Re: Risparmiare su catena CI-CD ?
Il 14/03/20 14:20, tag 636 ha scritto: Dai un occhiata seria a OpenShift ma in particolare anche https://www.okd.io/ Se guardi l'intera CI/CD e' multicloud e integra security https://docs.openshift.com/container-platform/3.6/security/build_process.html Secondo me se aggiungi nel tuo design [...] Ciao, grazie dei consigli. I tool che mi hai segnalato sono molto interessanti e certamente offrono servizi di sicurezza importanti. Li segnalerò ai miei colleghi sysadmin. Io però non metto direttamente le mani sui sistemi di runtime. In questo contesto mi occupo principalmente di testing (vedi mail precedente). Hai esperienza diretta anche in quel campo per tool open e/o economici che siano davvero efficaci e si integrino bene in catene CI-CD? Saluti -- ED
Risparmiare su catena CI-CD ?
Ciao a tutti. Sto cercando di ottimizzare la spesa per i tool di sicurezza in una catena CI-CD. Le migliori soluzioni commerciali sono efficaci e semplici da usare, ma tutte insieme costano diverse migliaia di euro per sviluppatore. Siccome si tratta di soldi pubblici vorrei provare a risparmiare qualcosa. Per caso qualcuno può suggerirmi come ottimizzare qualcuno di questi punti? 1. Tool SAST economico/i con supporto per diversi backend, pochi falsi positivi e buona integrazione con GitLab / Jenkins 2. Tool DAST economico che gestisca anche web service (Acunetix costa troppo, BurpSuite Enterprise sembra immaturo, Nessus per il web non va granché bene, ZAP non trova molto) 3. Tool di gestione credenziali economico. Pensavo alla versione open di Vault che non ha la funzione "disaster recovery", ma mi vengono i brividi immaginando un downtime dei tutta la infrastruttura produzione compresa. I backup sono sufficienti? 4. Rapporto costi/benefici del software open source in ambito CI-CD in generale (considerati costi, funzionalità, supporto e soprattutto necessità di operatori skillati) 5. Consigli x integrazione web assessment manuali nella infrastruttura di CI-CD (es. se il team di test può farsi self-provisioning di ambienti di staging da solo, per evitare di coinvolgere ogni volta gli sviluppatori) 6. Consigli in generale su tool di security da integrare in CI-CD che siano buoni ed economici Spero che quanto scrivo non sia soltanto una spudorata richiesta di aiuto ma che fornisca anche spunti interessanti ad altri. Grazie in anticipo, un cordiale saluto. -- ED
Re: Osservatorio Nazionale Sicurezza Cibernetica Italiana
Il 08/11/2019 12:11, Fabio Pietrosanti (naif) - lists ha scritto: [...] Sicurezza Cibernetica Italiana, come call for community [...] cybersecurity [cy·ber·se·cu·ri·ty | \ ˈsī-bər-si-ˌkyu̇r-ə-tē] noun : measures taken to protect a computer or computer system (as on the Internet) against unauthorized access or attack cibernetica [ci-ber-nè-ti-ca] s.f. (non com. pl. -che) : scienza che studia dal punto di vista teorico e applicativo la riproducibilità su macchine del comportamento degli esseri umani Io lavoro in Italia e circa la metà dei miei colleghi sono italiani o conoscono l'italiano. Anche quando fra noi si parla italiano si usano i termini tecnici inglesi. Non sono un fan di quelle che considero traduzioni forzate come questa "sicurezza cibernetica" (o l'agghiacciante "privatezza", o il vetusto "elaboratore informatico"). La traduzione inglese di "cibernetico" ("cybernetic") non viene associata alla sicurezza informatica. Talvolta pure l'inglese "cybersecurity" viene usato a sproposito per mascherare povertà di contenuti, ma è un altro discorso. Tornando all'italiano, se proprio non si vuole usare il termine inglese, io troverei un po' meno peggio coniare il nuovo termine "cibersicurezza". A proposito, già che ci siamo tanto vale tradurre anche il meno inconsueto "call for community". -- ED
Re: Consiglio per corso sicurezza dipendenti
Il 10/10/2019 12:09, Daniele Bianco ha scritto: Ciao, avrei bisogno di un consiglio: devo tenere un breve corso (1 ora) ai dipendenti della mia azienda per sensibilizzarli sulla sicurezza informatica. L'audience è mista, c'è qualche sviluppatore ma sono la minoranza, la gran parte ha conoscenze informatiche ma non sono tecnici. Ciao, ti hanno già dato buoni consigli sui contenuti quindi io mi limito a considerazioni personali sulla tecnica. Dimenticati degli sviluppatori. Adopera gergo e concetti comprensibili a tutti. Al pubblico bastano cinque minuti per stufarsi, poi è difficile riaccenderne l'entusiasmo. Eventualmente alla fine della presentazione accenna BREVEMENTE alle problematiche degli sviluppatori fornendo loro un riferimento per documentarsi da soli. Devo far passare il concetto che le password vanno trattate con la stessa cura con cui si trattano le chiavi di casa, spiegare cosa è e perché va usata l'autenticazione a due fattori. Le metafore sono utili per ridurre la complessità, ma se esasperate possono aumentarla. La gente ormai ha familiarità con le password. Ameno non lavori in un ospizio o che fai un corso avanzato di crittografia, secondo me non occorre parlare di chiavi di casa. Vorrei fare però una presentazione un po' "di impatto" per non farli addormentare... Avete qualche suggerimento su come impostare il discorso? [...] Descrivi situazioni simili alle loro affinché si immedesimino. Usa le storie perché gli umani le capiscono facilmente. Includi contesto, cause ed effetti per stimolare la memorizzazione. Lega gli argomenti fra loro per evitare dispendiosi salti mentali. Prepara diapositive con POCO TESTO per focalizzare l'attenzione su quello che dici. Sfrutta a tuo beneficio immagini, scherzi, variazioni di voce, interazioni con il pubblico e pause (senza esagerare). Ci sono demo/video dove fanno vedere qualcosa "live"? Far vedere un video con un network sniffing dove ricavano la password ad esempio di un pop3 o qualche altra cosa simile sarebbe di forte impatto per far "toccare con mano" il problema della cifratura (specialmente per i non tecnici).. Comunica di più una demo fatta insieme al pubblico di un filmato fatto a regola d'arte. Basta anche lanciare uno script di brute-forcing per indovinare una password, o intercettare un sito di demo sul WIFI locale, o aprire un documento con una macro infetta. Non scendere troppo nei dettagli, lo scopo della demo è solo quello di spaventarli. Con una sola ora a disposizione l'utente aziendale medio non dovrebbe preoccuparsi di pop3, ma piuttosto di password, phishing, USB, malware e poco altro. In genere più cose dici e meno ne ricorderanno. ciao ED
Re: [ml] Sicurezza su retíne
Il 03/09/2019 16:05, Riccardo Ghiglianovich ha scritto: [...] vorrei sapere se tenere la ssh aperta,e comunque coperta da fail2ban, sia ragionevolmente sicuro, considerando che gli attacchi sarebbero quelli "standard" automatici, non ci sono nemici specifici. Potresti tenere la SSH sempre disponibile configurando il port knocking: https://it.wikipedia.org/wiki/Port_knocking Si può implementare in modo elegante anche solo con iprables. Basta spostare gli IP fra diverse catene tornando alla prima catena in caso di errore. Già solo con 3 porte un attaccante che conosce la tua difesa dovrebbe fare bruteforcing non contemporaneo via rete di oltre 10^14 combinazioni solo per avere un prompt di login Inoltre a prescindere dal port knocking, se non lo hai già fatto, su SSH pubblici ti consigli di consentire solo certificati o 2 factor con token software. ciao ED http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] configurazione di rete x infrastruttura VA?
Il 21/06/2019 15:19, tag 636 ha scritto: Dai un occhiata ad archery [...] Molto interessante pero' da quel che ho letto Archery si limita a controllare il software di VA e fornire servizi ausiliari. Non risolve il mio dilemma iniziale, ovvero come ottimizzare distribuzione, gestione e messa in sicurezza di un software di network VA autenticato su una rete geografica ed eterogenea. Sui sistemi critici inoltre ho qualche riserva ad usare software non ufficialmente avallato. Per esempio Archery sembra interamente gestito da un freelance indiano. Lo userei per i container di test ed eventualmente scansioni black-box di produzione, ma senza altre garanzie non gli darei in pasto credenziali sufficienti a radere al suolo l'intera azienda. Mi chiedo se chi lo usa in contesti simili faccia prima una valutazione dei rischi. Talvolta ho l'impressione che noialtri della sicurezza ci comportiamo come il giudice Dredd: "Io non ho infranto la legge... io SONO la legge!" :-) per web app...sono per un'integrazione nella CI/CD con SAST e DASTun tipico SecDevOps loop, only web VA non serve a molto. Da un punto di vista di architettura, usa un approccio via containers che spari dove vuoi via k8s o simili. Lo scan pubblico sento tanti alle conferenze che usano shodan [...] Sono pienamente d'accordo con CI/CD e li sto spingendo da alcuni anni, ma per motivi interni ora vorrei comunque scannerizzare direttamente quel che c'è in produzione evitando scanner sul cloud. A proposito dei VA dal cloud sarei però curioso di sapere cosa ne pensate, specialmente riguardo al consumo di banda, all'accesso a reti interne altrimenti chiuse e al white-listing su IDS e WAF locali. Quando valuti VA, considera se non integrare anche threat hunting [...] Grazie, tra l'altro lo consigliava Andrea Gelpi sia per una questione di efficacia che di efficienza, per poi fare VA solo dove effettivamente serve. Tu lo intendi come una integrazione a senso unico (dare in pasto i dati del VA al resto) o bidirezionale? ciao -- ED
Re: [ml] configurazione di rete x infrastruttura VA?
Ciao Paolo, grazie per la risposta. Naturalmente non uso il VA come parte del normale processo operativo di patch management. Da un lato lo uso per il monitoraggio della qualità del relativo processo, dall'altro come verifica aggiuntiva e immediata, specialmente su richiesta nel caso escano vulnerabilità o patch critiche. Per questo mi servono le scansioni con credenziali o gli agent, altrimenti certi problemi si vedono solo quando è troppo tardi. Poi con la dovuta calma si fanno comunque i port scan. Il mio punto 5 si riferiva a monitorare l'operato del personale di sicurezza con alti privilegi. "Chi controlla il controllore?" L'amministratore del software di VA e dei livelli sovrastanti (server, hypervisor) ha accesso diretto o indiretto ai certificati di autenticazione per tutti i server aziendali. Idem per un malware che attacca con successo l'hypervisor o una VM di scansione che risiede sullo stesso server fisico. Per questo chiedevo se fosse il caso di separare completamente l'infrastruttura di VA da quella operativa. ciao -- ED Il 20/06/2019 09:24, Paolo Perego ha scritto: Ciao ED, ci stavo proprio pensando oggi e credo che ne parlerò tra qualche giorno sul blog. Innanzitutto mi chiederei "perché sto mettendo in piedi un'infrastruttura per il VA e cosa mi aspetto dai risultati". Purtroppo ho visto troppe volte manager affascinati dal falso senso di sicurezza che un report di Nexpose dava loro. Anyway, ti racconto come la implemento io di solito. Architettura distribuita, quindi una console e tanti engine di scansione. No roba centralizzata in cloud. Gli engine di scansione li ho messi in una posizione di rete che permettesse loro di essere "vicino" alle reti principali che avevo precedentemente diviso per regione geografica. (questo dipende ovviamente dalla tua topologia). Io dopo anni che lo uso sto pensando di togliere la possibilità di fare scansioni autenticate. Troppo rumore di fondo e mi perdo il punto di vista reale di un attaccante. A livello di paranoia, direi che le linee guida di hardening che avete già in piedi bastano e avanzano. Ti consiglio di lasciar perdere la scansione automatizzata di applicazioni web. Non ti da alcun valore aggiunto e i crawler dei vari Nexpose, Nessus sono a dir poco invasivi e ne ho visti parecchi di tomcat e apache cadere. La 5) non l'ho capita. Chi dovresti monitorare? Cosa importante da considerare. Avere bene in chiaro perché pensi ti serva un vulnerability assessment. Se è per dare un po' di paper al tuo audit interno allora ok, dagli tutti i risultati del tuo tool e lascia che impazziscano. Se vuoi che un VA guidi il tuo patch management, sinceramente te lo sconsiglio. VA e applicazione delle patch di security meglio vadano per i fatti loro, se ti interessa ne ho scritto proprio ieri di patching ordinario e straordinario: https://codiceinsicuro.it/blog/patch-ordinario-e-patch-straordinario/. Se invece pensi che il VA ti serve per capire la tua postura, allora "si e no". Il numero di falsi positivi, soprattutto in una scansione autenticata, è enorme e solo un'attività mirata di penetration test può darti un risultato attendibile. Così, i miei €0,02 Ciao Paolo Il giorno gio 20 giu 2019 alle ore 07:51 ED <mailto:nos...@nospam.it>> ha scritto: Ciao, vorrei per piacere un consiglio da chi ha esperienza nel monitoraggio di vulnerabilità in reti grandi e incasinate... Poniamo che dobbiate mettere in piedi una infrastruttura di VA in una grossa rete che comprende più siti fisici, alcune DMZ e qualche centinaio di sotto-reti più o meno segregate fra loro contenenti alcune migliaia di server, workstation e appliance assortite con livelli e requisiti di sicurezza anche molto diversi fra loro. Poniamo che il software di VA sia composto da un nodo centrale per l'amministrazione che controlla un numero arbitrario di nodi periferici che fanno le scansioni ("a la OpenVAS"). Deve essere usato da un numero arbitrario di utenti con diversi ruoli da diversi punti della rete. Domande: 1) Dove mettereste i nodi periferici per le scansioni? Uno in ogni rete principale da scansionare, o uno per sito fisico aprendo i firewall, o centralmente aprendo VPN alla bisogna, o come altro? 2) Stessa domanda ipotizzando che il software di scansione non sia diviso in nodo centrale e nodi periferici. 3) Quanto essere paranoici riguardo all'amministrazione dell'infrastruttura di VA, considerando che sia il nodo centrale che quelli periferici contengono (temporaneamente o permanentemente) credenziali amministrative dei server da scansionare? Usereste la stessa infrastruttura di virtualizzazione, gli stessi server fisici, le stesse workstation amministrative e lo stesso personale del resto
[ml] configurazione di rete x infrastruttura VA?
Ciao, vorrei per piacere un consiglio da chi ha esperienza nel monitoraggio di vulnerabilità in reti grandi e incasinate... Poniamo che dobbiate mettere in piedi una infrastruttura di VA in una grossa rete che comprende più siti fisici, alcune DMZ e qualche centinaio di sotto-reti più o meno segregate fra loro contenenti alcune migliaia di server, workstation e appliance assortite con livelli e requisiti di sicurezza anche molto diversi fra loro. Poniamo che il software di VA sia composto da un nodo centrale per l'amministrazione che controlla un numero arbitrario di nodi periferici che fanno le scansioni ("a la OpenVAS"). Deve essere usato da un numero arbitrario di utenti con diversi ruoli da diversi punti della rete. Domande: 1) Dove mettereste i nodi periferici per le scansioni? Uno in ogni rete principale da scansionare, o uno per sito fisico aprendo i firewall, o centralmente aprendo VPN alla bisogna, o come altro? 2) Stessa domanda ipotizzando che il software di scansione non sia diviso in nodo centrale e nodi periferici. 3) Quanto essere paranoici riguardo all'amministrazione dell'infrastruttura di VA, considerando che sia il nodo centrale che quelli periferici contengono (temporaneamente o permanentemente) credenziali amministrative dei server da scansionare? Usereste la stessa infrastruttura di virtualizzazione, gli stessi server fisici, le stesse workstation amministrative e lo stesso personale del resto dell'azienda? 4) Come ottimizzare le scansioni di siti web e servizi se (per un motivo o per l'altro, non sottilizziamo...) i deploy non sono raggruppati in una rete dedicata? 5) Vale la pena limitare i privilegi degli operatori di sicurezza per monitorarne e limitarne l'operato? 6) Altre cose importanti da considerare? Al momento ho una "leggera" divergenza di opinioni con il mio reparto di rete e spero che questa lista possa aiutarmi a risolverla. Grazie, saluti -- ED http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Affidabilita' tool di VA/PT
Paolo Perego ha scritto: [...] Se faccio un pentest mi affido a msfvenom x crearmi la webshell [...] Mi pare un buon consiglio, grazie. Visto che le backdoor le hanno messe anche in tool open source commerciali [...] Quali? Non ne ero al corrente della scoperta di backdoor in software commerciali di VA/PT (non escludo che ce ne siano, solo non avevo sentito che ne fossero state scoperte). Fidati dei tool che conosci e magari se devi provarne uno nuovo vedi come si comporta contro un ambiente di test isolato. Vedi se fa cose strane, connessioni particolari o altri. Una backdoor bene nascosta potrebbe non essere evidente (vedi il mio messaggio ad antonio) e implicherebbe che dovremmo tutti ri-testare tutto in continuazione con grande spreco di energie. Considerata la frequenza con cui i software di sicurezza open nascono e muoiono potrebbe avere senso concentrare le forze della comunita', classificando le analisi tramite una "web of trust". Io personalmente sarei disposto a pagare qualcosa e immagino anche altri... o no? ciao ED http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Affidabilita' tool di VA/PT
Antonio parata ha scritto: [...] per esperienza (come lavoro analizzando malware) che in caso di comportamenti malevoli le richieste verso il C&C vengono fatte nei primi 15/20 minuti a partire dall'esecuzione (ovviamente ci possono essere delle eccezioni). [...] Eventuali backdoor potrebbero anche attivarsi in base a fattori specifici (IP del server privato/pubblico, disponibilità di collegamento Internet, ora del giorno, o anche casualmente es. una esecuzione ogni 10). Sono paranoico? identificare alcune funzioni/variabili chiave, ad esempio in caso di tool PHP (come quello riportato nell'articolo), il primo step e' fare grep per stringhe come eval/assert/system/$_GET/$_POST/base64_decode/... [...] Quanto ci impieghi a fare simili analisi? Le chiamate pericolose restano molte (sistema, filesystem, posta, db...). Occorre risalire a tutte le variabili/funzioni usate compreso il codice JavaScript che potrebbe inviare la backdoor dal client. In un programma python occorrerebbe revisionare tutto. Non si finisce piu'. Ti ringrazio per la condivisione. Nel tuo caso mi sembra abbia senso, ma spero che mi venga suggerita una soluzione piu' adatta alle mie esigenze (alto rischio) ed alle mie capacita/risorse limitate. ciao ED http://www.sikurezza.org - Italian Security Mailing List
[ml] Affidabilita' tool di VA/PT
Un articolo di ieri relativo all'ennesima shell PHP con annessa backdoor [1], ha rafforzato i miei timori sull'uso di tool poco conosciuti durante i test di sicurezza verso ambienti di produzione. Lavoro in un ambiente "enterprise", in cui mi limito ad usare tool commerciali di grosse case o open source rinomati (Nmap, Nikto ecc). Salvo rare eccezioni, i tool poco conosciuti che vanno oltre la mia capacita' di analisi (es. script ExploitDB con blob binari, framework PowerShell che nascono e muoiono come meteore) sono esclusi, specialmente se necessitano di privilegi local elevati o di credenziali sull'obiettivo. Non avendo io tempo e competenze per scrivere exploit, cio' naturalmente limita di molto i risultati. Come fate voi? Qual'e' il confine fra un tool sicuro ed uno pericoloso? Dipende dall'obiettivo? Che precauzioni prendete quando eseguite tool nuovi? Sono mai state formalizzate best practice a riguardo? Saluti ED [1] https://isc.sans.edu/forums/diary/Another+webshell+another+backdoor/22826/ http://www.sikurezza.org - Italian Security Mailing List
[ml] infrastruttura VA enterprise economica?
Buongiono a tutti. Per piacere conoscete della buona documentazione vendor-neutral per progettare un'infrastruttura interna permanente di network VA in ambito enterprise, specifica per contenere i costi di setup e gestione? Questi sono piu' o meno i requisiti: - gestione centralizzata - migliaia di obiettivi (client, server ed appliance) distribuiti in diverse reti logiche e siti fisici - programmazione delle scansioni - reportistica con andamento temporale ed esportazione di singoli target - (opzionale) sistema di ticketing integrato con funzionalita' email - (opzionale) agent software residenti sugli obiettivi Il budget e' purtroppo insufficiente ad acquistare soluzioni commerciali preconfezionate di livello enterprise che soddisfino pienamente i requisiti, anche perche' vengono generalmente fatturate in proporzione al numero di target da scannerizzare (es. Nessus Manager). Qualcuno ha provato F-Secure Radar, che e' uscito da poco e sembra costare (relativamente) poco? Altrimenti esistono casi documentati di soluzioni open (es. basate su OpenVAS) usate con profitto in ambito enterprise? Naturalmente la soluzione ottimale sarebbe ottenere un budget adeguato, ma purtroppo quella strada non e' al momento percorribile. Abbiate pieta' e non pestate su quel tasto :-) Grazie, saluti ED http://www.sikurezza.org - Italian Security Mailing List
[ml] segnalazione da OpenCON 2007
Salve, segnalo alcuni talk di OpenCON 2007 legati alla sicurezza. L'evento si svolgerà a Venezia e prevede: 30 Novembre 2007 - tutorial day 1-2 Decembre 2007 - conference In particolare segnalo: Friday (Tutorial Day) 1) PF Tutorial by Peter Hansteen 2) VPN Technologies available on OpenBSD by Felix Kronlage Saturday 1) hoststated(8) preinspection by Reyk Floeter 2) Security Measures in OpenSSH by Darren Tucker 3) OpenSSH Birthday party :) Sunday 1) Why are modern operating systems so complicated? by Jonathan Gray Per maggiori informazioni e registrarsi date un'occhiata a: http://www.opencon.org/ A presto. http://www.sikurezza.org - Italian Security Mailing List
[ml] OpenCON 2007 // Call for Papers
Dear ladies and gentlemen, OpenCON is the only conference fully dedicated to OpenBSD. Last year edition was a great success and featured also the party for OpenBSD 10th birthday, with project leader Theo de Raadt and a lot of developers. More info here: http://2006.opencon.org/ The OpenCON program committee is inviting speakers to submit innovative, original, and interesting talks on apps, architecture, implementation, performance and security of OpenBSD. Speeches and slides must be in english. Topics of interest for OpenCON 2007 include, but are not limited to: - kernel hacking - embedded application development and deployment - device drivers - security and safe coding practices - system administration: techniques and tools of trade - operational and economic aspects The extended abstract should explain clearly what are the topics and the aims of the speech. Submissions accompanied by a non-disclosure agreement will be rejected. Authors of accepted submissions have to provide a full paper for publication in the conference proceedings and allow the organizers to publish the results in the printed proceedings and on the conference web site. To submit your proposal fill in the dedicated form: http://www.opencon.org/papers/new As usual the conference will be in Venice, and this year we plan to have one additional day for tutorials: 30 November 2007 - tutorial day 1-2 December 2007 - conference See you there? P.S. We are still looking for sponsors. HELP! Please spread the word among your friends, OpenBSD friendly companies, ISPs that offers OpenBSD servers for rent or hosting, and any big company that you think should sponsor the event. Don't wait, do it now :) http://www.sikurezza.org - Italian Security Mailing List