| 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869 |
- title: "ABCD: Analysis by chained daemons"
- text: |
- Nell'acqua di mare e' presente una piccola quantita' di oro; se
- paragoniamo miriadi di righe di syslog all'acqua di mare ABCD esegue
- l'equivalente della separazione dell'oro. rapidamente.
- Prese a caso circa 22M di righe di syslog (proxy navigazione) e
- sottopostele ad una sequenza di "awk", "grep" e "sort" risultano
- evidenti, nell'elenco restante, 2 dominii fastflux.
- il che implica il fallimento e/o inadeguatezza delle contromisure
- aziendali relativamente a tale aspetto; questa informazione vale oro, SE
- TEMPESTIVA.
- ma
- i migliori algoritmi esistenti richiedono molti secondi di
- calcoli/attese per ciascuna analisi, il che e' in diretto contrasto con
- la necessaria tempestivita' nell'avere l'informazione (senza la quale,
- per noi, l'oro decade in piombo; sapere che 2 giorni addietro il pc di
- un consulente ha contattato un fastflux che ora nemmeno esiste piu'
- serve davvero a poco)
- quindi verranno presentati i passi intrapresi ed il risultato fin qui
- ottenuto in quanto a :
- - implementazione di un sistema che, nel suo complesso, sia scalabile
- almeno fino a 100K syslog/sec
- - scrittura di codice C che faccia un uso non banale dei socket (a fa'
- "hello world" so bboni tutti......)
- - ideazione, implementazione (ed abuso) di un protocollo di
- comunicazione tra i vari demoni che eseguono il compito complessivo
- - integrazione con sistemi, protocolli e tools esistenti (syslog, bind,
- rdap, nmap, telnet)
- **N.B.:** non essendo possibile replicare in loco la situazione reale
- verranno mostrati solo dati registrati ed anonimizzati.
- # Se ancora non è stata assegnata una stanza al talk, commentala. Non usare un valore tipo "qualunque" o
- # cose del genere, che ci si incasina tutto
- room: C
- # duration è la durata in minuti del talk
- duration: 90
- # Ci vanno le virgolette intorno! altrimenti 17.30 viene interpretato come un numero decimale
- time: "18.30"
- # day è il giorno in cui avverrà il talk. Finché non decommenti il talk non sarà schedulato
- # 0=giovedì, 1=venerdì, 2=sabato, 3=domenica
- day: 1
- tags:
- - logs
- - sicurezza
- - programmazione
- # Devono essere dei link validi!
- # mail dovrebbe contenere un link all'email in lista hackmeeting in cui il talk è stato proposto
- # così si può sapere chi contattare e se c'è stata una discussione
- # prendi il link da https://lists.autistici.org/list/hackmeeting.en.html
- # il campo mail NON è un indirizzo email
- mail: "http://lists.autistici.org/message/20190509.094534.c62366db.en.html"
- # contacts invece sono i nomi, o gli indirizzi, delle persone che presentano
- contacts:
- - "$switch"
- # se chiedono di non sovrapporli con qualche talk, segnalo qui
- # cosi' poi il coso ci avvisa quando sbagliamo
- nooverlap: []
- # Devi usare UTF-8, non t'inventare scuse, sappiamo ndo abiti
- # vim: set fileencoding=utf-8 ts=4 sw=4 et:
|
