Scopritori di bachi sotto attacco

Le autorità americane non trovano di meglio che perquisire e sequestrare un'azienda che ha rilevato buchi di sicurezza sui network militari statunitensi

Roma - Stritola il buon senso la macchina da guerra attivata dall' FBI contro gli esperti dell'azienda ForensicTec Solutions di San Diego, colpevoli di aver fatto sapere tramite una intervista su un quotidiano locale che una propria indagine ha messo a nudo numerosi bachi di sicurezza in ben 34 diversi sistemi informativi militari statunitensi.

Gli esperti dell'azienda hanno dichiarato di aver utilizzato software gratuito disponibile in rete per identificare i computer vulnerabili e individuare file con procedure militari, dati classificati sul personale, indirizzi email, informazioni finanziarie e via dicendo...

Per questa affermazione, l'FBI ha eseguito perquisizioni e sequestri nella sede della ForensicTec e un portavoce della polizia federale ha affermato che "anche se è possibile entrare in alcuni sistemi questo non vuol dire che si abbia il diritto di farlo".
Si sa che al blitz dell'FBI hanno partecipato anche esperti dell'esercito ma non si sa nulla né di chi siano le responsabilità dei buchi di sicurezza, evidentemente piuttosto gravi, né del destino giudiziario dei "bug hunter" della Forensic. Quel che è certo è che non è una buona idea far sapere che i server dell'esercito USA soffrono di problemi di sicurezza...
TAG: censura
21 Commenti alla Notizia Scopritori di bachi sotto attacco
Ordina
  • .... che e' finito nelle mani della solita
    webcam .....

    http://www.forensictec.com/

    Che schifezza (non la webcam, ovviamente).

    Sciacalli !
    non+autenticato
  • I soliti teste di legno di militare, mi immagino con che sicurezza custodiscono il materiale nucleare (a parte quello che finisce sotto banco, a pagamento, nei laghi russi!)
    non+autenticato
  • Lasciate pure i bachi di sicurezza dove stanno, così gli ignoranti (nel senso che ignorano) potranno essere attaccati meglio...
    Del resto si sa, a fare i favori ai somari si ricevono solo calci!!
    non+autenticato

  • sbagliata.

    - Scritto da: max
    > Lasciate pure i bachi di sicurezza dove
    > stanno, così gli ignoranti (nel senso che
    > ignorano) potranno essere attaccati
    > meglio...
    > Del resto si sa, a fare i favori ai somari
    > si ricevono solo calci!!

    ok ma il proverbio è errato.
    versione ok
    A LAVARE LA TESTA AI CIUCCI CI SI PERDE ACQUA E SAPONE
    non+autenticato
  • Premetto che se la Forensic è una società di sicurezza, il loro annuncio sembra tanto una manovra pubblicitaria, né più né meno delle volte in cui qualche 'esperto di sicurezza' a caccia di fama preferisce diffondere a velocità luce una vulnerabilità su un prodotto 'famoso' senza attendere neanche un tempo 'ragionevole' che la casa faccia uscire le dovute correzioni (Ove per tempo ragionevole si intende una o due settimane, non i mesi che alcune case richiedono).

    Se non fosse stato per farsi pubblicità, forse la Forensic avrebbe PRIMA avvertito i militari, e poi (forse) avrebbe reso pubblica la notizia. Visto che apparentemente non è stato così, se veramente hanno avuto accesso a dati importanti e classificati, si può supporre che un accesso di quel genere sia stravietato ai comuni mortali (In Italia lo è, figuriamoci negli U.S.A.) e non vedo quindi perché per loro avrebbero dovuto avere un occhio di riguardo.

    non+autenticato
  • Intanto m'immagino l'esercito americano tutto preso dai sistemi tecnologici, con chiavette, bottoni, megadisplay e altro che si trova davanti a una falla della sicurezza e non sa quale protocollo di sicurezza applicare (scusate l'antiamericanismo ma c'hanno fatto 30 anni di film a farci vedere il loro megaesercito imbattibile) (e poi mia madre mi dice che sono i cartoni animati ad essere troppo fantasiosi) ma, dopotutto, vogliamo anche dire che se effettivamente le falle c'erano potevano semplicemente andare alla società in maniera tranquilla e richiedere i tabulati invece che fare il tipico blitz alla fbi ?
    Detto questo volevo solo aggiungere che se l'esercito è stato vulnerabile a del software gratuito mi preoccupo un pochino perchè gli stati uniti hanno un mastodonte nelle spese di bilancio che si chiama US Army e fargli sapere che con tutto quello che spendono chiunque con del "software gratuito" potrebbe valicare le loro difese indica quanto meno una leggerezza inaccettabile.
    Per quanto mi riguarda fino a quando non trovo su qualche sito warez una lista di password per l'attivazione di testate atomiche lascio che continuino a fare questa insulsa pubblicità alla difesa con una sola notarella:
    se era Bin Laden a entrare nei sistemi dell'esercito, e se rubava documenti importanti, vedi dati relativi alle operazioni, rastrellamenti etc etc che facevano? mandavano l'FBI in Afghanistan?
    Come dire che se una bottiglia perde non vuol dire che tu abbia diritto di riempirla per poi far gocciolare tutto sul pavimento, ok siamo daccordo, ma sarebbe meglio buttarla e prendere una bottiglia nuova, altrimenti mettiamo i sigilli a tutto il mondo e diciamo che internet è sicura perchè c'accede solo il pentagono!
    non+autenticato
  • - Scritto da: ConteZero
    > Intanto m'immagino l'esercito americano
    > tutto preso dai sistemi tecnologici, con
    > chiavette, bottoni, megadisplay e altro che
    > si trova davanti a una falla della sicurezza

    Innanzitutto è ancora tutto da prova che dietro dei server accessibili da internet ci fossero dati importanti, è stata solo uan affermazione della società tutt altro che provata.

    > ma, dopotutto,
    > vogliamo anche dire che se effettivamente le
    > falle c'erano potevano semplicemente andare
    > alla società in maniera tranquilla e
    > richiedere i tabulati invece che fare il
    > tipico blitz alla fbi ?

    E perché? Per ufficializzare il tutto e lanciare l'ultima moda "Fatti pubblicità: buca un .gov!"?

    > Detto questo volevo solo aggiungere che se
    > l'esercito è stato vulnerabile a del
    > software gratuito mi preoccupo un pochino
    > perchè gli stati uniti hanno un mastodonte
    > nelle spese di bilancio che si chiama US
    > Army

    Anche la Microsoft è vulnerabile a del 'software gratuito', e tanto per fare un altro esempio, la maggior parte dei server web (ma non quello di PI) girano con software totalmente gratuito. La definizione 'software gratuito' non significa software poco efficace, né software giocattolo. Anche questo particolare fa apparire le affermazioni della Forensic una manovra publicitaria mirata a impressionare qualche dirigente: un tecnico se la ride di queste affermazioni.

    Per questa volta non è stato Bin Laden (forse), ma questo non significa che debbano essere contenti e facciano finire la cosa 'all'italiana' a tarallucci e vino. Una cosa che i vari 'buca sistemi' non capiscono è che nel momento in cui una macchina è stata compromessa non è possibile fidarsi delle affermazioni di chi l'ha violata e riparare il solo buco 'visibile', occorre un controllo completo e approfondito della macchina, eventualmente reinstallandola da capo, e poi occorre controllare approfonditamente che gli altri sistemi della rete non siano stati parimenti compromessi. Tutto questo ha un costo che deve ricadere sulle spalle di chi è entrato. Se si fa così nei server 'civili', figuriamoci nelle reti militari.
    non+autenticato

  • > Una cosa
    > che i vari 'buca sistemi' non capiscono è
    > che nel momento in cui una macchina è stata
    > compromessa non è possibile fidarsi delle
    > affermazioni di chi l'ha violata e riparare
    > il solo buco 'visibile', occorre un
    > controllo completo e approfondito della
    > macchina, eventualmente reinstallandola da
    > capo, e poi occorre controllare
    > approfonditamente che gli altri sistemi
    > della rete non siano stati parimenti
    > compromessi. Tutto questo ha un costo che
    > deve ricadere sulle spalle di chi è entrato.
    > Se si fa così nei server 'civili',
    > figuriamoci nelle reti militari.

    Scusa, non ho capito cosa intendi. In pratica, se uno riesce a entrare e ti dimostra che il tuo sistema di sicurezza fa schifo, e che quindi devi rifarlo da capo, la colpa è di chi è entrato? non di chi ha fatto il sistema?
    A cosa serve un sistema di sicurezza se poi quando lo bucano, la colpa è di chi l'ha bucato?Sorride Allora tanto vale non metterci nulla.

    Come se io a casa mia lasciassi la porta aperta, se poi mi rubano in casa: è solo colpa dei ladri? sono quindi loro, una volta acciuffati che mi devono installare la porta blindata?A bocca aperta

    Io direi piuttosto che le spese di una cosa del genere dovrebbero ricadere sull'azienda che ha prodotto il sistema di sicurezza stesso; che non dimentichiamolo, viene acquistato proprio perchè dichiarato inviolabile.
    non+autenticato
  • Mi sono dimenticato di dire che cmq, se esiste una legge in USA, che vieta di entrare nei sistemi informativi altrui, allora è giusto arrestarli: in fondo sono rei confessi di un crimine.
    Io però arresterei anche quelli che si sono fatti pagare milioni (e più) di dollari un sistema del genere, nel caso venisse dimostrato.
    non+autenticato
  • coem detto in un altro post: occorrerebbe saperne di più su cosa effettivamente è stato fatto
    perchè se entro dalla finestra nella caserma dei
    Carabinieri è giustamente un reato (e rischio pure
    una fucilata dalla guardia) ma se entro dalla
    porta aperta e dico "c'è nessuno! Salve! Si può?"
    e sono tutti al bar e hanno lasciato la caserma vuota poi non possono prendersela con me!
    non+autenticato
  • > Scusa, non ho capito cosa intendi. In
    > pratica, se uno riesce a entrare e ti
    > dimostra che il tuo sistema di sicurezza fa
    > schifo, e che quindi devi rifarlo da capo,
    > la colpa è di chi è entrato? non di chi ha
    > fatto il sistema?

    Dipende dal caso, non è possibile vedere tutto o bianco o nero: come dici in altro messaggio, se non ci sono proprio protezioni è facilissimo sostenere il tuo punto di vista, ma se il sistema non è proprio un colabrodo, e occorre un certo sforzo per entrare, allora le cose cambiano. Non esistono sistemi solo perfetti o solo bucati, anche il sistema più raffinato può essere a rischio per un errore di configurazione o per una dimenticanza, un 'errore umano' insomma.

    Il sistema in scatola, perfetto, a prova di tutto, esiste solo nella mente dei rivenditori, qualsiasi esperto di sicurezza che non sia solo interessato a vendere scatole ti dirà che non basta comprare il firewall XYZ, attaccarlo e olasciarlo lì per dormire sogni tranquilli.

    > A cosa serve un sistema di sicurezza se poi
    > quando lo bucano, la colpa è di chi l'ha
    > bucato?Sorride Allora tanto vale non metterci
    > nulla.

    Anche una porta blindata può essere sfondata, disponendo degli strumenti adatti. Vogliamo dire che, visto che non è sicura al 100%, chi la sfonda non commette alcun reato?

    > Come se io a casa mia lasciassi la porta
    > aperta, se poi mi rubano in casa: è solo
    > colpa dei ladri? sono quindi loro, una volta
    > acciuffati che mi devono installare la porta
    > blindata?A bocca aperta

    Lasciare la porta aperta è un conto, lasciare delle 'ragionevoli' misure di sicurezza, è tutto un altro.

    > Io direi piuttosto che le spese di una cosa
    > del genere dovrebbero ricadere sull'azienda
    > che ha prodotto il sistema di sicurezza
    > stesso; che non dimentichiamolo, viene
    > acquistato proprio perchè dichiarato
    > inviolabile.

    Ahahahahahahahahahahahahahahahahaahhahaha! vedasi, per l'appunto, il mio commento precedente sui rivenditori di scatole. Resta il fatto che alle dichiarazioni sull'inviolabilità dei sistemi non ci crede neanche chi le fa.

    non+autenticato

  • >
    > Ahahahahahahahahahahahahahahahahaahhahaha!
    > vedasi, per l'appunto, il mio commento
    > precedente sui rivenditori di scatole. Resta
    > il fatto che alle dichiarazioni
    > sull'inviolabilità dei sistemi non ci crede
    > neanche chi le fa.
    >

    Lo so che manco loro ci credono. Però se nel capitolato c'è scritto che il sistema prevede una sicurezza di un certo livello. Se poi qualcun'altro mi dimostra che questo livello non è stato raggiunto (quando parlano di software gratuiti, intendono software alla portata di tutti, non software alla buona), è ancora valido il contratto? Una cosa quello che si dice, una quello che si scrive.
    Per riprendere il discorso della porta blindata, la porta blindata mi garantisce che per entrare si devono usare certi strumenti per un certo tempo (è proprio così, ci sono i collaudi appositi che dichiarano proprio questo). Ipotesi: si deve usare almeno un trapano con punta al diamante per 10 minuti. Se poi uno invece mi apre la porta con un coltellino nella serratura?
    non+autenticato
  • "... anche se è possibile entrare in alcuni sistemi questo non vuol dire che si abbia il diritto di farlo..."

    Esatto!
    non+autenticato

  • bene, quindi ditte e/o privati americani e non
    non devono provare ad entrarci e far sapere
    a chi di dovere che ha dei server bacati, lasciamo
    appunto che sia AlQuaida (come si scrive?) a farlo

    bisognerebbe saperne di più della notizia:
    - che tool hanno usato? hanno usato degli exploit
    o semplicemente magari un tftp su /etc/passwd?
    -l'hanno prima comunicato all'US ARMY o FBI e questi gli hanno risposto male e allora si sono
    rivolti alla stampa?

    (e non rispondetemi che se avessero avvertito le
    autorità allora non sarebbero stati perquisiti...)


    - Scritto da: Bongiorno
    > "... anche se è possibile entrare in alcuni
    > sistemi questo non vuol dire che si abbia il
    > diritto di farlo..."
    >
    > Esatto!
    non+autenticato
  • - Scritto da: Bongiorno
    > "... anche se è possibile entrare in alcuni
    > sistemi questo non vuol dire che si abbia il
    > diritto di farlo..."
    >
    > Esatto!
    nessuno puo' "entrare" in un sistema, semplicemente spedisci dei byte da una macchina ad un altra, poi se l'altra macchina risponde in un modo invece che in un altro non e' un problema tuo ma del padrone di quella macchina.
    non+autenticato


  • - Scritto da: PorcoWeb
    > - Scritto da: Bongiorno
    > > "... anche se è possibile entrare in
    > alcuni
    > > sistemi questo non vuol dire che si abbia
    > il
    > > diritto di farlo..."
    > >
    > > Esatto!
    > nessuno puo' "entrare" in un sistema,
    > semplicemente spedisci dei byte da una
    > macchina ad un altra, poi se l'altra
    > macchina risponde in un modo invece che in
    > un altro non e' un problema tuo ma del
    > padrone di quella macchina.

    ok quindi il tuo ragionamento credo che si possa applicare a qualsiasi ambito, quindi se io vado in un parcheggio e trovo la tua automobile, che per un errore nel sw della centralina d'allarme, se gli mando degli impulsi a Radio frequenza opportunamente forgiati mi apre la portiera allora sono perfettamente autorizzato a entrarci dentro farci un giro e spiaccicartela contro un palo.
    AMICO CERCA DI RAGIONARE PRIMA DI POSTARE IDIOZie.
    non+autenticato
  • NO perche' tu entri FISICAMENTE nella macchina fintanto che vuoi mandargli impulsi radio che potrebbero disattivare l'allarme va bene, il punto e' che poi non devi entrarci. in un sistema informatico tu non entri, gli invii byte e lui te ne invia punto.
    non+autenticato


  • - Scritto da: PorcoWeb
    > NO perche' tu entri FISICAMENTE nella
    > macchina fintanto che vuoi mandargli impulsi
    > radio che potrebbero disattivare l'allarme
    > va bene, il punto e' che poi non devi
    > entrarci. in un sistema informatico tu non
    > entri, gli invii byte e lui te ne invia
    > punto.

    ok io non entro in macchina ma la lascio aperta anzi scrivo sul muro che e aperta e che se vogliono aprirne altre le istruzioni apposite.

    vedi non cambia niente e un atto criminale bello e buono, e chi ci rimette sei tu che non hai più la macchina.
    non+autenticato
  • il parallelo del mondo informatico con la realta' quotidiana non ci azzecca nulla e mai ci ha azzeccato qualcosa. La gente crede che chi buca un server ci entri, come spero tu sappia non fai altro che inviare dati e riceverne altri, dato che quel sistema e' preposto anche alla ricezione dei dati non e' ovviamente un reato inviargliene, poi se il sistema ti risponde con della roba che contiene informazioni che il proprietario del sistema non vuole rendere publiche non e' colpa tua, tu non le hai 'prese'; hai inviato dati al sistema e lui te le ha inviate in risposta, punto.
    non+autenticato
  • si perché secondo te chi fa queste cose lo fa solo per hobby?

    Mai sentito parlare di spionaggio industriale, di sabotaggio? Tu scommetto che sei uno di quelli che crede che i terroristi e gli attivisti politici fanno quello che fanno senza guadagni personali?
    non+autenticato
  • maglio un azienda che ti sfotte un sistema come bucato o BIN laden che ti non ti dicce nulla ma ti ritovi con il sistema inutilizzabile ?
    senza hacker ninte internet, niente sicurezza
    tu useresti un sistema operativo per gestire dei dati senza aver fatto delle prove sul campo ?

    Il governo FBI ecc... sbagliano dando addosso a chi gli rivela i punti deboli di un sistema in modo piu o meno "lecito" ma deve ringraziare che cio e' stato fatto senza danneggiare il sistema

    se lo fa un terrorista al momento che il sistema serve e' inutilizzabile.
    Pensate se quei bachi venivano scoperti e usati dai terroristi, bin laden e i suoi che cosa potrebbe succedere ?
    Immaginate che un hacher dica: quarda che la centrele nucleare TALE permette ad un hacker di controllare la reazione a catena
    Pensate che se lo scopriva prima bin laden sarebbe ancora li ?
    Se lo fa un hacker, un azienda di sicurezza
    non fa succedere dei casini, ma avverte (in modo piu o meno plateale in nmodo da farsi un po di pubblicita') ma permette di riparare la falla.



    non+autenticato