Falsi positivi

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Maggio 2002 ml@sikurezza.org
Soggetto: Falsi positivi
Mittente: ~MeRliNo
Data: 29 May 2002 17:02:24 -0000

Ciao,
Ho una questione da sottoporVi, problematica importante se inserita alla luce del 
"grande" movimento commerciale che ruota nel mondo della Security.

Oggi ho iniziato alcuni security probe definendo degli host "campione" sia nella LAN 
che sul perimetro. L'attivita' intrapresa e' principalmente mirata alla definizione dei 
prodotti da utilizzare per eseguire questo tipo di test. E' mia intenzione affiancare un 
prodotto commerciale con un prodotto OpenSource e questo per avere una visione 
d'insieme completa ed asettica. Sono partito con Nessus e Retina e sono giunto ad 
ottenere dei risultati a dir poco inquietanti per i falsi positivi.
Le macchine sono nella DMZ e quindi sono protette da un FW di tipo Statefull 
Inspection.

Analisi del Web Server:
Nessus come applicativo sembra decisamente piu' realistico mentre Retina ha dato 
dei report con diversi falsi positivi. L'host che ho esaminato, esposto sul perimetro 
internet, da Retina e' stato analizzato ed il report mi ha segnalato un problema sul 
PHP, in particolare la questione del file_upload, invitandomi ad aggiornare il PHP. 
La realta' mi dice che il PHP era stato regolarmente patchato all'epoca del rilascio 
della security fix e non solo visto che il file_upload e' regolarmente disabilitato nel 
file /etc/php.ini

Analisi del relay SMTP:
In questo caso Retina non ha segnalato problemi di sorta mente Nessus si e' un po 
incartato ed ha addirittura segnalato un bug di Sendmail 5.0.

In entrambe i casi ne nessus ne retina hanno riconosciuto il sistema operativo

Conclusioni:
Se volevo avere qualche riscontro "ogettivo" ed un po di chiarezza ho ottenuto un 
risultato davvero sconfortante e confuso. Ho sempre piu' l'impressione che la 
security sia sempre, piu' un meno, un problema di marketing e che alcuni report 
vengano opportunamente forzati per indurre i consumatori (in questo caso le 
Aziende) ad investire su soluzioni che poi, alla luce dei fatti, non servono poi a 
molto. Insomma il report serve al commerciale per vendere supporto e consulenza.
Il mio problema rimane cmq affiancare Nessus con un prodotto commerciale 
affidabile e non so piu' dove sbattere la testa.
Voi cosa ne pensate?






________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: Falsi positivi, Marco Ivaldi
- Re: Falsi positivi, Salvatore Basso
- Re: Falsi positivi, Zen
- Re: Falsi positivi, Massimo Brogioni

Data:
- precedente: Re: Controllo del traffico, Marco
- successivo: Autenticazioni Biometriche, Mirco Sadocco
- indice

Argomento:
- precedente: Re: wireless local loop, Colombo Simone
- successivo: Re: Falsi positivi, Massimo Brogioni
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005