Roma – Si terrà all’ES Hotel, presso la Conference Room, di via Turati 171 a Roma il 4,5 e 6 dicembre il convegno internazionale Sulle tracce del futuro: Arte, Comunicazione e cultura nella civiltà digitale .
All’appuntamento parteciperanno nomi molto noti agli utenti italiani, tra i quali Nicholas Negroponte, Paolo Attivissimo, Bernardo Parrella, Helena Velena e Massimo Di Giannantonio, Emilio Carelli. Interverranno anche il ministro delle Comunicazioni Gasparri, Alberto Abruzzese, Daniele La Barbera, Massimo Melica, Marco Strano e altri ancora.
Nella tre giorni romana previsti anche dibattiti, performance e proiezioni sul tema.
leggi i 56 commenti
-
[OT] Impara a scrivere
Se riesci a tappare le falle di sicurezza come scrivi devi essere proprio un super-espertone!!!:Dhttp://www.a4tech.it/pen-test.phpLa possibilità di modifiche hai database utilizzati...Ringrazia punto informatico per la pubblicità che ti ha fatto...Te la sei giocata male, la prima pagina del tuo sito parla di Visual Basic e C++ come linguaggi interpretati...Un persona che capisce appena qualcosa scappa inorridita...Senza contare il resto....mio dio.....(troll)(troll)(troll)-
Re: [OT] Impara a scrivere
- Scritto da: Anonimo
http://www.a4tech.it/pen-test.php
Ringrazia punto informatico per la
pubblicità che ti ha fatto...Ma scusa, il link al suo sito l'hai messo tu!
Senza contare il resto....
mio dio.....
(troll)(troll)(troll)Io non conosco nessuno di voi due, ma questo Esposito ti ha fatto qualcosa di male per attaccarlo così?Si possono condividere le sue idee o meno, ma almeno lui ha risposto sempre in modo ragionevole e pacato!-
Re: [OT] Impara a scrivere
per avere spiegazioni consulta il "BULLETTIN".:D
-
-
-
La sicurezza informatica e' inutile !!!
Ciao,la sicurezza informatica come tutti noi la pensiamo e' inutile o meglio e' inutile se non supportata da uno studio alle spalle.Io mi sto iniziando ad occupare in questo periodo di sicurezza dell'informazione per la mia tesi di laurea e mi sto rendendo conto di quanto sia inutile avere avere decine di migliaia di euro investiti in hardware, se poi non si e' pensato alla miriade di modi in cui i dati possono venire trafugati/danneggieti/essere temporaneamente irreperibili ecc...Come sempre in Italia parlare di Isec e' parlare arabo ma va tanto di moda il firewall, il router e il server linux...Cito una statistica che mi aveva lasciato molto stupito quando la lessi e di cui non riporto la fonte perche' non la ricordo:oltre il 50% degli attacchi subiti da aziende americane proviene dall'interno !!!Se qualcuno fosse interessato esiste anche una ISO che regola una parte della sicurezza dell'informazione (ISO 17799) e un norma BS (British Standard) 7799 Part II che e' in via di standarizzazione da parte dell'ISO stessa.MSPS: visto che ci sono mi faccio anch'io un po' di pubblicità poichè sto cercando un'azienda nel Veneto o Friuli-Venezia-Giulia che sia disposta a farsi preparare tutte le procedure e compilare i moduli per una eventuale certificazione ISO17799 e che mi lasci inserire tale esperienza nella tesi. -
Ma come si fa...
A proporre i propri servizi partendo da un sito web che manco funziona correttamente (Broken Link), senza considerare le bestialità scritte sul sito tipo: linguaggio interpretato C++???a me pare che sia un linguaggio compilato!!Inoltre al di là delle polemiche sulle forme ed i contenuti del sito Come professionista che lavora da anni nel campo della Sicurezza io penso che il problema della sicurezza sia bilaterale ovvero gli utenti ci mettono del loro ignorando qualunque rischio o norma di comportamento sicuro, ma temo che anche le innumerevoli società(molto spesso societa di networking riciclate) che negli ultimi tempi si propongono come maghi della sicurezza o quant'altro non facciano altro che abbassare il livello qualitativo dei servizi offerti dai professionisti e di conseguenza la fiducia dell'utente verso queste problematiche cala sicuramente.Ciao-
Re: idoneità
- Scritto da: Anonimo
il problema della sicurezza sia
bilaterale ovvero gli utenti ci mettono del
loro ignorando qualunque rischio o norma di
comportamento sicuro, ma temo che anche le
innumerevoli società(molto spesso societa di
networking riciclate) che negli ultimi
tempi si propongono come maghi della
sicurezza o quant'altro non facciano altro
che abbassare il livello qualitativo dei
servizi offerti dai professionisti e di
conseguenza la fiducia dell'utente verso
queste problematiche cala sicuramente.
Ciaoma non ci sono titoli specifici per l'idoneità a svolgere questi compiti delicatissimi?se non ci sono lo credo bene che l'utente non si fida==================================Modificato dall'autore il 27/11/2003 16.39.26
-
-
Altro punto di vista
Quasi tutto quello che è stato detto è giusto, pongo un altro punto di vista :che il sito del fantomatico provider venga "sforacchiato" e bloccato, che il famoso sito della banca x venga violato e buttato giù o ancora che il portalone di aste venga oscurato può anche essermi indifferente, il problema è che spesso in questi sistemi ci sono i MIEI dati, la MIA e-mail, il MIO numero di telefono, il numero della MIA carta di credito e questo se permettete mi fa molto girare le ....enrico -
La grammatica
Accipicchia! Sarai anche tecnicamente preparato, ma un ripassino di italiano non ti farebbe male. La punteggiatura non è un optional -
Sempre piu' difficile...
Con l'abbassamento dei prezzi per l'housing e hosting, l'aumento degli script kiddies e degli utonti che utilizzano strumenti per Internet, un tecnico si trova a dover seguire molti piu' server di prima che contengono molti piu' utenti di prima che pretendono molti piu' servizi di prima.I test di sicurezza e' l'ultima cosa di cui ci si occupa quando si ha tempo :(Per chi dirige contano solo i nuovi contratti e mantenere i vecchi il piu' possibile senza esagerare in modo che clienti rompi-scatole o che pretendono troppo se ne vadano presto.Altro che tecnici, siamo gli operai della new-economy. -
E il nocciolo ... ?
Si parla di PI che fa pubblicità, di Esposito che fa pubblicità, di capacità o meno di effettuare i test, si parla di cento boiate ....MACHISSENEFREGA!!!... il problema della sicurezza rimane!La realtà è che in Italia nessuno (o quasi) vuole investire in sicurezza. Viene ritenuta una cosa inutile, quell'evento che "figurati se capita proprio a me!". Purtroppo è così, si pensa sempre dopo alla prevenzione (il massimo della contraddizione) ... ma... se posso capirlo da un privato, non lo accetto da un Ente pubblico o da una grossa azienda responsabile di dati sensibili e quant'altro.Chiunque lavora nel settore della sicurezza hardware e software sa benissimo che la maggior parte dei sistemi sono attaccabilissimi, come sa benissimo che convincere il cliente a spendere in sicurezza è un'impresa titanica.Per quanto mi riguarda, io sto quà ed aspetto! Prima consiglio, poi vengo ignorato, poi succede il guaio, poi riparo, poi ridò il consiglio e spesso vengo nuovamente ignorato ..... e intanto riparo! Cosa posso farci se l'utonto non mi vuole ascoltare? Lavorare gratis? No cari miei, o la gente si sveglia o paga! (che lunedì c'è pure l'acconto da versare!)-
Re: E il nocciolo ... ?
Che dire... mi trovi completamente d'accordo con te...(sopratutto su lunedi! aime!)Ha suscitato più scalpore quel "lavorare gratis" che tutto il resto, se poi si va a vedere, era una provocazione, si un Pen-Test gratis, ma solo in caso non si rilevano problemi di sicurezza.......e secondo Voi quante volte NON si rilevano problemi di sicurezza ???Roberto- Scritto da: KCM
Si parla di PI che fa pubblicità, di
Esposito che fa pubblicità, di capacità o
meno di effettuare i test, si parla di cento
boiate ....MACHISSENEFREGA!!!... il problema
della sicurezza rimane!
La realtà è che in Italia nessuno (o quasi)
vuole investire in sicurezza. Viene ritenuta
una cosa inutile, quell'evento che "figurati
se capita proprio a me!". Purtroppo è così,
si pensa sempre dopo alla prevenzione (il
massimo della contraddizione) ... ma... se
posso capirlo da un privato, non lo accetto
da un Ente pubblico o da una grossa azienda
responsabile di dati sensibili e
quant'altro.
Chiunque lavora nel settore della sicurezza
hardware e software sa benissimo che la
maggior parte dei sistemi sono
attaccabilissimi, come sa benissimo che
convincere il cliente a spendere in
sicurezza è un'impresa titanica.
Per quanto mi riguarda, io sto quà ed
aspetto! Prima consiglio, poi vengo
ignorato, poi succede il guaio, poi riparo,
poi ridò il consiglio e spesso vengo
nuovamente ignorato ..... e intanto riparo!
Cosa posso farci se l'utonto non mi vuole
ascoltare? Lavorare gratis? No cari miei, o
la gente si sveglia o paga! (che lunedì c'è
pure l'acconto da versare!) -
Re: E il nocciolo ... ?
IL PROBLEMA è innanzitutto nel fornitore del servizio, che si disinteressa della sicurezza a fronte dell'usabilità di stupidaggini come un pannello intuitivo per la gestione del proprio spazio "ospitato" dal fornitore, del controllo delle statistiche etc etc pannello che è in genere un programma stupido costoso e che poco si adatta a librerie aggiornate, demoni patchati e via discorrendo e che costringe quindi l'amministratore semi-serio dopo varie scaramucce col "capo" ad abbandonare l'idea seria di cercare di sostenere un grado di sicurezza appropriato alla macchina da lui guidata per PAZIENZA PERSA. Quando poi, il primo script-kid che passa di lì metterà in esecuzione il programmino già pronto per attaccare la macchina e farne ciò che vuole, arriveranno le lamentele del fornitore. GUARDIA E LADRI?! No, semplicemente SUPERFICIALITA' E IGNORANZA di molti fornitori. Perdonate il mio lessico inappropriato, saluti...-
Re: E il nocciolo ... ?
- Scritto da: AnonimoGUARDIA E LADRI?! No,
semplicemente SUPERFICIALITA' E IGNORANZA di
molti fornitori. Perdonate il mio lessico
inappropriato, saluti.Superficialità ed ignoranza di molti fornitori e molti clienti, non dimentichiamoci. In questo momento manca la preparazione da ambo le parti. Se tu (in senso generico) sai cosa vuoi non devi far altro che cercare il giusto fornitore. Al momento invece ci si basa unicamente sul prezzo e sul R.O.I. più veloce possibile. Ribadisco, io i consigli giusti li dò, poi, se tra una cosa seria da 1000? ed una boiata da 100? viene quasi sempre scelta la boiata .... che posso farci? Io mi limito al momento a non vendere porcate, ma ti garantisco che è un bel sacrificio con il rischio di fallimento sempre dietro l'angolo.
-
-
-
Allarmismo ingiustificato
Il tizio del pezzo fa allarmismo ingiustificato e si dimentica il fattore principale: costi/benefici.Nel 99% dei casi, ammesso che succeda qualche cosa come lo stesso autore afferma in fondo (e io mi stupisco che lui si stupisca del fatto che sono pochissimi quelli con le conoscenze per fare danni, ed in genere chi le ha ha un'etica sufficiente per non fare danni comunque...), costa meno sistemare il danno (anche calcolando l'indotto) che prevenirlo su base paranoica.Mi unisco poi a chi dice che le porte aperte di per sè non sono un pericolo, come alcune delle cose citate nel'articolo.Il mondo della security è molto simile a quello dell' Y2K bug: hype a manetta, allarmismo ingiustificato pur di piazzare pen test e prodotti inutili (se non dannosi a conti fatti) come i personal firewall.That's all.-
Re: Allarmismo ingiustificato
In realtà il tuo ragionamento è giusto solo in linea di principio,il "costa meno riparare che prevenire" dipende molto dal tipo di azienda che c'è dietrodi certo sul mio PC personale è così, su molti siti istituzionali (paginetta statica o poco +) è cosìUn discorso è per un'azienda ritrovarsi le macchine inutilizzabili, ma su quelle macchine girava IIS con un sito di 4 pagine statiche....Un'altro discorso è ritrovarsi le macchine inutilizzabili ed il Database azzerato per un sito di e-commerce che VIVE di questo, magari dove dietro c'è Exchange e tutto è sparito, o cartelle personali importanti o molto altro!non dimenticate che ci sono realtà (e sono moltissime) che dietro a quel firewall mal configurato (è solo un'esempio il firewall) hanno un server magari con password vuota e da li un'intera azienda...Secondo me è molto importante che ogni azienda faccia le sue valutazioni.... mi fa un pò specie che realtà importanti nell'e-commerce, realta universitarie, statali, aziende che trattano documenti riservati (ospedali, ecc) e molto altro siano assolutamente "SORDI" da questo punto di vista....ma forse sono io che "pretendo troppo"Riguardo alle porte era solo un'esempio so bene che la porta aperta non significa necessariamente rischio.... ma di certo ...alcune dovrebbe restare chiuse...diciamo che sarebbe meglio... tipo la 139 o la 445 o molte altre che conoscere benissimo... il mio era solo un'esempio..comunque non volevo fare falso allarmismo..Riguardo all'etica hai ragione, chi studia, conosce i rischi che si corrono ed è un professionista non fa danni... ma tenere la porta aperta di casa perchè tanto vivo in un quartiere tranquillo... mi sembra una regola un pò azzardata...Forse questo concetto lo prendo un pò troppo a cuore, Vi prego di prenderlo solo come spunto per una discussione e non per litigareGrazie Roberto Esposito- Scritto da: Anonimo
Il tizio del pezzo fa allarmismo
ingiustificato e si dimentica il fattore
principale: costi/benefici.
Nel 99% dei casi, ammesso che succeda
qualche cosa come lo stesso autore afferma
in fondo (e io mi stupisco che lui si
stupisca del fatto che sono pochissimi
quelli con le conoscenze per fare danni, ed
in genere chi le ha ha un'etica sufficiente
per non fare danni comunque...), costa meno
sistemare il danno (anche calcolando
l'indotto) che prevenirlo su base paranoica.
Mi unisco poi a chi dice che le porte aperte
di per sè non sono un pericolo, come alcune
delle cose citate nel'articolo.
Il mondo della security è molto simile a
quello dell' Y2K bug: hype a manetta,
allarmismo ingiustificato pur di piazzare
pen test e prodotti inutili (se non dannosi
a conti fatti) come i personal firewall.
That's all.-
Re: Allarmismo ingiustificato
Un'altro discorso è ritrovarsi le macchine
inutilizzabili ed il Database azzerato per
un sito di e-commerce che VIVE di questo,
magari dove dietro c'è Exchange e tutto è
sparito, o cartelle personali importanti o
molto altro!A proposito, sei poi riuscito ad associare gli utenti alle vecchie mailbox?E' semplice, se hai ancora il problema aperto avvisami che ti mando una mail.-
Re: Allarmismo ingiustificato
eheh risolto risolto...è un problema di qualche settimana fa....se fosse ancora aperto sarebbe stato grave :-P+ banale di quanto pensassi......grazie comunque- Scritto da: Anonimo
Un'altro discorso è ritrovarsi le macchine
inutilizzabili ed il Database azzerato per
un sito di e-commerce che VIVE di questo,
magari dove dietro c'è Exchange e tutto è
sparito, o cartelle personali importanti o
molto altro!
A proposito, sei poi riuscito ad associare
gli utenti alle vecchie mailbox?
E' semplice, se hai ancora il problema
aperto avvisami che ti mando una mail.
-
-
Re: Allarmismo ingiustificato
Gli attacchi più subdoli sono quelli che ti bloccano il server e/o la linea.Per i databasi di transazioni ecc.. non è un grosso problema, se un'azienda vive di quello in poco tempo si installa un sistema di backup differenziale dei dati sensibili (diciamo... ogni 2 ore?) e il database va replicato istantaneamente ad ogni nuovo ordine/registrazione e preso e copiato su se stesso da un client nella rete interna (tramite firewall apri la 445 con tutte le precauzioni del caso: SOLO per un determinato client interno, solo per un determinato tipo di traferimento dati, solo per tot minuti, nel server gestisci bene utenti e autorizzazioni ecc...) e il tuo pen test può andare a farsi benedire....Non esiste comunque una rete sicura al 100%, a questo si può rimediare con un buon sistema di salvataggio dei dati...
-
-
Re: Allarmismo ingiustificato
- Scritto da: Anonimo
Il tizio del pezzo fa allarmismo
ingiustificato e si dimentica il fattore
principale: costi/benefici.Mi spiace, ma il discorso non regge. Spesso è proprio la difficoltà (o incapacità) di calcolare i costi di un attacco che rende vano il tentativo di far quadrare il rapporto con i benefici.Per il resto è vero che non bisogna esagerare e creare inutile allarmismo, ma in questo momento siamo nella fase opposta sottovalutando esageratamente il problema!
-
-
Conviene?
Forse i manager di queste aziende hanno pensato sia più interessante fare una bella assicurazione per i danni derivanti dagli hacker e aspettare che veramente accada qualcosa per rimpinguare il bilancio.Una provocazione, ma forse noi informatici (mi ci metto anch'io) siamo un po' troppo fissati con i nostri macchinari e perdiamo di vista il quadro generale.Vittorio-
Re: Conviene?
A parte che quelli sono i cracker ;)Ma perche' c'e' davvero un'assicurazioen che garantisce contro certe intrusioni??? -
Re: Conviene?
...bè sicuramente c'è la voglia di dimostrare quello che siamo in grado di fare...forse ... a volte ... non ci rendiamo conto che agli altri non è che interessi poi tanto :-)ma che ci vuoi fare... il bello sta anche nell'insistere e nel vedere...qualche volta... raramente... le proprie idee ascoltateRoberto- Scritto da: Anonimo
Forse i manager di queste aziende hanno
pensato sia più interessante fare una bella
assicurazione per i danni derivanti dagli
hacker e aspettare che veramente accada
qualcosa per rimpinguare il bilancio.
Una provocazione, ma forse noi informatici
(mi ci metto anch'io) siamo un po' troppo
fissati con i nostri macchinari e perdiamo
di vista il quadro generale.
Vittorio -
Re: Oh mamma mia
- Scritto da: Anonimo
Forse i manager di queste aziende hanno
pensato sia più interessante fare una bella
assicurazione per i danni derivanti dagli
hacker e aspettare che veramente accada
qualcosa per rimpinguare il bilancio.diciamolo, i consulenti di security portano acquaal loro mulino :)il 90% degli amministratori di sistema sia win che linux(forse piu linux :) ) sa bene come fare l'hardening dei propri sistemi.vogliamo negare che chi amministra dei server linux non conosca affato il sisgnificato di firewall exploits buffer overflow sql injection e quindi non sappia come porvi rimedio ? vogliamo scindere l'aspetto amministrativo da quellodi security ? io sono contrario anche perche la maggiorparte dei problemi di sicurezza nascono da script php/asp scrittiin maniera sciatta,è sufficente una sessione di QA per passarli al setaccio e il gioco è fatto.per la rete poi esistono da tempo oltre ai firewall hardware, anche appliance che lavorano benissimo e ti bloccano quasitutti gli attacchi di rete conosciuti tipo worm shellcode virusecc ecc.sono daccordo invece quando si menzionano realta'aziendali completamente estranee a internet, dove il consulente di security esterno effettivamente puo avere unsenso.
-
-
Ma dai!
Ma da quando i pen-test li fanno gratis?I pen-test non li fai in due ore con uno scriptino, ci vogliono *giorni* e fatti da persone competenti!E poi 'ste Tizio dice "per non parlare delle porte aperte".E allora??? Da quando una porta aperta è _di_per_sè_ un problema???Sì, ho la 25 aperta, ma ho Qmail configurato con i controfiocchi e allora?A meno che il Tizio non lanci Nessus alle 12 e 30 e torni poi a vedere come è andata dopo pranzo!Comunque, un pen-test fatto da chi non è competente, è peggio che non averlo fatto: dà un falso senso di sicurezza.-
Re: Ma dai!
sai cosa mi fa più ridere ?parli non conoscendo...1) il tizio2) che nel contesto di una lettera non si può scrivere tutto ciò che comporta un pen-test ...ma tu lo sai benissimo....3) le scelte delle aziende / persone4) la competenza del tizioguarda, osserva, chiedi....parlare per dar fiato alla bocca serve solo a bruciar calorieIl Tiziosenza rancore ne polemica- Scritto da: Anonimo
Ma da quando i pen-test li fanno gratis?
I pen-test non li fai in due ore con uno
scriptino, ci vogliono *giorni* e fatti da
persone competenti!
E poi 'ste Tizio dice "per non parlare delle
porte aperte".
E allora??? Da quando una porta aperta è
_di_per_sè_ un problema???
Sì, ho la 25 aperta, ma ho Qmail configurato
con i controfiocchi e allora?
A meno che il Tizio non lanci Nessus alle 12
e 30 e torni poi a vedere come è andata dopo
pranzo!
Comunque, un pen-test fatto da chi non è
competente, è peggio che non averlo fatto:
dà un falso senso di sicurezza.-
Re: Ma dai!
- Scritto da: Anonimo
sai cosa mi fa più ridere ?A me fa ridere che qualcuno prometta *gratis* una cosa che _costa_molto_fare_. Dopodichè si piazzi su PI a farsi pubblicità, tenendo costantemente sott'occhio chi ha qualche dubbio.-
Re: Ma dai!
A me fa ridere che qualcuno prometta
*gratis* una cosa che _costa_molto_fare_.
Dopodichè si piazzi su PI a farsi
pubblicità, tenendo costantemente
sott'occhio chi ha qualche dubbio.Quindi secondo te un pen-test costa addirittura molto eh?-
Re: Ma dai!
- Scritto da: Anonimo
A me fa ridere che qualcuno prometta
*gratis* una cosa che _costa_molto_fare_.
Dopodichè si piazzi su PI a farsi
pubblicità, tenendo costantemente
sott'occhio chi ha qualche dubbio.
Quindi secondo te un pen-test costa
addirittura molto eh?Se fatto bene, sì, perchè ci vuole molto tempo. Ma se tu riesci a trovare tutte le vulnerabilità di una rete in due ore... complimenti! -
Re: Ma dai!
Premesso che il costo orario di chi lo effettua è a sua discrezione...con che arroganza lo critichi? se valuta chessò il suo tempo 10 euro l'ora può decidere di spenderne 3 o 4 gratis o anche più...non è un costo fisso.ciao
-
-
-
-
-
e giustamente...
.si mette il banner della Cisco Systems :D:D -
Bella notizia....
che hai scoperto l' acqua calda?-
Re: Bella notizia....
- Scritto da: Anonimo
che hai scoperto l' acqua calda?Eh ma come fai a convincere che spendere in sicurezza conviene????-
Re: Bella notizia....
- Scritto da: Anonimo
- Scritto da: Anonimo
che hai scoperto l' acqua calda?
Eh ma come fai a convincere che spendere in
sicurezza conviene????Di certo non facendogli un DoS ...
-
-
-
Ma che bello spot pubblicitario!!
Ma che si chiama Roberto Esposito in De Andreis ????-
Re: Ma che bello spot pubblicitario!!
Per quanto questo possa valere...La mia mail è stata pubblicata senza alcuna forma di pagamento, l'ho mandata, l'hanno letta e mi hanno risposto che avrebbero voluto pubblicarmela, io ho apprezzato ed accettato.Ovviamente per quanto questo possa valere e senza alcun tono di polemicaRoberto Esposito- Scritto da: Anonimo
Ma che si chiama Roberto Esposito in De
Andreis ????-
La cosa piu' assurda
e' che molti credono che tutti sanno della sicurezza e ci stanno attenti, mentre tutti noi qui sappiamo che non e' vero, e non dovremmo parlare di questo? Io credo sia ASSOLUTAMENTE PREOCCUPANTE che banche, ospedali e scuole non abbiano la PIU' PALLIDA IDEA di cosa significhi sicurezza. Ben venga qualsiasi cosa che suscita allarme perche', DOPO, puo' essere troppo tardi.
-
-
Re: Ma che bello spot pubblicitario!!
già pure a me sembra un bell'articolo vestito.... cmq, tra l'altro, ha scoperto l'acqua calda.....-
stupenda :)
Dai allora sentiamo la tua esperienza
-
-
-
A me questa sembra solo pubblicità
... di Roberto Esposito e della sua ditta.-
Re: A me questa sembra solo pubblicità
Concordo, quoto, straquoto e aggiungo che secondo me non c'e' niente di male.Come secondo me non c'e' niente di male a lasciare i propri server poco protetti (e' una scelta) o meglio a valutare costi e benefici e alla fine decidere di tenersi i soldi con i rischi (nessuno puo' obbligarmi ad acquistare qualcosa di cui magari sbagliando non sento la necessita').Saro' troppo sensibile, ma se uno insiste troppo a vendermi qualcosa mi avveleno e non la compro piu' per principio.Parlo in generale, non di questo caso.- Scritto da: LordCasco
... di Roberto Esposito e della sua ditta.-
Re: A me questa sembra solo pubblicità
Come secondo me non c'e' niente di male a
lasciare i propri server poco protetti (e'
una scelta) o meglio a valutare costi e
benefici e alla fine decidere di tenersi i
soldi con i rischi (nessuno puo' obbligarmi
ad acquistare qualcosa di cui magari
sbagliando non sento la necessita').Secondo te non c'e' nulla di male ... lasciare sprotetti i server puo' essere un reato PENALE.Fonte: DL 30 giugno 2003, n. 196 art 31 e successivi ...ciao
-
-
-
non trascendiamo
i test di sicurezza bisogna saperli fare senno fatecome un mio collega che ha comprato un pen test da un fenomeno che gli ha dossato tutta la lan per poi presentarsi il giorno dopo con la fattura :)-
Re: non trascendiamo
senza offesa....ma ...mi sembra la scoperta dell'acqua calda....è indubbio che certi test bisogna saperli fare, di certo non è sufficente (ed è pericoloso) lanciare un test automatico che ti cerca i buchi di IIS, è necessaria un'attenta analisi, ma non si discute tanto del saperli fare o meno, ma del fatto che le aziende non se ne interessano affatto... questo è ben più grave.Poi in genere (questo è il mio caso) chiarisco subito i rischi di un PEN-TEST, che comunque non va aldilà di un possibile blocco delle macchine (soprattutto su attacchi di tipo ddos o ancora peggio quando si cercano di buffer overflow) ma poi non è questo quello che si cerca di scoprire ? se il sistema è vulnerabile ?Roberto Esposito-
Re: non trascendiamo
- Scritto da: Anonimo
senza offesa....ma ...mi sembra la scoperta
dell'acqua calda....è indubbio che certi
test bisogna saperli fare, di certo non è
sufficente (ed è pericoloso) lanciare un
test automatico che ti cerca i buchi di IIS,
è necessaria un'attenta analisi, ma non si
discute tanto del saperli fare o meno, ma
del fatto che le aziende non se ne
interessano affatto... questo è ben più
grave.
Poi in genere (questo è il mio caso)
chiarisco subito i rischi di un PEN-TEST,
che comunque non va aldilà di un possibile
blocco delle macchine (soprattutto su
attacchi di tipo ddos o ancora peggio quando
si cercano di buffer overflow) ma poi non è
questo quello che si cerca di scoprire ? se
il sistema è vulnerabile ?
Roberto EspositoTi ricordo che se fai un pen-test senza autorizzazione rischi una denuncia per interruzione di servizio. Ciao-
Re: non trascendiamo
Lo so,prim di effettuare qualunque test del genere è necessaria la firma di una liberatoria, ed inoltre bisogna accertarsi che chi firma la liberatoria sia effettivamente il proprietario della macchina sotto test (esempio chi richiede un test per il proprio sito ma è appoggiato da un provider sulla quale macchina risiedono più siti) in questo caso la liberatoria la deve firmare ed autorizzare il proprietario del server, diciamo il provider che ospita il sito.Spero di essere stato esauriente Roberto- Scritto da: Anonimo
- Scritto da: Anonimo
senza offesa....ma ...mi sembra la
scoperta
dell'acqua calda....è indubbio che certi
test bisogna saperli fare, di certo non è
sufficente (ed è pericoloso) lanciare un
test automatico che ti cerca i buchi di
IIS,
è necessaria un'attenta analisi, ma non si
discute tanto del saperli fare o meno, ma
del fatto che le aziende non se ne
interessano affatto... questo è ben più
grave.
Poi in genere (questo è il mio caso)
chiarisco subito i rischi di un PEN-TEST,
che comunque non va aldilà di un possibile
blocco delle macchine (soprattutto su
attacchi di tipo ddos o ancora peggio
quando
si cercano di buffer overflow) ma poi non
è
questo quello che si cerca di scoprire ?
se
il sistema è vulnerabile ?
Roberto Esposito
Ti ricordo che se fai un pen-test senza
autorizzazione rischi una denuncia per
interruzione di servizio. Ciao
-
-
-
-
In Itali' il COMPUTER e' un optional...
... figurati la sicurezza....Fossi in te cambierei lavoro....anche paese...Ciao -
Il sistemista di fisica a pisa
nonchè della COOP per un po' di tempo.Password agli utenti tutte uguali, macchine senza protezione al bios (forse pensava che sugli i-mac con linux non ce ne fosse bisogno), protezione effettuata con tcpwrappers e MAI con iptables.Addirittura accesso diretto ai routers, sapete cosa fa quando arriva uno con un portatile? Gli configura lui tcpwrappers (aka hosts.allow e hosts.deny) e gli chiede *CORTESEMENTE* di lasciare le cose così - niente identificazione del mac address... scusate lo sfogo ma i complimenti a M.D. sono doverosi :)-
Re: Il sistemista di fisica a pisa
- Scritto da: Anonimo
nonchè della COOP per un po' di tempo.
Password agli utenti tutte uguali, macchine
senza protezione al bios (forse pensava che
sugli i-mac con linux non ce ne fosse
bisogno), protezione effettuata con
tcpwrappers e MAI con iptables.Stanno sempre messi così gli imac? no perchè allora domattina faccio un salto a darci un'occhiata :-P mi basta fare le scale :-PPP
Addirittura accesso diretto ai routers,
sapete cosa fa quando arriva uno con un
portatile? Gli configura lui tcpwrappers
(aka hosts.allow e hosts.deny) e gli chiede
*CORTESEMENTE* di lasciare le cose così -
niente identificazione del mac address...
scusate lo sfogo ma i complimenti a M.D.
sono doverosi :)
-
-
censura su PI????
come??? stavo leggendo due post che accusavano l'articolo di essere pseudo pubblicità e ad un tratto sono svaniti!!! non li vedo più io o PI sta censurando???????? -
YABBA YABBA GO!
gabba gabba ghey!whoooo! -
condivido ma
Condivido appieno ciò che si dice.Ma dico io, un paio di link utili e un how-to generale per comprendere, e far comprendere, appieno i primi passi per l'auto-difesa nel mantenere i propri servizi di rete al meglio, avrebbe reso questo sfogo oltre che condivisibile anche utile.ma in Italia è consuetudine aprire tribune politiche senza mai proporre soluzioni.-
Re: condivido e...
- Scritto da: Anonimo
Condivido appieno ciò che si dice.
Ma dico io, un paio di link utili e un
how-to generale per comprendere, e far
comprendere, appieno i primi passi per
l'auto-difesa nel mantenere i propri servizi
di rete al meglio, avrebbe reso questo sfogo
oltre che condivisibile anche utile.
ma in Italia è consuetudine aprire tribune
politiche senza mai proporre soluzioni.la soluzione c'è, basta leggere fra le righe:telefonare ad un'azienda che si occupa di sicurezza (come ad esempio quella a cui fa capo il mittente della lettera), e se non si ha alcun problema (ovvero 1 volta su 10 statisticamente) l'analisi è gratis. avvelenato che ha un po' fastidio alla parola "gratis"-
Re: condivido e...
Il fatto è che tante ditte di fronte ad un offerta gratuita arricciano il naso pensando che la cosa sia uno dei tanti modi per entrare in contatto e poi rifilargli delle sole...roba da gita in pullman a rapallo con inclusa vendita di batteria di pentole..Senza contare poi che se chi ha fatto quell'offerta non ha un nome vermente importante alle spalle si può anche sospettare che non sia altro che una bella tecnica di social engineering per introdursi e prendere il controllo dei sistemi informativi dell'azienda.. E per ultimo bisogna sempre vedere se gl'addetti alle comunicazioni con l'esterno hanno una vaga idea dell'importanza della proposta...già già già in questi buii tempi di marketing nulla sembra essere ciò che viene proposto.. ;)
-
-
Re: condivido ma
Non posso che darti ragione... ed allora ti rispondo non con un paio di link....ma con un paio di libri, utili per iniziarsi "all'autodifesa" Web Jungle - Attacco e difesa dagli hacker ISBN 88-8331-449-2Hacker! 4.0 ISBN 88-503-2124-4Sono un buon inizio, meglio andare sulle versioni inglesi ma anche queste (italiane) sono abbastanza complete.E' necessaria una discreta conoscenza del mondo informatico, altrimenti iniziare da questi libri è un pò troppo.Spero di essere stato esaustivoRoberto Esposito- Scritto da: Anonimo
Condivido appieno ciò che si dice.
Ma dico io, un paio di link utili e un
how-to generale per comprendere, e far
comprendere, appieno i primi passi per
l'auto-difesa nel mantenere i propri servizi
di rete al meglio, avrebbe reso questo sfogo
oltre che condivisibile anche utile.
ma in Italia è consuetudine aprire tribune
politiche senza mai proporre soluzioni.-
Re: condivido ma
- Scritto da: Anonimo
Non posso che darti ragione... ed allora ti
rispondo non con un paio di link....
ma con un paio di libri, utili per iniziarsi
"all'autodifesa"
Web Jungle - Attacco e difesa dagli hacker
ISBN 88-8331-449-2
Hacker! 4.0 ISBN 88-503-2124-4Che io sappia tutti gli abusi della parola Hacker dove questa ha connotazione negativa e legata a crimini e' stata denunciata in diversi paesi e presto lo sara' anche in Italia!!Per tale scopo esiste il termine cracker.--Ciao. Mr. Mechano
-
-
