[Outofthebox] Metasploit, ALSR, SEH e agriturismi vari...

[Daniele Milan]

Premessa: potevi farlo pubblicare su una rivista di security come editoriale,
era perfetto.

Disclaimer: mi sono svegliato in vena di polemiche stamattina! :)

> Da sempre sono attratto dagli internals dei sistemi operativi e questa
> sicuramente non e' una novita' per chi mi conosce. La novita' e' che
> da qualche tempo a questa parte mi sta interessando anche il mondo
> Windows, mondo da me ampiamente disprezzato e rinnegato in ogni sua
> forma fino a tempi fin troppo recenti.

Sinceramente e' da un po' di tempo che cerco, nel mio piccolo, di fare
in modo che Windows non venga visto come "il male assoluto", ma
come un sistema che di per se, insieme a mille problemi, racchiude
anche un bel po' di sano divertimento per chi vuole indagare ... citi
SEH, io ribatto con COM+, DEP e LiveKD (per chi vuole invecchiare
precocemente).

> In questo periodo mi sto inoltre ritrovando ad utilizzare sempre piu'
> spesso il framework di Metasploit principalmente per diletto e non
> per lavoro. In fondo si sa che un pentest deve impiegare meno
> ore-uomo possibile e dar luogo a un report possibilmente privo di
> problemi e che comunque non verra' letto a prescindere quindi
> perche' stupirsi se in due anni di pentest non ho mai scritto un
> exploit nell'ambito di un'attivita'?

Concordo sul fatto che i report di un PT debbano essere la summa
di un'attivita' a basso costo in ore/uomo e ad alto guadagno, ma
quanta soddisfazione quando si puo' scrivere in un report: "la vostra rete e'
un colabrodo", ovviamente in termini piu' business aware :)
Io in 6 mesi sono riuscito ad abbozzare la modifica di un exploit
arcinoto ... ma, ovviamente, per ragioni di tempo non e' stato possibile
portare a termine il lavoro.
A questo punto, capisco i costi aziendali e tutte le riflessioni che
un amministratore *deve* fare per non far chiudere la baracca, pero'
un piccolo investimento in termini di ore/uomo avrebbe portato due
benefici:

1) una parvenza di attivita' di ricerca che in Italia viene vista come
un pozzo nero mangia soldi.

2) una attivita' di formazione del personale che sicuramente a lungo
termine paga (se l'azienda e' poi capace a tenere in seno le persone valide,
invece che lasciarsele scappare).

Per chiudere la parentesi polemica: si fa molto business ma poca
ricerca, e non credo sia un modello sostenibile nel lungo periodo.

> La prima e' che la superficialita' con cui vengono  pensate e poi
> realizzate nuove features senza badare alle potenziali implicazioni che
> queste potrebbero avere e' a dir poco impressionante. E qui non si
> parla soltanto di Windows purtroppo.

Credo che questo sia un problema sempre piu' vero e attuale quanto
piu' si complicano i sistemi che andiamo ad usare e analizzare:
mentre le persone e i team tendono a specializzarsi, i sistemi
stessi diventano sinergia di competenze molto diverse, ma con soluzione
di continuita'. Le idee ottime diventano pessime se analizzate con
competenze diverse, e viceversa: a mio avviso manca quell'ottimo metodo
scientifico di valutazione, la peer review. Costa troppo in ore/uomo
all'interno di una azienda, mentre invece nella comunita' scientifica
e' gratis e, ancor piu' importante, fondamentale per la sopravvivenza della
comunita' stessa.
La peer review viene poi effettuata, non si scappa, ma esternamente
all'azienda, e mentre nella comunita' scientifica la critica costruttiva
e' solitamente accettata, nel business diventa una gatta da pelare.

Quanti amministratori di aziende che fanno prodotti di security
dormono male la notte perche' temono che nei loro prodotti possano
essere trovate e pubblicamente rese note problematiche di sicurezza?
E quanti di questi dormono con la coscienza a posto essendo consapevoli
di aver fatto il possibile per rendere questa probabilita' prossima allo zero?

> La seconda e' che alla mia eta' dovrei forse smetterla di pen(s)are di
> queste cose e dedicarmi ad hobby piu' sani. Mi sa che apriro' un
> agriturismo nella mia bella Puglia. Lo realizzo sul mare e lo cablo
> interamente in fibra. Si accettano prenotazioni.

Penso che prenotero' un periodo, ahime' breve, di relax nel
tuo agriturismo: e' presto pero' per me per dedicarmi ad hobby
piu' sani, per cui mi portero' dietro il mio laptop e qualche libro.
Ti spiace?

Saluti,
Daniele "tinybyte" Milan

--
"Knowledge is power" --Sir Francis Bacon