|
@@ -0,0 +1,69 @@
|
|
|
+title: "ABCD: Analysis by chained daemons"
|
|
|
+text: |
|
|
|
+ Nell'acqua di mare e' presente una piccola quantita' di oro; se
|
|
|
+ paragoniamo miriadi di righe di syslog all'acqua di mare ABCD esegue
|
|
|
+ l'equivalente della separazione dell'oro. rapidamente.
|
|
|
+
|
|
|
+ Prese a caso circa 22M di righe di syslog (proxy navigazione) e
|
|
|
+ sottopostele ad una sequenza di "awk", "grep" e "sort" risultano
|
|
|
+ evidenti, nell'elenco restante, 2 dominii fastflux.
|
|
|
+ il che implica il fallimento e/o inadeguatezza delle contromisure
|
|
|
+ aziendali relativamente a tale aspetto; questa informazione vale oro, SE
|
|
|
+ TEMPESTIVA.
|
|
|
+
|
|
|
+ ma
|
|
|
+
|
|
|
+ i migliori algoritmi esistenti richiedono molti secondi di
|
|
|
+ calcoli/attese per ciascuna analisi, il che e' in diretto contrasto con
|
|
|
+ la necessaria tempestivita' nell'avere l'informazione (senza la quale,
|
|
|
+ per noi, l'oro decade in piombo; sapere che 2 giorni addietro il pc di
|
|
|
+ un consulente ha contattato un fastflux che ora nemmeno esiste piu'
|
|
|
+ serve davvero a poco)
|
|
|
+
|
|
|
+ quindi verranno presentati i passi intrapresi ed il risultato fin qui
|
|
|
+ ottenuto in quanto a :
|
|
|
+ - implementazione di un sistema che, nel suo complesso, sia scalabile
|
|
|
+ almeno fino a 100K syslog/sec
|
|
|
+ - scrittura di codice C che faccia un uso non banale dei socket (a fa'
|
|
|
+ "hello world" so bboni tutti......)
|
|
|
+ - ideazione, implementazione (ed abuso) di un protocollo di
|
|
|
+ comunicazione tra i vari demoni che eseguono il compito complessivo
|
|
|
+ - integrazione con sistemi, protocolli e tools esistenti (syslog, bind,
|
|
|
+ rdap, nmap, telnet)
|
|
|
+
|
|
|
+ **N.B.:** non essendo possibile replicare in loco la situazione reale
|
|
|
+ verranno mostrati solo dati registrati ed anonimizzati.
|
|
|
+
|
|
|
+# Se ancora non è stata assegnata una stanza al talk, commentala. Non usare un valore tipo "qualunque" o
|
|
|
+# cose del genere, che ci si incasina tutto
|
|
|
+room: C
|
|
|
+
|
|
|
+# duration è la durata in minuti del talk
|
|
|
+duration: 60
|
|
|
+
|
|
|
+# Ci vanno le virgolette intorno! altrimenti 17.30 viene interpretato come un numero decimale
|
|
|
+time: "19.00"
|
|
|
+# day è il giorno in cui avverrà il talk. Finché non decommenti il talk non sarà schedulato
|
|
|
+# 0=giovedì, 1=venerdì, 2=sabato, 3=domenica
|
|
|
+day: 1
|
|
|
+
|
|
|
+tags:
|
|
|
+ - logs
|
|
|
+ - sicurezza
|
|
|
+ - programmazione
|
|
|
+# Devono essere dei link validi!
|
|
|
+# mail dovrebbe contenere un link all'email in lista hackmeeting in cui il talk è stato proposto
|
|
|
+# così si può sapere chi contattare e se c'è stata una discussione
|
|
|
+# prendi il link da https://lists.autistici.org/list/hackmeeting.en.html
|
|
|
+# il campo mail NON è un indirizzo email
|
|
|
+mail: "http://lists.autistici.org/message/20190509.094534.c62366db.en.html"
|
|
|
+# contacts invece sono i nomi, o gli indirizzi, delle persone che presentano
|
|
|
+contacts:
|
|
|
+ - "$switch"
|
|
|
+
|
|
|
+# se chiedono di non sovrapporli con qualche talk, segnalo qui
|
|
|
+# cosi' poi il coso ci avvisa quando sbagliamo
|
|
|
+nooverlap: []
|
|
|
+
|
|
|
+# Devi usare UTF-8, non t'inventare scuse, sappiamo ndo abiti
|
|
|
+# vim: set fileencoding=utf-8 ts=4 sw=4 et:
|