Roma – Questa è la storia di una notte di mezza estate e di un “penetration test”, che non è una pratica sessuale, ma un incubo da sistema web based (da passare in produzione). Sconsiglio la lettura ai profani:-)
1. Nessus è sempre più preciso
Non vi racconterò certo cosa sto analizzando (chi mi analizza a me?) ma è bene che si sappia che quello che si utilizza in informatica, molto spesso, fa parte di quel codice che caro si paga, sia come supporto che come prezzo per la licenza d’utilizzo.
Non capita tutti i giorni di passare per il forchettone del crash test un nuovo sistema, però quando capita, se capita, mi attraversa sempre una sensazione di bonaria cattiveria (“adesso lo sfascio”…).
L’inizio, tanto per gradire, mi stimola un bel DoS. Mi attesto in ssh direttamente sui server che compongono la dorsale, che ficco tutto in gigabit-ethernet, e si inizia con una decina di ping estesi… in pochi secondi il livello di traffico sulle macchine da testare si innalza sopra i 2 Megabit… tutto va una meraviglia.
È il momento del security assessment e mi affido al miglior prodotto del reame: Nessus. Per fare gli altri test mi aggiravo sempre su macchine Linux o su server *BSD e anche il Nessus fa parte della “dannata” categoria dei software liberi.
L’ultima volta che avevo utilizzato il Nessus Security Scanner non ero rimasto molto soddisfatto, c’erano ancora diversi falsi positivi nel report finale, insomma tutto sommato non mi aspettavo molto, ma mi sono dovuto immediatamente ricredere.
Il responso della rilevazione è stato inquietante:
1. Il numero impressionante di vulnerability ad alto rischio rilevate sul prodotto oggetto del test;
2. Tutte le note incluse nel report sono praticamente perfette.
Insomma il prodotto analizzato è una vera chiavica, e dire che era anche venuto l’esperto in security ad applicare le patch consigliate dal vendor. Che dire? Con un semplice script-kiddie ci saremmo ritrovati, in pochi secondi, di fronte ad una shell aperta sul filesystem del server (perdipiù in modalità rw)!
Lo sconcerto sale immediatamente, il rilascio del prodotto è rimandato a tempi migliori, ma la delusione è sempre di più: la mancanza di un occhio di riguardo verso la sicurezza e la mancata produzione di patch da parte del vendor. Che dire, visto che si trattava di vulnerability di qualche mese o di qualche anno fa?
2. Dallo sconcerto al software libero
Premesso che sarà compito del vendor trovare la soluzione finale mi sono divertito ad analizzare scenari e trovare nuove soluzioni, peraltro convinto del fatto che il vendor non sarà assolutamente in grado di dare una soluzione valida al security report.
Mio caro software libero, tante volte ti penso e sapessi quanto ti voglio bene. Solo tu mi consenti sempre di ragionare e lavorare con l’ingegno.
Dopo Nessus mi metto a lavorare con Apache. Da qualche parte, giorni fa, leggevo di scarsa qualità della versione 2. È vero, probabilmente è ancora troppo giovane ma, si sa, l’hanno dovuta fare per i sistemi Windows. E allora? Ma sì, dopo 8 “stable” della versione 2 è giunta l’ora di passarla per la produzione e pensionare la 1.3.27.
Lima, aggiusta, sistema, analizza e reingegnerizza. Ma non ero un “Network Manager”?
In meno di tre ore la componente fallata la frullo nella spazzatura e la sostituisco con l’ennesima componente di software libero, quel cuore libero della rete che ribelle distrugge ogni regola commerciale.
Che bello, ma sono aumentare anche le performance. Beh, un sistema *BSD è ben altra cosa e se potessi mettere mano anche sulla business logic? Ci pensiamo domani:-)
Ne potremmo vedere ancora delle belle, per il momento non si può dire nulla, sarebbe politicamente scorretto parlare e la soluzione al security assessment non sarebbe quella ufficiale perchè non è quella delle patch proposte dal vendor. Ma a me non interessa.
3. Ancora Nessus….
E già, ancora ‘sto pippolotto del Nessus dei miei stivali, ma questo software libero a cosa servirà mai? Mi rimetto lì a spippolare e stavolta il report è ancora più sconvolgente:
1. le vulnerability sono totalmente sparite;
2. mi dice, niente, solo avvisi.
Sarebbe carino pubblicare i due report, lo so che siete curiosi come le scimmie, ma considerate quello che ho scritto solo come un sogno di mezza estate in una notte calda, di quelle che mandano il cervello in ebollizione e la ragione non è tra noi. Preso dalla calura e dalla follia mi trovo qui a scrivere (invece di dormire) mentre le pale del ventilatore sospingono il dito stanco sulla tastiera del mio portatile.
4. Note
Questo testo può essere riprodotto in base alla GNU Free Documentation License
Lettera firmata
-
Ma che state a di ???
Scusate... se la foto è già presente in iternet in un sito ad accesso pubblico... che male c'è se il motore di ricerca offre un modo per arrivarci ?!?Capisco che la miniatura sta nel server del motore, ma il file originale appare nella pagina dove l'ha messa il prorpietario.Se proprio ci tieneva tanto a non farla scopiazzare, poteva non metterla online in un sito pubblico !!!!Io faccio molte foto... e quelle a cui tengo veramente sono custodite nei miei CD (pagando la tassa alla siae tra l'altro) e non sono di certo nel mio sito internet...Secondo me con questa storia del diritto d'autore certa gente si sta facendo troppe seghe mentali... come fu per la privacy che ha portato più mali che beni (almeno al comune mortale)...AnonimoRe: Ma che state a di ???
Tieni conto che viviamo in un mondo dove pubblicare un semplice link puo' essere considerato REATOCioe'AnonimoRe: Ma che state a di ???
- Scritto da: Anonimo> Tieni conto che viviamo in un mondo dove> pubblicare un semplice link puo' essere> considerato REATOAnnamo bene.... che schifezza che sta diventando internet...Ripenso a qualche anno fa.... dove era una fonte inesauribile di risorse... ieri ho provato a cercare con google un algoritmo, i primi 8 risultati erano di quel cavolo di kelkoo che mi voleva vendre la lavatrice del magnotta... altri di cacchiate semiporno... e alla fine della ricerca non ho trovato quel che cercavo...Anni fa non era così !!!Già c'era il porno... c'erano i siti commerciali... c'era già tutto, ma appariva solo se lo cercavi. Oggi prima viene quello, poi la roba più utile (ma a pagamento) !Dove arriveremo....AnonimoRe: Ma che state a di ???
ehm...veramente se io metto una foto in internet non è detto che ho voglia di farmela scopiazzare... magari la vendo... o magari la regalo...molti regalano icone o immagini...attenzione ho detto regalano, ma sembre dietro una licenza che recita:puoi farne l'uso che vuoi, desktop, sito web, commerciale o educativo ma... l'immagine dovrà sempre essere accompagnata dalla presente lecenza in maniera tale che chi la scarica o la vuole usare sa quali sono i termini e le condizioni....se io utilizzo quell'immagine, ripeto che è gratis, senza riportare la licenza d'uso, difatti ho violato la licenza...ridimensionare l'immagine secondo me non cambia la cosa, a meno che non sia specificatamente dichiarato, per cui se con un sitema automatico: motore di ricerca, vieni sul mio sito e si fa una miniatura della mia foto/immagine e non si copia e pubblica anche la licenza per me sta violando la licenza con cui si distribuisce la foto...ah, dimenticavo...il mio è solo un parere...vi prego smentitemi cosi vi vado a fare un pò di miniature dal sito di corbis e me le metto sul sito, tanto dopo dico che ho utlizzato un sistema automatico per prelevarle.... ;PsalutiAnonimoimmagini pubbliche
Se un motore di ricerca riesce a prelevare ed indicizzare la tua foto significa che è perfettamente accessibile da chiunque. I motori di ricerca non fanno altro che estrarre i link delle immagini dalle pagine html visibili dall'esterno.- Scritto da: Anonimo> ehm...> veramente se io metto una foto in internet> non è detto che ho voglia di farmela> scopiazzare... magari la vendo... o magari> la regalo...> molti regalano icone o immagini...> attenzione ho detto regalano, ma sembre> dietro una licenza che recita:> puoi farne l'uso che vuoi, desktop, sito> web, commerciale o educativo ma...> l'immagine dovrà sempre essere accompagnata> dalla presente lecenza in maniera tale che> chi la scarica o la vuole usare sa quali> sono i termini e le condizioni....> > se io utilizzo quell'immagine, ripeto che è> gratis, senza riportare la licenza d'uso,> difatti ho violato la licenza...> ridimensionare l'immagine secondo me non> cambia la cosa, a meno che non sia> specificatamente dichiarato, per cui se con> un sitema automatico: motore di ricerca,> vieni sul mio sito e si fa una miniatura> della mia foto/immagine e non si copia e> pubblica anche la licenza per me sta> violando la licenza con cui si distribuisce> la foto...> > ah, dimenticavo...> il mio è solo un parere...> vi prego smentitemi cosi vi vado a fare un> pò di miniature dal sito di corbis e me le> metto sul sito, tanto dopo dico che ho> utlizzato un sistema automatico per> prelevarle.... ;P> > salutiAnonimoRe: immagini pubbliche
e no mi dispiace...quello che dici è vero ma centra poco con il discorso...qui non si parla di mettere un link a qualcosa di accessibile...si sta facendo una copia di un immagine che magari è sotto licenza su di un altro pc...peraltro se si esclude google... direi che l'utlizzo che ne fai dell'immagine, tu motore di ricerca, è commerciale, visto che tramite anche la mia immagine tu vendi spazi pubblicitari...quindi...paga se vuoi copiare l'immagine o almeno rispetta la licenza d'uso...daltra parte l'immagine è un file e tu ti stai facendo una copia del file...sai che c'è se tu puoi... mo mi copio i file sotto copyright M$ e me li metto sul sito con il link cosi faccio un bel motore di ricerca di software... secondo te posso?no? cos'è la cosa si può fare se sono file jpg e non si può fare se sono file exe?ciaoAnonimoNon avete altre notizie?
rto nè dovete aver poche di notizie interessanti se pubblicate ogni stupidaggine che sentite dire.AnonimoIl problema dei link diretti
Il fatto e' che un sacco di gente ancora non sa che puo' evitare di vedere le sue pagine prese da gugle o da simili e poi protesta (c'era anche una tipa sempre qui su PI qualche tempo fa che rosicava) e poi se la prendono con un servizio che secondo me fa parte del web e dovrebbe essere pure tutelato in qualche modo, altro che processato!!AnonimoIDEA: Immagini su internet con licenza
Forse bisognerebbe tutelare di + i lavoro dei fotografi e per questo mi è sovvenuta questa idea: perchè non adottare delle politiche con licenza per le immagini come per il software? Prima ho letto: "Le foto belle me le tengo sul CD, mica le pubblico...". E se io le foto belle le volessi pubblicare per farmi pubblicità? Perchè non devo essere libero di pubblicare qualcosa?Bisognere adottare un formato di immagini che contenga meta-informazioni (o attributi) in cui si può includere la licenza d'uso delle stesse.AnonimoRe: IDEA: Immagini su internet con licenza
> Bisognere adottare un formato di immagini> che contenga meta-informazioni (o attributi)> in cui si può includere la licenza d'uso> delle stesse.Idea vecchia e brevettata, esiste una sorta di meccanismo che permette di reclamare la paternita' di un immagine anche se questa viene ritoccata e modificata in parte.Copiate gente copiate, ma state pronti a pagare mooooolto care le immagini. :DAnonimoCoerenza ci vuole (?)
allora, tanto per dirne una: oggi PI, nella rubrica *cinque siti per navigare* propone, al numero uno, un sito, essenzialmente, di immagini. coerenza vorrebbe che quanti lo visiteranno, si limitassero a guardare e non toccare. mmm.non so se resisto.comunque, non sono immagini trovate da un motore di ricerca.ergo, ne faccio quel che voglio?ho come la vaga impressione che pure questo sia un fiero tentativo di prosciugare il mare con un cucchiaio. auguri.LockOneUsiamo Robots.txt... e la testa.
Secondo me i motori di ricerca ( campo sul quale mi sto laureando ) hanno un utilità sociale che deve essere accessible da tutti. Detto questo ci sono delle leggi che proteggono i diritti d'autore ( non sono concorde su tutte queste "leggi" ) e dei metodi per rispettarle.Se un webmaster non vuole che i motori di ricerca prelevino il proprio sito per indicizzarlo ci sono le tecnologie adatte http://www.robotstxt.org/wc/robots.html che consiste in un semplice file di testo che dice ai crawl ( i programmi che visitano automaticamente le pagine Web ) di non indicizzarti.Più precisamente vuoi che solo alcune pagine non vengano indicizzate dice che questa pagina non deve essere considerata.Allora prima di dire "mi hanno rubato le foto, i file, i link" proteggiamoci, informiamoci non gridiamo al ladro quando, per ignoranza o incoscenza, lasciamo la porta di casa aperta!Buone ricerche a tutti!AnonimoCorrezione primo post.
Scusate ma ha nascosto la sintassi HTML> Più precisamente vuoi che solo alcune pagine> non vengano indicizzate META=ROBOTS COTENT=NOINDEX,NOFOLLOW>dice che questa> pagina non deve essere considerata.AnonimoRe: Correzione primo post.
Concordo pienamente, ma se un fotografo ha tanti sold e volgia per fare causa, siamo sicuri che sia un vero fotografo?paulatzRe:laurea in motori di ricerca...
- Scritto da: Anonimo> Secondo me i motori di ricerca ( campo sul> quale mi sto laureando ) Laurea in ricercologia?> hanno un utilità> sociale che deve essere accessible da tutti.utilita' sociale???????Hanno una dichiarata utilita' lucrativa!!!Non indicizzano siti per dare un servizio alla comunita' lo fanno per poter vendere pubblicita' o per altri scopi ben lontani dal "bene sociale"> Detto questo ci sono delle leggi che> proteggono i diritti d'autore ( non sono> concorde su tutte queste "leggi" ) e dei> metodi per rispettarle.Non sono daccordo che un motore di ricerca prenda il contenuto dal tuo sito per offrire un servizio ai suoi visitatori oppure che almeno proponga il link all'intera pagina con l'immagine e non solo all'immagine stessa. > Se un webmaster non vuole che i motori di> ricerca prelevino il proprio sito per> indicizzarlo ci sono le tecnologie adatte> http://www.robotstxt.org/wc/robots.html che> consiste in un semplice file di testo che> dice ai crawl ( i programmi che visitano> automaticamente le pagine Web ) di non> indicizzarti.Almeno mettano un avviso che le immagini appartengolo ai rispettivi proprietari e salvo altra indicazione degli stessi non possono essere utilizzate da terzi!> Allora prima di dire "mi hanno rubato le> foto, i file, i link" proteggiamoci,> informiamoci non gridiamo al ladro quando,> per ignoranza o incoscenza, lasciamo la> porta di casa aperta!Giusto! hai lasciato la porta di casa aperta? che fortuna !!posso svaligiarti casa senza infragere nessuna legge :D :D :DAnonimoNon c'e' verso, a meno che...
Non esiste nessun modo per poter tutelare un'immagine su internet, si possono limitare le possibilia' disabilitanto il tasto destro, inserendo l'immagine in un applet o in un flash, che sono baggianate dribblabili ma la meta' delle persone non saprebbe cosa altro fare per salvare l'immagine, gia' pero' cosi' e' meglio di niente. Ma se io volessi salvare su hd un'immagine, da momento che si vede sul browser, basta fare un bel cattura schermo e poi ctrl+v in qualsiasi software fotografico o direttamente salvando la schermata su file. L'unico metodo che tiene e' "rovinare" la foto mettendoci una bella scrittozza in rielievo e in trasparenza che prende tutta la foto, in modo che la foto sia ancora abbastanza apprezzabile ma contemporaneamente (e quasi irrimediabilmente) rovinata dalla scritta visibile e sovrapposta, cosi' chi se la salva dovra' sudare sette camicie per ritoccarla tutta, ma il risultato non sara' mai come l'originale.Per esempio come fa Corbis: http://pro.corbis.com/images/watermark/67/13142027/PN017444.jpgCome possibile vedere la foto e' apprezzabile ma non utilizzabile, e fotoritoccarla per togliere la scritta sarebbe una sofferenza, e comunque non verrebbe mai come l'originale.Per il resto, chi mette le sue foto nude e crude nel web deve convivere con l'idea che chiunque gliele puo' scaricare, lo deve mettere in preventivo, quindi che non si lamentino... secondo me la legge dovrebbe stabilire che una volta che la foto e' in internet decade il diritto d'autore per quanto riguarda gli utilizzi personali (salvataggio su hd e cavolate varie no profit), invece ovvio che se la multinazionale X o l'azienda Z escono con una pubblicita' con la mia foto, o uno studio di web design la utilizza per realizzare un sito che poi vende a terzi, li' scatta il rimborso e il pagamento delle royalties...LVAnonimoRe: Non c'e' verso, a meno che...
sono pienamente daccordo...infatti secondo questo stesso principio pensate cosa mi accade:al mercato del martedi nella via dove abito c'è un tizio che vende abbigliamento, io ogni volta che passo di li mi fermo butto un occhio e poi faccio il "download" a volte di una maglietta a volte di un pantalone a volte di un paio di scarpe...se il tizio se ne accorge ha l'ardire di arrabbiarsi...ma dico io:hai voluto vendere per la strada, senza sistemi antitaccheggio e mura a proteggerti... e allora devi fare i conti col fatto che chi passa possa fare il "download"...e poi io glielo dico eh! "..oh guarda io mica le uso per scopi commerciali... se le usassi per scopi commerciali, che so per fare una pubblicità ti pagherei certamente...sai scattano le roglialti e altre menate..."Secondo voi dato che da internet c'è la possibilità tecnica accessibbile a chiunque di fare tasto dx salva con nome, questo autorizza a prelevare contenuti da un sito????Se io compro un giornale, ho in mano i contenuti, difatti o una copia fedele all'originale tra le mani... secondo voi questo mi autorizza a riutilizzare, diciamo sul mio giornalino del paese un articolo senza citare la fonte, senza avere il permesso dell'autore o dell'editore?Fare una fotocopia oggi è molto più accessibile a tutti che fare tasto dx e salva con nome, eppure fare le fotocopie di libri o parti di esso non è cosi consentito... come mai?Mi dispiace ma io ho sempre chiesto all'autore, anche quando si trattava di scaricare e stampare una guida pubblicata online, per uso personale.E certo mi direte fare la raccomandata in bollo con ricevuta di ritorno eh? lunga vero? no è bastata sempre una mail... "..scusa ho vistola tua guida online, dato che non posso spendere molti soldi per rimanere sempre collegato, posso salvarmi le pagine per poi stamparle?..." chissa perchè mi hanno sempre risposto positivamente....Forse qualcuno avrà anche pensato "ma che demente... me lo chiede pure", ma a me è sembrato giusto cosi.ciaoah! a momenti mi dimenticavo: mentre grabbate le foto dai siti vedete di non prendere quelle dal mio... noooo non vi faccio causa.. figuratevi, le foto io le ho comprate da corbis e posso utilizzarle solo sul mio sito personale... sarà corbis poi a contattarvi... io sto tranquillo!salutiAnonimoRe: Non c'e' verso, a meno che...
- Scritto da: Anonimo> Secondo voi dato che da internet c'è la> possibilità tecnica accessibbile a chiunque> di fare tasto dx salva con nome, questo> autorizza a prelevare contenuti da un> sito????Si'. Se li metti su un sito, sono li' per essere prelevati. Se lo fai per un altro motivo, per favore, spiegamelo che io non ci arrivo.> Mi dispiace ma io ho sempre chiesto> all'autore, anche quando si trattava di> scaricare e stampare una guida pubblicata> online, per uso personale.Bravo. Ma non hai capito un cazzo.> ah! a momenti mi dimenticavo: mentre> grabbate le foto dai siti vedete di non> prendere quelle dal mio... noooo non vi> faccio causa.. figuratevi, le foto io le ho> comprate da corbis e posso utilizzarle solo> sul mio sito personale... sarà corbis poi a> contattarvi... io sto tranquillo!Non preoccuparti.. Se non vuoi che io scarichi le immagini dal tuo sito, non lo faro'. Non capisco perche' le hai messe, pero'.AnonimoRe: Non c'e' verso, a meno che...
1) "non hai capito un cazzo" lo dici a tuo padre se non ti da un papagno in bocca...2) perchè metto dei contenuti in un sito è per farli leggere guardare NON SCARICARE, altrimenti mi facevo un ftp e non un sito webnon so se è chiara la differenza tra sito web e ftp?esempio perchè metto delle immagini su di un sito?vediamo sono un disegnatore e voglio far vedere le mie capacità ad eventuali clienti...Le mostre di quadri le fanno per far portare via i lavori vero?no? come no? e allora spiegami perchè mettono i quadri li appesi... sai "non l'ho capito proprio..."cerca di essere più educato, è un forum, se sto scrivendo qui è anche per confrontarmi con gli altri e con chi come te la pensa diversamente da me...magari il tuo modo di pensare è migliore del mio, tu hai visto o intuito da un altro punto di vista la cosa e io non ci sono arrivato...io sto esprimedo dei concetti, sono sarcastico? si ma non offendo nessuno.. se offendo qualcuno fatelo presente piuttosto non mi tiro indietro dal chiedere scusa... ma esprimere un concetto dicendo "non hai capito un cazzo" non mi farà certo cambiare idea...salutiAnonimoPagliaccio americano!!...
Vorrei sapere che differenza fa mettere un link o far vedere la foto per intero... come se gliel'avessero rubata...Certa gente dovrebbe fare come gli struzzi, seppellirsi la testa...AnonimoE un po' una rottura di scatole...
Mi sono ritrovato immagini create da me per il mio sitozzo sparse ovunque in Internet e quando contattavo i copioni mi rispondevano di essere convinti di poterle utilizzare perche' trovate tramite motore di ricerca quindi di proprieta' pubblica.Il bello che alcuni "copioni" avevo scritto sul loro sito che il materiale e' protetto dal loro copyright e guai a chi copia :-|Pensate un po alla faccia di bronzo di questi.AnonimoGrazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoGrazie per esserti iscritto alla nostra newsletterOops, la registrazione alla newsletter non è andata a buon fine. Riprova.Leggi gli altri commentiPubblicato il 10 lug 2003Ti potrebbe interessare