[ml] Attacchi al DNS

[Lorenzo Mainardi]

Buongiorno a tutti,
gestisco un paio di server DNS caching per circa 10.000 utenti ADSL.
Da un paio di settimane ho iniziato a monitorare le richieste DNS con ELK e
mi sono accorto che circa il 25% di richieste sono richieste di tipo A che
richiedono a.root-servers.net. Gli IP provengono da diversi indirizzi,
senza una particolare distribuzione.

Si tratta di un'attività anomala o è normale?
Suppongo che nessuno (o quasi) dei miei clienti abbia un DNS ricorsivo in
casa.
Che posso fare? è lecito bloccare sui miei server a.root-servers.net?


-- 
LORENZO MAINARDI
http://blog.mainardi.me

Re: [ml] Fail2Ban

[0dev]

typo: Evita di usare porte standard


On 13/09/2016 15:06, 0dev wrote:
>
> Ciao, utilizzando l'autenticazione con coppia di chiavi risolveresti
> totalmente il problema della gente che ti scanna ssh e soprattutto,
> evita di usare porte non standard. Inoltre se su fail2ban setti il
> bantime a -1 automaticamente l'ip verrà bannato permanentemente.
> Dai uno sguardo qui:
>
> https://arno0x0x.wordpress.com/2015/12/30/fail2ban-permanent-persistent-bans/
>
>
> On 11/09/2016 10:40, Marco Bettini wrote:
>>
>> Buon giorno a tutti, ho un server che in questo periodo é fortemente
>> sotto attacco. Allego screenshot delle notifiche di ban di fail2ban (
>> scusate la stupida ripetizione ) ricevuti in un arco di 2min.
>>
>> Dopo un po di giorni di scansioni perdo il controllo del server e
>> devo ricorrere al reset fisico.
>>
>> Fino ad oggi ho sempre attribuito la perdita di controllo del server
>> a qualche processo in starvation che consumava tutte le risorse ma
>> ora non ne sono più molto sicuro.
>>
>> Avete qualche idea su come poter scoprire se questo sia un attacco
>> DOS sul server invece che un semplice scan delle password?
>>
>> Grazie e buona domenica a tutti
>>
>> Marco Bettini
>>
>> --
>> Google+: google.com/+MarcoBettini 
>> LinkedIn: http://www.linkedin.com/in/bettinim
>> --
>> Il contenuto di questa e-mail è strettamente personale ai sensi della
>> legge 196/03. Ogni abuso potrà essere perseguito legalmente.
>> --
>> Solo il 10% di UNIX e' in codice assembly il resto e' C!!
>> Only about 10 % of UNIX is assembly code the rest is C!!
>>
>>
>>
>
> -- 
> PGP key  

-- 
PGP key  

Re: [ml] Fail2Ban

[0dev]

Ciao, utilizzando l'autenticazione con coppia di chiavi risolveresti
totalmente il problema della gente che ti scanna ssh e soprattutto,
evita di usare porte non standard. Inoltre se su fail2ban setti il
bantime a -1 automaticamente l'ip verrà bannato permanentemente.
Dai uno sguardo qui:

https://arno0x0x.wordpress.com/2015/12/30/fail2ban-permanent-persistent-bans/


On 11/09/2016 10:40, Marco Bettini wrote:
>
> Buon giorno a tutti, ho un server che in questo periodo é fortemente
> sotto attacco. Allego screenshot delle notifiche di ban di fail2ban (
> scusate la stupida ripetizione ) ricevuti in un arco di 2min.
>
> Dopo un po di giorni di scansioni perdo il controllo del server e devo
> ricorrere al reset fisico.
>
> Fino ad oggi ho sempre attribuito la perdita di controllo del server a
> qualche processo in starvation che consumava tutte le risorse ma ora
> non ne sono più molto sicuro.
>
> Avete qualche idea su come poter scoprire se questo sia un attacco DOS
> sul server invece che un semplice scan delle password?
>
> Grazie e buona domenica a tutti
>
> Marco Bettini
>
> --
> Google+: google.com/+MarcoBettini 
> LinkedIn: http://www.linkedin.com/in/bettinim
> --
> Il contenuto di questa e-mail è strettamente personale ai sensi della
> legge 196/03. Ogni abuso potrà essere perseguito legalmente.
> --
> Solo il 10% di UNIX e' in codice assembly il resto e' C!!
> Only about 10 % of UNIX is assembly code the rest is C!!
>
>
>

-- 
PGP key  

Re: [ml] Valutazione backend per autenticazione a due fattori.

[Sandro Fontana]

ciao,

la ns azienda ha sviluppato una piattaforma per la gestione OTP su mobile (e 
desktop)
[ www.q-id.net]   Forniamo un kit completo di libreria centrale e  5 token 
virtuali completamente gratuito

Se ti puo’ interessare scrivimi in privato

S

> Il giorno 09 set 2016, alle ore 21:36, alberto  ha 
> scritto:
> 
> Ciao,
> sto iniziando a valutare l'implementazione e l'integrazione di sistemi di 2FA 
> per i servizi che eroga il gruppo per cui lavoro.
> 
> Il progetto su cui mi sto soffermando maggiormente e' il recente (2014)  
> PrivacyID3A di Cornelius Kolbel che immagino conosciate per il precedente 
> LinOTP, di cui PrivacyID3A e' un fork.
> 
> C'e' qualcuno che lo conosca e lo utilizzi? Pareri, suggerimenti? 
> Credo possa essere interessante anche un confronto con altri progetti di 2FA 
> che ritenete degni di nota.
> 
> FYI, non ho ancora avuto un mese di tempo per leggermi tutto il sito di 
> OpenOTP!;-)
> 
> Grazie,
> a.
> 

Sandro Fontana,  
Founder | GT50
mobile: +39 335 8125031  skype/twitter: sinetqnlap
http://www.linkedin.com/in/sfontana


--
Questo messaggio e' stato analizzato da Libra ESVA ed e' risultato non infetto.
This message was scanned by Libra ESVA and is believed to be clean.
Per informazioni: http://www.libraesva.com


http://www.sikurezza.org - Italian Security Mailing List

Re: [ml] Dove lavorare e imparare la sicurezza informatica?

[Marco Ermini]

Ciao,

anche io mi unisco al coro di chi ti suggerisce di valutare un master
o una specializzazione in InfoSec come ideale continuazione dei tuoi
studi, anche a testimoniare la volontà di seguire un certo preciso
percorso.

Se vuoi iniziare a lavorare, troverai sicuramente aziende in cerca di
junior che vogliono avviarsi nel settore. Te ne hanno elencate alcune,
altre le puoi trovare via LinkedIn.

Ti sconsiglio di pagarti da solo una qualsiasi certificazione. È
semplicemente un atto di sottomissione alla schiavitù. Le
certificazioni le paga il tuo datore di lavoro, se ritiene che siano
utili. Sono semplicemente un badge di ammissione al club e non
certificano in alcun modo le tue competenze. Te lo dice uno che ha
svariate "C", come si suol dire, ma non le ha mai considerate una
discriminante nei colloqui di lavoro.

Certi "badge" sono utili (e forse anche indispensabili) in ruoli di
corporate security, ma non mi pare che sia quello che ti interessi.
La corporate security non è affatto l'unico sbocco possibile nel campo
infosec.

Se sei aperto a farlo, valuta anche una esperienza all'estero; l'unico
rischio è che non vorrai più tornare indietro...



Cordiali saluti.

2016-08-29 21:21 GMT+02:00 Tripoli Neve :
> Ciao a tutti,
>
> spero di non aver sbagliato luogo per chiedere consiglio su quanto segue:
>
> Cosa offre l'Italia a un giovane laureato in ingegneria/informatica, che sia
> appassionato della materia sicurezza, possegga un buon curriculum accademico
> (ed eventualmente lavorativo ma non in ambito sicurezza) abbia moltissima
> voglia di imparare e lavorare, ma relativamente poca conoscenza della
> materia (livello "Junior autodidatta"), data la quasi totale assenza di
> insegnamenti relativi all'università?
>
> Cercando un po' mi pare di aver capito che le grandi società di consulenza e
> alcuni tra i maggiori istituti finanziari assumano candidati giovani con
> un'esperienza limitata se non addirittura nulla, ma l'idea che mi sono fatto
> è che ci sia sì da imparare, ma in maniera limitata rispetto a un contesto
> in cui la sicurezza informatica sia l'obiettivo principale delle attività.
> Mi sbaglio?
>
> Esistono in Italia delle realtà cui rivolgersi per avere al tempo stesso un
> compenso dignitoso e la possibilità concreta di crescere?
> Come trovarle e come proporsi?
> Se non in Italia, dove?
>
> In particolare, nel mio caso sono più interessato alla parte "offensiva" e
> di ricerca (VA e PT, ma anche analisi malware, sviluppo stesso di exploit e
> malware, intelligence), per cui qualche consiglio mirato sarebbe molto
> apprezzato. Le considerazioni etiche non sono secondarie (niente sviluppo di
> sistemi di sorveglianza per governi dittatoriali o mafie varie, ovviamente!)
>
> Anche consigli più generali sarebbero molto apprezzati, sia da me che dai
> molti altri nella mia situazione con cui mi sono confrontato (alcuni dei
> quali spero siano iscritti a questa lista...).
>
> Grazie e ciao!
>
>
> T.
>
>
>
>
>
>



-- 
Marco Ermini



CISSP, CISA, CISM, CEH, ITIL, PhD
http://www.linkedin.com/in/marcoermini

http://www.sikurezza.org - Italian Security Mailing List