1 Aggiornamento sistema

Una volta installato il sistema base Ubuntu 16.04 LTS Server effettuare un aggiornamento di sistema, per assicurarsi di aver installato le ultime patch di sicurezza ed aggiornamenti software generici.

:~$ sudo apt-get update --fix-missing
:~$ sudo apt-get upgrade

2 Installazione Postfix

Si procede all’installazione di postfix.

:~$ sudo apt-get install postfix

Lo si configuri come “Sistema satellite“.

Questa guida non si occupa della configurazione di postfix. Al momento si configurerà “example.com” come relayhost del mail server. Sarà cura dell’utente terminare la corretta configurazione di postfix, in funzione delle proprie esigenze e vincoli.

:~$ sudo postconf -e 'relayhost = example.com'
:~$ sudo postfix reload

3 Installazione pacchetti e librerie necessarie

Di seguito si installeranno i vari pacchetti, interpreti, librerie necessarie al corretto funzionamento di MISP, che per garantire le prestazioni di sharing multipiattaforma che si prefigge, ha necessità di un certo numero e di una certa qualità di applicativi da utilizzare.

:~$ sudo apt-get install curl gcc git gnupg-agent make python python3 openssl redis-server sudo vim zip

4 Installazione MariaDB

Sarà ora necessario installare MariaDB, un fork del più famoso MySQL, utilizzato dagli stessi sviluppatori di MISP.

:~$ sudo apt-get install mariadb-client mariadb-server
:~$ sudo mysql_secure_installation

Non ci si scordi mai di mettere in sicurezza l’installazione del database server.

5 Installazione e prima configurazione di Apache

Si eseguano i comandi di seguito riportati.

:~$ sudo apt-get install apache2 apache2-utils 
:~$ sudo a2enmod ssl
:~$ sudo a2enmod rewrite
:~$ sudo a2enmod headers
:~$ sudo a2dissite 000-default
:~$ sudo a2ensite default-ssl
:~$ sudo service apache2 restart

Nei fatti, oltre all’installazione del webserver si abilitano i moduli ssl, rewrite e headers. Dopo di che si disabilita il virtualhost 000-default per attivare il default-ssl. Anche se questo verrà disattivato in un successivo passaggio, tenerlo attivo ci consente di testare il corretto funzionamento del webserver sotto SSL.

6 Installazione PHP e librerie necessarie

:~$ sudo apt-get install libapache2-mod-php php php-cli php-crypt-gpg php-dev php-json php-mysql php-opcache php-readline php-redis php-xml
:~$ sudo service apache2 restart

7 Codice MISP

Adesso è possibile procedere all’installazione di MISP da codice sorgente. Questi verranno gestiti direttamente tramite Git e la piattaforma GitHub. È possibile anche scaricare manualmente i sorgenti e procedere ad installazione manuale. Ma in questo caso il processo di aggiornamento del software richiederebbe molto più effort, dovendo di volta in volta aggiornare manualmente la piattaforma. Utilizzando Git in questa fase dell’installazione ci si assicura il mantenimento di MISP a medio/lungo termine a costi relativamente bassi.

Si crei una nuova cartella in /var/www che ospiterà la piattaforma MISP

:~$ sudo mkdir /var/www/MISP

Si assegni la nuova directory all’utenza di default del webserver, che negli ambienti Debian/Ubuntu è www-data

:~$ sudo chown www-data:www-data /var/www/MISP

A questo punto possiamo scaricare i sorgenti di MISP, utilizzando git come gestore di versione.

:~$ sudo -u www-data git clone https://github.com/MISP/MISP.git /var/www/MISP
Cloning into '/var/www/MISP'...
remote: Counting objects: 56839, done.
remote: Compressing objects: 100% (149/149), done.
remote: Total 56839 (delta 234), reused 304 (delta 210), pack-reused 56480
Ricezione degli oggetti: 100% (56839/56839), 43.75 MiB | 3.25 MiB/s, done.
Risoluzione dei delta: 100% (42306/42306), done.
Checking connectivity... fatto.

Effettuare il checkout della versione all’ultima disponibile.

:~$ sudo -u www-data git checkout tags/$(git describe --tags `git rev-list --tags --max-count=1`)
Note: checking out 'tags/v2.4.91'.

You are in 'detached HEAD' state. You can look around, make experimental
changes and commit them, and you can discard any commits you make in this
state without impacting any branches by performing another checkout.

If you want to create a new branch to retain commits you create, you may
do so (now or later) by using -b with the checkout command again. Example:

git checkout -b <new-branch-name>

HEAD si trova ora a 4ad7a4a... Merge branch '2.4' of github.com:MISP/MISP into 2.4

Alla data del presente articolo, la versione di checkout disponibile è la 2.4.91. Se si desidera effettuare un ulteriore controllo, è possibile visitare la home page del repository MISP su GitHub.

Infire configureremo git per ignorare le differenze fra permessi di file locali e remoti.

:~$ sudo -u www-data git config core.filemode false

8 Installare STIX

MISP è STIX compliance per molti aspetti relativi alla gestione degli IoC. Gestisce sia il formato STIX 1.x che il formato 2.x, ma necessita delle librerie ufficiali. Di seguito si procederà ad installarle ad uso e consumo dell’applicativo.

:~$ sudo apt-get install python-dev python-pip python3-pip libxml2-dev libxslt1-dev zlib1g-dev python-setuptools
:~$ cd /var/www/MISP/app/files/scripts
:~$ sudo -u www-data git clone https://github.com/CybOXProject/python-cybox.git
:~$ sudo -u www-data git clone https://github.com/STIXProject/python-stix.git
:~$ cd /var/www/MISP/app/files/scripts/python-cybox:
:~$ sudo python setup.py install
:~$ cd /var/www/MISP/app/files/scripts/python-stix
:~$ sudo python setup.py install

Installare mixbox in quanto nuova dipendenza per STIX.

:~$ cd /var/www/MISP/app/files/scripts/
:~$ sudo -u www-data git clone https://github.com/CybOXProject/mixbox.git
:~$ cd /var/www/MISP/app/files/scripts/mixbox
:~$ sudo python setup.py install

Infine, installare STIX2 (richiesto python3)

:~$ pip3 install stix2

9 Installare CakePHP

CakePHP è il framework di sviluppo su cui si basa gran parte dell’applicativo. Oltre a gestire l’interfaccia utente, CakePHP è in grado di gestire i job del server, fondamentali per la sincronizzazione fra diverse istanze MISP. Di seguito si procederà dando per scontato che si utilizzeranno tutte le configurazioni proposte dal team ufficiale di MISP.

:~$ cd /var/www/MISP
:~$ sudo -u www-data git submodule init
:~$ sudo -u www-data git submodule update
:~$ sudo -u www-data git submodule foreach git config core.filemode false

I pacchetti di seguito installati via composer del PHP sono necessari proprio per la funzionalità di gestione job e code, deputata al framework CakePHP.

:~$ cd /var/www/MISP/app
:~$ sudo -u www-data php composer.phar require kamisama/cake-resque:4.1.2
:~$ sudo -u www-data php composer.phar config vendor-dir Vendor
:~$ sudo -u www-data php composer.phar install

Abilitare CakeResque con PHP-Redis

:~$ sudo phpenmod redis

Infine copiare il relativo file di configurazione nella directory applicativa di seguito riportata.

:~$ sudo -u www-data cp -fa /var/www/MISP/INSTALL/setup/config.php /var/www/MISP/app/Plugin/CakeResque/Config/config.php

Infine, settare correttamente i permessi delle directory di lavoro.

:~$ sudo chown -R www-data:www-data /var/www/MISP
:~$ sudo chmod -R 750 /var/www/MISP
:~$ sudo chmod -R g+ws /var/www/MISP/app/tmp
:~$ sudo chmod -R g+ws /var/www/MISP/app/files
:~$ sudo chmod -R g+ws /var/www/MISP/app/files/scripts/tmp

10 Creazione e configurazione database

A questo punto ci occuperemo di configurare il database e prepararlo per poter ospitare gli eventi MISP. Per questa fase servirà l’utilizzo della password di root del database sql creata al precedente punto 4.

:~$ sudo mysql -u root -p
MariaDB [(none)]> create database misp;
MariaDB [(none)]> grant usage on *.* to misp@localhost identified by 'password';
MariaDB [(none)]> grant all privileges on misp.* to misp@localhost;
MariaDB [(none)]> flush privileges;
MariaDB [(none)]> \q

È stato creato il database “misp” a cui ha accesso l’utente “misp” a cui è stata assegnata la password “password” (per ambienti di produzione sarà richiesta una certa complessità della password).

Sarà ora possibile importare una schema database vuoto.

:~$ sudo -u www-data sh -c "mysql -u misp -p misp < /var/www/MISP/INSTALL/MYSQL.sql"

11 Configurazione webserver Apache2

Per la configurazione del webserver Apache, si userà il FQDN “misp.local”. Come prima cosa si dovrà controllare la versione del webserver installata.

:~$ sudo apache2 -v
Server version: Apache/2.4.18 (Ubuntu)

Qualora non si abbia altra disponibilità, sarà necessario generare un certificato SSL self signed. Procedere come di seguito specificato.

:~$ sudo openssl req -newkey rsa:4096 -days 365 -nodes -x509 -keyout /etc/ssl/private/misp.local.key -out /etc/ssl/private/misp.local.crt

Generating a 4096 bit RSA private key
........................++
.......................++
writing new private key to '/etc/ssl/private/misp.local.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:IT
State or Province Name (full name) [Some-State]:Italy
Locality Name (eg, city) []:Rome
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany
Organizational Unit Name (eg, section) []:SecUnit
Common Name (e.g. server FQDN or YOUR name) []:misp.local
Email Address []:misp@misp.local

Creare e modificare un nuovo file di configurazione VirtualHost di Apache2.

:~$ sudo nano /etc/apache2/sites-available/misp-ssl.conf

Come configurazione del VirtualHost si propone la seguente.

<VirtualHost *:80>
    ServerName misp.local
    Redirect permanent / https://misp.local

    LogLevel warn
    ErrorLog /var/log/apache2/misp.local_error.log
    CustomLog /var/log/apache2/misp.local_access.log combined
    ServerSignature Off
</VirtualHost>
<VirtualHost *:443>
    ServerAdmin misp@misp.local
    ServerName misp.local
    DocumentRoot /var/www/MISP/app/webroot
    
    <Directory /var/www/MISP/app/webroot>
        Options -Indexes
        AllowOverride all
        Require all granted
    </Directory>

    SSLEngine On
    SSLCertificateFile /etc/ssl/private/misp.local.crt
    SSLCertificateKeyFile /etc/ssl/private/misp.local.key

    LogLevel warn
    ErrorLog /var/log/apache2/misp.local_error.log
    CustomLog /var/log/apache2/misp.local_access.log combined
    ServerSignature Off
    Header set X-Content-Type-Options nosniff
    Header set X-Frame-Options DENY
</VirtualHost>

Disabilitare il VHost defailt-ssl.conf ed abilitare il nuovo dedicato a MISP.

:~$ sudo a2dissite default-ssl
:~$ sudo a2ensite misp-ssl
:~$ sudo service apache2 restart

Se lo si ritiene necessario, è anche possibile utilizzare una configurazione di log rotation disponibile nelle directory di installo di MISP.

:~$ sudo cp /var/www/MISP/INSTALL/misp.logrotate /etc/logrotate.d/misp

12 Configurazione applicativa di MISP

Questa fase risulta molto delicata. Seppur qualsiasi errore è in qualche modo rimediabile, quanto configurato qui avrà impatto sull’utilizzo stesso della piattaforma e modifiche a posteriori potrebbero risultare in una pardita di informazioni, anche se mai possono risultare in una perdita di dati. Quanto stabilito in questa fase, seppur di stampo prettamente sistemistico avrà impatto operativo notevole. Si consiglia di approfondire questa fase attingendo ad informazioni dettagliate disponibili nel sito del CIRCL.LU.

Effettuare la copia dei seguenti file.

:~$ sudo -u www-data cp -a /var/www/MISP/app/Config/bootstrap.default.php /var/www/MISP/app/Config/bootstrap.php
:~$ sudo -u www-data cp -a /var/www/MISP/app/Config/database.default.php /var/www/MISP/app/Config/database.php
:~$ sudo -u www-data cp -a /var/www/MISP/app/Config/core.default.php /var/www/MISP/app/Config/core.php
:~$ sudo -u www-data cp -a /var/www/MISP/app/Config/config.default.php /var/www/MISP/app/Config/config.php

Nel file “database.php” andrà configurato l’utente MariaDB creato nei punti precedenti.

:~$ sudo -u www-data nano /var/www/MISP/app/Config/database.php

Nel file “config.php” è necessario modificare il SALT di base dell’applicazione (che deve essere di 32 byte) ed altre opzioni, come il “baseurl” che descrive la URL di base dell’applicativo, l’opzione “org” con cui è possibile settare il nome dell’organizzazione di default e altro. Moltre di queste opzioni potranno poi essere gestite da pannello di controllo.

:~$ sudo -u www-data nano /var/www/MISP/app/Config/config.php

Infine si settano i permessi dei file correttamente.

:~$ sudo chown -R www-data:www-data /var/www/MISP/app/Config
:~$ sudo chmod -R 750 /var/www/MISP/app/Config

13 Chiave di cifratura GPG

Per consentire all’applicativo l’invio di email cifrate è necessario creare una coppia di chiavi GPG, avendo cura di generare la chiave per lo stesso indirizzo email configurato nel file “config.php”.

:~$ sudo -u www-data gpg --homedir /var/www/MISP/.gnupg --gen-key
gpg (GnuPG) 1.4.20; Copyright (C) 2015 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

gpg: portachiavi "/var/www/MISP/.gnupg/secring.gpg" creato
gpg: portachiavi "/var/www/MISP/.gnupg/pubring.gpg" creato
Selezionare il tipo di chiave:
(1) RSA e RSA (predefinito)
(2) DSA ed Elgaman
(3) DSA (solo firma)
(4) RSA (solo firma)
Selezione? 1
La lunghezza delle chiavi RSA è compresa tra 1024 e 4096 bit.
Quale dimensione impostare per la chiave? (2048) 4096
La dimensione chiave richiesta è 4096 bit
Specificare la durata di validità della chiave.
0 = la chiave non scade
<N> = la chiave scade dopo N giorni
<N>w = la chiave scade dopo N settimane
<N>m = la chiave scade dopo N mesi
<N>y = la chiave scade dopo N anni
Per quanto tempo deve essere valida la chiave? (0) 365
La chiave scade il mar 21 mag 2019 11:16:20 CEST
È tutto corretto? (s/N) s

È necessario un ID utente per identificare la propria chiave; il software
costruisce l'ID utente a partire da nome reale, commento e indirizzo email
in questa forma:
"Mario Rossi (commento) mario.rossi@example.net"

Nome reale: Misp Local
Indirizzo email: misp@misp.local
Commento: 
È stato selezionato questo USER-ID:
"Misp Local <misp@misp.local>"

Modificare (n)ome, (c)ommento, (e)mail oppure (o)k/(u)scire? o
È necessaria una passphrase per proteggere la proprio chiave segreta.

Passphrase:

gpg: /var/www/MISP/.gnupg/trustdb.gpg: creato il trustdb
gpg: chiave 24C4188D contrassegnata come completamente affidabile
chiavi pubbliche e segrete create e firmate.

gpg: controllo del trustdb
gpg: necessari: 3 marginali, 1 completi, modello di fiducia PGP
gpg: livello: 0 valido: 1 firmato: 0 fiducia: 0-, 0q, 0n, 0m, 0f, 1u
gpg: il prossimo controllo del trustdb sarà eseguito il 2019-05-21
pub 4096R/24C4188D 2018-05-21 [scadenza: 2019-05-21]
Impronta digitale della chiave = 0C94 3FD0 4E3C F36D C33C 0B03 82B1 3167 24C4 188D
uid Misp Local <misp@misp.local>
sub 4096R/C9565802 2018-05-21 [scadenza: 2019-05-21]

Esportare la chiave pubblica nella webroot.

:~$ sudo -u www-data sh -c "gpg --homedir /var/www/MISP/.gnupg --export --armor misp@misp.local > /var/www/MISP/app/webroot/gpg.asc"

14 Configurazione “workers”

Come ultimissima cosa, configuriamo i workers di MISP per avviarsi all’avvio del sistema. I workers permettono una moteplicità di operazioni alla piattaforma, molte delle quali critiche. Consentono ad esempio la gestione dei job di sincronizzazione fra più server MISP, la gestione delle code email, della cache applicativa e molto altro. È vivamente consigliata la configurazione come da manuale di questo elemento.

Per prima cosa, diamo allo script di avvio dei workers i permessi di esecuzione.

:~$ sudo chmod +x /var/www/MISP/app/Console/worker/start.sh

Di seguito modifichiamo il file /etc/rc.local per richiamare lo script all’avvio del sistema.

:~$ sudo nano /etc/rc.local

15 Riavvio e primo login

A questo punto è possibile riavviare il server e successivamente visitare la pagina web https://misp.local (sostituite la URL con il vosto FQDN scelto). E se le istruzioni sono andate a buon fine, vi troverete di fronte la form di login, in cui userete come prime e temporenee credenziali la coppia nome utente/password “admin@admin.test/admin“.

16 Hardening

È necessario procedere alla hardenizzazione di tutto quanto fin qui installato e configurato. In particolare:

• Il sistema operativo;
• Il webserver Apache;
• MariaDB;
• Altro…

17 Funzionalità opzionali

MISP utilizza ZeroMQ per alcuni importanti aspetti delle funzionalità di sottoscrizione e sharing. La funzionalità è presentata come opzionale dal team di MISP, in quanto ci sono diverse modalità di sottoscrizione e sharing utilizzando MISP. Tuttavia si consiglia vivamente di installare ed abilitare le funzionalità di ZeroMQ, al fine di non privarsi della potenza del software con piene funzionalità.

Eseguire i due comandi che seguono.

:~$ sudo pip install pyzmq
:~$ sudo pip install redis

Conclusioni

Il lettore più attento avrà notato come la procedura di installazione di MISP sia tutt’altro che banale. Questo perché MISP è una vera e propria “Piattaforma”. Ovvero un set di strumenti e servizi che consentono l’archiviazione, la correlazione, l’analisi e lo sharing di informazioni riguardanti in particolare aspetti vicini alla sicurezza informatica.

Comprendere la profonda interazione che si crea dall’uso di tali strumenti, serve ad un uso consapevole dell’applicativo e delle sue potenzialità. MISP offre un contesto operativo modulare ed estendibile. In grado di adattarsi ai diversi contesti operativi.

Mi riprometto di scrivere, tempo permettendo, altri post sull’argomento. HTH.

Preamble

The purpose is to improve the STIX import via TAXII on MISP. Actually the import system, before importing the IoC, checks for its existence in any event. If the item has been found, it will be discarded. If MISP receives the same IoC qualified for differents reasons in two or more STIX reports or if it has been imported before in others ways, it will be imported just the first time the system checks for it, and it will be discarded for the future in any other STIX report.

From a Security Analyst point of view, I think it’s better add the attribute, even if it has been yet imported by a previous import.

From a Data Analyst point of view, I don’t want to duplicate informations, because relationships check should result in deprecated performances and false positives.

The proposed “misp_taxii_hook” package (go to GitHub)

The new hook try to define a title and a correspondent filename for the STIX report (def detect_title) using the and the header’s elements.
If this operation successed, it performs a search to detect if the STIX file has been imported before. It searchs for a MISP event having the correspondent “title” and an attachment attribute named as the “filename”. It must have it boths!

If nothing found, a new event will be created with the previous defined title, attachment and the attributes included in the report.

But, if these search conditions (title and attachment) are true, the hook try to update the detected event. If new attributes are detected, it will be pushed and a the STIX report will be attached.

If the STIX report has no title and description in the stix_header element, the hook will import the file using the old hook code.

How to test it

• I forked the MISP-TAXII-Server repository including the new hook
• Just patch the file manually (for experts only)

What’s new.
Two new modules added to the web application:

• The BlockList module
• The Analyzer module

Blocklist Module

The blocklist module collects IoCs from a large number of public lists. The web application allow you to search for URLs, IPs and FQDNs. You can search a single item using the “Search” tab. The query result display you if an exact match will be found and also the similar results.

Using the “Bulk Search” tab you can submit 100 items per query, but in this case only the exact match will be displayed. In any case you can export the results in CSV format.

Analyzer Module

The analyzer module consists in a automatic souspicious file analyzer. Any page contains the static analysis of the file and a basic bahavior analysis. The submitted files are taken by OSINT sources (and not only). You can subscribe the RSS feed, if you want to be notified for every submitted file.

The easiest way to find information is the use of the dedicated search engine. You can search by MD5, SHA1 and SHA256 just submitting the correspondent hash.

Special searches are available with the use of the following keywords:

• imphash:$IMPORT_TABLE_HASH
• domain:$FQDN
• url:$URL_HOSTING_MALWARE

The search results page use a permalink structure you can use for further searches. The search results are exportable in CSV format. The CSV link is availables on the same page and reflects the permalink structure of the web search.

A new way to aggregate data is the use of the tagging system. Occasionally a report includes comments. Often comments are used to add a keywords, making the report aggregable via tag search. Just an example using one of the latest detected threat: #EternalRocks.

Any report can be exported in PDF format, at this time with limited information.

Hope this help.

In these conditions, usually the attack pattern preferred is “Spear Phishing“, consisting in a email containing, not the malware itself, but a dropper, written with a script language (formally just a text file), with the capabilities to download the malware and run it on the target system. In others terms: a JavaScript. Below an example.

The original JavaScript file.

As you know, comments are useless. Just remove it!

Now, take a look at the variable named “XyuHqSR“. It is a multidimensional array, referenced in the malicious code for six times. We can parse it to extract the strings used by the JS file. Just run this code.

To obtain the following strings, prepended by the array index.

Now, with a bit of “search & replace” and some string concatenations (follow the “+”  character…), the result is a clean file you don’t need to execute in a sandbox to get the behavioural informations.

Easy to read now, ins’t it?

IoC:

• The JS file: 00a9278b3f64e6f0ce633ac191825e5e
• The downloaded malware: e4e1325c4ded2cd8b4487f8a16c5095b (#Locky)

Some example:

• Internet Explorer – 2015
• Adobe Flash Player – 2015
• Oracle JDK – 2015

Remember: all URLs are CPE compliance!

Many thanks to Bootstrap Framework developers, that make web design something possibile also to me!

This is first time I write FAQ for this service. Considering I’m the main (and only) developer there’s no question I need to do, but maybe a lots of questions I should reply to. So, feel free to ask for more details in the comments below.

What is the Pentest.IT’s mission?

Pentest.IT has not specific mission. You have to consider it just as an aggregation center for public CVEs. The purpose (not the mission) is to help people and organizations in the vulnerability management process.

What does it mean CVE?

CVE is the acronym for “Common Vulnerabilities and Exposures”. The MITRE () defines CVEs has “…a dictionary of publicly known information security vulnerabilities and exposures“.

What is a Vulnerability and an Exposure?

A “vulnerability” is a mistake in software that can be directly used by a hacker to gain access to a system or network.
An “exposure” is a system configuration issue or a mistake in software that allows access to information or capabilities that can be used by a hacker as a stepping-stone into a system or network.
The different between vulnerability and explosure is that the first one is usable to compromise a system. An exposure, even if is not usable itself to hack a system, is usually an important component of a successful attack.

What does it mean CWE?

CWE is the acronym for “Common Weakness Enumeration“. CWE provides a dictionary of commons software weaknesses. When a CWE is associated to a CVE entry the vulnerability is more detailed in its weak point. By this way it should be easiest apply security solution such as logical or physical security.
Note that a CWE entry describe just a weak point. It doesn’t specify how an attacker could gain advantage by the vulnerability. The attack methodologies are listed by the CAPEC dictionary.

What does it mean CAPEC?

CAPEC is the acronym for “Common Attack Pattern Enumeration and Classification“. CAPEC provides a dictionary of commons attack methodologies with the scope of understanding how a real attack can be performed and a better defence strategy could be applied.
CAPEC are usually mapped to one or more CWE entries.

What does it mean CPE?

CPE is the acronym for “Common Platform Enumeration“. As NVD report, it consist on a “…structured naming scheme for information technology systems, software, and packages. Based upon the generic syntax for Uniform Resource Identifiers (URI), CPE includes a formal name format, a method for checking names against a system, and a description format for binding text and tests to a name”.
Understanding CPE syntax is necessary to use Pentest.IT features as well!

What is CVSS?

CVSS is the acronym for “Common Vulnerability Scoring System“. Its value can be in a range between 0 and 10. Grater value stay for greater risks. Actually CVEs are mapped to CVSSv2 Base Score. More information about CVSS are available in first.org website.

What is a patch?

In this scenario a patch is a piece of software applied to another one, designed to fix a vulnerability or a generic software flaw.

What are the available informations provided by Pentest.IT?

The service provides the followind items:

• Full list of published vulnerabilities with an associate RSS feed for the latest 25 items;
• Published vulnerabilities for any specific vendor with an associate RSS feed for the latest 25 items;
• Published vulnerabilities for a specific software with full CPE notation and an associate RSS feed for the latest 25 items;
• Published vulnerabilities for specifics product family (go to “The concept of Product Family“) with an associate RSS feed for the latest 25 items;
• Full list of “Common Weakness Enumeration”;
• Full list of “Common Attack Pattern Enumeraion and Classification”.

The concept of “Product Family”

Pentest.IT consider a “product family” as the aggregation of all vulnerabilities regarding a specific vendor and a specific product. In the CPE notation, two version of the same product have differents CPE entries (of course). But consider the case on you manage a set of machines where various version of the same software (aka CPE product) are installed (this happens often in the real world).
To aggregate these informations in a single view use this feature.

Permalinks structure for HTML resources

Pentest.IT has a basic set of API based on the permalinks structures.

• Single CVE entry: /cve-YYYY-CODE.html (example);
• Focus on specific vendor: /vendor-CPE_VENDOR.html (example);
• All CVE for a specific vendor: /vendorcve-CPE_VENDOR.html (example);
• Focus on a specific product family: /product/family/CPE_VENDOR:CPE_PRODUCT.html (example);
• All CVE for a specific product family: /product/family/all/CPE_VENDOR:CPE_PRODUCT.html (example);
• Focus on a specific CPE dictionary entry: /cvesoftware/CPE_PART:CPE_VENDOR:CPE_PRODUCT:CPE_VERSION:CPE_UPDATE:CPE_EDITION:CE_LANGUAGE.html (example).

Permalinks structure for RSS feed resources

Pentest.IT provides the following RSS feed:

• Latest 25 vulnerabilities: http://www.pentest.it/cve.rss;
• Specific vendor vulnerabilities: /vendor-CPE_VENDOR.rss (example);
• Product family vulnerabilities: /product/family/CPE_VENDOR:CPE_PRODUCT.rss (example);
• Specific CPE entry: /cvesoftware/CPE_PART:CPE_VENDOR:CPE_PRODUCT:CPE_VERSION:CPE_UPDATE:CPE_EDITION:CPE_LANGUAGE.rss (example).

Pentest.IT has the ability to map in a single view all available attributes:

• CVE Code
• Published date
• Updated date
• Description
• CVSS score and details
• Affected OS(s)/Application(s)/Hardware(s)
• Affected product family
• References
• CWE reference and related CAPEC
• MS Patches (only for Microsoft related CVEs)
• Related CVEs
• JSON data representation

RESTful API for CVE entries

Pentest.IT has the ability of give you all CVE informations in a single JSON stream. Use the following permalink structure:

• http://www.pentest.it/cve-AAAA-CODE.json (example).

Google @AdSense suspends services to http://t.co/L0XLozxWNm and http://t.co/iqxbeVMTDz due to “hacking and cracking” policy violations.

— offensive security (@offsectraining) 26 Giugno 2014

I don’t want to discuss about adsense’s “hacking and cracking policies”. I just want to explain why, in my opinion, this decision is wrong, dangerous for any organization and company and should increase the coasts of any information security related work.

Exploit-db and backtrack-linux (kali.org since some time) are two of the best exploits repository in the world. Of course people can use these informations to provide malicious activities, but there’s many people that use them to avoid and prevent malicious activities. Using the latest available exploit, it’s possible to develop IPS signature, configure a SIEM without wait for some vendor update…

Every morning, a security analist make a search on exploit-db database to know if new risks are in the wild. Every day many security analists (at least, I think so) work on exploit-db to verify, categorize and finally, share dozens of exploit. This make the information security more efficient at a cheaper price. If these projects will lost adsense support definitively, the minus gain will forward the informations shared for free, in a background market where only some black hat will be able to gain money by selling and buying this kind of knowledge.

Google isn’t a government agency and may choose to do business with those who want to, but since its core business is “our web browsing” the best choice should be improve the security web browsing by finance projects like these. Maybe someone in Google think “ignorance is bliss“, IMHO “ignorance is shit“.

Lo farò in parte perché lo faccio sempre e le tradizioni mi danno tranquillità. Lo farò perché voglio ascoltare cosa dice. Lo farò per poter dire dopo cosa ne penso.

Non è detto che sarò d’accordo, ma non è detto nemmeno il contrario. Starò ad ascoltare, in silenzio, davanti il televisore, le parole di una persona che controvoglia non ha potuto lasciare una poltrona scomodissima, che lui stesso voleva lasciare.

Non boicotterò il discorso del Presidente, ma altrettanto non inviterò nessuno a vederlo. Siamo Italiani e sappiamo cosa succede ogni anno prima del cenone. Ognuno scelga cosa fare, dove stare, chi ascoltare. Ma mi piacerebbe si evitassero boicottaggi del pensiero.

Ognuno di noi può e deve difendere un’inevitabile libertà che subiamo minuto per minuto: la diversità. Siamo liberi perché godiamo delle nostre diversità in un mondo in cui anche gli altri possono. Anche le diversità hanno un limite di accettazione: la libertà altrui. Diversità e libertà sono complementari, ma allo stesso tempo uno conseguenza dell’altro.

La riduzione in classi omogenee (chi boicotta, chi non boicotta, chi aderisce e chi vorrebbe impedire…) sono solo nostre esemplificazioni logiche, perché è molto più facile raggruppare le differenze in insiemi che sono solo una nostra trasposizione.

Non vedrò in diretta il discorso di Grillo, nonostante l’advertising in stile serata danzante…

Lo vedrò sicuramente (ma quanto è bella l’asincronia…), perché sono curioso di sapere cosa ha da dire, da proporre. Purtroppo so già che valuterò il tutto con una inevitabile velatura di pregiudizio, verso chi promuove iniziative “contro“. Valuterò il tutto con il pregiudizio di chi lo ha preso in considerazione in un certo momento, ma poi ne ha letto l’irrealizzabile programma (dove li trovi 32 Miliardi di Euro l’anno per il reddito di cittadinanza non è ancora chiaro, visti che i risparmi proposti sono tagli che creano disponibilità una tantum).

Lo guarderò e non mi dimenticherò mai che lui propose non più di due mandati a persona in parlamento. Una di quelle proposte che oggi trova tutti d’accordo, ma al tempo di un certo Enrico Berlinguer avrebbe fatto rabbrividire. Fossimo mai capaci di far arrivare i più bravi politici a fare politica, li licenziamo dopo due mandati?

Di solito non pagano troppo le politiche punitive, soprattutto quando vanno a colpire un innocente. È lo stesso discorso del coprifuoco in tempo di guerra: si parte dal presupposto che tutti sono delinquenti, quindi la notte, quando il controllo è più difficile, si costringe la gente a non uscire. Il valore dell’onestà in questo modo viene azzerato. Non c’è più bisogno di essere delle persone per bene, perché la società in cui vivi ti considera delinquente prima di tutto.

Io non ragionerò mai così. Sono diverso . Preferisco di gran lunga che tutti siano messi in condizione di informarsi, di conoscere le idee altrui, soprattutto quando sono diverse e contrarie. Come fai a essere in disaccordo con qualcuno che non vuoi ascoltare?

Buon anno.

Io stesso ne sono consumatore e, senza essere Veronesi, mi sono accorto dei benefici, senza mai dimenticare gli inevitabili danni. Respiro meglio, sono più resistente agli sforzi prolungati, sono meno dipendente dalla sigaretta in genere.

Prima di approcciarmi alla sigaretta elettronica, per me era un dramma rimanere con solo tre sigarette. Non mi vergogno a confessare che diventavo quasi isterico, fin quando non trovavo un tabacchino. Ero una persona pessima, assolutamente folle. Schiava di un vizio che di fatto ho ancora, ma riesco a controllare. Dimenticare la sigaretta elettronica non è un dramma. Posso aspettare. Il solo fatto di dimenticarla è una novità.

Altro fatto non indifferente è che prima spendevo un minimo di 140 Euro al mese in sigarette (fumavo a prezzo contenuto). Sono 1680 Euro l’anno. Più di un mese di stipendio letteralmente fumato. Oggi compro due boccette di liquido al mese al prezzo di 10 Euro l’una (prodotto in Italia da aziende italiane) e non più di 5 Euro medie al mese di consumabili vari. Sommati ai kit comprati per un totale di 120 Euro, fanno 420 Euro. Ma visto che sono ragioniere dentro ed ho comprato due kit che userò solo nel 2014 (proprio a causa dell’aumento previsto dal primo gennaio…), posso detrarre 70 Euro di competenza. Passando ad un totale per il 2013 di 350 Euro. Ovvero quasi l’80% di risparmio con parte del guadagno che va ad alimentare le aziende italiane produttrici di liquidi.

Partiamo da alcuni presupposti (personali e generali):

• Sono perfettamente consapevole che fumare è una cosa da mentecatti, ma a 14 lo ero e la dipendenza ha fatto il resto.
• Sono conscio del fatto che inalare nicotina fa male sia svapando che fumando, ma con la sigaretta elettronica elimino il catrame e gli effetti della combustione.
• Sono favorevole a qualsiasi restrizione per l’uso nei luoghi pubblici. Il vapore non uccide nessuno, ma il gesto di fumare in un locale pubblico è bene che sia considerato sconveniente.

Qualcuno sano di mente, ha idea del perché abbiano deciso di tassare finanche il laccetto per legarsi al collo la e-sigaretta, come fosse una nazionale senza filtro?

Avrei potuto capire la tassazione a regime di deposito fiscale per i soli liquidi. Brutta mazzata, ma il settore in se si sarebbe potuto riorganizzare. Tanto più che questo e solo questo avrebbe garantito un reale incasso erariale. L’accessoristica indispensabile per i liquidi avrebbe mantenuto lo stesso prezzo. Ora invece no. Si è imposta una barriera all’entrata per i potenziali clienti.

E’ già dura dover investire una cifra di circa 50 Euro. Prezzo medio di un kit completo (ma non è statistica di settore, solo mia valutazione parziale). Il fumatore spende tanti soldi, ma poco alla volta. Lo svapatore invece ha un costo iniziale, ma una frequenza d’acquisto molto più bassa del fumatore (anche per questo secondo me è più facile smettere di fumare e disabituarsi alla cosa).

Innalzare la barriera vuol dire voler colpire il settore in quanto tale. Il provvedimento non ha la ratio di incassare nell’unico settore che qualcosa di buono aveva fatto. Chi ha imposto la cosa non lo ha fatto per arraffare qualcosa, ma per demolire un interno comparto.

A conti fatti, da parte mia, un aumento del 60% dei prezzi mi porterebbe ad una spesa di 560 Euro l’anno. Una bella differenza, che comunque rimane di molto sotto al costo di un anno di sigarette di scarso livello. La salute finora non ne risente, anzi ne ha tratto beneficio (non sono un medico, sono un fumatore ventennale che non ha più la tosse di prima). E riuscire a smettere completamente è cosa meno lontana di ieri.

My 2 cents

Tutti sappiamo che la politica in Italia costa troppo. Ma non è quello il reale problema. I costi della politica sono la conseguenza del sistema economico che non vuole politici capaci. La prova sta nella composizione del parlamento e dei pariti:

• Partito Democratico: la tessera n. 1 è di De Benedetti che fa politica in funzione della sua attività imprenditoriale.
• Forza Italia: un altro imprenditore che f ai suoi interessi.
• M5S: un ex attore trombato dai politici di cui sopra che ha solo voglia di fare caciare e far parlare di sè. Di fatto anche lui è un imprenditore, visto che tutto quello che pubblica è ben condito da annunci pubblicitari.

C’è qualcosa di male? No, se fai il tuo lavoro (ovvero fai politica). Sì, se crei un apparato funzionale al tuo lavoro, ma che di base dovrebbe servire ad altro.

Succede così che, giusto per far caciare, Liberoquotidiano.it (testata vicina a Forza Italia) pubblica un articolo dal titolo La Serracchiani a Ballarò a scrocco sull’aereo di Stato. Articolo subito ripreso e riproposto da un magazine online vicino alle idee di Grillo e di proprietà della Casaleggio Associati: Il Movimento 5 Stelle smaschera la Serracchiani. L’unica differenza fra i due articoli è che ognuno cerca di dare il merito della notizia alla propria parte politica, per il resto dicono la stessa stronzata.

La Serracchiani è stata invitata al programma Rai Ballarò (televisione pubblica, soldi pubblici). Nello stesso giorno, qualche ora prima del programma (che va in onda in diretta da Roma), era prevista una riunione con il presidente del Consiglio in Friuli.

Si consideri che se si viene invitati ad un programma (ma a qualsiasi generica trasferta lavorativa o assimilabile) i costi di viaggio di solito li paga chi invita. Nel nostro caso la Rai, un azienda pubblica che paga i fornitori con soldi pubblici. Ciò vuol dire che la Serracchiani a Ballarò ci poteva costare due biglietti aerei di andata e ritorno.

A questo punto succede la cosa più normale del mondo: dato che Letta rientrerà a Roma in un orario compatibile con la partecipazione della Serracchiani a Ballarò le dice “Ma dai, ti do io uno strappo a Roma che c’ho il volo di Stato pronto“. Chi lo paga il volo? Sempre noi, esattamente come avremmo pagato il volo di andata del biglietto di linea che grazie al passaggio di Letta la Rai non ha dovuto comprare. Non credo che la presenza della Serracchiani sul volo di Stato di Letta abbia fatto lievitare i costi più di tanto.

Quello che ha fatto la Serracchiani è stato un risparmio per lo Stato.

Sia chiaro, questo non vuol dire che io voto PD, che sono renziano, lettiano (ma si può dire?) o men che meno che sia contro qualcuno o qualcosa a priori. Io sono semplicemente una mente pensate. E quando il pensiero porta ad un mero calcolo matematico, secondo me c’è poco da dire.