Tava a ver o Slashdot e deparei-me com uma noticia que dava conta de novos ataques DDoS usando nameservers que permitem recursion. A gravidade desta notícia não está no facto de quem a publicou não saber que este tipo de ataques já há muito que realizam, a gravidade está no facto de passado meia década estes ataques ainda serem possíveis.
O problema tem duas faces, a ignorância dos administradores e a estratégia de políticas de quem desenvolve os daemons dos nameservers pois parece-me que se o BIND tivesse a mesma política que o djbdns de vir por defeito com recursive desligado, hoje em dia não tinhamos milhões de máquinas a permitir terceiros de realizarem DoS.

O ataque é bastante simples, basta spoofar o pacote UDP que faz o dns request ao nameserver com o source IP da vítima, o problema reside no facto de que a resposta possuí 5-6 vezes (em média) o tamanho do pedido.

22:11:48.272469 neon.paradigma.pt.domain > icarus.fccn.pt.domain: [udp sum ok] 19791 [1au] A? ns02.fccn.pt. (41) (DF) [tos 0x10] (ttl 64, id 135, len 69)

22:11:48.358402 icarus.fccn.pt.domain > neon.paradigma.pt.domain: 43710*- 1/2/5 40.192.136.193.in-addr.arpa. (210) (ttl 57, id 5909, len 338)

Uma boa prática de modo a configurar um BIND seguro será algo deste género:

acl rede {
10.0.0.0/24;
69.69.69.64/28;
localhost;
};

options {
....
allow-query { rede; };
allow-recursion { rede; };
....
};

Mas a questão que eu ponho é: será que mesmo os nameservers com recursion desligado não estarão vulneráveis ao mesmo ataque? Que me impede de enviar o dns request spoofado mas em que o pedido é sobre um host em que o nameserver é o authoritative? È que neste processo não interessa qual o tipo de pedido, interessa o tamanho de bytes da resposta.

Já que estamos a falar de nameservers, alguem me explica porque é que a uminho tem uns linuxs a servir o dominio microsoft.pt? Ponham o recursive desligado pelo menos ;)

Apesar do domínio da Intel nas plataformas x86 já ter tido melhores dias este ainda se faz sentir no mercado.
A última polémica que reflete a prática monopolista da Intel está relacionada com o software Skype que na sua versão 2.0 lançou a funcionalidade de se poder usufruír de conferências até 10 participantes mas apenas se estes tiverem a utilizar um dual-core Intel como processador.

Segundo os responsáveis do Skype, a limitação estaria relacionada com a falta de performance dos AMD dual-core apesar dos benchmarks provarem o contrário e a própria Intel afirmar que não existe ainda instruções especifícas nos seus processadores para as aplicações de VoIP.

Muitos acreditam que esta limitação está mais relacionada com acordos legalmente duvidosos do que com o hardware em si, e parece que têm razão porque alguém fez reverse engeneer ao Skype e consegui lançar um patch que circunscreve a função que detecta qual o processador permitindo ter conferências de 10 participantes em plataformas não Intel sem deterioramento de performance.

O Niklas Zennstrom e a sua equipa já demostraram a sua capacidade de inovar e concretização do mesmo, mas têm-nos habituado a uma ética onde os lucros falam mais alto, o spyware no kazaa era algo de rídiculo e esta limitação Intel no skype não tem adjectivo.

Hoje tive a pôr alguma leitura em dia já que a semana não me permitiu fazê-lo antes. Ao ler o Asterisco fiquei com a sensação que o cansaço me anda a tirar o discernimento mental, ou então andam todos distraídos e confusos.

O Carlos lançou o Destakes o que levou a alguns comentários a elogiarem a iniciativa. Pessoalmente também dou os parabéns, só não percebo este "BOOM" quando o Destakes não é mais que o feeds.karlus.net com umas operações de cosmética e um domínio novo, talvez seja eu que num site me foco muito mais nas suas funcionalidades/serviços que na sua aparência.

Depois existem umas comparações entre o Destakes e coisas como o ouvidizer.com e o domelhor.com que a meu ver o único ponto em comum será mesmo o facto de ambos disponabilizarem notícias, a forma como o fazem são completamente distintas.

O Carlos tem o mérito de programar o site de modo a conseguir disponibilizar títulos e feeds para sites noticiosos que não possuem RSS (ainda que presentemente cada vez mais estes sites se vão apercebendo do retorno protagonizado pelos RSS), os outros são apenas o pegar de algo já feito (meneame) e com isso aproveitarem-se do tempo de terceiros para tentarem ganhar protagonismo e quiça dinheiro. (Não que isso seja condenavél ;)
A única valia que os autores dos meneames-afins trouxeram foi provar que a sociedade cibernauta portuguesa consegue se auto-regular. O Destakes trás valor acrescentado ao que se vê no panorama cibernauta pois não se limita a ser um agregador de feeds noticiosas e é isso que lhe permite fazer frente a serviços como o news.google.pt o que faz com que a compra deste seja muito mais provavel que dos outros.

"Um dia a maioria de nós irá separar-se.

Sentiremos saudades de todas as conversas jogadas fora, das descobertas que fizemos, dos sonhos que tivemos, dos tantos risos e momentos que partilhamos.

Saudades até dos momentos de lágrimas, da angústia, das vésperas dos finais de semana, dos finais de ano, enfim... do
companheirismo vivido.

Sempre pensei que as amizades continuassem para sempre.
Hoje não tenho mais tanta certeza disso.

Em breve cada um vai para seu lado, seja pelo destino ou por algum desentendimento, segue a sua vida.
Talvez continuemos a nos encontrar, quem sabe...nas cartas que trocaremos.

Podemos falar ao telefone e dizer algumas tolices...
Aí, os dias vão passar, meses...anos... até este contacto se tornar cada vez mais raro.
Vamo-nos perder no tempo....

Um dia os nossos filhos verão as nossas fotografias e perguntarão:
"Quem são aquelas pessoas?"

Diremos...que eram nossos amigos e...... isso vai doer tanto!
-"Foram meus amigos, foi com eles que vivi tantos bons anos da minha vida!"

A saudade vai apertar bem dentro do peito.
Vai dar vontade de ligar, ouvir aquelas vozes novamente......

Quando o nosso grupo estiver incompleto...
reunir-nos-emos para um último adeus de um amigo.

E, entre lágrima abraçar-nos-emos.

Então faremos promessas de nos encontrar mais vezes daquele dia em diante.

Por fim, cada um vai para o seu lado para continuar a viver a sua vida, isolada do passado.

E perder-nos-emos no tempo.....

Por isso, fica aqui um pedido deste humilde amigo: não deixes que a vida passe em branco, e que pequenas adversidades sejam a causa de grandes tempestades....

Eu poderia suportar, embora não sem dor, que tivessem morrido todos os meus amores, mas enlouqueceria se morressem todos
os meus amigos!"

Poema de Fernando Pessoa que desconhecia e "alguém" me enviou via email. Ficou assim imortalizado o que todos nós sabemos pelo senso comum.