[linux_var] in-sicurezza in azienda

Elena ``of Valhalla'' valhalla-l a trueelena.org
Ven 8 Apr 2016 19:08:28 CEST


On 2016-04-08 at 17:24:28 +0200, Mr. P|pex wrote:
> Premessa che non mi occupo di web in questa azienda;
> ieri il "sistemista" ha ricevuto una telefonata - da una azienda di
> consulenza non loro fornitore -  che lo informava relativamente a problemi
> di sicurezza del loro portale aziendale. [...]
> In questi casi la situazione risulta delicata, chi trova un problema come
> farebbe a segnalare la cosa senza essere accusato di penetration test (se
> mai per legge sia considerata attività criminale) ?

Sinceramente anche a me pare sospetto il comportamento di un azienda di
consulenza che, non richiesta, fa un pentest di un sistema altrui.

Probabilmente è solo un caso di marketing indirizzato male, ma in un
caso del genere mi chiederei perché mai un azienda di consulenza
dovrebbe fare lavoro non pagato per qualcuno che non è neanche loro
cliente? Cosa si aspettano di ottenere?

Diverso è ovviamente il caso di una segnalazione di problemi di cui una
persona un minimo esperta potrebbe accorgersi con una visita casuale:
"sono stato sul vostro sito, ho visto che usate
$VERSIONE_WORDPRESS_DI_DUE_MESI_FA, guardate che ha delle vulnerabilità"
è un conto, "ho analizzato a fondo tutto il vostro sito e ho trovato che
all'indirizzo $SITO/$LINK_CHE_NEANCHE_E`_PUBBLICATO, se si inserisce
$STRINGA_OTTENUTA_CON_DUE_ORE_DI_FUZZYNG si riesce a sfruttare una
vulnerabilità" è decisamente un altro.

> e lato azienda sono anche loro "colpevoli" di non mantenere "riservate" le
> informazioni? non hanno fatto "di tutto" per preservare i dati da terzi.
> 
> ​Stamattina il sistemista ha però informato il responsabile che ci sono un
> paio di problemi relativi al loro web. Da quanto ho capito non sono proprio
> corsi ai ripari, chiederanno ad un fornitore di fiducia sistemare le cose.

beh, anche qui dipende molto dalla situazione: di sicuro l'azienda deve
provvedere a sistemare le vulnerabilità in qualunque modo ne sia venuta
a conoscenza, e se il sito in questione è stato sviluppato da questo
fornitore rivolgersi a lui mi pare la cosa più naturale.

L'urgenza con cui farlo dipende anche dalla gravità della vulnerabilità,
dal tipo di dati presenti ed altri fattori che rendono difficile sapere
a che punto si trovano nel range tra "han fatto la cosa giusta" e "sono
degli incoscienti tendenti al criminale".

-- 
Elena ``of Valhalla''


Maggiori informazioni sulla lista Talking