Re: Risparmiare su catena CI-CD ?

[tag 636]

On Sun, 15 Mar 2020, 12:05 ED,

In questo

> contesto mi occupo principalmente di testing (vedi mail precedente). Hai
> esperienza diretta anche in quel campo per tool open e/o economici che
> siano davvero efficaci e si integrino bene in catene CI-CD?
>
> Saluti
>
> --
> ED
>

CI/CD integra il testing, quindi ti ho perso...stai parlando di qualcosa
tipo defectdojo?

https://github.com/DefectDojo/django-DefectDojo

Per me CI/CD e' omnicomprensiva...bisogna che spieghi meglio o butto in
/dev/null :)

Ciao

Risparmiare su catena CI-CD ?

[tag 636]

> Sto cercando di ottimizzare la spesa per i tool di sicurezza in una
> catena CI-CD.
>

Dai un occhiata seria a OpenShift ma in particolare anche

https://www.okd.io/

Se guardi l'intera CI/CD e' multicloud e integra security

https://docs.openshift.com/container-platform/3.6/security/build_process.html

Secondo me se aggiungi nel tuo design

https://istio.io/
e
https://falco.org/

Hai fatto le cose a modo a 360 gradi, se vault e IAM in genere segui le
best practice.

Jfrog potrebbe essere un altro buon bookmark

https://jfrog.com/open-source/

E Aquasecurity ha un bel repository

https://www.aquasec.com/products/open-source-projects/

Se vuoi andare commerciale, considererei anche Twistlock, soprattutto se
hai fragmentazione e un'insalata mista di IaaS, PaaS e FaaS che vuoi
unificare.

Dovrei essere riuscito a darti un po' di idee, se hai bisogno tira un urlo.

Ciao

Info post wapt come procedere ?

[tag 636]

//Mi sarebbe piaciuto anche un approccio lato codebase

non ti offendere ma non puoi affrontare un argomento tale in questa
maniera, stai facendo un polpettone... SAST/DAST/RASP vanno lungo tutta la
CI/CD e a volte sono correlati a specifiche della tua pipe line, solo dopo
fai un Pentest. Se usi un Openshift hai gia' una CI/CD strutturata in un
modo SecDevOps, ma dipende da cosa hai e che linguaggi usi.

Non fai un pentest finche' non hai fatto una code review o perdi solo
tempo. Leggiti un po' di SecDevOps, fatti un'idea di che tool usi e come
funziona la tua integrazione...poi rifai le domande in base a cosa e' il
tuo problema o qua il thread diventa wikipedia della webapp.

Pentest e' l'ultimo anello, non il primo.

ciao

Re: Subject: Versione digest di ml@sikurezza.org issue 462 (1113)

[tag 636]

>
> volevo chiedere se esistono linee guida, ma anche consigli etc. sulle
> azioni da intraprendere dopo aver ricevuto un report di un wapt
>

se vuoi integrare nella CI/CD, dai un'occhiata a

https://www.defectdojo.org/


non sono sicurissimo di aver capito la tua necessita', ma spero di esserci
arrivato vicino :)

ciao

>

[ml] configurazione di rete x infrastruttura VA?

[tag 636]

//Non risolve il mio dilemma iniziale, ovvero come ottimizzare
distribuzione, gestione e messa in sicurezza di un software di network VA
autenticato su una rete geografica ed eterogenea

tralasciando che la frase mi ricorda Amici miei... e il commento
sull'indiano e' alquanto offensivo considerando che ti sta dando un
progetto opensource (tra l'altro con licenza BSD) che ti puoi leggere il
sorgente e riusare anche per scopi commerciali senza redistribuire il
codiceche e' solo un framework di automazione basato su Jenkis, le
credenziali le metti su Nessus non su archeryche spero abbia gli
ingegneri del paese che preferisci

quando andrai a presentare il tuo progetto a Black Hat, spero non ti
facciano gli stessi commenti. quando poi leggi come K8s funziona forse
vedrai che ti stavo dando un approccio.

[ml] configurazione di rete x infrastruttura VA?

[tag 636]

//Poniamo che dobbiate mettere in piedi una infrastruttura di VA

Dai un occhiata ad archery

https://github.com/archerysec/archerysec
ti permette una buona automazione via jenkis e la flessibilita' di
coniugare tutti gli engine che vuoi, in teoria puoi anche decidere di usare
unDradis per il reporting se hai bisogni specifici in questa area.

Per monitoraggio di reti, dai un occhio a open nms

https://www.opennms.org/en/opennms

il libro di Tao security ti puo' dare degli spunti buoni

https://www.amazon.com/Practice-Network-Security-Monitoring-Understanding/dp/1593275099/ref=mp_s_a_1_1?keywords=security+monitoring=1561122166=gateway=8-1

per web app...sono per un'integrazione nella CI/CD con SAST e DASTun
tipico SecDevOps loop, only web VA non serve a molto.

Da un punto di vista di architettura, usa un approccio via containers che
spari dove vuoi via k8s o simili.

Lo scan pubblico sento tanti alle conferenze che usano shodan, se non hai
il requirement PCI dell'esterno e hai bisogno di un reporting evoluto. Se
allinei con le API da un punto di vista di intelligence, sincronizzare cosa
un bot trova e' smart.

Quando valuti VA, considera se non integrare anche threat hunting
centralizzando DNS security, end point e CASB/IAM in cloud. Se hai tanto
Win, controlla se una soluzione come l'ultimo sysmon (aggiornato con DNS
entry flag) e non ti dimenticare i problemi di Powershell.

In pratica il riassunto e' se devi fare una review a questi livelli da un
punto di architettura, integra CI/CD security e vedi se non riesci a
razionalizzare gli investimenti, magari guardando anche all'incident
response allo stesso tempo integrando The Hive, MISP e altre cosese
devi mettere le mani metti tutto in discussione, per avere piu' automazione
che puoi, ma vai container o l'hardening e automatizzazione ti diventa
un'incubo

Ciao

Re: [ml] configurazione di rete x infrastruttura VA?

[tag 636]

aggiungo anche l'ottimo security onion che ti puo' aiutare con ELK stack e
network monitoring (network miner, IDS stuff, etc)

https://securityonion.net/

ciao


On Fri, 21 Jun 2019, 15:19 tag 636,  wrote:

>
> //Poniamo che dobbiate mettere in piedi una infrastruttura di VA
>
> Dai un occhiata ad archery
>
> https://github.com/archerysec/archerysec
> ti permette una buona automazione via jenkis e la flessibilita' di
> coniugare tutti gli engine che vuoi, in teoria puoi anche decidere di usare
> unDradis per il reporting se hai bisogni specifici in questa area.
>
> Per monitoraggio di reti, dai un occhio a open nms
>
> https://www.opennms.org/en/opennms
>
> il libro di Tao security ti puo' dare degli spunti buoni
>
>
> https://www.amazon.com/Practice-Network-Security-Monitoring-Understanding/dp/1593275099/ref=mp_s_a_1_1?keywords=security+monitoring=1561122166=gateway=8-1
>
> per web app...sono per un'integrazione nella CI/CD con SAST e DASTun
> tipico SecDevOps loop, only web VA non serve a molto.
>
> Da un punto di vista di architettura, usa un approccio via containers che
> spari dove vuoi via k8s o simili.
>
> Lo scan pubblico sento tanti alle conferenze che usano shodan, se non hai
> il requirement PCI dell'esterno e hai bisogno di un reporting evoluto. Se
> allinei con le API da un punto di vista di intelligence, sincronizzare cosa
> un bot trova e' smart.
>
> Quando valuti VA, considera se non integrare anche threat hunting
> centralizzando DNS security, end point e CASB/IAM in cloud. Se hai tanto
> Win, controlla se una soluzione come l'ultimo sysmon (aggiornato con DNS
> entry flag) e non ti dimenticare i problemi di Powershell.
>
> In pratica il riassunto e' se devi fare una review a questi livelli da un
> punto di architettura, integra CI/CD security e vedi se non riesci a
> razionalizzare gli investimenti, magari guardando anche all'incident
> response allo stesso tempo integrando The Hive, MISP e altre cosese
> devi mettere le mani metti tutto in discussione, per avere piu' automazione
> che puoi, ma vai container o l'hardening e automatizzazione ti diventa
> un'incubo
>
> Ciao
>
>
>
>
>
>
>
>
>
>
>
>
>

[ml] SSH inspection. Pareri?

[tag 636]

//Grazie per lo spunto di riflessione

ne aggiungo un altroSSH supporta nativamente il double hop, che da un
punto di vista di regole di firewall e di inspection e' una bella furbata,
perche' ti eviti tanti problemi, incluso un reverse shell dall'end point.

Spero che chiunque abbia fatto questo post prima di questa domanda
esistenziale abbia pensato a DNS security per evitare DNS tunneling per
data exfiltration, perche' 99% delle volte poi e' quello una delle
metodologie piu' frequenti.

Per esperienza rimango sempre colpito da discorsi che spaccano il capello
sulla deep inspection, per poi vedere una leggerezza sul generale, esempio
se ci son i certificati su IPS, DNS aperto ovunque per tunneling e senza
black holing, etc, etc.

Se vuoi fare deep inspection, la devi fare ovunque su tutto, on-prem e
cloud, con i problemi che ne vengono con end to end, cloud tapping mal di
testa e il prox Tls 1.3 che fara' venire i vermi a tanti.

SSH double hopping e' una buona pratica di igiene anche per le regole di
firewalling ma purtroppo e' un opzione sottovalutata, come del resto il
port knocking e altre cose che male non farebbero, ma che il mercato non fa
trending perche' il man non lo si legge e vendor X non lo sa

Re: [ml] Info su come approcciare ad un pen test preciso

[tag 636]

//Perché quello che ho capito dalle challenge online fighissime è utili e
che non ti permettono  (anche se ti insegnano cmq tanto altro ) di
maturare quella
sensibilità che poi ti servirà in quei casi che stavo descrivendo cioè
operare a sistema live, ed  ho trovato poco anche in rete purtroppo...

1) se fai pentest su live system per hobby, o fai un bug bounty e segui lo
scope o non dovresti essere li, le regole son scritte impresse nella pietra
e ben chiare

2) Se sei nel security team e fai production testing probabilmente sei in
un A/B deployment, quindi non e' un gran problema

3) se sei del security team e fai un analisi, cerchi l'attack vector in
produzione ma il payload lo esegui in testing

Se usi CTF come hackthebox, pentestlab o qualunque altro, non e' vero che
non acquisisci sensibilita', tutto e' a layer 8

Non esiste un bug bounty program che permetta scan results e tools
automatici, quindi, non esiste il problema di primo

[ml] Re: Subject: Versione digest di ml@sikurezza.org issue 413 (1026)

[tag 636]

>
> Detto questo ecco la mia domanda.  Perchè la maggior parte dei tool
> applicano massivamente tutti gli attacchi senza nessun controllo ?
>

Zap e' web based e fai piu' passive gathering via proxyBurp non cambia,
hai plug-in o setting per active scanning, ma generalmente e' piu' analisi
di cosa il proxy vede e replay delle richieste.

Se parli di scanners in termini di infrastruttura, esempio Tenable Nessus,
nei plug-in hai la categorizzazione per decidere quanto invasivo sei e la
maggioranza degli scanner hanno la stessa cosa.

Se da come scrivi vuoi profilare e in base ai risultati fare cose, in base
a cosa usi generalmente lo scripti.

La tua domanda e' un po' generica, puoi usare uno scenario per spiegare
meglio?

>

[ml] Pareri su secuirty.txt

[tag 636]

Son stato cosi' contrario da quando e' uscita la draft da contattare
direttamente Benjamin (security lead) e Shafranovich (draft owner)

https://tools.ietf.org/html/draft-foudil-securitytxt-04

persino l'autore della draft ha registrato una marea di pareri contrari.

Se ti controlli la draft noterai che la PGP signature del security team
sarebbe inclusa come URI, che potrebbe essere benissimo un BeeF per hook up
in attesa, insomma la struttura che hanno deciso, sembra disegnata ad-hoc
per malware e phishing.

DNS TXT record sarebbe la mia preferenza, ha tempi tali da renderti conto
se ci son cambi e cambi di zona di solito vengono segnalati, cosa che sulla
root dovresti avere il FIM e non tutti lo hanno, pensa a un WordPress zero
day che cambia tutti i security.txt di colpo per malware distribution.

Web con js/iframe/injection e' piu' semplice da venir manipolato che un
record DNS.

Mi son lamentato che registrare una draft e' un lavoro e storzo esagerato,
di risposta Benjamin mi ha detto che per questo motivo hanno ora introdotto
il secdispatch, ma solo come proposal, quindi ti tocca ad ogni modo la
draft.

Da un punto di vista tecnico, comparare la facilita' di manipolare una
pagina web, rispetto a un record DNS e' palesemente uno svantaggio, se poi
questo non e' un argomento che consideri prioritario, vai contro il
principio di Confidentiality, Integrity and Availability.

Saluti





On 3/21/19 12:06 AM, Gerardo Di Giacomo wrote:
> Qualche sostenitore del "contro" farebbe la cortesia alla lista di
> fornire motivazioni valide e giustificate? D'altronde siamo tutti (?)
> professio nisti del settore, dovremmo comunicare in modo appropriato e
> con un minimo di analisi critica.
>
> Finora ho solo letto teorie complottiste e nessun threat reale che
> giustificherebbe il non usare quello standard.
>
> Ringrazio in anticipo in nome di quelli a favore.
>
> Gerardo

>

[ml] Re: Subject: Versione digest di ml@sikurezza.org issue 389 (980-981)

[tag 636]

Per un motivo di integrazione, fossi in te considerei le modifiche che
hanno introdotto con il nuovo Intune in Azure, ti permette di integrare
IAM/AD con Azure security center che da un punto di vista di alarmi non
sarebbe male. Mi sembrerebbe la soluzione piu' slim e centralizzata e
supporta iPad*


*Da:* Giuseppe Paternò  *Per conto di *Giuseppe Paterno'
>> *Inviato:* martedì 12 febbraio 2019 15:30
>> *A:* ml@sikurezza.org
>> *Oggetto:* [ml] MDM con Windows 10 e Mac
>>
>>
>>
>> Ciao a tutti!
>>
>>
>>
>> Sono sparito da un po' dalla scena della "sechiuriti" e provo a
>> "buttarvi" una domanda quasi da niubbo.
>>
>> In un nuovo ambiente sto pensando di sostuire il dominio "tradizionale"
>> con le GPO, con una filosofia quasi BYOD, ma che mi permetta di fare un po'
>> di enforcement di policies, in particolare di lockdown. L'ambiente sara'
>> principalmente Azure AD (che purtroppo AFAIK fa poco enforcement).
>>
>>
>>
>> Per fare questo sto cercando un MDM (SaaS?) che sia in grado di gestirmi
>> principalmente Windows 10 e Mac OS (ci sono anche ipad, ma sticazzi)
>>
>>
>>
>> Sto usando per mio sollazzo comodo come mdm, ho la sensazione che gli
>> manchino alcune funzionalita'.
>>
>> Sembrera' una cavolata, ma md esempio, mi ricordo quando Sophos Endpoint
>> era integrato con il firewall Astaro ti permetteva di disabilitare USB & co.
>>
>>
>>
>> Ovviamente mi va bene anche se c'e' un qualcosa MDM+Endpoint manager.
>>
>> Suggerimenti sono bene accetti :)
>>
>> Ciao ciao,
>> Gippa
>>
>>
>>
>
>
> --
>
>
> *The
> information transmitted is intended only for the person or entity to which
> it is addressed and may contain confidential and/or privileged material.
> Any review, retransmission, dissemination or other use of, or taking of any
> action in reliance upon, this information by persons or entities other than
> the intended recipient is prohibited. If you received this in error, please
> contact the sender and delete the material from any computer.*
>
> 
>
>
>
> -- Forwarded message --
> From: "Giuseppe Paterno'" 
> To: ml@sikurezza.org
> Cc:
> Bcc:
> Date: Wed, 13 Feb 2019 15:16:37 +
> Subject: Re[2]: [ml] MDM con Windows 10 e Mac
> Ariciao :)
>
> +1 per AirWatch e MobileIron (nell'ordine)
>
> Per i nomi ok, su alcuni ci arrivavo ;-)
> Datemi qualche dettaglio in piu' su che politiche di lockdown avete
> implementato e quello che invece pensate siano pregi/difetti della
> implementazione che state usando.
> Ciao ciao,
> Gippa
>

[ml] info su Infosec Italia

[tag 636]

Salve,

mi scuso per la richiesta che sembrera' assurda ma avrei bisogno di un paio
di dritte. Ho lavorato in IT security in Italia dal 2001 al 2008, quando
cominciavano ad esserci le prime conferenze della lista sponsorizzate dal
Sole24 ore e si organizzavano i primi corsi lab con ettercap in party
lan... poi son partito e ho speso gli ultimi 11 anni lavorando fisso
all'estero (Irlanda, Germania e UK).

Vorrei provare a tornare stabile su Roma ma son un po' come un pesce fuor
d'acqua perche' non ho piu' un'idea di massima sugli stipendi e su che siti
sia meglio usare per la ricerca.

L'unica lista Italiana che ho sempre seguito e' stata questa ed e' il
motivo per cui provo a chiedere qua.

Per gli stipendi generalmente all'estero ci son le cifre sugli annunci e
Glassdoor aiuta a capire il range, ma non vedo tanti ruoli per senior e non
ne ho trovati di annunci che facessero capire una cifra.

Quando cercate su che siti andate? Ne e' uscito uno specifico per il nostro
settore? C'e' qualche agenzia di recruitment specializzata per security?

Piu' o meno cosa potrebbe essere ragionevole chiedere/pensare sul mercato
di Roma, per 18 anni di esperienza sia su hands-on (DFIR, pentest, security
operation/blue team, SecDevOps) e hands-off [Security Management, GRC, PCI
DSS, ISO, Threat Model (STRIDE), Kill Chain analysis, Security Road
Map/Budget/ROSI e Security Architecture sia Enterprise (SABSA/TOGAF) che
Solution (cloud/on-prem/Hybrid PaaS)]?

Esiste qualche sito di ricerca con delle cifre di riferimento per settore e
ruolo (es. metalmeccanico, bancario Vs. security analyst, security manager
e security architect)?

E' impossibile comparare cifre tra paesi diversi, anche per il costo della
vita, quindi una dritta su valori reali del mercato di oggi Italiano mi
aiuterebbero a fare delle considerazioni corrette e non parlare di cifre
fuori mercato, tagliandomi automaticamente fuori.

Qualunque dritta per tornare e' benvenuta.

Perdonatemi per questa conversazione OT e dal contenuto poco tecnico.

Grazie, saluti

C.

>
>

[ml] infrastruttura VA enterprise economica?

[tag 636]

Figurati, e' un piacere parlare in modo costruttivo.

Dalla mia risposta non vorrei che tu pensassi che sono contro il cloud
(altrimenti sarei tagliato fuori), ma le mie sono considerazioni di
security architecture, indipendenti dal fatto che il VA sia fatto su
infrastruttura fisica o cloud.

Ti spiego cosa intendo. Tu accedi ad un'infrastruttura da:

- frontnet (WAN/internet)
- management Vlan
- MPLS o similar
- VPN end points

questi sono gli entry point che 90% delle volte devi considerare, ogni
server o device ha di sicuro:

- frontnet
- lan
- management

ma a queste dobbiamo aggiungere

- storage via IP
- bkp/replication vlan
- network TAP - IDS/IPS - etc

Vedo un'attenzione esagerata nel VA, ma poi vengono disegnati male,
soprattutto considerando che il risultato non e' assolutamente il quadro
generale dell'infrastruttura, ma solo un'esigua porzione.

Tanti si concentrano sulla frontnet, ma poi si dimenticano tutti gli altri
entry point... MPLS, management Vlan, etc.

Se un server in DMZ ha una interfaccia su una management vlan, un attacker,
per fare una lateral move, perche' dovrebbe complicarsi la vita con un
double hop su una frontnet, invece di una backnet di management?

Facendola breve, le mie considerazioni sono che VA, molto spesso sono
parziali implementazioni e quelle fatte con servizi cloud lo sono di
definizione non mi dire che fai uno scan della management via frontnet.
Alcuni vendor usano un approccio misto con scan engine frontnet via cloud,
piu' boxes inside che fanno l'upload, ma anche spesso in questi modi manca
un po' di testa, nel pensare che il lateral move non e' obbligatorio sia
fatto tramite un payload sempre e solo via la stessa interfaccia,
aggiungere una static route quando hai una shell non e' una fatica.

IP KVM controllers, sono un altra cosa sottovalutata. Anche se trovi un
buon design, purtroppo perde in traduzione quando hai management Vlan
routing oppure un bello switch a L3, che ha un bel trunk di tutte le Vlan
in un colpo solotutta roba che non scopri se non fai configuration
review, non lo scoprirai via VA, altro motivo per cui gia' di design VA non
e' una panacea, come a volte neanche pent testing e'.

In breve, quando pensi a VA, non pensare a quanto e' carino il report, ma
se quello che vedi e' davvero tutto quello che useresti per attaccare
l'infrastruttura VOIP, etc.

Se hai un VA frontnet da esterno, via cloud, stai dando accesso a zone
interne direttamente bypassando DMZ? Sei sicuro tu stia facendo la stessa
foto di quello che l'attaccante che ha compromesso DMZ vede (esempio regole
firewall_?

In poche parole, stai veramente vedendo tutto quello che un attaccante puo'
usare per un lateral move.

Nella mia esperienza, trovare dove ti hanno bucato nella frontnet e'
facile, fare forensics sull'host da dove arrivano i dati e' facile, capire
che strada hanno fatto e' il vero casino, lateral move e' la piu'
complicata anche se hai un SIEM con un buon tuning.

Load balancer a volte vengono bypassati da VA, con accesso diretto al pool
dietro il VIP del LB, anche queste cose vanno considerate quando disegni un
VA, rischi di dare un percorso alternativo ad un attaccante, infatti un
load balancer protegge anche il pool, ma se tu apri una via per arrivarci
diretto, per fare VA, ti sei fatto un buco enorme.

Se hai soluzioni streaming app, tipo Citrix, VA va disegnato bene perche'
perde davvero significato, infatti diventa un puro esercizio di compliance
e basta.

Se usi MPLS, molte volte stai connettendo due trusted domain ma sotto due
differenti VA che non si parlano. Molte volte i firewall di MPLS NATtano e
non viene fatto un vero VA da un trusted domain all'altro, ma magari
l'altro viene bucato e diventa un lateral move nella tua
infrastrutturanon venendo da frontnet, magari bypassa tanti dei tuoi
SIEM feed e piangi.

Vulnerability management e' venduto con leggerezza come soluzione stand
alone, come se fosse un'aspirina per il mal di testa, implementato facendo
felice il manager con tanti report colorati e un giorno si scopre che
guardava solo 30% di quello che serviva.

Questo era il punto che cercavo di fare, non e' cosa usi, open source o
meno, ma che valore ti da, in termini di gestione di tutto il loop (diff
tra scans, re-test, etc) oppure di visibilita' di tutti gli entry points,
anche di quelli non conosciuti o considerati da $vendor.

Per la Kali, ho detto il mio pensiero, su un data center, voglio uno
standard con templates, per semplificarmi il patching, specialmente se non
hai infrastrutture miste client/servers. Non esiste niente che tu non possa
far girare su una debian o un RHEL standard, Kali io la terrei per un
laptop tuo per PT, poi ognuno fa quel che ritiene, ma solo considerando
tutta la roba che ha per SMB, etc la fa vulnerabile di design. Considera
anche che se proprio vuoi, puoi anche usare Kali in docker, automatizzare
il deployment, fare regola firewall con API (metti leva), fare e chiudere.
Viviamo nell'era di SecDevOps, 

[ml] Re: Subject: Versione digest di ml@sikurezza.org issue 259 (742-750)

[tag 636]

> Quanto c’è da fidarsi di queste “soluzioni” ? Resto sul vago
(relativamente al prodotto) di proposito perché sono “papabili” un paio di
soluzioni/prodotti. Ma al di fuori di questo (questo brand piuttosto che
quest’altro) come mi fido di un eseguibile di terze parti installato su
tutta la nostra rete ?
>
Ciao, hai da valutare in base al rischio, che e' commisurato a cosa devi
proteggere Esempio, sono i dati PCI o PII, sono i prodotti che vuoi
usare certificati e studiati per quello? E' il gestore del cloud
certificato per quello? Poi in base a quello fai un'analisi sul design.
Puoi creare una dedicata management Vlan, su una nuova physical o virtual
interface e fare il bind del daemon/agent solo su quella interface.
Personalmente non userei la frontnet o la tua management Vlan.Avere una
dedicata DMZ sul firewall da cui hai un IPSEC VPN al cloud. A seconda del
tipo di protocollo, potresti avere un proxy che logga e ispeziona anche
l'SSL e un AV. In quel modo, in caso di incidente riconosci la sorgente e
hai un gateway con log. Se metti su ELk, Splunk, puoi avere piu' controllo
della soluzione e connetterlo al tuo SIEM. Ma se i dati che ti exfiltrano
sono PII e PCI, quando hanno lasciato il tuo perimetro...non hai piu'
controllo, quindi devi essere sicuro che 3rd parties prende responsabilita'.
Se l'agent puo' fare network trace, stai attento a dove li tieni, perche'
possono contenere dati sensibili e essere un modo per exfiltrare dati.
my 2cents

[ml] Nac & Mac

[tag 636]

//meccanismo di tipo session-tracking per il traffico di rete Layer-2
non mi risulta esistere, ancora...

esiste e come...lo usano da tempo per isolare containers che possono fare
cross talking.
Session e' a L7 e Vlan e' L2, quindi teoricamente non potrebbe, ma SDN e
NFV lo ha reso possibile...Vmware and Cisco lo fanno con NSX e ACI, adesso
lo vogliono fare anche integrato direttamente a livello di
hypervisor/vswitch

Re: [ml] Dove lavorare e imparare la sicurezza informatica?

[tag 636]

Ciao,

condivido la mia esperienza ma non lavoro per loro e il mio metro
valutativo non e' a riguardo di quanto riusi il badge per il CV, ma solo
contenuto tecnico

insieme ai consigli che ti hanno dato, guarda anche

https://www.elearnsecurity.com/

per me ha avuto un vantaggio su oscp, i lab sono play and stop per un
totale di X minuti, con oscp compri a mese e lavorando a volte ho buttato
via qualche soldo. I lab sono isolati e solo tuoi e non condivisi con altri
studenti, in oscp a volte hai ospiti sulla stessa macchina

Tra tutti quelli che ho visto in giro, rapporto qualita' prezzo mi ha
personalmente convinto, ma sono valutazioni personali. Su certificazioni
hands-on non e' il prezzo del corso ma i lab che danno valore e devi
considerarli nel costo totale. A seconda di quanto tempo hai a
disposizione, i risultati sulle valutazioni potrebbero cambiare.

Esempio SANS on-line ha tempo accesso limitato... devi capire cosa ti
serve, chi paga (tu o azienda) e dedicare tanto tempo, se come me lavori e
hai mesi che non puoi gestire il tuo tempo libero, potresti arrivare alle
mie stesse conclusioni.

Non dimenticare anche

http://www.securitytube-training.com/online-courses/

e se ti interessa web app

Troy Hunt course e OWASP projects.

Per quanto riguarda il lavoro, non sono aggiornato su Italia, ma posso
consigliarti di partecipare a competizioni, progetti, bug bounty quelle
sono le cose che fanno davvero interessante il tuo curriculum.

Se sei per reverse engineering, anche il mondo di analisi forense dovrebbe
interessarti, progetti come Volatility potrebbero essere validi da seguire
e partecipare. Non ti fermare solo a pentest anche forensics ha un sacco di
interessante da offrire.

my 2 cents
ciao

> On 29 Aug 2016, at 21:21, Tripoli Neve  wrote:
>>>

> Anche consigli più generali sarebbero molto apprezzati, sia da me che dai
molti altri nella mia situazione con cui mi sono confrontato (alcuni dei
quali spero siano iscritti a questa lista...).

Re: [ml] Re: pfsense rule on boot

[tag 636]

Ciao,

2012/12/5 ml-requ...@sikurezza.org

 Conosco poco BSD e quindi non mi sbilancio, ma non darei per scontato
 quello che dici. Se ? come dico io, non serve un kernel hacker ma solo
 conoscere gli script di boot.



ho capito il punto di vista ed incuriosito ho ricontrollando la
documentazione di pf, considerando che pfsense e' pronto per usare CARP ho
l'impressione che pfsense non usa il pf loadable module ma che e'
direttamente compilato nel kernel, suppongo questo considerando cosa
dovresti fare in freebsd o openbsd per implementarlo... ragione per cui
scrivere nella lista di pfsense ha piu' senso, non ho adesso sottomano una
virtual machine con pfsense ma ci daro' un'occhiata, anche perche' son
curioso di vedere quando l'interfaccia di rete viene attivata, un'occhiata
veloce al dmesg potrebbe dare un'idea di cosa succede.

pi? importante, ? che la sicurezza efficace ? fatta molto di applicazione
rigorosa di buone pratiche

valido punto di vista, ma proprio per questo se usi un firewall in ambito
enterprise ne usi piu' di uno (HA o cluster che sia, non parlo di
differenti layers) e finche' il firewall non e' propriamente up non
dovrebbe ricevere neanche un pacchetto. Questo non per sminuire la
discussione, ma considera che in pfsense per esempio se usi CARP con il
failover finche' non e' up il firewall non riceve traffico.

Se hai un IP pubblico bindato su di un'interfaccia del firewall che per 3
secondi risponde al ping durante il boot non sara' bello ma finche' non hai
le regole caricate, per esempio il port forwarding non avviene ... sempre
considerando che in ogni caso non dovrebbe accadere di ricevere traffico
finche' non e' pronto, come succede in ogni cluster o HA config di ogni
tipo di firewall.

Take care, cheers

http://www.sikurezza.org - Italian Security Mailing List

[ml] Re: certificazione pen tester

[tag 636]

ciao,

leggendo il libro di Thomas Wilhelm - Professional Penetration
Testing: Volume 1: Creating and Learning in a Hacking Lab: Creating
and Operating a Formal Hacking Lab, oltre a tutte le certificazioni
gia´ elencate in precedenza:

 Ti consiglio di dare un'occhiata alla OSCP/OSWP/OSCE organizzate
 dall'azienda che produce Backtrack Linux.

ho scoperto del progetto di Thomas - hackingdojo.com che ha sostituito
il precedente Heorot.net

Ho letto la review http://www.ethicalhacker.net/content/view/373/2/ e
sembrava interessante da aggiungere alla lista, anche se non ho ancora
esperienza diretta.

Quello che posso personalmente consigliare e´ quando valutate un
percorso qualunque considerate il costo vivo dell´affitto all´accesso
al lab, ho visto che alla fine dei conti impatta sul portafogli e
tutte le societa´ hanno regole rigide sui tempi dall´ultima
sottoscrizione per accedere all´esame.

Se hai esperienza magari hai bisogno del lab per poco, ma se lavori a
tempo pieno e fai il tuo meglio per ritagliarti il tempo magari non
bastano sei mesi ho visto che alla fine valutare il costo finale
di ogni soluzione e´ difficile proprio per questo.

ciao

http://www.sikurezza.org - Italian Security Mailing List

Subject: Re: Re: [ml] Comparazione Firewall [vendor/non vendor]

[tag 636]

Ciao,

 Sarà anche per il fatto che oggi parlare di firewall è come parlare di
 preistoria e pochi vendor si stanno adeguando (in modo adeguato) ai
 tempi che cambiano.
 L'application control esiste da anni (anche se mai sfruttato perché
 invalidante) ma il vero Application Control, sia come tecnologia che
 come hardware oggi lo fa solo Palo Alto Networks, il cui CEO è un
 certo Nir Zuk (padre della stateful inspection).

scusa ma non sono d'accordo, io mi ricordo un certo Teros, che e'
talmente recente che e' finito in end of life

Ci sono da secoli validi Application Firewall, se poi vogliamo fare
marketing e' un altro discorso, ma tecnicamente le soluzioni sono
implementate nelle grosse societa' da una vita.

Ciao

Carlo

http://www.sikurezza.org - Italian Security Mailing List

[ml] risorse GIAC - GPEN/GWAPT

[tag 636]

Ciao,

mi scuso se probabilmente il topic non e' di interesse generale.

Avrei intenzione di studiare e prepararmi per il GIAC Certified Penetration
Tester (GPEN) e il GIAC Web Application Penetration Tester (GWAPT), ma
purtroppo a lavoro non riesco ad avere i corsi sponsorizzati.

Purtroppo come privato non me lo posso permettere cosi' vorrei comprare i
libri e fare l'esame ma non trovo da nessuna parte indicazioni a proposito.

Gli argomenti generali della certificazione sono spiegati nel sito e nella
descrizione del corso, ma ovviamente non vanno nel dettaglio dei contenuti,
cosi' e' difficile prepararsi con altri testi.

Ogni suggerimento sarebbe un aiuto, grazie

Cordiali saluti

Carlo

http://www.sikurezza.org - Italian Security Mailing List

[ml] Re: Soluzione di accesso remoto con token USB (Daniele Di Mattia)

[tag 636]

Ciao,

secondo me la vera cura va nel trovare il software sul client, io
personalmente testerei una soluzione come questa

http://www.thegreenbow.com/vpn.html

che e' puro ISAKMPD standard, con il cert X.509 sulla usb

Non sono parente del vendor, quindi non e' un consiglio vendor
oriented, era per dare l'idea di cercare e focalizzarsi sullo standard
IPSEC e quindi cercare solo un software, anche indipendente dal tuo
firewall brand (che comunque usa degli standard che deve rispettare).

Con questo so che la configurazione e' nella chiavetta, cosi' senza la
chiavetta non rimane nulla sulla workstation.

Sono convinto che come questo ce ne saranno molti altri, basta cercare un po'.

my 2 cents

ciao

Carlo

http://www.sikurezza.org - Italian Security Mailing List

[ml] Re: Soluzione di accesso remoto con token USB (Daniele Di Mattia)

[tag 636]

Ciao,

 Sono convinto che come questo ce ne saranno molti altri, basta cercare un po'.

in passato avevo letto questo

http://www.networkworld.com/news/2009/021009-windows-7-gets-ipsec-vpn.html

ma poi non ho piu' approfondito.

saluti

Carlo

http://www.sikurezza.org - Italian Security Mailing List

Re: [ml] Forensic tool per la verifica dell'integrit? delle password su un server Linux

[tag 636]

ciao,

 Quasi nessuno memorizza le password in chiaro. Molto piu` spesso viene
 memorizzato un hash della password stessa. Il percorso hash-password
 non e` esattamente immediato. Sicuramente non e` veloce. Anzi.

 Averle hashate (o in qualunque forma le stori il servizio) va
 benissimo lo stesso.

ma allora non ti serve nessun tool, fatti un back-up.

Da quello che dici mi sembra che ti serva essere in grado di fare un restore
del servizio, questo e' un normale back-up della macchina, es. bacula o
clonezilla

Dal subject della mail:
verifica dell'integrit? delle password

il topic sembrava completamente diverso, spiega un po' piu' a fondo qual'e'
lo scopo.

saluti

Carlo

http://www.sikurezza.org - Italian Security Mailing List

[ml] Re: CV per lavorare nella sicurezza

[tag 636]

ciao,

Stai parlando di security tecnica, che è probabilmente ormai il 20%
del lavoro che trovi nel mondo della security. Almeno in Europa

hai ragione Marco, la mia risposta era basata su una posizione tecnica
nella security, purtroppo mi sto rendendo che quel che dici e' vero,
ormai e' una minoranza.

Ho sempre visto la security come la specializzazione tecnica ad un
livello talmente alto, da poter valutare la sicurezza della soluzione.
Per questo se non hai le basi reti/sistemi non puoi arrivare a questo
livello... questa era la motivazione della mia risposta.

Invece mi rendo conto che tutto si sta muovendo nell'opposta
direzione, ma nella mia mente chi fa security deve sapere come
implementare tecnicamente cio' di cui parla.

E' un peccato ma mi adeguo :-D

Ciao

Calro

http://www.sikurezza.org - Italian Security Mailing List

[ml] Re: CV per lavorare nella sicurezza

[tag 636]

Ciao,


 Capisco l'esigenza di sbattersi dei nick nel biglietto da visita, ma
 se è solo per quello (e tralascio il vero motivo che dovrebbe essere
 il sincero interesse verso la materia di studio, o almeno credo :-))
 secondo me Dott. o Ing. appaiono molto più interessanti di CISSP
 o CISA. (detto da uno che le C come le chiamano, le colleziona, su
 richiesta del suo boss :-)).

sono di tutt'altro parere, studiare all'universita' e nel contempo
prendere certificazioni IT significa rendersi conto di cosa e' il
mondo enterprise.

CISSP la puoi prendere solo con 5 anni di esperienza, CEH dopo tre,
solo per esempio.

Ma CCNA/P o qualunque certificazione di SysAdmin non ne richiede.

Averla sul tuo CV dara' a chi ti fa l'intervista la garanzia che la
tua cultura generale e' appoggiata da un vendor che ti ha spiegato
come muoversi in un ambiente enterprise (es. cosa puo' essere piu' o
meno dannoso nel troubleshooting)

Che tu non abbia esperienza sara' palese nel tuo CV ma sicuramente non
saranno energie sprecate.

Considera che cosi' ottimizzi anche gli sforzi, studi un'argomento
all'universita', lo stesso argomento lo vedi nel dettaglio con una
certificazione. Questo aumenta solamente la tua preparazione,
ottimizza tempi e sforzi e ti rende al tempo stesso piu' competitivo
sul mercato.

La laurea per lavori tecnici, in certi paesi europei, e' a volte meno
considerata delle certificazioni.

Certo chi fa questi errori e' un recruiter ma lui capisce solo sigle
di certificazioni cosa diversa invece se punti da subito a un
ruolo dove gestisci un gruppo di persone dove la laurea e' considerato
un requirement.

Saluti

Carlo

http://www.sikurezza.org - Italian Security Mailing List

[ml] Re: Clavister

[tag 636]

  Non conosco F5, ma conosco Radware (ex-Alteon).
 
  Conosco casi di diverse aziende che hanno abbandonato F5 per Radware
  recentemente, se questo pu?? servire a qualcosa... credo che costino
  sensibilmente meno.


ciao,

sono di parte, lo dico per correttezza, pero' anche Citrix Netscaler e' una
soluzione da prendere in considerazione.

Volendo adesso puoi usare anche la versione VPX virtualizzata, ricordati
solo che questa versione non puo' fare SSL off-load, vista l'assenza delle
schede criptografiche hw.

https://secureportal.citrix.com/MyCitrix/login/EvalLand.aspx?downloadid=1857216LandingFrom=1005

Solo per aggiungere un'altra possibilita' a quelle validissime elencate in
questo thread.

Saluti

Carlo

http://www.sikurezza.org - Italian Security Mailing List

Re: [ml] Firewall Linux Based

[tag 636]

Ciao,

 in azienda (un centinaio di macchine, spesso subiamo attacchi) siamo
 decisi a implementare un firewall linux based; al momento è solo
 un'idea, quindi stiamo un pò cercando di capire quali siano le
 alternative più percorribili...qualcuno ha esperienza e/o case histories
 da illustrare? Noi saremmo orientati su Smoothwall.


fossi in te darei un'occhiata seria a pfsense, so che chiedevi linux e non bsd,

http://www.pfsense.com/

pero' ai tempi dei miei test con Smoothwall express 3.0, se non
ricordo male, non supportava multiple DMZ e le vpn erano limitate
perche' c'erano problemi con PPTP e Radius, questo per i pacchetti
free.

Considera anche che il VPNC le certificazioni le fa con ISAKMPD che e' BSD

Per la mia esperienza pfsense e' solido e molto semplice da mantenere e gestire.

Nella tua mail non spieghi il design della rete e di cosa hai bisogno
nello specifico, ma in generale ritengo pfsense superiore di sicuro
alla versione free che avevo provato di smoothwall. Per quella
commerciale invece non mi posso esprimere...

Inoltre da un punto di vista di network ritengo molto piu' affidabile
bsd e solaris piuttosto che linux, pero' non vorrei scatenare un flame
con questa affermazione, prendetela come il mio personale parere.

Ciao

Carlo

http://www.sikurezza.org - Italian Security Mailing List

[ml] Re: Professione Penetration tester dubbi e consigli

[tag 636]

Ciao,

scusatemi se cerco di ritornare in topic con l'originale senso del mio post.

Esiste in lista un penetration tester o appassionato dell'argomento
che abbia dei consigli su dei buoni libri o delle valide risorse da
cui attingere?

Consigli effettivi non l'elenco dei libri che escono su google/amazon
sull'argomento :-D, non ho bisogno di tutor nella navigazione, ma di
un punto di vista di qualcuno con delle conoscenze tali da poter
giudicare la validita' di una fonte a differenza di un'altra. Come
dicevo nel precedente post quelli che mi piacevano sembrano in
pubblicazione e disponibili da Ottobre. (non mi interessano testi o
link per lamer)

Grazie a tutti della disponibilita' e se siete in ferie, buone vacanze.

ciao

Carlo

http://www.sikurezza.org - Italian Security Mailing List

[ml] Re: Professione Penetration tester dubbi e consigli

[tag 636]

ciao,

grazie a tutti delle risposte.
Sono daccordo sul punto. Se poi le conoscenze acquisite sia sul lavoro
che personali
ti sono dausilio per una certificazione di prestigio, perchè no ?
Casomai in una gara o come qualificazione in un curriculum potrebbero
essere utili : certamente non inutili quantomeno.

completamente d'accordo, ho pero' problemi a trovare un libro
approfondito sull'aspetto pratico, mi ispirava Professional
Penetration Testing: Creating and Operating a Formal Hacking Lab
(Paperback) ma non e' ancora disponibile:

http://www.amazon.com/Professional-Penetration-Testing-Creating-Operating/dp/1597494259/ref=sr_1_3?ie=UTF8s=booksqid=1248438548sr=1-3

ed ho problemi a reperire il manuale per l'ecsna, anche lui non ancora
disponibile:

http://www.amazon.com/Network-Testing-Procedures-Security-Ec-Council/dp/1435483707/ref=sr_1_1?ie=UTF8s=booksqid=1248438657sr=1-1


nel frattempo il prossimo che mi sono preso e' Google Hacking for
Penetration Testers, Volume 2:

http://www.amazon.com/dp/1597491764

ma non e' sicuramente questo il libro che cercavo con una completa overview.

Spero di non essere frainteso, non sto cercando il manuale sperando
magicamente di diventare un professionista da un giorno o l'altro, so
che e' un lavoro dove l'esperienza ha un ruolo decisivo, ma i
contenuti generali del CEH o di Security + ci sono e sto cercando di
approfondire uscendo un po' dalla sterile, anche se essenziale, parte
teorica della materia.

Non sto per forza cercando un libro per fare la certificazione, ma
qualcosa che contenga contenuti validi e che mi guidi evitando di fare
errori come tanti anni fa, quando avevo iniziato con unix, leggendo
ovunque in un modo disordinato, rischiando di perdere le conoscenze
base, solo guidato dalla curiosita'...ovviamente poi colmate
dall'effettiva esperienza sul campo.

Grazie a tutti, buon week-end.

ciao

Carlo

http://www.sikurezza.org - Italian Security Mailing List

[ml] Professione Penetration tester dubbi e consigli

[tag 636]

Ciao,

ho approcciato da poco al penetration testing e ne sono affascinato.
Per avere un approfondimento piu' corretto pensavo di seguire la via
delle certificazioni ma sono tremendamente spaesato da quello che mi
sembra davvero un business.

Ho letto un po' di cose sul CHECK e sul CSAC, ma vedo che per l'esame
si parla di 1600 pound.

Ero interessato all'OSSTMM che mi sembra molto serio, ma anche le
linee guide dell'ECSA mi parevano valide, per poi non parlare di SANS

Generalmente non vedo molto di buon occhio le certificazione perche'
preferisco piu' le effettive conoscenze, ma essendo nel mondo
anglosassone ci sono poche scelte, se vuoi sembrare serio, da li si
passa.

Lavoro in un campo collegato alla security ma non mi pagheranno mai
certificazioni o corsi cosi' cari, e purtroppo i miei fondi non sono
dei migliori.

Qual'e' secondo voi, con l'obiettivo di diventare un penetration
tester la migliore scelta economica e di carriera. La mia paura e' di
spendere soldi ed energie per qualcosa che non mi dia il giusto
approccio alla materia.

Se qualcuno in lista e' CHECK Team Leader, ha voglia di condividere,
se preferisce anche in privato, la sua esperienza raccontando il
percorso che ha fatto e le sue impressioni?

Grazie, saluti

Carlo

http://www.sikurezza.org - Italian Security Mailing List

[ml] Bug SSL-VPN SonicWALL [vendor]

[tag 636]

Scusate se mi permetto di inserirmi

IMHO la lista non e' il posto migliore dove fare competizioni di
brand. Ritengo che qui si dovrebbe discutere del tipo di attacco dal
punto di vista tecnico, non fare la classifica di quelli piu' o meno
bravi.

Sinceramente ritengo certe vulnerabilita' tecnicamente gravi, piu' per
la loro semplicita' e facilita' di essere scoperte dal vendor ancora
prima di immetterle sul mercato, con un buon testing. Questo toglie la
fiducia, il fatto di rendersi conto che ormai e' piu' importante
l'enhancement request piuttosto di un buon codice testato e sottoposto
ad un severo audit, prima del rilascio.

Concordo con il fatto che il numero di vulnerabilita' non sia un buon
metro... diciamo che questa era seria.

Il mio ragionamento e' applicato a qualunque vendor e ad ogni tipo di
prodotto... ancor di piu' se relativo al mondo della sicurezza dove
societa' si affidano a questi vendor per tutelare la sicurezza e la
privacy delle proprie realta' aziendali.

Perdonatemi se mi son permesso.

Con pieno rispetto per qualunque brand saluti

Carlo

http://www.sikurezza.org - Italian Security Mailing List