Tuesday, July 21, 2015

Ελλάδα, η χώρα που κανένας δεν δίνει δεκάρα για την ποιότητα.

Καλωσήρθατε στην Ελλάδα, την χώρα όπου κανένας δεν δίνει δεκάρα για την ποιότητα.

Εντυπωσιακή είναι η πολιτική δήλωση του πολιτικού Β. Βαλασόπουλου μετά το ολοκαύτωμα του Υμηττού. Ο πολιτικός Β. Βαλασόπουλος εκφράζει τα θερμά του συλληπητήρια στην οικογένεια του άτυχου αστυνομικού, που μετά από αυτά αισθάνεται πολύ καλύτερα που, παρότι ο άνθρωπός τους κάηκε ζωντανός, έχει τα μεταθανάτια θερμά συλληπητήρια του πολιτικού Β. Βαλασόπουλου. 

Αλλά ο πολιτικός Β. Βαλασόπουλος κάνει και μια ακόμη, εντυπωσιακή δήλωση: η πρόβλεψη του ΣΠΑΥ ήταν, λέει, επαρκέστατη. Και με αυτόν τον τρόπο ανακουφίζει όλους εμάς που είδαμε το δάσος του κυριακάτικου περιπάτου μας να πηγαίνει περίπατο. 
Είναι ενδιαφέρουσες, επίσης, και οι ερωτήσεις που απαντάει ο πολιτικός Β. Βαλασόπουλος. Οι οποίες έχουν έναν κοινό παρονομαστή: το δάσος ήταν επαρκέστατα προστατευμένο απέναντι σε όλους και σε όλα, εκτός από τον εμπρηστή. Γιατί για τον πολιτικό Β. Βαλασόπουλο ο εμπρηστής ταυτίζεται εννοιολογικά με τον απομηχανής θεό, τον γιο του διαβόλου, που έχει κράτος και εξουσία σε κάθε κόλαση.

Το πρόβλημα στην Ελλάδα είναι η έλλειψη ποιότητας. Είναι η νοοτροπία του Έλληνα, η νοοτροπία του περίπου, του θα δούμε, του θα τα βγάλουμε πέρα, του έχει ο θεός, του θα τα βολέψουμε. Που θεωρεί ότι μια αόρατη καλοτυχιά θα κινήσει τα νήματα της απουσίας πρόβλεψης.

Ο πολιτικός Β. Βαλασόπουλος μας λέει ότι ούτε το κράτος, ούτε η ιδιότητα του δημάρχου που κατέχει, ούτε η περιφέρεια, ούτε τα 118.697,80 ευρώ του προϋπολογισμού του δήμου Ηλιούπολης υπέρ του ΣΠΑΥ μπορούσαν να αποτρέψουν την απόφαση ενός εμπρηστή, ή και πολλών εμπρηστών. Ότι πρακτικά, ό,τι και να γίνει, το δάσος είναι έρμαιο του κάθε εμπρηστή. Και μετά από αυτή την δήλωση, ο πολιτικός Β. Βαλασόπουλος εξακολουθεί να υφίσταται ως πολιτικός.

Θα ήθελα λοιπόν να απευθυνθώ στον πολιτικό Β. Βαλασόπουλο για να ξεκαθαρίσω πώς σκέφτομαι κάποια πράγματα. Που ποσώς τον ενδιαφέρουν. Που ποσώς τα επεξεργάστηκε πριν ή μετά, ως γνήσιος Έλλην.

Εάν κύριε Βαλασόπουλε το ότι είστε δήμαρχος και το ότι σας έχουν διατεθεί 118.697,80 ευρώ (μόνο από τον Δήμο Ηλιούπολης) για την προστασία του δάσους δεν σας είναι αρκετά για να το προστατεύσετε απέναντι σε έναν εμπρηστή, σε πολλούς εμπρηστές, σε κάθε εμπρηστή, τότε καλύτερα να παραιτηθείτε. Γιατί για αυτό ακριβώς θέλουμε πρόληψη, προγραμματισμό και προστασία: για τους εμπρηστές. Για το απρόβλεπτο. Για το κακόβουλο. Για το ακραίο.

Διαβάζω προσεκτικά τις ερωτήσεις στις οποίες απαντά ο πολιτικός Β. Βαλασόπουλος.
1. Οι εκτοξευτήρες ήταν για να ποτίζουν, όχι για να προλαμβάνουν πυρκαγιά. Άρα δεν είχατε προβλέψει έναν τρόπο να προστατεύσετε το δάσος από τον εμπρηστή. Είχατε προβλέψει μόνο να το ποτίζετε.

2. Οι δεξαμενές νερού ήταν εν πλήρη ετοιμότητα. Όμως το δάσος κάηκε. Άρα δεν είχατε προβλέψει έναν τρόπο να προστατεύσετε το δάσος από τον εμπρηστή.

3. Οι δασικοί δρόμοι ήταν καθαροί, όμως αυτό δεν ήταν αρκετό για να αποτρέψει το πλήρες ολοκαύτωμα. Άρα δεν είχατε προβλέψει έναν τρόπο για να προστατεύσετε το δάσος από τον εμπρηστή.

4, 5. Οι Τράπεζες κύριε Βαλασόπουλε έκλεισαν 29/6/15. Ευτυχώς για εσάς που η πυρκαγιά συνέβη την 17/7/15 και όχι μέσα Ιούνη, γιατί μπορείτε να χρησιμοποιείτε την δικαιολογία αυτή και να αξιώνετε να γίνετε πιστευτός από τους αναγνώστες σας. Οι Τράπεζες κύριε Βαλασόπουλε έκλεισαν όταν θα έπρεπε να έχετε ολοκληρώσει κάθε απαραίτητο μέτρο πρόληψης για το δάσος, με δεδομένο ότι η αντιπυρική περιόδος ξεκινά πολύ πριν τις 29/6/15. Ευτελές επιχείρημα, ανάξιο του πολιτικού κύρους του κυρίου Βαλασόπουλου.

6. Όταν φτάνουμε στον ηρωισμό, έχουμε αποθέσει όλα τα όπλα μας στην τύχη, στο έχει ο θεός, στο έλα μωρέ τώρα, στο θα τα βολέψουμε, στο θα την σκαπουλάρουμε. Κύριε Βαλασόπουλε, είστε γνήσιος Έλλην!

7. Το ότι ο εμπρηστής μπορεί μέσα σε δύο ώρες να ακυρώσει προσπάθεια και κονδύλια 20 ετών με κάνει να σκέφτομαι ότι καλύτερα είναι να προγραμματίζουμε το ανά εικοσαετία ολοκαύτωμα του δάσους μας και να αποταμιεύουμε παράλληλα τα αντίστοιχα κονδύλια. Είναι μια καλύτερη ανάλυση κόστους - ωφέλους, φρονώ.

8. Αυτό είναι το κερασάκι στην τούρτα, γιατί πάντα όταν γίνεται ένα δάσος ολοκαύτωμα, ένα μόνο πράγμα τριβελίζει στο μυαλό μου, από πού ξεκίνησε η φωτιά.

Κύριε Βαλασόπουλε. Μέσα στην εικοσαετία από το προηγούμενο ολοκαύτωμα του Υμηττού επικράτησαν ξανά ανάμεσα στα έτη, ακραίες θερμοκρασίες καύσωνα και αέρα. Το ότι το δάσος δεν κάηκε στο μεσοδιάστημα, παρά τα αναποτελεσματικά, όπως αποδείχθηκε, μέτρα πρόληψης, μάλλον το οφείλουμε στο "έχει ο θεός", στο "θα την βολέψουμε", στο "θα τα βρούμε". Εκείνο που με προβληματίζει βέβαια, είναι το πώς σε ένα περιαστικό δάσος, που μπορεί να σχεδιαστεί με τέτοιο τρόπο που να έχει πολύ περισσότερα μέσα άμυνας στον εμπρηστή, παραδόθηκε άκλαυτο στο έλεος της φωτιάς.


Ξέρω κύριε Βαλασόπουλε ότι η συζήτηση αυτή σας είναι άχαρη. Το δάσος αυτό δεν θα το ξαναδείτε ζωντανό, όσο εσείς θα είστε εν ζωή, λαμβάνοντας υπόψη την ηλικία σας σε συνάρτηση με τον χρόνο αναγέννησης που απαιτείται για τα δέντρα. Ξέρω ότι αυτό σας στενοχωρεί. Ξέρω ότι δεν μπορείτε να το αντέξετε. Επειδή όμως δεν έχετε την δυνατότητα, ως γνήσιος Έλλην, να κατανοήσετε γιατί φθάσαμε ως εδώ, κρίνοντας πάντα από το σκεπτικό του άρθρου που μοιράζεστε μαζί μας, δώστε την δυνατότητα σε κάποιον πιο άξιο (εάν κατορθώσει ο Έλλην ψηφοφόρος να βρει έστω και έναν, ενδεικτικά), να επιχειρήσει να κάνει πράξη την ανάγκη της χώρας για ποιότητα. Για να μπορέσουν οι νεότεροι, τουλάχιστον, να ξαναδούν ζωντανό αυτό το δάσος, χωρίς να του προσθέσουμε το μπετόν που λείπει από τη ζωή μας.

Ένας δημότης Ηλιούπολης, ένας άνθρωπος που του κλέψατε το δάσος του, την αναπνοή του.

Μια μέρα οι θάλασσες αυτές θα εκδικηθούνε. ~ Οδ. Ελύτης





Monday, April 6, 2015

Infocom Security Conference 2015

Excited to present Uni Systems at Infocom Conference 2015. On the following links you can find my presentation and interview:

Presentation: https://dl.dropboxusercontent.com/u/75624475/2-athanasoulias-unisystems.pdf
Interview: https://www.youtube.com/watch?v=oyB4rq-gvJw

Friday, February 6, 2015

Partner Spotlight of Uni Systems S.A. at Hexis EMEA Exchange 2015

Here you can find my interview to Ms Katherine Russ-Hotfelter, Hexis Cyber Solutions Director of Channel Marketing which is published on this link:

By Katherine Russ-Hotfelter, Hexis Cyber Solutions Director of Channel Marketing
Cybersecurity threats are a global issue – just ask Andreas Athanasoulias, Information Security Officer for Athens, Greece-based, Uni Systems S.A. and a Hexis Cyber Solutions partner. Last week at our annual EMEA Exchange event in London, we sat down with Andreas to talk about what his company is seeing from a global threat perspective. What Andreas had to say wasn’t surprising – it’s just further evidence that this particular technology topic isn’t going away any time soon. Here’s what he had to say:
Hexis: What do you see as the biggest cybersecurity threat facing companies today?
Andreas Athanasoulias, Uni Systems:
Undoubtedly, the biggest cybersecurity threat is the advanced persistent threat that every organization is facing. Nowadays, cyber-attacks are becoming more and more targeted and sophisticated.  Cyber criminals target high-value organizations and spend tremendous amounts of time in order to create a “profiled attack”. That is to say, the attackers spend time profiling their targets, observing the organization structure, internal procedures and, of course, infrastructures. By assimilating this information, the cyber criminals prepare and launch their attacks, incorporating various techniques, such as viruses, Trojan horses, worms and social engineering.
Hexis: When you speak to security professionals at end user companies, what is their general security outlook? Why do they turn to channel partners?
A.A., Uni Systems:
Professionals at end user companies are worried that security threats may affect their organization. Advanced persistent threats, security incident and event management and trends like BYOD are just some of the many issues they need to deal with throughout their business day.
Moreover, end user companies face complexity on their infrastructure, internal processes and procedures. All of the aforementioned are the reasons why end user customers turn to channel partners. They need the unparalleled expertise of a channel partner to help them tackle the issues they don’t have time to themselves; as a result, end user organizations can spend more time continuing to build their business and less time worrying about IT security issues. For those organizations that currently lack security awareness inside their companies, channel partners act as trusted advisors and educators in this regard, eliminating employee bad habits and fostering a more secure IT environment.
Hexis: What are security teams at your customer sites doing right? Where have they made mistakes and how do you advise on alternative security strategies? 
A.A., Uni Systems:
In my opinion, more often than not, security teams are increasingly budget-driven than quality-driven. Due to the current state of economic affairs, we at Uni Systems have identified countless cases where cost-effective solutions are being chosen over solutions that, to put it simply, work better. This short-sighted decision provides a cheap, “quick-fix” solution, but ultimately creates bigger, long-term issues. These issues can impact the IT security market as whole, the environment of the customer, and most importantly – the vendors and their partners. My advice would be to evaluate the security solutions not only by economic and commercial terms (value, business vision of the vendor, etc.), but also on technical perspective, such as efficacy, efficiency, interoperability and ability to execute on what the vendor promises.
Interested in hearing more about how EMEA Exchange went? Check out Hexis’ conversation with keynote speaker and Bloor senior analyst, Fran Howarth. If you’re a Hexis partner that wasn’t able to make the trek to EMEA Exchange, consider registering for USA Exchange, happening in Las Vegas, NV, February 24-25.

Saturday, October 4, 2014

Surrendering our privacy to mobility

Last week of September 2014 I was honored to be invited by ISACA to present in EuroCACS in Barcelona a hot topic regarding privacy and mobility. You can find my presentation on this link.

Saturday, February 1, 2014

NGINX HTTP(S) Reverse Proxy with ModSecurity Protection

I would like to welcome you to my new project: building a reverse proxy powered by Nginx software, with a ModSecurity web application firewall enabled module.
There are many articles on how to do this configuration on the Internet, but I couldn't find any which had a holistic approach, from a to z, giving you all the steps on how to perform the above installation.

Nginx is an open-source HTTP and reverse proxy server. ModSecurity, an open-source web application firewall, has released packages in order to work together with nginx. Taking advantage of this architecture, you can redirect all the requests to nginx, let them get parsed and sanitised by ModSecurity and as a consequence, have your websites protected.

Ingredients:

  • Debian Linux 7.3.0
  • ModSecurity source code
  • NGINX source code

First of all we need to fulfill some requirements before configuring ModSecurity to work with nginx.
  1. Install gcc:
    $> apt-get install gcc
  2. Install Apache apxs:
    $> apt-get install apache2-threaded-dev
  3. Install libxml2-dev:
    $> apt-get install libxml2-dev
  4. Install libcurl4-gnutls-dev:
    $> apt-get install libcurl4-gnutls-dev
  5. Install lua:
    $> apt-get install liblua5.1-dev

Then configure and build ModSecurity to be ready to get integrated in NGINX (following exactly the instructions as publish in ModSecurity website here):
Navigate to ModSecurity directory:
$> ./configure --enable-standalone-module
$> make
$> make install

Then we change to the directory where nginx source code is downloaded.
We configure NGINX to include ModSecurity and SSL support:
$> ./configure --add-module=../modsecurity-apache_2.7.7/nginx/modsecurity/ --with-http_ssl_module
$> make
$> make install

And the rest is pure configuration! Some references for your next steps are:
  • http://www.cyberciti.biz/tips/using-nginx-as-reverse-proxy.html
  • http://www.modsecurity.org/documentation/
  • http://eu.wiley.com/WileyCDA/WileyTitle/productCd-1118362187.html
  • https://www.feistyduck.com/books/modsecurity-handbook/gettingStarted.html
  • https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project
Enjoy protecting your websites!

Monday, December 9, 2013

SYNTAX Application Security Report

I am very proud to annouce the publication of SYNTAX IT Group Application Security Report (ASR)!
The Application Security Report is an annual SYNTAX publication summarizing the vulnerabilities discovered on application security engagements and provides an insight on current web and mobile application vulnerabilities.
As the primary author of this publication, I would like to thank my team and my colleagues for their help and support.
You can download the report by following this link:

Sunday, December 8, 2013

Fine-tunning Spamassassin and Citadel

This is actually a follow-up article of the previous publication: RPi Home Mail Server Project.

Unfortunately there are not enough articles regarding the configuration needed in order to integrate the open source spam filter Spamassassin and Citadel mail server.

First of all you should install Spamassassin by issuing the following commands:
> apt-get update
> apt-get install spamassassin spampd

Spam daemon (spampd) works as an incoming MTA which scans the emails and then forwards them to the mail server. By default, spampd listens to port 10025 and connects to port 10026, after the relevant processing.

Following this architecture, your firewall should forward SMTP and SMTPS incoming connections to spampd at port 10025 (one simple scenario is by creating a port forwarding rule) and then forward them to Citadel mail server at port 25. 

In order to achieve this, you have to edit /etc/default/spampd and change value DESTPORT from 10026 to 25. 

And you are done! Enjoy!