Analisi automatica delle vulnerabilità – video talk

[alexred]

Interessante video del talk di Raffaele Forte durante l'evento di Html.it. Ci viene mostrato come e perchè vengono sfruttare le vulnerabilità note sui CMS come Joomla.

Link all'articolo: http://www.joomla.it/notizie/6222-analisi-automatica-delle-vulnerabilita-video-talk.html

[fotovideoplay]

Veramente un bellissimo video, spiegato in maniera semplice e fluida .Finalmente si riesce a capire cosa bisogna fare per non farsi "bucare" il sito

[giusebos]

ottimo video.
Il mio timore adesso è che le informazioni date nel talk, informazioni che, certo, possono essere trovate in rete con un minimo di ricerca e sapendo cosa si vuol trovare, non creino un "ondata" di ragazzetti annoiati che utilizzano queste tecniche per "passare" il tempo e giocare agli haker.

[robyjoomla]

Ottimo video! La sicurezza informatica prima di tutto. L'ho guardato più volte è l'ultima volta mi è venuta una semplice idea che può contribuire a far scendere dalla classifica dei cms più bucabili il nostro caro Joomla. Certo non per il suo core ma per i plugin. L'idea è questa: nella JED mettere  a fianco di ciascun componente l'indicazione di una o più vulnerabilità apertae(conosciute), ma non ancora corrette, ed indicare con una icona la gravità della vulnerabilità, per scoraggiarne l'utilizzo.  Uomo avvisato mezzo salvato! E dare al team di sviluppo del componente 2 settimane di tempo per il rilascio della correzione, scaduto il quale il componente viene sospeso dalla JED con indicazioni di Vulnerabilità grave non corretta. Credo che spingerebbe i programmatori a rilasciare codice migliore ed a correggere in fretta quello bacato, pena la esclusione dalla JED. A mio avviso sarebbe un sistema per migliorare la sicurezza dei siti e portali realizzati in Joomla.
Fatemi sapere cosa ne pensate.
Grazie

[giusebos]

Mi pare che già adesso se un estensione non è sicura viene messa nella black list e non è più scaricabile fino a quando non viene sistemata.

[robyjoomla]

Evidentemente non è così in vista come auspicavo io, perchè non me ne sono accorto, delle belle mega icone con testo a caratteri quasi cubitali non guasterebbero. Potresti indicarmi una estensione che ha vulnerabilità segnalata sulla jed, sono curioso di vedere come la segnalano. Grazie

[alexred]

si, è da tempo come ha specificato giusebos,
questa è la lista nera:
http://docs.joomla.org/index.php?title=Vulnerable_Extensions_List_oct

Le estensioni vulnerabili vengono bloccate anche dalla ricerca nella JED, ed appare un messaggio minatorio nella scheda, come in questo esempio: http://extensions.joomla.org/extensions/4811/details

[robyjoomla]

Grazie Alex.  ormai sono molto distratto  erano mesi che non usavo joomla e non frequentavo la JED.

[luxtux]

Video assolutamente inutile, praticamente una traduzione (mal fatta) dell'help di backbox. Andare a lavorare no, eh?

L.

[tomtomeight]

Video assolutamente inutile, praticamente una traduzione (mal fatta) dell'help di backbox. Andare a lavorare no, eh?

L.

Commento assolutamente inutile. 
Quello che non sopporto è quando si sminuisce il lavoro degli altri per  una cosa che non si condivide o contraria alle proprie convinzioni. 

[luxtux]

Qui non si discute di convinzioni ma di fatti, vuoi essere così cortese da dirci cosa ha aggiunto (sarebbe più corretto cosa non è stato in grado di tradurre) dall'help di backbox? Da uno "specialista", come proclama di essere il tizio in questione, di hardening mi sarei aspettato qualcosina di più... che so... un accenno a nmap per esempio?

L.

[tomtomeight]

Forse per te non ha aggiunto nulla di nuovo, ma non credere che gli specialisti debbano rivolgersi solo agli esperti, o presunti tali. Per chi non conosceva l'argomento credi lo stesso che abbiano perso tempo nel seguire il video?

[luxtux]

Forse per te non ha aggiunto nulla di nuovo, ma non credere che gli specialisti debbano rivolgersi solo agli esperti, o presunti tali. Per chi non conosceva l'argomento credi lo stesso che abbiano perso tempo nel seguire il video?

Quello era un talk di html.it, non della Parrocchia del SS Crocefisso o del Dopolavoro Ferroviario, quindi ci si aspettava qualcosa di più, ma, di questi tempi, forse hai ragione tu, bisogna prendere tutto quello che arriva senza stare troppo a sottilizzare...

L.

[tomtomeight]

Sono senza parole! Davvero credi che quel sito sia solo ed esclusivamente un sito seguito da professionisti e pertanto debbano rivolgersi solo ed esclusivamente a loro? Forse come hai detto è meglio andare a lavorare ma a lavorare nei campi a raccogliere patate ed affini  invece che spacciarsi per professionisti. 

[mau_develop]

@luxtux
Qui non si discute di convinzioni ma di fatti, vuoi essere così cortese da dirci cosa ha aggiunto (sarebbe più corretto cosa non è stato in grado di tradurre) dall'help di backbox?
-------------------------------------------------------------------
facendo parte di backbox non vedo dove sia il problema

Da uno "specialista", come proclama di essere il tizio in questione, di hardening mi sarei aspettato qualcosina di più... che so... un accenno a nmap per esempio?
-----------------------------------------------------------
chi critica uno specialista solitamente è perchè conosce, è in grado di capire che c'è di più...

perchè non lo fai tu quel di più?

M.

PS ... poi mi spieghi che ci fai con joomla e nmap?

[luxtux]

@luxtux
Qui non si discute di convinzioni ma di fatti, vuoi essere così cortese da dirci cosa ha aggiunto (sarebbe più corretto cosa non è stato in grado di tradurre) dall'help di backbox?
-------------------------------------------------------------------
facendo parte di backbox non vedo dove sia il problema

Da uno "specialista", come proclama di essere il tizio in questione, di hardening mi sarei aspettato qualcosina di più... che so... un accenno a nmap per esempio?
-----------------------------------------------------------
chi critica uno specialista solitamente è perchè conosce, è in grado di capire che c'è di più...

perchè non lo fai tu quel di più?

M.

PS ... poi mi spieghi che ci fai con joomla e nmap?

Per facilità di lettura sarebbe carino se quotassi come si deve, comunque, dato che sono diciannove anni che mi occupo di sicurezza informatica e qualcosina la conosco, mi fa sorridere la sicumera con cui si presenta il pischello in questione, con questo non voglio dire che il suo contributo sia completamente inutile (anzi, serve ad aprire gli occhi ai nuovi arrivati) però da qui a tenere un talk di html.it la dice lunga sulla credibilità propria e degli organizzatori. Ripeto: non si trattava di una riunione della bocciofila...
Cosa c'entra nmap con joomla? Spero che stia scherzando. Joomla, ma anche Drupal, ma anche Wordpress e qualsiasi altro CMS (o sito statico, o contenuto in genere , disponibili su di una directory pubblicamente accessibile) girano su di un server. La risposta mi sembra fin superflua, a meno che tu non sappia cosa sia nmap, ma questo è un altro discorso...

L.

[mau_develop]

una curiosità personale, ti conosco? il tuo nick mi richiama qualcosa ... L. potrebbe essere Luca -> Gianluca...

comunque sia il mio tono non è di sfida anzi, è realmente di sprono, in qs forum mancano alcune cose.

Per le critiche a Forte ...nn capisco, a meno che tu nn abbia altri motivi tuoi, ha comunque "regalato" qualcosa, quello che ha detto non è sbagliato e giustamente come dici lascia spazio ad integrazioni.. ma nn capisco perchè sputarci sopra... a Milano si dice "piutost che 'gnent l'è mej piutost!"...
Poi ha correttamente parlato di uno strumento universalmente conosciuto nell'ambito della sicurezza e usato anche da molti come riferimento (certo, è uguale ad altri mille) ... il migliore non credo ... valido? sicuramente ad usarlo bene.

Inoltre e non ultimo non è un forum generico, è il forum di J ... perchèmmai qualcuno dovrebbe occuparsi del lavoro di altri? I server nn sono in ambito forum e quando mi affido ad un hosting spero che nmap lo abbia già usato prima lui.... questo intendevo con quel" che ci fai con nmap"... inoltre è chiaro che tutto il discorso sia incentrato sui cms e non sull'ambiente che li ospita...

M.

[luxtux]

una curiosità personale, ti conosco? il tuo nick mi richiama qualcosa ... L. potrebbe essere Luca -> Gianluca...

No, nessuno di quelli che hai citato, però è in rete dal '93, se cerchi negli archivi dei BBS mi trovi
Non ho nessun astio nei confronti del relatore (Forte? I don't know...), dico solo che, purtroppo, è uno degli emblemi della faciloneria in cui questo nostro disgraziato Paese è scivolato. E' un tizio qualunque, come un presidente del consiglio qualunque, come un arringatore di folle qualunque, come un conduttore televisivo qualunque, che contribuisce a farci diventare degli uomini (e delle donne, of course) qualunque. Per questo mi ci scaglio contro. Sono troppo vecchio per bermi acriticamente qualsiasi cosa mi venga propinata ma non sono abbastanza vecchio da non reagire. Nell'ambito informatico, ma non solo in quello, c'è troppa gazosa che viene spacciata per champagne, e quella del video - IMHO - è gazosa. Non dice nulla che già non si sappia, sembra una rèclame di Norton Antivirus, è financo spocchioso quando ostenta il "suo" pacchetto" (una delle millemila distro Linux auditing-oriented) come la panacea per tutti i disastri informatici, gazosa, insomma. Niente di personale, dunque, solo che consiglio agli utenti di Joomla! (ma anche a quelli di qualsiasi altra piattaforma), di formarsi una propria cultura informatica; in tema di sicurezza c'è da perderci la testa, non c'è software che tenga: studio, sudore e fatica, questa è la ricetta, tutto il resto son cazzate, compresi i talk come questo del pischello.

L.

[GianArb]

Diciamo che sono in attesa di guardare il video, non mi intendo granchè di sicurezza, mi limito a tentare di rendere la vita difficile a chi tenta di violare i sistemi che scrivo, ma dei server o simili non me ne intendo molto..


Sono sempre restio a pubblicare facilmente notizie simili, sono d'accordo con chi dice che palesarle così tanto vuol dire darle in basto a chi deve superare un momento di noia e se lo passa su un mio sito, pollo io che non ho verificato il componente ma mi romperebbe cmq..


Per l'altro discorso è vero che in Italia si vendono cose basilari come se fossero manna caduta dal cielo di un Guru, ma è anche vero che Html.it è un ottimo strumento per iniziare a fare qualcosa, per cercare documentazione base in italiano, ma che è obsoleta nel momento stesso in cui esce, perchè è in genere già tradotta o rimescolata da chissà dove..


Quindi mi sarei stupido se il talk fosse stato unico, innovativo, ma non che sia una novità.. E qui si apre il discorso, ma vogliamo arrenderci al fatto che qui è tutto di basso livello? Non lo so, sinceramente soprattutto in ambito informatico l'italiano è una lingua morta..


Ma ti ricordo che Joomla nasce per portare ad un livello basso dei servizi che in pochi saprebbero realizzare.. quindi il livello ci sta che sia trito e ritrito..


Parlo in termini ideali perchè io continuo ad apprendere su questo portale o su portali simili, consapevole però che siano cose già dette chissà dove e chissà quando eheh

[mau_develop]

 quando ostenta il "suo" pacchetto" (una delle millemila distro Linux auditing-oriented) come la panacea per tutti i disastri informatici, gazosa, insomma
----------------------------------------------------------------
bah... a parte che si va ot ..cmq mi sembra un'affermazione molto qualunquista la tua...
Non capisco se hai bisogno di far capire che anche tu sei bravo o se oggi hai le balle girate e ti và così... lungi da me giudicare,  .. fai ciò che credi ma... o i tool te li scrivi ... (consigliato) o ne usi di già fatti .... o ne customizzi uno e come hanno fatto quelli di bb lo hanno proposto... c'è chi lo usa e chi usa altro e chi appunto se li fa...
... anche di cms ce ne sono mille... quindi è inutile farne un'altro? ...magari si magari no

Che senso ha parlare di grandi cose se guardando nella jed scopri che il 70% di chi inserisce extensions non sa nemmeno cos'è la sicurezza? ..meglio comunque il suo spocchioso video che un tutorial su nmap... capirai un caxo ma almeno l'argomento è giusto.

se cerchi negli archivi dei BBS mi trovi
----------------------------------------------------
no no nn voglio darti la caccia... in realtà speravo tu fossi un amico con cui messaggiavamo anni fa. Non sono un "professionista della sicurezza" ma è la mia passione da diverso tempo

M.

PS. @ chi si lamentava del mio quote: ... non carico script e trovo comodo così

[robyjoomla]

Mamma mia cosa ho scatenatooooo.........

Io l'ho trovato un bel video, interessante (la sicurezza informatica è un processo e mai un prodotto, quindi in continua evoluzione) almeno per le mie conoscenze in materia (che sono basse direi). La mia considerazione/idea delle icone accanto ad un componente nella JED, era solo per scoraggiare l'uso di componenti vulnerabili e motivare gli sviluppatori a fixarli velocemente, per rendere il CMS Joomla più sicuro in generale.
A  luxtux dico: Dai insegnaci qualcosa, fai dei video tutorial anche tu ed aiutaci a capirne di più, da quello che ho letto devi essere molto esperto in materia!

Per il resto, Buona vita a Tutti! E grazie a tutti coloro che rendono questo portale grande condividendo il proprio Knowhow.