siti che "vedono" dove abiti

[medorex]

Ciao a tutti, a volte mi capita di navigare in siti che "capiscono" dove abiti e ti piazzano in mezzo la foto della signorina che praticamente abita al piano di sotto...
Stà cosa l' ho sempre notata ma non mi preoccupava xche con un buon firewall (ne ho provati parecchi, zone alarm, outpost ecc..) dove c' era la possibiltà di scegliere un' opzione che + o - diceva "tenta di nascondere parte o tutto l' ip", non ci prendevano mai le tizie erano addirittura di un' altra regione, ora invece con Comodo che non da, almeno esplicitamente, questa opzione praticamente le signorine mi bussano alla porta...
Le mie domande sono: quale/i porta/e posso bloccare per mandarle a casa di "mario" e se c'è un metodo piu comodo... con Comodo x ovviare a stà buffonata.
Grazie a tutti i voleterosi
Ciao
Medo

[Habanero]

Sinceramente reputo tutto questo un falso problema.

L'identificazine della provenienza è fatta unicamente attraverso la rilevazione del tuo IP. I gestori di banner che propongono immagini di signorine con l'indicazione della città del navigatore come loro provenienza si basano unicamente su database, nella maggior parte dei casi non pubblici, contenti associazioni di IP e città.
Uno dei più famosi servizi di questo tipo è MaxMind GeoIp, gratuito in forma limitata, il database completo e preciso è a pagamento.
Altri servizi li trovi facendo una ricerca su Google con le chiavi ip location

Molti di questi database non sono affatto precisi. Altri lo sono molto di più.

Sinceramente opzioni dei personal firewall che nascondano parte dell'ip non mi risultano. Zone Alarm possiede un paio di voci simili a quelle che citi ma si riferiscono unicamente alle connessioni con i server di Zone Labs quando viene verificata la presenza di aggiornamenti per il prodotto. Tale funzione non interviene minimamente negli altri casi.

Mascherare il proprio IP può comunque sempre essere fatto con l'uso di proxy o soluzioni alla Tor.

Ma veniamo al punto cruciale. Ripeto, è un falso problema. Nessuno sta entrando nel tuo pc, non possono individuare il tuo domicilio nè il nome della tua utenza telefonica. Semplicemente possiedono l'associazione tra i blocchi di IP afferenti ad una determinata centrale e il nome della città nella quale la centrale si trova. Punto.

[medorex]

Ma veniamo al punto cruciale. Ripeto, è un falso problema. Nessuno sta entrando nel tuo pc, non possono individuare il tuo domicilio nè il nome della tua utenza telefonica. Semplicemente possiedono l'associazione tra i blocchi di IP afferenti ad una determinata centrale e il nome della città nella quale la centrale si trova. Punto.

Grazie mille x la precisazione di fatto comunque, a dispetto di quel che dici, ora con Comodo "sanno" prima no.
Onestamente non credo che abbiano "aggiornato" i loro db popo quando io ho cambiato firewall, quindi deduco che qualcosa sotto ci sia (e non sono spyware o affini)...
Ulteriore domanda:
senza passare per proxy non è possibile nemmeno mascherare o nascondere parte dell' ip?
Grazie
Medo

[Habanero]

Originariamente inviato da medorex
Grazie mille x la precisazione di fatto comunque, a dispetto di quel che dici, ora con Comodo "sanno" prima no.
Onestamente non credo che abbiano "aggiornato" i loro db popo quando io ho cambiato firewall, quindi deduco che qualcosa sotto ci sia (e non sono spyware o affini)...
Ulteriore domanda:
senza passare per proxy non è possibile nemmeno mascherare o nascondere parte dell' ip?
Grazie
Medo

No, se vuoi comunicare con qualcuno e vuoi ottenere una risposta è indispensabile che il tuo interlocutore conosca il tuo indirizzo IP. L'alternativa è inserire un qualcosa tra te è il tuo destinatario che conosca sia il tuo che il suo di IP... un proxy.

Io comunque rimango molto scettico sul fatto che le cose siano cambiate usando Comodo. Sbaglierò, ma credo che sia una pura coincidenza. Ho ben presente il tipo di banner a cui ti riferisci. Nel mio caso, pur usando Zone Alarm, indovinano perfettamente la mia località (o comunque sempre paesi molto vicini).

[medorex]

Rimani SEMPRE scettico xche mi sa che hai ragione, sai che mi è venuto in mente?
Il giorno prima di cambiare firewall ho spento il router x aggiornare il firmware.. in quella occasione l' incumbent maledetto avrebbe potuto cambiarmi ip; considerata la falt e non spegnedo praticamente mai il router, considerando inoltre che non si è mai disconnesso e che non segno mai il mio ip ci potrebbe tranquillamente stare il cambio ad un ip "conosciuto" da sti collezionisti di info malefici...

Non ne ho la certezza... ma son piu tranquillo sull' efficienza del firewall, grazie mille.
Ciao
Medo

[emmebì]

Al riguardo dello spoofing dell'IP, sbaglio od oggi è molto più difficile che un tempo riuscire nell'intento?

[Habanero]

Dipende dall'impiego che ne si vuole fare. Se non interessa avere un canale di ritorno (tipico delle connessioni TCP) la cosa è banale e viene massicciamente usata negli attacchi DoS per mascherare l'origine dell'attacco. In questo caso invii dati ma non ne puoi ricevere.

Altro tipo di ip spoofing può essere in qualche modo effettuato nei confronti di router con NAT aventi filtri mal configurati. In questo caso un utente esterno potrebbe falsificare il proprio ip usandone uno privato usato dietro la NAT. Molti router non filtrano questi indirizzi illegali. Questo permetterebbe di accedere alla lan come se si fosse all'interno.
N.B. ovviamente non è così banale, non basta falsificare l'ip bisogna anche gestire correttamente il routing dei pacchetti.

Uno spoofing nel senso più generale del termine è abbastanza difficile. Implica tra l'altro la predizione dei numeri di sequenza del protocollo TCP. Un tempo la maggior parte degli stack tcp/ip era vulnerabile a sequence number prediction, ciò rendeva l'hijacking della sessione non troppo complicato. Tutto questo oggi non è più possibile.

Diverso il caso dell'ambiente lan dove, a tutti gli effetti, lo sniffing dei pacchetti e dei relativi numeri di sequenza è piuttosto facile.

In ogni caso non è una tecnica banale.


http://www.securityfocus.com/infocus/1674
http://en.wikipedia.org/wiki/IP_address_spoofing
http://www.s0ftpj.org/bfi/dev/BFi13-dev-17

[emmebì]

Dipende dall'impiego che ne si vuole fare. Se non interessa avere un canale di ritorno (tipico delle connessioni TCP) la cosa è banale e viene massicciamente usata negli attacchi DoS per mascherare l'origine dell'attacco. In questo caso invii dati ma non ne puoi ricevere.

Mi riferivo infatti semplicemente a questo tipo di spoofing, usato appunto per gli attacchi tipo smurf.
Che io sappia, le DSL Telecom bloccano ogni tentativo di IP spoofing da almeno 5 anni: con le DSL TIN/Alice non mi è mai stato possibile infatti utilizzare tool tipo "smurf.exe" ad esempio.
Viceversa, con altri provider la cosa era fattibile (ora non sono aggiornato sullo stato attuale delle cose..anche perchè nessuno attiva più i broadcast ;-) ).

A questo mi riferivo.

[emmebì]

Al riguardo del http://www.s0ftpj.org/bfi/dev/BFi13-dev-17, esistono fonti (a me) più comprensibili sull'argomento?
Qualcuno mi può fare un po' di luce sull'argomento?

Googlando non ho trovato praticamente nulla.

[Habanero]

Originariamente inviato da emmebì
Mi riferivo infatti semplicemente a questo tipo di spoofing, usato appunto per gli attacchi tipo smurf.
Che io sappia, le DSL Telecom bloccano ogni tentativo di IP spoofing da almeno 5 anni: con le DSL TIN/Alice non mi è mai stato possibile infatti utilizzare tool tipo "smurf.exe" ad esempio.
Viceversa, con altri provider la cosa era fattibile (ora non sono aggiornato sullo stato attuale delle cose..anche perchè nessuno attiva più i broadcast ;-) ).

A questo mi riferivo.

Lo smurf è una cosa un po' diversa. Lo smurf permette l'amplificazione del numero di pacchetti inviati sfruttando una rete che funge da riflettore/amplificatore. La vulnerabilità è del router della rete che inoltra a tutti gli host interni i ping inviati all'indirizzo di broadcast ip della rete stessa.
Falsificando l'ip di origine del pacchetto di echo request si otterrà l'effetto di inviare un gran numero di echo reply all'indirizzo falsificato (che corrisponde a quello dell'attaccato).

Lo smurf usa lo spoofing ma il fattore che lo caratterizza è l'amplificazione del numero di pacchetti, non lo spoofing in sè. In questo modo si cercava di saturare la banda della macchina obiettivo del DoS nonostante la banda dell'attaccante fosse limitata.

Al giorno d'oggi lo smurfing ha scarsa rilevanza. Primo perchè le reti vulnerabili a smurfing sono quasi scomparse. Secondo perchè è molto più semplice mettere in piedi un esercito di macchine zombie da pilotare in tutta tranquillità

Il punto a cui mi riferivo io era un altro. Se le macchine zombie inondando di pacchetti un obiettivo, l'attaccato potrà individuare gli ip delle macchine partecipanti al DoS. Se gli stessi zombie falsificano l'ip sorgente, l'individuazione diventa quasi impossibile.

A mio parere se i service provider provvedessero a filtrare il traffico falsificato originato all'interno della propria rete si otterrebbero già dei buoni benefici.


Per la tua curiosità:
http://www.powertech.no/smurf/