Link alla notizia: http://www.hwupgrade.it/news/sicurezza/sicurezza-molte-compagnie-che-se-la-prendono-comoda_25234.html

Molte compagnie del settore IT non hanno ancora corretto alcune vulnerabilità segnalate da tempo immemore

Click sul link per visualizzare la notizia.

Assurdo. D'altra parte è il loro lavoro.

L'elenco mostra dati piuttosto imbarazzanti: Computer Associates ha ben 2 falle non corrette classificate con grado High da 604 giorni.


certo e microzoz?!?! sono ben 3 le falle!

Toh, CA è prima :asd:
Ma tu guarda :asd:

coooome mi sento tranquillo :stordita:

Occhio che questi siti tendono fin troppo spesso a contare HIGH delle vulnerabilità ridicole solo per darsi un tono o farsi pagare di più.....

La stessa Secunia (considerata tra le più affidabili) è stata notata lasciare
come "non patchate" delle vulnerabilità su alcune distro che però non
corrispondevano più a nessun pacchetto installabile da tempo
(leggi: avevano già adottato tutti le versioni più recenti, ma il fatto di non aver
messo la patch per quelle vecchie è rimasto segnato....
chissà che gran danno non aver patchato firefox-1.0.2 al giorno d'oggi...)

P.S.: E lo dico anche contro le mie personali simpatie visto che
alla pagina indicata le vulnerabilità Microsoft classificate HIGH sono 9! (http://zerodayinitiative.com/advisories/upcoming/)
(Altro che CA che ne ha solo 2....)

toh, c'è microsoft

e complimenti anche a CA per il primo e secondo posto!!!

Occhio che questi siti tendono fin troppo spesso a contare HIGH delle vulnerabilità ridicole solo per darsi un tono o farsi pagare di più.....

La stessa Secunia (considerata tra le più affidabili) è stata notata lasciare
come "non patchate" delle vulnerabilità su alcune distro che però non
corrispondevano più a nessun pacchetto installabile da tempo
(leggi: avevano già adottato tutti le versioni più recenti, ma il fatto di non aver
messo la patch per quelle vecchie è rimasto segnato....
chissà che gran danno non aver patchato firefox-1.0.2 al giorno d'oggi...)

P.S.: E lo dico anche contro le mie personali simpatie visto che
alla pagina indicata le vulnerabilità Microsoft classificate HIGH sono 9! (http://zerodayinitiative.com/advisories/upcoming/)
(Altro che CA che ne ha solo 2....)

Devi considerare, però, che anche se piccola, esiste una percentuale di utenti che perchè non lo ritiene fondamentale o perchè si trova meglio con una versione non recentissima, non aggiorna sempre il software che usa all'ultimissima versione.
Dove lavoro io, ad esempio due utenti continuano ad utilizzare explorer 6 al posto del 7. :read:
E' tutto relativo, come al solito... :doh:

purtroppo è una cosa seria, mi hanno rubato di recente account ebay, che per fortuna ho risolto in fretta, e un account hotmail, che ancora ci sto lavorando, se migliorassero i loro sistemi di sicurezza molto cose non succederebbero.

non mi venite a dire la colpa è mia, in quanto ho un sistema blindato e non è possibile penetrarvi

puoi avere il sistema blindato quanto vuoi ma se come password usi sempre 1234...

puoi avere il sistema blindato quanto vuoi ma se come password usi sempre 1234...

sempre meglio di qwerty

puoi avere il sistema blindato quanto vuoi ma se come password usi sempre 1234...

no usavo 000000 cosi era anche più facile.....

purtroppo succede entrano nei loro database, ed escono i dati

no usavo 000000 cosi era anche più facile.....

purtroppo succede entrano nei loro database, ed escono i dati

LOOLL SPETTACOLARE...:D :D

Cmq ad ebay i dati ne escono na cifra...

no usavo 000000 cosi era anche più facile.....

purtroppo succede entrano nei loro database, ed escono i dati

Scusa ma a me questa mi pare una cosa poco sensata.
Ammesso che riescano ad entrare nei loro database (ma cmq probabile) dovrebbero poi anche decriptare le password...

E' più credibile che il tuo sistema "blindato" dove è "impossibile penetrare" non sia poi davvero tale...
:muro:

Scusa ma a me questa mi pare una cosa poco sensata.
Ammesso che riescano ad entrare nei loro database (ma cmq probabile) dovrebbero poi anche decriptare le password...

E' più credibile che il tuo sistema "blindato" dove è "impossibile penetrare" non sia poi davvero tale...
:muro:

penso che con il termine blindato intendeva il solito sistema aziendale dove non puoi toccare nessuna impostazione,

Devi considerare, però, che anche se piccola, esiste una percentuale di utenti che perchè non lo ritiene fondamentale o perchè si trova meglio con una versione non recentissima, non aggiorna sempre il software che usa all'ultimissima versione.
Dove lavoro io, ad esempio due utenti continuano ad utilizzare explorer 6 al posto del 7. :read:
E' tutto relativo, come al solito... :doh:

Certamente, ma se vai a guardare quelli che non aggiornano il software
dalla versione 6 alla 7 sono nel 90% dei casi proprio quelli che non vanno
neanche ad aggiornarlo dalla 6.0 alla 6.1, quindi diventa inutile rilasciare
delle patch /updates per chi tanto non le userà....
(ammetto che questo ragionamento funziona molto meglio coi software
open-source che non con IE o coi software a pagamento, ma il mio esempio
su Secunia proprio di open-source parlava.)

Ma va, non ascoltate queste indagini. Vista è più sicuro di Red Hat perchè in Vista sono state trovate meno falle... :asd:

Il bello è che c'è chi crede a questi ragionamenti assurdi.

Ma va, non ascoltate queste indagini. Vista è più sicuro di Red Hat perchè in Vista sono state trovate meno falle... :asd:

Il bello è che c'è chi crede a questi ragionamenti assurdi.

:rotfl: :sbonk:

eheh, ma secondo microsoft windows è anche più sicuro di linux e mac

no usavo 000000 cosi era anche più facile.....

purtroppo succede entrano nei loro database, ed escono i dati

Peccato che nei loro database super-bucati siano conservati solo gli hash delle password, e non è possibile risalire alla password originale avendo solo l'hash, l'unico modo è trovare collisioni....:rolleyes:

è successo anche a me... stessa cosa bucato ebay e msn... in 15 anni di pc mai successa una cosa del genere...

cmq se hai 2 account associati su msn... entrando con uno... poi ti fa accedere all'altro... anche se hanno password diverse... mah... a me è servito per ripristinare il tutto... però mi sembra na cazzata

A me avevano craccato GMAIL ma recuperata subito la password. E anche paypal ma questo tutto dal pc windows di mio papà. Sul mio Linux mai avuto nessun problema.

E' inoltre ovvio che computer blindati non esistono, certo il nostro compito è sicuramente quello di diminuire la possibilità di concedere un' entrata ad un hacker. Un po' come lim di x che tende a zero, ci si avvicina ma allo zero mai.

Per quanto riguarda hotmail e msn è un problema che non mi riguarda più visto che sono passato a GMAIL tentando di chiudere ogni contatto con zio Bill però devo ammettere che non avevo mai riscontrato problemi con la posta microzozz.

penso che con il termine blindato intendeva il solito sistema aziendale dove non puoi toccare nessuna impostazione,

blindato, che non possono entrare e recuperare nulla ed iperprotetto, cmq privato non aziendale, da ie7, opera, nod32, sygate, spybot, hosts modificato, sp3, etc.

probabilmente sarà successo quando ho dovuto accedere da un altro pc non mio per fare un'operazione.

Mah, se una falla rimane aperta per quasi due anni allora non è così grave...

Anche andare a vedere il quarto è HP.
Cosa può aver fatto HP per avere una vulnerabilità alta? Se scansioni una particolare immagine allora i driver rendono il tuo PC controllabile da remoto?

Ehhh??

Ma guarda che qua si parla dei LORO sistemi non di software che abbiamo sul nostro PC prodotti da loro...

E' inoltre ovvio che computer blindati non esistono, certo il nostro compito è sicuramente quello di diminuire la possibilità di concedere un' entrata ad un hacker. Un po' come lim di x che tende a zero, ci si avvicina ma allo zero mai.



Come al solito usate Linux ma non usate la parola hacker fuori luogo.
Citazione:
Lo zero è superato dall'uno e l'uno e superato dal 01 insieme non ci sono altri numeri eppure esistono miliardi di numeri con lo 01 informatica.
Ciao

blindato, che non possono entrare e recuperare nulla ed iperprotetto, cmq privato non aziendale, da ie7, opera, nod32, sygate, spybot, hosts modificato, sp3, etc.

probabilmente sarà successo quando ho dovuto accedere da un altro pc non mio per fare un'operazione.

Il nod32 crackato è ottimo per blindare un pc ...... :rolleyes:

Peccato che nei loro database super-bucati siano conservati solo gli hash delle password, e non è possibile risalire alla password originale avendo solo l'hash, l'unico modo è trovare collisioni....:rolleyes:

Non è esattamente così, esistono dei modi per identificare una password anche dal suo hash, tramite dei sistemi di controllo incrociato ... ;)
Non sempre funziona, ma non è "impossibile". :cool:

blindato, che non possono entrare e recuperare nulla ed iperprotetto, cmq privato non aziendale, da ie7, opera, nod32, sygate, spybot, hosts modificato, sp3, etc.

probabilmente sarà successo quando ho dovuto accedere da un altro pc non mio per fare un'operazione.
Ti ricordo una massima: l'unico sistema sicuro è un sistema sicuro è un sistema isolato. ovvero un sistema in cui nessuno può accedere ne dalla rete (quindi niente internet) ne fisicamente (quindi chiuso a chiave) :D
cmq la tua nn mi sembra la configurazione più sicura creabile, per esempio la mia: rete protetta con firewall e ids hardware.
Gentoo patchato grsecurity + SELinux in modo da avere controllo degli accessi mandatorio e discrezionale


Non è esattamente così, esistono dei modi per identificare una password anche dal suo hash, tramite dei sistemi di controllo incrociato ... ;)
Non sempre funziona, ma non è "impossibile". :cool:
oppure basta il semplice attacco dizionario + brute force e confidare nella fortuna.

Il nod32 crackato è ottimo per blindare un pc ...... :rolleyes:

ma quale crackato?????

dico ma scherzi o dici sul serio, poi non capisco come affermi una cosa del genere... se uno deve parlare tanto per dire.....

come al solito non si può discutere civilmente su questo forum, che ci deve sempre esser qualcuno a far lo "spiritoso"

oppure basta il semplice attacco dizionario + brute force e confidare nella fortuna.

Già... soprattutto se non c'è limite ai tentativi di log-in, altrimenti il dizionario e la forza bruta non sono efficaci.:p almeno di avere un :ciapet: grande come una casa.
L'hash invece te lo puoi lavorare off-line e quando finalmente hai la parolina magica :read: , sei a cavallo. . :D :D :D.
Ola. ;)

Ti ricordo una massima: l'unico sistema sicuro è un sistema sicuro è un sistema isolato. ovvero un sistema in cui nessuno può accedere ne dalla rete (quindi niente internet) ne fisicamente (quindi chiuso a chiave) :D
cmq la tua nn mi sembra la configurazione più sicura creabile, per esempio la mia: rete protetta con firewall e ids hardware.
Gentoo patchato grsecurity + SELinux in modo da avere controllo degli accessi mandatorio e discrezionale

si infatti ma era tanto per dire, visto che qualcuno aveva sospettato di un sistema non aggiornato e non protetto nemmeno da un antivirus e con passw banali...


oppure basta il semplice attacco dizionario + brute force e confidare nella fortuna.

infatti, credo proprio che la maggior parte succede in questa maniera e non ci vuole poi moltissimo, poi lo sanno tutti che hotmail non è il max come sicurezza

Già... soprattutto se non c'è limite ai tentativi di log-in, altrimenti il dizionario e la forza bruta non sono efficaci.:p almeno di avere un :ciapet: grande come una casa.
L'hash invece te lo puoi lavorare off-line e quando finalmente hai la parolina magica :read: , sei a cavallo. . :D :D :D.
Ola. ;)

era proprio quello che intendevo, la funziona hash è pubblica come ogni algoritmo di cifratura quindi ce l'abbiamo.

proviamo a calcolare l'hash di una serie di parole/ frasi più comuni e confronto il risultato se è uguale ho trovato la pwd.(attacco dizionario)

se arrivo alla fine del dizionario senza trovare la password provo combinazioni casuali (bruteforce)
e questi attacchi sono sempre fattibili, non dipende dall'implementazione e quindi dall'applicazione(a meno di usare funzioni hash non sicure come md5)
l'una soluzione è una certa responsabilità nella scelta delle password

era proprio quello che intendevo, la funziona hash è pubblica come ogni algoritmo di cifratura quindi ce l'abbiamo.

proviamo a calcolare l'hash di una serie di parole/ frasi più comuni e confronto il risultato se è uguale ho trovato la pwd.(attacco dizionario)

se arrivo alla fine del dizionario senza trovare la password provo combinazioni casuali (bruteforce)
e questi attacchi sono sempre fattibili, non dipende dall'implementazione e quindi dall'applicazione(a meno di usare funzioni hash non sicure come md5)
l'una soluzione è una certa responsabilità nella scelta delle password

guarda ho sempre usato password complesse pure con caratteri speciali e soprattutto passw non banali con date, nomi etc.

ma evidentemente non è bastato

Io vorrei sottolineare una cosa e cioe' CHE PER MESSENGER IO NON ENTRO MAI DIRETTO DAL SITO HOTMAIL MA DAL MESSENGER LIVE PER LA POSTA E MAI PRIMA DEL "LIVE" MI ERA CAPITATO CHE RIMANESSERO MEMORIZZATE ACCOUNT E PASSWORD NEL SITO "ACCEDI" DI HOTMAIL.

Meno male che il pc era di casa. Cioe' tu sul mio pc scrivevi (anche pulendo cookie e schifezze simili) www.hotmail.com e dal sito col solito "accedi" a destra avevi i miei 4 account con la pass nascosta ma gia' inserita. Cliccavi su "Accedi" su uno qualsiasi dei 4 account ed entravi. COME CA**O E' POSSIBILE STA COSA NON LO SO. Col vecchio msn non succedevano ste cose, al max avevi solo la mail salvata. E QUANDO HO RIMOSSO TUTTI E 4 GLI ACCOUNT DAL SITO, MI SONO SPARITI ANCHE DA MESSENGER. Per fortuna che le impostazioni non me le aveva cancellate.

Nota: cookie e roba simile cancellati, messenger non aperto. Memorizza account live (di mer*a) su pc, cosi' poi tutti accedono...

W la sicurezza, grazie Macrohole... E meno male che e' il pc di casa. "Accedi senza password sull'account del collega con un clic" :mbe:

Non è esattamente così, esistono dei modi per identificare una password anche dal suo hash, tramite dei sistemi di controllo incrociato ...
Non sempre funziona, ma non è "impossibile". E' impossibile decriptare l'hash (dato che non cripta, "hasha")....l'unico modo è trovare collisioni, senza troppi giri di parole :)

Sorprendentemente si aggiunge alla lista anche Symantec

Sorprendentemente non sono affatto sorpreso... :D

Occhio che questi siti tendono fin troppo spesso a contare HIGH delle vulnerabilità ridicole solo per darsi un tono o farsi pagare di più.
La stessa Secunia (considerata tra le più affidabili) è stata notata lasciare come "non patchate" delle vulnerabilità su alcune distro, che però non corrispondevano più a nessun pacchetto installabile da tempo (leggi: avevano già adottato tutti le versioni più recenti, ma il fatto di non aver messo la patch per quelle vecchie è rimasto segnato. Chissà che gran danno non aver patchato firefox-1.0.2 al giorno d'oggi).

E lo dico anche contro le mie personali simpatie visto che
alla pagina indicata le vulnerabilità Microsoft classificate HIGH sono 9! (http://zerodayinitiative.com/advisories/upcoming/) Altro che CA che ne ha solo 2.

Mai fidato di Secunia, infatti. Pero' per spezzargli una lancia a favore, mi pare che le vulnerabilita' siano suddivise per versione del software.

Ti ricordo una massima: l'unico sistema sicuro è un sistema sicuro è un sistema isolato.

Io sapevo: l'unico pc sicuro e' un pc spento :D