Re: Vulnerabilità nel software usato per il modo ROS (aka FSK144)

Per non parlare di tutti gli spot-spam generati da questo software sul cluster!
In pratica ha impostato di default la funzione "automatic spot" con la conseguenza che per ogni stazione collegata parte automaticamente uno spot sul cluster... le conseguenze sono sotto gli occhi di tutti, centinaia di spot inutili ogni ora.

73's Alex iz7fmm.

Re: Vulnerabilità nel software usato per il modo ROS (aka FSK144)


Per coloro che non credono se non toccano, ecco il testo delle cinque email giuntemi durante una prova nel giro di pochi istanti.

email 1

********** Please don't reply to this email ********************

EA3HBO has received your Radio Message sent at: 21:20 UTC

Received Message: ' JN61sp xxxx@xxxx
xxxx@libero.it xxxx@xxxx

<STOP>'

Operator Info:
Callsign: EA3HBO
Name: Carles
E-mail: xxxx@xxxx
QTH: Barcelona
Locator: JN11bi
Station: Kenwood TS-2000
ROS Version: ROS v5.0.0 Beta

Signal Info:
Frequency: 14,103 Mhz
Mode: ROS16/2000
Symbol Rate: 16 Bauds
BW: 2250 Hz
Frame Acquisition: 24/24
Final Acquisition: 24/24
Frequency Shift: 7,8 Hz
Symbol Error detected by Viterbi: 0&#37;
S/N (2500 Hz): -2 dB, Fade Marge: +21 dB
Distance: 950 km, Heading: 264&#186;
Beacon: OFF
Vumeter Level: -4 dB
CPU Usage: 100 %

Congratulations for the QSO!


email 2


********** Please don't reply to this email ********************

EA5DV has received your Radio Message sent at: 21:20 UTC

Received Message: ' JN61sp xxxx@xxxx
xxxx@xxxx xxxx@xxxx

<STOP>'

Operator Info:
Callsign: EA5DV
Name: JuanMa
E-mail: xxxxx@xxxxx
QTH: San Vicente del Raspeig (ALICANTE)
Locator: IM98rj
Station: TX/RX DRAKE TR7... ANT. DELTA LOP 40MTS.... 20 WATT....
ROS Version: ROS v5.0.1 Beta

Signal Info:
Band: 20M
Mode: ROS16/2000
Symbol Rate: 16 Bauds
BW: 2250 Hz
Frame Acquisition: 23/24
Final Acquisition: 19/24
Frequency Shift: -39,1 Hz
Symbol Error detected by Viterbi: 6%
S/N (2500 Hz): -18 dB, Fade Marge: +5 dB
Distance: 1250 km, Heading: 249&#186;
Beacon: OFF
Vumeter Level: -9 dB
CPU Usage: 100 %

Congratulations for the QSO!


email 3



********** Please don't reply to this email ********************

EA5GKO has received your Radio Message sent at: 21:20 UTC

Received Message: ' JN61sp xxxxxx@xxxxx
xxxxxx@xxxxxx xxxxxxx@xxxxxx
sox <STOP>'

Operator Info:
Callsign: EA5GKO
Name: Jose-Antonio
E-mail: xxxxxx@xxxxxx
QTH: YECLA
Locator: IM98ko
Station: RX/TX: FT-897 Ant.: D2T Pw.: 10 w
ROS Version: ROS v5.0.0 Beta

Signal Info:
Frequency: 144,980 Mhz
Mode: ROS16/2000
Symbol Rate: 16 Bauds
BW: 2250 Hz
Frame Acquisition: 21/24
Final Acquisition: 20/24
Frequency Shift: -15,6 Hz
Symbol Error detected by Viterbi: 1%
S/N (2500 Hz): -14 dB, Fade Marge: +9 dB
Distance: 1289 km, Heading: 250&#186;
Beacon: OFF
Vumeter Level: -15 dB
CPU Usage: 26 %

Congratulations for the QSO!

email 4



RX16: 21:20 @ 7,8 Hz: JN61sp xxxxx@xxxxx
xxxxx@xxxxx xxxxx@xxxxx

<STOP> -12 dB 1277 km @ 143&#186;'

Operator Info:
Callsign: ON7KO
Name: Omer
E-mail: xxxxxx@xxxxxxx
QTH: VRASENE
Locator: JO21ce
Station:
ROS Version: ROS v5.0.1 Beta

Signal Info:
Frequency: 14,103 Mhz
Mode: ROS16/2000
Symbol Rate: 16 Bauds
BW: 2250 Hz
Frame Acquisition: 23/24
Final Acquisition: 14/24
Frequency Shift: 7,8 Hz
Symbol Error detected by Viterbi: 5%
S/N (2500 Hz): -12 dB, Fade Marge: +11 dB
Distance: 1277 km, Heading: 323&#186;
Beacon: ON
Vumeter Level: -6 dB
CPU Usage: 76 %

Congratulations for the QSO!


email 5


********** Please don't reply to this email ********************

EA3ACD has received your Radio Message sent at: 21:20 UTC

Received Message: ' JN61sp xxxxx@xxxx
xxxxx@xxxxx xxxxx@xxxx

<STOP>'

Operator Info:
Callsign: EA3ACD
Name: Jordi
E-mail: xxxxxx@xxxxxx
QTH: Banyoles
Locator: JN12jc
Station: TRX Yaesu FT-450AT + Signalink USB - Antenna vertical GP multiband
ROS Version: ROS v5.0.1 Beta

Signal Info:
Frequency: 14,103 Mhz
Mode: ROS16/2000
Symbol Rate: 16 Bauds
BW: 2250 Hz
Frame Acquisition: 23/24
Final Acquisition: 16/24
Frequency Shift: -23,4 Hz
Symbol Error detected by Viterbi: 1%
S/N (2500 Hz): -9 dB, Fade Marge: +14 dB
Distance: 890 km, Heading: 270&#186;
Beacon: OFF
Vumeter Level: -10 dB
CPU Usage: 77 %

Congratulations for the QSO!


Notare che alle 21:20 UTC 5 stazioni hanno mandato il report automatico al mio indirizzo e ovviamente io non ne sapevo assolutamente alcunch&#232;. Pensate a cosa pu&#242; succedere se la stazione "attaccante" non &#232; una sola ma 4-5 ben distribuite geograficamente in accordo tra loro e se scelgono per l'"attacco" una dxpedition che abbia annunciato il ROS-mode....

A mio avviso l'unico rimedio che resta all'autore del software &#232; l'eliminazione di questa funzione, sperando che chi continuer&#224; ad usare l'attuale versione disattivi il report automatico via email (disabilitando la configurazione dei parametri SMTP, come suggerito da Chris IZ0IEN). Pi&#249; stazioni la disattiveranno, meno rischi ci saranno di vedersi la casella email invasa da messaggi inutili.

Re: Vulnerabilità nel software usato per il modo ROS (aka FSK144)

ciao a tutti e ben riletti,
a proposito del ROS ho letto poco fa un'intervista rilasciata dall'autore a IZ1IVA. A chi interessa, si trova a questo indirizzo:

http://www.dxcoffee.com/ita/2010/09/...suo-inventore/

Re: Vulnerabilità nel software usato per il modo ROS (aka FSK144)

Ciao,
sono andato al link e ho letto l'intervista.
Preciso che personalmente non sono affatto interessato ai modi digitali. Sono un OM cavernicolo antidiluviano a cui piace solo il tasto e a volte il microfono.
Non entro, quindi, nel merito delle caratteristiche tecniche di questo nuovo modo digitale. Quello che per&#242; ho notato nell'intervista &#232; la assoluta mancanza di qualsiasi riferimento al problema di sicurezza (legato al report automatico via email) sollevato tempo fa da Cristiano IZ0IEN su questo stesso forum. Da quanto ne so, l'autore del software, contattato dallo stesso Cristiano, non ha mai risposto alle perplessit&#224; sollevate. Non so se nel frattempo siano subentrate novit&#224; in merito.
Visto che l'autore dell'intervista IZ1IVA &#232; anche iscritto a questo forum, sarebbe interessante sapere se gli ha chiesto qualcosa in merito al suddetto problema e, se lo ha fatto, come mai non se ne parla nell'intervista.

Re: Vulnerabilità nel software usato per il modo ROS (aka FSK144)

A me piacerebbe chiedergli soprattutto se qualcuno ha capito realmente il problema, o se si sono tutti limitati a dire "evabbè che saranno mai un paio di mail che partono dal mio PC..."

Ma la cosa bella è che hanno glissato anche nell'intervista di fargli un paio di domande che io avrei fatto, tipo: "Cosa ne pensi del fatto che i maggiori DX cluster mondiali hanno deciso di filtrare tutti gli spot che hanno la parola "ROS" nel messaggio"... e ancora "Un reverse engineering del codice del tuo programma ha dimostrato che tutti i QSO fatti vengono inviati a una lista di server sparsi nel mondo. Perchè gli utenti non sono stati minimamente avvisati di ciò ?"

Leggo nell'intervista:
"È per questi motivi che sconsiglio vivamente di disabilitare la funzione di auto-spotting. Controllate il DX-cluster e ditemi se ROS lo satura di spot..... " ma lol caro Nieto, rispondi ai SYSOP dei DX cluster invece di ignorare le mail perchè "is only stupid criticism".. rispondigli, parlagli e capirai che hanno messo una caterba di filtri per tutta quell'immondizia... ecco perchè i DX cluster *ora* sono puliti.

Ancora:
"L’antenna non è critica: i circa 10 dB di vantaggio sugli altri modi digitali in termini di rapporto segnale/rumore e la sua inerente insensibilità a distorsioni di fase sui path polari permettono a ROS di ottenere risultati eccellenti con antenne molto semplici se non addirittura modeste. Potenze da 5 a 20 W sono più che sufficienti. La lettura istantanea del rapporto segnale/rumore e del margine di fading permettono di valutare l’efficacia di path e potenza semplicemente monitorando il traffico sul canale."

Se mi spiega su quali modi c'è un vantaggio di 10 dB, cominciamo a capirci... poi devo capire "l'inerente insensibilità a distorsioni di fase sui path polari"... come mai questo modo è insensibile ?? A me risulta che l'unico modo insensibile alle distorsioni di fase è il BPSK, dove le informazioni vengono veicolate in binary phase e non in single phase a scapito della velocità, ma consente la conservazione dell'informazione anche in caso di rotazione di 180° della fase (esempio stupido: il BPSK si può demodulare indifferentemente in LSB o in USB)... , *non è possibile* seguire un QSO in ROS se si è perso il segnale di SYNC iniziale, *non ha AFC* per correzioni on the fly di un segnalòe che drifta (l'AFC del software indica solo la percentuale di errore rispetto al suo zero)... non c'è non dico il codice sorgente a disposizione, ma quantomeno l'algoritmo completo di codifica/decodifica..

.. lascio ai lettori le conclusioni. Io, le mie, le ho tratte.

Avrei avuto piacere nel leggere un intervista più critica e obiettiva. Ma capisco anche il collega IZ1IVA di cui apprezzo molto l'iniziativa.. sarebbe stato impossibile fare un intervista più critica, semplicemente non avrebbe risposto.

73 'till 2012,

Cristiano IZ0IEN

Re: Vulnerabilità nel software usato per il modo ROS (aka FSK144)



Mr. ROS, esclusiva intervista al suo inventore.

http://www.dxcoffee.com/ita/2010/09/...suo-inventore/

buona lettura 73s' maico

Re: Vulnerabilità nel software usato per il modo ROS (aka FSK144)

HI Maico,
veramente &#232; da ieri che ne stiamo discutendo.

Re: Vulnerabilità nel software usato per il modo ROS (aka FSK144)

Ros legge i commenti di DxCoffee, prova a domandare quello che ti serve postando l&#236; le tue domande. Magari risponde; abbiamo scoperto che segue DxCoffee.

L'uso dei termini non mi piace, e suona offensivo. Il termine "glissare" non &#232; assolutamente corretto e suona come un'illazione. Nell'intervista sul modo digitale Ros, sono state fatte delle domande liberamente scelte da chi ha steso il pezzo. Stai sottointendendo che, di proposito, qualcuno ha evitato di farne? Come fai a dirlo? Perch&#232; insunui la malafede dei redattori? Perch&#232; lo fai qui e non su DxCoffee, ai diretti interessati? IZ1IVA ha realizzato una buona intervista (ad altri non era riuscito) dove un personaggio controverso ed estroso ha dato il suo punto di vista. Non vi &#232; stata alcuna censura e la persona in oggetto &#232; stata estremamente disponibile nel rispondere. Ovviamente dice quello che pensa lui, che non &#232; l'opinione di DxCoffee, per noi l' importante &#232; riportare queste cose senza faziosit&#224;.


Critica o Obiettiva? Ma rispetto a cosa? A me piace leggere l'opinione di Ros. Poi traggo le mie conclusioni, anche senza dovermi leggere i pre-giudizi dell'intervistatore (cosa deontologicamente molto discutibile)

Ancora con le illazioni? Ma se, come leggo qui non ha risposto ad altri, a DxCoffe, Ros ha risposto senza alcun problema. Io per questo non posso farci nulla, ti posso solo dire che &#232; andata cos&#236;. Pu&#242; darti fastidio, ma &#232; la verit&#224;: prabilmente conosceva il lavoro che stiamo facendo e la visibilit&#224; che potevamo dargli, e si &#232; reso disponibile. Dietro alle cose, molto volte non c'&#232; un complotto....

73 de Giorgio IZ4AKS

Re: Vulnerabilità nel software usato per il modo ROS (aka FSK144)

Ciao Cristiano,

in verità, pur essendo iscritto a questo forum, lo frequento purtroppo troppo poco e non avevo letto questa discussione. Dal momento che José non ti risponde (e la cosa non mi sorprende), potrei invitarti a scrivere di questa vulnerabilità nello spazio per i commenti al mio articolo, preferibilmente nella versione in inglese: http://www.dxcoffee.com/ita/2010/09/...ive-interview/
Il tema da te posto è molto interessante e merita senza dubbio un approfondimento e delle risposte da parte di José. Se tu volessi preparare un tuo scritto dettagliato, sarebbe ancora meglio e lo proporrei per la pubblicazione su DxCoffee.com

L'intervista è volutamente scevra di opinioni dello scrivente, che si è limitato a fare da "cronista" anziché da opinionista. È una scelta ben precisa che può forse essere considerata poco critica, ma certamente non poco obiettiva.
In ogni caso, c'è spazio per il contraddittorio, ti aspettiamo

Re: Vulnerabilità nel software usato per il modo ROS (aka FSK144)

Mah, se devo essere sincero, non capisco il motivo per cui il Sig. ROS debba o intenda leggere solo un blog. Parlano del suo software un p&#242; ovunque, non solo qui, anche sul forum QRZ.COM Il mio punto di vista &#232; che dovrebbe rispondere a chiunque gli pone degli interrogativi, a prescindere dal luogo in cui le domande gli vengono poste. A maggior ragione se poi gli vengono poste via email. Sarebbe curioso se per leggere la riposta del Sig. ROS a quanto segnalato via email, qui e su qrz.com da Cristiano, quest'ultimo dovesse spostarsi altrove. Cosa &#232;, un dispetto ?!?

Re: Vulnerabilità nel software usato per il modo ROS (aka FSK144)

Non vedo perchè dovrebbe leggerli tutti e tenerli in equa considerazione tutti, sia quelli che hanno 3 visitatori unici al giorno, sia quelli con centinaia di unici al giorno.
Poi nel merito della cosa ognuno è libero di andare a vedere/leggere/partecipare dove meglio crede e dove più si sente a suo agio.

Ognuno fa un po' come vuole e crede, risponde dove gli sembra più utile. Io non leggo tutto quello che avviene in Rete. Tu riesci? Forse nemmeno Mr. Ros riesce...


Ros è libero di scrivere e rispondere dove gli pare. A DxCoffee ha risposto. Magari è perchè è cattivo, magari perchè chi gli scrive non si esprime bene come IZ1IVA in inglese e non capiva, magari perchè rispondere a gente critica a priori non è il modo migliore di impiegare il proprio tempo. Io non lo so, so solo che a DxCoffee ha risposto a delle domande interessate a capire, non a criticare. Mi sono sentito in dovere di ribattere alcune affermazioni che suonavano un po' irritanti e che avrei preferito non leggere in questo forum.

Re: Vulnerabilità nel software usato per il modo ROS (aka FSK144)

Scusa Giorgio, ma a me interesserebbe la riposta del Sig. ROS al problema sollevato da Cristiano.
Certo che ognuno &#232; libero di leggere e scrivere dove gli pare, ma &#232; solo una questione di opportunit&#224; rispondere direttamente a chi ti pone delle domande.
Grazie.

Re: Vulnerabilità nel software usato per il modo ROS (aka FSK144)

Chiedo scusa ho letto solo i primi 3 post tutti di critiche ...
oramai i forum servono solo a criticare.

Io seguo ROS da quando é uscito lo uso 2 , 3 ore al giorno e sono ancora vivo
e non ricevo spam , chissa perché hi.

73s'

Re: Vulnerabilità nel software usato per il modo ROS (aka FSK144)

HI Maico,
non so gli altri forum, ma per quanto riguarda questo, io ho solo letto una sacrosanta perplessit&#224; sollevata da Cristiano IZ0IEN. Se hai letto tutto sin dall'inizio, cosa che invito anche IZ1IVA a fare, (in questa e nelle altre discussioni, tra cui una in inglese, in cui si &#232; parlato di ROS) noterai che Cristiano ha aperto una corretta procedura di exploit disclosure , mettendo subito al corrente, via email, prima di tutti propro l'autore del software. Ad oggi, che io sappia, Cristiano non ha ricevuto alcuna risposta in merito.
Eppure quanto evidenziato da Cristiano &#232; di una evidenza lapalissiana che mi meraviglio che molti non ci credano o, banalmente, la sottovalutino. Probabilmente non accadr&#224; mai che qualcuno metta effettivamente in atto quello che tecnicamente si pu&#242; tranquillamente fare con la funzione di report automatico via email del software del Sig. Nieto ROS. Ma ne &#232; innegabile la fattibilit&#224; tecnica, quindi l'inutile rischio che si fa correre a tanti ignari possessori di un account email.
A me non sono parse affatto critiche fini a s&#232; stesse, n&#232; faziose n&#232; con volont&#224; distruttiva o denigratoria. Semplicemente sono constatazioni obiettive e verificabili da chiunque.