|
Cose' sta roba???
Qualche tempo fa, un po' annoiato, mi sono messo a scrivere quello che
succede nel mio ufficio (rimuovendo i nomi ovviamente) sul gruppo
it.comp.os.linux.sys. La cosa pare abbia trovato degli estimatori,
cosi' ho pensato di "preservare" questi capolavori per i posteri...
Una cosa: tutte le storie sono assolutamente vere!
Personaggi
The Boss (TB): e' il capo del'ICCITTI', e quindi anche il mio
capo.
Aquila Bestemmiante (AB): e' il sistemista-capo, conosce tutta
la rete dalle antenne sul tetto fino all'ultima connessione ISDN.
Tony Abbuffa (TA): si occupa di tutto cio' che e' Media e MultiMedia,
oltre a mangiare panini degni di Scooby Doo...
Mister Ecks (ME) : e' il nostro 'contatto' nel Nuovo Continente,
localizzato a San Francisco.
Erik il Rosso (ER): phone-firewall, ovvero: Help-Desk di primo
livello.
Il Danese Ubriaco (DU): sistemista di secondo livello e
programmatore Python/PHP
Mister X (MX): programmatore PHP/Python, si occupa di mailing
lists ed altre cose.
Tom Luseronovic (TL): programmatore Python/PHP e si occupa della
gestione utenti.
Sander Buildingmanager (SB): building manager, ovvero colui al quale
si rompono le balle per la manutenzione ordinaria e straordinaria di ogni
parte dell'ufficio.
CL: Clueless Luser, un classico utente insomma.
UL: Uber Luser, un CL di rango elevato.
SL: Super Luser, manager o similare.
|
|
La Verifica (2)
Oggi ho avuto uno strano flash-back di quando $immensasocieta pretese una
"verifica della sicurezza" della rete interna di $megaditta per la quale
lavoravo. E' da non credere che sono passati quasi due anni da allora.
Per chi non si ricordasse l'episodio e non avesse voglia di andarselo a
leggere (e se ne avete voglia lo trovate qui),
riassumero' brevemente la cosa: un'impedito mentale esegue un programma
(scritto da un cerebroleso) che fa un qualche portscan e produce un report.
Il report e' poi usato dall'impedito per un meeting con $megaboss durante
il quale vengono evidenziati "orribili buchi di sicurezza" e si cerca quindi
di convincere $megaboss a firmare un'immane contratto (con pagamento
prontacassa) per la correzione dei problemi. Problemi che, in molti casi,
sono causati dagli stessi impediti che usano tali software.
Ok, basta con la favola e sotto con la storia.
DaBoss - Mai sentito parlare di $societadisicurezza?
IO - (attingendo ai miei malfunzionanti banchi di memoria) Hummm... mi pare
che $tipocheeraquiprimadite avesse fatto un qualche accordo con loro,
ma non mi pare ne abbiamo mai fatto niente.
DB - Perche' mi e' appena arrivata una lettera da questa gente e
vogliono sapere se vogliamo rinnovare il nostro contratto per
$megacifra.
IO - (boccheggiando e cercando di immaginarmi con quanti zeri si scrive
tale numero) ...hu...
DB - Ecco appunto, quindi prima di dirgli si o no volevo sapere se e'
una roba utile o no.
IO - Hemmm... non saprei. Adesso vedo.
Cosi' comincio a guardarmi st'affare. Ok, e' un'ennesimo port-scanner
con interfaccia point-and-drool. Riporto a DaBoss.
DB - E secondo te e' utile?
IO - Mah... ste' cose lasciano un po' il tempo che trovano. In genere non
servono ad un tubo, qualche volta sono utili perche' segnalano cose
che uno potrebbe aver dimenticato, ma pagare una cifra simile per
questo coso no. Non mi sembra proprio utile.
DB - A quanto pare nel nostro contratto che e' vicino alla fine
ci sono un certo numero di 'scanning' compresi che noi non abbiamo
mai usato. Perche' non ne usiamo uno e poi vediamo se i risultati
sono utili o no?
IO - Ok, mi pare una buona idea.
DB - Ok, allora prima facciamo sta cosa e poi ne discutiamo con questa
gente, ma sii "considerato" durante il meeting. Non come il tuo
solito!
IO - ?? come sarebbe a dire??
Cosi' eseguo questo 'scan'. E tanto per divertirmi lo punto su uno dei
server 'esterni'. I risultati sono... hummm... interessanti. Per completare
la cosa DaBoss organizza una bella conferenza telefonica con un tipo di
questa societa'. Il tipo, per comodita', lo chiamero' CL. Eccoci quindi
attorno al telefono.
DB - Dunque, prima di decidere se vogliamo rinnovare o no questo
contratto abbiamo fatto una prova, ed abbiamo qualche dubbio che
forse voi dall'altra parte del telefono potreste risolvere.
CL - Certamente.
DB - Ecco, allora ti passo D. che e' il nostro SysAdmin.
IO - Guardando questo rapporto, noto che avete identificato una
vulnerabilita' "grave", 8 vulnerabilita' "medie" e 13
vulnerabilita' "a basso rischio". Il tutto con uno scanning che
ha rivelato UNA sola porta disponibile: https. Non e' un po'
eccessivo?
CL - Il nostro sistema classifica le vulnerabilita' in funzione delle
possibilita' che queste consentono ad un'eventuale attaccante
dall'esterno.
IO - Ok, vediamo quindi questo elenco (sfogliando il 'rapporto'),
riportate come "grave" /cgi-bin/excite.
CL - Esatto.
IO - Ma non c'e' sul nostro server.
CL - Come non c'e'?
IO - No, non ce lo abbiamo sul server. Questo coso non e' li'.
CL - Hemmm... be'... e' possibile che sia un falso positivo...
IO - Quello che pensavo pure io. Ma come e' possibile che l'unica 'grave'
vulnerabilita' sia un falso positivo?
CL - Il nostro sistema esegue una scansione e, se trova una corrispondenza
positiva la riporta, ovviamente non eseguiamo una vera penetrazione.
IO - Ok, andiamo avanti. Tra le vulnerabilita' "medie" mi indicate la
presenza di JRun 2, JRun 3, JRun 4, TomCat, Tivoli Administration
Server, Sybase ed un'altra barcata di roba... ora, a parte che
installare tre diverse versioni di JRun sulla stessa macchina e farle
funzionare e' un po' dura, ma tutta sta roba su quella macchina non
c'e' proprio. E qualunque software scritto con un minimo di criterio
dovrebbe riuscire ad identicare correttamente una cosa come JRun da
una cosa come TomCat (che per altro non e' installato).
CL - Ma forse sono installati per default...
IO - ??? SCUSA??? TRE diverse versioni di JRun? Hai idea di quanto
costano di licenza? Per non parlare di roba come Tivoli o Sybase?
CL - Hemmm...
IO - Ma andiamo oltre, la linea successiva mi dice che accedere a
$urlenormementelungo ridirige su $urlmoltopiucorto, e quindi conclude
che il server accetta URL come "../", guarda caso $urlmoltopiucorto
e' una pagina "not found", ed e' la pagina standard sui cui si
redirige digitando qualsiasi URL che non sia presente sul
server. Come fate a dire che il server accetta "../" quando,
evidentemente, non e' cosi'?
CL - Hummm... be'... il fatto e' che il vostro server e' dietro ad un
firewall...
IO - E quindi?
CL - Di solito quando facciamo gli scan chiediamo che il server sia
disponibile direttamente...
IO - A parte che dubito che una cosa del genere possa dare risultati diversi
da quello che gia' abbiamo ottenuto, voglio dire, se non siete capaci
di distinguere l'esistenza di un server da una pagina di "non trovato"
non vi cambia la vita se c'e' o non c'e' un firewall nel mezzo, ma lo
scopo di questo esercizio era di controllare la security di uno dei
nostri server dal punto di vista di un'eventuale attaccante,
quindi con il firewall davanti. Rimuovere il firewall renderebbe
l'intero esercizio privo di un vero scopo.
CL - Be', ma l'utilita' della scansione e' quella di evidenziare cose che
potrebbero essere sfuggite...
IO - E su questo siamo tutti d'accordo credo, ma se io devo guadare tra
una marea di falsi positivi per trovare qualche cosa che forse
e' valido, l'intero esercizio diventa un'immane perdita di tempo.
DaBoss - Possiamo pure dire che l'intero rapporto e' una stronXata
mostruosa!
...Ed aveva detto a me di essere 'considerato'...
Il resto del meeting e' sostanzialmente tagliato corto, con CL che non e'
in grado di difendere i risultati del loro 'scanner' ed io che non ci
penso troppo a fargli notare le immani pisquanate. Le cose positive che
sono saltate fuori sono che 1) non rinnoveremo il contratto e 2) DaBoss
ha sghinazzato per due ore.
Se qualcuno e' interessato, questa e' una
versione leggermente riveduta e corretta del 'rapporto' (ho rimosso tutti
i grafici ed ho cammuffato un po' gli IP).
Davide
01/05/2006
previous
next
|
