2013/3/30 Stefano Zanero > Le AET sono, in gran parte, rifrittura con un nuovo nome commerciale di > cose note e arcinote > [...]
> In buona sostanza questo vendor ha riscoperto l'acqua tiepidina e ora ci > marcia. A buon titolo, peraltro, visto che gran parte dei prodotti > ancora soffre di queste vulnerabilita' note da un decennio. > Ho avuto modo di osservare in una demo il loro tool di "AET" e la prima impressione che ho avuto ? che avessero fatto un packaging di "fragroute" in una interfaccia web... gliel'ho anche esplicitamente chiesto, mi hanno risposto "? vero ma c'? anche altro". Il paper rilevante secondo me ? quello citato da Stefano sotto: http://insecure.org/stf/secnet_ids/secnet_ids.html > > advisory CERT-FI che trovate a questo link: > > http://www.cert.fi/en/reports/2010/vulnerability385726.html. > In molti hanno criticato la "legittimit?" di questo "advisory". Non mi esprimo oltre ma viene dal CERT finlandese, esattamente come coloro che vorrebbero offrire un prodotto per bloccare questa vulnerabilit?... [...] > Il problema base e' che l'idea stessa di IDS e IPS misuse based e' > soggetta, in modo INEVITABILE (come dimostrarono Ptacek e Newsham nel > 1998, http://insecure.org/stf/secnet_ids/secnet_ids.html) all'evasione. > Secondo me al giorno d'oggi ? possibile creare sistemi molto pi? sicuri, semplicemente perch? quasi tutto viaggia via HTTP(S) e quindi intrinsecamente la sequenza IP perde di significato, dato che si pu? analizzare il traffico ad un layer superiore (quello applicativo) e quindi ci sono molte meno possibilit? di frammentazione ed evasione. In tempi in cui tutto si sposta verso l'HTTP ed in cui bisogna "fare di pi? con meno risorse" credo che la pi? coerente risposta all'"AET" sia quella di obbligare tutti ad usare comunque l'HTTP e spostarsi da sistemi come gli IDS/IPS ai Web Application Firewalls, che hanno anche la capacit? di capire la logica applicativa. [...] > Allo stesso modo, tuttavia, non mi baserei sulla "capacita' di > prevenire" un insieme di attacchi da loro stessi inventato per valutare > un prodotto di security :-) > Ovviamente, quello che notai all'epoca della demo ? che loro emulavano diversi IDS/IPS (potevi scegliere da un menu a tendina quale IDS/IPS usare - questo s? che ? interessante, in verit?!) e ti faceva vedere come diversi sistemi riuscivano a bloccare diverse percentuali degli attacchi, ovviamente il "loro" sistema raggiungeva il 100% ed ovviamente non avevano mai l'ultimo firmware dei concorrenti... Cordiali saluti -- Marco Ermini root@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!"
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
