Re: [Hackmeeting] la storia dei filtri aziendali

Delete this message

Reply to this message
Author: giobbe
Date:  
To: hackmeeting
Subject: Re: [Hackmeeting] la storia dei filtri aziendali
vecna wrote:
> avete visto che tutti sta convergendo dentro il web ? e che i sistemi di
> filtro sono molto meno efficaci se devono leggersi il contenuto di una
> pagina web ? e che sono messi in ginocchio se devono leggere il
> contenuto generato da javascript ?
> (http://freshmeat.net/projects/japcrypt/)
>
> questo significa che, alzando il layer di comunicazione (ip e' basso
> html e' alto), i sistemi di analisi/filtro sono messi in difficolta', e
> noi dovremo usare questa lacuna tecnologica in questi anni, finche'
> rimane, per infilarci il traffico che vogliamo noi.
>
> quando anche questo non sara' piu' possibile, ci si potra' applicare
> solo alla steganografia applicativa. a quel punto, l'utente si guardera'
> indietro e vedra i tunnel come sistemi di steganografia molto grezza.
>
> In quella, vedra' l'infinito e ne seguira' un ictuuuuuuuuuuuuuiopè+
>

E' interessante quando parli di reti dove la navigazione e' chiusa e si
passa solo da proxy autenticato perche' m'e' venuto in mente che la
situazione di roma e' proprio quella...
l'aspetto interessante e' che dove si fa passare il protocollo https, lo
stateful inspection va per modo di dire... a farsi friggere (almeno
finche' il certificato che vedi e' quello del server e non del proxy).
Ci si puo' lanciare ad esempio un ssh -D passando dal proxy, se il
server ssh e' in ascolto sulla 443 (a quel punto si puo' andare
ovunque). Tutti i proxy che ho visto finora infatti credono giustamente
di essere di fronte a una connessione https.

le 2 possibili strade che ho visto usare finora nelle aziende in cui
sono stato sono:

-) il proxy-admin che smadonna e va a controllare ogni sito presente
nell'access e decide in autonomia se bloccarlo o meno... poco salutare
per l'admin, molto usato qui a roma...

-) il proxy che blocca tutto a priori e implementa una white-list. Ma il
mio punto di vista in questi casi e' che navigazione diventa talmente
blindata da non potersi definire "accesso internet", lol.... a quel
punto spendo 20euro al mese per farmi una flat umts per la sola
soddisfazione di fottermene dei filtri aziendali.


-) la terza strada, a cui spero arrivino tutti prima o poi....... e
l'unica sicura e': NO INTERNET, NO PROXY...
... cosi almeno si fottono tutti, compresi i dirigenti che non possono
piu' leggersi repubblica.....mentre a "noi" serve scaricare un pdf del
cazzo.


giobbe