CORE SDI (was: pen test blah blah blah)

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Luglio 2001 ml@sikurezza.org
Soggetto: CORE SDI (was: pen test blah blah blah)
Mittente: Rodolfo G. Rosini
Data: 30 Jul 2001 08:24:29 -0000

Ciao,

non commento sull topic legato al pen test, in quanto e' un argomento 
troppo soggettivo, ma voglio dare la mia impressione sulla proposta dei 
CORE SDI e su loro software (che ad oggi nessuno ha ancora visto, dato che 
hanno parlato senza dare aluna proof of concept).

La loro idea e' quella di automatizzare i pen test avendo un software, una 
sorta di worm, che buca le macchine a ripetizione in maniera da non fare un 
semplice vulnerability assessment esterno ma andare automaticamente a tutti 
i livelli  scalando i privilegi in automatico.

Uno degli elementi necessari nel pen test e' poter ripulire le macchine 
dopo aver fatto i danni, quindi poter segnalare nei log quello che hai 
combinato tu, cancellare gli account bogus e cosi' via (ED EVITANDO DI 
FARSI BUCARE LA MACCHINA DEL CLIENTE DURANTE UN PEN TEST!!! come e' 
successo ad qualcuno iscritto alla ML).
Il software di Core SDI fallisce nella parte di pulizia e di attacco 
contestuale, cioe':

/ pulizia
pulire i log non puo' venire fatto automaticamente, in alcuni casi non lo 
puoi proprio fare, cosi' dai al cliente la possibilita' di capire come hai 
fatto ad aggirare le sue "difese"

/correlazione
talvolta un semplice nome del server (tipo 
databasecartedicredito.dominio.com) puo' farti capire molto a riguardo del 
tuo target.
fare la scalata dei privilegi in automatico richiede smaronarsi un bel po' 
di codice multipiattaforma e qui viene da chidersi se il gioco vale la candela.

in sostanza la mia opinione e' che l'idea sia buona dato che in passato una 
multinazionale mi ha chiesto se esisteva una cosa identica (ed erano 
veramente convinti di usarla), quindi un mercato c'e'. Da un punto di vista 
prettamente tecnico non mi fa impazzire, ma prima di giudicare vorrei 
vedere. L'opinione e' rafforzata dalla capacita' tecnica dei CORE SDI, che 
e' molto alta.

il sito dove posteranno le slide (io le ho solo in formato cartaceo e senza 
alcune parti, ma se non vivete senza vi posso fare le fotocopie) e' 
http://www.corest.com/


PS qualcuno ha scritto che sono argentini. sono brasiliani. hanno un 
ufficio di rappresentanza anche in argentina.
PPS hanno appena cambiato nome da CORE SDI a CORE Security Technologies.


Saluti
-Rodolfo


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: NAT vs. Socks, round 2 (was: esiste un proxy UDP decente per linux?), Giuseppe Paterno'
- successivo: Re: Webserver stresssss, Zen
- indice

Argomento:
- precedente: Re: NAT vs. Socks, round 2 (was: esiste un proxy UDP decente per linux?), Fabio Pietrosanti (naif)
- successivo: Re: CORE SDI (was: pen test blah blah blah), hopes
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005