Salve a tutti. Mi sono appena iscritto e vorrei chiedervi immediatamente un parere. Lavoro come sistemista (apprendista in realtà) in uno degli ultimi internet provider rimasti nella mia città. Facendo questo lavoro mi interesso anche di sicurezza informatica ma tenermi aggiornato è difficile poichè non mastico benissimo la lingua inglese, quindi mi perdo gran parte degli studi e dei contenuti di certi blog scritti, ahimé, in inglese.

Non esistendo più e-zine italiane gratuite o essendo in uno stadio larvale da anni (BFi, netrunners, wannabe, etc...) mi sono recentemente trovato a dover valutare le riviste cartacee italiane. Ho scartato Hacker Journal per i contenuti scadenti mentre ho guardato con interesse ad Hakin9. Purtroppo però non guadagno molto quindi fare l'abbonamento e mantenermi mi costa quanto un'occhio.

Girando per la rete mi sono imbattuto però in questo sito (http://www.segfault.it). E' una rivista a pagamento che tratta di sicurezza informatica che viene distribuita in formato elettronico (in realtà il primo numero non è ancora uscito ed uscirà a quanto pare a breve). Qualcuno di voi ne hai mai sentito parlare o è in grado di consigliarmi altre alternative?

Grazie in anticipo.

beh non sapere l'inglese nell'informatica è una grave pecca! devi, secondo me, sopperire a questa mancanza, perchè per esperienza, ti possi dire che se vuoi notizie fresche di giornata, devi sempre rivolgerti all'estero, quindi leggere in inglese. ti dico questo perchè il tempismo nella sicurezza è una componente fondamentele, spesso nelle riviste italiane passano giorni, se non settimane, prima che venga riportato un bug et similia.
il mio (ma anche quello di diversi utenti in questa sezione) sito di riferimento per quanto riguarda le falle è il seguente: http://secunia.com ed è sempre aggiornato.
in Italia, la cultura della sicurezza, deve crescere ancora tanto, pur avendo valide alternative di malware analysts tipo il grande Marco: http://www.pcalsicuro.com/main/
oppure blog che informano per tempo di associazioni criminali dei paesi dell'ex blocco sovietivo (gromozon team) che colpiscono prevalentemente l'Italia: http://maipiugromozon.blogspot.com/ curato dal bravo mausap.
questi ultimi 2 sono in italiano. se me ne dovessero venire altri in mente, te li riporterò modificando questo post.

C.m.g. grazie per il tuo parere.

Io però sono in particolare interessato ad imparare le tecniche di intrusione per testare proattivamente i miei servizi. Ti spiego meglio. Secunia è indubbiamente un ottimo sito per la segnalazione di advisory, il problema è che però non mi protegge dalle vulnerabilità 0day né mi avvisa della loro esistenza . L'unico modo a mio parare per mitigare questo problema è cercare di imparare le tecniche di exploiting che vengono utilizzate da eventuali attacker in rete. Secunia non mi spiega come farlo, me lo spiegano però le pubblicazioni su internet o le riviste specializzate del settore che mi danno un'infarinatura sul tema (cosa che a me basta, perchè penso che non esista cosa più bella di sapere apprendere il resto da soli).

E' per questo che chiedevo un parere sull'iniziativa www.segfault.it e se qualcuno ne aveva mai sentito parlare.

io purtroppo non sono un grande esperto su questo tipo di tecniche, ma persone come Marco Giuliani, Sisupoika ed altri in questo forum potranno darti consigli più mirati in quest'ambito. ;)

Interessante ..... sono davvero curioso di vedere come si sviluppa questa discussione :fiufiu:
Intanto, vi butto li, un dato a caso sul quale fare una riflessione: fino al 1995, le grandi multinazionali intenazionali, investivano parecchi milioni di dollari (quindi nel complesso, si parlava, poi, in termini di miliardi di dollari) in sviluppo per la sicurezza.
Oggi, investono, 1000 volte meno ....... e tutto questo ..... senza aver scoperto l'acqua calda :cool:

tra i blog ci sarebero da citare anche quello di edgar da bangkok e RBN

Scusa l'ottusaggine Riverside, ma di preciso cosa reputi interessante?

Mi piacerebbe poi avere maggiore visiblità anche sul dato che hai fornito. Dove lo hai letto o appreso?

io purtroppo non sono un grande esperto su questo tipo di tecniche, ma persone come Marco Giuliani, Sisupoika ed altri in questo forum potranno darti consigli più mirati in quest'ambito. ;)

Non credo che lo farà nessuno.
E' una questione anche etica.
In questo forum si dovrebbe insegnare/imparare "la difesa" non l'attacco........
Questo è il limite e l'ambito della parola "sicurezza" che definisce questa sezione del forum di HW. ;)

Non credo che lo farà nessuno.
E' una questione anche etica.
In questo forum si dovrebbe insegnare/imparare "la difesa" non l'attacco........
Questo è il limite e l'ambito della parola "sicurezza" che definisce questa sezione del forum di HW. ;)
Limitato come concetto, meglio sapere entrambe le cose, se per esempio sai come agisce e funziona un attacco dos e ti ci ritrovi, sai che si tratta di quel tipo di attacco e quindi teoricamente sai anche quali sono contromisure da prendere per limitare i danni, naturalmente il mio è solo un esempio, ciao

Limitato come concetto, meglio sapere entrambe le cose, se per esempio sai come agisce e funziona un attacco dos e ti ci ritrovi, sai che si tratta di quel tipo di attacco e quindi teoricamente sai anche quali sono contromisure da prendere per limitare i danni, naturalmente il mio è solo un esempio, ciao

in sintesi: la miglior difesa è l'attacco :D

Limitato come concetto, meglio sapere entrambe le cose, se per esempio sai come agisce e funziona un attacco dos e ti ci ritrovi, sai che si tratta di quel tipo di attacco e quindi teoricamente sai anche quali sono contromisure da prendere per limitare i danni, naturalmente il mio è solo un esempio, ciao

Si hai ragione.
Ma, mi chiedevo, che senso ha insegnare agli utenti a migliorare la propria sicurezza in rete,e magari contemporaneamente la possibilità,anche solo potenziale, di violare la sicurezza altrui ?

in sintesi: la miglior difesa è l'attacco :D

sei parente di Bush? :mbe: :ciapet: :ops: :sbonk: :D

comunque scherzi a parte, secondo me bisogna far fare ad ogn'uno il proprio lavoro.
sampei dice:

Si hai ragione.
Ma, mi chiedevo, che senso ha insegnare agli utenti a migliorare la propria sicurezza in rete,e magari contemporaneamente la possibilità,anche solo potenziale, di violare la sicurezza altrui ?
non si tratta di un utente semplice (almeno da quel che dice), ma di un sistemista, quindi è obbligato a curare la sicurezza di cosa gestisce, tanto alla fine, di materiale in rete se ne trova quanto te ne pare.

sei parente di Bush? :mbe: :ciapet: :ops: :sbonk: :D

si! ma di Natalia Bush :D :sofico: la mia sinstesi era riferita al fatto che conoscere le tecniche di attacco aiuta a migliorare la propria difesa, il tutto rientra nel contesto più ampio che prevenire e meglio che curare.
Lo sai come la penso ;)

si! ma di Natalia Bush :D :sofico: la mia sinstesi era riferita la fatto che conoscere le tecniche di attacco aiuta a migliorare la propria difesa, il tutto rientra nel contesto più ampio che prevenire e meglio che curare.
Lo sai come la penso ;)

lo so come la pensi! :sofico: era solo uno scherzo! :D ;)

Non credo che lo farà nessuno.
E' una questione anche etica.
In questo forum si dovrebbe insegnare/imparare "la difesa" non l'attacco........
Questo è il limite e l'ambito della parola "sicurezza" che definisce questa sezione del forum di HW. ;)

comunque capisco a pieno le tue motivazioni ;)

Scusa l'ottusaggine Riverside, ma di preciso cosa reputi interessante?
Il tema proposto, mi appare evidente :(
Mi piacerebbe poi avere maggiore visiblità anche sul dato che hai fornito. Dove lo hai letto o appreso?
Wall Street Journal: giusto un paio di mesi fa c'era una interessante inchiesta sulla questione ed una altrettanto interessante intervista a Steve Jobs ed a Kevin Metnick.

Io credo invece che zoppass abbia più che ragione, se non si capisce come funzionano gli attacchi l'unica azione possibile è affidare ad altri la propria sicurezza.

La conoscenza deve essere di tutti, chi si interessa alla sicurezza informatica dovrebbe essere consapevole di come e perchè avvengono gli attacchi. Limitarsi a conoscere ed utilizzare le soluzioni presenti, secondo me limita estremamente le nostre possibilità e ci rende schiavi di un mercato che a volte ha del paradossale. Capire come funziona invece, ci permette di vedere la realtà per quello che è e agire di conseguenza.

Comunque:
L'inglese è indispensabile!! DEVI assolutamente riuscire quantomeno a leggerlo. Non c'è alternativa se vuoi lavorare in questo settore, il non saperlo ti impedirebbe di stare al passo coi tempi, di non capire i commenti nei sorgenti nè di cogliere i suggerimenti negli advisory... insomma devi conoscerlo.

Riviste stampate non ne conosco, ezine italiane... s0ftpj pubblica spesso articoli estremamente interessanti.
Comunque, anche le ezine vecchie non sono assolutamente inutili anzi, i concetti espressi sono per la maggior parte tutt'ora validi, magari un pochino evoluti col tempo. Leggerle aiuterebbe anche a capire un pochino di "storia/etica", gli stati d'animo, gli eventi e i cambiamenti/evoluzioni della comunità.

Oggi, investono, 1000 volte meno ....... e tutto questo ..... senza aver scoperto l'acqua calda :cool:
Ecco, in parte con "vedere la realtà per quello che è" mi riferisco proprio a questo.
Ritengo però che qualche passo avanti sia stato fatto.

un software molto interessante che può fare al caso tuo:

http://corporate.secunia.com/how_to_buy/38/vulnerability_information_products_try/?ref=sidebanner

http://secunia.com/network_software_inspector/

Grazie per le risposte e per le considerazioni.

Nel frattempo vi comunico che il primo numero di quella rivista che ho menzionato nel post originario è uscito:

http://www.comunicati-stampa.net/com/cs-20446/Arriva_il_primo_numero_di_Security_System

L'ho appena acquistata e le prima impressioni sono ottime! E' proprio quello che cercavo...informazione sulle tecniche di exploiting scritte in italiano e con un alto contenuto tecnico.

Nei prox giorni posterò una mini recensione di quello che ho letto se vi interessa.

Saluti.

sì zoppass, la questione è molto interessante e mi piacerebbe molto una recensione in merito..
olrte a questo si aggiunge anche il prezzo competitivo :D

Questa discussione ha tutta l'aria di uno spot alla rivista che zoppass continua a citare.
:read:

veramente è la prima volta che ne ha parlato in quel post :mbe:

Questa discussione ha tutta l'aria di uno spot alla rivista che zoppass continua a citare.
:read:

se vuoi fare una rece su una rivista dai contenuti simili ben venga.. facciamo il paragone così :)
ma deve essero sullo stesso pari

veramente è la prima volta che ne ha parlato in quel post :mbe:

La prima? Ma se tre dei suoi quattro interventi citano segfault.it. Una rivista che guarda caso esce con il numero 0 proprio questo mese.



"A pensar male si fa peccato, ma spesso ci si azzecca"

La prima? Ma se tre dei suoi quattro interventi citano segfault.it. Una rivista che guarda caso esce con il numero 0 proprio questo mese.



"A pensar male si fa peccato, ma spesso ci si azzecca"

esatto,ma si tratta di un altra testata giornalistica

esatto,ma si tratta di un altra testata giornalistica

Questa proprio non l'ho capita. Cioè lui cita segfault.it che produce la rivista e poi cita il comunicato stampa fatto dalla stessa segfault.it. Quale sarebbe l'ulteriore testata giornalistica?

non avevo notato il rapporto tra http://www.segfault.it e Security System
sarà pure spam,benvenga vista la penuria di riviste italiane sull'argomento,anzi se qualcun altro avesse degli altri titoli...:D

anche se fosse un ottimo ingegno di marketing, credo valga la pena avere una recensione di quei contenuti.
la sezione è "antivirus e sicurezza", non ci trovo nulla di male se un utente segnala una testata giornalistica in modo costruttivo.

ribadisco, se tu hai un concorrente reale da proporre fanne una recensione così ognuno avrà modo di poter effettuare un paragone autonomo.
se non hai nulla da mettere sul piatto allora si tratta della solita pratica di censura inutile :)

cmq se uno si guadagna con ingegno il palco perchè non concedergli i 5 minuti di gloria?

In attesa di una rece :)
Sarebbe bello anche un paragone con qualche altra ezine, giusto per capire a che livello si trattano le cose.

edit: ho scaricato il "capitolo di saggio" quando ho tempo vedrò di leggerlo, poi farò sapere cosa ne penso.

Il problema è che il Regolamento parla chiaro. All' art. 1.1 a) vieta espressamente discussioni riguardanti pubblicità. Ovviamente non sta a me giudicare se il caso rientri in questo articolo, nè tantomeno applicare il reglamento. Piuttosto volevo segnalare la cosa, se poi per il moderatore non c'è nulla di male, allora continuare su questo argomento non ha più senso.

.1 - Comportamento
Non sono consentite:
a) Discussioni riguardanti pornografia, pirateria (niente crack, serials, warez o qualsiasi richiesta tecnica di natura illecita - in particolare quelle su radio, televisione, satelliti e telefonia -) e pubblicità di alcun tipo, oltre a qualsiasi attivita' illecita ai sensi delle vigenti leggi italiane.
b) Da evitare inoltre l'apertura di discussioni aventi per oggetto nudi o immagini sconvenienti e/o scabrose, anche a causa della presenza di minorenni nel forum di discussione. Nel web non mancano di certo occasioni per approfondire tali argomenti.

non mi sembra abbia fatto nulla di obbiettivamente assimilabile a operazione pubblicitaria tutt'al più può essere un sospetto ma sul sospetto non ho alcuna autorità..
ho proposto infatti una recensione di un eventuale testata concorrente cosicchè si mantenesse una certa equità e si potesse fare un paragone.

più di questo non posso fare :boh:

Il problema è che il Regolamento parla chiaro. All' art. 1.1 a) vieta espressamente discussioni riguardanti pubblicità. Ovviamente non sta a me giudicare se il caso rientri in questo articolo, nè tantomeno applicare il reglamento. Piuttosto volevo segnalare la cosa, se poi per il moderatore non c'è nulla di male, allora continuare su questo argomento non ha più senso.

questo vorrebbe dire che non potresti parlare nemmeno del singolo prodotto hardware,nè software,perchè si tratterebbe di spam...in un forum sai non è proprio il massimo della libertà di parola :D

se ne parla anche qui
http://blogs.dotnethell.it/vincent/Nasce-Security-System.__12159.aspx

Qui ho pubblicato la mia recensione sulla rivista http://www.hwupgrade.it/forum/showthread.php?t=1599113.

Scusate il ritardo ma ho voluto leggerla tutta per dare un'opinione più completa ed il più imparziale possibile.

Letto il capitolo saggio e qualche traccia di discussione sparsa nella rete.
Così su due piedi sembra proprio una buona rivista, anche se avrei preferito un canale + "classico" non una cosa a pagamento, soprattutto per quanto riguarda nuove tecniche. (non ho ancora capito se l'articolo sul dos è stato pubblicato libero, è sempre stato a pagamento, è stato libero prima e chiuso poi... bho, ho trovato alcune tracce in rete ma non son più raggiungibili, mi informerò meglio).

zoppass, la reputo buona proprio perché non "scende di tono" ;)

qualcun altro l'ha letta o ne ha parlato con qualcuno?

P.S.: mi son accorto ora di una data... di SAOR se ne parlava nel 2002 su sikurezza.org... non mi sembra proprio uno 0Day...

alla fine l'ho comprata :D

Letto il capitolo saggio e qualche traccia di

P.S.: mi son accorto ora di una data... di SAOR se ne parlava nel 2002 su sikurezza.org... non mi sembra proprio uno 0Day...

WS in merito a SAOR nell'articolo viene detto che la tecnica era stata descritta nel 2002 solo su sikurezza.org ma nessuno ne ha mai parlato approfonditamente fino ad oggi (credo che l'autore dell'articolo sia lo stesso che nel 2002 postò su sikurezza.org ed all'epoca aveva rilasciato un case study gratuito oggi non più scaricabile). Il fatto di definirlo uno zero day era riferito al codice, ovvero mai diffuso in rete. Di fatto SAOR è una tecnica che mira ai servizi TCP a livello generico non ad uno specifico software, quindi il termine zero day a mio avviso ci può stare, a maggior ragione se poi fino ad oggi nessun sorgente era mai stato divulgato.

Tra l'altro di SAOR non si è mai parlato in nessun bollettino di vendor o roba simile (almeno credo) e questo dovrebbe dare maggiore credito al termine zero day, tra l'altro menzionato nello stesso articolo (lungi da me dall'arrogarmi il diritto di farlo. Lascio a persone più competenti di me il compito).

Capito :)
Ora capisco anche perché ho trovato così poco in rete. Sisi, su sikurezza.org gli autori erano gli stessi che hanno pubblicato ora. Più che altro mi ha lasciato perplesso la data perché non capisco come una tecnica possa rimanere "segreta" per 5 anni dopo la sua pubblicazione, anche se limitata a pochi ambienti... son talmente curioso che quasi quasi piglio il numero 0 solo per SAOR :) (bhe, non che sul resto ci sputi sopra anzi ;) )

La cosa che non mi piace è il fatto di dover pagare per sapere. Tutto qui. Non voglio giudicare nessuno, sicuramente gli autori hanno tutte le ragioni ed il diritto di farlo :) :cincin:

La cosa che non mi piace è il fatto di dover pagare per sapere. Tutto qui.

è così per tutto,non solo per l'informatica :D

altrimenti aspetti 4 miseri mesi e potrai attingere all'informazione gratuitamente... difronte ai 5 anni, 4 mesucci cosa vuoi che siano :D

Non credo che lo farà nessuno.
E' una questione anche etica.


Ma la richiesta e' sul come effettuare le intrusioni, piuttosto che sul come prevenirle? :confused:

Se si', non e' necessario che la figura del sistemista vesta i panni del "cattivo" e impari da se' a far cio' che i cattivi fanno solo per imparare a proteggersi;
per imparare a proteggersi e' richiesto che si conoscano

- le reti di computers e il funzionamento loro (dalla radice) e dei software che le gestiscono;
- le diverse implementazioni delle stesse nei vari sistemi operativi/piattaforme

e che si sappia come configurare e usare il tutto in risposta alle minacce conosciute.

Ricercare nuove minacce per prevenirle, forzare un sistema per trovarne le vulnerabilita' per poi eliminarle, sono attivita' di una figura ben diversa da quella del sistemista.
Le tue richieste sono dunque legittime, a patto che non ci siano altri interessi, di diverso tipo, dietro.
Se poi sei un sistemista e tale hai interesse di essere, in quanto tale forse ti poni delle domande che non avresti bisogno di porre al fine di svolgere il tuo lavoro.
In parole povere, conoscere come un attacco viene effettuato e' certamente utile ad un sistemista, ma non indispensabile. IMHO & AFAIK

Mi pare che nessuno abbia ancora citato insecure.org
Insecure.org (www.insecure.org)
Si trova della documentazione su Nmap e non solo.
Ci sono anche i link a delle famose Mailing list relative alla sicurezza informatica come Bugtraq o Full Disclosure.

Altrimenti mi pare non si sia nemmeno segnalato SecurityFocus
www.securityfocus.com
Tratta di argomenti relativi alla sicurezza informatica e ospita la mailing list Bugtraq di cui parlavo anche sopra.

In piu' mi sento anche di segnalare ush.it
www.ush.it
perche' gestito da una persona molto capace, che personalmente rispetto moltissimo e che ne sa moltissime di sicurezza delle applicazioni web e non solo.

Fatemi sapere che ne pensate.

Ma la richiesta e' sul come effettuare le intrusioni, piuttosto che sul come prevenirle? :confused:

Se si', non e' necessario che la figura del sistemista vesta i panni del "cattivo" e impari da se' a far cio' che i cattivi fanno solo per imparare a proteggersi;
per imparare a proteggersi e' richiesto che si conoscano

- le reti di computers e il funzionamento loro (dalla radice) e dei software che le gestiscono;
- le diverse implementazioni delle stesse nei vari sistemi operativi/piattaforme

e che si sappia come configurare e usare il tutto in risposta alle minacce conosciute.

Ricercare nuove minacce per prevenirle, forzare un sistema per trovarne le vulnerabilita' per poi eliminarle, sono attivita' di una figura ben diversa da quella del sistemista.
Le tue richieste sono dunque legittime, a patto che non ci siano altri interessi, di diverso tipo, dietro.
Se poi sei un sistemista e tale hai interesse di essere, in quanto tale forse ti poni delle domande che non avresti bisogno di porre al fine di svolgere il tuo lavoro.
In parole povere, conoscere come un attacco viene effettuato e' certamente utile ad un sistemista, ma non indispensabile. IMHO & AFAIK



Sisupoika concordo con appena lo 0,24% di quello che dici. In ambito lavorativo (e chi lavora nel settore lo sa), soprattutto quando lavori in un piccolo provider e fornitore di servizi , il sistemista fa anche il segretario se ce n'è di bisogno. Questo è solo un esempio eh :p ma è per farti capire che in situazioni di scarsità di risorse (soprattutto umane) la figura più idonea a ricoprire ruoli di sicurezza in azienda è proprio il sistemista. Lui infatti gestisce la rete ed è il punto di collegamento (in termini di connettività e visibilità) tra l'intero e l'esterno dell'azienda. Chi vuoi che gestisca la sicurezza? L'amministratore delegato? :eek:

Poi è vero. Ci sono sistemisti e sistemisti. Ma io non lascio ad esempio che il webmaster pubblichi qualcosa su una macchina gestita da me (soprattutto se si tratta di un'applicazione web dinamica) senza testare la presenza di possibili falle XSS, RFI, SQL Injection, etc... Lì non utilizzi prodotti di terze parti e quindi la vulnerabilità devi scoprirtela da solo o leggendoti il sorgente o testando direttamente l'applicazione. In questo caso non ci sarà mai un bollettino che mi dirà che il software che ha svilupppato il mio webmaster è vulnerabile. La soluzione? Fai da te....ed olio di gomito :D

Ma il discorso si estende benissimo anche ad applicazioni non web. Spero di aver fugato ogni tuo dubbio sulle mie reali intenzioni di apprendere e studiare nuove tecniche di exploiting.

In ambito lavorativo ... il sistemista fa anche il segretario se ce n'è di bisogno.

Perdonami allora, non conosco "realta' lavorative" di questo tipo.
Se parli di "scarsita' di risorse umane" ci puo' ben stare quello che ti pare,
quello che chiami "sistemista" puo' dunque anche lavare i cessi.
Ma, se parliamo di situazioni "normali", allora
- un sistemista non e' un ricercatore; le domande che l'autore del thread si pone vanno ben oltre la figura e lo scopo del sistemista;
- un sistemista non ha bisogno di imparare ad attaccare un sistema in senso proprio - come di fatto viene chiesto - per imparare a fornire una protezione efficace contro le minacce comuni e ben note per le quali altri soggetti (ricercatori, ingegneri, programmatori in sicurezza) realizzano soluzioni che il sistemista deve saper usare adeguatamente.
Certo, deve avere buone conoscenze di networking, del sistema operativo utilizzato, conoscere quali sono le minacce note e saper sfruttare il software per prevenirle.
Per prevenire una intrusione il sistemista deve conoscere quali soluzioni software e/o hardware usare e sapere come configurarle; ma per prevenire una intrusione ad esempio in linea di massima (e' solo una estrema esemplificazione) hai bisogno di un firewall e per configurare un firewall per prevenire intrusioni non hai bisogno di essere tu stesso in grado di effettuare una intrusione.
Per prevenire le infezioni da malware conosciute (e i problemi da esse causate), il sistemista non ha bisogno di essere un malware writer ne' analyst che e' il lavoro di qualcun altro; basta saper utilizzare le soluzioni software e non in maniera ottimale per prevenire questo genere di problemi.

Che poi una persona in grado anche di effettuare intrusioni e scrivere malware sia piu' "efficace", nessuno lo metterebbe mai in dubbio, ma in quel caso si tratterebbe imho di una "declassificazione" del soggetto, se lo si chiamasse semplicemente "sistemista".
"Render unto Ceasar what is Ceasar's", diamo ad ogni figura professionale il suo ed evitiamo confusioni; se poi vogliamo parlare di situazioni "estreme" (che fortunatamente non conosco) in cui il sistemista e' anche colui che spazza i pavimenti nell'azienda in cui lavora, allora parliamo di qualcos'altro. Povero lui :D

Ma io non lascio ad esempio che il webmaster pubblichi qualcosa su una macchina gestita da me (soprattutto se si tratta di un'applicazione web dinamica) senza testare la presenza di possibili falle XSS, RFI, SQL Injection, etc...

Questo e' indubbiamente un approccio ideale, ma ancora una volta dimostri di confondere troppo (forse a causa della realta' lavorativa in cui operi, probabilmente molto piccola) cio' che gli uni e gli altri (intendo le diverse figure professionali) ci si aspetta che facciano.
Che un buon sistemista controlli da se' la presenza di vulnerabilita' immediate in una applicazione che gira su una macchina da egli gestita (cosa gia' possibile solo in realta' non piccole, ma microscopiche, con poche e piccole applicazioni e con un sistemista che non ha molto altro da fare che controllare il lavoro degli sviluppatori) e ne abbia la possibilita' anche in termini di tempo, e' gran cosa, ma la responsabilita' del software e' di chi lo produce.
In tal senso uno sviluppatore di applicazioni web deve avere ottime conoscenze su come prevenire che le sue applicazioni cedano ad un attacco esterno. Sotto alcuni aspetti un web developer che sia degno di tale nome deve saperne piu' del sistemista (sotto alcuni aspetti).
Se vogliamo immaginare un sistemista come una persona che fa anche il ricercatore, l'intruder e lo sviluppatore, allora non so neanche piu' se stiamo parlando di ambienti professionali o altro.

Spero di aver fugato ogni tuo dubbio sulle mie reali intenzioni di apprendere e studiare nuove tecniche di exploiting.

Non ho nessun dubbio in merito, sorry :D
Quello che dico e' cio' che ho appreso per esperienza visto che e' il mio lavoro e lavoro in un gruppo con enormi risorse IT e le diverse figure professionali e una grande concentrazione sulla sicurezza poiche' semplicemente cruciale.

Perdonami allora, non conosco "realta' lavorative" di questo tipo.

Allora: Telecom Italia. Concorderai con me che si tratta di una grande realtà. Ebbene io ci sono stato dentro 3 anni e sono fuggito via. La disorganizzazione, anche nei profili e nelle assegnazioni di attività o ruoli alle persone che ci lavorano, è "all'ordine del giorno".

Non so quali altre realtà lavorative in Italia possano esistere.

Una situazione normale come dici tu dovrebbe prevedere responsabili di rete, responsabili di sistema e responsabili della sicurezza (ed io concordo) ma di fatto questa suddivisione nelle aziende italiane (costituite in gran
parte da PMI) quasi mai esiste. Il sistemista deve avere conoscenze di sicurezza. E' assodato. Questo non significa che deve essere in grado di replicare attacchi per difendersi. Questa però è la strada che ho scelto io, che mi ha dato molte soddisfazioni e che tra l'altro mi è valso il lavoro che ho adesso.

- un sistemista non e' un ricercatore; le domande che l'autore del thread si pone vanno ben oltre la figura e lo scopo del sistemista;

- un sistemista non ha bisogno di imparare ad attaccare un sistema in senso proprio - come di fatto viene chiesto - per imparare a fornire una protezione efficace contro le minacce comuni e ben note per le quali altri soggetti (ricercatori, ingegneri, programmatori in sicurezza) realizzano soluzioni che il sistemista deve saper usare adeguatamente.


Il sistemista decide se vuole essere un ricercatore. Non c'è una definizione universale. Se io voglio fare lo sviluppatore ma sono sistemista, sono liberissimo di farlo. Giusto? Il sistemista deve difendere le macchine da eventuali intrusioni. Non può limitarsi a conoscere la sintassi di iptables o come utilizzare l'interfaccia di Checkpoint per configurare un firewall. Devi avere approfondite conoscere dei protocolli di rete e gli attacchi che possono derivare dal loro utilizzo. D'accordo, puoi pure leggere da qualche parte che gli ICMP timestamp è bene bloccarli..ma perchè? Che tipo di vantaggio danno all'aggressore? Esistono vulnerabilità nello stack di rete del sistema operativo che sto utilizzando? Io mi pongo queste domande...ma comprendo che non sia cosa da tutti.


Cmq, io lavoro nel settore da un bel pò di anni ed ho girato moltissime realtà "italiane" tanto nel nord quanto nel sud. La normalità che vai millantando esiste in casi più unici che rari. Detto tutto.

Allora: Telecom Italia. Concorderai con me che si tratta di una grande realtà. Ebbene io ci sono stato dentro 3 anni e sono fuggito via. La disorganizzazione, anche nei profili e nelle assegnazioni di attività o ruoli alle persone che ci lavorano, è "all'ordine del giorno".

Sono messi cosi' male? :D

Non so quali altre realtà lavorative in Italia possano esistere.

Non sono molto esperto della situazione in Italia, in effetti :fagiano:

Una situazione normale come dici tu dovrebbe prevedere responsabili di rete, responsabili di sistema e responsabili della sicurezza (ed io concordo)

Appunto :)

ma di fatto questa suddivisione nelle aziende italiane (costituite in gran parte da PMI) quasi mai esiste.

Beh allora non e' una situazione "normale", per come la vedo io.

[QUOTE]Il sistemista deve avere conoscenze di sicurezza. E' assodato. Questo non significa che deve essere in grado di replicare attacchi per difendersi.

Esatto ;)

Questa però è la strada che ho scelto io,

Che pero' hai fatto passare come approccio standard :D

che mi ha dato molte soddisfazioni e che tra l'altro mi è valso il lavoro che ho adesso.

Indubbiamente. Dove sei adesso?

Il sistemista decide se vuole essere un ricercatore. Non c'è una definizione universale. Se io voglio fare lo sviluppatore ma sono sistemista, sono liberissimo di farlo. Giusto?

Si', ma non e' tenuto ad avere quelle particolari conoscenze, per fare il normale lavoro di un sistemista; e' questo cio' che intendevo.


Il sistemista deve difendere le macchine da eventuali intrusioni. Non può limitarsi a conoscere la sintassi di iptables o come utilizzare l'interfaccia di Checkpoint per configurare un firewall. Devi avere approfondite conoscere dei protocolli di rete e gli attacchi che possono derivare dal loro utilizzo.

Ma questo non significa che egli stesso deve essere in grado di saperli condurre, quegli attacchi :fagiano:

D'accordo, puoi pure leggere da qualche parte che gli ICMP timestamp è bene bloccarli..ma perchè? Che tipo di vantaggio danno all'aggressore? Esistono vulnerabilità nello stack di rete del sistema operativo che sto utilizzando? Io mi pongo queste domande...ma comprendo che non sia cosa da tutti.

Certo, ma sono domande la cui risposta non e' indispensabile al sistemista, per fare..il sistemista.

La normalità che vai millantando esiste in casi più unici che rari. Detto tutto.

Beh, almeno in UK e Finlandia (Scandinavia), che conosco molto meglio, e' la norma, fortunatamente.

Che pero' hai fatto passare come approccio standard :D

In Italia a quanto pare lo è molto più di quello che forse dovrebbe essere. Io nelle offerte di infojobs.it (a cui ogni tanto dò una sbirciatina) vedo sempre richieste di sistemisti con esperienza nel campo sicurezza. L'esperienza nel settore mica l'acquisisci leggendo e basta. Cioè...ma se anche volessi testare se il tuo firewall è stabile, dopo che lo configuri devi provare a lanciare degli attacchi o no? Non penso di aver detto un qualcosa di tanto insolito con le mie affermazioni. Oppure lo configuri e lasci al caso tutto il resto? A me pare proprio che dovrebbe essere un approccio standard questo. Se poi la cosa la estendi a Web Application, servizi DNS o altra roba, il discorso a mio avviso non fa una grinza.


Indubbiamente. Dove sei adesso?

In un piccolo provider della mia città (un remoto angolo del sud).

Mi viene in mente la parola "risparmio" se penso a quello che dici sulle offerte di lavoro ;)

Per me il ragionamento non fa una piega, sono convintissimo che i migliori sistemisti sono anche esperti in sicurezza. Che poi queste persone abbiano competenze per fare lavori diversi dal sistemista ok ma io non la vedo in modo così rigido. Voglio dire non è che uno che fa il sistemista è condannato a non poter uscire dalle sue strettissime competenze, tantopiù che se si tiene aggiornato sulle nuove tecniche di attacco saprà svolgere al meglio i propri compiti.
Non riesco a capire questo accanimento contro i sistemisti, che t'hanno fatto poveretti? :D