Redmond (USA) – Una grossa vulnerabilità contenuta all’interno di alcune versioni della macchina virtuale Java potrebbe consentire ad un cracker di leggere le informazioni inviate da un utente verso il Web.
La falla riguarda le versioni della Microsoft Virtual Machine che accompagnano Windows 98, Windows ME, Windows 2000 ed Internet Explorer fino alla versione 5.5. Stesso problema per tutti quei prodotti, incluse alcune versioni di Netscape precedenti alla versione 6.2, che contengono versioni fallate della JVM di Sun.
Microsoft ha già rilasciato una patch che ha definito “critica” per i sistemi client, mentre Netscape ha esortato i propri utenti ad aggiornare il browser alla versione 6.2 .
In un avviso Microsoft ha spiegato come la vulnerabilità, che riguarda il modo in cui alcune virtual machine Java gestiscono le richieste con i server proxy, possa essere sfruttata da un aggressore attraverso una applet “maligna” che, una volta scaricata in modo trasparente sulla macchina di un utente, è in grado di dirottare il suo traffico Web verso una qualsiasi destinazione.
Microsoft ha tenuto a precisare che questa vulnerabilità riguarda solo quei sistemi che fanno uso di un server proxy, un fattore che se da un lato restringe di molto gli utenti potenzialmente a rischio, dall’altro lascia supporre che la maggior parte di questi operino all’interno di aziende, ambienti dove l’utilizzo di un proxy è tutt’altro che infrequente.
La pericolosità di questa falla risiede nel fatto che l’utente, ignaro di essere “spiato”, potrebbe non soltanto rivelare all’aggressore abitudini e siti da lui frequentati, ma anche dati sensibili e informazioni confidenziali. A mitigare in parte questo rischio interviene però SSL (Secure Socket Layer), un sistema per la crittazione dei dati trasmessi verso il Web, ormai utilizzato dalla stragrande maggioranza dei siti che trattano dati sensibili, come quelli di e-commerce.
-
Piedi per terra
Non usiamo un lucchetto da 100 euro per chiudere una bicicletta da 20 euro.La PMI spesso non ha i fondi per l'acquisto di (p.es.) un PIX Firewall per proteggere l'ADSL che usa per la mail e per il web. Anziche' proproste da Corporate, basterebbe:1) Lasciare che il provider gestisca mail e web server presso di lui2) Configurare A DOVERE il router ADSL, magari cambiando la password di default...3) Se si usa la piattaforma Windows, evitare 98 e usare 2000, specialmente per il PC con il programma di contabilita'4) Usare un buon antivirus e tenerlo aggiornato.5) Evitare che il figlio del capo/padrone smanazzi sui computerSe seguiti, questi 5 punti risolverebbero la maggior parte dei problemi che incontro quotidianamente nella PMI.Ciao,luigiAnonimoe se il punto 5 non evitabile per contratto?
normalmente il figlio del capo, il capo e il nonno del capo e la capa del capo e l'amante del caposono le uniche persone a cui DEVE essere permesso fare qualsiasi cagata... come se fossero in grado di fare gli amministratori solo perché POSSIEDONO MATERIALMENTE (hanno pagato) il software e l'hardware in uso ... un po' come se "dato che ho pagato IO la rolls, allora devo poter guidarla a 120 in prima, scalare da quinta a prima a 150 all'ora, guidare sulla neve come sull'asciutto ecc ecc eccaccade.- Scritto da: Luigi> 5) Evitare che il figlio del capo/padrone> smanazzi sui computerAnonimoRe: e se il punto 5 non evitabile per contratto?
- Scritto da: Ronny> > > normalmente il figlio del capo, il capo e il> nonno del capo e la capa del capo e l'amante> del capo> sono le uniche persone a cui DEVE essere> permesso fare qualsiasi cagata... come se> fossero in grado di fare gli amministratori> solo perché POSSIEDONO MATERIALMENTE (hanno> pagato) il software e l'hardware in uso ... > un po' come se "dato che ho pagato IO la> rolls, allora devo poter guidarla a 120 in> prima, scalare da quinta a prima a 150> all'ora, guidare sulla neve come> sull'asciutto ecc ecc ecc.Beh allora che si attacchino pure?In fondo se sei proprietario di una Rols Roice hai senzaltro anche il diritto di finire contro un muro a 150 all'ora hasta che non fai male al resto dell'umanita'AnonimoRe: e se il punto 5 non evitabile per contratto?
- Scritto da: Ronny> > > normalmente il figlio del capo, il capo e il> nonno del capo e la capa del capo e l'amante> del capo> sono le uniche persone a cui DEVE essere> permesso fare qualsiasi cagata... come se> fossero in grado di fare gli amministratori> solo perché POSSIEDONO MATERIALMENTE (hanno> pagato) il software e l'hardware in uso ... sottoscrivo pienamente, oltrtutto tu sei coi server tirati per i capelli, che gli chiedi di funzionare come un favore personale, di tenere duro ancora un po' e loro vanno in giro con portatili della madonna e di cui sfruttano 1 centesimo delle possibilità (a mè è capitato che il boss abbia comperato un portatile più potente del server più potente che gestivo). Inoltre stando alle statistiche e all'esperienza, in genere per quanto riguarda l'hardware no, ma che abbiano pagato il software...salutiAnonimoRe: Piedi per terra
secondo me si sta generalizzando un po troppo, posso capire che per un'azienda qualsiasi dare da gestire mail/web/ecc. al provider sia vantaggioso, ma bisogna ricordare che spesso le aziende hanno bisogni un po "anormali", senza contare che spesso affidarsi al provider puo anche essere deleterio (ci sono alcuni servizi di assistenza che fanno veramente pena... settimane per avere UN alias di posta...).Una soluzione secondo me molto migliore e' affidare la sicurezza dell'azienda in outsurcing, magari rivolgendosi ad aziende o consulenti che sappiano quello che fanno. Concordo pienamente che mettere un PIX o un checkpoint a proteggere una ADSL sia una gran ca*ata, ma bisogna ricordare che esistono anche le vie di mezzo, un firewall *BSD con un tecnico che lo sa configurare costa MOLTO meno (il prezzo dell'hardware e del tecnico che te lo monta) e per un'azienda medio-piccola va piu che bene.In definitiva a mio avviso per un'azienda medio piccola affidare la propria sicurezza a persone qualificate che utilizzano prodotti open source è un'ottima (ed economica) soluzione.ovviamente IMHO :)bYesx> Non usiamo un lucchetto da 100 euro per> chiudere una bicicletta da 20 euro.> > La PMI spesso non ha i fondi per l'acquisto> di (p.es.) un PIX Firewall per proteggere> l'ADSL che usa per la mail e per il web. > > Anziche' proproste da Corporate, basterebbe:> 1) Lasciare che il provider gestisca mail e> web server presso di lui> 2) Configurare A DOVERE il router ADSL,> magari cambiando la password di default...> 3) Se si usa la piattaforma Windows, evitare> 98 e usare 2000, specialmente per il PC con> il programma di contabilita'> 4) Usare un buon antivirus e tenerlo> aggiornato.> 5) Evitare che il figlio del capo/padrone> smanazzi sui computer> > Se seguiti, questi 5 punti risolverebbero la> maggior parte dei problemi che incontro> quotidianamente nella PMI.> > Ciao,> luigiAnonimoRe: Piedi per terra
Scusate, io sono sistemista Linux, quindi sarei per tirare l'acqua al mio mulino... Ma vorrei un po' di obiettività: Cisco produce router che hanno _gia'_ incorportato una mini versione di PIX, che si chiama IOS firewall. Quindi, basta informarsi all'atto dell'acquisto del router, e al costo di un router mi trovo gratis un firewall. Venendo al sodo, continuo a ritenere che investire circa 5000 euro nella formazione di un dipendente, per poi orientarsi verso Linux, sia la soluzione alla lunga più economica, versatile e "espandibile". Opinione personaleTommaso Di DonatoAnonimoRe: Piedi per terra
tutto quello che dici è vero, ma il fatto di comperare un router/firewall e metterlo lì, non credi che sia un po' poco?manutenzione, aggiornamenti?Forse la soluzione dell'outsourcing non è così campata per aria, anche perchè se fai un contratto con un ISP magari il router te lo danno in comodato d'uso e se lo gestiscono loroovviamente IMHOsalutiAnonimoRe: Piedi per terra
Ehm... puoi anche mettere il PIX ma se i responsabili delle PMI continuano a usare la segretaria come sistemista i vari virus, trojan e codicilli vari si diffondono prima degli aggiornamenti dell'antivirus :)Mettere le mani al portafoglio e pagare la formazione del personale, ecco cosa serve! (ovviamente che non c'e' bisogno di certificare CISCO se in ufficio ci sono due PC con connessione dialup!)- Scritto da: Luigi> Non usiamo un lucchetto da 100 euro per> chiudere una bicicletta da 20 euro.> > La PMI spesso non ha i fondi per l'acquisto> di (p.es.) un PIX Firewall per proteggere> l'ADSL che usa per la mail e per il web. > > Anziche' proproste da Corporate, basterebbe:> 1) Lasciare che il provider gestisca mail e> web server presso di lui> 2) Configurare A DOVERE il router ADSL,> magari cambiando la password di default...> 3) Se si usa la piattaforma Windows, evitare> 98 e usare 2000, specialmente per il PC con> il programma di contabilita'> 4) Usare un buon antivirus e tenerlo> aggiornato.> 5) Evitare che il figlio del capo/padrone> smanazzi sui computer> > Se seguiti, questi 5 punti risolverebbero la> maggior parte dei problemi che incontro> quotidianamente nella PMI.> > > > Ciao,> luigiAnonimoE le misure minime di sicurezza ?
Il problema è concreto e reale specialmente se si considera la responsabilità penale che può deriverare per aver omesso l'adozione delle misure minime di sicurezza (DPR 318/99) e quella civile, ben più grave, per danni a terzi prevista dall'art. 18 L. 675/96.Non basta dotarsi di contromisure logiche e fisiche, occorre che queste siano coordinate tra loro e che siano supportate da una adeguata pianificazione della sicurezza.Non è questione di lucchetti e biciclette, si tratta di violazioni di norme e la legge non distingue tra grandi, piccole o micro imprese.AnonimoRe: E le misure minime di sicurezza ?
- Scritto da: Avv. Alessandro Frillici> Il problema è concreto e reale specialmente> se si considera la responsabilità penale che> può deriverare per aver omesso l'adozione> delle misure minime di sicurezza (DPR> 318/99) e quella civile, ben più grave, per> danni a terzi prevista dall'art. 18 L.> 675/96.> Non basta dotarsi di contromisure logiche e> fisiche, occorre che queste siano coordinate> tra loro e che siano supportate da una> adeguata pianificazione della sicurezza.> Non è questione di lucchetti e biciclette,> si tratta di violazioni di norme e la legge> non distingue tra grandi, piccole o micro> imprese.Eh si, caro avvocato, lei ha proprio ragione.Purtroppo le PMI sono sempre a caccia della scorciatoia.....Se poi si tratta di migliorare le cose organizzando bene (leggi coordinando le misure di sicurezza, come lei giustamente osserva) .. apriti cielo! Salvo poi piangere a latte versato.Saluti cordialiAnonimoRe: E le misure minime di sicurezza ?
signori, concretamente di cosa state parlando?che cosa prevede la legge e potete citare dei casi concreti di violazione?da cosa dobbiamo tutelarci e in che modo?Vi ringrazio anticipatamente.- Scritto da: Ing. Paolo Astorri> > > - Scritto da: Avv. Alessandro Frillici> > Il problema è concreto e reale> specialmente> > se si considera la responsabilità penale> che> > può deriverare per aver omesso l'adozione> > delle misure minime di sicurezza (DPR> > 318/99) e quella civile, ben più grave,> per> > danni a terzi prevista dall'art. 18 L.> > 675/96.> > Non basta dotarsi di contromisure logiche> e> > fisiche, occorre che queste siano> coordinate> > tra loro e che siano supportate da una> > adeguata pianificazione della sicurezza.> > Non è questione di lucchetti e biciclette,> > si tratta di violazioni di norme e la> legge> > non distingue tra grandi, piccole o micro> > imprese.> > Eh si, caro avvocato, lei ha proprio ragione.> Purtroppo le PMI sono sempre a caccia della> scorciatoia.....> Se poi si tratta di migliorare le cose> organizzando bene (leggi coordinando le> misure di sicurezza, come lei giustamente> osserva) .. apriti cielo! Salvo poi piangere> a latte versato.> > Saluti cordiali>Anonimodimostrato come?
la fonte delle notizie che permettono di affermare in un articolo "è dimostrato che quasi il 60% del tempo dedicato all'utilizzo del web in orario di lavoro è spesso utilizzato per fini esclusivamente personali"quali sono?grazie.AnonimoRe: dimostrato come?
- Scritto da: E.Fangeri> > la fonte delle notizie che permettono di> affermare in un articolo > > "è dimostrato che quasi il 60% del tempo> dedicato all'utilizzo del web in orario di> lavoro è spesso utilizzato per fini> esclusivamente personali"> > quali sono?> > grazie.Forse la oornografia?AnonimoRe: dimostrato come?
Vi sono diverse fonti. Cito:- International Data Corp., September 2000- Vault.com, September, 2000- NFOWorldwide, April 2000- Gartner, April 2001Non tutte le fonti sono ovviamente concordi sull'esatta percentuale. Tutte riportano comunque un numero a due cifre.Anonimo[OT MA NON TROPPO] Che firewall mi consigliate?
Sto mettendo una ADSL a IP fisso in ufficio...Sto scartabellando in giro alla ricerca di un firewall decente, non carissimo, amministrabile con interfaccia web da fuori, senza VPN, http e ftp... Cosa mi consigliate?Qualche link di test comparativi?Quali sono le caratteristiche "salienti" da ricercare?Vi ringrazio già!!! :-)))AnonimoRe: [OT MA NON TROPPO] Che firewall mi consigliate?
ho scritto male!!!!senza VPN ma con http e ftp!! :-))))))))scusate!AnonimoRe: [OT MA NON TROPPO] Che firewall mi consigliate?
potresti semplicemente usare un pc con linux, hai un buon firewall (IPTables) e tutti i demoni che vuoi, http,ftp,mail e chi piu ne ha piu ne metta :P. Di tool per configurare il firewall via remota (tipicamente via web) ne trovi molti, ad esempio Tartarus (http://www.squidworks.net/tartarus/) ti permette di configurare sia IPTables che FreeSwan (in caso ti serva anche una VPN)bYesx- Scritto da: lo stesso di prima> ho scritto male!!!!> senza VPN ma con http e ftp!! :-))))))))> > scusate!AnonimoRe: [OT MA NON TROPPO] Che firewall mi consigliate?
ma ci faccia il piacere, mister linux..su winzoz c'è il buonissimo zonealarm pro, ha un prezzo abbordabilissimo.. e se non 6 convinto puoi provare la versione free per uso personale..è riconosciuto universalmente come uno dei miglior firewall in assoluto.. perkè andare a cercarsi grane con linux?mah..AnonimoRe: [OT MA NON TROPPO] Che firewall mi consigliate?
Provate il firewall scaricabile dal sito della mandrake software. E' gratuito, richiede un pentium 200 con 64MB di ram e ho impiegato 10 minuti (reali) per installarlo e configurarlo.AnonimoSITO PIRATA!!!
WWW.TAILOT.CJB.NET !!!! CI SERVE UNA MANO!!AnonimoRe: SITO PIRATA!!!
> CI SERVE UNA MANO!!se mi dai anche tu una mano...a grattarmi il c*lo!Anonimo[OT MA NON TROPPO] Che firewall mi consigliate?
Si, i consigli sono entrambi validissimi.Avevo già valutato con molta attenzione l'idea di metter su una macchina con Linux o installare un buon firewall su windows (sto già usando zonealarm sul mio pc)...In entrambi i casi ci sarebbero enormi vantaggi ($$) e potrei configurare, oltre al servizio di firewall, altre cose utili (proxi).[Linux]Mi rendo conto di essere rimansto molto indietro sull'argomento Linux...Per colpa della mia poca lungimiranza ora dovrei perdere molto tempo e visti i miei impegni lavorativi quel tempo non ce l'ho assolutamente (manco 1/2 ora... sig!)metter su le cose raffazzonate non penso vada bene...Sono un ex smanettone totale, non penso che bastino 3 4 ore per poter avere un sistema anche lontanamente definibile "sicuro"...[Entrambi]Preferivo la soluzione "hardware"sarà bello avere un pc che "fa anche questo", ma penso che nello scatolotto "ottimizzato" ci siano enormi vantaggi: sempre acceso, poco ingombro, ottimizzato per un compito, silenzioso, sicuramente meno "forzabile" perche sistema non molto conosciuto da lammer/hacker, meno "scassabile" dai dipendenti smanettoni...Quindi "ripercuoto" la mia domanda:"Che firewall mi accatto?" :-))(ho trovato questo http://www.sonicwall.com Come va?)AnonimoGrazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoGrazie per esserti iscritto alla nostra newsletterOops, la registrazione alla newsletter non è andata a buon fine. Riprova.Leggi gli altri commentiRedazione 05 03 2002
Ti potrebbe interessare