[Outofthebox] Metasploit, ALSR, SEH e agriturismi vari...

[shezzan]

martedì 16 maggio 2006, on 17:03, Stefano Chiccarelli scrisse:
> 
> Gli amici ti avevano avvisato per tempo ma tu sei voluto andare a vedere
> :) mo di che ti lamenti? zitto e vai a scrivere il report!
> 

L'argomento fa riflettere, essendo io tra l'altro relativamente "nuovo"
in termini di anni di lavoro nel campo la tematica forse mi tocca
con un sapore che non sa troppo di "de-javu".
Avrei parecchie considerazioni piu' complesse ed anche piu' tecniche
di quella che sto per fare, ma preferisco in questa prima fase della
discussione, lanciare una pietra se vogliamo banale:
il valore dato ad un'attivita'/persona/oggetto e' solitamente dato,
specialmente in campo economico, alla sua utilita'/resa.
L'utilita' ovviamente e' un concetto relativo come gli altri, e, come
tutto cio' che e' relato, e' relato ad un punto di vista piuttosto che
un'altro.
Cio' significa che nel tal caso l'utilita' puo' identificarsi con
l'effettiva
"resa" in termini pratici dell'oggetto in questione, e di quello per cui
era
designato.
In altri ben noti casi, l'utilita' puo' identificarsi con la capacita'
di fare il meno possibile e trovare quell'insano equilibrio tra
l'"apparire" superficiale e il guadagno monetario.
E' questo il caso ad esempio dei pentest suddetti, che hanno lo
scopo non di rendere per quello per cui in origine sono nati ( svelare
l'effettiva vulnerabilita' di un'organico ), ma piuttosto per dare
l'illusione di un controllo e di una sicurezza che permettono di
incassare
velocemente col minor spreco di risorsa.
Il panorama e i possibili significati possono essere molteplici, ma
spero e sono sicuro, che il concetto sia chiaro.

Ora, data questa premessa, la domanda spontanea e':
perche'?
o ancora meglio:
perche', basta l'apparenza ad incassare ?
la risposta per quanto banale inizia a primo impatto a profilarsi in
questi termini:
perche' i sistemi NON LI BUCA NESSUNO.
Ci sono miriadi di sistemi e macchine ( ed io personalmente ne ho avuti
sottomano alcuni niente male ) che hanno forte visibilita', che sono
letteralmente dei colabrodi ANNIENTABILI, al terzo link di google
dal piu' inetto kiddie, che NON VENGONO TOCCATI per anni. E ripeto,
PER ANNI.
Questo mi inibisce nel proseguire con ragionamenti ben piu' complessi
articolati e tecnici oltre che etici e morali.
tutto mi costringe inevitabilmente qui:
le macchine oggi non vengono piu' bucate in maniera massiccia se non
qualche sfigato per qualche bnc o processino stupido.
ci sono altre vie ( vedi worm/zombie per win etcetc ) per cui non serve
proprio a nulla un pentest.
Non c'e' reale timore, spesso nemmeno nei molti casi in cui bisognerebbe
averne, ed in effetti non c'e' reale minaccia pare.
mi fermo anche se avrei molto da dire, per ascoltare opinioni di chi ha
piu' esperienza di me sul campo.


-- 
Morte e' quanto vediamo stando svegli, sonno quanto vediamo dormendo.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: not available
URL: <http://mail.olografix.org/pipermail/outofthebox/attachments/20060516/ccfe3b7f/attachment-0002.bin>