[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux_var] in-sicurezza in azienda

To: talking@ml.linuxvar.it
Subject: Re: [linux_var] in-sicurezza in azienda
From: Elena ``of Valhalla'' <valhalla-l@trueelena.org>
Date: Fri, 8 Apr 2016 19:08:28 +0200
Authentication-results: mx.google.com; dkim=pass header.i=@ml.linuxvar.it; spf=pass (google.com: domain of talking-bounces@ml.linuxvar.it designates 79.143.178.54 as permitted sender) smtp.mailfrom=talking-bounces@ml.linuxvar.it
Delivered-to: unknown
Delivered-to: jacopogg83@gmail.com
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=ml.linuxvar.it; s=mail; t=1460135328; bh=TUGiqywZ2qsvBDf4iRe0ZuwZRdqgtnyTi9R9rR56y8k=; h=Date:From:To:References:In-Reply-To:Subject:List-Id: List-Unsubscribe:List-Archive:List-Post:List-Help:List-Subscribe: Reply-To; z=Date:=20Fri,=208=20Apr=202016=2019:08:28=20+0200|From:=20Elena=20 ``of=20Valhalla''=20<valhalla-l@trueelena.org>|To:=20talking@ml.li nuxvar.it|References:=20<CAFzX3+fATWKFqdxtW3rfi6v7iwbkhKHnt3qtKSpM d=3DsQBLtEPQ@mail.gmail.com>|In-Reply-To:=20<CAFzX3+fATWKFqdxtW3rf i6v7iwbkhKHnt3qtKSpMd=3DsQBLtEPQ@mail.gmail.com>|Subject:=20Re:=20 [linux_var]=20in-sicurezza=20in=20azienda|List-Id:=20linux_var=20- =20LUG=20di=20Varese=20e=20Provincia=20Mailing=20List=0D=0A=20<tal king.ml.linuxvar.it>|List-Unsubscribe:=20<http://ml.linuxvar.it/cg i-bin/mailman/options/talking>,=0D=0A=20<mailto:talking-request@ml .linuxvar.it?subject=3Dunsubscribe>|List-Archive:=20<http://ml.lin uxvar.it/pipermail/talking/>|List-Post:=20<mailto:talking@ml.linux var.it>|List-Help:=20<mailto:talking-request@ml.linuxvar.it?subjec t=3Dhelp>|List-Subscribe:=20<http://ml.linuxvar.it/cgi-bin/mailman /listinfo/talking>,=0D=0A=20<mailto:talking-request@ml.linuxvar.it ?subject=3Dsubscribe>|Reply-To:=20linux_var=20-=20LUG=20di=20Vares e=20e=20Provincia=20Mailing=20List=0D=0A=20<talking@ml.linuxvar.it >; b=o7nxv+1Ziq0Yrmxfyyj+UdXm4EAAoTm/tkNDCwSnDhvq/nyDfboXPGDNXqabWuMil 2678sIBIoO5HU6c3tjNpISp0qFkGgkw7u/AQlNAfqRJ2IazGTVlqQyQs264tngEsU0 jf3nmQoA6ePqCn5N0Ft6gGN769/oP2e/0b2wmNvE=
In-reply-to: <CAFzX3+fATWKFqdxtW3rfi6v7iwbkhKHnt3qtKSpMd=sQBLtEPQ@mail.gmail.com>
List-archive: <http://ml.linuxvar.it/pipermail/talking/>
List-help: <mailto:talking-request@ml.linuxvar.it?subject=help>
List-id: linux_var - LUG di Varese e Provincia Mailing List <talking.ml.linuxvar.it>
List-post: <mailto:talking@ml.linuxvar.it>
List-subscribe: <http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking>, <mailto:talking-request@ml.linuxvar.it?subject=subscribe>
List-unsubscribe: <http://ml.linuxvar.it/cgi-bin/mailman/options/talking>, <mailto:talking-request@ml.linuxvar.it?subject=unsubscribe>
Mail-followup-to: talking@ml.linuxvar.it
References: <CAFzX3+fATWKFqdxtW3rfi6v7iwbkhKHnt3qtKSpMd=sQBLtEPQ@mail.gmail.com>
Reply-to: linux_var - LUG di Varese e Provincia Mailing List <talking@ml.linuxvar.it>
Sender: "Talking" <talking-bounces@ml.linuxvar.it>
User-agent: Mutt/1.5.24 (2015-08-30)

On 2016-04-08 at 17:24:28 +0200, Mr. P|pex wrote:
> Premessa che non mi occupo di web in questa azienda;
> ieri il "sistemista" ha ricevuto una telefonata - da una azienda di
> consulenza non loro fornitore -  che lo informava relativamente a problemi
> di sicurezza del loro portale aziendale. [...]
> In questi casi la situazione risulta delicata, chi trova un problema come
> farebbe a segnalare la cosa senza essere accusato di penetration test (se
> mai per legge sia considerata attività criminale) ?

Sinceramente anche a me pare sospetto il comportamento di un azienda di
consulenza che, non richiesta, fa un pentest di un sistema altrui.

Probabilmente è solo un caso di marketing indirizzato male, ma in un
caso del genere mi chiederei perché mai un azienda di consulenza
dovrebbe fare lavoro non pagato per qualcuno che non è neanche loro
cliente? Cosa si aspettano di ottenere?

Diverso è ovviamente il caso di una segnalazione di problemi di cui una
persona un minimo esperta potrebbe accorgersi con una visita casuale:
"sono stato sul vostro sito, ho visto che usate
$VERSIONE_WORDPRESS_DI_DUE_MESI_FA, guardate che ha delle vulnerabilità"
è un conto, "ho analizzato a fondo tutto il vostro sito e ho trovato che
all'indirizzo $SITO/$LINK_CHE_NEANCHE_E`_PUBBLICATO, se si inserisce
$STRINGA_OTTENUTA_CON_DUE_ORE_DI_FUZZYNG si riesce a sfruttare una
vulnerabilità" è decisamente un altro.

> e lato azienda sono anche loro "colpevoli" di non mantenere "riservate" le
> informazioni? non hanno fatto "di tutto" per preservare i dati da terzi.
> 
> Stamattina il sistemista ha però informato il responsabile che ci sono un
> paio di problemi relativi al loro web. Da quanto ho capito non sono proprio
> corsi ai ripari, chiederanno ad un fornitore di fiducia sistemare le cose.

beh, anche qui dipende molto dalla situazione: di sicuro l'azienda deve
provvedere a sistemare le vulnerabilità in qualunque modo ne sia venuta
a conoscenza, e se il sito in questione è stato sviluppato da questo
fornitore rivolgersi a lui mi pare la cosa più naturale.

L'urgenza con cui farlo dipende anche dalla gravità della vulnerabilità,
dal tipo di dati presenti ed altri fattori che rendono difficile sapere
a che punto si trovano nel range tra "han fatto la cosa giusta" e "sono
degli incoscienti tendenti al criminale".

-- 
Elena ``of Valhalla''
_______________________________________________
Talking mailing list
Talking@ml.linuxvar.it
http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking

References:
- [linux_var] in-sicurezza in azienda
  - From: "Mr. P|pex" <gianluca@pipex.name>

Prev by Date: Re: [linux_var] in-sicurezza in azienda
Next by Date: Re: [linux_var] in-sicurezza in azienda
Previous by thread: Re: [linux_var] in-sicurezza in azienda
Next by thread: Re: [linux_var] in-sicurezza in azienda
Index(es):
- Date
- Thread