Storie dalla Sala Macchine |
Home Page | Commenti | Articoli | Faq | Documenti | Ricerca | Archivio | Storie dalla Sala Macchine | Contribuire | Imposta lingua:en it | Login/Register
Oggi ho avuto uno strano flash-back di quando $immensasocieta pretese una "verifica della sicurezza" della rete interna di $megaditta per la quale lavoravo. E' da non credere che sono passati quasi due anni da allora.
Per chi non si ricordasse l'episodio e non avesse voglia di andarselo a leggere (e se ne avete voglia lo trovate qui), riassumero' brevemente la cosa: un'impedito mentale esegue un programma (scritto da un cerebroleso) che fa un qualche portscan e produce un report. Il report e' poi usato dall'impedito per un meeting con $megaboss durante il quale vengono evidenziati "orribili buchi di sicurezza" e si cerca quindi di convincere $megaboss a firmare un'immane contratto (con pagamento prontacassa) per la correzione dei problemi. Problemi che, in molti casi, sono causati dagli stessi impediti che usano tali software.
Ok, basta con la favola e sotto con la storia.
DaBoss - Mai sentito parlare di $societadisicurezza?
IO - (attingendo ai miei malfunzionanti banchi di memoria) Hummm... mi pare
che $tipocheeraquiprimadite avesse fatto un qualche accordo con loro,
ma non mi pare ne abbiamo mai fatto niente.
DB - Perche' mi e' appena arrivata una lettera da questa gente e
vogliono sapere se vogliamo rinnovare il nostro contratto per
$megacifra.
IO - (boccheggiando e cercando di immaginarmi con quanti zeri si scrive
tale numero) ...hu...
DB - Ecco appunto, quindi prima di dirgli si o no volevo sapere se e'
una roba utile o no.
IO - Hemmm... non saprei. Adesso vedo.
Cosi' comincio a guardarmi st'affare. Ok, e' un'ennesimo port-scanner con interfaccia point-and-drool. Riporto a DaBoss.
DB - E secondo te e' utile?
IO - Mah... ste' cose lasciano un po' il tempo che trovano. In genere non
servono ad un tubo, qualche volta sono utili perche' segnalano cose
che uno potrebbe aver dimenticato, ma pagare una cifra simile per
questo coso no. Non mi sembra proprio utile.
DB - A quanto pare nel nostro contratto che e' vicino alla fine
ci sono un certo numero di 'scanning' compresi che noi non abbiamo
mai usato. Perche' non ne usiamo uno e poi vediamo se i risultati
sono utili o no?
IO - Ok, mi pare una buona idea.
DB - Ok, allora prima facciamo sta cosa e poi ne discutiamo con questa
gente, ma sii "considerato" durante il meeting. Non come il tuo
solito!
IO - ?? come sarebbe a dire??
Cosi' eseguo questo 'scan'. E tanto per divertirmi lo punto su uno dei server 'esterni'. I risultati sono... hummm... interessanti. Per completare la cosa DaBoss organizza una bella conferenza telefonica con un tipo di questa societa'. Il tipo, per comodita', lo chiamero' CL. Eccoci quindi attorno al telefono.
DB - Dunque, prima di decidere se vogliamo rinnovare o no questo
contratto abbiamo fatto una prova, ed abbiamo qualche dubbio che
forse voi dall'altra parte del telefono potreste risolvere.
CL - Certamente.
DB - Ecco, allora ti passo D. che e' il nostro SysAdmin.
IO - Guardando questo rapporto, noto che avete identificato una
vulnerabilita' "grave", 8 vulnerabilita' "medie" e 13
vulnerabilita' "a basso rischio". Il tutto con uno scanning che
ha rivelato UNA sola porta disponibile: https. Non e' un po'
eccessivo?
CL - Il nostro sistema classifica le vulnerabilita' in funzione delle
possibilita' che queste consentono ad un'eventuale attaccante
dall'esterno.
IO - Ok, vediamo quindi questo elenco (sfogliando il 'rapporto'),
riportate come "grave" /cgi-bin/excite.
CL - Esatto.
IO - Ma non c'e' sul nostro server.
CL - Come non c'e'?
IO - No, non ce lo abbiamo sul server. Questo coso non e' li'.
CL - Hemmm... be'... e' possibile che sia un falso positivo...
IO - Quello che pensavo pure io. Ma come e' possibile che l'unica 'grave'
vulnerabilita' sia un falso positivo?
CL - Il nostro sistema esegue una scansione e, se trova una corrispondenza
positiva la riporta, ovviamente non eseguiamo una vera penetrazione.
IO - Ok, andiamo avanti. Tra le vulnerabilita' "medie" mi indicate la
presenza di JRun 2, JRun 3, JRun 4, TomCat, Tivoli Administration
Server, Sybase ed un'altra barcata di roba... ora, a parte che
installare tre diverse versioni di JRun sulla stessa macchina e farle
funzionare e' un po' dura, ma tutta sta roba su quella macchina non
c'e' proprio. E qualunque software scritto con un minimo di criterio
dovrebbe riuscire ad identicare correttamente una cosa come JRun da
una cosa come TomCat (che per altro non e' installato).
CL - Ma forse sono installati per default...
IO - ??? SCUSA??? TRE diverse versioni di JRun? Hai idea di quanto
costano di licenza? Per non parlare di roba come Tivoli o Sybase?
CL - Hemmm...
IO - Ma andiamo oltre, la linea successiva mi dice che accedere a
$urlenormementelungo ridirige su $urlmoltopiucorto, e quindi conclude
che il server accetta URL come "../", guarda caso $urlmoltopiucorto
e' una pagina "not found", ed e' la pagina standard sui cui si
redirige digitando qualsiasi URL che non sia presente sul
server. Come fate a dire che il server accetta "../" quando,
evidentemente, non e' cosi'?
CL - Hummm... be'... il fatto e' che il vostro server e' dietro ad un
firewall...
IO - E quindi?
CL - Di solito quando facciamo gli scan chiediamo che il server sia
disponibile direttamente...
IO - A parte che dubito che una cosa del genere possa dare risultati diversi
da quello che gia' abbiamo ottenuto, voglio dire, se non siete capaci
di distinguere l'esistenza di un server da una pagina di "non trovato"
non vi cambia la vita se c'e' o non c'e' un firewall nel mezzo, ma lo
scopo di questo esercizio era di controllare la security di uno dei
nostri server dal punto di vista di un'eventuale attaccante,
quindi con il firewall davanti. Rimuovere il firewall renderebbe
l'intero esercizio privo di un vero scopo.
CL - Be', ma l'utilita' della scansione e' quella di evidenziare cose che
potrebbero essere sfuggite...
IO - E su questo siamo tutti d'accordo credo, ma se io devo guadare tra
una marea di falsi positivi per trovare qualche cosa che forse
e' valido, l'intero esercizio diventa un'immane perdita di tempo.
DaBoss - Possiamo pure dire che l'intero rapporto e' una stronXata
mostruosa!
...Ed aveva detto a me di essere 'considerato'...
Il resto del meeting e' sostanzialmente tagliato corto, con CL che non e' in grado di difendere i risultati del loro 'scanner' ed io che non ci penso troppo a fargli notare le immani pisquanate. Le cose positive che sono saltate fuori sono che 1) non rinnoveremo il contratto e 2) DaBoss ha sghinazzato per due ore.
Se qualcuno e' interessato, questa e' una versione leggermente riveduta e corretta del 'rapporto' (ho rimosso tutti i grafici ed ho cammuffato un po' gli IP).
Davide
08/09/2009 12:50
I commenti sono aggiunti quando e soprattutto se ho il tempo di guardarli e dopo aver eliminato le cagate, spam, tentativi di phishing et similia. Quindi non trattenete il respiro.
scassamarroni Di scassamarroni postato il 21/12/2008 19:47
Il presente sito e' frutto del sudore della mia fronte (e delle mie dita), se siete interessati a ripubblicare uno degli articoli, documenti o qualunque altra cosa presente in questo sito per cortesia datemene comunicazione (o all'autore dell'articolo se non sono io), cosi' il giorno che faccio delle aggiunte potro' avvisarvi e magari mandarvi il testo aggiornato.
Questo sito era composto con VIM, ora e' composto con VIM ed il famosissimo CMS FdT.
Questo sito non e' ottimizzato per la visione con nessun browser particolare, ne' richiede l'uso di font particolari o risoluzioni speciali. Siete liberi di vederlo come vi pare e piace, o come disse qualcuno: "Finalmente uno dei POCHI siti che ancora funzionano con IE5 dentro Windows 3.1".
