La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Gestione delle vulnerabilità critiche di sicurezza R. Brunetti, L. Gaido Commissione Calcolo e Reti, Roma 5-7 ottobre 2010.

PubblicatoAnna Ferrario Modificato 7 anni fa

Presentazioni simili

Presentazione sul tema: "Gestione delle vulnerabilità critiche di sicurezza R. Brunetti, L. Gaido Commissione Calcolo e Reti, Roma 5-7 ottobre 2010."— Transcript della presentazione:

1 Gestione delle vulnerabilità critiche di sicurezza R. Brunetti, L. Gaido Commissione Calcolo e Reti, Roma 5-7 ottobre 2010

2 Il punto di partenza Recentemente si è verificato un caso emblematico – CVE-2010-3081 (bug del kernel linux nel layer di compat. 64-32 bit -> local root escalation) Pare noto da circa 2 anni  Patch resa disponibile il giorno 14 settembre su git.kernel.org Reso pubblico il giorno 15 settembre su Fulldisclosure assieme ad un exploit perfettamente funzionante Avviso di sicurezza emesso dal gruppo EGI-CSIRT il giorno 16 settembre a tutti i siti dell’infrastruttura grid EGI

3 – RedHat: ha preso in carico il problema (Bug 634457) il giorno 16 settembre – CERN: ha patchato la sua distribuzione (SLC) poche ore dopo e ha cominciato ad upgradare le macchine – Eygene Ryabinkin del Russian Research Centre "Kurchatov Institute”: ha portato la patch su CentOS poche ore dopo (17 settembre) e su SL il giorno dopo (18 settembre) e le ha rese disponibili alla comunità grid Cos’è successo dopo

4 – Patch non ufficiali per SLC,SL e CentOS disponibili – Patch ufficiali per Fedora,Debian,Ubuntu disponibili – Nessuna patch ufficiale era ancora disponibile per RH,CentOS,SL (le patch ufficiali arriveranno solo il 21 settembre, 7 giorni dopo la pubblicazione dell’exploit) A tre giorni dalla pubblicazione dell’exploit…

5 In generale vale la pena chiedersi.. A prescindere dalla “sollecitudine” dei vendor… – Il problema ha avuto molta risonanza nell’ambiente Grid, ma quanta ne ha avuta al di fuori? – La disponibilità di patch ufficiali o non ufficiali è stata largamente pubblicizzata nell’ambiente Grid, ma quanto se ne è saputo al di fuori?

6 Chi può beneficiare… Altrove qualche “guru/kernel-hacker” ha anticipato i vendor producendo la sua patch, testandola e distribuendola a vantaggio di chi gli dava fiducia  Linux ed i suoi problemi non riguardano solo le risorse grid ma anche i servizi calcolo e gli esperimenti

7 Possibili soluzioni (proposte) a livello informativo: – sinergia tra lo CSIRT di IGI ed il GARR-CERT per usare i canali di comunicazione esistenti (lista degli APM): le informazioni disponibili nella comunità grid saranno inviate in modo capillare a tutti  importante anche il viceversa a livello reattivo/proattivo: − identificare 2/3 persone che siano i “guru/kernel- hackers” della situazione per: aiutare a valutare la gravità di alcune vulnerabilità aiutare a produrre le patcha e/o testarle quando i vendor latitano

8 Cosa facciamo?

9 Disponibilità verificate (estorte ): Giacinto Donvito Vincenzo Spinoso Luca Carbone …… Coordinamento: serve? (sotto) gruppo security?

Scaricare ppt "Gestione delle vulnerabilità critiche di sicurezza R. Brunetti, L. Gaido Commissione Calcolo e Reti, Roma 5-7 ottobre 2010."

Presentazioni simili

E835 & Hera-B Concezio Pisa, 21/12/2004. E835 (aka Jet-FNAL) timeline dell'esperimento –Presa dati conclusa nel 2000. Alcune analisi tuttora in corso.

E835 & Hera-B Concezio Pisa, 21/12/2004. E835 (aka Jet-FNAL) timeline dell'esperimento –Presa dati conclusa nel Alcune analisi tuttora in corso.
Costruirei un centro di benessere con un grande parcheggio Funzione:il centro di benessere ha la funzione di portare felicità e comodità per i cittadini.

Costruirei un centro di benessere con un grande parcheggio Funzione:il centro di benessere ha la funzione di portare felicità e comodità per i cittadini.
1 Modellare le infrastrutture critiche Giovedì 25 settembre 2008 Salvatore Tucci Presidente AIIC Ordinario di Calcolatori Elettronici Università di Roma.

1 Modellare le infrastrutture critiche Giovedì 25 settembre 2008 Salvatore Tucci Presidente AIIC Ordinario di Calcolatori Elettronici Università di Roma.
NESSUS.

NESSUS.
LA JOB ANALYSIS (Analisi del Lavoro)

LA JOB ANALYSIS (Analisi del Lavoro)
Comitato Tecnico sullInteroperabilità MUR, 27-3-2008 L. Merola.

Comitato Tecnico sullInteroperabilità MUR, L. Merola.
06/10/2009Basi di dati 2009-2010, presentazione1 Basi di dati (ordinamento DM 509/1999) Basi di dati I (ordinamento DM 270/2004) 2009-2010 DocentePaolo.

06/10/2009Basi di dati , presentazione1 Basi di dati (ordinamento DM 509/1999) Basi di dati I (ordinamento DM 270/2004) DocentePaolo.
Progetto Sicurezza 2 Fase di setup Prof. A. De Santis

Progetto Sicurezza 2 Fase di setup Prof. A. De Santis
Breaking DES Corso di Sicurezza Reti Dott. Giovanni Ciraolo Anno Accademico 2003-2004.

Breaking DES Corso di Sicurezza Reti Dott. Giovanni Ciraolo Anno Accademico
Le azioni da attuare in caso di sospetto morbillo

Le azioni da attuare in caso di sospetto morbillo
Era lanno 2005 quando abbiamo deciso di guardare fuori dalla (analisi dei dati)

Era lanno 2005 quando abbiamo deciso di guardare fuori dalla (analisi dei dati)
Linux Riunione Referenti-CCL 2-Luglio-2003. Utilizzo di Linux Principale (unica) piattaforma di calcolo per HEP Grid Supportato dalle maggiori industrie.

Linux Riunione Referenti-CCL 2-Luglio Utilizzo di Linux Principale (unica) piattaforma di calcolo per HEP Grid Supportato dalle maggiori industrie.
LO SCHERZO DEL PASTORE.

LO SCHERZO DEL PASTORE.
Istituto Nazionale di Fisica Nucleare Roma,12 febbraio 2001 Netgroup meeting Situazione attuale e attivita futura - R.Gomezel 1 Netgroup meeting Situazione.

Istituto Nazionale di Fisica Nucleare Roma,12 febbraio 2001 Netgroup meeting Situazione attuale e attivita futura - R.Gomezel 1 Netgroup meeting Situazione.
Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.

Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.
Progetto SKILL LAB Centro Giovanile Meltin Pop di Aron a

Progetto SKILL LAB Centro Giovanile Meltin Pop di Aron a
BELLARIA 24 settembre 2011 Il paziente: potenzialità dei singoli e delle associazioni Armando Luisi.

BELLARIA 24 settembre 2011 Il paziente: potenzialità dei singoli e delle associazioni Armando Luisi.
Prima cerano i calcolatori (costosi e per pochi) Poi vennero i terminali (una sola applicazione per tanti) Poi arrivarono i PC (un calcolatore per tutti)

Prima cerano i calcolatori (costosi e per pochi) Poi vennero i terminali (una sola applicazione per tanti) Poi arrivarono i PC (un calcolatore per tutti)
Le nuove frontiere della lotta al doping

Le nuove frontiere della lotta al doping
15 ottobre 2011 A cura del Comitato Genitori del liceo Falcone - Bergamo Capire fa rima con agire.

15 ottobre 2011 A cura del Comitato Genitori del liceo Falcone - Bergamo Capire fa rima con agire.

Presentazioni simili

Annunci Google