, perche' e' li' che ci sono le applicazioni,
perche' ... perche' ... perche' ..., perche' tanto tutti, si sa, faranno
cosi', allora il fatto che l'unico modo di non aver il kill switch sia
non aver il market perde un po' del suo sapore di libera scelta, ti
pare?

E poi, ripeto, se non e' il kill switch (e ci mancherebbe ancora che
google avesse il diritto di disattivare le applicazioni di altri, magari
la mia, che mi faccio da me) siamo sicuri che non ci siano altri
meccanismi di penetrazione indebita?

> In realtà è esattamente il contrario. I trojan sono meno pericolosi perché 
> così come il cavallo di troia storico, richiedono la collaborazione della 
> vittima per installarsi.

Qui pero' ti dimentichi di dire che droiddream c'e' riuscito, ad
ottenerla, cosi' come ci sono riusciti sempre con windows. Non e' poi
tanto difficile. Non e' che stai facendo un po' di disinformazione?
Comunque, io non discuto se e' piu' pericoloso un virus o un trojan, so
solo che con un virus e il corrispondente antivirus che lo rileva su un
pc su cui sono sicura non ci sia un trojan mi sento relativamente
tranquilla, con un trojan no, raso tutto a zero e riinstallo. 

Se non altro, perche' il trojan potrebbe avermi installato la sua
versione preferita del mio antivirus preferito, che mi dice di star
tranquilla e invece mi frega. O la sua versione di login, che si prende
le mie password prima di crittografarle. O un keylogger che spedisce in
rete tutto quello che scrivo etc etc. O potrebbe aprire la sua porticina
per tutti i virus di questo mondo, oppure al padrone del cavallo di
troia, perche' si accomodi anche lui all'interno della citta'.

Insomma, il trojan fa il padrone di casa, il virus l'ospite
indesiderato. La differenza per me c'e'. Ripeto, raso sempre un pc con
un sospetto di trojan e consiglio a tutti di far altrettanto, mentre per
i virus mi accontento della disinfestazione. Non so mai cosa un trojan
potrebbe aver fatto o fare e percio' non so mai se li ho rimossi davvero
o no, lui ed i suoi effetti.  Droidream nessuno sa cosa fa, perche' in
teoria puo' far proprio tutto, sostituire kernels, moduli etc. Magari
installando non solo una seconda applicazione (come ha fatto prima di
esser individuato), ma installandone una catena e chissa' quali e per
fare chissa' cosa. Tanto e' root.

> Questo lo fa anche il virus, ragione per cui è più pericoloso del trojan: 
> distruttivo allo stesso modo e non ha bisogno della collaborazione della 
> vittima per installarsi in quanto si riproduce da solo.

A me pare che ci si arrampichi un pochino sui vetri. Il virus, come ci
arriva sul pc? Magari perche' l'utente clicca su quel bel video
craccato? Resta comunque il fatto che un trojan, se vuole, apre la porta
del retro a tutti i virus di questo mondo. 

> Anche qui, esattamente come i vìrus. Solo che il trojan, non riproducendosi e 
> necessitando della collaborazione dell'utente per installarsi, è più facile da 
> rimuovere.

Questo proprio no. Vedi sopra. Io non rimuovo trojan, raso a zero.
Rimuovo virus se mi fido dell'antivirus. Non mi fido dell'antivirus se
c'e' anche solo il sospetto di un trojan in giro. Ebbene si', saro'
egoista, ma sto pensando alla mia macchina. E su quella non c'e' dubbio,
il trojan e' peggio del virus.

> Guarda, io invece non ho resistito, mi sono registrato ed ora ho il rapporto 
> Juniper in formato PDF qui sul mio hard disk.... non credo di essere 
> autorizzato ad inoltrarlo, perché non viene fatto accettare alcun accordo di 
> licenza che parli del diritto di divulgazione, da cui quel diritto resta 
> all'autore e basta. 

Se richiede solo la registrazione e' in pubblico dominio. Mandamelo
tranquillamente, magari in privato, se pensi che agli altri non
interessi. Se c'e' il copyright, te lo dicono e ti fanno accettare le
condizioni. La registrazione, in genere, non serve a proteggere i
contenuti, serve a rompere a chi dei contenuti non vuol farne a meno.
Mandarlo a me in privato, poi, non mi pare che equivalga a diffonderlo.
Ci sta con il fair use.

> Credo però di poter dire una cosa: quella frase riportata 
> dal simpaticissimo giornalista, proprio quella relativa agli "SMS Trojan" che 
> mandano messaggi a "premium rate numbers", c'è veramente nel rapporto, a 
> pagina 4. Peccato solo che in quel paragrafo il rapporto stesse parlando di... 
> indovina un po? Windows Mobile!
> 
> ROTFL! :D :D :D era un pezzo che non ridevo così di gusto!

Vorrei leggerlo tutto. Scusa, ma mi fido solo di quel che leggo con i
miei occhietti seppur malandati. Tu magari non ci dici tutto, ma solo
quello che piace a te e serve alla tua causa, che maligna :) Me lo
mandi? Che ti costa?

> > Io lo trovo allucinante. I certificati, che per buona norma dovrebbero
> > essere autenticati da una certification authority, vengono invece usati
> > solo per distinguere un autore dall'altro. Piu' diseducativo di cosi'
> > non so cosa si possa inventare. Cosi' se c'era ancora un utente in giro
> > e un browser configurato come si deve per avvertire che ci si trovava di
> > fronte a qualcosa di potenzialmente insicuro e da verificare,
> > quell'ultimo saggio ce lo perdiamo. E adesso non mi dire che questo e'
> > necessario per il bene dell'open source. Ci sono altre vie, senza
> > togliere significato ai certificati di sicurezza.
> 
> Con tutto l'impegno, non capisco di cosa stai parlando.

Fammi una domanda piu' precisa. Non capisci cosa, in particolare? A me
sembra chiaro, quello che ho scritto, ma forse non lo e'.

> E cosa vorresti che facesse altrimenti? È già molto di più di quello che fa 
> Ubuntu Software Center (o anche solo apt), che ti chiede solo la password, la 
> quale vale come autorizzazione a fare qualsiasi cosa senza limitazioni per 
> l'applicazione che stai installando. 

Si', ma li' ho gli aggiornamenti di sicurezza. E non ho la falsa
sicurezza che le applicazioni stiano in una sandbox. E ho qualcuno che
prende la sicurezza sul serio (certamente nel caso di debian, di altre
distribuzioni non so). Mi fai capire come fai a non vedere la differenza
e a dirmi che android e' piu' sicuro perche' chiede all'utente che non
ha la minima idea delle implicazioni cosa un'applicazione possa fare
oppure no? Non e' meglio se della sicurezza si occupano gli esperti (nel
caso di debian, gente che non ha nessun secondo fine) e poi uno si
installa distribuzione e updates? Solo se vuole? Senza dover aprire i
battenti a debian o a chi altri? 

Se lasci l'utente solo a decidere di fronte all'enorme problema della
sicurezza del codice, cosa ti aspetti che succeda? Mettiamo che mi
chiedano se un'applicazione che installo possa andare in rete, Io cosa
gli dico, di no? E come faccio a sapere cosa ci fara', in rete? Non che
essere certificati da una certification authority sia il massimo, ma
neppure ridurre il certificato a livello di un identificatore che uno si
fa da se' non mi pare un'idea geniale. Chi garantisce la sicurezza (per
quanto sia possibile garantirla) nel caso di google e di android e le
sue applicazioni? L'utente?

> > Non credo di confondermi ma, se e' cosi', correggi. "backdoor" significa
> > porta sul retro aperta, attraverso cui google o un trojan fanno passare
> > tutto il traffico che vogliono. 
> 
> Non proprio. La backdoor è installata dal Google Market ed è aperta solo per 
> Google. Nessun malware può installarsi a tua insaputa attraverso quella 
> backdoor a meno che non venga prima craccato il server di Google su cui c'è il 
> Market.

Non mi spieghi cos'e', percio' non capisco. La backdoor e' installata
dove? Non da chi, dove? E cos'e'? E perche' non potrebbe essere violata?
E perche' non potrebbe essere craccato il server di google? Hanno
craccato quello di debian, per dirne una, lasciamo pure stare i 77
milioni di utenti sony, se vuoi. E da dove ci dovrebbero venire queste
certezze infinite? 

Sto dicendo che se il meccanismo c'e', e' un problema per la privacy e
per la sicurezza. Tu vuoi proprio insistere che non lo e', disquisendo
se spaccare il capello in due oppure in quattro? (cosa peraltro
anch'essa utile, a modo suo)

Chiedo a tutti: i routers in genere hanno una backdoor usata per la
manutenzione a distanza. Voi la lasciate aperta? Io no. E' da sempre
il punto di ingresso di chi il router ve lo cracca e allora si' che c'e'
da divertirsi.

> > Google poi lo potra' usare solo in
> > termini di contratto, ma per rimuovere applicazioni a mia insaputa dal
> > mio dispositivo ammetterai anche tu che, se non bussa a me, deve avere
> > una porta aperta o di cui ha la chiave. O android gli apre senza
> > chiedermi. O come fa?
> 
> L'applicazione Market va periodicamente a chiedere a Google se sia ora di 
> installare o rimuovere qualcosa senza notificare l'utente. Se Google risponde 
> "sì, installa/rimuovi questo" l'applicazione Market lo fa.

Se io cercassi un punto per craccare, quello mi parrebbe ideale. Ideale
anche per un man-in-the-middle-attack, e per metterci su' un bel trojan
o virus, a seconda dei gusti, non trovi? 
 
> Certo. Se solo ci fosse l'opzione di chiuderla semplicemente a rischio e 
> pericolo dell'utente tutto il problema non esisterebbe.

E gia', pero' non c'e'. E poi, se il modello e' che ti protegge google, 
non ti protegge nessun altro ne' ti da' una mano nessun altro, l'utente
come farebbe mai a proteggersi da se'? Corre dietro a tutti gli
sviluppatori di tutte le applicazioni sperando che sappiano cosa sia la
sicurezza e se ne occupino al posto suo, per il suo specifico
dispositivo? Se volessi esser pestifera, ti ricorderei che ci hai appena
detto di averla sviluppata tu, un'applicazione non sicura. E tu non sei
certo il peggiore che abbiamo.

> Non saprei. Per me, te ed altri tecnici la discussione è certamente stata 
> utile. Credo però che i semplici curiosi (se mai sono arrivati a leggerci fino 
> a qui) abbiano solo le idee più confuse di prima.

Io non sono un tecnico, parla per te :) 

Non c'e' nulla di male, ad aver le idee confuse. Si schiariranno col
tempo. E' il non averle, non saper che il problema esiste, che ti lascia
in balia di tutto. Chiunque abbia avuto l'esperienza di imparare
qualsiasi cosa (cioe' propri tutti) e si e' reso conto che si parte
SEMPRE con la confusione e non si spaventa certo di quello. Se poi han
trovato di meglio da fare in questi giorni, buon per loro :) 

> Certo che c'è: fra Google che fa il finto filantropo con il kill switch ed Apple 
> che fa il despota come al solito, possiamo sempre scegliere Windows Mobile! :D

Possiamo anche scegliere di usare i telefoni per telefonare e i
calcolatori per studiare/lavorare. Di separare quello che e' a rischio e
quello che non lo e'. O di tener seriamente conto della faccenda e
pensare ad una vera/buona soluzione per i nostri scopi di utenti e non
per chi sta di la' che ci vede come polli. Di fatto, quest'ultima
possibilita', per me, e' la piu' interessante, anche solo a livello di
esperimento di pensiero. 

Comunque, qualsiasi sia la scelta, non c'e' ragione di sostenere che va
bene ignorare il problema, o che il problema non c'e', quello certo
aiuta pochino.

Loredana