Re: [ml] Gestione di filtri in Postfix
On Sat, Sep 25, 2010 at 04:31:52PM +0200, Gelpi Andrea wrote: Salve, in postfix è possibile eseguire controlli sulle mail in arrivo utilizzando vari sistemi e facendo controlli su vari campi della mail in arrivo. In ordine di esecuzione i controlli possono essere: smtpd_client_restrictions smtpd_helo_restrictions smtpd_sender_restrictions smtpd_recipient_restrictions smtpd_data_restrictions smtpd_end_of_data_restrictions smtpd_etrn_restrictions sni smtpd_etrn_restrictions e' allo stesso livello di smtpd_sender_restrictions, visto che serve quando viene usato il comando ETRN invece di MAIL FROM Il primo è quello deputato ad eseguire i controlli sulle liste RBL sni, i controlli sulla rbl vengono fatti da reject_rbl_client, che puo' essere messo in qualsiasi smtpd_XXX_restrictions Ora è noto a tutti che alcuni grossi provider italiani hanno alcuni dei loro IP in blacklist da anni e non sembrano interessati a cercare una soluzione al problema (ma forse sbaglio). sei poco chiaro come fanno notare altri Il risultato è che se ho un mittente valido che passa attraverso uno degli IP in blacklist per metterlo in whitelist devo farlo sull'IP di provenienza. Ciò significa che tutto ciò che parte da quell'IP verrà considerato valido e passerà oltre. se metti un permit, si con delle restriction_classes puoi far in modo di bypassare il check RBL e basta per alcuni ip. ma e' piu semplice cambiare l'ordine dei controlli, vedi sotto. A me sarebbe piaciuto invece usare un meccanismo diverso, mettendo in whitelist solo la casella di posta o al massimo il dominio del mittente. quella, come dici sotto e' spoofabile, o forse vuoi mettere l'accoppiata ip-dominio ? questo si puo' fare con a) un policy server b) utilizzando le restriction classes, ma diventa complicato se i domini e gli ip sono tanti. La cosa si può fare cambiando l'ordine in cui vengono effettuati i controlli. Ad esempio spostando il primo al terzo posto: non cosi smtpd_helo_restrictions smtpd_sender_restrictions smtpd_client_restrictions smtpd_recipient_restrictions ... Quello che mi sto domandando è che se quelli di postfix hanno scelto una logica nell'ordine dei controlli che cosa rischio nel cambiarla? A quali possibili attacchi alla posta elettronica mi espongo? quello e' l'ordine in cui avvengono le varie fasi di una trasmissione di mail. Non puoi cambiarla in alcun modo. in realta' pero postfix (se e' abilitato smtpd_delay_reject, il default) esegue tutti i controlli fino a smtpd_recipient_restrictions dopo aver ricevuto il destinatario, quindi e' molto piu' semplice mettere tutte le restrizioni in fila dentro a smtpd_recipient_restrictions. ergo puoi mettere i controlli nell'ordine che preferisci, io le DNSBL le ho molto in fondo alla lista, giusto prima del greylisting e del reject finale. in smtpd_data_restriction metto solo quelle che hanno senso li: reject_unauth_pipelining, reject_multi_recipient_bounce end_of data e' legato ad un policy server che uso per i domini che hanno impostazioni diverse sulla dimensione massima della mail. etrn non lo uso e basta. L. -- Luca Berra -- bl...@comedia.it Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Sistemi in HA
On Fri, Jul 16, 2010 at 06:31:52PM +0200, Samuele wrote: @others: mi occupo di DR da qualche anno, e fidatevi, gli storage enterprise si rompono. (si, quelli con i controller ridondati e i path dai controller ai dischi ridondati, etc, etc...) Per motivi di riservatezza non posso entrare nei dettagli, comunque e' piu' probabile che il guasto sia generato da cause ambientali che da rottura di parti. Evitando di citare marche/modelli/clienti, potresti fare comunque qualche esempio di rotture che riescono a bloccare uno storage completamente rindondato? considera che in ogni caso uno storage ridondato e' comunque un insieme di dischi in raid, con protezione N+1 o (raramente) N+2, quindi se qualcosa causa la rottura dei due (o tre) dischi giusti puoi dire addio ai dati che c'erano sopra. Pensandoci, a parte un fulmine che casca sull'edificio non mi viene in mente altro. due esempi recenti: flottante che non regge il peso e si imbarca scarica dell'anti-incendio che parte quando non doveva (l'effetto e' simile ad un terremoto nella zona delle tubazioni e degli ugelli) L. -- Luca Berra -- bl...@comedia.it Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Sistemi in HA
in ritardo e cumulativo che son tornato or ora dalle ferie On Tue, Jun 29, 2010 at 01:44:52PM +0200, Gelpi Andrea wrote: Il problema è che tale configurazione non regge il carico, cioè appena aggiungo VM sui server XEN le prestazioni dell'I/O scendono rapidamente fino a divenire intollerabili. Andrea, qualche tempo fa avevo visto una soluzione simile alla tua su iscsitarget-de...@lists.sourceforge.net ti consiglierei di chiedere da quelle parti, con magari un minimo di dettagli tennici su quanto hai fatto, senno non se ne esce. esistono anche soluzioni di storage commerciali che fanno qualcosa di simile a quello che dici tu (ad esempio cerca san/iq) Lorenzo, DRBD non e' supportato da Xenserver, ok, ma drbd non gira su Xenserver, ma sugli storage-node, quindi che centra? @others: mi occupo di DR da qualche anno, e fidatevi, gli storage enterprise si rompono. (si, quelli con i controller ridondati e i path dai controller ai dischi ridondati, etc, etc...) Per motivi di riservatezza non posso entrare nei dettagli, comunque e' piu' probabile che il guasto sia generato da cause ambientali che da rottura di parti. Inoltre replicare il dato su un altro storage non e' solo una questione di DR, ma anche di HA, vedi ad esempio le varie soluzioni di cluster geografico. L. -- Luca Berra -- bl...@comedia.it Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Aruba e PEC - Password in CHIARO
On Wed, Jun 09, 2010 at 04:55:39PM +0200, Dario Fiumicello wrote: Ciao a tutti Ho una casella PEC fornita dall'ordine degli ingegneri della mia città e gestita da aruba. L'altro giorno volevo entrare ma non ricordavo la password. Clicco sul link del remainder e mi viene spedita nella mia casella di posta elettronica NON CERTIFICATA la password per accedere alla PEC IN CHIARO! benvenuto, personalmente ho sempre ritenuto la pec un enorme p.ata, la maggior parte dei problemi che la pec dovrebbe risolvere potrebbero essere gestiti meglio con una PKI. resterebbero le date di invio e di consegna. la prima era risolvibile con qualche smtp server che la pubblica amministrazione potrebbe gestire in autonomia. la seconda anche adesso e' imho contestabile. L. -- Luca Berra -- bl...@comedia.it Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Advanced routing
On Thu, May 06, 2010 at 10:58:47PM +0200, Gelpi Andrea wrote: I pacchetti in arrivo dall'esterno vengono ruotati correttamente verso la DMZ e correttamente tornano indietro (i source nat e destination nat funzionano come desiderato). Purtroppo però questi pacchetti utilizzano sempre e comunque un solo default gateway, non seguono cioè ciò che sta scritto nella varie routing table. Lo sai che se non dai nessun dettaglio restano chiacchiere da bar, vero? suvvia facci vedere le table e le rule L. -- Luca Berra -- bl...@comedia.it Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Recupero dati dopo formattazione HFS..
On Wed, Dec 30, 2009 at 10:33:07AM +0100, Piero Cavina wrote: Un amico ha inavvertitamente cancellato un hard disk esterno (originalmente formattato in FAT32) collegandolo a un Mac e avviando Time Machine, che lo ha formattato in HFS ed effettuato il backup (come diavolo abbia fatto a non accorgersene dato che Time Machine avvisa su quello che sta per succedere, non voglio saperlo..). Originalmente il disco era quasi pieno, mentre il backup ne deve avere sovrascritto solo una porzione. Esiste qualche possibilità di recuperare una parte dei dati originali? Si può fare più o meno automagicamente con dei tool oppure dovrebbe analizzarlo un esperto di partizioni e file system? http://www.cgsecurity.org/ TestDisk e PhotoRec -- Luca Berra -- bl...@comedia.it Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
Re: R: [ml] syslog remoto di comandi locali
On Mon, Nov 23, 2009 at 09:37:28AM +0100, Rissone Ruggero wrote: -Messaggio originale- Da: ml-boun...@sikurezza.org [mailto:ml-boun...@sikurezza.org] Per conto di Luca Berra Inviato: venerdì 20 novembre 2009 18.21 A: ml@sikurezza.org io quando mi ero occupato della cosa avevo deciso di implementare sudosh (lievemente taroccato per evitare che salvasse le password nel log) Piu' che altro anche sudoshell e' bypassabile (ovviamente quando un amministratore ha la volonta' di farlo). http://www.chrisbrenton.org/2009/08/breaking-out-of-a-sudo-shell/ no, no, io ho detto sudosh (http://sourceforge.net/projects/sudosh/) E il trick indicato sul blog che indichi e' la giusta punizione per i sysadmin gonzi. per leggere un file basta cat per permettere l'editing di un file si usa visudo in altri casi noexec (http://noexec.sourceforge.net/) aiuta ma il mio problema era un po piu' complesso volevo loggare TUTTO, non solo i comandi se pippo fa sudo sqlplus '/as sysdba' potrebbe voler solo cambiare un parametro, o magari alterare dei dati. sudosh logga tutto quello che passa sul terminale L. -- Luca Berra -- bl...@comedia.it Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] syslog remoto di comandi locali
On Wed, Nov 18, 2009 at 11:03:06AM +0100, Paolo Pedaletti wrote: ciao in seguito alla discussione sulla centralizzazione dei log per controllare l'attivita' delle macchine (e degli utenti) mi era venuto in mente di remotizzare anche la bash_history. Ho provato a fare mkfifo /tmp/bash_history.$USER export FILENAME=/tmp/bash_history.$USER e' un typo solo nella mail o anche nel sistema (la var si chiama HISTFILE) ? ma anche svuotando il buffer con history -w non appare niente nella pipe (che poi avrei inviato tramite syslog-ng/rsyslog su un'altra macchina) Idee? il fatto che il file di history non sia piu' leggibile e' fastidioso.. e ci sono 1000 modi per bypassarlo 'csh' e' il modo piu' difficile da contestare a qualcuno che analizzi il log. io quando mi ero occupato della cosa avevo deciso di implementare sudosh (lievemente taroccato per evitare che salvasse le password nel log) L. -- Luca Berra -- bl...@comedia.it Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Cancellazione definitiva dati da HD
On Wed, Nov 04, 2009 at 09:26:35AM +0100, Paolo Cavarretta wrote: On Tue, Nov 3, 2009 at 10:27 PM, Luca Berra bl...@comedia.it wrote: 05 Reallocated Sectors Count Count of reallocated sectors. When the hard drive finds a read/write/verification error, it marks this sector as reallocated and transfers data to a special reserved area (spare area). ok, e cosa succede se prima di eseguire dd faccio smartctl -s off ? le aree spare ridiventanto accessibili anche a dd...? uhm, non ci avevo pensato, quindi se quando mi arrivano le segnalazioni che il parametro 194 si sta alzando basta che faccio smartctl -s off e il disco si raffredda? L. -- Luca Berra -- bl...@comedia.it Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Cancellazione definitiva dati da HD
On Tue, Oct 27, 2009 at 08:50:42AM +0100, Stefano Fanari wrote: Salve a tutti, avrei la necessità di cancellare in maniera *definitiva* dei dati presenti in un HD; mi potreste suggerire un buon software che faccia a caso mio? Inoltre esiste un programma in grado di rimuovere tutti i dati personali presenti in un profilo windows (cookie, file temporanei ecc...)? dipende molto da quanto sono sensibili i dati in questione nel 99% dei casi un dd e' sufficiente se i dati erano sensibili e/o esiste la reale possibilita' di un serio attacco mirato al recupero di porzioni anche minime di questi dati, allora e' necessario stare attenti anche ai settori reallocati, perche' questi non vengono riscritti da un dd. Il conto dei settori riallocati si ottiene con un interrogazione smart, o con una mode page scsi che non ricordo piu'. In caso di dubbi, il fuoco purifica :P L. -- Luca Berra -- bl...@comedia.it Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Dati su chiavetta usb.
On Fri, Jul 31, 2009 at 08:18:58PM +0200, Alberto Almagioni wrote: L'idea e' trovare un software che, avendo un eseguibile sulla chiavetta, all'inserimento di quest'ultima in un pc (tutti windows) chieda una password per accedere ai dati. Inserita la password i dati dovrebbero essere accessibili in modo semplice e diretto come se fossero in una normale struttura di directory non protette. mettici su TrueCrypt Portable (http://www.truecrypt.org/docs/truecrypt-portable) o FreeOTFE Explorer (www.freeotfe.org), entrambi non richiedono di essere installati e offromo un ottimo grado di protezione. ggiungici un autorun che li lancia all'inserimento della chiavetta e sei apposto. Se la chiavetta in questione e' U3 puoi anche mettere il sw al posto dell'immagine cd dell'U3 (e' pieno di tutorial su come si hackerano le U3) L. -- Luca Berra -- bl...@comedia.it Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Hardware firewall vs software firewall
On Sun, Jul 26, 2009 at 03:11:03PM +0200, Samuele wrote: Buongiorno a tutti, scrivo per chiedere un vostro parere obiettivo riguardo alla sicurezza delle soluzioni di firewall fatte tramite software comparate alle appliance tipo sonicwall, checkpoint ecc. hai veramente gia' detto tutto tu. :P L. -- Luca Berra -- bl...@comedia.it Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Relabel di nastri
On Thu, Jun 04, 2009 at 11:55:57AM +0200, Michele Gardellin wrote: Luca Berra ha scritto: On Thu, May 28, 2009 at 09:06:27AM +0200, Michele Gardellin wrote: Il TAPE normalmente non blocca nessun tipo di accesso, magari lo fà il software. Non conosco Legato ma da linux con mt (GNU cpio) si può spostarsi e leggere in qualsiasi punto di un nastro. no, non puoi r...@moskowskaya ~ # mt eod r...@moskowskaya ~ # mt tell At block 7736. r...@moskowskaya ~ # mt seek 7700 r...@moskowskaya ~ # mt tell At block 7700. r...@moskowskaya ~ # mt seek 9700 /dev/tape: Input/output error r...@moskowskaya ~ # mt tell At block 7736. Non è che eri alla fine del nastro ? Che streamer usi ? definisci fine del nastro a) fine dei dati b) fine del media fisico ero ovviamente alla fine dei dati, non del media fisico il media in questione era stato sovrascritto con una quantita' di dati _inferiore_ a quella precedente, ma non e' tuttavia possibile accedere ai dati non sovrascritti. nel caso particolare si trattava di un dds. Sinceramente sto scorrendo avanti ed indietro su un AIT2 della casa madre senza problemi. Stessa cosa la faccio da diverso tempo anche sui DDS. provalo. L. -- Luca Berra -- bl...@comedia.it Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Il misterioso wpad.it
On Wed, May 20, 2009 at 08:33:48PM +0200, Giuseppe Gippa Paterno' wrote: Ciao! in questi giorni ci stavamo interrogando (http://allievi.sssup.it/techblog/?p=81) sul servizio di autoconfigurazione dei proxy wpad. Secondo me questo e' un buco piu' di una funzionalita' del facilitatore del browser, che spesso per facilitare l'utente appende in autonomia un dominio. la cosa e' nota da ere geologiche, guardate http://wpad.com/ Probabilmente la stessa funzione di codice e' stata utilizzata (erroneamente) anche per il wpad: in realta' il browser dovrebbe limitarsi al dominio locale o (proprio ad esagerare) ai search domains della macchina. il resolver di windows risale automaticamente la gerarchia del dominio locale (non ricordo esattamente se si fermi prima del tld.), la funzionalita' e' anche utile in un network con subdomain dipartimentali... e credo sia _molto_ utile se questi sono rami di una foresta ADS. sempre meglio del networkmanager di ubuntu al quale e' impossibile passare una searchlist via dhcp Forse mi tirero' le ire dietro di molti, ma non sarei d'accordo al fatto che il nic .it o altri nic bloccassero il wpad, in fondo non compare in nessun RFC ma e' un de-facto standard. Da quello che ricordo dalla defunta ITA-PE, il NIC dovrebbe bloccare i protocolli noti, non eventuali protocolli non standard e per di piu' male implementati. uhm, ricordando la fatica che feci quasi 15 anni fa per registrare il mio dominio, credo che si sia passati da un estremo all'altro, quindi credo sia ragionevole bloccare la registrazione di certe porcate. Sono d'accordo con te sul fatto che e' un potenziale punto di attacco e che questo comportamento va fissato sul browser. assolutamente Short-term, vale la pena pensare ad un eventuale possibile filtraggio su proxy, almeno per le aziende. su proxy, al limite taroccando la zona del dns, assieme a time.windows.com e ad un altro po' di idiozie simili. btw la mia lista di tarocchi sul dns sta diventando lunghetta da mantenere. L. -- Luca Berra -- bl...@comedia.it Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] certificati ssl e gandi
On Fri, Mar 13, 2009 at 11:43:43AM +0100, Paolo Marchiori wrote: per ovviare a questo inconveniente, è possibile avere più CN assegnati allo stesso certificato (Certificate Subject Alt Name) ma ovviamente chi te lo firma deve supportarlo... e questi credo siano i certificati multi-domain. puoi anche mettere come CN *.domain.com, questo crea un certificato che viene accettato per tutti gli host del dominio. L. -- Luca Berra -- bl...@comedia.it Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Fax Server - Inalterabilita' orario ricezione
On Sun, Feb 22, 2009 at 11:10:58PM +0100, Giuseppe Careri wrote: Posto che attraverso una sincronizzazione attraverso NTP con intervalli ristretti posso garantire la correttezza dell'orario al secondo, non posso pero' garantire che come gia' ha fatto notare Marco ntp deve girare costantemente. inoltre un secondo e' tantissimo un amministratore alteri l'orario poco prima della ricezione di un fax o ancora staccare la un amministratore con doti di preveggenza? connettivita' internet e quindi impedire il sicronismo. Per impedire che il sistema venga manomesso puoi fare in modo che venga generato un log su un altro sistema, esistono strumenti (mi viene in mente secure-syslog di core-sdi, lo fanno ancora?) che garantiscono l'inalterabilita' del log prodotto, o quantomeno che una contraffazione sia evidente. Il cliente ci parlava anche di una normativa che impone loro di avere gli apparati fax tradizionali sigillati, quindi intoccabili. Ho googlato un po' in giro ma non ho trovato niente in merito. e come si fa a cambiare la carta? se la cosa fosse vera allora tutto l'esercizio e' inutile. se invece si trattasse di una possibile interpretazione della normativa potresti proporre una soluzione al cliente. -- Luca Berra -- bl...@comedia.it Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] ssh SOLO con chiave per UN utente
On Wed, Dec 24, 2008 at 09:32:38AM +0100, JohnnyRun wrote: Sanata wrote: Ora, premesso che se fosse troppo complicato rimediare potrei risolvere impostando una volta per tutte una password lunghissima, complicata e impossibile anche per me da ricordare, volevo sapere se ci fosse un Devi bloccare l'account con passwd -l. Troverai qualcosa come gianni:!:, all'interno dello shadow. E se l'utente prova a cambiare la password, gli viene chiesta la vecchia password, che in sostanza, non esiste. Il meccanismo delle chiavi, continua a funzionare. attenzione a questo e al metodo dell'asterisco, alcune versioni di ssh controllano e decidono che l'utente e' disabilitato. (si ci ho sbattuto contro e mi sono fatto male) L. -- Luca Berra -- bl...@comedia.it Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] suid, limits e via dicendo
On Thu, Nov 20, 2008 at 03:36:26PM +0100, Andrea Dainese wrote: Salve a tutti, mi trovo con un problema e una parziale soluzione; magari riuscite a completarla e farmi felice :) Prologo: Una cerca applicazione (SAS) gestisce l'autenticazione grazie a dei binari lanciati come utente sas con suid root (bello, eh?). Quando l'utente fa login, l'applicazione fa (credo) un fork con l'uid dell'utente. Bene, solo che tale utente ha come piacere il fatto di creare file da giga consumandomi tutta la pagecache. Messo un limite sull'utente: #/etc/security/limits.conf utente hard fsize 200 domanda: sas usa pam per autenticare l'utente?, nel caso invoca anche pam_open_session() ? L. -- Luca Berra -- [EMAIL PROTECTED] Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Pseudo freecap per mac?
On Sun, Nov 09, 2008 at 05:20:01PM +0100, Diego Giurgola wrote: Ciao a tutti. Cerco un programma tipo Freecap per Mac; ho trovato un certo Proxifiler, ma è a pagamento. Ne conoscete uno free? Grazie mille. se non sbaglio freecap e' un client socks per windows, sotto unix uno dei client socks piu' usati si chiama dante, quindi: http://www.google.it/search?q=dante+mac+os+x mi da come primo link http://dante.darwinports.com/ L. -- Luca Berra -- [EMAIL PROTECTED] Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] modello di Documento Programmatico sulla Sicurezza con licenza aperta
On Fri, Jun 06, 2008 at 04:07:57PM +0200, manlio torquato wrote: Segnalo che sul sito http://www.compliancenet.it/ e' stato pubblicato un modello di Documento Programmatico sulla Sicurezza (DPS) per la piccola e media impresa liberamente utilizzabile e rilasciato con licenza Common Creative. Il link e': http://www.compliancenet.it/content/privacy-un-esempio-di-dps-per-pmi-con-licenza-aperta Il modello è disponibile sia in formato OpenOffice 2.4 sia in formato pdf. non mi sembra molto liberamente utilizzabile http://creativecommons.org/licenses/by-nc-nd/2.5/it/ L. -- Luca Berra -- [EMAIL PROTECTED] Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] creazione vlan 802.1q
On Tue, Mar 18, 2008 at 01:36:42PM +0100, Mailing List Manager wrote: ho provato con vari server ma stesso problema da manuale c'? scritto di assicurarsi che la nic del server supporti 802.1q che problema potrebbe essere? che la scheda di rete del server non supporta le vlan, ovvero che non hai configurato la scheda del server per utilizzare le due vlan? L. -- Luca Berra -- [EMAIL PROTECTED] Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] richiesta d'aiuto vitale
On Tue, Mar 18, 2008 at 04:58:37PM +0100, Giuseppe Paterno' (Gippa) wrote: Ciao! Mi permetto di intromettermi, anche se mi sento un po' inadeguato a rispondere visto la complessita' del tema. ... Per quanto riguarda la comunicazione scritta (email, appunti, ecc) e' il caso che si dotino di un palmare o di un piccolo computer portatile (tipo eePC) e criptino i messaggi o gli scritti attraverso GPG/PGP o altre forme di crittografia. A quel punto mandare la mail o gli allegati tramite gli internet cafe' con una chiavetta USB. Attenzione: IMHO criptare direttamente sul PC del cafe' potrebbe creare problemi per keyloggers o cose del genere. sottoscrivo quanto detto dal buon Gippa, inoltre consiglio di utilizzare qualcosa come steghide (http://steghide.sourceforge.net/index.php) per nascondere il fatto che si stia comunicando informazioni 'sensibili' all interno di 'innocue' immagini (che so foto delle vacanze) da mandare magari su qualche newsgroup o sul proprio blog. La mia impressione e' che gia' solo destare il sospetto, negli organi di controllo locale, di essere un informatore, possa essere sufficiente per incorrere in rischi per l'incolumita' personale. L. -- Luca Berra -- [EMAIL PROTECTED] Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Dubbio implementazione DMZ su Netgear DG834 V3
On Thu, Feb 14, 2008 at 01:12:25PM +0100, Sanata wrote: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Scusate la domanda niubba ma smanettando col mio Netgear DG834 V3 mi sono venute alcune perplessita'... Premetto che so bene che magari non e' quel prodotto professionale Cisco-like che molti di voi saranno abituati ad usare... ma in ambito home resta uno dei migliori router economici in circolazione, e finora non mi aveva dato nessun problema. il netgear e' un bel giocattolino, e a parte qualche bachetto dell'interfaccia web (risolvibile modificando a mano il file di conf) fa una serie di cose interessanti. Il problema mi si sta ponendo ora che per fare alcune prove ho messo una macchina della mia lan in DMZ (il router in questione prevede di poter mettere in DMZ un singolo IP della lan), chiamiamo questa macchina pippo. Purtroppo la dmz non e' una di queste il netgear prevede solo due zone, internet e lan+wireless, nessuna dmz. E' normale o c'e' qualcosa che non va? Pare come se l'implementazione della DMZ sia stata fatta semplicemente come port forwarding generale di default, e non come separazione delle reti! questa e' la versione corretta. Se fosse questo il caso (grave imho), c'e' speranza secondo voi, E' semplicemente una questione di terminologia usata a sproposito, l'assenza di questa funzionalita' non e' cosi grave per un prodotto home. abilitando la modalita' telnet di debug del netgear ed agendo a livello di iptables da riga di comando, di inserire una regola che vieti a pippo di raggiungere tutti gli IP della lan? Voi come fareste? non puoi, le porte ethernet del netgear sono viste come una singola lan (eth0) L. -- Luca Berra -- [EMAIL PROTECTED] Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Drive-by pharming
On Tue, Feb 12, 2008 at 07:34:58PM +0100, Mailing List Manager wrote: - Forwarded message from Iceman iceman.linux(at)gmail.com - From: Iceman iceman.linux(at)gmail.com To: ml(at)sikurezza.org Subject: Re: R: [ml] Drive-by pharming Io sono nuovo di questa lista. Ho letto il messaggio di jjdanimoth per? non ci ho capito molto. In particolare quando dopo aver fatto iptables _L dice orrore. Che cosa c'e' che non va? Scusate la mia ingenuit? ma vorrei capire un po' di pi?. O se non altro indicatemi dove posso approfondire tali argomenti. Ciao, Iptables ? il pi? comune firwall usato sulle distribuzioni GNU/Linux. Prendo solo una riga di esempio: ACCEPT tcp -- anywhere anywheretcp dpt:telnet Questa rule dice che chiunque pu? avere libero accesso alla porta 23 (telnet) del router in questione. Il telnet viene comunemente aperto cos? come la porta 80 (http) per permettere un facile accesso per la gestione. la riga riportata sopra non dice nulla, per favore... pensa che la prima linea del mio iptables e': [EMAIL PROTECTED] ~ # iptables -L INPUT|head -3 Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere E' ancora pi? curioso notare la rule di LOG: LOGtcp -- anywhere anywheretcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion - ' Questa controlla che, all'interno di un pacchetto TCP non vi sia una anomala settatura delle flags, le quali denotano un corretto o meno stato di una sessione. In questo caso viene messa la divertente dicitura: Intrusion. Permettetemi la grassa risata! :-D come negarti il piacere di una risata? detto questo, faresti gentilmente ridere anche noi? La linea che riporti sopra logga i pacchetti con il flag SYN settato e RST e ACK non settati (in pratica il primo pacchetto di una qualsiasi connessione TCP, nulla di anomalo sotto il sole) Per quanto riguarda la letteratura, beh Tcp/Ip Illustrated volume 1 ? dopo aver letto la bibbia io una scorsa alla man page di iptables la darei. L. -- Luca Berra -- [EMAIL PROTECTED] Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
Re: R: [ml] Drive-by pharming
On Sat, Feb 02, 2008 at 08:46:46PM +0100, JJDaNiMoTh wrote: Se un router accetta solo connessioni da un certo range di IP (come avviene di norma) si possono spoofare in tranquillita'. Peggiore e' il caso, di come dici tu, di router che hanno l'80 ( e spesso la 23 ) aperta. Da pochi giorni mi e' arrivato un router Telsey per il voip di tele2, e incuriosito da questo topic mi sono loggato e ho digitato iptables -L. ORRORE!! prova a digitare iptables -vL, please. L. -- Luca Berra -- [EMAIL PROTECTED] Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Mail server question
On Mon, Nov 12, 2007 at 08:02:33PM +0100, dany wrote: Il 21/09/07, Luca Berra[EMAIL PROTECTED] ha scritto: On Thu, Sep 20, 2007 at 11:48:02AM +0200, Fabio Panigatti wrote: Ma se ammettiamo la possibilita' del primo attacco, non possiamo escludere a priori il secondo. ..In questo scenario risulta poi molto piu facile entrare nella lan, piuttosto che nella DMZ.. che diventa secondo me inutile. Il relay potresti evitarlo, e utilizzare quella macchina in piu', un po' 'maggiorata', se serve, come proxy.. miglioreresti la sicurezza globale.. Giuro che non ho capito quello che stai dicendo, probabilmente la vecchiaia. Se pero tu quotassi meglio quando ti attacchi ad un thread di un mese e mezzo fa magari sarebbe piuà facile L. -- Luca Berra -- [EMAIL PROTECTED] Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Backscatter
On Sun, Nov 11, 2007 at 10:59:42AM +0100, Skull wrote: whiplash wrote: Se è vero che fai il reject con un codice 550 (quindi immediatamente dopo il comando RCPT TO) Non necessariamente subito dopo RCPT TO: se uso ad esempio un content filter in prequeueing, ovvero nel corso della transazione smtp, il MTA può rispondere con un 550 anche dopo il DATA. Ni. O, meglio: tecnicamente avresti anche ragione, ma se la mail ha 50 destinatari e solo uno non esistente, rigetteresti la consegna per tutti, il che non è molto sensato. Quando si usa un content-filter sui dati generalmente si controlla qualcosa di piu' che l'esistenza di un destinatario. Immagino che wiplash intendesse questo. Arrivare a invocare un content-filter solo per determinare l'esistenza del destinatario e' masochismo. I content-filter in pre-queue del resto sono molto utili perche' non generano troppo backscatter(*) e hanno il vantaggio di allertare il mittente nel caso di una mail che non rispetti i requisiti (ad es. dimensione). L'unica limitazione spiacevole e' che se il content-filter ha regole diverse per destinatario, potresti ritrovarti nella condizione di dover rigettare tutta la consegna anche per un solo destinatario. Mi pareva che ci fossero delle proposte per estendere SMTP in tal senso, ricalcando quello che fa lmtp. http://tools.ietf.org/html/draft-hall-deferrals-00 http://www.courier-mta.org/draft-varshavchik-exdata-smtpext.txt in questo thread se ne citano un altro paio http://www.imc.org/ietf-smtp/mail-archive/msg02949.html tuttavia per il momento non mi sembra che si sia arrivati ad una decisione. Al di là che tu possa anche rigettare alla chiusura della fase data, è corretto che i destinatari inesistenti sfocino in errore direttamente dopo il relativo RCPT TO. Certo. L. (*) dico non troppo perche' purtroppo diversi open relay a fronte di un 5xx generano backscatter, ma questo non e' ovviamente aggirabile. L. -- Luca Berra -- [EMAIL PROTECTED] Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Problema sicurezza Php 5
On Mon, Oct 22, 2007 at 11:45:03AM +0200, Alessandro wrote: Buongiorno a tutti, sperando di non essere in off-topic, volevo avere una informazione inerente ad un problema di security sul mio server web: La macchina è una centos 5 con su apache 2, php 5.0, mysql 5, mod_security, suphp 0.6, il problema e che su un sito di un cliente, lanciando lo script stampa.php?dir=/ riesce a vedere tutta la root del sistema (tranne la etc bloccata da mod_security). Avete qualche idea per bloccare questo tipo di comportamento senza abilitare l'opzione Safe_Mode in php.ini (non posso bloccare gli upload) Ringrazio anticipatamente Alessandro ma visto che hai una centos, usare selinux? L. -- Luca Berra -- [EMAIL PROTECTED] Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
Re: R: [ml] Mail server question
On Tue, Sep 18, 2007 at 11:07:16AM +0200, Domenico Viggiani wrote: -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of riccardo diago Sent: Monday, September 17, 2007 8:57 PM Se ad ora dovessi implementare un mail server penso che userei una mutua autenticazione e consentirei solo alla macchina interna di prelevare le emails dal relay. Il mio dubbio è ora quale può essere la strategia migliore per implementare questo tipo di struttura?o per essere più chiari cosa fareste per realizzare una struttare del genere? E soprattutto mi chiederei: come si realizza con Exchange? Chi vuol capire, capisca... ;-) capire non ti capisco, cmq Exchange 2003 supporta ATRN L. -- Luca Berra -- [EMAIL PROTECTED] Communication Media Services S.r.l. /\ \ / ASCII RIBBON CAMPAIGN XAGAINST HTML MAIL / \ http://www.sikurezza.org - Italian Security Mailing List
