Tales from the Machine Room


Home Page | Comments | Articles | Faq | Documents | Search | Archive | Tales from the Machine Room | Contribute | Login/Register

La Verifica (2)

Oggi ho avuto uno strano flash-back di quando $immensasocieta pretese una "verifica della sicurezza" della rete interna di $megaditta per la quale lavoravo. E' da non credere che sono passati quasi due anni da allora.

Per chi non si ricordasse l'episodio e non avesse voglia di andarselo a leggere (e se ne avete voglia lo trovate qui), riassumero' brevemente la cosa: un'impedito mentale esegue un programma (scritto da un cerebroleso) che fa un qualche portscan e produce un report. Il report e' poi usato dall'impedito per un meeting con $megaboss durante il quale vengono evidenziati "orribili buchi di sicurezza" e si cerca quindi di convincere $megaboss a firmare un'immane contratto (con pagamento prontacassa) per la correzione dei problemi. Problemi che, in molti casi, sono causati dagli stessi impediti che usano tali software.

Ok, basta con la favola e sotto con la storia.

DaBoss - Mai sentito parlare di $societadisicurezza?
IO - (attingendo ai miei malfunzionanti banchi di memoria) Hummm... mi pare che $tipocheeraquiprimadite avesse fatto un qualche accordo con loro, ma non mi pare ne abbiamo mai fatto niente.
DB - Perche' mi e' appena arrivata una lettera da questa gente e vogliono sapere se vogliamo rinnovare il nostro contratto per $megacifra.
IO - (boccheggiando e cercando di immaginarmi con quanti zeri si scrive tale numero) ...hu...
DB - Ecco appunto, quindi prima di dirgli si o no volevo sapere se e' una roba utile o no.
IO - Hemmm... non saprei. Adesso vedo.

Cosi' comincio a guardarmi st'affare. Ok, e' un'ennesimo port-scanner con interfaccia point-and-drool. Riporto a DaBoss.

DB - E secondo te e' utile?
IO - Mah... ste' cose lasciano un po' il tempo che trovano. In genere non servono ad un tubo, qualche volta sono utili perche' segnalano cose che uno potrebbe aver dimenticato, ma pagare una cifra simile per questo coso no. Non mi sembra proprio utile.
DB - A quanto pare nel nostro contratto che e' vicino alla fine ci sono un certo numero di 'scanning' compresi che noi non abbiamo mai usato. Perche' non ne usiamo uno e poi vediamo se i risultati sono utili o no?
IO - Ok, mi pare una buona idea.
DB - Ok, allora prima facciamo sta cosa e poi ne discutiamo con questa gente, ma sii "considerato" durante il meeting. Non come il tuo solito!
IO - ?? come sarebbe a dire??

Cosi' eseguo questo 'scan'. E tanto per divertirmi lo punto su uno dei server 'esterni'. I risultati sono... hummm... interessanti. Per completare la cosa DaBoss organizza una bella conferenza telefonica con un tipo di questa societa'. Il tipo, per comodita', lo chiamero' CL. Eccoci quindi attorno al telefono.

DB - Dunque, prima di decidere se vogliamo rinnovare o no questo contratto abbiamo fatto una prova, ed abbiamo qualche dubbio che forse voi dall'altra parte del telefono potreste risolvere.
CL - Certamente.
DB - Ecco, allora ti passo D. che e' il nostro SysAdmin.
IO - Guardando questo rapporto, noto che avete identificato una vulnerabilita' "grave", 8 vulnerabilita' "medie" e 13 vulnerabilita' "a basso rischio". Il tutto con uno scanning che ha rivelato UNA sola porta disponibile: https. Non e' un po' eccessivo?
CL - Il nostro sistema classifica le vulnerabilita' in funzione delle possibilita' che queste consentono ad un'eventuale attaccante dall'esterno.
IO - Ok, vediamo quindi questo elenco (sfogliando il 'rapporto'), riportate come "grave" /cgi-bin/excite.
CL - Esatto.
IO - Ma non c'e' sul nostro server.
CL - Come non c'e'?
IO - No, non ce lo abbiamo sul server. Questo coso non e' li'.
CL - Hemmm... be'... e' possibile che sia un falso positivo...
IO - Quello che pensavo pure io. Ma come e' possibile che l'unica 'grave' vulnerabilita' sia un falso positivo?
CL - Il nostro sistema esegue una scansione e, se trova una corrispondenza positiva la riporta, ovviamente non eseguiamo una vera penetrazione.
IO - Ok, andiamo avanti. Tra le vulnerabilita' "medie" mi indicate la presenza di JRun 2, JRun 3, JRun 4, TomCat, Tivoli Administration Server, Sybase ed un'altra barcata di roba... ora, a parte che installare tre diverse versioni di JRun sulla stessa macchina e farle funzionare e' un po' dura, ma tutta sta roba su quella macchina non c'e' proprio. E qualunque software scritto con un minimo di criterio dovrebbe riuscire ad identicare correttamente una cosa come JRun da una cosa come TomCat (che per altro non e' installato).
CL - Ma forse sono installati per default...
IO - ??? SCUSA??? TRE diverse versioni di JRun? Hai idea di quanto costano di licenza? Per non parlare di roba come Tivoli o Sybase?
CL - Hemmm...
IO - Ma andiamo oltre, la linea successiva mi dice che accedere a $urlenormementelungo ridirige su $urlmoltopiucorto, e quindi conclude che il server accetta URL come "../", guarda caso $urlmoltopiucorto e' una pagina "not found", ed e' la pagina standard sui cui si redirige digitando qualsiasi URL che non sia presente sul server. Come fate a dire che il server accetta "../" quando, evidentemente, non e' cosi'?
CL - Hummm... be'... il fatto e' che il vostro server e' dietro ad un firewall...
IO - E quindi?
CL - Di solito quando facciamo gli scan chiediamo che il server sia disponibile direttamente...
IO - A parte che dubito che una cosa del genere possa dare risultati diversi da quello che gia' abbiamo ottenuto, voglio dire, se non siete capaci di distinguere l'esistenza di un server da una pagina di "non trovato" non vi cambia la vita se c'e' o non c'e' un firewall nel mezzo, ma lo scopo di questo esercizio era di controllare la security di uno dei nostri server dal punto di vista di un'eventuale attaccante, quindi con il firewall davanti. Rimuovere il firewall renderebbe l'intero esercizio privo di un vero scopo.
CL - Be', ma l'utilita' della scansione e' quella di evidenziare cose che potrebbero essere sfuggite...
IO - E su questo siamo tutti d'accordo credo, ma se io devo guadare tra una marea di falsi positivi per trovare qualche cosa che forse e' valido, l'intero esercizio diventa un'immane perdita di tempo.
DaBoss - Possiamo pure dire che l'intero rapporto e' una stronXata mostruosa!

...Ed aveva detto a me di essere 'considerato'...

Il resto del meeting e' sostanzialmente tagliato corto, con CL che non e' in grado di difendere i risultati del loro 'scanner' ed io che non ci penso troppo a fargli notare le immani pisquanate. Le cose positive che sono saltate fuori sono che 1) non rinnoveremo il contratto e 2) DaBoss ha sghinazzato per due ore.

Se qualcuno e' interessato, questa e' una versione leggermente riveduta e corretta del 'rapporto' (ho rimosso tutti i grafici ed ho cammuffato un po' gli IP).

Davide
08/09/2009 12:50

Previous Next

Comments are added when and more important if I have the time to review them and after removing Spam, Crap, Phishing and the like. So don't hold your breath. And if your comment doesn't appear, is probably becuase it wasn't worth it.

1 message this document does not accept new posts
scassamarroniscassamarroni By scassamarroni - posted 21/12/2008 19:47
non ci si può fidare più di nessuno, ora fanno anche finta di tentare di bucarti la rete.. che mondo!!

Previous Next


This site is made by me with blood, sweat and gunpowder, if you want to republish or redistribute any part of it, please drop me (or the author of the article if is not me) a mail.


This site was composed with VIM, now is composed with VIM and the (in)famous CMS FdT.

This site isn't optimized for vision with any specific browser, nor it requires special fonts or resolution.
You're free to see it as you wish.

Web Interoperability Pleadge Support This Project
Powered By Gojira