gat

sempre relativamente al GAT e al loro monitoraggio della rete, recentemente
una persona (che ha chiesto di rimanere anonima) mi ha raccontato una storia
che recita + o - cosi' (+ o - perche' e' passato qualche gg. e non ricordo
esattamente):

Ha ricevuto una mail simile a quella di cui stiamo parlando (mail con
segnalazione di defacement + pdf + nmap output). Ha controllato il sistema
ed i log e ha concluso che non era stato defaciato ne' penetrato,
semplicemente qualcuno aveva segnalato il dominio a alldas.de (noto sito che
mirrora i web defaciati) a causa della grafica/contenuto del sito stesso
(un po' particolari). 

Dall'analisi dei log inoltre risultava che le visite subito prima della mail
provenienti dall'italia avevano alldas come referrer, e l'unico portscan
ricevuto proveniva sempre da alldas.

Quindi, in conclusione, lui ritiene che il "defacement" del suo server lo
abbiano appreso da alldas.

--- fine della storiella ---

Ora, da questo emergono IMHO due cose:

1) e' improbabile che monitorizzino tutti i .it alla ricerca di modifiche
(paranoia pura, ci sarebbero centinaia di modifiche al giorno) o anche solo
di 0wn3d h4ck3d etc. etc.

1bis) personalmente quando questi signori parlano di monitoraggio avanzato
mi viene da ridere, ripensando - e ve lo avevo anche gia' raccontato - alla
panzana sparata da un qualche funzionario della polizia postale e riportata
dall'ansa dopo la vicenda dei ddos vs yahoo & soci ("in italia una cosa del
genere non sarebbe mai potuta accadere grazie ad un continuo ed efficente
monitoraggio della rete blah blah") o a qualche servizio in tv dove c'erano
dei tizi che "monitoravano attentamente l'attivita' degli hacker" con un
client mirc aperto su #cybernet e anche valutando quanto sia difficile
mettere in atto questo tipo di monitoraggi _efficacemente_

2) magari lo fanno su qualche sito istituzionale, e gia' con quella
quantita' non e' per niente semplice (anche se magari si limitano solo alle
home)

3) come ha piu' senso, si leggono alldas.de, safemode.org etc. e aspettano
che siano i defaciatori stessi a segnalare cosa e' stato defaciato

3bis) personalmente ritengo - e anche questo mi sembra di averlo gia' detto
- che il defacement sia solo la punta dell'iceberg di un scarsissima
attenzione che c'e' in italia, anche da parte dei "big", alle questioni di
security. Certo un defacement non e' bello, pero' almeno il break-in viene
scoperto e puo' essere fixato (anche se la cosa non e' automatica, leggendo
appunto i vari alldas & co., si vedono macchine che vengono defaciate
2-3-4-10-nn volte). Molto piu' gravi quei break-in che non vengono scoperti
e/o segnalati.

4) benvenga che il GAT o chicchessia si muova per questo genere di cose, ma
magari un po' meno protagonismo giornalo-televisivo (si, mi piace coniare
neologismi, ok?) e un po' piu' di attenzione alle tematiche concrete, magari
con le realta' che lavorano su queste cose (non mi sembra di aver mai letto
post di questi signori qui, oppure su teach-sicurezza, sulle ml del cert-it,
etc. etc.) forse non guasterebbe. Per esempio stabilire una procedura
"italiana" per l'incident handling (chi, cosa, dove, come, quando, perche',
a chi, etc.) e diffondere questa negli ambienti dove serve (invece che sulle
riviste di costume) potrebbe essere un inizio.

5) questo thread, salvo novita' interessanti, sarebbe il caso che si
concludesse :)

bye,
Koba (moderatore)

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List