Net Security Conference – 2° giorno

Ieri seconda e ultima giornata della conferenza a Milanofiori. Traffico orribile come al solito, anche se non era festa in Ticino.

Prima sessione: “Hardening Your Web Server“, ovvero “non è compito del vendor fornirti un sistema operativo inerentemente scuro, ma è compito tuo stare dietro a tutte le patches e aggiornamenti”. E questo vale sia in ambiente Windows che in ambiente unix/linux. Il consiglio saggio è che su una macchina esposta verso internet disabiliterai tutto quello che non è strettamente necessario: meno servizi, meno buchi. Sarebbe addirittura utile disabilitare l’interfaccia grafica di Windows su una macchina che deve esclusivamente rispondere a richieste sulla porta 80. Alla fine della sessione, un poverino ha chiesto: “Adesso che tutto è disabilitato, adesso che tutto è blindato, come faccio a fare un aggiornamento delle pagine HTML?”. Bella domanda. Siti consigliati: grsecurity.net e bastille-linux.org.

il momento della ciofeca


Seconda sessione: “Firewalls: Theory and Implementation“, ovvero “spendere spendere spendere”. Il consiglio saggio è quello di mettere un primo bastion firewall di livello 2, che faccia solo packet filtering, tra internet e la DMZ, e un Application-Proxy Gateway, che lavora fino al livello 7, tra la DMZ e la rete interna. Meglio avere due firewalls di due vendors diversi, per diminuire la vulnerabilità complessiva.

Credo che il problema fondamentale sia la gestione, dove è necessario trovare l’equilibrio tra un controllo troppo pesante e un controllo inefficace.

Due parole sono state spese anche sui Personal Firewalls, che dovrebbero essere obbligatori sulle macchine di tutti gli utenti remoti.

Terza sessione: “Intrusion Detection Systems“, ovvero “i computers sono stupidi, stupidi, stupidi”. Un IDS ascolta il traffico della tua rete e quando scopre un tentativo di intrusione ti avvisa, e può anche modificare le regole del firewall per bloccare quell’attacco.

Detto così suona fantastico. Poi scopri che l’IDS semplicemente cerca stringhe all’interno di pacchetti, cioè non svolge nessun lavoro euristico, e quindi lo freghi come vuoi e quando vuoi; che l’IDS richiede risorse fenomenali per processare traffico anche modesto; che il rateo di falsi positivi è del 5%, ovvero 50 avvisi falsi ogni mille sessioni, più gli avvisi veri che per mille sessioni possono essere anche 100; e infine se Microsoft dopo vent’anni ancora non riesce a far funzionare la correzione grammaticale di Word, tu figurati se io lascio modificare le regole del mio firewall da un programma qualsiasi! Over my dead body!

Ho chiesto pubblicamente alla sala che alzassero le mani quelli che lo usavano con soddisfazione: due persone. Se vuoi qualche dozzina di strumenti anti-IDS, li trovi qui. Disarmante anche il famoso articolo di Fred Cohen, “50 ways to defeat your Intrusion Detection System” (ma tutto il sito è una miniera di informazioni).

come i guru spendono l'intervallo


Ultima sessione: “Hacking the Net, revisited“, ovvero “non funziona più niente”. Scopo della sessione era quello di ripetere l’esperimento di hacking del primo giorno, ma questa volta su un server “hardened”. L’esperimento è riuscito troppo bene, ovvero il server web era così ben protetto da risultare totalmente invisibile dall’esterno! un quarto d’ora di nervoso fumbling non ha prodotto risultati da parte degli esperti, ma neanche da parte della platea.

Nota per gli organizzatori: il caffè delle pause era un sugo di straccio immondo: gente migliore è morta per meno.