Claudio Tamburrino

Italia, sicurezza bene Comune?

Sono ancora gravi le mancanze dei responsabili delle amministrazioni pubbliche in materia di sicurezza informatica. Anche la vicenda del Capodanno dei vigili urbani di Roma sarebbe stata complicata dal cybercrime

Italia, sicurezza bene Comune?Roma - L'università La Sapienza di Roma, insieme alla Presidenza del Consiglio, ha presentato il "Rapporto 2014 sulla cyber security nazionale": un corposo rapporto che investiga lo stato della sicurezza di Comuni, Asl, Regioni e altri enti.

In esso traspare come - nonostante la volontà di trasformare in una realtà digitale la pubblica amministrazione italiana - essa sia al momento del tutto impreparata ad affrontarne le minacce: l'analisi condotta tramite questionario su un campione di oltre 200 pubbliche amministrazioni centrali e periferiche mostra come solo in rari casi gli operatori siano opportunamente aggiornati e capaci di difendersi. Una situazione preoccupante, anche alla luce delle lungaggini che secondo alcuni affliggerebbero l'implementazione dei piani sulla cybersicurezza approvati dall'Italia lo scorso anno.

Per esempio, solo 22 amministrazioni centrali su 42, e nessuna regione, hanno raggiunto un punteggio sufficiente per livelli di difesa, consapevolezza del rischio e organizzazione. Mentre addirittura 68 Comuni dei 79 interpellati hanno mostrato condizioni definite disastrose dagli analisti, e nessuno di essi è risultato sufficientemente preparato.
Si tratta d'altra parte di una questione particolarmente urgente da affrontare viste, per esempio, le conseguenze e la diffusione di un malware che sarebbe riuscito ad infettare i computer di diversi comuni italiani, a testimonianza della veridicità dell'allarme del rapporto. L'attacco, condotto attraverso un ransomware veicolato da un finto allegato di posta elettronica denominato Compenso.pdf, prometteva di abbandonare il sistema infettato in cambio del versamento di 400 euro, rigorosamente in Bitcoin. A causa di esso le amministrazioni locali non hanno potuto emettere certificati, effettuare pagamenti e via dicendo: non tutti sembrano, peraltro, aver risolto il problema e qualche Comune ha ritenuto opportuno pagare per liberarsi.

Secondo il senatore Andrea Augello anche il caso dei vigili urbani di Roma sarebbe legato a tale attacco: una delle conseguenze dell'infezione condotta ai danni dei computer del Comune sarebbe infatti stata la manomissione del registro dei reperibili da cui sono stati selezionati i destinatari dei messaggi con cui venivano richiamati gli agenti in servizio per la notte del 31. Tra questi, infatti, a causa del virus sarebbero finiti diversi nomi di agenti che avevano correttamente preso le ferie, o addirittura già defunti o in pensione, montando in questo modo le cifre e la percentuale degli irreperibili, fino a diventare un vero e proprio scandalo mediatico.

In realtà anche nell'interrogazione parlamentare del senatore le cose si confondono, aumentando le colpe dell'Amministrazione Marino a discapito quelle dell'hacker di San Pietroburgo: il Comune di Roma, per calcolare la percentuale di assenze della notte tra il 31 dicembre e il primo gennaio avrebbe utilizzato un file "vecchio di almeno due anni, ripescato dal desktop di un funzionario, privo di qualsiasi aggiornamento rispetto al personale in ferie, cessato dal servizio, soggetto a provvedimenti disciplinari e persino ai vigili deceduti".
Tale ipotesi, peraltro, non è stata smentita per il momento né dal Campidoglio né dal Comando di via della Consolazione.

Claudio Tamburrino
Notizie collegate
  • SicurezzaRapporto Clusit, l'ascesa del cyber-crimineNuovo rapporto sulle attività dei criminali telematici stilato dal gruppo di esperti italiani nell'ambito della sicurezza europea, un rapporto a cui fa il paio un investimento delle aziende insufficiente. Ci mette una pezza l'Interpol?
  • AttualitàLa Sapienza del cybercrimineUno studio della prima università di Roma mette in luce come siano sempre di più le minacce per aziende e istituzioni. Senza collaborazione tra gli interessanti non ci sarà difesa che regga
  • AttualitàItalia, cybersicurezza di statoPubblicati in Gazzetta Ufficiale i due documenti che delineano la nuova strategia nazionale in materia di sicurezza informatica
35 Commenti alla Notizia Italia, sicurezza bene Comune?
Ordina
  • ...e nessuno a sentire i vigili...almeno ascoltiamo cosa hanno da dire.Vi chiedo solo si ascoltare cosa hanno da dire niente di piu'.

    cito una parte e il resto lo trovate casualmente solo sul sito di Beppe Grillo...tanto per cambiare...fosse la prima volta:

    lettera di David, un vigile urbano della Capitale:
    ...
    Non vi raccontano, soprattutto, che i vigili hanno dichiarato che, come forma di protesta avrebbero disertato la prestazione straordinaria volontaria di capodanno, anche perché sciopero ed assemblea non sono stati autorizzati.
    Non vi raccontano che “siccome i vigili si comprano con un caffè” , nessuno al comando ha preparato il servizio ordinario per il 31, nessuno ha sospeso richieste e riposi come prassi. Perché tanto i vigili verranno a frotte volontari, visto che la notte del 31 è ben pagata. Alla faccia dei sindacati.
    Ed invece, per la prima volta, i vigili hanno tenuto il punto, e le adesioni volontarie sono state 0 (leggi zero)
    Così Campidoglio e comando si sono trovati, a poche ore dal capodanno, nel panico più totale, per colpa della loro schifosa arroganza. E per metterci una toppa hanno commesso ogni genere di sopruso, modificando arbitrariamente turni di lavoro, cercando di richiamare abusivamente in servizio gente in ferie o a riposo. Ed utilizzando la reperibilità, strumento utilizzabile solo per catastrofi. Per gestire un concerto.
    Dall’altra parte, ovviamente, ogni genere di resistenza, lecita e meno lecita, con ogni mezzo per difendersi da una serie di porcate mai viste.
    E per giustificare questa disorganizzazione figlia della presunzione e dell‘arroganza, per giustificare l’aver tenuto le persone in servizio appiedato 19 ore, non si é trovato di meglio che sparare cifre a capocchia sui malati. 835, come ripreso anche dal premier. Solo che in quel numero c’erano anche ferie, riposi, maternità, donazioni. Oggi si parla di 44 casi sospetti, non 835. Ma per estendere il Jobs act ai pubblici dipendenti 835 suona meglio. Anche evitare di parlare della protesta è meglio.

    il resto qui:
    http://www.beppegrillo.it/2015/01/la_verita_sui_vi...
  • tutti quelli che lavorano nei sistemi informatici per le pubbliche amministrazioni sembrano santoni di Linux e dell'open source, poi quando vai a vedere i fatti si vede l'inefficienza e la debolezza di tali sistemi.
    non+autenticato
  • E che c'entra il sistema operativo con queste cose?
    non+autenticato
  • - Scritto da: Certo
    > E che c'entra il sistema operativo con queste
    > cose?

    C'entra nella misura in cui questo affare, come al solito, attacca windows.
    non+autenticato
  • - Scritto da: Uno qualunque
    > - Scritto da: Certo
    > > E che c'entra il sistema operativo con queste
    > > cose?
    >
    > C'entra nella misura in cui questo affare, come
    > al solito, attacca
    > windows.


    Rispondo qui perché altre discussioni sono state bloccate.

    Facciamo un po' di ordine: l'articolo si riferisce in particolar modo al virus CryptoLocker, un cosiddetto "RansomWare".
    CryptoLocker è progettato per sistemi Windows, e si presenta sotto forma di un eseguibile mascherato da "pdf" (per esempio) attaccato ad una email (con una tecnica di phishing), infetta i sistemi sfruttando il vecchio trucco della doppia estensione: i sistemi Windows di default nascondono le estensioni dei file associati ad una applicazione, pertanto una doppia estensione del tipo "Documento.pdf.exe" viene visualizzata come "Documento.pdf".
    L'utente cha fa doppio click sul file allegato è convinto di aprire un PDF ma in realtà sta eseguendo un file eseguibile. Se lo lancia su sistemi pre-Vista (quindi senza UAC), ed è un amministratore di sistema, il file va in esecuzione e si installa sul sistema in modo totalmente silente.
    Procede quindi a crittografare i documenti, le foto, e vari altri file, compresi i file "di rete" (solo se sono mappate delle unità di rete) per cui l'utente ha l'autorizzazione alla modifica.
    Fatto ciò chiede di pagare un riscatto mediante BitCoins per avere la chiave di decrittazione.

    Ora, come dicevo l'infezione è silente su sistemi pre-Vista; da Vista in poi l'utente (anche se è un amministratore) viene avvisato dallo UAC (se attivo, ovviamente) che l'eseguibile sta cercando di modificare il sistema. Chiaro che qui si innesca l'intelligenza dell'utente: se risponderà di bloccare l'esecuzione (ossia ragiona e capisce che un PDF non dovrebbe fa apparire lo UAC) non succede nulla, viceversa se fa l'utonto darà l'autorizzazione al malware per installarsi.
    UAC pertanto non è una soluzione assoluta, ma dipende dall'uomo, è soggetta agli errori umani.

    La soluzione a questo malware (ma in pratica a tutti i malware esistenti in Windows) è implementare le Software Restriction Policy (SRP) che ho citato in risposta a Panda Rossa, in un altro tread: configurando opportunamente le SRP a livello di dominio, anche se l'utente è amministratore non potrà mai eseguire il file, in quanto non presente nei percorsi autorizzati all'esecuzione dei programmi sicuri (tipicamente le cartelle di sistema delle applicazioni) e stabiliti nelle policy, ma siccome il file è presente in cartelle temporanee internet verrà quindi bloccato dal sistema. Il tutto indipendentemente che lo UAC sia attivo o meno, e che l'utente sia amministratore del sistema o meno.

    Le SRP inoltre NON esistono da Windows 8, come qualcuno mi ha risposto pensando di fare il "solone", ma esistono da ben prima, è solo l'articolo della TechNet che si riferisce a Windows 8 e Windows 2012.
    E prova ne è che se implementate funzionano anche su XP e 2003.

    Il problema della P.A., ma in generale delle aziende italiane, è l'incompetenza di chi dovrebbe amministrare i sistemi, di chi dovrebbe conoscerli, persone che si credono esperti ma che sono solo smanettoni, e che spesso si limitano ad installare i sistemi senza configurarli correttamente, e li espongono a vulnerabilità di ogni tipo.
    non+autenticato
  • - Scritto da: Max

    > La soluzione a questo malware (ma in pratica a
    > tutti i malware esistenti in Windows) è
    > implementare le Software Restriction Policy (SRP)
    > che ho citato in risposta a Panda Rossa, in un
    > altro tread: configurando opportunamente le SRP a
    > livello di dominio, anche se l'utente è
    > amministratore non potrà mai eseguire il file, in
    > quanto non presente nei percorsi autorizzati
    > all'esecuzione dei programmi sicuri (tipicamente
    > le cartelle di sistema delle applicazioni) e
    > stabiliti nelle policy, ma siccome il file è
    > presente in cartelle temporanee internet verrà
    > quindi bloccato dal sistema. Il tutto
    > indipendentemente che lo UAC sia attivo o meno, e
    > che l'utente sia amministratore del sistema o
    > meno.

    Se è per questo anche riscriversi completamente windows risolverebbe il problema, peccato che il sistema settato di default proprio a quanto mi dici tu inizia ad essere attivo dall 8.

    Se poi vogliamo vedere chi è più bravo ad hardizzare il proprio sistema è un'altra cosa, ma fino a che microsoft continuerà a nascodere le estensioni di default contribuirà alla diffusione dei virus come questo.
    non+autenticato
  • > Se è per questo anche riscriversi completamente
    > windows risolverebbe il problema, peccato che il
    > sistema settato di default proprio a quanto mi
    > dici tu inizia ad essere attivo dall
    > 8.

    Ma non è così, come ho detto c'erano già prima, e anche oggi non sono attive "di default" (ce lo vedi l'utonto medio a configurare sta cosa?), bensì vanno attivate nel dominio. E qui l'amministratore dovrebbe sapere cosa fare, si presume sia meglio di un utonto, ma evidentemente la media degli amministratori in Italia è (forse) al massimo un Power User, un "utonto smart".

    In ogni caso, ci voglio al massimo 10 minuti per attivarle. Il grosso viene dopo, perché esistono una miriade di applicazioni scritte coi piedi che non rispettano minimamente gli standard: per esempio, DropBox si installa in cartelle temporanee (%USERPROFILE%\AppData\Local\), gli aggiornamenti di FireFox tentano di eseguirsi in cartelle temporanee, e per giunta ogni aggiornamento usa una cartella diversa. E molte altre ti accorgi che fanno cose "strane".
    Serve un po' di "tuning" post attivazione, ma se ne esce.

    >
    > Se poi vogliamo vedere chi è più bravo ad
    > hardizzare il proprio sistema è un'altra cosa, ma
    > fino a che microsoft continuerà a nascodere le
    > estensioni di default contribuirà alla diffusione
    > dei virus come
    > questo.

    Questo è verissimo, ed infatti io attivo di default la visualizzazione delle estensioni registrate. Personalmente auspico che con Windows 10 Microsoft abiliterà le SRP anche in ambienti Home, includendole nelle Local Policy, e non solo in quelli di Dominio; se permettesse di attivarle anche a casa sarebbero utilissime ad evitare le infezioni accidentali, almeno per gli utenti un po' più evoluti dell'utonto.
    non+autenticato
  • - Scritto da: Max
    > > Se è per questo anche riscriversi
    > > completamente windows risolverebbe il
    > > problema, peccato che il sistema
    > > settato di default proprio a quanto mi
    > > dici tu inizia ad essere attivo dall
    > > 8.

    > Ma non è così, come ho detto c'erano già prima, e
    > anche oggi non sono attive "di default" (ce lo
    > vedi l'utonto medio a configurare sta cosa?),
    > bensì vanno attivate nel dominio.

    Quindi NON sono ancora attive di default, potrebbero esserlo SE ci si collega ad un dominio e SE qualcuno le ha attivate nel dominio.

    > E qui l'amministratore dovrebbe sapere cosa
    > fare, si presume sia meglio di un utonto, ma
    > evidentemente la media degli amministratori
    > in Italia è (forse) al massimo un Power
    > User, un "utonto smart".

    Anche nel caso in cui l'amministratore fosse in gamba tanto uno se la porta da casa via USB, visto che a casa queste protezioni non le hai.

    > In ogni caso, ci voglio al massimo 10 minuti per
    > attivarle. Il grosso viene dopo, perché esistono
    > una miriade di applicazioni scritte coi piedi che
    > non rispettano minimamente gli standard: per
    > esempio, DropBox si installa in cartelle
    > temporanee (%USERPROFILE%\AppData\Local\), gli
    > aggiornamenti di FireFox tentano di eseguirsi in
    > cartelle temporanee, e per giunta ogni
    > aggiornamento usa una cartella diversa. E molte
    > altre ti accorgi che fanno cose "strane".
    > Serve un po' di "tuning" post attivazione, ma se
    > ne esce.

    Non esiste che si richieda all'utente di fare tuning post attivazione !
    Se l'utente è capace, come già detto, sa già cosa fare, il grosso problema di windows rispetto agli altri SO è che di default è più debole anche a causa di questo, Sasser e Blaster non hanno insegnato nulla ? Utilizzavano porte aperte di default praticamente inutili se non usato in azienda, tanti utenti casalinghi sarebbero stati immuni ai suddetti se avessero avuto le porte inutili chiuse di default.

    > > Se poi vogliamo vedere chi è più bravo ad
    > > hardizzare il proprio sistema è un'altra
    > > cosa, ma fino a che microsoft continuerà a
    > > nascodere le estensioni di default
    > > contribuirà alla diffusione dei virus come
    > > questo.

    > Questo è verissimo, ed infatti io attivo di
    > default la visualizzazione delle estensioni
    > registrate.

    Ottimo, ma fai questa prova: un port scan ad un windows appena installato e lo stesso a un mac e un linux, troverai cose molto molto diverse. (su mac non garantisco, non l'ho mai fatto): su windows ci sono un sacco di porte aperte inutili, su linux è tutto chiuso.

    > Personalmente auspico che con Windows
    > 10 Microsoft abiliterà le SRP anche in ambienti
    > Home, includendole nelle Local Policy, e non solo
    > in quelli di Dominio; se permettesse di attivarle
    > anche a casa sarebbero utilissime ad evitare le
    > infezioni accidentali, almeno per gli utenti un
    > po' più evoluti dell'utonto.

    Ed eliminare i processi inutili, che si attivino solo SE li richiamo... Perchè il sistema deve fare il discovering della stampanti di retee tenere le porte di stampa aperte come fossi un server di stampa SE NON HO NEANCHE UNA stampante in casa ????
    non+autenticato
  • - Scritto da: Uno qualunque
    > Quindi NON sono ancora attive di default,
    > potrebbero esserlo SE ci si collega ad un dominio
    > e SE qualcuno le ha attivate nel
    > dominio.

    Esattamente, ad oggi sono ancora così.

    > Anche nel caso in cui l'amministratore fosse in
    > gamba tanto uno se la porta da casa via USB,
    > visto che a casa queste protezioni non le
    > hai.

    Non farebbe danni comunque, perché la chiavetta USB NON sarebbe un percorso abilitato.
    Per esempio, di base sappiamo bene che i programmi in Windows vengono installati nei percorsi tipo "C:\Program files" (variabile %ROGRAMFILES%) e "C:\Program files(x86)" (variabile %PROGRAMFILES(X86)%); nelle SRP pertanto di base autorizzerò questi percorsi.
    Se l'utonto si porta una chiavetta da casa (ammesso che non abbia disattivato le USB in azienda), la chiavetta avrà un percorso diverso (es. E:\), e pertanto l'eseguibile non andrà in esecuzione comunque, non essendo E:\ un percorso autorizzato.

    Se viceversa devo abilitare una applicazione che può avere percorsi differenti posso abilitarla mediante Hash o firma digitale.



    > Non esiste che si richieda all'utente di fare
    > tuning post attivazione
    > !
    > Se l'utente è capace, come già detto, sa già cosa
    > fare, il grosso problema di windows rispetto agli
    > altri SO è che di default è più debole anche a
    > causa di questo, Sasser e Blaster non hanno
    > insegnato nulla ? Utilizzavano porte aperte di
    > default praticamente inutili se non usato in
    > azienda, tanti utenti casalinghi sarebbero stati
    > immuni ai suddetti se avessero avuto le porte
    > inutili chiuse di
    > default.

    Il problema è a chi si rivolge: un sistema come Windows è sicuramente utilizzabile da chiunque non abbia la minima infarinatura informatica. In Windows se un utonto vuole installare un applicazione, una stampante o che altro, lo può fare senza bisogno di collegare prima il cervello della stampante. E' questo il vero problema.
    Ma cosa fare? Bloccare di default certe cose? Poi diventa difficile far usare il pc agli utonti, renderlo "accessibile"...

    Per me la soluzione sarebbe fare un processo di installazione più "smart", con quantomeno una installazione "di base" per utenti (l'attuale), ed una installazione "Avanzata" per utenti esperti, dove già impostare taluni blocchi e restrizioni, attivare o disattivare servizi ecc. Vero anche che in azienda questo un po' si limita, perché di norma non si fa mai una installazione "vergine", ma si parte da "template" preconfezionati, customizzati nelle impostazioni e nei software già installati, di cui si fa il deploy. Pertanto il tuning non è una operazione così frequente.


    E teniamo presente che anche un grosso problema è il fatto che siccome la maggior parte delle copie di Windows installate (a casa, ma non solo) sono "non regolari" la gente NON aggiorna il sistema, e si tiene falle scoperte da tempo. Spesso i virus (e Sasser ne è un esempio) sfruttano falle note, pubblicate da bollettini pubblici, ma siccome si sa bene che la maggior parte degli utenti casalinghi (e NON solo) NON aggiorna il sistema si va sul sicuro che la falla sarà utilizzabile, anche molto tempo dopo la sua scoperta (e risoluzione).


    > Ed eliminare i processi inutili, che si attivino
    > solo SE li richiamo... Perchè il sistema deve
    > fare il discovering della stampanti di retee
    > tenere le porte di stampa aperte come fossi un
    > server di stampa SE NON HO NEANCHE UNA stampante
    > in casa
    > ????

    Siamo sempre li, e poi l'utonto come fa ad usare il pc? come fa ad andare al MondoMedio, comprare la stampante, arrivare a casa, attaccarla e vedere che senza fare nulla funziona? Tu ce lo vedi a smanettare nei servizi di sistema, ad attivare/disattivare servizi inutili?
    Presumo che tutti abbiamo amici, che non sono "del settore", col pc a casa; quanti di loro sanno cosa stanno facendo?
    Quanti di loro, per esempio, hanno preso il virus della Polizia Postale o CryptoLocker?Occhiolino
    non+autenticato
  • - Scritto da: Max
    > - Scritto da: Uno qualunque

    > > Non esiste che si richieda all'utente di fare
    > > tuning post attivazione !
    > > Se l'utente è capace, come già detto, sa già
    > > cosa fare, il grosso problema di windows
    > > rispetto agli altri SO è che di default è più
    > > debole anche a causa di questo, Sasser e
    > > Blaster non hanno insegnato nulla ? Utilizzavano
    > > porte aperte di default praticamente inutili se
    > > non usato in azienda, tanti utenti casalinghi
    > > sarebbero stati immuni ai suddetti se avessero
    > > avuto le porte inutili chiuse di
    > > default.

    > Il problema è a chi si rivolge: un sistema come
    > Windows è sicuramente utilizzabile da chiunque
    > non abbia la minima infarinatura informatica.

    Questo non c'entra nulla, come leggerai qua sotto.

    > In Windows se un utonto vuole installare un
    > applicazione, una stampante o che altro, lo può
    > fare senza bisogno di collegare prima il cervello
    > della stampante. E' questo il vero problema.

    Ti racconto un segreto: quando installi un driver di stampa su linux (su mac non so) il sistema apre le porte necessarie leggendo le istruzioni dell'installer.

    Se installi apache il sistema apre le porte necessarie leggendo le istruzioni dell'installer.

    Se installi un software di accesso remoto il sistema apre le porte necessarie leggendo le istruzioni dell'installer.

    Se non ti serve nessuno di questi servizi, se non li installi se non li configuri, se non li cachi le porte sono chiuse.

    > Ma cosa fare? Bloccare di default certe cose? Poi
    > diventa difficile far usare il pc agli utonti,
    > renderlo "accessibile"...

    Falso, basta che le porte necessarie vengano aperte all'attivazione di un servizio o all'installazione di un software.

    > Per me la soluzione sarebbe fare un processo di
    > installazione più "smart", con quantomeno una
    > installazione "di base" per utenti (l'attuale),
    > ed una installazione "Avanzata" per utenti
    > esperti, dove già impostare taluni blocchi e
    > restrizioni, attivare o disattivare servizi ecc.

    Ci vuole un core minimale bello blindato e poi se all'utente servono servizi e programmi se li installa.

    > Vero anche che in azienda questo un po' si
    > limita, perché di norma non si fa mai una
    > installazione "vergine", ma si parte da
    > "template" preconfezionati, customizzati nelle
    > impostazioni e nei software già installati, di
    > cui si fa il deploy. Pertanto il tuning non è una
    > operazione così frequente.

    Pertanto non si parla più di quanto è robusto il sistema ma di quanto il sistemista è in grado di renderlo tale nonostante i default.

    > E teniamo presente che anche un grosso problema è
    > il fatto che siccome la maggior parte delle copie
    > di Windows installate (a casa, ma non solo) sono
    > "non regolari" la gente NON aggiorna il sistema,
    > e si tiene falle scoperte da tempo. Spesso i
    > virus (e Sasser ne è un esempio) sfruttano falle
    > note, pubblicate da bollettini pubblici, ma
    > siccome si sa bene che la maggior parte degli
    > utenti casalinghi (e NON solo) NON aggiorna il
    > sistema si va sul sicuro che la falla sarà
    > utilizzabile, anche molto tempo dopo la sua
    > scoperta (e risoluzione).

    Strano che ci siano tanti windows non originavi visto che te lo vendono con il pc.

    > > Ed eliminare i processi inutili, che si
    > > attivino solo SE li richiamo... Perchè il
    > > sistema deve fare il discovering della
    > > stampanti di retee tenere le porte di stampa
    > > aperte come fossi un server di stampa SE
    > > NON HO NEANCHE UNA stampante in casa ????

    > Siamo sempre li, e poi l'utonto come fa ad usare
    > il pc ?

    Non capisco la domanda...
    Cioè son anni che gli utonti si installano la stampante schiacciando il CD nel lettore e premendo "avanti", quale sarebbe il problema di aggiungere in uno di quegli "avanti" apri le porte necessarie invece di far andare in giro gli utenti windows con tutti i buchi aperti ?

    Tu sottovaluti gli utonti, gli utonti sono tali anche perchè gli mettono una marea di cose e poi glie le si nascondono.

    > come fa ad andare al MondoMedio, comprare
    > la stampante, arrivare a casa, attaccarla e
    > vedere che senza fare nulla funziona? Tu ce lo
    > vedi a smanettare nei servizi di sistema, ad
    > attivare/disattivare servizi inutili?

    COME SEMPRE: infila il discho e schiacchia autoplay
    Oppure: schiaccia rileva stampanti e A QUEL PUNTO il sistema apre le porte e cerca, non a caso ogni volta che accendo il pc.

    > Presumo che tutti abbiamo amici, che non sono
    > "del settore", col pc a casa; quanti di loro
    > sanno cosa stanno facendo?

    Cosa vuoi che sappiano con windows ?

    > Quanti di loro, per esempio, hanno preso il virus
    > della Polizia Postale o CryptoLocker?
    >Occhiolino

    Dei miei amici nessuno, in effetti gran parte di loro ha smesso di usare windows a parte qualche gioco.
    non+autenticato
  • - Scritto da: Uno qualunque
    > Ti racconto un segreto: quando installi un driver
    > di stampa su linux (su mac non so) il sistema
    > apre le porte necessarie leggendo le istruzioni
    > dell'installer.
    >

    Probabilmente sei rimasto a XP.
    Questo viene fatto anche in Windows da anni, da quando è "di serie" Windows Firewall in versione Vista e successivi. Se una applicazione necessita di porte specifiche aperte il setup provvede a caricare le eccezioni del firewall, e a codificare i relativi servizi necessari.
    E quando installi Windows il firewall è attivo di default, e blocca di default praticamente tutte le connessioni in ingresso. Se poi l'utente lo disattiva...

    In ogni caso le infezioni non avvengono per intrusione, stile Codice Swordfish. Le bootnet non entrano "così ", per magia nei servizi attivi, ma mediante agent che si installano (spesso contenuti nei crack di applicazioni, barre di explorer ecc) e si eseguono sul pc. È pertanto l'utente che le installa, più o meno consapevolmente.

    Il problema vero non è bloccare il traffico in uscita, ma bloccare le infezioni, perché tali malware possono anche non uscire, ma se ne ho la macchina piena sarà lenta come un cadavere. Ed Impedire l'escalation di diritti, e fare in modo che se anche un utente per errore dovesse lanciare qualche file il sistema lo impedisca.


    >
    > Ci vuole un core minimale bello blindato e poi se
    > all'utente servono servizi e programmi se li
    > installa.

    Come sopra, in parte la cosa è cosi, molti servizi anche di sistema si attivano se evocati. Il problema è che se l'utente fa infettare la macchina e quel malware necessita di servizi per funzionare, li attiva automaticamente.
    Ogni sistema, anche il più blindato, se messo in mano a chi non sa cosa fa, lo espone a vulnerabilità o attacchi, punto. Non esiste il sistema inattaccabile, ma solo un sistema ben configurato. Ovvio poi per architettura propria un sistema può essere di base più vulnerabile di un altro, ma non esiste un sistema sicuro in assoluto, che prescinda da una corretta configurazione.
    Per esempio, oggi in Windows non è necessario usare un utente amministratore (e difatti Administrator viene disabilitato di default), basterebbe uno user semplice, ed usare un amministratore solo per operazioni amministrative appunto. Ma chi lo fa a casa? Chi si mette li ogni volta che deve installare un programma a cambiare utente? O elevare i privilegi con user e password?

    Il vero problema è l'abitudine al vecchio, a come funzionava Windows fino a XP, e cambiare le abitudini è difficile.

    Quanto al preinstallato e originalità, vero ma siccome un pc può durare ben più dei 3 anni che spesso vanno da una versione ad un altra, fino a prima di Windows 8 per passare alla nuova versione si pagava. E se uno a casa non vuole pagare aggiorna il suo pc preinstallato con una copia non originale della nuova versione, che ovviamente deve cracckare. Ed ecco il problema. Per non parlare di chi lo assembla, o compra assemblati...
    non+autenticato
  • - Scritto da: Max
    > - Scritto da: Uno qualunque
    > > Ti racconto un segreto: quando installi
    > > un driver di stampa su linux (su mac non
    > > so) il sistema apre le porte necessarie
    > > leggendo le istruzioni dell'installer.

    > Probabilmente sei rimasto a XP.
    > Questo viene fatto anche in Windows da anni, da
    > quando è "di serie" Windows Firewall in versione
    > Vista e successivi. Se una applicazione necessita
    > di porte specifiche aperte il setup provvede a
    > caricare le eccezioni del firewall, e a
    > codificare i relativi servizi necessari.

    Hai fatto il port scan ?
    Windows ha il servizio di rilevazione stampanti, le cartelle condivise e 6 porte per l'assistenza remota e 8 per individuazione di servizi di rete !

    > E quando installi Windows il firewall è attivo di
    > default, e blocca di default praticamente tutte
    > le connessioni in ingresso. Se poi l'utente lo
    > disattiva...

    Ecco è il praticamente che frega...

    > In ogni caso le infezioni non avvengono per
    > intrusione, stile Codice Swordfish. Le bootnet
    > non entrano "così ", per magia nei servizi
    > attivi, ma mediante agent che si installano
    > (spesso contenuti nei crack di applicazioni,
    > barre di explorer ecc) e si eseguono sul pc.
    > È pertanto l'utente che le installa, più o
    > meno consapevolmente.

    Dipende dall'infezione, tante volte sono stati usati questi servizi attivi di default: blaster e sasser sono un esempio.

    > Il problema vero non è bloccare il traffico in
    > uscita, ma bloccare le infezioni,

    Se fosse bloccato il traffico in entrata le infezioni avrebbero minore probabilità di entrare, ad esempio blaster e sasser.

    > > Ci vuole un core minimale bello blindato
    > > e poi se all'utente servono servizi e
    > > programmi se li installa.

    > Come sopra, in parte la cosa è cosi, molti
    > servizi anche di sistema si attivano se evocati.

    In un qualsiasi altro SO ce ne sono un quarto, contali.

    > Il problema è che se l'utente fa infettare la
    > macchina e quel malware necessita di servizi per
    > funzionare, li attiva automaticamente.

    Questo vale per ogni SO ovviamente.

    > Ogni sistema, anche il più blindato, se messo in
    > mano a chi non sa cosa fa, lo espone a
    > vulnerabilità o attacchi, punto. Non esiste il
    > sistema inattaccabile, ma solo un sistema ben
    > configurato.

    Ma è quello che dicevo io, windows di default è configurato nel modo peggiore rispetto agli alti SO che si vedono in giro, poi ovvio che un bravo utente può anche riscriversi o sostituire metà SO per renderlo decente, ma non si sta più parlando di SO in quel caso, ma di abilità personale.
    non+autenticato
  • anche il caso dei vigili urbani di Roma ...

    C'è stata anche la sorella di un mio amico che ha detto di essere rimasta incinta a causa dello stesso ransomware ...
    non+autenticato
  • - Scritto da: prova123
    > anche il caso dei vigili urbani di Roma ...
    >
    > C'è stata anche la sorella di un mio amico che ha
    > detto di essere rimasta incinta a causa dello
    > stesso ransomware
    > ...

    Una volta mio cuggino ha aperto un allegato e dopo tre giorni è mmorto!

    questa storia però è incredibile e allo stesso tempo assolutamente credibile...
    chi dovrebbe pagarne le conseguenze? I dirigenti incompetenti! Chi ne pagherà le conseguenze? I cittadini e i dipendenti pubblici additati al pubblico ludibrio (per una volta) senza ragione.
    Funz
    13000
  • Scusate gente, c'e' mica qualcuno che puo' gentilmente postare un link a questo fantomatico compenso.pdf che contiene il ramsonware incriminato.

    Grazie.
  • http://www.corriere.it/tecnologia/economia-digital...

    La email che lo contiene risulta inviata dallo stesso ufficio ... solo un completo analfabeta informatico può essere colpito... nel privato se avviene una cosa simile ti cacciano a calci nel culo e ti arriva la prima lettera di "scarso rendimento", ma qui siamo nel pubblico e come ha ricordato il ministro Madia, il jobs act non si applica al pubblico impiego perchè c'è una selezione tramite concorso:

    http://www.lastampa.it/2014/12/28/italia/politica/...

    Bella selezione! E' questi hanno pagato con i soldi della collettività!!!

    Abbiamo una ministra brava e bella!
    non+autenticato
  • - Scritto da: prova123
    > http://www.corriere.it/tecnologia/economia-digital
    >
    > La email che lo contiene risulta inviata dallo
    > stesso ufficio ... solo un completo analfabeta
    > informatico può essere colpito... nel privato se
    > avviene una cosa simile ti cacciano a calci nel
    > culo e ti arriva la prima lettera di "scarso
    > rendimento", ma qui siamo nel pubblico e come ha
    > ricordato il ministro Madia, il jobs act non si
    > applica al pubblico impiego perchè c'è una
    > selezione tramite
    > concorso:
    >
    > http://www.lastampa.it/2014/12/28/italia/politica/
    >
    > Bella selezione! E' questi hanno pagato con i
    > soldi della
    > collettività!!!
    >
    > Abbiamo una ministra brava e bella!

    Mi scuso ma devo correggere alcuni punti:
    1) i soldi del riscatto sono stati raccolti tramite colletta e pagati dai dipendenti dell'ente, bisogna leggere fino alla fine. E' purtroppo abbastanza normale in quanto, semplicemente, non sono soldi che si possono mettere a bilancio, con cosa giustifichi una spesa del genere? "Riscatto apgato a cracker stranieri"?

    2) il ramsonware lo prendono tutti, anche i privati, io conosco diverse aziende che ne sono state colpite e di certo non hanno licenziato l'untore. Poichè l'attacco utilizza ingegneria sociale, spesso capita che chi lo becca sta in effetti aspettando qualcosa da SDA, è possibile che a qualcuno sfugga il tentativo di truffa. In ogni caso, nel pubblico come nel privato, se c'è stata negligenza o i regolamenti non sono stati rispettati, ci si prende un richiamo.

    3) Non voglio entrare nel discorso politico e guerra tra poveri, ma nel pubblico il jobs-act è una sciocchezza e pure a danno degli italiani tra l'altro, infatti nel pubblico si può già licenziare per diversi motivi, a parte quelli disciplinari si può licenziare anche per riorganizzazione del personale e SENZA indennizzi. Ad esempio, visto che siamo informatici, un ente può decidere di esternalizzare il CED e mandare a casa i dipendeti di tale ufficio, senza alcuna buona uscita ecc. Se poi le amministrazioni o i politici, che noi tutti votiamo, di tutte le astrazioni possibili, non lo fanno, allora poniti delle domande.
    Ricordo infine che il reintegro di un alvoratore pubblico lo decide il giudice del alvoro, che spesso e volentieri è garantista per tutti i lavoratori, sia pubblici e privati.

    Se hai dei dubbi chiedi pure.
    non+autenticato
  • - Scritto da: prova123
    > http://www.corriere.it/tecnologia/economia-digital
    >
    > La email che lo contiene risulta inviata dallo
    > stesso ufficio ...

    Si, ma io vorrei avere una copia di quel documento, per provare ad aprirlo in qualche VM e vedere quale livello di indecenza deve avere il sistema per consentire a quella roba di fare danni.

    Cioe' a sentire loro, questo file viene aperto su un client di un utente e da li', riesce a raggiungere i server e far sparire dei files.
  • - Scritto da: panda rossa
    > Scusate gente, c'e' mica qualcuno che puo'
    > gentilmente postare un link a questo fantomatico
    > compenso.pdf che contiene il ramsonware
    > incriminato.
    >
    > Grazie.
    Altri siti dicono che il vero nome del file sia "Compenso.pdf. <estensioneEseguibile> ". Molti utonti hanno il sistema configurato in modo che ometta l'estensione dei files, quindi, vedono "Compenso.pdf" e lo lanciano, per cui direi che la vulnerabilità non è nel software di visualizzazione PDF, ma come al solito nell'utonto
    non+autenticato
  • - Scritto da: _____
    > - Scritto da: panda rossa
    > > Scusate gente, c'e' mica qualcuno che puo'
    > > gentilmente postare un link a questo
    > fantomatico
    > > compenso.pdf che contiene il ramsonware
    > > incriminato.
    > >
    > > Grazie.
    > Altri siti dicono che il vero nome del file sia
    > "Compenso.pdf. <estensioneEseguibile> ".

    Ah ecco.
    Ringraziamo ancora una volta winsozz per questa porcheria.

    > Molti utonti hanno il sistema configurato in modo
    > che ometta l'estensione dei files,

    E qui ringraziamo i loro sistemisti.
    (Sempre che di sistemisti si possa parlare).

    > quindi, vedono
    > "Compenso.pdf" e lo lanciano,

    E qui subentra il test che voglio fare.
    Perche' questi fantomatici sistemi di sicurezza integrati in winsozz (UAC et similia) mi piacerebbe metterli alla prova.

    > per cui direi che
    > la vulnerabilità non è nel software di
    > visualizzazione PDF, ma come al solito
    > nell'utonto

    L'utonto e' vulnerabile per definizione.
    Quello che si puo' fare e' mettere le macchine in condizione di dire all'utonto che doppioclicca sul malware: "No, tui questa cosa non la esegui!" e mandare un alert all'assistenza tecnica aziendale.
  • - Scritto da: panda rossa
    > E qui subentra il test che voglio fare.
    > Perche' questi fantomatici sistemi di sicurezza
    > integrati in winsozz (UAC et similia) mi
    > piacerebbe metterli alla
    > prova.
    Ipotizzando un malware molto semplice, direi che con i soli privilegi dell'utente corrente può:
    1) Mettersi in esecuzione automatica per l'utente corrente
    2) Terminare le istanze di explorer.exe e taskmgr.exe create dall'utente corrente per impedire che venga ucciso
    3) Mettersi in full-screen e scrivere il messaggio minatorio del tipo "paga se rivuoi il PC"

    L'utonto medio, va sicuramente nel panico.
    non+autenticato
  • - Scritto da: _____
    > - Scritto da: panda rossa
    > > E qui subentra il test che voglio fare.
    > > Perche' questi fantomatici sistemi di
    > sicurezza
    > > integrati in winsozz (UAC et similia) mi
    > > piacerebbe metterli alla
    > > prova.
    > Ipotizzando un malware molto semplice, direi che
    > con i soli privilegi dell'utente corrente
    > può:
    > 1) Mettersi in esecuzione automatica per l'utente
    > corrente
    > 2) Terminare le istanze di explorer.exe e
    > taskmgr.exe create dall'utente corrente per
    > impedire che venga
    > ucciso
    > 3) Mettersi in full-screen e scrivere il
    > messaggio minatorio del tipo "paga se rivuoi il
    > PC"

    E criprtare tutti i dati nella sua home.

    > L'utonto medio, va sicuramente nel panico.
    non+autenticato
  • - Scritto da: Passante
    > E criprtare tutti i dati nella sua home.
    Sono parzialmente d'accordo, nel senso che secondo me è sufficiente il messaggino per mandare nel panico l'utonto
    non+autenticato
  • - Scritto da: panda rossa
    > E qui subentra il test che voglio fare.
    > Perche' questi fantomatici sistemi di sicurezza
    > integrati in winsozz (UAC et similia) mi
    > piacerebbe metterli alla
    > prova.

    http://technet.microsoft.com/it-it/library/hh83153...
    Basta sapere le cose, e come farle...
    E passa la paura...Sorride
    non+autenticato
  • - Scritto da: Max
    > - Scritto da: panda rossa
    > > E qui subentra il test che voglio fare.
    > > Perche' questi fantomatici sistemi di
    > sicurezza
    > > integrati in winsozz (UAC et similia) mi
    > > piacerebbe metterli alla
    > > prova.
    >
    > http://technet.microsoft.com/it-it/library/hh83153
    > Basta sapere le cose, e come farle...
    > E passa la paura...Sorride

    Si applica a: Windows 8...
    Alla faccia, ci siete arrivati finalmente, apparmour quando vi decidete a implementarlo ? Aspettate windows 64 ?
    non+autenticato