Un raggio di luce su SMAU?

di Raoul Chiesa. Invece di raccontarlo ho pensato di farvi provare le sensazioni avvertite da una persona presente tra il pubblico

Un raggio di luce su SMAU?Milano - Il 22 ottobre, ultimo giorno di SMAU, nell'area Security si è svolta una conferenza un po' particolare: dei Black Hats hanno parlato di sicurezza - e delle difficili relazioni tra hacking, underground ed ICT Security - senza etichette commerciali, in un padiglione dove le soluzioni proposte erano tutte, ovviamente, commerciali.

Chi scrive ha svolto il ruolo di moderatore e, prima di proseguire, intendo ringraziare i partecipanti: Fabio Pietrosanti aka Naif di I.NET, Igor Falcomatà aka Kobaiashi di Infosec (e moderatore della mailing list italiana sikurezza.org), Alessandro Scartezzini di Data Security, Marco Ivaldi aka Raptor di @ Mediaservice.net.

Passando dunque all'intervento, invece di raccontarlo ho pensato di farvi provare le sensazioni avvertite da una persona presente tra il pubblico: questa persona (Marco Tracinà di Fondo Kiwi), dopo aver assistito alla tavola rotonda "Sicurezza & underground Knowledge: le evoluzioni della ICT Security", ha deciso di scrivere un'e-mail ai relatori. Ritengo le sensazioni descritte da Marco l'articolo più bello che si possa scrivere su quanto avvenuto e quindi preferisco citare la sua mail, senza alcun commento se non quello di voi Lettori.
... l'omissione riguarda persone che sarebbero danneggiate dalla citazione: non è dimenticanza, ma prudenza.
(Cesare Vaciago)


Sono da poco passate le 14:00 quando arrivo nell'anfiteatro security, e la sala è già piena, oltre un centinaio di presenti, qualcuno in piedi.
Qualche slide alle spalle dei relatori, argomenti conosciuti e ampiamente condivisi dalla platea: malgrado questo, l'attenzione tra i partecipanti resta alta, si percepisce nettamente la tensione emotiva.
Per chi, come me, è l'ultimo arrivato si tratta di uno spettacolo nuovo ed autentico, molto distante dagli argomenti sterili ascoltati nell'ultimo biennio, infarciti dall'orgia di sigle e le inutili precisazioni tra unique visitors e tutto il resto, mirato a nascondere la realtà del nostro settore: siamo alla ricerca di clienti, chiamateli come caspita vi pare purché acquistino qualcosa.

Quella che si vede qui dentro invece "è" la Rete, il resto sono balle. Siamo in maglietta, felpa, doppiopetto, tutti uguali: siamo qui a discutere di hacking, a condannare ancora una volta le operazioni distruttive ed a ragionare intorno al concetto di sicurezza. Insomma, se "bucassimo" gli altoparlanti di quelli sotto? ma anche loro servono, senza queste aziende la Rete sarebbe rimasta un piccolo segmento. Invece oggi "quelli sotto" rappresentano la Rete come la conosciamo, come la conosce il grande pubblico, e noi qui dentro "siamo" la Rete, la sperimentazione, la continuità, il futuro.
Ma quanti siamo? Passano i minuti e la sala continua a riempirsi, agli spettatori in piedi si sono aggiunti quelli seduti per terra, c'è gente che si pigia all'entrata, molta curiosità fuori dal padiglione, molti quelli che entrano, rapiti. Il paragone con gli altri convegni è improponibile: la supremazia è indiscussa.
Proseguono i lavori: grandi nomi dell'hacking "prima generazione" accanto ai loro successori, ci si conosce, ci si riconosce, sarebbe la felicità di tutti quelli che si accaniscono sulle ragioni che formano le community. Si parla senza timidezza, con molta semplicità, e chi ha "passato il fosso" diventando imprenditore viene visto ancora per quello che è realmente: un missionario impegnato a spiegare la sicurezza.
Io che conosco le aziende, io che "dovrei essere" uomo d'azienda conosco la difficoltà del compito.

I saluti arrivano quasi improvvisi, tanta è la partecipazione. Sono passate oltre due ore, in sala saremo il doppio rispetto all'apertura dei lavori. Se qualcuno avesse il coraggio di tirare fuori un salame ed un fiasco di vino l'impressione è che la serata andrebbe avanti ancora ore, tanto è il piacere di "essere" nella sfera degli hacker. Altro che rave?
Ma ognuno di noi deve ritornare alla propria attività: lo psicologo veronese, il giornalista televisivo, i "missionari" e tutti gli altri "ricercatori". Ognuno torna al proprio nick.
A me tocca il compito di scrivere queste quattro righe che nessun giornale potrà mai avere, ho promesso che sarebbe rimasta la piccola cronaca del nostro momento. E così è stato.
Grazie a tutti.
Matra

Marco/Matra: come vedi queste quattro righe verranno lette da molte persone: per fortuna c'è ancora chi osa al mondo;)

Copyright © 2001 Raoul Chiesa (GNU/FDL License)
This article is under the GNU Free Documentation License, http://www.gnu.org/copyleft/fdl.html
Verbatim copying and distribution of this entire article is permitted in any medium, provided this notice is preserved.

Raoul Chiesa aka Nobody
TAG: italia
47 Commenti alla Notizia Un raggio di luce su SMAU?
Ordina
  • ??? ma perche ho perso tempo a leggere questa cosa?
    non dice nulla

    qualcuno mi spieghi pls

    bye
    non+autenticato
  • Ve la ricordate la "vecchia" filosofia dei primi pioneri del Hacktivism?...Ovvero rendere pubblica a piu' persone possibili la conoscenza informatica perche' si era scoperto che di li' a poco molte delle informazioni "mondiali" sarebbero passate dalla RETE. Questa una volta era "L'ETICA" dei primi hacker (o come diavolo vogliamo chiare questi signori). Ultimamente si fa' un gran parlare di queste persone un po' a sproposito. Signori come Raoul Chiesa e adepti mischiano (credo sinceramente) passione con gli affari ma credo stiano perdendo per strada questa cosa che si chiama "ETICA" e spiego il mio perche': Tutti gli Hackmeeting che vengono effettuati in Italia vengono quasi sistematicamente "Snobbati" da questi Signori perche' hanno un risvolto POLITICO. E quindi si preferisce partecipare ai Meeting internazionali SPONSORIZZATI dai GRANDI MARCHI e per lo piu' ambientati in locali "Fichissimi" e "Underground".
    E qua' secondo me c'e' una piccola...diciamo "pecca". O codesti "Emblemi" dell'Hacktivism si sono montati la testa ed ora si sentono come le "Rockstar" e quindi si sono lentamente ed inesorabilmente chiusi a Guscio nella loro sapienza, oppure considerano il panorama italiano "sconsolante". Nella mia piccola ma lunga esperienza nel settore non ho mai trovato cosi' tanta voglia di comunicare le proprie "conoscenze" o esperienze ad altri, senza che prima ci fosse un "debug" della persona. Giovani e meno giovani erano tutti presi dallo scambiarsi Informazioni ed esperienze sul "CAMPO".
    Io non sono un politicizzato ma non sono neanche un soldato di "Ventura". Il mio modo di ESSERE è per tutti, non per pochi intimi. La mia conoscenza e' aperta a chiunque la voglia conoscere e credo che solo cosi' ci si possa riconoscere in certi IDEALI. Questi sono per me i bei tempi andati e quelli che verranno...A voi e al vostro lavoro lascio FAMA GLORIA e SOLDI. Ma a me lasciatemi libero e soprattutto non impeditemi di "conoscere" anche le vostre esperienze.

    P.s. Avere shell sparse per mezzo mondo non aiuta a scopare le belle Ragazze!!!

    I miei Rispetti al Sig. Raoul Chiesa.
    non+autenticato
  • - Scritto da: R4Mi(*-G=0


    > Tutti gli Hackmeeting che vengono effettuati
    > in Italia vengono quasi sistematicamente
    > "Snobbati" da questi Signori perche' hanno
    > un risvolto POLITICO.

    Veramente io ho beccato Raoul & company in piu' di un Hackmeeting italiano...

    > P.s. Avere shell sparse per mezzo mondo non
    > aiuta a scopare le belle Ragazze!!!

    Guarda che sta iniziando ad aiutare saiOcchiolino
    non+autenticato
  • >Veramente io ho beccato Raoul & company in piu' >di un Hackmeeting italiano...

    io non intendevo il Sig. Raoul ma anche altri Sig.ri.



    Ci sono almeno due tipi di giochi.
    Uno potrebbe essere chiamato finito, l'altro infinito.
    Un gioco finito si gioca per vincerlo,
    un gioco infinito per continuare il gioco.
    I partecipanti ad un gioco finito giocano entro confini ben precisi;
    i partecipanti ad un gioco infinito giocano con i confini.

    Ciao.

    non+autenticato


  • - Scritto da: R4Mi(*-G=0
    > Ve la ricordate la "vecchia" filosofia dei
    > primi pioneri del Hacktivism?...

    Guarda che l'hacktivism e' venuto DOPO, ed e' l'hacktivism di certa scen(eggiat)a italiana che offende le tradizioni e l'etica hacker.

    Information wants to be free. Io sono di sinistra, tu sei di destra, chi se ne fotte mentre parliamo di codice, di rete e di protocolli ? Siamo HACKER, smanettoni, abbiamo una cazzo di passione e la condividiamo.

    Tu sei di sinistra, io sono di sinistra, io so come funziona questo e quello, io mi interesso, io scrivo, io provo, io sperimento. Tu sei di sinistra come me, ma dei computer, dell'informazione, non te ne frega nulla. Io sono un hacker, tu non lo sei.

    Che tu sia di sinistra o di destra non c'entra un bel nulla con l'essere un hacker o meno. Gli hack-tivist sono in parte degli hacker, in parte non lo sono. Essere attivi politicamente non aiuta e non intralcia, semplicemente non c'entra un cacchio.

    Sarebbe bene che lo tenessi presente, perche' arrotolarti nella bandiera di un partito politico per proclamarsi hacker offende il movimento hacker E il partito politico in cui credi. Qualunque esso sia.

    Senza nessuna offesa,
    Raistlin
    S0ftpj
    non+autenticato
  • ...scusa Raistlin..per fortuna che ho scritto che non sono politicizzato. Imho tutto quello che si fa' E' politica non credi?

    Con rispetto.

    P.s. Guarda che io non mi sento un Hacker...non ne ho l'ambizione, a me piace conoscere.

    non+autenticato
  • grande raist! possibile che solo tu abbia risposto alla enorme generalizzazione? possibile che in italia tutto debba passare per un partito? francamente i partiti, TUTTI, li ringrazio ancora per il piu' grande ammanettamento dell' hacking mai visto in italia. o dell' italian crackdown non si ricorda piu' nessuno? ve li ricordate ancora quei bei signori vestiti in nero, rosso ed argento che venivano a sequestrarvi i tappetini dei mouse o vi registravano i fischi dei modem? QUELLO e' stato l'effetto della politica quando e' entrata nella telematica! e che fossi di destra o di sinistra al tempo non glie ne e' fregato niente a nessuno. ero un sysop e come tale da stroncare. morte a fidonet. fidonet e' morta ed e' risorta in altre forme, ed oggi tanti si gloriano ancora di quei tempi. io personamente mi sono trovato a chiedere di non venre citato in spaghetti hacker perche' quando kirkiarelli mi intervisto' avevo ancora paura, e solo allora, quando stefano mi disse "ma tu sei stato un hacker ante litteram" ho realizzato che la parola hacker aveva a che fare con me. ed oggi o piu' o meno smesso. perche'? perche' sono diventato un "padre di famiglia" ed ancora quei tipi vestiti in nero, rosso e argento mi fanno paura. e volete ancora avvolgervi in un colore politico? no, grazie, ne faccio a meno. io sono io con quello (poco) che so e con quello (tanto) che NON so e che voglio imparare. senza "bei tempi andati" o "colori di bandiera". e finche' permetteremo alla stampa ed alla gente di fare confusione tra "hacker" e "cracker" , e continueremo a dire che dietro queste figure c'e' un idea politica a me lo stato continuera' a fare paura. e continuero' a studiare, continuero' a imparare, ma mettero' in pratica solo sulla retina che ho montato a casa mia. e non faro' neanche il security manager.
    non+autenticato
  • ci tengo a dirlo.
    Commentai nei giorni scorsi l'altro articolo di Raoul, dicendo che difendeva la nicchia degli hack on demand. invece, ha risposto via mail al mio post, molto educatamente dimostrandomi che mi sbagliavo.
    Io purtroppo la mail la lessi giorni dopo e se avessi scritto questo in quel thread nessuno avrebbe letto.
    Oggi dovrebbe andare meglio, come lurkers...
    cmq
    Ciao a tutti e sopratutto, ciao Raoul, ti sei dimostrato veramente serio.

    Ps: Per quel discorso... se ne puo' parlare ;p
    non+autenticato

  • > Raoul Chiesa/Mediaservice wrote:

    >Chi scrive ha svolto il ruolo di moderatore e, >prima di proseguire, intendo ringraziare i >partecipanti: Fabio Pietrosanti
    >aka Naif di I.NET, Igor Falcomatà aka Kobaiashi >di Infosec
    >(e moderatore della mailing list italiana >sikurezza.org), Alessandro Scartezzini di Data >Security, Marco Ivaldi aka Raptor di @ >Mediaservice.net.


    .. ovvero individui con un cappello con su scritto
    "Consulente di Sicurezza" ma con 'tendenze' inequivocabili e tutte quante documentabili.


    E' a dir poco osceno, anzi direi schifoso, che allo Smau e per di più nell'area "Security" venga dato spazio a queste persone, per di più anche con ruoli di moderatore; tutto ciò non ha fatto altro che infangare l'etica e il nome di
    molte società di sicurezza informatica che con voi non vogliono avere nulla a che fare e prendono quindi le distanze.


    Non siete esperti di sicurezza, non lo siete mai stati. Siete degli Hackers, che continuano a fare Hacking, cercando dei polli (ovvero Clienti) che abbocchino alle vostre stronzate, in quanto quello che serve a voi oggi è quello di farvi pubblicità, perché avete 0 (zero) Commesse dovute al fatto che state portando avanti un concetto di "Sicurezza Informatica" sbagliato, che invece di rassicurare il Cliente, lo allarma, lo intimorisce e lo rende sempre più spaesato.


    La Tavola Rotonda? E' stata pubblicità, soltanto pubblicità; anzi, un "Hack Meeting autorizzato", in un padiglione che per sua natura e consistenza aveva delle logiche, degli obiettivi e un'etica completamente differente dalla vostra.


    non+autenticato

  • >
    > .. ovvero individui con un cappello con su
    > scritto
    > "Consulente di Sicurezza" ma con 'tendenze'
    > inequivocabili e tutte quante documentabili.
    >

    ... ovvero individui, che la mia conoscenza porta ad individuare come autori di molti commenti su sikurezza.org, dove un'amministratore di sistema può trovare risposte ai suoi quesiti.
    Invece, non entro nel merito, di chi a scritto questo commento non so proprio nulla.
    E l'esperienza mia con gli "esperti di sicurezza", finora, ha dato esito molto negativo, al contrario di quello che tu mi dici.
    Se posso proporre una domanda:
    Quando una persona si può definire esperta di sicurezza?
    Data la definizione che discrimina l'appartenenza o meno ad un insieme, si possono fare tutte le congiutture che si vuole per determinare quando un elemento ne fa parte.

    non+autenticato

  • - Scritto da: l <MCfc>

    > Quando una persona si può definire esperta
    > di sicurezza?


    qui non si parla delle potenzialita' o presunte potenzialita' di una persona che lavora come esperto e/o consulente di sicurezza, presso la societa' che egli stesso ha creato o presso una azienda dove egli e' dipendente; e' indubbio che siano bravi e capaci. per carita'... nulla da dire... e sikurezza.org ci da' l'esempio di quanto queste persone siano esperte. (anche se non ho mai visto, ancora, un articolo TECNICO firmato Raoul Chiesa ... ovvio, quindi, che e' una persona molto capace a farsi pubblicita'
    spacciandosi per presunto Esperto; tantoche', si mormora addirittura, che tutto cio' che egli scrive, viene prima rivisto e corretto da qualcuno, perche' non e' capace a mettere due parole una dietro l'altra..)



    qui si parla, invece, di Etica Professionale, di Correttezza, di Trascorsi Passati che possono influenzare il lavoro di ogni giorno del cosidetto "Security Consultant/Engineer".



    le mega societa' di sicurezza con 40 commesse sparse in gestori di telefonia mobile, tlc, banche, assicurazioni, industria e chi ne ha piu' ne metta, hanno il difetto di vendere FUMO. ovvero
    troppe giacche, troppe cravatte, troppi portatili a 2ghz sfoggiati su scrivanie in noce alle riunioni presso Cliente, che gli permettono (grazie ai loro trascorsi ineccepibili di Venditori e/o ai loro agganci massoni e mafiosi)   di poter portare a casa dei
    soldi, col conseguente fatto che la Rete del Cliente era e continuera' ad essere comunque vulnerabile.



    le altre societa', invece, umili, piccole, in costante perdita e con i propri collaboratori che si fanno un gran culo tutto il giorno per portersi anche certificare 9002 in quanto non lo sono ancora, hanno il problema di non essere ben viste presso il Cliente, in quanto parlano un'altra lingua, che non viene compresa dal Cliente Baraccone, abituato ad altre forme espressive del tutto discutibili e se mi permetti di dire: antiquate. Serve quindi farsi un gran culo, lavorare, cercare di far cambiare le loro
    mentalita' ottuse, ma e' una guerra persa in partenza perche' ottusi sono ed ottusi rimangono. Tutto questo viene inoltre reso sempre piu' difficile se all'interno delle societa' di sicurezza il Cliente evidenzia e riconosce degli elementi, che come dicevo prima, hanno dei Trascorsi. E la guerra contro i mulini a vento non si fa facendo tavole rotonde "di tendenza" in un padiglione dedicato all'E-Security, in quanto la societa' non si cambia, rimane quella che e', e queste manifestazioni screditano il lavoro di molti altri che all'interno di quello stesso padiglione non vogliono sentire parlare di Hacking o Underground, perche' solo la parola 'Hacking' per il Cliente fa paura e lo terrorizza.


    Su punto-informatico.it, gia' in passato si e' parlato di questi aspetti... e siamo sempre li'. Non esiste assolutamente, quindi, che io Azienda, assuma dei dipendenti che siano esperti di sicurezza (alias Hackers e/o ex Hackers) e li collochi addirittura all'interno di Web Farm di
    18.000 Metri Quadri, in quanto   1) non mi sento sicuro io come datore di lavoro   2) non faccio sentire sicuri i miei clienti.


    E non mi passa neanche per l'anticamera del cervello che io Azienda mi rivolga ad una societa' di sicurezza (composta da Hackers e/o da ex Hackers) per studiare le soluzioni di sicurezza della mia Rete, in quanto 1) non mi sento sicuro io che che ho la responsabilita' di alcune centinaia di milioni per la commessa   2) non faccio sentire sentire sicuri i miei clienti.


    Chi la fa allora questa cazzo di sicurezza ?   La fanno gli Hackers (che hanno le idee molto chiare) o la fanno i Venditori di Fumo ?    in tutti e 2 i casi e' Circonvenzione d'Incapace a danno del Cliente.


    non+autenticato
  • Ma tu lo sai che oggi per costruire un "buon" sistema, bisogna anche bucarlo?
    Nelle fasi conclusive di testing sono previste sessioni di "hacking" per controllare se è a prova di intruso.
    E questo a chi lo fai fare? Ai farfalloni con cravatta e portatile a 2GHz? Siiiii, certo, come no! Se riescono a loggarsi è già tanto.
    Continua, continua pure così...

    'Iao

    non+autenticato


  • - Scritto da: Psicopatico
    > Ma tu lo sai che oggi per costruire un
    > "buon" sistema, bisogna anche bucarlo?
    > Nelle fasi conclusive di testing sono
    > previste sessioni di "hacking" per
    > controllare se è a prova di intruso.
    > E questo a chi lo fai fare?


    lo faccio fare agli Hackers. mi collego quindi in Irc, entro dentro un canale qualsiasi come #cybernet, #hack.it, #hackers.it e via dicendo, ne contatto uno a caso o contatto te direttamente che non so chi cazzo sei, e ti/gli offro dei soldi per una o due settimane di consulenza e me lo porto con me a farmi bucare i sistemi per testarne le loro vulnerabilita'.


    a quel punto, constatato che gli esiti sono positivi e che quindi i sistemi sono ancora bucati, continuo ancora a proteggere la rete dal punto di vista perimetrale e/o ad installare patch sui sistemi.


    quindi ricontatto l'Hacker per farmi testare la rete nuovamente e lui ancora una volta trovera' dei buchi.


    quindi inizio da capo, stravolgo la soluzione, la rafforzo, metto 3 dmz al posto di 2 e dopo 4 mesi che ho tenuto il Cliente in stand-by raccontandogli stronzate, ricontatto l'Hacker.


    l'Hacker riesce con i suoi Penetration Test a bucarmi nuovamente la rete.


    allora ristravolgo la soluzione, dico al Cliente che "ci sono dei problemi", passano i mesi e dopo un po ricontatto l'Hacker, il quale, nuovamente, mi da' un esito positivo sui Penetration Test.


    a questo punto:

    1) lascio stare, non contatto piu' l'Hacker e vendo ugualmente la soluzione al Cliente spacciandola per buona ( = FUMO)


    oppure


    2) mi faccio venire il sospetto che l'Hacker nel frattempo non mi abbia tempestato la rete di back-doors........ si, sicuramente l'ha fatto, in quanto forse l'ho scelto male e per di piu' anche in canale Irc di Lamers... ...pero' io volevo un Hacker con le palle...... ....no forse era meglio che non prendevo un Hacker vero....... anzi, forse ho fatto bene a prendere un Hacker vero in quanto i suoi Penetraion Test sono fatti ad arte, quindi funzionano................ si pero' quello era troppo bravo, chissa' che ha combinato....... no, forse no, sono soltanto dei film che mi sto facendo......... cazzo, sono dei casini, forse era meglio che i Penetration Test me li facessi da solo utilizzando Nessus e/o la suite di ISS........ no pero' quei tools fanno cagare, non funzionano.............. anzi no, pero' hanno una reportistica grafica veramente fica che al Cliente piace........ si si, ho capito tutto, utilizzo Nessus e ISS che non valgono un cazzo e poi se la rete e' ancora bucata tanto
    "sti cazzi", oramai la commessa l'ho vinta, e i soldi li ho gia' intascati   ( = PARANOIE + FUMO)


    oppure


    3) contatto un Hacker Buono, non uno qualunque, ma uno bensi' che va' a sbandierare a destra e a sinistra (televisione + riviste) che e' diventato un Paladino Della Giustizia (ma che continua pero' a frequentare assiduamente hackmeetings sparsi in tutto il mondo);   mi faccio testare
    la rete e lui mi dice che e' bucabile. allora lo invito (pagandolo) a blindarmela. lui me la blinda, io lo ringrazio e ci salutiamo da vecchi e buoni amici.   Il giorno dopo mi contatta il Cliente e mi chiede chi fosse quel ragazzo cosi' in gamba che in una settimana e' riuscito a mettere tutte le pezze; io cerco di fare l'evasivo
    e lui insospettito mi domanda: "Ma non sara' mica un Hacker?" io gli rispondo: "Si certo, ed anche in gamba!"    e lui:   "In che senso in gamba, scusi?"   ed io:     "Nel senso che e' molto esperto di sicurezza"    e lui:   "Ma esperto di sicurezza fino a che punto?"   ed io: "Fino al punto che ha blindato completamente 255 ip!"     e lui: "Ah, ho capito..."    ed io:
    "Ma che perplessita' ha, scusi?"    e lui: "No, nessuna perplessita', ma vorrei che mi facesse una dichiarazione scritta che ci permettesse di stare tranquilli tutti e 2"    ed io:   "In che senso una dichiarazione scritta, scusi?"   e lui:   "Beh, mi scusi Lei, ma ha veramente fatto mettere mani ai nostri sistemi ad un Hacker?"    ed io:   "Si certo, ma lui e' un Hacker Buono, si e' riconvertito!!"    e lui: "Ah.. ho capito...
    e a me chi me lo assicura questo? Noi da contratto avevamo stabilito che la rete fosse protetta dall'attacco degli Hackers, e Lei invece me ne ha portato fisicamente uno dentro!"   ed io: "Guardi, le ho detto che e' un Hacker buono"     e lui: "No no, mi perdoni ma non mi fido." ( = PARANOIE)

    ...

    morale della favola: Forse i Penetration Test di cui tu parli dovevo farli fare ad un "Esperto di Sicurezza" e non ad un Hacker... sperando ovviamente che l'Esperto sotto-sotto non abbia delle "deformazioni professionali".




    non+autenticato
  • - Scritto da: schifato

    > blablabla

    Ho letto la tua risposta, e l'idea che mi ha dato e' che hai le idee un po' confuse...
    non+autenticato


  • - Scritto da: GrayLord
    > - Scritto da: schifato
    >
    > > blablabla
    >
    > Ho letto la tua risposta, e l'idea che mi ha
    > dato e' che hai le idee un po' confuse...



    Sicuramente. ma considerato che io ho esposto le mie idee, mi piacerebbe ora sentire le tue.



    non+autenticato
  • - Scritto da: schifato

    > Sicuramente. ma considerato che io ho
    > esposto le mie idee, mi piacerebbe ora
    > sentire le tue.

    Personalmente ho conosciuto molti esperti di sicurezza, alcuni sono stati prima hackern altri no.

    Per mia esperienza personale e' che i primi di sono ne sanno parecchio di piu' dei secondi.

    Ed i secondi hanno una paura fottuta che i primi gli facciano le scarpe.

    Se sei piu' bravo dimostralo, se non lo sei torni a zappare, dov'e' il problema ?
    Il cliente ? Il cliente non sa e gli si puo' dire qualsiasi cosa, la M$ cel'ha insegnato.
    non+autenticato
  • ciao rag,
    volevo rispondere a sfigato

    - Scritto da: schifato
    >
    >
    > - Scritto da: Psicopatico
    > > Ma tu lo sai che oggi per costruire un
    > > "buon" sistema, bisogna anche bucarlo?
    > > Nelle fasi conclusive di testing sono
    > > previste sessioni di "hacking" per
    > > controllare se è a prova di intruso.
    > > E questo a chi lo fai fare?
    >
    >
    > lo faccio fare agli Hackers. mi collego
    > quindi in Irc, entro dentro un canale
    > qualsiasi come #cybernet, #hack.it,
    > #hackers.it e via dicendo, ne contatto uno a
    > caso o contatto te direttamente che non so
    > chi cazzo sei, e ti/gli offro dei soldi per
    > una o due settimane di consulenza e me lo
    > porto con me a farmi bucare i sistemi per
    > testarne le loro vulnerabilita'.
    non so se i posti per cercare sono quelli giusti...
    >
    >
    > a quel punto, constatato che gli esiti sono
    > positivi e che quindi i sistemi sono ancora
    > bucati, continuo ancora a proteggere la rete
    > dal punto di vista perimetrale e/o ad
    > installare patch sui sistemi.
    >
    >
    > quindi ricontatto l'Hacker per farmi testare
    > la rete nuovamente e lui ancora una volta
    > trovera' dei buchi.
    a questo punto mi sorge la domanda:
    lui e' proprio cosi' bravo o sei tu non ce la fai?
    >
    > quindi inizio da capo, stravolgo la
    > soluzione, la rafforzo, metto 3 dmz al posto
    > di 2 e dopo 4 mesi che ho tenuto il Cliente
    > in stand-by raccontandogli stronzate,
    > ricontatto l'Hacker.
    ci metti 4 mesi? io fossi il cliente mi sarei gia' stufata :*
    >
    > l'Hacker riesce con i suoi Penetration Test
    > a bucarmi nuovamente la rete.
    conclusione: non sei capace!
    >
    > allora ristravolgo la soluzione, dico al
    > Cliente che "ci sono dei problemi", passano
    > i mesi e dopo un po ricontatto l'Hacker, il
    > quale, nuovamente, mi da' un esito positivo
    > sui Penetration Test.
    >
    >
    > a questo punto:
    >
    > 1) lascio stare, non contatto piu' l'Hacker
    > e vendo ugualmente la soluzione al Cliente
    > spacciandola per buona ( = FUMO)
    >
    >
    > oppure
    >
    >
    > 2) mi faccio venire il sospetto che l'Hacker
    > nel frattempo non mi abbia tempestato la
    > rete di back-doors........ si, sicuramente
    > l'ha fatto, in quanto forse l'ho scelto male
    > e per di piu' anche in canale Irc di
    > Lamers... ...pero' io volevo un Hacker con
    > le palle...... ....no forse era meglio che
    > non prendevo un Hacker vero....... anzi,
    > forse ho fatto bene a prendere un Hacker
    > vero in quanto i suoi Penetraion Test sono
    > fatti ad arte, quindi
    > funzionano................ si pero' quello
    > era troppo bravo, chissa' che ha
    > combinato....... no, forse no, sono soltanto
    > dei film che mi sto facendo......... cazzo,
    > sono dei casini, forse era meglio che i
    > Penetration Test me li facessi da solo
    > utilizzando Nessus e/o la suite di
    > ISS........ no pero' quei tools fanno
    > cagare, non funzionano.............. anzi
    > no, pero' hanno una reportistica grafica
    > veramente fica che al Cliente piace........
    > si si, ho capito tutto, utilizzo Nessus e
    > ISS che non valgono un cazzo e poi se la
    > rete e' ancora bucata tanto
    > "sti cazzi", oramai la commessa l'ho vinta,
    > e i soldi li ho gia' intascati   ( =
    > PARANOIE + FUMO)
    se c'erano backdoors tu non lo sai? sei veramente un SecurityEngenieer? forse dovresti fare un giro alla cepuUeb
    >
    >
    > oppure
    >
    >
    > 3) contatto un Hacker Buono, non uno
    > qualunque, ma uno bensi' che va' a
    > sbandierare a destra e a sinistra
    > (televisione + riviste) che e' diventato un
    > Paladino Della Giustizia (ma che continua
    > pero' a frequentare assiduamente
    > hackmeetings sparsi in tutto il mondo);   mi
    > faccio testare
    > la rete e lui mi dice che e' bucabile.
    > allora lo invito (pagandolo) a blindarmela.
    > lui me la blinda, io lo ringrazio e ci
    > salutiamo da vecchi e buoni amici.   Il
    > giorno dopo mi contatta il Cliente e mi
    > chiede chi fosse quel ragazzo cosi' in gamba
    > che in una settimana e' riuscito a mettere
    > tutte le pezze; io cerco di fare l'evasivo
    > e lui insospettito mi domanda: "Ma non
    > sara' mica un Hacker?" io gli rispondo: "Si
    > certo, ed anche in gamba!"    e lui:   "In
    > che senso in gamba, scusi?"   ed io:    
    > "Nel senso che e' molto esperto di
    > sicurezza"    e lui:   "Ma esperto di
    > sicurezza fino a che punto?"   ed io: "Fino
    > al punto che ha blindato completamente 255
    > ip!"     e lui: "Ah, ho capito..."    ed
    > io:
    > "Ma che perplessita' ha, scusi?"    e lui:
    > "No, nessuna perplessita', ma vorrei che mi
    > facesse una dichiarazione scritta che ci
    > permettesse di stare tranquilli tutti e 2"
    >   ed io:   "In che senso una dichiarazione
    > scritta, scusi?"   e lui:   "Beh, mi scusi
    > Lei, ma ha veramente fatto mettere mani ai
    > nostri sistemi ad un Hacker?"    ed io:
    > "Si certo, ma lui e' un Hacker Buono, si e'
    > riconvertito!!"    e lui: "Ah.. ho
    > capito...
    > e a me chi me lo assicura questo? Noi da
    > contratto avevamo stabilito che la rete
    > fosse protetta dall'attacco degli Hackers, e
    > Lei invece me ne ha portato fisicamente uno
    > dentro!"   ed io: "Guardi, le ho detto che
    > e' un Hacker buono"     e lui: "No no, mi
    > perdoni ma non mi fido." ( = PARANOIE)
    >
    > ...
    Ammettendo che tu lo trovi, lo mostri veramente al cliente?
    >
    > morale della favola: Forse i Penetration
    > Test di cui tu parli dovevo farli fare ad un
    > "Esperto di Sicurezza" e non ad un Hacker...
    > sperando ovviamente che l'Esperto
    > sotto-sotto non abbia delle "deformazioni
    > professionali".
    >
    >
    >
    >

    io farei piuttosto cosi':
    1. applico patch e soluzioni ordinarie, ecc.
    2. chiedo al mio boy di scardinare tutto ( e lui e' uno bravo)
    3. gli chiedo dove ho sbagliato e metto a postoSorride

    semplice no?

    io allo smau non c'ero ma mi dispiace, creod che raul chiesa sia un fico della madonna, no?
    raul mandami una foto ti prego: miciottina84@solecuoreamore.it
    ooops speriamo che il mio boy non legga questo postTriste
    non+autenticato

  • > lo faccio fare agli Hackers. mi collego
    > quindi in Irc, entro dentro un canale
    > qualsiasi come #cybernet, #hack.it,
    > #hackers.it e via dicendo, ne contatto uno a
    > caso o contatto te direttamente che non so
    > chi cazzo sei, e ti/gli offro dei soldi per
    > una o due settimane di consulenza e me lo
    > porto con me a farmi bucare i sistemi per
    > testarne le loro vulnerabilita'.

    Contattandone uno a caso, hai il 90% che trovi un Lamerz. Se lui non riesce a bucarti, come fai per
    sapere se sei stato tu bravo o è lui incapace?


    > morale della favola: Forse i Penetration
    > Test di cui tu parli dovevo farli fare ad un
    > "Esperto di Sicurezza" e non ad un Hacker...
    > sperando ovviamente che l'Esperto
    > sotto-sotto non abbia delle "deformazioni
    > professionali".

    Ecco. Questo è il punto. Il rapporto di lavoro è stretto sulla fiducia, la maggioranza delle volte.
    Tu hai proposto soluzioni che ti portano a dover scegliere tra personale a te sconosciuto definito hacker, e personale a te conosciuto, definito esperto di sicurezza.
    Il punto è: Non ti puoi fidare di chi non conosci, ma ti fidi di chi conosci.
    Per questo, non ci vedo nulla di male ad avere un buon rapporto con qualche hacker, magari all'inizio solo consultatorio, oppure effettuare i penetration test assieme. Vedi quello che fa. Acquisita la fiducia, puoi anche delegare senza controllo, sia esso hacker o no.
    Altrimenti, con un'altro esperto di sicurezza sconosciuto, come faresti a startene sicuro?
    E ripropongo la domanda.
    Come distingui un HAcker da un esperto di sicurezza?
    Non devi fare distinguo di "etica". Ma bensì della fiducia.
    I penetration test li devono fare persone di cui hai fiducia e che abbaino capacità di farle.
    Se non conosci che te li fa, nè hacker ne nessun altro, meglio provarli da solo.
    Altrimenti, se conosci qualcuno di cui puoi avere fiducia, non preoccuparti.
    Al cliente, comunque, devi solo certificare l'esecuzione di tali test, non dire chi gli ha fatti.
    Risposta: "Un nostro collaboratore".
    Bisogna anche essere un pochino furbi, a volte.
    non+autenticato
  • Giusto....il discorso non fà una grinza (quest'ultimo perchè il primo ne faceva molte)...
    E in effetti è valido tanto per te quanto per gli hacker.u
    Io, come semplice wannabee, stò mandando in giro il mio curriculum.Eppure non c'è una riga di hack, defacement o quant'altro.
    Ma il dubbio è sempre quello: che faccio, lo inserisco per trovare un lavoro a me più consono, o lo lascio fuori per non spaventare la ditta?
    Per ora lo lascio fuori, entro nella ditta, conquisto la fiducia della gente e poi eventualmente faccio capire di avere altre esperienze.....
    Non so gli altri.
    non+autenticato
  • Salve, premessa: viste le considerazioni, non proprio confortanti, per l'evento SMAU pongo due domande a tutti (me compreso), che succede se vado a SMAU e che succede se non vado?
    Saluti a tutti.
    Luca
    non+autenticato
  • Cosa vuoi che ti succeda.....niente!!Se 6 curioso di andarci x vedere le novità e un sacco di belle ragazze c vai se hai di meglio da fare nn c vai....mi sembra abbastanza facile no??
    E poi se nn c 6 mai andato prendi la tua bella macchinina (se ce l'hai!!) e vai là (il prossimo anno ormai!!!)vedi cosa c'è di bello che può interessarti e poi valuti....!!Se ne vale la pena c tornerai se no tanti saluti a tutti!!!
    Sciao beli
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)