On 15/01/13 07:58, Nick wrote: > Approfitterei comunque per riprendere "filosoficamente" due concetti > facendo a Koba (che scrive sempre poco) due domande: > - qual' è il senso di un Penetration test ? > - ha senso farselo in casa ? > Inoltre mi piacerebbe valutare con la lista: > - oggi come si riconoscono i cioccolatai ? > - quali strumenti possono essere utili a un CTO per valutare che c'e' la > necessità di un PT ?
mi inserisco un filo in ritardo, chiedo scusa. piuttosto che rispondere direttamente, punto per punto, preferisco sparigliare il mazzo con un punto di vista ulteriore, vagamento polemico e, spero, un filo laterale. praticamente tutte le sistematizzazioni e categorizzazioni in uso negli ultimi dieci anni hanno trasformato, almeno a livello mediatico, aziendale e purtroppo finanche accademico, i penetration test in meri e banali VA con verifica manuale (magari, non sempre) e sfruttamento delle vulnerabilità rilevate (magari, non sempre). allo stesso modo, dei tiger team di odore militare non rimane ormai che il nome, avendo perso quasi ogni connotato degli obiettivi originari. volendo disquisire a livello di sistematica e accademia, un PT, come minimo, dovrebbe indagare la concreta plausibilità di vettori all'interno della superficie di attacco esposta da un sistema. putroppo, la fama di nmap ha avuto pesanti ricadute sulle prime fasi operative che, dai tempi del libro Hacking Exposed, hanno trasformato le fasi di discovering ed enumeration, in un mero.... nmap. Il che vuol dire, in soldoni, che i sistemi sono, nella migliore delle ipotesi, indirizzi IP. Nella peggiore, purtroppo, il "server X in sala macchine Y, con admin Z". Ora sono solo io, magari, a trovarmi stretto in questo scenario. Ma un piccolo sguardo al passato, dalla fine degli anni '80 alla fine degli anni '90, creò le basi, partendo da attacchi mirati a singoli servizi, del cosiddetto exploit chaining che, nonostante libri, articoli e giornalisti impenitenti, ancora non viene ben compreso da quasi nessun CTO. Sappiamo tutti che quasi ogni anno alcune vulnerabilità LOW di IE e/o Firefox, uscite nei mesi 2, 4 e 9, se non patchate e presenti insieme, permettono nel mese 11 la comparsa di una vuln di tipo HIGH. Eppure, discorsi come questo si risolvono da un lato con il patching automatizzato (stile Windows Update) e dall'altro vengono semplicemente ignorati quando si parla di reti aziendali. Parliamoci chiaramente: così come spesso le certificazioni ISO o il deployment di SAP sono l'anticamera della quotazion in borsa, allora anche i bollini verde, giallo e rosso di Nessus sono più che sufficienti anche in un report di un PT. Ma quanti descrivono davvero superfici e vettori di attacco? In Italia: ben pochi, per non dire praticamente nessuno. Uff. Eppure il concetto militare di tiger team avrebbe dovuto ispirarci meglio. Alcuni dei PT di cui ricorderò sempre, quelli che davvero sono risultati interessanti, soddisfacenti e vincenti dal mio punto di vista, hanno portato a furto/modifica dei dati, escalation a super utenza in intere foreste, controllo completo di una rete aziendale, laddove nessus, metasploit, canvas e core impact avevano mostrato SOLO bollini verdi e gialli senza nessun exploit utilizzabile; dove le password erano complesse e le policy seguite da un vero enforcement; dove l'hardening era un processo, non una parola inglese. Ora, nella sicurezza fisica ad un certo livello, non si valuta l'intrusione in un centro protetto mediante bollini colorati e separati tra loro su: - serratura del cancello dei fattorini - serratura del portono pedonale - anti-tampering del citofono - anti-tampering della telecamera all'ingresso - ecc. ecc. Anche perchè: come si chiama il portiere della domenica mattina? Prende mai il caffè con il tizio di SDA? Dove finiscono i rifiuti? Come si chiama l'agente di zona TIM/VODAFONE/H3G/WIND che ha fornito le sim aziendali? L'APN è segregato? Quali sono i requisiti pre-assunzione dei giardinieri? Chi cancella in maniera sicura gli hard-disk nella ditta con contratto di supporto delle stampanti di rete da ufficio? E altre mille domande. Eppure, nel nostro campo, tutto tace. Da anni. E il PT non si più realmente cosa sia, nella testa di fornitori e clienti. E, per le più svariate e magari legittime motivazioni, è scomodo e poco desiderato. Di sicuro *NON* è capito, poveretto :-) Ora, magari, ditelo a Bruce Schneier ed ai suoi Attack Tree. f. -- [:: FuSyS pub 1024D/B8FC37F9 2002-09-03 <[email protected]> YES. It seems today I don't have anything better to do. Go figure. GU/GCM d- sC++ UL+++>UL++++ E--- W-/W-- N+ w O++@ Y+ GPG+++ t++@ b++ Public Key at http://www.s0ftpj.org/misc/fusys.asc ::] ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
