Chromebook, l'alba di Pixel?

Re: l'unica cosa buona
- Scritto da: panda rossa
- Scritto da: Nando
Supponiamo che venga violato il server
di PI C'e' windows quindi possiamo
supporre che sia gia' violato.
Nessuno all'interno se ne accorge (del
resto li conosciamo), e quindi nessuno
denuncia niente.
A questo punto che cosa succede?Che compaiono un sacco di messaggi di spam nel forum.

Re: l'unica cosa buona
- Scritto da: panda rossa
Alla fine Squalo la fa franca e pagano sempre i
soliti
poveracci.Non è affatto scontato che un'azienda se la possa cavare sempre così facilmente e a buon mercato. Se un hacker ruba i dati, ne pubblica una parte dicendo "vi do tempo due settimane per riconoscere pubblicamente che vi ho violato" e se non lo fanno ne pubblica il nome per sXXXXXXXrla, altro che "incapacità interna".Oltretutto, denunciare una cosa realmente accaduta non è certamente diffamazione e se Pino e Maria lo fanno, essendo in condizione di dimostrarlo, non rischiano neppure questa accusa.E far firmare clausole-capestro in violazione delle leggi mi risulta che sia un ulteriore reato penale in sè, oltre al fatto che non ci si può preventivamente "riconoscere penalmente responsabili", la responsabilità penale è personale e o lo si è o non lo si è ...Per cui, se Pino e Maria accettano di firmare in bianco, avranno in mano un ulteriore elemento scottante, e parecchio, nei confronti di Farlocco e Squalo.Nessuna legge può impedire la sua trasgressione, si può solo cercare di farne una che, essendo comunque proporzionata alla gravità del reato, non renda conveniente il rischiare la violazione.Quindi, come minimo certamente nessuna multa ridicola da 50.000 euro.Da questa notizia di oggi:http://punto-informatico.it/3714274/PI/Commenti/privacy-ondata-del-regolamento-europeo.aspxsembra che a livello europeo facciano sul serio."Sanzioni altissime per i trasgressori, fino ad un milione di euro o al 2 per cento del fatturato annuale di un'azienda a livello globale. Tra le misure preventive preme menzionare l'obbligo di notifica di qualunque violazione di dati personali all'Autorità di controllo (nuova istituzione) e ai diretti interessati se a rischio di danno."Andrà a finire che, forse (forse ...), sarà l'Europa ad imporre regole doverose a questo Bel Paese del Terzo Mondo per quel che riguarda la sicurezza informatica.Anche se sono convinto che già in Italia tanti si stiano preparando ad attaccarsi a "Tra gli argomenti attualmente in fase di definizione, uno dei più importanti riguarda proprio il margine di autonomia decisionale che manterranno gli Stati Membri nell'applicazione di alcune regole specifiche sul proprio territorio. Secondo quanto previsto dal Regolamento saranno conservate alcune norme nazionali."

Re: l'unica cosa buona
Accidenti, avevo detto che non mi sembrava difficile da capire ma evidentemente ... - Scritto da: panda rossa

Il problema non e' cosi' banalizzaibile.
A parte gli evidenti DDOS degli Anonymous che
mettono a sedere intere reti, una intrusione a
scopo di trafugazione dati non e' cosi'
facilmente
identificabile.Io infatti ho scritto "Se un hacker ruba i dati, ne pubblica una parte dicendo 'vi do tempo due settimane per riconoscere pubblicamente che vi ho violato'".Ti ho rubato 10000 "record" di utenti, ne pubblico 100 pure togliendo per ora nomi e cognomi ma lasciando codici interni, saldi dei conti e tutto quanto altro serve per convincerti che veramente ho violato il tuo database.Qui cosa c'è di "non facilmente identificabile", di "millanteria", di "bluff"?
Il senso di questa legge qual e'?
Incriminare lo Squalo?Il senso della legge è quello di far capire allo Squalo in primo luogo e al Farlocco in secondo luogo che conviene loro continuare pure a godere il primo dei 900.000 euro annui di stipendio e il secondo i suoi 150.000 ma non rischiare guai penali "per coprire l'azienda".Se poi da incredibili "aziendalisti" vogliono rischiare e magari farsi scoprire e condannare, affari loro.Il messaggio è che non puoi FAR FINTA di fare sicurezza, come al 90% si fa in Italia, e insabbiare quando la violazione avviene, la devi fare davvero per ridurre preventivamente i rischi.Quindi, spendere per la sicurezza invece che per pagare multe o mettere a budget milioni di euro per ripianare i danni invece che impiegarli per fare prevenzione.

Re: l'unica cosa buona
- Scritto da: panda rossa

Rigiriamo la frittata.

Supponiamo che non sia stato trafugato proprio
niente, ma qualcuno manda una comunicazione
anonima ad un quotidiano dicendo che e' riuscito
a penetrare nei sistemi informatici della ditta
XYZ e che ha trafugato dati sensibili e manda al
quotidiano un elenco di numeri inventati, come
prova della sua
azione.

A quel punto il quotidiano pubblica la notizia,
ma non e' in grado di provare nulla, visto che i
dati sono
inventati.

La ditta XYZ fara' dei controlli, non notera'
niente (in effetti niente e' sucXXXXX) e
smentira' la
cosa.

Pero' l'inchiesta parte comunque e magari ci
sara' pure una indagine che pretendera' di
mettere mano ai dati della
XYZ.

Spiegami un po' come potrebbe andare a finire.Se i numeri sono inventati e non hanno corrispondenza con i DB aziendali non ci vorrà molto all'azienda per dimostrarlo alla Polizia, non ti pare?O pensi che qualche magistrato vorrà mettere in piedi (e perchè?) un "teorema" totalmente ipotetico, per cui era tutto vero ma evidentemente decine di persone in quell'azienda (programmatori, sistemisti, DBA ...) sono state coinvolte nel reato e sono state messe a lavorare giorno e notte per cambiare il formato dei DB, le codifiche, i programmi ecc., per tenere nascosto il furto? ;)Per quanto riguarda l'indagine che "mette mano ai dati aziendali", ricordo che c'è già la Finanza che fa ogni tanto i suoi controlli in ditta, che non mi sembrano meno onerosi, che se si sospetta che qualcuno dall'interno dell'azienda sia andato in un sito con immagini pedoXXXXXgrafiche arriva la Postale a chiedere lumi all'IT, ecc.Non vedo perchè, se la cosa appare di rilevante gravità, non possano fare anche indagini su un possibile "furto" di dati non denunciato.Ovviamente si spera che i magistrati abbiano la testa sulle spalle e non si buttino ad inquisire per episodi dubbi o comunque minori.Ma il pericolo, anzi la realtà, è che oggi in Italia il 90% delle aziende medio-grandi fa FINTA o quasi di fare sicurezza (le piccole non le considero neppure, va già bene se aggiornano l'antivirus ...).Quindi una legislazione che ci faccia recuperare almeno in parte quei DIECI ANNI DI RITARDO (almeno) che abbiamo su paesi come la Gran Bretagna, la Germania ecc., è benvenuta.Poi, se per cambiare questa situazione "bastano" le multe da un milione di euro, senza andare sul penale, benissimo, non è che io sia forcaiolo e voglia vedere gente in galera.In altri paesi ci credo che bastino le multe. In Italia forse pure, ma non ci metto la mano sul fuoco.Ne ho viste troppe ...

Re: l'unica cosa buona
- Scritto da: panda rossa
Ora dimmi tu quanto ci metterebbe un perito
esterno all'azienda, senza affiancamento alcuno,
a capirci qualcosa ...Eh?Chiede la lista delle applicazioni aziendali che utilizzano gli archivi incriminati e poi chiede A CASO i sorgenti di tre o quattro applicazioni e comincia a vedere se quagliano con il DB che gli hanno indicato come DB aziendale.Ovviamente chiede copia immediata degli archivi che sono in quel momento ON-LINE e chiede che gli sia fatto vedere come sono usati in quelle applicazioni.Non ha bisogno di capire come funziona TUTTO il giro, ha solo bisogno di capire se i dati che gli danno sono genuini o taroccati nei punti che l'hacker dichiara di aver violato.Naturalmente tu, che sei bravissimo :D, non solo avrai costruito DB farlocchi ma avrai cambiato anche tutti i sorgenti, sarai riuscito a far sparire la documentazione e sarai riuscito, pure, ad indottrinare non solo i colleghi ma anche gli impiegati affinchè, interrogati, non si lascino sfuggire che ci sono pure altre applicazioni, oltre a quelle che hai indicato, che potrebbero andare su certi tipi di dati.
Quindi io, sistemista interno ... non sono forse in grado di intortare
questo perito?No, non lo sei, se il perito è in gamba (ed è pagato per fare quel lavoro) e a meno di non aver preparato la menzogna molto ma molto bene e con largo anticipo.Perchè certamente se si vuole avere qualche speranza di farlo bisogna lavorare preventivamente, preparare in anticipo dati taroccati coerenti e finte applicazioni e addestrarsi a fare la manfrina, proprio come un'azienda che nasconde fondi in nero od operazioni sporche alla Finanza.Ma se c'è il penale, lo voglio vedere il sistemista di medio cervello (e dignità) che si presta a rischiare la PROPRIA fedina penale per questo, a meno che non venga lautamente gratificato in nero (cosa possibilissima).Ma in un reparto IT c'è un sacco di gente che sarebbe in grado di mettere il naso su certi archivi "finti" e di spifferare, anche in buona fede, cose che fanno scoprire l'inghippo.Bisognerebbe nascondere bene la cosa o ... renderli non solo tutti complici ma pure ben addestrati!
Non c'e' alcun bisogno di lavorare giorno e notte
per cambiare il formato del
DB.
Tu non sai com'e' il formato del mio DB, quindi
non puoi sapere se e' stato
cambiato.L'hacker lo sa, perchè è arrivato sulle tabelle.Quindi, se spiffera sui dati può farlo anche sul formato.

Non e' di questo che stiamo discutendo, ma della
fattibilita'
oggettiva.Eh no, in realtà tu stai discutendo solo di come evitare la noia di trovarti un'indagine in azienda, è questa la tua evidente preoccupazione.
90% e' esagerato.
Io direi che quasi tutte fanno sicurezza.
Il problema e' che la fanno talmente male che e'
inutile.Quasi tutte? :DQuasi nessuna.Fare sicurezza non vuole dire limitarsi a fare una DMZ e sciocchezzuole simili da sistemisti (altra categoria che spesso si illude di fare sicurezza perchè mette in rete tre server Linux o Windows e li "protegge" con un server di antivirus e un firewall).Basti pensare che quasi nessuno, comprese aziende grandissime (per es. tra le prime quattro o cinque banche italiane), hanno un corpus di policy di sicurezza e chi ce le ha poi spesso non le applica.Qualche anno fa una grandissima e notissima azienda italiana (che lascio anonima, senza neppure dire il settore), che peraltro è una di quelle messe decisamente meglio nella IT security, ha perso MIGLIAIA di dati sui clienti perchè aveva bellamente ignorato le regole che lei stessa aveva scritto, secondo i sacri crismi della ISO 27001, e dopo un assurdo errore operativo (che seguendo le regole avrebbero evitato) si è accorta che i backup programmati da almeno un anno ... non venivano eseguiti.Quante sono le aziende che, addirittura, internamente hanno una rete piatta, non segmentata, dove un malintenzionato può arrivare dovunque?E quante sono le aziende che hanno un piano di Disaster Recovery degno di questo nome? E quante ce l'hanno non solo sulla carta? Quante lo testano effettivamente, invece di illudersi di poterlo far funzionare al primo colpo senza averlo mai provato?Quante fanno fare una valutazione dei rischi di sicurezza dei propri progetti IT, cominciando magari dalla fase di progettazione? Non lo fanno, nè prima di fare il progetto nè dopo averlo fatto.E mi fermo qui, evitando di parlare delle altre enormi magagne professionali e di certi comportamenti a dir poco censurabili, come il rapporto con le certificazioni.
Non illuderti che all'estero sia meglio.
Tanto per fare un nome a caso: sony!
Tu credi che faccia sicurezza?
Tutti i dati degli utenti sony compresi i numeri
delle carte di credito sono di dominio pubblico,
sai?Guarda, a parte che pure chi lavora al meglio può una volta tanto essere violato (il che non è una scusante per lavorare alla c***o), non so come sono messi in Sony o in Giappone, ma ti posso dire che ho lavorato per aziende nord-europee e c'è un ABISSO con la situazione italiana.Non una differenza: un ABISSO.La ISO 27001 là non è una sigla esotica, è il modo di fare sicurezza (quella vera).No ho bisogno di "illudermi", LO SO: è il mio lavoro (e non da ieri).Sei TU che ti illudi di saperne e capirne qualcosa.
Col risultato che:
...
3) ci andranno di mezzo alcuni che pur lavorando
seriamente pagheranno per tutti per dimostrare
che questa porcheria
funziona
...Si, avevo già capito che soprattutto quello è IL TUO VERO CRUCCIO: che ti arrivi un controllo in azienda e che tu sia costretto a dimostrare qualcosa.Ma allora abbi almeno il coraggio di dire che NON VUOI NEPPURE LE MEGA MULTE.Perchè, mio caro, il penale non è indispensabile per far arrivare la Polizia: non penserai che si possa dare una multa di mezzo milione o un milione di euro SENZA FARE INDAGINI, vero? :DPer cui, la conseguenza logica del tuo bel ragionamento è che bisogna continuare con le MULTINE RIDICOLE: nessuna indagine, perchè per 40.000 euro non si mette in piedi un'indagine e oltretutto l'azienda accetta subito di pagare (poco).E così, tutti (o quasi) contenti: l'azienda che se la cava a buonissimo mercato, i sistemisti interni che non hanno nessuno tra le palle, i boss che possono continuare ad evitare di fare VERA sicurezza (e così non hanno neppure qualcuno internamente che può scoprire le magagne, perchè non avere regole di sicurezza fa molto comodo per coprire certi maneggi ...).E così, continueremo ad essere nel Terzo Mondo del settore, grazie a questa bellissima mentalità (che è anche la TUA).
Non hai visto proprio niente!Eh no, caro, sei tu che toppi.Ma anche di brutto.Ti va bene che sei in Italia perchè sull'argomento all'estero ti guarderebbero male.