Sicurezza, cronaca di una notte caliente

Roma – Questa è la storia di una notte di mezza estate e di un “penetration test”, che non è una pratica sessuale, ma un incubo da sistema web based (da passare in produzione). Sconsiglio la lettura ai profani:-)

1. Nessus è sempre più preciso
Non vi racconterò certo cosa sto analizzando (chi mi analizza a me?) ma è bene che si sappia che quello che si utilizza in informatica, molto spesso, fa parte di quel codice che caro si paga, sia come supporto che come prezzo per la licenza d’utilizzo.
Non capita tutti i giorni di passare per il forchettone del crash test un nuovo sistema, però quando capita, se capita, mi attraversa sempre una sensazione di bonaria cattiveria (“adesso lo sfascio”…).

L’inizio, tanto per gradire, mi stimola un bel DoS. Mi attesto in ssh direttamente sui server che compongono la dorsale, che ficco tutto in gigabit-ethernet, e si inizia con una decina di ping estesi… in pochi secondi il livello di traffico sulle macchine da testare si innalza sopra i 2 Megabit… tutto va una meraviglia.

È il momento del security assessment e mi affido al miglior prodotto del reame: Nessus. Per fare gli altri test mi aggiravo sempre su macchine Linux o su server *BSD e anche il Nessus fa parte della “dannata” categoria dei software liberi.

L’ultima volta che avevo utilizzato il Nessus Security Scanner non ero rimasto molto soddisfatto, c’erano ancora diversi falsi positivi nel report finale, insomma tutto sommato non mi aspettavo molto, ma mi sono dovuto immediatamente ricredere.

Il responso della rilevazione è stato inquietante:
1. Il numero impressionante di vulnerability ad alto rischio rilevate sul prodotto oggetto del test;
2. Tutte le note incluse nel report sono praticamente perfette.

Insomma il prodotto analizzato è una vera chiavica, e dire che era anche venuto l’esperto in security ad applicare le patch consigliate dal vendor. Che dire? Con un semplice script-kiddie ci saremmo ritrovati, in pochi secondi, di fronte ad una shell aperta sul filesystem del server (perdipiù in modalità rw)!

Lo sconcerto sale immediatamente, il rilascio del prodotto è rimandato a tempi migliori, ma la delusione è sempre di più: la mancanza di un occhio di riguardo verso la sicurezza e la mancata produzione di patch da parte del vendor. Che dire, visto che si trattava di vulnerability di qualche mese o di qualche anno fa?

2. Dallo sconcerto al software libero
Premesso che sarà compito del vendor trovare la soluzione finale mi sono divertito ad analizzare scenari e trovare nuove soluzioni, peraltro convinto del fatto che il vendor non sarà assolutamente in grado di dare una soluzione valida al security report.
Mio caro software libero, tante volte ti penso e sapessi quanto ti voglio bene. Solo tu mi consenti sempre di ragionare e lavorare con l’ingegno.

Dopo Nessus mi metto a lavorare con Apache. Da qualche parte, giorni fa, leggevo di scarsa qualità della versione 2. È vero, probabilmente è ancora troppo giovane ma, si sa, l’hanno dovuta fare per i sistemi Windows. E allora? Ma sì, dopo 8 “stable” della versione 2 è giunta l’ora di passarla per la produzione e pensionare la 1.3.27.
Lima, aggiusta, sistema, analizza e reingegnerizza. Ma non ero un “Network Manager”?

In meno di tre ore la componente fallata la frullo nella spazzatura e la sostituisco con l’ennesima componente di software libero, quel cuore libero della rete che ribelle distrugge ogni regola commerciale.
Che bello, ma sono aumentare anche le performance. Beh, un sistema *BSD è ben altra cosa e se potessi mettere mano anche sulla business logic? Ci pensiamo domani:-)

Ne potremmo vedere ancora delle belle, per il momento non si può dire nulla, sarebbe politicamente scorretto parlare e la soluzione al security assessment non sarebbe quella ufficiale perchè non è quella delle patch proposte dal vendor. Ma a me non interessa.

3. Ancora Nessus….
E già, ancora ‘sto pippolotto del Nessus dei miei stivali, ma questo software libero a cosa servirà mai? Mi rimetto lì a spippolare e stavolta il report è ancora più sconvolgente:
1. le vulnerability sono totalmente sparite;
2. mi dice, niente, solo avvisi.

Sarebbe carino pubblicare i due report, lo so che siete curiosi come le scimmie, ma considerate quello che ho scritto solo come un sogno di mezza estate in una notte calda, di quelle che mandano il cervello in ebollizione e la ragione non è tra noi. Preso dalla calura e dalla follia mi trovo qui a scrivere (invece di dormire) mentre le pale del ventilatore sospingono il dito stanco sulla tastiera del mio portatile.

4. Note
Questo testo può essere riprodotto in base alla GNU Free Documentation License

Lettera firmata