Re: Risparmiare su catena CI-CD ?
On Sun, 15 Mar 2020, 12:05 ED, In questo > contesto mi occupo principalmente di testing (vedi mail precedente). Hai > esperienza diretta anche in quel campo per tool open e/o economici che > siano davvero efficaci e si integrino bene in catene CI-CD? > > Saluti > > -- > ED > CI/CD integra il testing, quindi ti ho perso...stai parlando di qualcosa tipo defectdojo? https://github.com/DefectDojo/django-DefectDojo Per me CI/CD e' omnicomprensiva...bisogna che spieghi meglio o butto in /dev/null :) Ciao
Risparmiare su catena CI-CD ?
> Sto cercando di ottimizzare la spesa per i tool di sicurezza in una > catena CI-CD. > Dai un occhiata seria a OpenShift ma in particolare anche https://www.okd.io/ Se guardi l'intera CI/CD e' multicloud e integra security https://docs.openshift.com/container-platform/3.6/security/build_process.html Secondo me se aggiungi nel tuo design https://istio.io/ e https://falco.org/ Hai fatto le cose a modo a 360 gradi, se vault e IAM in genere segui le best practice. Jfrog potrebbe essere un altro buon bookmark https://jfrog.com/open-source/ E Aquasecurity ha un bel repository https://www.aquasec.com/products/open-source-projects/ Se vuoi andare commerciale, considererei anche Twistlock, soprattutto se hai fragmentazione e un'insalata mista di IaaS, PaaS e FaaS che vuoi unificare. Dovrei essere riuscito a darti un po' di idee, se hai bisogno tira un urlo. Ciao
Info post wapt come procedere ?
//Mi sarebbe piaciuto anche un approccio lato codebase non ti offendere ma non puoi affrontare un argomento tale in questa maniera, stai facendo un polpettone... SAST/DAST/RASP vanno lungo tutta la CI/CD e a volte sono correlati a specifiche della tua pipe line, solo dopo fai un Pentest. Se usi un Openshift hai gia' una CI/CD strutturata in un modo SecDevOps, ma dipende da cosa hai e che linguaggi usi. Non fai un pentest finche' non hai fatto una code review o perdi solo tempo. Leggiti un po' di SecDevOps, fatti un'idea di che tool usi e come funziona la tua integrazione...poi rifai le domande in base a cosa e' il tuo problema o qua il thread diventa wikipedia della webapp. Pentest e' l'ultimo anello, non il primo. ciao
Re: Subject: Versione digest di ml@sikurezza.org issue 462 (1113)
> > volevo chiedere se esistono linee guida, ma anche consigli etc. sulle > azioni da intraprendere dopo aver ricevuto un report di un wapt > se vuoi integrare nella CI/CD, dai un'occhiata a https://www.defectdojo.org/ non sono sicurissimo di aver capito la tua necessita', ma spero di esserci arrivato vicino :) ciao >
[ml] configurazione di rete x infrastruttura VA?
//Non risolve il mio dilemma iniziale, ovvero come ottimizzare distribuzione, gestione e messa in sicurezza di un software di network VA autenticato su una rete geografica ed eterogenea tralasciando che la frase mi ricorda Amici miei... e il commento sull'indiano e' alquanto offensivo considerando che ti sta dando un progetto opensource (tra l'altro con licenza BSD) che ti puoi leggere il sorgente e riusare anche per scopi commerciali senza redistribuire il codiceche e' solo un framework di automazione basato su Jenkis, le credenziali le metti su Nessus non su archeryche spero abbia gli ingegneri del paese che preferisci quando andrai a presentare il tuo progetto a Black Hat, spero non ti facciano gli stessi commenti. quando poi leggi come K8s funziona forse vedrai che ti stavo dando un approccio.
[ml] configurazione di rete x infrastruttura VA?
//Poniamo che dobbiate mettere in piedi una infrastruttura di VA Dai un occhiata ad archery https://github.com/archerysec/archerysec ti permette una buona automazione via jenkis e la flessibilita' di coniugare tutti gli engine che vuoi, in teoria puoi anche decidere di usare unDradis per il reporting se hai bisogni specifici in questa area. Per monitoraggio di reti, dai un occhio a open nms https://www.opennms.org/en/opennms il libro di Tao security ti puo' dare degli spunti buoni https://www.amazon.com/Practice-Network-Security-Monitoring-Understanding/dp/1593275099/ref=mp_s_a_1_1?keywords=security+monitoring=1561122166=gateway=8-1 per web app...sono per un'integrazione nella CI/CD con SAST e DASTun tipico SecDevOps loop, only web VA non serve a molto. Da un punto di vista di architettura, usa un approccio via containers che spari dove vuoi via k8s o simili. Lo scan pubblico sento tanti alle conferenze che usano shodan, se non hai il requirement PCI dell'esterno e hai bisogno di un reporting evoluto. Se allinei con le API da un punto di vista di intelligence, sincronizzare cosa un bot trova e' smart. Quando valuti VA, considera se non integrare anche threat hunting centralizzando DNS security, end point e CASB/IAM in cloud. Se hai tanto Win, controlla se una soluzione come l'ultimo sysmon (aggiornato con DNS entry flag) e non ti dimenticare i problemi di Powershell. In pratica il riassunto e' se devi fare una review a questi livelli da un punto di architettura, integra CI/CD security e vedi se non riesci a razionalizzare gli investimenti, magari guardando anche all'incident response allo stesso tempo integrando The Hive, MISP e altre cosese devi mettere le mani metti tutto in discussione, per avere piu' automazione che puoi, ma vai container o l'hardening e automatizzazione ti diventa un'incubo Ciao
Re: [ml] configurazione di rete x infrastruttura VA?
aggiungo anche l'ottimo security onion che ti puo' aiutare con ELK stack e network monitoring (network miner, IDS stuff, etc) https://securityonion.net/ ciao On Fri, 21 Jun 2019, 15:19 tag 636, wrote: > > //Poniamo che dobbiate mettere in piedi una infrastruttura di VA > > Dai un occhiata ad archery > > https://github.com/archerysec/archerysec > ti permette una buona automazione via jenkis e la flessibilita' di > coniugare tutti gli engine che vuoi, in teoria puoi anche decidere di usare > unDradis per il reporting se hai bisogni specifici in questa area. > > Per monitoraggio di reti, dai un occhio a open nms > > https://www.opennms.org/en/opennms > > il libro di Tao security ti puo' dare degli spunti buoni > > > https://www.amazon.com/Practice-Network-Security-Monitoring-Understanding/dp/1593275099/ref=mp_s_a_1_1?keywords=security+monitoring=1561122166=gateway=8-1 > > per web app...sono per un'integrazione nella CI/CD con SAST e DASTun > tipico SecDevOps loop, only web VA non serve a molto. > > Da un punto di vista di architettura, usa un approccio via containers che > spari dove vuoi via k8s o simili. > > Lo scan pubblico sento tanti alle conferenze che usano shodan, se non hai > il requirement PCI dell'esterno e hai bisogno di un reporting evoluto. Se > allinei con le API da un punto di vista di intelligence, sincronizzare cosa > un bot trova e' smart. > > Quando valuti VA, considera se non integrare anche threat hunting > centralizzando DNS security, end point e CASB/IAM in cloud. Se hai tanto > Win, controlla se una soluzione come l'ultimo sysmon (aggiornato con DNS > entry flag) e non ti dimenticare i problemi di Powershell. > > In pratica il riassunto e' se devi fare una review a questi livelli da un > punto di architettura, integra CI/CD security e vedi se non riesci a > razionalizzare gli investimenti, magari guardando anche all'incident > response allo stesso tempo integrando The Hive, MISP e altre cosese > devi mettere le mani metti tutto in discussione, per avere piu' automazione > che puoi, ma vai container o l'hardening e automatizzazione ti diventa > un'incubo > > Ciao > > > > > > > > > > > > >
[ml] SSH inspection. Pareri?
//Grazie per lo spunto di riflessione ne aggiungo un altroSSH supporta nativamente il double hop, che da un punto di vista di regole di firewall e di inspection e' una bella furbata, perche' ti eviti tanti problemi, incluso un reverse shell dall'end point. Spero che chiunque abbia fatto questo post prima di questa domanda esistenziale abbia pensato a DNS security per evitare DNS tunneling per data exfiltration, perche' 99% delle volte poi e' quello una delle metodologie piu' frequenti. Per esperienza rimango sempre colpito da discorsi che spaccano il capello sulla deep inspection, per poi vedere una leggerezza sul generale, esempio se ci son i certificati su IPS, DNS aperto ovunque per tunneling e senza black holing, etc, etc. Se vuoi fare deep inspection, la devi fare ovunque su tutto, on-prem e cloud, con i problemi che ne vengono con end to end, cloud tapping mal di testa e il prox Tls 1.3 che fara' venire i vermi a tanti. SSH double hopping e' una buona pratica di igiene anche per le regole di firewalling ma purtroppo e' un opzione sottovalutata, come del resto il port knocking e altre cose che male non farebbero, ma che il mercato non fa trending perche' il man non lo si legge e vendor X non lo sa
Re: [ml] Info su come approcciare ad un pen test preciso
//Perché quello che ho capito dalle challenge online fighissime è utili e che non ti permettono (anche se ti insegnano cmq tanto altro ) di maturare quella sensibilità che poi ti servirà in quei casi che stavo descrivendo cioè operare a sistema live, ed ho trovato poco anche in rete purtroppo... 1) se fai pentest su live system per hobby, o fai un bug bounty e segui lo scope o non dovresti essere li, le regole son scritte impresse nella pietra e ben chiare 2) Se sei nel security team e fai production testing probabilmente sei in un A/B deployment, quindi non e' un gran problema 3) se sei del security team e fai un analisi, cerchi l'attack vector in produzione ma il payload lo esegui in testing Se usi CTF come hackthebox, pentestlab o qualunque altro, non e' vero che non acquisisci sensibilita', tutto e' a layer 8 Non esiste un bug bounty program che permetta scan results e tools automatici, quindi, non esiste il problema di primo
[ml] Re: Subject: Versione digest di ml@sikurezza.org issue 413 (1026)
> > Detto questo ecco la mia domanda. Perchè la maggior parte dei tool > applicano massivamente tutti gli attacchi senza nessun controllo ? > Zap e' web based e fai piu' passive gathering via proxyBurp non cambia, hai plug-in o setting per active scanning, ma generalmente e' piu' analisi di cosa il proxy vede e replay delle richieste. Se parli di scanners in termini di infrastruttura, esempio Tenable Nessus, nei plug-in hai la categorizzazione per decidere quanto invasivo sei e la maggioranza degli scanner hanno la stessa cosa. Se da come scrivi vuoi profilare e in base ai risultati fare cose, in base a cosa usi generalmente lo scripti. La tua domanda e' un po' generica, puoi usare uno scenario per spiegare meglio? >
[ml] Pareri su secuirty.txt
Son stato cosi' contrario da quando e' uscita la draft da contattare direttamente Benjamin (security lead) e Shafranovich (draft owner) https://tools.ietf.org/html/draft-foudil-securitytxt-04 persino l'autore della draft ha registrato una marea di pareri contrari. Se ti controlli la draft noterai che la PGP signature del security team sarebbe inclusa come URI, che potrebbe essere benissimo un BeeF per hook up in attesa, insomma la struttura che hanno deciso, sembra disegnata ad-hoc per malware e phishing. DNS TXT record sarebbe la mia preferenza, ha tempi tali da renderti conto se ci son cambi e cambi di zona di solito vengono segnalati, cosa che sulla root dovresti avere il FIM e non tutti lo hanno, pensa a un WordPress zero day che cambia tutti i security.txt di colpo per malware distribution. Web con js/iframe/injection e' piu' semplice da venir manipolato che un record DNS. Mi son lamentato che registrare una draft e' un lavoro e storzo esagerato, di risposta Benjamin mi ha detto che per questo motivo hanno ora introdotto il secdispatch, ma solo come proposal, quindi ti tocca ad ogni modo la draft. Da un punto di vista tecnico, comparare la facilita' di manipolare una pagina web, rispetto a un record DNS e' palesemente uno svantaggio, se poi questo non e' un argomento che consideri prioritario, vai contro il principio di Confidentiality, Integrity and Availability. Saluti On 3/21/19 12:06 AM, Gerardo Di Giacomo wrote: > Qualche sostenitore del "contro" farebbe la cortesia alla lista di > fornire motivazioni valide e giustificate? D'altronde siamo tutti (?) > professio nisti del settore, dovremmo comunicare in modo appropriato e > con un minimo di analisi critica. > > Finora ho solo letto teorie complottiste e nessun threat reale che > giustificherebbe il non usare quello standard. > > Ringrazio in anticipo in nome di quelli a favore. > > Gerardo >
[ml] Re: Subject: Versione digest di ml@sikurezza.org issue 389 (980-981)
Per un motivo di integrazione, fossi in te considerei le modifiche che hanno introdotto con il nuovo Intune in Azure, ti permette di integrare IAM/AD con Azure security center che da un punto di vista di alarmi non sarebbe male. Mi sembrerebbe la soluzione piu' slim e centralizzata e supporta iPad* *Da:* Giuseppe Paternò *Per conto di *Giuseppe Paterno' >> *Inviato:* martedì 12 febbraio 2019 15:30 >> *A:* ml@sikurezza.org >> *Oggetto:* [ml] MDM con Windows 10 e Mac >> >> >> >> Ciao a tutti! >> >> >> >> Sono sparito da un po' dalla scena della "sechiuriti" e provo a >> "buttarvi" una domanda quasi da niubbo. >> >> In un nuovo ambiente sto pensando di sostuire il dominio "tradizionale" >> con le GPO, con una filosofia quasi BYOD, ma che mi permetta di fare un po' >> di enforcement di policies, in particolare di lockdown. L'ambiente sara' >> principalmente Azure AD (che purtroppo AFAIK fa poco enforcement). >> >> >> >> Per fare questo sto cercando un MDM (SaaS?) che sia in grado di gestirmi >> principalmente Windows 10 e Mac OS (ci sono anche ipad, ma sticazzi) >> >> >> >> Sto usando per mio sollazzo comodo come mdm, ho la sensazione che gli >> manchino alcune funzionalita'. >> >> Sembrera' una cavolata, ma md esempio, mi ricordo quando Sophos Endpoint >> era integrato con il firewall Astaro ti permetteva di disabilitare USB & co. >> >> >> >> Ovviamente mi va bene anche se c'e' un qualcosa MDM+Endpoint manager. >> >> Suggerimenti sono bene accetti :) >> >> Ciao ciao, >> Gippa >> >> >> > > > -- > > > *The > information transmitted is intended only for the person or entity to which > it is addressed and may contain confidential and/or privileged material. > Any review, retransmission, dissemination or other use of, or taking of any > action in reliance upon, this information by persons or entities other than > the intended recipient is prohibited. If you received this in error, please > contact the sender and delete the material from any computer.* > > > > > > -- Forwarded message -- > From: "Giuseppe Paterno'" > To: ml@sikurezza.org > Cc: > Bcc: > Date: Wed, 13 Feb 2019 15:16:37 + > Subject: Re[2]: [ml] MDM con Windows 10 e Mac > Ariciao :) > > +1 per AirWatch e MobileIron (nell'ordine) > > Per i nomi ok, su alcuni ci arrivavo ;-) > Datemi qualche dettaglio in piu' su che politiche di lockdown avete > implementato e quello che invece pensate siano pregi/difetti della > implementazione che state usando. > Ciao ciao, > Gippa >
[ml] info su Infosec Italia
Salve, mi scuso per la richiesta che sembrera' assurda ma avrei bisogno di un paio di dritte. Ho lavorato in IT security in Italia dal 2001 al 2008, quando cominciavano ad esserci le prime conferenze della lista sponsorizzate dal Sole24 ore e si organizzavano i primi corsi lab con ettercap in party lan... poi son partito e ho speso gli ultimi 11 anni lavorando fisso all'estero (Irlanda, Germania e UK). Vorrei provare a tornare stabile su Roma ma son un po' come un pesce fuor d'acqua perche' non ho piu' un'idea di massima sugli stipendi e su che siti sia meglio usare per la ricerca. L'unica lista Italiana che ho sempre seguito e' stata questa ed e' il motivo per cui provo a chiedere qua. Per gli stipendi generalmente all'estero ci son le cifre sugli annunci e Glassdoor aiuta a capire il range, ma non vedo tanti ruoli per senior e non ne ho trovati di annunci che facessero capire una cifra. Quando cercate su che siti andate? Ne e' uscito uno specifico per il nostro settore? C'e' qualche agenzia di recruitment specializzata per security? Piu' o meno cosa potrebbe essere ragionevole chiedere/pensare sul mercato di Roma, per 18 anni di esperienza sia su hands-on (DFIR, pentest, security operation/blue team, SecDevOps) e hands-off [Security Management, GRC, PCI DSS, ISO, Threat Model (STRIDE), Kill Chain analysis, Security Road Map/Budget/ROSI e Security Architecture sia Enterprise (SABSA/TOGAF) che Solution (cloud/on-prem/Hybrid PaaS)]? Esiste qualche sito di ricerca con delle cifre di riferimento per settore e ruolo (es. metalmeccanico, bancario Vs. security analyst, security manager e security architect)? E' impossibile comparare cifre tra paesi diversi, anche per il costo della vita, quindi una dritta su valori reali del mercato di oggi Italiano mi aiuterebbero a fare delle considerazioni corrette e non parlare di cifre fuori mercato, tagliandomi automaticamente fuori. Qualunque dritta per tornare e' benvenuta. Perdonatemi per questa conversazione OT e dal contenuto poco tecnico. Grazie, saluti C. > >
[ml] infrastruttura VA enterprise economica?
Figurati, e' un piacere parlare in modo costruttivo. Dalla mia risposta non vorrei che tu pensassi che sono contro il cloud (altrimenti sarei tagliato fuori), ma le mie sono considerazioni di security architecture, indipendenti dal fatto che il VA sia fatto su infrastruttura fisica o cloud. Ti spiego cosa intendo. Tu accedi ad un'infrastruttura da: - frontnet (WAN/internet) - management Vlan - MPLS o similar - VPN end points questi sono gli entry point che 90% delle volte devi considerare, ogni server o device ha di sicuro: - frontnet - lan - management ma a queste dobbiamo aggiungere - storage via IP - bkp/replication vlan - network TAP - IDS/IPS - etc Vedo un'attenzione esagerata nel VA, ma poi vengono disegnati male, soprattutto considerando che il risultato non e' assolutamente il quadro generale dell'infrastruttura, ma solo un'esigua porzione. Tanti si concentrano sulla frontnet, ma poi si dimenticano tutti gli altri entry point... MPLS, management Vlan, etc. Se un server in DMZ ha una interfaccia su una management vlan, un attacker, per fare una lateral move, perche' dovrebbe complicarsi la vita con un double hop su una frontnet, invece di una backnet di management? Facendola breve, le mie considerazioni sono che VA, molto spesso sono parziali implementazioni e quelle fatte con servizi cloud lo sono di definizione non mi dire che fai uno scan della management via frontnet. Alcuni vendor usano un approccio misto con scan engine frontnet via cloud, piu' boxes inside che fanno l'upload, ma anche spesso in questi modi manca un po' di testa, nel pensare che il lateral move non e' obbligatorio sia fatto tramite un payload sempre e solo via la stessa interfaccia, aggiungere una static route quando hai una shell non e' una fatica. IP KVM controllers, sono un altra cosa sottovalutata. Anche se trovi un buon design, purtroppo perde in traduzione quando hai management Vlan routing oppure un bello switch a L3, che ha un bel trunk di tutte le Vlan in un colpo solotutta roba che non scopri se non fai configuration review, non lo scoprirai via VA, altro motivo per cui gia' di design VA non e' una panacea, come a volte neanche pent testing e'. In breve, quando pensi a VA, non pensare a quanto e' carino il report, ma se quello che vedi e' davvero tutto quello che useresti per attaccare l'infrastruttura VOIP, etc. Se hai un VA frontnet da esterno, via cloud, stai dando accesso a zone interne direttamente bypassando DMZ? Sei sicuro tu stia facendo la stessa foto di quello che l'attaccante che ha compromesso DMZ vede (esempio regole firewall_? In poche parole, stai veramente vedendo tutto quello che un attaccante puo' usare per un lateral move. Nella mia esperienza, trovare dove ti hanno bucato nella frontnet e' facile, fare forensics sull'host da dove arrivano i dati e' facile, capire che strada hanno fatto e' il vero casino, lateral move e' la piu' complicata anche se hai un SIEM con un buon tuning. Load balancer a volte vengono bypassati da VA, con accesso diretto al pool dietro il VIP del LB, anche queste cose vanno considerate quando disegni un VA, rischi di dare un percorso alternativo ad un attaccante, infatti un load balancer protegge anche il pool, ma se tu apri una via per arrivarci diretto, per fare VA, ti sei fatto un buco enorme. Se hai soluzioni streaming app, tipo Citrix, VA va disegnato bene perche' perde davvero significato, infatti diventa un puro esercizio di compliance e basta. Se usi MPLS, molte volte stai connettendo due trusted domain ma sotto due differenti VA che non si parlano. Molte volte i firewall di MPLS NATtano e non viene fatto un vero VA da un trusted domain all'altro, ma magari l'altro viene bucato e diventa un lateral move nella tua infrastrutturanon venendo da frontnet, magari bypassa tanti dei tuoi SIEM feed e piangi. Vulnerability management e' venduto con leggerezza come soluzione stand alone, come se fosse un'aspirina per il mal di testa, implementato facendo felice il manager con tanti report colorati e un giorno si scopre che guardava solo 30% di quello che serviva. Questo era il punto che cercavo di fare, non e' cosa usi, open source o meno, ma che valore ti da, in termini di gestione di tutto il loop (diff tra scans, re-test, etc) oppure di visibilita' di tutti gli entry points, anche di quelli non conosciuti o considerati da $vendor. Per la Kali, ho detto il mio pensiero, su un data center, voglio uno standard con templates, per semplificarmi il patching, specialmente se non hai infrastrutture miste client/servers. Non esiste niente che tu non possa far girare su una debian o un RHEL standard, Kali io la terrei per un laptop tuo per PT, poi ognuno fa quel che ritiene, ma solo considerando tutta la roba che ha per SMB, etc la fa vulnerabile di design. Considera anche che se proprio vuoi, puoi anche usare Kali in docker, automatizzare il deployment, fare regola firewall con API (metti leva), fare e chiudere. Viviamo nell'era di SecDevOps,
[ml] Re: Subject: Versione digest di ml@sikurezza.org issue 259 (742-750)
> Quanto c’è da fidarsi di queste “soluzioni” ? Resto sul vago (relativamente al prodotto) di proposito perché sono “papabili” un paio di soluzioni/prodotti. Ma al di fuori di questo (questo brand piuttosto che quest’altro) come mi fido di un eseguibile di terze parti installato su tutta la nostra rete ? > Ciao, hai da valutare in base al rischio, che e' commisurato a cosa devi proteggere Esempio, sono i dati PCI o PII, sono i prodotti che vuoi usare certificati e studiati per quello? E' il gestore del cloud certificato per quello? Poi in base a quello fai un'analisi sul design. Puoi creare una dedicata management Vlan, su una nuova physical o virtual interface e fare il bind del daemon/agent solo su quella interface. Personalmente non userei la frontnet o la tua management Vlan.Avere una dedicata DMZ sul firewall da cui hai un IPSEC VPN al cloud. A seconda del tipo di protocollo, potresti avere un proxy che logga e ispeziona anche l'SSL e un AV. In quel modo, in caso di incidente riconosci la sorgente e hai un gateway con log. Se metti su ELk, Splunk, puoi avere piu' controllo della soluzione e connetterlo al tuo SIEM. Ma se i dati che ti exfiltrano sono PII e PCI, quando hanno lasciato il tuo perimetro...non hai piu' controllo, quindi devi essere sicuro che 3rd parties prende responsabilita'. Se l'agent puo' fare network trace, stai attento a dove li tieni, perche' possono contenere dati sensibili e essere un modo per exfiltrare dati. my 2cents
[ml] Nac & Mac
//meccanismo di tipo session-tracking per il traffico di rete Layer-2 non mi risulta esistere, ancora... esiste e come...lo usano da tempo per isolare containers che possono fare cross talking. Session e' a L7 e Vlan e' L2, quindi teoricamente non potrebbe, ma SDN e NFV lo ha reso possibile...Vmware and Cisco lo fanno con NSX e ACI, adesso lo vogliono fare anche integrato direttamente a livello di hypervisor/vswitch
Re: [ml] Dove lavorare e imparare la sicurezza informatica?
Ciao, condivido la mia esperienza ma non lavoro per loro e il mio metro valutativo non e' a riguardo di quanto riusi il badge per il CV, ma solo contenuto tecnico insieme ai consigli che ti hanno dato, guarda anche https://www.elearnsecurity.com/ per me ha avuto un vantaggio su oscp, i lab sono play and stop per un totale di X minuti, con oscp compri a mese e lavorando a volte ho buttato via qualche soldo. I lab sono isolati e solo tuoi e non condivisi con altri studenti, in oscp a volte hai ospiti sulla stessa macchina Tra tutti quelli che ho visto in giro, rapporto qualita' prezzo mi ha personalmente convinto, ma sono valutazioni personali. Su certificazioni hands-on non e' il prezzo del corso ma i lab che danno valore e devi considerarli nel costo totale. A seconda di quanto tempo hai a disposizione, i risultati sulle valutazioni potrebbero cambiare. Esempio SANS on-line ha tempo accesso limitato... devi capire cosa ti serve, chi paga (tu o azienda) e dedicare tanto tempo, se come me lavori e hai mesi che non puoi gestire il tuo tempo libero, potresti arrivare alle mie stesse conclusioni. Non dimenticare anche http://www.securitytube-training.com/online-courses/ e se ti interessa web app Troy Hunt course e OWASP projects. Per quanto riguarda il lavoro, non sono aggiornato su Italia, ma posso consigliarti di partecipare a competizioni, progetti, bug bounty quelle sono le cose che fanno davvero interessante il tuo curriculum. Se sei per reverse engineering, anche il mondo di analisi forense dovrebbe interessarti, progetti come Volatility potrebbero essere validi da seguire e partecipare. Non ti fermare solo a pentest anche forensics ha un sacco di interessante da offrire. my 2 cents ciao > On 29 Aug 2016, at 21:21, Tripoli Nevewrote: >>> > Anche consigli più generali sarebbero molto apprezzati, sia da me che dai molti altri nella mia situazione con cui mi sono confrontato (alcuni dei quali spero siano iscritti a questa lista...).
Re: [ml] Re: pfsense rule on boot
Ciao, 2012/12/5 ml-requ...@sikurezza.org Conosco poco BSD e quindi non mi sbilancio, ma non darei per scontato quello che dici. Se ? come dico io, non serve un kernel hacker ma solo conoscere gli script di boot. ho capito il punto di vista ed incuriosito ho ricontrollando la documentazione di pf, considerando che pfsense e' pronto per usare CARP ho l'impressione che pfsense non usa il pf loadable module ma che e' direttamente compilato nel kernel, suppongo questo considerando cosa dovresti fare in freebsd o openbsd per implementarlo... ragione per cui scrivere nella lista di pfsense ha piu' senso, non ho adesso sottomano una virtual machine con pfsense ma ci daro' un'occhiata, anche perche' son curioso di vedere quando l'interfaccia di rete viene attivata, un'occhiata veloce al dmesg potrebbe dare un'idea di cosa succede. pi? importante, ? che la sicurezza efficace ? fatta molto di applicazione rigorosa di buone pratiche valido punto di vista, ma proprio per questo se usi un firewall in ambito enterprise ne usi piu' di uno (HA o cluster che sia, non parlo di differenti layers) e finche' il firewall non e' propriamente up non dovrebbe ricevere neanche un pacchetto. Questo non per sminuire la discussione, ma considera che in pfsense per esempio se usi CARP con il failover finche' non e' up il firewall non riceve traffico. Se hai un IP pubblico bindato su di un'interfaccia del firewall che per 3 secondi risponde al ping durante il boot non sara' bello ma finche' non hai le regole caricate, per esempio il port forwarding non avviene ... sempre considerando che in ogni caso non dovrebbe accadere di ricevere traffico finche' non e' pronto, come succede in ogni cluster o HA config di ogni tipo di firewall. Take care, cheers http://www.sikurezza.org - Italian Security Mailing List
[ml] Re: certificazione pen tester
ciao, leggendo il libro di Thomas Wilhelm - Professional Penetration Testing: Volume 1: Creating and Learning in a Hacking Lab: Creating and Operating a Formal Hacking Lab, oltre a tutte le certificazioni gia´ elencate in precedenza: Ti consiglio di dare un'occhiata alla OSCP/OSWP/OSCE organizzate dall'azienda che produce Backtrack Linux. ho scoperto del progetto di Thomas - hackingdojo.com che ha sostituito il precedente Heorot.net Ho letto la review http://www.ethicalhacker.net/content/view/373/2/ e sembrava interessante da aggiungere alla lista, anche se non ho ancora esperienza diretta. Quello che posso personalmente consigliare e´ quando valutate un percorso qualunque considerate il costo vivo dell´affitto all´accesso al lab, ho visto che alla fine dei conti impatta sul portafogli e tutte le societa´ hanno regole rigide sui tempi dall´ultima sottoscrizione per accedere all´esame. Se hai esperienza magari hai bisogno del lab per poco, ma se lavori a tempo pieno e fai il tuo meglio per ritagliarti il tempo magari non bastano sei mesi ho visto che alla fine valutare il costo finale di ogni soluzione e´ difficile proprio per questo. ciao http://www.sikurezza.org - Italian Security Mailing List
Subject: Re: Re: [ml] Comparazione Firewall [vendor/non vendor]
Ciao, Sarà anche per il fatto che oggi parlare di firewall è come parlare di preistoria e pochi vendor si stanno adeguando (in modo adeguato) ai tempi che cambiano. L'application control esiste da anni (anche se mai sfruttato perché invalidante) ma il vero Application Control, sia come tecnologia che come hardware oggi lo fa solo Palo Alto Networks, il cui CEO è un certo Nir Zuk (padre della stateful inspection). scusa ma non sono d'accordo, io mi ricordo un certo Teros, che e' talmente recente che e' finito in end of life Ci sono da secoli validi Application Firewall, se poi vogliamo fare marketing e' un altro discorso, ma tecnicamente le soluzioni sono implementate nelle grosse societa' da una vita. Ciao Carlo http://www.sikurezza.org - Italian Security Mailing List
[ml] risorse GIAC - GPEN/GWAPT
Ciao, mi scuso se probabilmente il topic non e' di interesse generale. Avrei intenzione di studiare e prepararmi per il GIAC Certified Penetration Tester (GPEN) e il GIAC Web Application Penetration Tester (GWAPT), ma purtroppo a lavoro non riesco ad avere i corsi sponsorizzati. Purtroppo come privato non me lo posso permettere cosi' vorrei comprare i libri e fare l'esame ma non trovo da nessuna parte indicazioni a proposito. Gli argomenti generali della certificazione sono spiegati nel sito e nella descrizione del corso, ma ovviamente non vanno nel dettaglio dei contenuti, cosi' e' difficile prepararsi con altri testi. Ogni suggerimento sarebbe un aiuto, grazie Cordiali saluti Carlo http://www.sikurezza.org - Italian Security Mailing List
[ml] Re: Soluzione di accesso remoto con token USB (Daniele Di Mattia)
Ciao, secondo me la vera cura va nel trovare il software sul client, io personalmente testerei una soluzione come questa http://www.thegreenbow.com/vpn.html che e' puro ISAKMPD standard, con il cert X.509 sulla usb Non sono parente del vendor, quindi non e' un consiglio vendor oriented, era per dare l'idea di cercare e focalizzarsi sullo standard IPSEC e quindi cercare solo un software, anche indipendente dal tuo firewall brand (che comunque usa degli standard che deve rispettare). Con questo so che la configurazione e' nella chiavetta, cosi' senza la chiavetta non rimane nulla sulla workstation. Sono convinto che come questo ce ne saranno molti altri, basta cercare un po'. my 2 cents ciao Carlo http://www.sikurezza.org - Italian Security Mailing List
[ml] Re: Soluzione di accesso remoto con token USB (Daniele Di Mattia)
Ciao, Sono convinto che come questo ce ne saranno molti altri, basta cercare un po'. in passato avevo letto questo http://www.networkworld.com/news/2009/021009-windows-7-gets-ipsec-vpn.html ma poi non ho piu' approfondito. saluti Carlo http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Forensic tool per la verifica dell'integrit? delle password su un server Linux
ciao, Quasi nessuno memorizza le password in chiaro. Molto piu` spesso viene memorizzato un hash della password stessa. Il percorso hash-password non e` esattamente immediato. Sicuramente non e` veloce. Anzi. Averle hashate (o in qualunque forma le stori il servizio) va benissimo lo stesso. ma allora non ti serve nessun tool, fatti un back-up. Da quello che dici mi sembra che ti serva essere in grado di fare un restore del servizio, questo e' un normale back-up della macchina, es. bacula o clonezilla Dal subject della mail: verifica dell'integrit? delle password il topic sembrava completamente diverso, spiega un po' piu' a fondo qual'e' lo scopo. saluti Carlo http://www.sikurezza.org - Italian Security Mailing List
[ml] Re: CV per lavorare nella sicurezza
ciao, Stai parlando di security tecnica, che è probabilmente ormai il 20% del lavoro che trovi nel mondo della security. Almeno in Europa hai ragione Marco, la mia risposta era basata su una posizione tecnica nella security, purtroppo mi sto rendendo che quel che dici e' vero, ormai e' una minoranza. Ho sempre visto la security come la specializzazione tecnica ad un livello talmente alto, da poter valutare la sicurezza della soluzione. Per questo se non hai le basi reti/sistemi non puoi arrivare a questo livello... questa era la motivazione della mia risposta. Invece mi rendo conto che tutto si sta muovendo nell'opposta direzione, ma nella mia mente chi fa security deve sapere come implementare tecnicamente cio' di cui parla. E' un peccato ma mi adeguo :-D Ciao Calro http://www.sikurezza.org - Italian Security Mailing List
[ml] Re: CV per lavorare nella sicurezza
Ciao, Capisco l'esigenza di sbattersi dei nick nel biglietto da visita, ma se è solo per quello (e tralascio il vero motivo che dovrebbe essere il sincero interesse verso la materia di studio, o almeno credo :-)) secondo me Dott. o Ing. appaiono molto più interessanti di CISSP o CISA. (detto da uno che le C come le chiamano, le colleziona, su richiesta del suo boss :-)). sono di tutt'altro parere, studiare all'universita' e nel contempo prendere certificazioni IT significa rendersi conto di cosa e' il mondo enterprise. CISSP la puoi prendere solo con 5 anni di esperienza, CEH dopo tre, solo per esempio. Ma CCNA/P o qualunque certificazione di SysAdmin non ne richiede. Averla sul tuo CV dara' a chi ti fa l'intervista la garanzia che la tua cultura generale e' appoggiata da un vendor che ti ha spiegato come muoversi in un ambiente enterprise (es. cosa puo' essere piu' o meno dannoso nel troubleshooting) Che tu non abbia esperienza sara' palese nel tuo CV ma sicuramente non saranno energie sprecate. Considera che cosi' ottimizzi anche gli sforzi, studi un'argomento all'universita', lo stesso argomento lo vedi nel dettaglio con una certificazione. Questo aumenta solamente la tua preparazione, ottimizza tempi e sforzi e ti rende al tempo stesso piu' competitivo sul mercato. La laurea per lavori tecnici, in certi paesi europei, e' a volte meno considerata delle certificazioni. Certo chi fa questi errori e' un recruiter ma lui capisce solo sigle di certificazioni cosa diversa invece se punti da subito a un ruolo dove gestisci un gruppo di persone dove la laurea e' considerato un requirement. Saluti Carlo http://www.sikurezza.org - Italian Security Mailing List
[ml] Re: Clavister
Non conosco F5, ma conosco Radware (ex-Alteon). Conosco casi di diverse aziende che hanno abbandonato F5 per Radware recentemente, se questo pu?? servire a qualcosa... credo che costino sensibilmente meno. ciao, sono di parte, lo dico per correttezza, pero' anche Citrix Netscaler e' una soluzione da prendere in considerazione. Volendo adesso puoi usare anche la versione VPX virtualizzata, ricordati solo che questa versione non puo' fare SSL off-load, vista l'assenza delle schede criptografiche hw. https://secureportal.citrix.com/MyCitrix/login/EvalLand.aspx?downloadid=1857216LandingFrom=1005 Solo per aggiungere un'altra possibilita' a quelle validissime elencate in questo thread. Saluti Carlo http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Firewall Linux Based
Ciao, in azienda (un centinaio di macchine, spesso subiamo attacchi) siamo decisi a implementare un firewall linux based; al momento è solo un'idea, quindi stiamo un pò cercando di capire quali siano le alternative più percorribili...qualcuno ha esperienza e/o case histories da illustrare? Noi saremmo orientati su Smoothwall. fossi in te darei un'occhiata seria a pfsense, so che chiedevi linux e non bsd, http://www.pfsense.com/ pero' ai tempi dei miei test con Smoothwall express 3.0, se non ricordo male, non supportava multiple DMZ e le vpn erano limitate perche' c'erano problemi con PPTP e Radius, questo per i pacchetti free. Considera anche che il VPNC le certificazioni le fa con ISAKMPD che e' BSD Per la mia esperienza pfsense e' solido e molto semplice da mantenere e gestire. Nella tua mail non spieghi il design della rete e di cosa hai bisogno nello specifico, ma in generale ritengo pfsense superiore di sicuro alla versione free che avevo provato di smoothwall. Per quella commerciale invece non mi posso esprimere... Inoltre da un punto di vista di network ritengo molto piu' affidabile bsd e solaris piuttosto che linux, pero' non vorrei scatenare un flame con questa affermazione, prendetela come il mio personale parere. Ciao Carlo http://www.sikurezza.org - Italian Security Mailing List
[ml] Re: Professione Penetration tester dubbi e consigli
Ciao, scusatemi se cerco di ritornare in topic con l'originale senso del mio post. Esiste in lista un penetration tester o appassionato dell'argomento che abbia dei consigli su dei buoni libri o delle valide risorse da cui attingere? Consigli effettivi non l'elenco dei libri che escono su google/amazon sull'argomento :-D, non ho bisogno di tutor nella navigazione, ma di un punto di vista di qualcuno con delle conoscenze tali da poter giudicare la validita' di una fonte a differenza di un'altra. Come dicevo nel precedente post quelli che mi piacevano sembrano in pubblicazione e disponibili da Ottobre. (non mi interessano testi o link per lamer) Grazie a tutti della disponibilita' e se siete in ferie, buone vacanze. ciao Carlo http://www.sikurezza.org - Italian Security Mailing List
[ml] Re: Professione Penetration tester dubbi e consigli
ciao, grazie a tutti delle risposte. Sono daccordo sul punto. Se poi le conoscenze acquisite sia sul lavoro che personali ti sono dausilio per una certificazione di prestigio, perchè no ? Casomai in una gara o come qualificazione in un curriculum potrebbero essere utili : certamente non inutili quantomeno. completamente d'accordo, ho pero' problemi a trovare un libro approfondito sull'aspetto pratico, mi ispirava Professional Penetration Testing: Creating and Operating a Formal Hacking Lab (Paperback) ma non e' ancora disponibile: http://www.amazon.com/Professional-Penetration-Testing-Creating-Operating/dp/1597494259/ref=sr_1_3?ie=UTF8s=booksqid=1248438548sr=1-3 ed ho problemi a reperire il manuale per l'ecsna, anche lui non ancora disponibile: http://www.amazon.com/Network-Testing-Procedures-Security-Ec-Council/dp/1435483707/ref=sr_1_1?ie=UTF8s=booksqid=1248438657sr=1-1 nel frattempo il prossimo che mi sono preso e' Google Hacking for Penetration Testers, Volume 2: http://www.amazon.com/dp/1597491764 ma non e' sicuramente questo il libro che cercavo con una completa overview. Spero di non essere frainteso, non sto cercando il manuale sperando magicamente di diventare un professionista da un giorno o l'altro, so che e' un lavoro dove l'esperienza ha un ruolo decisivo, ma i contenuti generali del CEH o di Security + ci sono e sto cercando di approfondire uscendo un po' dalla sterile, anche se essenziale, parte teorica della materia. Non sto per forza cercando un libro per fare la certificazione, ma qualcosa che contenga contenuti validi e che mi guidi evitando di fare errori come tanti anni fa, quando avevo iniziato con unix, leggendo ovunque in un modo disordinato, rischiando di perdere le conoscenze base, solo guidato dalla curiosita'...ovviamente poi colmate dall'effettiva esperienza sul campo. Grazie a tutti, buon week-end. ciao Carlo http://www.sikurezza.org - Italian Security Mailing List
[ml] Professione Penetration tester dubbi e consigli
Ciao, ho approcciato da poco al penetration testing e ne sono affascinato. Per avere un approfondimento piu' corretto pensavo di seguire la via delle certificazioni ma sono tremendamente spaesato da quello che mi sembra davvero un business. Ho letto un po' di cose sul CHECK e sul CSAC, ma vedo che per l'esame si parla di 1600 pound. Ero interessato all'OSSTMM che mi sembra molto serio, ma anche le linee guide dell'ECSA mi parevano valide, per poi non parlare di SANS Generalmente non vedo molto di buon occhio le certificazione perche' preferisco piu' le effettive conoscenze, ma essendo nel mondo anglosassone ci sono poche scelte, se vuoi sembrare serio, da li si passa. Lavoro in un campo collegato alla security ma non mi pagheranno mai certificazioni o corsi cosi' cari, e purtroppo i miei fondi non sono dei migliori. Qual'e' secondo voi, con l'obiettivo di diventare un penetration tester la migliore scelta economica e di carriera. La mia paura e' di spendere soldi ed energie per qualcosa che non mi dia il giusto approccio alla materia. Se qualcuno in lista e' CHECK Team Leader, ha voglia di condividere, se preferisce anche in privato, la sua esperienza raccontando il percorso che ha fatto e le sue impressioni? Grazie, saluti Carlo http://www.sikurezza.org - Italian Security Mailing List
[ml] Bug SSL-VPN SonicWALL [vendor]
Scusate se mi permetto di inserirmi IMHO la lista non e' il posto migliore dove fare competizioni di brand. Ritengo che qui si dovrebbe discutere del tipo di attacco dal punto di vista tecnico, non fare la classifica di quelli piu' o meno bravi. Sinceramente ritengo certe vulnerabilita' tecnicamente gravi, piu' per la loro semplicita' e facilita' di essere scoperte dal vendor ancora prima di immetterle sul mercato, con un buon testing. Questo toglie la fiducia, il fatto di rendersi conto che ormai e' piu' importante l'enhancement request piuttosto di un buon codice testato e sottoposto ad un severo audit, prima del rilascio. Concordo con il fatto che il numero di vulnerabilita' non sia un buon metro... diciamo che questa era seria. Il mio ragionamento e' applicato a qualunque vendor e ad ogni tipo di prodotto... ancor di piu' se relativo al mondo della sicurezza dove societa' si affidano a questi vendor per tutelare la sicurezza e la privacy delle proprie realta' aziendali. Perdonatemi se mi son permesso. Con pieno rispetto per qualunque brand saluti Carlo http://www.sikurezza.org - Italian Security Mailing List