[Outofthebox] Metasploit, ALSR, SEH e agriturismi vari...

Angelo Dell'Aera buffer at olografix.org
Tue May 16 16:54:01 CEST 2006 

On Wed, 10 May 2006 09:31:08 +0200
"Daniele Milan" <milan.daniele a gmail.com> wrote:

> Premessa: potevi farlo pubblicare su una rivista di security come
> editoriale, era perfetto.


Sai che non ci avevo pensato che potrei ritoccare lo stipendio facendo
editoriali? ;)


> > In questo periodo mi sto inoltre ritrovando ad utilizzare sempre
> > piu' spesso il framework di Metasploit principalmente per diletto e
> > non per lavoro. In fondo si sa che un pentest deve impiegare meno
> > ore-uomo possibile e dar luogo a un report possibilmente privo di
> > problemi e che comunque non verra' letto a prescindere quindi
> > perche' stupirsi se in due anni di pentest non ho mai scritto un
> > exploit nell'ambito di un'attivita'?

[..]

> A questo punto, capisco i costi aziendali e tutte le riflessioni che
> un amministratore *deve* fare per non far chiudere la baracca, pero'
> un piccolo investimento in termini di ore/uomo avrebbe portato due
> benefici:
> 
> 1) una parvenza di attivita' di ricerca che in Italia viene vista come
> un pozzo nero mangia soldi.
> 
> 2) una attivita' di formazione del personale che sicuramente a lungo
> termine paga (se l'azienda e' poi capace a tenere in seno le persone
> valide, invece che lasciarsele scappare).
> 
> Per chiudere la parentesi polemica: si fa molto business ma poca
> ricerca, e non credo sia un modello sostenibile nel lungo periodo.


Il vero problema e' esattamente questo anche a mio modo di vedere.
Personalmente ritengo che questo approccio sia molto superficiale e le
conseguenze di questo approccio sono evidenti a chiunque abbia avuto
occasione di lavorare nel settore. 

Ormai e' convinzione fin troppo diffusa (e non parlo soltanto di chi
tecnico non e' purtroppo) che fare un vulnerability assessment e/o un
pentest sia soltanto questione di lanciare un tool automatizzato e
ormai e' sempre piu' raro trovare qualcuno che sappia come funziona
davvero un exploit e che sia in grado di capire dove sia il bug e di
capire come viene sfruttato. E questa, a mio modo di vedere, e' una
conseguenza di come viene gestito il business della security.

Tempo fa, in occasione del MOCM, riflettevo con rubik su un aspetto a
mio giudizio molto importante. In quell'occasione si parlava infatti dei
security manager quadratici medi che si ritrovano a gestire questioni e
tematiche di cui ignorano praticamente tutto e di quanto questa cosa
fosse priva di ogni senso. In quell'occasione mi ritrovai ad affermare
che un manager, qualunque sia il settore in cui si trova ad operare,
deve essere uno che si e' sporcato le mani. In caso contrario si sente
lontano un miglio la puzza di aria fritta. E dove sarebbero questi
security manager che si sono sporcati le mani prima di diventare
manager? Ne vedo davvero pochi e tra l'altro sempre i soliti noti...

La dura realta' e'  che il settore della security sta continuando a
sfornare un manipolo di manager belli, sbarbati e incravattati privi di
qualunque forma di competenza sul campo e a breve ne pagheremo le
conseguenze secondo me.


> > La prima e' che la superficialita' con cui vengono  pensate e poi
> > realizzate nuove features senza badare alle potenziali implicazioni
> > che queste potrebbero avere e' a dir poco impressionante. E qui non
> > si parla soltanto di Windows purtroppo.
> 
> Credo che questo sia un problema sempre piu' vero e attuale quanto
> piu' si complicano i sistemi che andiamo ad usare e analizzare:
> mentre le persone e i team tendono a specializzarsi, i sistemi
> stessi diventano sinergia di competenze molto diverse, ma con
> soluzione di continuita'. Le idee ottime diventano pessime se
> analizzate con competenze diverse, e viceversa: a mio avviso manca
> quell'ottimo metodo scientifico di valutazione, la peer review. 


Oltre alla peer review manca anche il buon senso secondo me. Non sapere
come si puo' sfruttare un buffer overflow e' un pecca gravissima per
chi produce del software. Perche' allora in Microsoft non hanno pensato
alle conseguenze di un approccio quale SEH per la gestione delle
eccezioni? Anche chi ha letto soltanto il paper di Aleph1 sa bene che
un indirizzo di riferimento come quello e' il nirvana dell'exploiter. 

E ancora cosa spinge un nome importante e rinomato come Oracle a
mettercela tutta per passare da cioccolatai? Gia' perche' per due anni
di fila David Litchfield segnala un bug e loro ogni volta rilasciano un
Oracle Critical Update che non patcha il vero problema ma crea soltanto
un workaround che puntualmente un mese dopo in NGS trovano la maniera
di aggirare?  

Cosa voglio dire con questo? Che manca il buon senso e manca anche la
cultura della programmazione sicura. Questo e' ammissibile se si parla
di scrivere codice per puro diletto ma non lo e' se si fa di questo il
proprio lavoro e business. 


> > La seconda e' che alla mia eta' dovrei forse smetterla di pen(s)are
> > di queste cose e dedicarmi ad hobby piu' sani. Mi sa che apriro' un
> > agriturismo nella mia bella Puglia. Lo realizzo sul mare e lo cablo
> > interamente in fibra. Si accettano prenotazioni.
> 
> Penso che prenotero' un periodo, ahime' breve, di relax nel tuo
> agriturismo: e' presto pero' per me per dedicarmi ad hobby piu' sani,
> per cui mi portero' dietro il mio laptop e qualche libro. Ti spiace?


Sei il benvenuto ovviamente ma credo che non appena vedrai il mare
mollerai laptop e libri anche tu. Conoscendo i posti che ti aspettano
ne sono convinto.  


Saluti,

-- 

Angelo Dell'Aera 'buffer' 
Antifork Research, Inc.	  	http://buffer.antifork.org
Metro Olografix

PGP information in e-mail header


-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        signature.asc
Tipo:        application/pgp-signature
Dimensione:  191 bytes
Descrizione: non disponibile
Url:         https://www.olografix.org/mailman/private/outofthebox/attachments/20060516/784e9433/attachment.bin

More information about the Outofthebox mailing list