[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Agosto 2003 ml@sikurezza.org Soggetto: Re: Script per 'security update check' Mittente: Andrea Iacopini Data: 22 Aug 2003 17:57:52 -0000
Mi sembra che la faccenda non riguardi una soluzione che-faccia-tutto-da-sè, piuttosto un qualcosa che mi avverta se è successo qualcosa. Ho messo/sto mettendo in piedi qualcosa di simile con degli script che analizzano il traffico di bugtraq e greppano le mail alla ricerca di pattern definiti che rispecchiano in qualche modo il mio IT asset; ad esempio, abbiamo Solaris con Iplanet ? e bene il grep cercherà 'ste stringhe all'interno dell'incoming box. La cosa è tanto più facilitata quando i vendor/sviluppatori usano dei pattern definiti per il subject dei loro advisory: mi viene in mente al volo Debian che usa un pattern nel subject del tipo ' [Full-Disclosure] [SECURITY] [qualcosa] 'titolo del advisory' ', ma è solo un esempio di basso livello. E' chiaro che tanto più è fine il filtro tanto più i "falsi positivi" sono ridotti al minimo; in una pippa immensa giusto per esercitazione, magari applicando i filtri bayesiani o simili, possiamo fare delle cose molte "fini". E' chiaro che le raccomandazioni del personale sempre attento e limitare i prori servizi solo a quelli usati davvero penso siano pleonastici. :-) just my 2 euro cents. Regards, A. ======================================================================== Andrea Iacopini, Technology Solutions, Networking and Security Competence Center REALTECH Italia S.p.A. - Technology drives e-Business Via Paolo di Dono, 73 - 00142 Roma, Italy andrea.iacopini@xxxxxxxxxxx Mobile + 39 335 123.44.93 Tel. +39 06 51.95.981, Fax. +39 06 51.96.36.74 ======================================================================== Valued IEEE Member, Member NO: 41412812 Real hackers don't die, just their TTL expires. [Unknown] ----- Original Message ----- From: "Claudio" <Claudio.Panichi@xxxxxxxxxxxxx> To: <ml@xxxxxxxxxxxxx> Sent: Thursday, July 31, 2003 12:31 PM Subject: Re: Script per 'security update check' > > [...] > > >> le cose vanno male? O peggio ancora: è un bug sul kernel o su un > >> software non installato via apt? > > > > e se monitorando quelle mailing list trovi qualche fake? e se ti fanno > > installare una patch che introduce nuovi bug di sicurezza? e se invece > > di installare qualcosa di testato (come sono gli update di debian) > > installi qualche pacchetto che ti puo' mettere in serio pericolo > > l'integrita' della macchina ? etc...etc.. > > Infatti io _non_ farei fare gli updates automaticamente! Da nessun tool. > E non vorrei monitorare "solo" bugtraq, ma più fonti e soprattutto > moderate: non basta un fake di qualcuno che vuole buttare giù un servizio, > ma ci vuole ad esempio un advisory del CERT o simile. > > > >> Io vorrei al limite (realizzare?) uno script che scaricando SOLO gli > >> advisories prendesse contromisure in base ad impostazioni definite > >> dall'amministratore. > > > > scusami sei molto ambiguo. realizzi questo script ok, ti scarichi SOLO > > gli advisory, e dopo che ci fai ? apt-get (tanto per fare un esempio) > > fa la stessa cosa che desideri tu. appena esce un adv, patchano il > > pacchetto e tu non fai altro che aggionare fixando il vecchio bug. > > Ok, probabilmente mi sono spiegato male. > Il punto è: lo script _non_ deve per forza fare upgrade, piuttosto deve > poter eseguire comandi "arbitrari", tipo impostare una regola con > iptables, chiudere un servizio che magari non è critico per chi usa il > server etc. etc. > Esempio pratico: ho un file-server dove gli utenti mettono le copie di > backup dei loro dati. Possono accedervi via sftp/ftp/samba/netatalk, ed > usano https per cambiarsi la password e vedere la quota disco. Io sto in > vacanza ed esce un advisory su netatalk. Lo script "vede" il problema, > manda una mail all'account amministrativo cosicché qualcuno (un mio > collega presente od io al rientro) vede che _qualcosa_ è stato fatto, e > prende una contromisura che io avrò preventivamente deciso, > dipendentemente da quanto quel servizio è importante. Posso decidere che > lo script spenga netatalk perché tanto l'utente ha altri 3 modi per > accedere ai dati. > Tutto questo avviene *prima* che apt trovi un update dispolibile! > > > > che cosa intendi per "contromisure in base ad impostazioni definite > > dall'amministratore?". l'amministratore quando trova un bug su un > > determinato demone non puo' far altro che aggiornare il pacchetto, > > questa e' la contromisura. che altro vorresti fare? > > Quella che ho esposto sopra: disattivare un servizio, mandare una regola > con iptables, settare un parametro nel kernel tipo echo 1 > > /proc/attiva/regola o qualsiasi altra cosa che, dipendentemente dalle > caratteristiche del server, l'amministratore avrà preventivamente deciso. > > Spero di essermi spiegato meglio ;-) > > Claudio > > > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005