Quando un cgi-scan diventa pericoloso

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Giugno 2002 ml@sikurezza.org
Soggetto: Quando un cgi-scan diventa pericoloso
Mittente: s1r
Data: 3 Jun 2002 11:13:50 -0000

Assurdo, se visto nell'insieme quasi una barzelletta: essere rimossi da una
consulenza per un cgi-scan andato male.
Sono un consulente e, per commessa, mi trovavo presso il cliente. Premetto
che su questa commessa non mi occupo di security ma di monitoaggio di un
paio di cluster.
Provando un prodotto per lo scan di problemi cgi su (N-Stealth) ho fatto la
cretinata di sbagliare IP (tipo 10.11.1.1 invece di 10.1.1.1, una macchina
Linux con Apache che stavo testando) e mi sono ritrovato a fare una botta di
1200 tentativi CGI sul server....e dire che appena mi sono accorto che mi
rispondeva un IIS invece di un Apache ho dubitato, fatto un trace e mi sono
reso conto che era il proxy aziendale!!!
Al pomeriggio vado via, arrivo a casa e mi arriva un SMS "Stanno
controllando tutto...sono partiti 1200 attacchi dal tuo pc!" ...non vi dico
la serie di telefonate e controtelefonate, spiegazioni al responsabile,
informazioni sul programma e su ogni cosa possibile....alle ore 19.00
ennesima chiamata " Sig. xxx, da lunedì lei è rimosso dall'incarico, ci
incontreremo dal cliente (dove lei potrà girare solo accompagnato) per
ritirare le sue cose"...e una promessa di avere una nuova commessa entro
10giorni.

Ora...immagino tutti i campanelli d'allarme saltati sui monitor degli
addetti alla Security, ma la risposta mi sembra un pò eccessiva (non avevo
mai tentato nulla di strano..prima volta) soprattutto vista la totale
assenza di sicurezza fino a quel momento.
Appena arrivato, acor prima di avere miei dati, nomi e numeri, mi hanno dato
5 root di 5 sistemi importantissimi per alcuni servizi nazionali (ci
lavoravo), non mi è stato dato nessun tipo di politica aziendale ..ogni
client era installato a piacimento dell'utilizzatore..Linux, FreeBsd,
Solaris, Win2k, WinXp...addirittura dei WinME.
Unica security era la restrizione dei siti non ritenuti di interesse
aziendale (xxx, *rez e simili).
Alla fine, la motivazione per cui mi hanno allontanato è "Lei non era
autorizzato ad utilizzare programmi non autorizzati dall'azienda"...e non ho
mai ricevuto una lista/share da cui prelevare il sw approvato.

Cosa ne pensate?





________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: Quando un cgi-scan diventa pericoloso, Raistlin

Data:
- precedente: Re: Fastweb... + altra domanda su "proxy al contrario", Andrea Trentini
- successivo: Re: keyen.txt, Lonely Wolf
- indice

Argomento:
- precedente: R: Fastweb... + altra domanda su "proxy al contrario", Daniele
- successivo: Re: Quando un cgi-scan diventa pericoloso, Raistlin
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005