Re: [ml] Core Security

On Tue, Apr 12, 2005 at 03:00:16PM +0200, arizzi@xxxxxxxxxxxxxxxxxxxxxxxxxxxx wrote:

> Ciao a tutti,
> qualcuno  conosce la  società Core  Security  ed il  loro prodotto  di
> Penetration Testing Core Impact?

Sono tool mirati a massimizzare l'effetto delle attivita' di penetration
test, dispongono  di una serie  di exploit  e di shellcode  precotti per
varie piattaforme (Win  i386, Linux i386, SunOS x86 e  sparc, ogni tanto
qualche architettura/piattaforma  piu' esotica ma  poca roba o  cmq meno
0day)  e  situazioni  diverse  (diretto, reverse,  ev.  utilizzando  una
macchina compromessa come testa di ponte, etc.).

Rendono "facili"  e comode, per  il tester,  l'utilizzo di una  serie di
tecniche che  da portare manualmente richiederebbero  parecchio tempo in
piu' e permettono anche di avere  una collezione di exploit "testata" ed
affidabile, oltre al  valore aggiunto di codici di  attacco non pubblici
(ci sono molti  attacchi per vulnerabilita' note di cui  pero' non siano
pubblici gli exploit).

Senza contare che scriversi un exploit ex-novo richiede competenze molto
elevate dell'ambiente da attaccare oltre  ad una replica dello stesso in
lab e cmq giorni o settimane di lavoro.

Sia   Core   Impact  che   Canvas   (un   altro  prodotto   commerciale,
http://www.immunitysec.com, per altro leggermente  piu' economico e piu'
liberale nelle licenze [non legato a  ip sotto test e meno limitante nel
numero di  sonde] ma anche un  po' piu' "rozzo"/da smanettoni)  hanno un
team di  sviluppo per la  produzione di exploit  & co. 

Sono entrambi in python; canvas  e' anche multipiattaforma, aka funziona
sia su win che su linux  (provato solo su quest'ultimo), core solo sotto
win. 

Ci sono anche  i sorgenti, sia dell'engine che degli  exploit, almeno su
canvas  dovrebbe esserci  tutto, core  ha  qualche lib  fornita solo  in
binario.

Per  canvas ci  sono  anche  alcuni sviluppatori  di  codice slegati  da
immunity, che possono (ovviamente a pagamento) fornire ulteriori exploit
e codici non presenti nel pacchetto base.

Entrambi i tool presuppongono gia' una parte di vulnerability assessment
fatta a monte o per lo meno, da parte del tester, un'idea molto concreta
di quello  che ha davanti e  quali siano i potenziali  punti di attacco,
comprensivi di quali exploit utilizzare, etc.

Ti servono se  il tuo obiettivo e' portare un  penetration test vero o/o
verificare i  risultati di un VA,  entrare nel sistema sotto  test, e da
li' muoverti/attaccare altri bersagli, etc.

> Eventualmente sapete indirizzarmi su prodotti/servizi analoghi offerti
> da altre società?

Personalmente li  ritengo dei  tool molto utili  ad uno  specialista, mi
spiego:  se avete  gia'  un staff  di VA  tecnicamente  preparato e  che
saprebbe effettuare gli stessi attacchi a mano, e' uno strumento ottimo.
Non sostituiscono strumenti quali ISS, Retina o Nessus, etc.

Di open source esiste metasploit: http://www.metasploit.org che e' molto
valido, a parte  il numero limitato di "exploit" pubblici  e la mancanza
di alcune funzionalita' evolute. E' in perl.
Merita  sicuramente   un'occhiata,  anche   solo  per  valutare   se  e'
effettivamente il tipo di strumento che stai cercando.

Il problema grosso  alla fine e' sempre, appunto, nel  numero di exploit
che ogni prodotto ed ogni fornitore sono in grado di mettere sul piatto.

Nota pero' che gli "unreleased" non sono cosi' tanti come vorrebbero far
credere. Certo ci sono  e sono stabili, ma sono pochi  e cmq l'engine e'
instabile ed ogni tanto crasha, sia su canvas che su core.

Ovviamente  forniscono  anche un  framework  per  sviluppare molto  piu'
comodamente  i  tuoi  (pero'  se   l'obiettivo  e'  solo  quello,  forse
metasploit e' piu' che sufficiente).

Considera anche che tutti questi prodotti non sono secondo me utilissimi
per fare test da remoto quando vi siano firewall net e/o applicativi ben
configurati nel  mezzo; ci sono exploit  per web e application  server &
co,  ma sono  una percentuale  limitata di  tutti i  codici presenti  (i
produttori possono forniti un elenco aggiornato a richiesta, qualora non
sia presente  nel materiale  informativo) ma la  maggior parte  sono per
componenti quali rpc  o servizi base microsoft e simile  e/o servizi che
spesso non trovi esposti. Decisamente piu' utili in lan/dmz, etc.

Canvas per esempio e' decisamente  piu' orientato all'attacco di sistemi
Win.

Calcola anche che tutti e tre  sono pensati per versioni inglesi di win,
gran  parte  di  offset  &  co funzionano  solo  su  quella  piattaforma
(principalmente sto pensando a win2000), se qualche cliente/utilizzatore
li modifica per le varie  localizzazioni E li comunica, vengono inclusi,
ma di default non c'e' molto.

bye
Koba

<pubblicita' spudorata di un evento a pagamento in cui sono relatore>
Linux&C Security Workshop, 5 Maggio, Milano
http://www.oltrelinux.com/workshop/
</pubblicita' spudorata di un evento a pagamento in cui sono relatore>