Programmi per la sicurezza

[ipsaferadm]

Nessun attacco, figurati!, anzi è grazie anche ai tuoi appunti precisi che ora esiste la FAQ.

Ti rispondo qui sul forum in senso altrettanto collaborativo e senza alcun tipo di polemica: spero che sia per tutti noi un'occasione per confrontarci su come migliorare il tutto!

ma cos'è che vendete o regalate?

Prima di tutto non vendiamo niente: o meglio, stiamo cercando di condividere il più possibile un "know how" sviluppato da parecchi anni, ovvero quello legato agli attacchi informatici. E questo è ipsafer, vero e proprio. E' svolto su server di proprietà, e non ha alcuna attinenza con spamcop o servizi similari, dato che questi ultimi si occupano esclusivamente di elencare le fonti di e-mail indesiderate ("spam" appunto).

Per aiutare anche chi è meno pratico di servizi web, forniamo gratuitamente una semplice integrazione con il software in uso. Semplice ma non obbligatoria: se qualcuno desidera può scriversi la propria nel modo in cui ritiene meglio, anzi siamo disponibili a pubblicarla sul sito con i dovuti credits proprio perché pensiamo che l'idea di fondo sia corretta e non siamo interessati a "rivendicazioni" o "diritti di sfruttamento" di sorta.

Sono sicuro che la soluzione che indichi (scrivere un plugin) possa essere migliore di quella esistente (almeno da un punto di vista evolutivo), quindi se sei disponibile non avremo problemi a pubblicarla.

Per il resto c'è la FAQ che ci sembra esauriente (ma migliorabile!).

poi, che vuol dire qs cosa:
l'autore o gli autori di queste patch e modifiche non si ritengono responsabili per danni derivanti dall'uso, impliciti o espliciti, inclusi (ma non limitati a) quelli derivanti da garanzie sulla vendibilità o commerciabilità o adeguatezza a un determinato scopo. Questo software è fornito "AS IS" (così com'è), e in quanto utente accetti tutti i rischi derivanti dall'uso.

Che né noi né chi ci sottopone le patch desideriamo prenderci la responsabilità per l'uso che ne viene fatto, come del resto avviene in tutti i software open source compreso lo stesso Joomla (vedi LICENSE.php, paragrafo NO WARRANTY): è un normalissimo disclaimer, niente di più.

... secondo me lo state spammando un po' troppo in giro...

... da quando condividere è spammare? scherzi a parte, ci siamo iscritti su questo forum perché abbiamo visto che l'idea è stata accolta da alcuni degli utenti, te compreso: non desideriamo creare alcun tipo di disturbo e per questa ragione ti assicuro che questo sarà il nostro ultimo intervento (a meno di aggiornamenti specifici!).

grazie ancora e a presto!
lo staff di IPSafer

[mau_develop]

...spammare non era offensivo, intendevo definire un modo continuo di piazzare in giro il link al servizio.

E' svolto su server di proprietà
---------------------------------
ho guardato, e da qui vengono varie domande...

- Gli ip "cattivi" da qualche parte li avete presi o andate a prenderli al momento della query servendovi dei servizi che esistono online, altrimenti non mi spiego quell'efficienza del servizio che garantite.

- Proprio su una libreria di autenticazione mi fai fare una curl su un server che posso solo supporre come affidabile, perchè non ho nessun motivo per dubitarne,... mi sembra rischioso comunque poichè una vulnerabilità a quel server comprometterebbe tutti quelli che usufruiscono del servizio.

l'altra cosa che puntualizza vo è qs:
inclusi (ma non limitati a) quelli derivanti da garanzie sulla vendibilità
-----------------------------------------------------
che vuol dire, che non sai se è vendibile?

non si ritengono responsabili per danni derivanti dall'uso
----------------------------------------------------------
... dipende se il malo uso è mio o se hai messo pubblico uno script pericoloso, non è che basta dichiarare che non si è responsabili per non esserlo effettivamente.

M.

[samsara]

ciao a tutti
è molto interessante tutto quello che vi siete detti qui, vorrei solo fare una precisazione. Credo che difficilmente io, con il mio bel IP dinamico di casa mia andrò in giro a buttare i siti altrui, anche perché i log esistono e credo non sarà difficile risalire dal provider al possessore di un dato IP in un dato frangente di tempo. O sbaglio? Nel caso di danni seri poi..Io nel mio piccolo gestisco sia il sito che il server e vi posso assicurare che la maggioranza di scocciatori usa le macchine "zombate" e configurate veramente abbestia per fare i loro porci comodi. Con IP fissi. E in questo caso, a mio parere, piuttosto che aspettare che tornino "buoni" preferirei mettere tutto il range sulla lista nera e bloccarlo. Anche perché la maggioranza di queste macchine saranno dei server e chi mai andrà a navigare con un server? Comunque con IPnetinfo vi togliete il dubbio sull'appartenenza di un dato indirizzo, poi si vedrà il da fare. E non chimatemi l'estremista, ci tengo ad apparire come bianca e morbidosa :-))

[mau_develop]

Io nel mio piccolo gestisco sia il sito che il server e vi posso assicurare che la maggioranza di scocciatori usa le macchine "zombate" e configurate veramente abbestia per fare i loro porci comodi.
---------------------------------------------------------------
..come ti accorgi di questo?

Con IP fissi
-----------------
per forza ... se sono server non si connettono con l'adsl di casa

preferirei mettere tutto il range sulla lista nera
---------------------------------------------------
ti ricordo che lo scopo di un sito web è di essere visitato...

Il mio discorso non è quello di squalificare questo check, ma semplicemente sostengo che preso da solo non vale nulla.

Anche se sono cinese mi basta un'account su un free hosting dove uppo un paio di script proxi.
Riceverai l'attacco dall'hosting su cui mi sono appoggiato e loggerai il suo ip.
Ora, immagina pure che sono riuscito a dargli fuoco a quella macchina attaccata, cosa fai?
Dopo qualche mese la burocrazia ti avrà permesso di sapere finalmente il reale ip da cui è partita la richiesta, ed è cinese... che fai?

Ritengo molto più semplice giudicare l'ip a seconda di come si comporta con me. Ogni tipo di attacco ha la sua modalità e la sua caratteristica, non è difficile approntare un listener.

M.

[samsara]

Ma come mi accorgo..ovviamente cerco a chi appartiene dato IP. Poi se risulta di una compania hosting è ovvio che tanto vale bloccare. Se un hoster non ha tempo/voglia/competenze per controllare che i suoi utenti hanno una condotta esemplare, se non aggiorna mysql, php e di conseguenza è pieno di buchi per sguazzarci dentro, se utenza non aggiorna il software dei siti ma a lui non gliene frega un fico secco..ci sono tante le ragioni. Loro i server non useranno mai per visitare il mio sito, ma un malintenzionato si e come lo userà. Lo stesso discorso vale per gli account gratuiti cinesi. Botnet saranno anche di grosse dimensioni (alcune) ma non hanno un numero illimitato.
E per concludere: la responsabilità è ovviamente di chi gestisce il proprio sito, non si è mai al sicuro al 100% ma ignorare gli aggiornamenti e mettere su un sacco di servizi, plugin, componenti senza che siano veramente necessari e abbiano un sicuro supporto da parte di chi li ha sviluppati è quantomeno da bambini. P2revenire è meglio che curare

[mau_develop]

ma guarda che su quest'ultima parte che hai detto non ci piove, è dall'inizio che lo ripeto.

Ma tu non vieni attaccato da una botnet, non sei il pentagono ne hai un sito governativo.

tu verrai attaccato dallo stupido di turno, come dicevo sopra:
--------------------------------------------------------------
Anche se sono cinese mi basta un'account su un free hosting dove uppo un paio di script proxi.
--------------------------------------------------------------
fare un proxi in php con le curl occorrono tre righe.... e l'account può benissimo essere uno dei più noti...

è questo che quel controllo non mi può risolvere, ed è questo che probabilmente mi capiterà. I bot non sanno con che cosa hanno a che fare e lanciano query alla c.d.c nella speranza di trovare qualcosa, chessò un'errore query, una path disclosure, un server name..... i siti non li attacchi con i bot!

In parole povere hai in mano la lista dei peggiori killer italiani e mondiali ma probabilmente ti ucciderà il balordo del quartiere...

...macabro esempio ma rende l'idea

M.

[samsara]

Guarda che non devi essere il Pentagono o FBI per diventare l'oggetto di interesse di uno scanner delle porte    loro sparano nel mucchio e aspettano che qualcosa risponde. Quello che volevo farti capire che lo scanner stesso non sarà installato sulla macchina di casa di chi poi verrà a trovarti ma piuttosto su una macchina compromessa di un tizio ignaro e poco responsabile (o ignorante, fai tu). Che poi questa macchina comandata da remoto fa o meno parte di una botnet..e chi lo sa. Io non ho la presunzione di fare la lista di tutti quelli a chi farebbe piacere avere uno "zombie" in più, mi basta che credono che io non ci sono. Che poi se qualcuno viene di persona, boh..non si può essere preparati a tutto e io purtroppo non possiedo una laurea in informatica e programmazione. Sono una semplice smanettona 

[mau_develop]

Stanotte, ho fatto un test su tutti i tentativi di attacco subiti dal mio sito, per avere qualche parametro in più sull'efficacia di un controllo preventivo sull'ip.

Risultato: il 33% degli ip passati è risultato "Bad", quindi posso dire che, per quanto mi riguarda, su 10 attacchi ne blocca 3

... a me non basta

M.

[samsara]

posso chiederti cosa usi per testare?

[mau_develop]

Il "soggetto" di questo post,... il suo servizio

ma se cerchi con google "bad ip" te ne vengono fuori un'infinità,... bene o male tutti uguali, qualcuno più centrato sullo spam qualcuno più su server comunque "maligni".
... i risultati non cambiano.

M.

[ipsaferadm]

ciao a tutti, e buonasera!

Scriviamo solo per segnalare che sono stati pubblicati i backlink relativi alla discussione su questo forum, direttamente sulla pagina con gli esempi di integrazione: in questo modo gli sviluppatori di Joomla interessati potranno partecipare alla discussione.

Grazie ancora per l'attenzione e a presto!
lo staff di IPSafer.com

[bigham]

Ciao ipsaferadm.
Grazie per la preferenza 

Credo comunque che, piuttosto che modificare il core di Joomla (cosa possibile ma non consigliabile) sarebbe meglio sviluppare un plugin che si attivi al login e/o all'accesso.

Le modifiche al core di Joomla possono essere sovrascritte in caso di aggiornamento del core stesso, ecco perchè sono sconsigliate.

Forza smanettoni!!! Mettiamoci al lavoro!! 

[samsara]

mmmm...ho provato il database online. che dire..il 9 febbraio ho un IP dal quale arrivano le ricerche per la console phpmyadmin sul mio sito..good ip adress. Altro tentativo - richieste per un plugin con delle vulnerabilità - idem, good. w00tw00t scanner invece presente come bad :-) ma questo me lo dice anche l'apache

[ipsaferadm]

ciao a tutti!

Prima di tutto grazie mille per aver provato il servizio, e condividiamo il pensiero di samsara, che offre elementi di riflessione. Tuttavia non nascondiamo che siamo molto soddisfatti del risultato ottenuto dalle prove e di una strategia che si sta dimostrando valida anche a seguito di un controllo casuale (e oltre il 30% degli attacchi intercettati), e viste anche le recenti notizie.

Credo comunque che, piuttosto che modificare il core di Joomla (cosa possibile ma non consigliabile) sarebbe meglio sviluppare un plugin che si attivi al login e/o all'accesso.

Siamo molto felici di cogliere l'interesse della community e siamo perfettamente d'accordo con te: come più sopra affermato, ci rendiamo disponibili ad ospitare qualsiasi plugin la comunità pensi di sviluppare.

Con l'occasione segnaliamo che il servizio è stato ampliato su suggerimento di sviluppatori e utenti di altri cms, e presenta ora una serie di novità (alcune delle quali rispondono alle osservazioni di mau_develop).

grazie ancora
e buona serata!
lo staff di IPSafer.com