[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Maggio 2002 ml@sikurezza.org Soggetto: Re: Falsi positivi Mittente: Salvatore Basso Data: 31 May 2002 11:07:26 -0000
Ciao, io posso solo confermare la tua impressione, sto' usando Snort al fine
di verificare eventuali "falle" su una macchina che ospita un server http in
ambiente windows protetto da un firewall, e posso dire di aver ottenuto solo
"falsi positivi" che mi lasciano davvero perplesso !
Buon lavoro.
-Salvatore.
----- Original Message -----
From: "~MeRliNo" <merlino@ghostbbs.cx>
To: <ml@sikurezza.org>
Sent: Wednesday, May 29, 2002 2:42 PM
Subject: Falsi positivi
> Ciao,
> Ho una questione da sottoporVi, problematica importante se inserita alla
luce del
> "grande" movimento commerciale che ruota nel mondo della Security.
>
> Oggi ho iniziato alcuni security probe definendo degli host "campione" sia
nella LAN
> che sul perimetro. L'attivita' intrapresa e' principalmente mirata alla
definizione dei
> prodotti da utilizzare per eseguire questo tipo di test. E' mia intenzione
affiancare un
> prodotto commerciale con un prodotto OpenSource e questo per avere una
visione
> d'insieme completa ed asettica. Sono partito con Nessus e Retina e sono
giunto ad
> ottenere dei risultati a dir poco inquietanti per i falsi positivi.
> Le macchine sono nella DMZ e quindi sono protette da un FW di tipo
Statefull
> Inspection.
>
> Analisi del Web Server:
> Nessus come applicativo sembra decisamente piu' realistico mentre Retina
ha dato
> dei report con diversi falsi positivi. L'host che ho esaminato, esposto
sul perimetro
> internet, da Retina e' stato analizzato ed il report mi ha segnalato un
problema sul
> PHP, in particolare la questione del file_upload, invitandomi ad
aggiornare il PHP.
> La realta' mi dice che il PHP era stato regolarmente patchato all'epoca
del rilascio
> della security fix e non solo visto che il file_upload e' regolarmente
disabilitato nel
> file /etc/php.ini
>
> Analisi del relay SMTP:
> In questo caso Retina non ha segnalato problemi di sorta mente Nessus si
e' un po
> incartato ed ha addirittura segnalato un bug di Sendmail 5.0.
>
> In entrambe i casi ne nessus ne retina hanno riconosciuto il sistema
operativo
>
> Conclusioni:
> Se volevo avere qualche riscontro "ogettivo" ed un po di chiarezza ho
ottenuto un
> risultato davvero sconfortante e confuso. Ho sempre piu' l'impressione che
la
> security sia sempre, piu' un meno, un problema di marketing e che alcuni
report
> vengano opportunamente forzati per indurre i consumatori (in questo caso
le
> Aziende) ad investire su soluzioni che poi, alla luce dei fatti, non
servono poi a
> molto. Insomma il report serve al commerciale per vendere supporto e
consulenza.
> Il mio problema rimane cmq affiancare Nessus con un prodotto commerciale
> affidabile e non so piu' dove sbattere la testa.
> Voi cosa ne pensate?
>
>
>
>
>
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>
>
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005