In Italia la sicurezza è un optional

Ne parla un lettore, secondo cui persino le aziende che vivono della rete riescono a chiudere un occhio sulle proprie gravi vulnerabilità di sistema. Tutti in attesa del grande botto?

Roma - Buongiorno redazione, sono un vostro affezionato lettore ormai da tre anni, mi occupo di informatica, tra le mie principali specializzazioni esiste il mondo della sicurezza anche perché da "giovane dentro" sono tuttora affascinato nel trovare debolezze e limiti di ciò che ci sta attorno (lo facevo da piccolo con i giochi... ed ora da grande è diventato un lavoro).

Vi scrivo perchè ho notato in un solo numero due preoccupanti articoli legati alla sicurezza quello riguardo al sito della CGIL e quello riguardo al Test Americano.

Tra i lavori che svolgo con maggior interesse esistono quelli che vengono chiamati Pen-Test e quando mi capita di proporre ad una azienda presente su internet in modo importante (e-commerce, informazioni utenti, documenti riservati ecc.) un Test di questo tipo perdipiù offerto gratuitamente, 9 volte su 10 mi ritrovo delle "non risposte". Tutto questo sarebbe normale se fossero chiesti centinaia di Euro a fronte di un test che potrebbe essere fatto in 1000 modi non seri, risulta semplice dire "effettuo il test" e poi alla fine riportare un papiro con scritto "tutto ok" e dover anche pagare qualche centinaio di Euro. Ma è mia abitudine proporlo gratuitamente e richiedere il pagamento solo a fronte di problemi di una certa gravità rilevati, cose come: possibilità di bloccare le macchine, informazioni riservate visibili, asportazione di sorgenti, ecc.ecc.. Il tutto ovviamente a fronte di una liberatoria per autorizzare lo stesso test.

Bene, detto questo è incredibile come non ci sia alcun senso del rischio che si corre, che le aziende si fidano ciecamente di sistemisti interni o di personale che li rassicuri sulla "corazza di ferro" che li difende, ci si fida senza prendere alcuna precauzione su ciò che viene detto... "tanto ho un firewall", questo va bene se io ho la mia paginetta di presentazione, ma quando l'azienda VIVE grazie ad internet è pura follia!

Su qualche decina di test effettuati fino ad ora ho rilevato 9 volte su 10 problemi di sicurezza GRAVI, su siti di importanza nazionale dove MAI avrei pensato di trovare buchi del genere! Problemi sistemabili con poche ore di manutenzione e che richiederebbero semplicemente un po? di attenzioni.
Qualche esempio tra i più evidenti?

Codici Asp/Php che permettono di passare File come variabili ai quali è sufficiente passare lo stesso file asp per vedere il sorgente;
Variabili passate a cui non viene effettuato alcun parsing. Questo permette di lanciare comandi molto pericolosi su database;
Directory fuori dal web raggiungibili utilizzando bachi di IIS o di Apache e così ce ne sarebbero centinaia di migliaia solo sul web.
Senza citare i problemi su firewall, altre porte aperte ecc. ecc.

Sono sinceramente meravigliato del come mai fino ad ora non sia accaduto niente di grave! Fino ad adesso gli attacchi più noti si sono limitati al defacement e questo di certo a parte un po' di immagine sporcata non porta a niente di grave, ma sempre più aziende fanno di internet il loro business primario; e come ci si difende dai furti? Chiudendo le porte a chiave: la stessa cosa dovrebbe essere fatta su internet.

Il mio è un semplice sfogo, forse perchè temo seriamente che presto o tardi qualcosa di grosso accada. E come al solito noi italiani aspettiamo sempre "il dopo" per dire "potevo pensarci prima". A volte basterebbe un po' di attenzione in più ed affidarsi a chi, per giunta gratuitamente, vi può rassicurare che "tutto è a posto".

Buon lavoro

Roberto Esposito
TAG: italia
53 Commenti alla Notizia In Italia la sicurezza è un optional
Ordina
  • Se riesci a tappare le falle di sicurezza come scrivi devi essere proprio un super-espertone!!!:D

    http://www.a4tech.it/pen-test.php

    La possibilità di modifiche hai database utilizzati...

    Ringrazia punto informatico per la pubblicità che ti ha fatto...
    Te la sei giocata male, la prima pagina del tuo sito parla di Visual Basic e C++ come linguaggi interpretati...
    Un persona che capisce appena qualcosa scappa inorridita...
    Senza contare il resto....

    mio dio.....

    TrollTrollTroll
    non+autenticato

  • - Scritto da: Anonimo

    > http://www.a4tech.it/pen-test.php

    > Ringrazia punto informatico per la
    > pubblicità che ti ha fatto...

    Ma scusa, il link al suo sito l'hai messo tu!

    > Senza contare il resto....
    >
    > mio dio.....
    >
    > TrollTrollTroll

    Io non conosco nessuno di voi due, ma questo Esposito ti ha fatto qualcosa di male per attaccarlo così?
    Si possono condividere le sue idee o meno, ma almeno lui ha risposto sempre in modo ragionevole e pacato!
    KCM
    201
  • per avere spiegazioni consulta il "BULLETTIN".:D
    non+autenticato
  • Ciao,
    la sicurezza informatica come tutti noi la pensiamo e' inutile o meglio e' inutile se non supportata da uno studio alle spalle.
    Io mi sto iniziando ad occupare in questo periodo di sicurezza dell'informazione per la mia tesi di laurea e mi sto rendendo conto di quanto sia inutile avere avere decine di migliaia di euro investiti in hardware, se poi non si e' pensato alla miriade di modi in cui i dati possono venire trafugati/danneggieti/essere temporaneamente irreperibili ecc...
    Come sempre in Italia parlare di Isec e' parlare arabo ma va tanto di moda il firewall, il router e il server linux...

    Cito una statistica che mi aveva lasciato molto stupito quando la lessi e di cui non riporto la fonte perche' non la ricordo:
    oltre il 50% degli attacchi subiti da aziende americane proviene dall'interno !!!

    Se qualcuno fosse interessato esiste anche una ISO che regola una parte della sicurezza dell'informazione (ISO 17799) e un norma BS (British Standard) 7799 Part II che e' in via di standarizzazione da parte dell'ISO stessa.

    MS
    PS: visto che ci sono mi faccio anch'io un po' di pubblicità poichè sto cercando un'azienda nel Veneto o Friuli-Venezia-Giulia che sia disposta a farsi preparare tutte le procedure e compilare i moduli per una eventuale certificazione ISO17799 e che mi lasci inserire tale esperienza nella tesi.
    non+autenticato
  • A proporre i propri servizi partendo da un sito web che manco funziona correttamente (Broken Link), senza considerare le bestialità scritte sul sito tipo: linguaggio interpretato C++???
    a me pare che sia un linguaggio compilato!!
    Inoltre al di là delle polemiche sulle forme ed i contenuti del sito Come professionista che lavora da anni nel campo della Sicurezza io penso che il problema della sicurezza sia bilaterale ovvero gli utenti ci mettono del loro ignorando qualunque rischio o norma di comportamento sicuro, ma temo che anche le innumerevoli società(molto spesso societa di networking riciclate) che negli ultimi tempi si propongono come maghi della sicurezza o quant'altro non facciano altro che abbassare il livello qualitativo dei servizi offerti dai professionisti e di conseguenza la fiducia dell'utente verso queste problematiche cala sicuramente.
    Ciao
    non+autenticato
  • - Scritto da: Anonimo
    > il problema della sicurezza sia
    > bilaterale ovvero gli utenti ci mettono del
    > loro ignorando qualunque rischio o norma di
    > comportamento sicuro, ma temo che anche le
    > innumerevoli società(molto spesso societa di
    > networking riciclate) che negli ultimi
    > tempi si propongono come maghi della
    > sicurezza o quant'altro non facciano altro
    > che abbassare il livello qualitativo dei
    > servizi offerti dai professionisti e di
    > conseguenza la fiducia dell'utente verso
    > queste problematiche cala sicuramente.
    > Ciao

    ma non ci sono titoli specifici per l'idoneità a svolgere questi compiti delicatissimi?

    se non ci sono lo credo bene che l'utente non si fida




    ==================================
    Modificato dall'autore il 27/11/2003 16.39.26
    non+autenticato
  • Quasi tutto quello che è stato detto è giusto, pongo un altro punto di vista :

    che il sito del fantomatico provider venga "sforacchiato" e bloccato, che il famoso sito della banca x venga violato e buttato giù o ancora che il portalone di aste venga oscurato può anche essermi indifferente, il problema è che spesso in questi sistemi ci sono i MIEI dati, la MIA e-mail, il MIO numero di telefono, il numero della MIA carta di credito e questo se permettete mi fa molto girare le ....

    enrico
    non+autenticato
  • Con l'abbassamento dei prezzi per l'housing e hosting, l'aumento degli script kiddies e degli utonti che utilizzano strumenti per Internet, un tecnico si trova a dover seguire molti piu' server di prima che contengono molti piu' utenti di prima che pretendono molti piu' servizi di prima.

    I test di sicurezza e' l'ultima cosa di cui ci si occupa quando si ha tempoTriste

    Per chi dirige contano solo i nuovi contratti e mantenere i vecchi il piu' possibile senza esagerare in modo che clienti rompi-scatole o che pretendono troppo se ne vadano presto.

    Altro che tecnici, siamo gli operai della new-economy.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 18 discussioni)