[linux_var] in-sicurezza in azienda

Elena ``of Valhalla'' valhalla-l a trueelena.org
Dom 10 Apr 2016 11:45:42 CEST


On 2016-04-10 at 00:03:20 +0200, Mr. P|pex wrote:
> - la presenza di una di quelle cartelle da rimuovere alla fine della
> installazione di un framework
> - la presenza nella url di login/pass in chiaro (dopo che ci si è
> registrati al portale aziendale)
> [...]
> Mi domando se io da privato cittadino trovassi una falla, come dovrei
> comportarmi?
> mi pare abbiate dato diverse versioni con sfumature,
> mi son fatto l'idea di  starei attento a farlo e a comunicarlo.

il privato cittadino che si accorge di una falla con l'uso normale del
sito è una situazione ben diversa: in quel caso non c'è di mezzo
un'azienda che spende del tempo (anche fosse solo il minimo necessario
per lanciare uno scan automatico) per fare lavoro non richiesto.

Per accorgersi ad esempio del secondo problema non è necessario nessun
tipo di scan, se ho ben capito basta essere utenti del sito e buttare un
occhio alla barra degli indirizzi; in questo caso mi pare che un privato
cittadino che si accorge della cosa abbia due cose da fare (assieme, o
in alternativa):

* avvisare, magari suggerendo l'opportunità di farsi fare un pentest
  da dei professionisti, per trovare probabili altre falle
* scappare altrove e non mettere i propri dati su quel sito, dato che ha 
  alte probabilità di essere bucabile con un nonnulla.

Il primo problema è più sfumato: quello non è un problema di cui ci si
accorga dal normale uso del sito e per quanto probabilmente non sia
necessario fare niente di illegale per accorgersene viene sempre
spontaneo chiedersi perché l'abbia fatto.

In questo caso la cosa è un po' meno sospetta, dato che dicendolo non ha
modo di aspettarsi ritorni economici (anzi, avrebbe maggiori possibilità
di ritorno economico non dicendolo), ma si rimane comunque perplessi sul
motivo che possa averlo spinto a farlo.
-- 
Elena ``of Valhalla''


Maggiori informazioni sulla lista Talking