Re: Risparmiare su catena CI-CD ?
Il 14/03/20 14:20, tag 636 ha scritto: Dai un occhiata seria a OpenShift ma in particolare anche https://www.okd.io/ Se guardi l'intera CI/CD e' multicloud e integra security https://docs.openshift.com/container-platform/3.6/security/build_process.html Secondo me se aggiungi nel tuo design [...] Ciao, grazie dei consigli. I tool che mi hai segnalato sono molto interessanti e certamente offrono servizi di sicurezza importanti. Li segnalerò ai miei colleghi sysadmin. Io però non metto direttamente le mani sui sistemi di runtime. In questo contesto mi occupo principalmente di testing (vedi mail precedente). Hai esperienza diretta anche in quel campo per tool open e/o economici che siano davvero efficaci e si integrino bene in catene CI-CD? Saluti -- ED
Re: Osservatorio Nazionale Sicurezza Cibernetica Italiana
Il 08/11/2019 12:11, Fabio Pietrosanti (naif) - lists ha scritto:
[...] Sicurezza Cibernetica Italiana, come call for community [...]
cybersecurity [cy·ber·se·cu·ri·ty | \ ˈsī-bər-si-ˌkyu̇r-ə-tē] noun
: measures taken to protect a computer or computer system (as on the
Internet) against unauthorized access or attack
cibernetica [ci-ber-nè-ti-ca] s.f. (non com. pl. -che)
: scienza che studia dal punto di vista teorico e applicativo la
riproducibilità su macchine del comportamento degli esseri umani
Io lavoro in Italia e circa la metà dei miei colleghi sono italiani o
conoscono l'italiano. Anche quando fra noi si parla italiano si usano i
termini tecnici inglesi. Non sono un fan di quelle che considero
traduzioni forzate come questa "sicurezza cibernetica" (o
l'agghiacciante "privatezza", o il vetusto "elaboratore informatico").
La traduzione inglese di "cibernetico" ("cybernetic") non viene
associata alla sicurezza informatica. Talvolta pure l'inglese
"cybersecurity" viene usato a sproposito per mascherare povertà di
contenuti, ma è un altro discorso. Tornando all'italiano, se proprio non
si vuole usare il termine inglese, io troverei un po' meno peggio
coniare il nuovo termine "cibersicurezza". A proposito, già che ci siamo
tanto vale tradurre anche il meno inconsueto "call for community".
--
ED
Re: Consiglio per corso sicurezza dipendenti
Il 10/10/2019 12:09, Daniele Bianco ha scritto: Ciao, avrei bisogno di un consiglio: devo tenere un breve corso (1 ora) ai dipendenti della mia azienda per sensibilizzarli sulla sicurezza informatica. L'audience è mista, c'è qualche sviluppatore ma sono la minoranza, la gran parte ha conoscenze informatiche ma non sono tecnici. Ciao, ti hanno già dato buoni consigli sui contenuti quindi io mi limito a considerazioni personali sulla tecnica. Dimenticati degli sviluppatori. Adopera gergo e concetti comprensibili a tutti. Al pubblico bastano cinque minuti per stufarsi, poi è difficile riaccenderne l'entusiasmo. Eventualmente alla fine della presentazione accenna BREVEMENTE alle problematiche degli sviluppatori fornendo loro un riferimento per documentarsi da soli. Devo far passare il concetto che le password vanno trattate con la stessa cura con cui si trattano le chiavi di casa, spiegare cosa è e perché va usata l'autenticazione a due fattori. Le metafore sono utili per ridurre la complessità, ma se esasperate possono aumentarla. La gente ormai ha familiarità con le password. Ameno non lavori in un ospizio o che fai un corso avanzato di crittografia, secondo me non occorre parlare di chiavi di casa. Vorrei fare però una presentazione un po' "di impatto" per non farli addormentare... Avete qualche suggerimento su come impostare il discorso? [...] Descrivi situazioni simili alle loro affinché si immedesimino. Usa le storie perché gli umani le capiscono facilmente. Includi contesto, cause ed effetti per stimolare la memorizzazione. Lega gli argomenti fra loro per evitare dispendiosi salti mentali. Prepara diapositive con POCO TESTO per focalizzare l'attenzione su quello che dici. Sfrutta a tuo beneficio immagini, scherzi, variazioni di voce, interazioni con il pubblico e pause (senza esagerare). Ci sono demo/video dove fanno vedere qualcosa "live"? Far vedere un video con un network sniffing dove ricavano la password ad esempio di un pop3 o qualche altra cosa simile sarebbe di forte impatto per far "toccare con mano" il problema della cifratura (specialmente per i non tecnici).. Comunica di più una demo fatta insieme al pubblico di un filmato fatto a regola d'arte. Basta anche lanciare uno script di brute-forcing per indovinare una password, o intercettare un sito di demo sul WIFI locale, o aprire un documento con una macro infetta. Non scendere troppo nei dettagli, lo scopo della demo è solo quello di spaventarli. Con una sola ora a disposizione l'utente aziendale medio non dovrebbe preoccuparsi di pop3, ma piuttosto di password, phishing, USB, malware e poco altro. In genere più cose dici e meno ne ricorderanno. ciao ED
Re: [ml] Sicurezza su retíne
Il 03/09/2019 16:05, Riccardo Ghiglianovich ha scritto: [...] vorrei sapere se tenere la ssh aperta,e comunque coperta da fail2ban, sia ragionevolmente sicuro, considerando che gli attacchi sarebbero quelli "standard" automatici, non ci sono nemici specifici. Potresti tenere la SSH sempre disponibile configurando il port knocking: https://it.wikipedia.org/wiki/Port_knocking Si può implementare in modo elegante anche solo con iprables. Basta spostare gli IP fra diverse catene tornando alla prima catena in caso di errore. Già solo con 3 porte un attaccante che conosce la tua difesa dovrebbe fare bruteforcing non contemporaneo via rete di oltre 10^14 combinazioni solo per avere un prompt di login Inoltre a prescindere dal port knocking, se non lo hai già fatto, su SSH pubblici ti consigli di consentire solo certificati o 2 factor con token software. ciao ED http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] configurazione di rete x infrastruttura VA?
Il 21/06/2019 15:19, tag 636 ha scritto: Dai un occhiata ad archery [...] Molto interessante pero' da quel che ho letto Archery si limita a controllare il software di VA e fornire servizi ausiliari. Non risolve il mio dilemma iniziale, ovvero come ottimizzare distribuzione, gestione e messa in sicurezza di un software di network VA autenticato su una rete geografica ed eterogenea. Sui sistemi critici inoltre ho qualche riserva ad usare software non ufficialmente avallato. Per esempio Archery sembra interamente gestito da un freelance indiano. Lo userei per i container di test ed eventualmente scansioni black-box di produzione, ma senza altre garanzie non gli darei in pasto credenziali sufficienti a radere al suolo l'intera azienda. Mi chiedo se chi lo usa in contesti simili faccia prima una valutazione dei rischi. Talvolta ho l'impressione che noialtri della sicurezza ci comportiamo come il giudice Dredd: "Io non ho infranto la legge... io SONO la legge!" :-) per web app...sono per un'integrazione nella CI/CD con SAST e DASTun tipico SecDevOps loop, only web VA non serve a molto. Da un punto di vista di architettura, usa un approccio via containers che spari dove vuoi via k8s o simili. Lo scan pubblico sento tanti alle conferenze che usano shodan [...] Sono pienamente d'accordo con CI/CD e li sto spingendo da alcuni anni, ma per motivi interni ora vorrei comunque scannerizzare direttamente quel che c'è in produzione evitando scanner sul cloud. A proposito dei VA dal cloud sarei però curioso di sapere cosa ne pensate, specialmente riguardo al consumo di banda, all'accesso a reti interne altrimenti chiuse e al white-listing su IDS e WAF locali. Quando valuti VA, considera se non integrare anche threat hunting [...] Grazie, tra l'altro lo consigliava Andrea Gelpi sia per una questione di efficacia che di efficienza, per poi fare VA solo dove effettivamente serve. Tu lo intendi come una integrazione a senso unico (dare in pasto i dati del VA al resto) o bidirezionale? ciao -- ED
Re: [ml] configurazione di rete x infrastruttura VA?
Ciao Paolo, grazie per la risposta.
Naturalmente non uso il VA come parte del normale processo operativo di
patch management. Da un lato lo uso per il monitoraggio della qualità
del relativo processo, dall'altro come verifica aggiuntiva e immediata,
specialmente su richiesta nel caso escano vulnerabilità o patch
critiche. Per questo mi servono le scansioni con credenziali o gli
agent, altrimenti certi problemi si vedono solo quando è troppo tardi.
Poi con la dovuta calma si fanno comunque i port scan.
Il mio punto 5 si riferiva a monitorare l'operato del personale di
sicurezza con alti privilegi. "Chi controlla il controllore?"
L'amministratore del software di VA e dei livelli sovrastanti (server,
hypervisor) ha accesso diretto o indiretto ai certificati di
autenticazione per tutti i server aziendali. Idem per un malware che
attacca con successo l'hypervisor o una VM di scansione che risiede
sullo stesso server fisico. Per questo chiedevo se fosse il caso di
separare completamente l'infrastruttura di VA da quella operativa.
ciao
--
ED
Il 20/06/2019 09:24, Paolo Perego ha scritto:
Ciao ED, ci stavo proprio pensando oggi e credo che ne parlerò tra
qualche giorno sul blog. Innanzitutto mi chiederei "perché sto
mettendo in piedi un'infrastruttura per il VA e cosa mi aspetto dai
risultati". Purtroppo ho visto troppe volte manager affascinati dal
falso senso di sicurezza che un report di Nexpose dava loro.
Anyway, ti racconto come la implemento io di solito.
Architettura distribuita, quindi una console e tanti engine di
scansione. No roba centralizzata in cloud.
Gli engine di scansione li ho messi in una posizione di rete che
permettesse loro di essere "vicino" alle reti principali che avevo
precedentemente diviso per regione geografica. (questo dipende
ovviamente dalla tua topologia).
Io dopo anni che lo uso sto pensando di togliere la possibilità di
fare scansioni autenticate. Troppo rumore di fondo e mi perdo il punto
di vista reale di un attaccante. A livello di paranoia, direi che le
linee guida di hardening che avete già in piedi bastano e avanzano.
Ti consiglio di lasciar perdere la scansione automatizzata di
applicazioni web. Non ti da alcun valore aggiunto e i crawler dei vari
Nexpose, Nessus sono a dir poco invasivi e ne ho visti parecchi di
tomcat e apache cadere.
La 5) non l'ho capita. Chi dovresti monitorare?
Cosa importante da considerare. Avere bene in chiaro perché pensi ti
serva un vulnerability assessment. Se è per dare un po' di paper al
tuo audit interno allora ok, dagli tutti i risultati del tuo tool e
lascia che impazziscano. Se vuoi che un VA guidi il tuo patch
management, sinceramente te lo sconsiglio. VA e applicazione delle
patch di security meglio vadano per i fatti loro, se ti interessa ne
ho scritto proprio ieri di patching ordinario e straordinario:
https://codiceinsicuro.it/blog/patch-ordinario-e-patch-straordinario/.
Se invece pensi che il VA ti serve per capire la tua postura, allora
"si e no". Il numero di falsi positivi, soprattutto in una scansione
autenticata, è enorme e solo un'attività mirata di penetration test
può darti un risultato attendibile.
Così, i miei €0,02
Ciao
Paolo
Il giorno gio 20 giu 2019 alle ore 07:51 ED <mailto:nos...@nospam.it>> ha scritto:
Ciao, vorrei per piacere un consiglio da chi ha esperienza nel
monitoraggio di vulnerabilità in reti grandi e incasinate...
Poniamo che dobbiate mettere in piedi una infrastruttura di VA in una
grossa rete che comprende più siti fisici, alcune DMZ e qualche
centinaio di sotto-reti più o meno segregate fra loro contenenti
alcune
migliaia di server, workstation e appliance assortite con livelli e
requisiti di sicurezza anche molto diversi fra loro.
Poniamo che il software di VA sia composto da un nodo centrale per
l'amministrazione che controlla un numero arbitrario di nodi
periferici
che fanno le scansioni ("a la OpenVAS"). Deve essere usato da un
numero
arbitrario di utenti con diversi ruoli da diversi punti della rete.
Domande:
1) Dove mettereste i nodi periferici per le scansioni? Uno in ogni
rete
principale da scansionare, o uno per sito fisico aprendo i
firewall, o
centralmente aprendo VPN alla bisogna, o come altro?
2) Stessa domanda ipotizzando che il software di scansione non sia
diviso in nodo centrale e nodi periferici.
3) Quanto essere paranoici riguardo all'amministrazione
dell'infrastruttura di VA, considerando che sia il nodo centrale che
quelli periferici contengono (temporaneamente o permanentemente)
credenziali amministrative dei server da scansionare? Usereste la
stessa
infrastruttura di virtualizzazione, gli stessi server fisici, le
stesse
workstation amministrative e lo stesso personale del resto
dell'azienda?
4) Come ottimizzare le scansioni di siti
[ml] configurazione di rete x infrastruttura VA?
Ciao, vorrei per piacere un consiglio da chi ha esperienza nel
monitoraggio di vulnerabilità in reti grandi e incasinate...
Poniamo che dobbiate mettere in piedi una infrastruttura di VA in una
grossa rete che comprende più siti fisici, alcune DMZ e qualche
centinaio di sotto-reti più o meno segregate fra loro contenenti alcune
migliaia di server, workstation e appliance assortite con livelli e
requisiti di sicurezza anche molto diversi fra loro.
Poniamo che il software di VA sia composto da un nodo centrale per
l'amministrazione che controlla un numero arbitrario di nodi periferici
che fanno le scansioni ("a la OpenVAS"). Deve essere usato da un numero
arbitrario di utenti con diversi ruoli da diversi punti della rete.
Domande:
1) Dove mettereste i nodi periferici per le scansioni? Uno in ogni rete
principale da scansionare, o uno per sito fisico aprendo i firewall, o
centralmente aprendo VPN alla bisogna, o come altro?
2) Stessa domanda ipotizzando che il software di scansione non sia
diviso in nodo centrale e nodi periferici.
3) Quanto essere paranoici riguardo all'amministrazione
dell'infrastruttura di VA, considerando che sia il nodo centrale che
quelli periferici contengono (temporaneamente o permanentemente)
credenziali amministrative dei server da scansionare? Usereste la stessa
infrastruttura di virtualizzazione, gli stessi server fisici, le stesse
workstation amministrative e lo stesso personale del resto dell'azienda?
4) Come ottimizzare le scansioni di siti web e servizi se (per un motivo
o per l'altro, non sottilizziamo...) i deploy non sono raggruppati in
una rete dedicata?
5) Vale la pena limitare i privilegi degli operatori di sicurezza per
monitorarne e limitarne l'operato?
6) Altre cose importanti da considerare?
Al momento ho una "leggera" divergenza di opinioni con il mio reparto di
rete e spero che questa lista possa aiutarmi a risolverla.
Grazie, saluti
--
ED
http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Affidabilita' tool di VA/PT
Paolo Perego ha scritto: [...] Se faccio un pentest mi affido a msfvenom x crearmi la webshell [...] Mi pare un buon consiglio, grazie. Visto che le backdoor le hanno messe anche in tool open source commerciali [...] Quali? Non ne ero al corrente della scoperta di backdoor in software commerciali di VA/PT (non escludo che ce ne siano, solo non avevo sentito che ne fossero state scoperte). Fidati dei tool che conosci e magari se devi provarne uno nuovo vedi come si comporta contro un ambiente di test isolato. Vedi se fa cose strane, connessioni particolari o altri. Una backdoor bene nascosta potrebbe non essere evidente (vedi il mio messaggio ad antonio) e implicherebbe che dovremmo tutti ri-testare tutto in continuazione con grande spreco di energie. Considerata la frequenza con cui i software di sicurezza open nascono e muoiono potrebbe avere senso concentrare le forze della comunita', classificando le analisi tramite una "web of trust". Io personalmente sarei disposto a pagare qualcosa e immagino anche altri... o no? ciao ED http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Affidabilita' tool di VA/PT
Antonio parata ha scritto: [...] per esperienza (come lavoro analizzando malware) che in caso di comportamenti malevoli le richieste verso il C vengono fatte nei primi 15/20 minuti a partire dall'esecuzione (ovviamente ci possono essere delle eccezioni). [...] Eventuali backdoor potrebbero anche attivarsi in base a fattori specifici (IP del server privato/pubblico, disponibilità di collegamento Internet, ora del giorno, o anche casualmente es. una esecuzione ogni 10). Sono paranoico? identificare alcune funzioni/variabili chiave, ad esempio in caso di tool PHP (come quello riportato nell'articolo), il primo step e' fare grep per stringhe come eval/assert/system/$_GET/$_POST/base64_decode/... [...] Quanto ci impieghi a fare simili analisi? Le chiamate pericolose restano molte (sistema, filesystem, posta, db...). Occorre risalire a tutte le variabili/funzioni usate compreso il codice JavaScript che potrebbe inviare la backdoor dal client. In un programma python occorrerebbe revisionare tutto. Non si finisce piu'. Ti ringrazio per la condivisione. Nel tuo caso mi sembra abbia senso, ma spero che mi venga suggerita una soluzione piu' adatta alle mie esigenze (alto rischio) ed alle mie capacita/risorse limitate. ciao ED http://www.sikurezza.org - Italian Security Mailing List
[ml] Affidabilita' tool di VA/PT
Un articolo di ieri relativo all'ennesima shell PHP con annessa backdoor [1], ha rafforzato i miei timori sull'uso di tool poco conosciuti durante i test di sicurezza verso ambienti di produzione. Lavoro in un ambiente "enterprise", in cui mi limito ad usare tool commerciali di grosse case o open source rinomati (Nmap, Nikto ecc). Salvo rare eccezioni, i tool poco conosciuti che vanno oltre la mia capacita' di analisi (es. script ExploitDB con blob binari, framework PowerShell che nascono e muoiono come meteore) sono esclusi, specialmente se necessitano di privilegi local elevati o di credenziali sull'obiettivo. Non avendo io tempo e competenze per scrivere exploit, cio' naturalmente limita di molto i risultati. Come fate voi? Qual'e' il confine fra un tool sicuro ed uno pericoloso? Dipende dall'obiettivo? Che precauzioni prendete quando eseguite tool nuovi? Sono mai state formalizzate best practice a riguardo? Saluti ED [1] https://isc.sans.edu/forums/diary/Another+webshell+another+backdoor/22826/ http://www.sikurezza.org - Italian Security Mailing List
[ml] infrastruttura VA enterprise economica?
Buongiono a tutti. Per piacere conoscete della buona documentazione vendor-neutral per progettare un'infrastruttura interna permanente di network VA in ambito enterprise, specifica per contenere i costi di setup e gestione? Questi sono piu' o meno i requisiti: - gestione centralizzata - migliaia di obiettivi (client, server ed appliance) distribuiti in diverse reti logiche e siti fisici - programmazione delle scansioni - reportistica con andamento temporale ed esportazione di singoli target - (opzionale) sistema di ticketing integrato con funzionalita' email - (opzionale) agent software residenti sugli obiettivi Il budget e' purtroppo insufficiente ad acquistare soluzioni commerciali preconfezionate di livello enterprise che soddisfino pienamente i requisiti, anche perche' vengono generalmente fatturate in proporzione al numero di target da scannerizzare (es. Nessus Manager). Qualcuno ha provato F-Secure Radar, che e' uscito da poco e sembra costare (relativamente) poco? Altrimenti esistono casi documentati di soluzioni open (es. basate su OpenVAS) usate con profitto in ambito enterprise? Naturalmente la soluzione ottimale sarebbe ottenere un budget adeguato, ma purtroppo quella strada non e' al momento percorribile. Abbiate pieta' e non pestate su quel tasto :-) Grazie, saluti ED http://www.sikurezza.org - Italian Security Mailing List
[ml] segnalazione da OpenCON 2007
Salve, segnalo alcuni talk di OpenCON 2007 legati alla sicurezza. L'evento si svolgerà a Venezia e prevede: 30 Novembre 2007 - tutorial day 1-2 Decembre 2007 - conference In particolare segnalo: Friday (Tutorial Day) 1) PF Tutorial by Peter Hansteen 2) VPN Technologies available on OpenBSD by Felix Kronlage Saturday 1) hoststated(8) preinspection by Reyk Floeter 2) Security Measures in OpenSSH by Darren Tucker 3) OpenSSH Birthday party :) Sunday 1) Why are modern operating systems so complicated? by Jonathan Gray Per maggiori informazioni e registrarsi date un'occhiata a: http://www.opencon.org/ A presto. http://www.sikurezza.org - Italian Security Mailing List
