Il giorno 08 apr 2016, alle ore 17:24, Mr. P|pex <gianluca@pipex.name> ha scritto:
> Premessa che non mi occupo di web in questa azienda;
> ieri il "sistemista" ha ricevuto una telefonata - da una azienda di consulenza non loro fornitore - che lo informava relativamente a problemi di sicurezza del loro portale aziendale.
> La reazione è stata di sdegno e di rifiuto della possibile "consulenza"; si è alterato perchè questa azienda ha fatto un penetration test nei loro confronti non richiesto.
Sul momento immagino che girerebbero le balle a chiunque, ma forse è più consigliabile fare un bel respiro profondo ed analizzare la cosa con calma :)
> In questi casi la situazione risulta delicata, chi trova un problema come farebbe a segnalare la cosa senza essere accusato di penetration test (se mai per legge sia considerata attività criminale) ?
> e lato azienda sono anche loro "colpevoli" di non mantenere "riservate" le informazioni? non hanno fatto "di tutto" per preservare i dati da terzi.
Non ho la minima idea delle implicazioni legali quindi esprimo il mio parere da un punto di vista puramente tecnico.
Quel tipo di “penetration test”, supponendo che sia stato fatto con attenzione a non creare problemi al servizio ma solo a constatare lo stato in cui si trova, non ha fatto altro che consultare qualcosa di liberamente accessibile.
Quando un'azienda pubblica qualcosa sul web o comunque su internet, dovrebbe poi ricordarsi del significato del termine “pubblicare” :)
Se io visito l'url https://www.ssllabs.com/ssltest/analyze.html?d=www.skype.com sto facendo qualcosa di (legalmente|eticamente) sbagliato?
O lo sta facendo ssllabs?
Se la vulnerabilità rilevata è dovuta ad una mancata applicazione delle best practice (eg. configurazioni di default, mancata installazione degli aggiornamenti, etc) l’azienda è colpevole eccome. E, credo, anche dal punto di vista legale se ci sono di mezzo dati personali.
Per citare un esempio recente: http://www.wired.co.uk/news/archive/2016-04/06/panama-papers-mossack-fonseca-website-security-problems
Giusto o sbagliato che sia, se il “proponente” ha agito assicurandosi di non recare danno, ha fatto una cosa cattiva?
Se fosse cattiva, allora non lo dovrebbe essere anche tutto il lavoro della community sulla sicurezza, quando riportano i bug ai vendor? (full disclosure, coordinated disclosure, o qualsiasi altra politica)
E se quella fosse cattiva allora per estensione lo dovrebbe essere ancor di più la pratica di alcuni vendor “illuminati” di offrire ricompense a chi trova e segnala difetti nei loro prodotti.
Per come la penso io, se non vuoi che io veda che ti sei dimenticato un fornello acceso, non devi lasciare la porta di casa tua aperta con vista libera dal marciapiede :)
> Stamattina il sistemista ha però informato il responsabile che ci sono un paio di problemi relativi al loro web. Da quanto ho capito non sono proprio corsi ai ripari, chiederanno ad un fornitore di fiducia sistemare le cose.
Per quello che so leggendo semplicemente il tuo messaggio, l’azienda sta avendo un reale e tangibile vantaggio (l’essere a conoscenza del problema di sicurezza) grazie alla segnalazione di cui sopra: come minimo dovrebbero sentirsi in debito di un caffè ed un grazie.
--
Luca Lesinigo
_______________________________________________
Talking mailing list
Talking@ml.linuxvar.it
http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking
_______________________________________________ Talking mailing list Talking@ml.linuxvar.it http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking