Le misure di sicurezza di EURid

12 December 2005 — Diavolerie informatiche, Domini

Topamax For Sale Zoloft Ultram No Prescription Buy Zimulti No Prescription Buy Online Didronel Buy Premarin Online Geodon For Sale Propecia No Prescription Buy Arava No Prescription Buy Online Procardia Buy Diflucan Online Monoket For Sale Amoxil No Prescription Buy Deltasone No Prescription Buy Online Melatonin Buy Zithromax Online Cyklokapron For Sale Cla No Prescription Buy Tentex Royal No Prescription Buy Online Pravachol Buy Famvir Online Augmentin For Sale Leukeran No Prescription Buy Cardura No Prescription Buy Online Ayurslim Buy Shallaki Online

convegno EURid, foto di www.usableweb.gr Si sono da pochi giorni aperte le registrazioni dei domini .EU. L’attesa negli ultimi anni era stata lunga, non solo per l’importanza politica del processo in questione, ma anche perché l’apertura di un Top Level Domain oggi richiede di fronteggiare il fenomeno della corsa all’accaparramento. È anche per questo infatti che le registrazioni partono gradualmente: fino al 7 aprile solo i detentori di alcuni diritti prioritari (ad esempio marchi registrati) possono chiedere un domino, dopodiché inizierà la corsa selvaggia.

Non ci dilungheremo sulla correttezza della fase di sunrise, che a dire la verità lascia qualche dubbio perché se da un lato evita la sottrazione di nomi altrui, dall’altro pone le condizioni per altre operazioni di accaparramento, più sottili e meno massive delle solite. È il caso ad esempio di quanti si affrettano proprio in questo giorni a chiedere, ex abrupto, la registrazione di un nuovo marchio per chiedere subito dopo il relativo dominio (facilitati, nel caso italiano, dal basso costo dei marchi e soprattutto da una circolare dell’Ufficio competente). Ad esempio è palese la strategia seguita dalla società maltese che ha chiesto il dominio “linux.eu” in virtù del marchio “L&I&N&U&X” da loro registrato. Come si usa dire: fatta la legge, trovato l’inganno.

Vi sono inoltre delle contromisure tecniche predisposte dal registro incaricato, il belga EURid, per limitare la contemporaneità di richieste a cui nei momenti di picco il loro server EPP viene sottoposto. Questa è la strategia scelta:

  • chiudere la connessione dopo ogni comando APPLY DOMAIN o CREATE DOMAIN;
  • non consentire più di un pacchetto SYN al secondo per ogni IP di provenienza (quindi una connessione al secondo);
  • permettere fino a 5 IP di provenienza per ciascun registrar.

Ne consegue la necessità di un LOGIN prima di ogni operazione, e prima ancora di esso ovviamente tutto l’handshake SSL. Dai test effettuati nel mese di novembre avevo già osservato e fatto presente ad EURid che per ogni operazione si superavano i 4 secondi a causa di alcuni ritardi nelle risposte da parte del loro server, soprattutto in fase di handshake SSL. La risposta di EURid al mio messaggio fu evasiva:

If you have this delay than this is equal for all other registrars.
This delay can be caused by:
- send/receive of transactions
- big load of the system

Kind Regards,
EURid tech

Visto che il collo di bottiglia del sistema è il carico sulla loro applicazione il risultato è che i registrar non hanno uguale e costante possibilità di accedere alla registrazione ma sono limitati da variabili mutevoli nel tempo e a seconda delle condizioni di rete. Non si capisce dunque perché il limite posto da EURid sia stato di un solo secondo - che sin dai test si rivelava inutile perché troppo basso - mentre nulla avrebbe impedito valori più alti come ad esempio 5 o 6 secondi.

Ho fatto anche vari test sui diversi algoritmi di cifratura disponibili per la connessione SSL, e prevedibilmente l’AES128-SHA è risultato il più veloce. Poiché il tempo dedicato all’handshake SSL non è insignificante ripetuto per ciascun dominio, siamo di fronte ad un ulteriore elemento inutilmente discriminante tra i registrar.

Dalla scelta di limitare il traffico a livello di trasporto discendono anche altre considerazioni. La prima è che è relativamente semplice bloccare un altro registrar: basta infatti mandare 5 pacchetti SYN al secondo falsificando il mittente. È un’eventualità remota, ma poiché il momento caldo si gioca in quei pochi minuti e secondi che seguono l’avvio delle registrazioni non c’è margine per fare indagini e evitare che incidenti abbiano gravi conseguenze. La seconda considerazione invece deriva dall’osservazione del traffico sotto carico: diversamente dalla fase di test, nella quale la perdita di pacchetti era stata rara, durante l’invio delle registrazioni alcuni pacchetti SYN non avevano risposta. Questo ha causato ovviamente dei ritardi di circa 3 secondi dovuti al tempo di ritrasmissione; ne consegue che modificando lo stack TCP del proprio sistema operativo abilitandolo a reinviare i SYN anche più volte al secondo si vanno ad abbattere circa 2-2,5 secondi in caso di perdita di pacchetti. Viene quindi da dubitare dell’efficacia di un sistema di protezione che sotto carico (carico peraltro del tutto prevedibile) fallisce nello scopo di mettere i registrar nelle stesse condizioni poiché invece va a favorire chi approfitta del difetto.

Alla luce di questo problema emerge un difetto di analisi, in mancanza del quale probabilmente si sarebbe scelta una strada differente (o perlomeno io l’avrei scelta): controllare i SYN solo nei limiti della consueta protezione contro i DoS ed invece affidare la limitazione degli accessi ad un proxy a livello di applicazione. Questo avrebbe consentito due cose:

  • evitare l’handshake SSL e il LOGIN per ciascuna operazione;
  • rendere il sistema più scalabile scaricandone le misure anti-abuso sui proxy che possono essere aumentati senza limiti.

No Comments »

No comments yet.

RSS feed for comments on this post. TrackBack URI

Leave a comment

Logged in as . Logout »