Enrico Pesce

Nei ultimi anni ho sentito uscire dalla bocca di molte persone paroloni come “copper speed”, “deep inspection”, “pattern matching”, “intrusion detection and prevention” e cosi via..

Per non parlare dei confronti tra uno o altri podotti, che cercano in ogni modo di differenziarsi tra l’uno e l’altro proponendo le solite cose con nomi diversi e con una confusione tale da far credere di avere sempre qualcosa di piu innovativo.

Parlare quindi di “deep inspection” per chi non vuole vendervi niente si intende semplicemente di un sistema che in tempo reale decodifica i pacchetti in transito con lo scopo di identificare anomalie secondo delle regole di confronto.

E’ importante capire questo semplice concetto perchè molti produttori vendono il proprio apparato come “copper speed”, avere un sistema di analisi IDS di certo non vuol dire leggere i dati a velocità rame.. (come si definisce la velocità del rame??)

Sorvolando sulla polemica di come vengono vendute certe funzionalità, solitamente un firewall per fare il “deep inspection” deve avvalersi di una scheda di calcolo ulteriore perchè logicamente il firewall non è nato per fare IDS, quindi se non acquistato, o se comunque non sufficiente, potenzialmente si può ridurre le potenzialità e la stabilità del vostro apparato.

Tutti gli IDS inclusi nei firewall hanno un insieme di firme (essenziali per definire le anomalie) inferiore ai veri IDS software dedicati come uno dei più famosi: SNORT. Questo fa già capire quindi come l’aggiunta di queste funzionalià di IDS (ma anche di ANTI SPAM e ANTI VIRUS) siano semplicemente degli optionals per far rendere il proprio sistema Firewall commercialmente piu appetible e utile ai piu creduloni e\o inesperti.

Un sistema Firewall\IDS “all in one” fa drasticamente diminuire la scalabilità dell’infrastruttura di rete. Immaginate di comprare una soluzione firewall con IDS e di voler sfruttare tale funzionalità aggiungendo molte regole di matching. Ci accorgeremo che piu regole inseriamo piu il carico di calcolo aumenta rubando risorse anche alla semplice funzione di firewalling.

Ha quindi senso investire su un firewall che probabilmente un giorno non potrà soddisfare le nostre esigenze di analisi IDS (o viceversa)? Sinceramente se implemento una soluzione IDS vorrei sfruttarla il piu possibile e vorrei che fosse scalabile. Preferirei un giorno sostiturie o il Firewall o l’IDS, ma non tutti e due.

Molto spesso le soluzioni piu complete e piu costose sono le meno produttive, ho molti esempi di soluzioni firewall vendute come “con questo sei apposto, fa tutto!”, alla fine va sempre a finire che metà delle funzioni non vengono abilitate perchè il prodotto non è in grado di gestirle tutte assieme!

Quindi, se volete proteggere la vostra rete con dei sistemi di analisi anti intrusione lasciate perdere gli appliance che fanno tutto e passate a qualcosa di professionale.

Ad ogni apparato il suo compito!! Un router deve fare routing, un firewall, firewalling, un IDS da IDS! Sennò tutti pontenzilmente si dovrebbero chiamare con lo stesso nome! ;)

Alla prossima con un bel articolo su SNORT!

Per chi non si è accorto, il servizio di black list DSBL ha chiuso e a quanto sembra non aprirà piu il servizio.

Nel sito ufficiale lo staff ringrazia e consiglia a tutti di eliminare le proprie liste dai server anti spam.

Per fortuna esistono molte altre liste, infatti per questo non me ne ero accorto direttamente, un buon punto di partenza per trovare dei servizi simili è come sempre wikipedia!

Non mi esprimo e copio incollo semplicemente quello che è il bug..

mymac$ osascript -e ‘tell app "ARDAgent" to do shell script "id"’;

uid=0(root)gid=0(wheel)egid=20(staff)groups=0(wheel),1(daemon),

2(kmem),8(procview),29(certusers),3(sys),9(procmod),4(tty),

5(operator),80(admin),20(staff)

fonte: http://it.slashdot.org/article.pl?sid=08/06/18/1919224&from=rss

Un piccolo esempio della situazione spam nel mondo lo si può avere da un semplice plugin per alcuni CMS: Akismet.

L’analisi delle statistiche dei commenti definiti spam rappresentano una situazione molto triste, piu del 90% dei commenti nei blogs sono spam..

dal primo lancio di Akismet (11-2005) a oggi sono stati registrati 2 BILIONI di record classificati SPAM…

Per avere piu informazioni vi giro al sito ufficiale di Akismet

Mega bug scovato sull’eseguibile file (il pacchetto che riconosce i tipi di file passati come argomento)

Le versioni e le distribuzioni a rischio sono moltissime

Per più informazioni guardate il sito di securityfocus