title: "ABCD: Analysis by chained daemons"
text: |
    Nell'acqua di mare e' presente una piccola quantita' di oro; se
    paragoniamo miriadi di righe di syslog all'acqua di mare ABCD esegue
    l'equivalente della separazione dell'oro. rapidamente.

    Prese a caso circa 22M di righe di syslog (proxy navigazione) e
    sottopostele ad una sequenza di "awk", "grep" e "sort" risultano
    evidenti, nell'elenco restante, 2 dominii fastflux.
    il che implica il fallimento e/o inadeguatezza delle contromisure
    aziendali relativamente a tale aspetto; questa informazione vale oro, SE
    TEMPESTIVA.

    ma

    i migliori algoritmi esistenti richiedono molti secondi di
    calcoli/attese per ciascuna analisi, il che e' in diretto contrasto con
    la necessaria tempestivita' nell'avere l'informazione (senza la quale,
    per noi, l'oro decade in piombo; sapere che 2 giorni addietro il pc di
    un consulente ha contattato un fastflux che ora nemmeno esiste piu'
    serve davvero a poco)

    quindi verranno presentati i passi intrapresi ed il risultato fin qui
    ottenuto in quanto a :
    - implementazione di un sistema che, nel suo complesso, sia scalabile
    almeno fino a 100K syslog/sec
    - scrittura di codice C che faccia un uso non banale dei socket (a fa'
    "hello world" so bboni tutti......)
    - ideazione, implementazione (ed abuso) di un protocollo di
    comunicazione tra i vari demoni che eseguono il compito complessivo
    - integrazione con sistemi, protocolli e tools esistenti (syslog, bind,
    rdap, nmap, telnet)

    **N.B.:**  non essendo possibile replicare in loco la situazione reale
    verranno mostrati solo dati registrati ed anonimizzati. 

# Se ancora non è stata assegnata una stanza al talk, commentala. Non usare un valore tipo "qualunque" o
# cose del genere, che ci si incasina tutto
room: C

# duration è la durata in minuti del talk
duration: 90

# Ci vanno le virgolette intorno! altrimenti 17.30 viene interpretato come un numero decimale
time: "18.30"
# day è il giorno in cui avverrà il talk. Finché non decommenti il talk non sarà schedulato
# 0=giovedì, 1=venerdì, 2=sabato, 3=domenica
day: 1

tags:
    - logs
    - sicurezza
    - programmazione
# Devono essere dei link validi!
# mail dovrebbe contenere un link all'email in lista hackmeeting in cui il talk è stato proposto
# così si può sapere chi contattare e se c'è stata una discussione
# prendi il link da https://lists.autistici.org/list/hackmeeting.en.html
# il campo mail NON è un indirizzo email
mail: "http://lists.autistici.org/message/20190509.094534.c62366db.en.html"
# contacts invece sono i nomi, o gli indirizzi, delle persone che presentano
contacts:
    - "$switch"

# se chiedono di non sovrapporli con qualche talk, segnalo qui
# cosi' poi il coso ci avvisa quando sbagliamo
nooverlap: []

# Devi usare UTF-8, non t'inventare scuse, sappiamo ndo abiti
# vim: set fileencoding=utf-8 ts=4 sw=4 et: