Re: Falsi positivi

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Maggio 2002 ml@sikurezza.org
Soggetto: Re: Falsi positivi
Mittente: Federico Lombardo
Data: 31 May 2002 16:32:18 -0000

Ragazzi vi invito a ricordare che nessus, retina sono dei tester remoti, ed
in quanto tali non possono rendersi effettivamente conto di cosa "sta
succedendo" sulla macchina attaccata, questo è il motivo di alcuni falsi
positivi.

Snort addirittura è un analizzatore di rete ed in quanto tale non può
rendersi conto "da solo" di quello che effettivamente succede sulla macchina
destinazione del traffico preso in considerazione. La questione dei falsi
positivi  in questo caso è unicamente inerente alle rule, non è colpa di
snort ed a questo proprosito gli esempi si sprecano.

Tali tool infatti sono fatti apposta per fare una "panoramica" sulle
problematiche di sicurezza di rete.

Personalmente penso che il vero security auditing tool sia dentro di noi;
ognuno di noi infatti quando apre alla rete un nuovo server, sa
perfettamente quali e quanti servizi sta erogando. Preso atto di questo
basterà fare uno studio attento delle problematiche inerenti le nostre
competenze.

Es.

ho un server con sopra un Http con php e un smtp, naturalmente che io gli
lanci contro tutto un nessun serve ben a poco... prenderò prima di tutto
tool specifici, ma soprattutto cercherò tutti i possibili problemi che
potenzialmente possono affliggere i miei servizi.

La vera utilità di nessus, retina etc. etc. sono i test per i DoS e DDoS e
per dare una "ricontrollata" finale all'hardening che abbiamo fatto (nota la
frase del rigo sopra) per tutti gli altri test, loro fanno tentativi
"generici" non possiamo certo rimanerci male se creano i cosiddetti "falsi
positivi".

La mia naturalmente è soltanto una opinione.

Baci, Federico.

----- Original Message -----
From: "Salvatore Basso" <sasab@pixteam.com>
To: <ml@sikurezza.org>
Sent: Wednesday, May 29, 2002 7:41 PM
Subject: Re: Falsi positivi


> Ciao, io posso solo confermare la tua impressione, sto' usando Snort al
fine
> di verificare eventuali "falle" su una macchina che ospita un server http
in
> ambiente windows protetto da un firewall, e posso dire di aver ottenuto
solo
> "falsi positivi" che mi lasciano davvero perplesso !
> Buon lavoro.
>
>        >
>
>
>
> ----- Original Message -----
> From: "~MeRliNo" <merlino@ghostbbs.cx>
> To: <ml@sikurezza.org>
> Sent: Wednesday, May 29, 2002 2:42 PM
> Subject: Falsi positivi
>
>
> > Ciao,
> > Ho una questione da sottoporVi, problematica importante se inserita alla
> luce del
> > "grande" movimento commerciale che ruota nel mondo della Security.
> >
> > Oggi ho iniziato alcuni security probe definendo degli host "campione"
sia
> nella LAN
> > che sul perimetro. L'attivita' intrapresa e' principalmente mirata alla
> definizione dei
> > prodotti da utilizzare per eseguire questo tipo di test. E' mia
intenzione
> affiancare un
> > prodotto commerciale con un prodotto OpenSource e questo per avere una
> visione
> > d'insieme completa ed asettica. Sono partito con Nessus e Retina e sono
> giunto ad
> > ottenere dei risultati a dir poco inquietanti per i falsi positivi.
> > Le macchine sono nella DMZ e quindi sono protette da un FW di tipo
> Statefull
> > Inspection.
> >
> > Analisi del Web Server:
> > Nessus come applicativo sembra decisamente piu' realistico mentre Retina
> ha dato
> > dei report con diversi falsi positivi. L'host che ho esaminato, esposto
> sul perimetro
> > internet, da Retina e' stato analizzato ed il report mi ha segnalato un
> problema sul
> > PHP, in particolare la questione del file_upload, invitandomi ad
> aggiornare il PHP.
> > La realta' mi dice che il PHP era stato regolarmente patchato all'epoca
> del rilascio
> > della security fix e non solo visto che il file_upload e' regolarmente
> disabilitato nel
> > file /etc/php.ini
> >
> > Analisi del relay SMTP:
> > In questo caso Retina non ha segnalato problemi di sorta mente Nessus si
> e' un po
> > incartato ed ha addirittura segnalato un bug di Sendmail 5.0.
> >
> > In entrambe i casi ne nessus ne retina hanno riconosciuto il sistema
> operativo
> >
> > Conclusioni:
> > Se volevo avere qualche riscontro "ogettivo" ed un po di chiarezza ho
> ottenuto un
> > risultato davvero sconfortante e confuso. Ho sempre piu' l'impressione
che
> la
> > security sia sempre, piu' un meno, un problema di marketing e che alcuni
> report
> > vengano opportunamente forzati per indurre i consumatori (in questo caso
> le
> > Aziende) ad investire su soluzioni che poi, alla luce dei fatti, non
> servono poi a
> > molto. Insomma il report serve al commerciale per vendere supporto e
> consulenza.
> > Il mio problema rimane cmq affiancare Nessus con un prodotto commerciale
> > affidabile e non so piu' dove sbattere la testa.
> > Voi cosa ne pensate?
> >
> >
> >
> >
> >
> >
> > ________________________________________________________
> > http://www.sikurezza.org - Italian Security Mailing List
> >
> >
>
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- Falsi positivi, ~MeRliNo
- Re: Falsi positivi, Salvatore Basso

Data:
- precedente: Re: keyen.txt, Igor Falcomata'
- successivo: Re: Woody e Freeswan, walter valenti
- indice

Argomento:
- precedente: Re: Falsi positivi, Salvatore Basso
- successivo: Re: Falsi positivi, Marco Ivaldi
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005