Link alla notizia: http://news.hwupgrade.it/12756.html

Secondo Gartner i dispositivi portatili con memorie flash o HD possono facilmente essere utilizzati per trafugare grosse moli di dati e informazioni

Click sul link per visualizzare la notizia.

grosse molti di iformazioni
o
grosse moli di informazioni


:-)

beh se le aziende permettono a chi nn e' administrator di aggiungere 1 dispositivo ;). Secondo me potevano evitarsi di fare nomi, mi sembra una mossa molto sleale.
In fondo W98 ha bisogno di drivers, linux basta configurarlo, windows XP/2000 vanno configurati, allora dov'e' la pericolosita'? Al solito nell'ignoranza delle persone sia di chi fa' annunci sia di chi usa il computer, lo stesso vale x la maggior parte di virus e trojan.
Cia'

wow, hanno scoperto l'acqua calda!!

Per lo meno qualcuno comincia a considerare la questione sicurezza anche da un pdv diverso dal solito megafirewall, antivirus o della solita trita e ritrita questione wireless.

???

???

Che senso ha questo allarmismo? Io nel mio stupidissimo contratto ho il divieto di trafugare dati, cosa che credo sia in tutti i contratti. Se poi uno è disonesto, iPod o meno, i dati li trafuga lo stesso, o se vuole fare dei danni li fa lo stesso...non centrano nulle le "memorie flash o hard disk". Per quello basta un DVD e masterizzare, comune strumento che mette a disposizione direttamente la ditta. Per i virus basta internet e la posta. Poi se uno vuole danneggiare basta che spenga il firewall e l'antivirus...non c'è bisogno di spendere 500 euro per un iPod.

virus e cavalli di troia nelle penne usb?

Ma dove diamine vive sto tipo?

Per me sono più preoccupati del fatto che i dipendenti utilizzino banda interent per il dl di mp3 da mettere su ipod.

Originariamente inviato da Wonder Che senso ha questo allarmismo?Beh non si tratta tanto di allarmismo, hanno fatto notare una cosa totalmente ovvia, della quale chiunque dovrebbe essere a conoscenza da tempo, ma sostanzialmente vera.
Esattamente come per masterizzatori, dat, floppy o altri dispositivi di storage, anche l'iPod o qualsiasi pennetta usb è un potenziale rischio.
Rendiamoci conto che ora anche nel nostro Paese (vabbè lasciamo perdere le proroghe) la riservatezza dei dati e le questioni relative alla sicurezza dal pdv giuridico hanno valenza penale.

Diciamo che le aziende dovrebbero dare un po' di fiducia nei propri dipendenti! Ma per risparmiare prendono una societá esterna ungherese, la quale a sua volta subappalta ad una cinese. E dopo un paio di mesi una bella ditta cinese esce con un prodotto del tutto simile? Chissa come mai! Ma ovvio la colpa é del dipendente che usa l'iPod in ufficio x isolarsi dal casino generato in sti odiosi "open space" (fatti ancora per risparmiare)! Certo, si deve controllare i propri dipendenti. Ma chi controlla i controllori? E i controllori dei controllori? Viva il Grande Fratello!

Tasslehoff, non credo sia questo il punto visto che anche prima della 196/03 la legge prevedeva sia sanzioni che provvedimenti di natura penale. Il punto sta nel consapevolizzare non solo l'"utonte" ma anche il professionista, per assurdo anche lo stesso CSO (chief security officer) di una grossa multinzionale su qualsiasi fonte di rischio. Sta poi a chi ha introdotto il sistema di gestione della sicurezza (l'insieme delle policies, procedure e la loro costante verifica ) capire se le vulnerabilità che mettono a rischio gli asset aziendali debbano essere eliminate sulla scorta di reali motivazioni di business e/o per adempimenti di legge.
Pertanto viva Gartner, Idc o chiunque altro sia in grado di diffondere informazioni che spezzino definitivamente quegli assiomi che hanno caratterizzato il mondo della sicurezza informatica (tipo firewall=sono sicuro). Sta a me capire se la minaccia pendrive costituisce un rischio o meno e cercare di applicare le opportune contromisure.

purtroppo non ci si puo fare nulla se non cfg il sistema al meglio per evitare inconvenienti legati ai pendrive.....pero non is possono mica fare miracoli...chi mi puo impedire (mi nel senso di malintenzionato) di entrare in azienda con un pendrive (voi sapete dove) e fare un po cio che mi pare?

Originariamente inviato da avalon1966
Pertanto viva Gartner, Idc o chiunque altro sia in grado di diffondere informazioni che spezzino definitivamente quegli assiomi che hanno caratterizzato il mondo della sicurezza informatica (tipo firewall=sono sicuro).Ma infatti sono perfettamente d'accordo con te, stiamo dicendo la stessa cosa. Imho Gartner sta dicendo qualcosa di corretto, non si tratta di inutili allarmismi, ciò non toglie che per quanto corrette queste cose dovrebbero già essere note e stranote.
Anche riguardo a come implementare il concetto di sicurezza sono d'accordo, firewall, antivirus &c sono sicuramente importanti, informazione e formazione però di più e purtroppo è proprio su questo che le aziende sono deficitarie

Altro che download di mp3, hanno paura che i dipendenti dormano tutto il giorno ascoltandoli!!!

Originariamente inviato da Luca69
Diciamo che le aziende dovrebbero dare un po' di fiducia nei propri dipendenti! Ma per risparmiare prendono una societá esterna ungherese, la quale a sua volta subappalta ad una cinese. E dopo un paio di mesi una bella ditta cinese esce con un prodotto del tutto simile? Chissa come mai! Ma ovvio la colpa é del dipendente che usa l'iPod in ufficio x isolarsi dal casino generato in sti odiosi "open space" (fatti ancora per risparmiare)! Certo, si deve controllare i propri dipendenti. Ma chi controlla i controllori? E i controllori dei controllori? Viva il Grande Fratello!
Hai perfettamente ragione!!
Senza contare che se poi la sicurezza funziona in una azienda i dati sono criptati o non accessibili a chi non ha bisogno di vederli... (provate a rubare un file delle buste paga se ci riuscite..)

chi configura la rete aziendale... immagino ci sarà una politica di permessi ben chiara..

poi ovvio, se tu hai accesso a dei dati, che te li possa portar via con pendrive, dvd-r, una stampata su carta in formato esadecimale, oppure impararli byte per byte a memoria, puoi farlo sempre.


quindi... secondo me... questo consiglio garner... è una CA**TA PAZZESCA!
http://www.clarence.com/multimedia/audio/fantozzi.wav

Un po' di dempo fa ho visto un film (tra l'altro bello), "La regla del sospetto" con Al Pacino e Colin Farrell.
E c'era proprio una delle situazioni prospettate da Gartner, ovvero un dipendente trafugava giornalmente parte di codice di un programma proprio tramite una chiavetta usb.

Io stesso ho lavorato per un'azienda dove avevo accesso, ma come me molti altri altri, a svariati TB di dati molto sensibili dal valore commerciale piuttosto elevato. Sicurezza zero! Chiunque avrebbe potuto sottrarre quei dati senza che nessuno lo venisse a sapere.

ma i dati sensibili di una azienda non dovrebbero essere messi al sicuro in un server inaccessibile?

mai dire mai davanti a un utonto quadratico medio: un esempio reale e' ben descritto su "Le Storie Dalla Sala Macchine" di Davide Bianchi ( http://www.soft-land.org/cgibin/doc.pl?doc=../storie/index ).

Ecco, se io dico a un amico "non fare usare cose come IPod ai tuoi dipendenti perché potrebbero rubare dei dati" è un discorso.
Tutt'altro discorso è che una società lo dica al mondo. Se chi gestisce la sicurezza dei dati di un'azienda è così ignorante da non rendersi conto che con una memoria USB si possono fregare i dati, automaticamente si farà prendere dal panico nel sentire una dichiarazione del genere.
Da cui i facili allarmismi.
Sarebbe sufficiente mettere Win NT/2K/XP e non dare i diritti per installare nuovo hardware.

il problema e' che non esiste politicy residente sulla macchina se hai una cosa del genere: con queste memorie puoi avviare tranquillamente da USB un "sistema libero", poi, avendo un sistema in modalita' amministratore, invece che come utente limitato....
insomma, da dentro una lan e' sempre piu' facile che da fuori, perche' la maggior parte delle volte i firewall controllano solo il traffico IN/OUT, e su quello interno ci si affida alle politicy residenti sui terminali.

n°1 Non sarà questo annuncio ad aprire gli occhi alle aziende perchè a meno che non siano dei veri deficenti, i dirigenti lo sapevano già...e se non lo sapevano allora non dico che meritino il furto ma quasi :rolleyes:

n°2 Mi dà fastidio il nominare l'ipod, io a casa ho un HD da 250Gb...permetti che sia pericoloso pure quello no? Perchè nominare proprio il prodotto Apple? Ma soprattutto, perchè nominare un prodotto specifico?!?!

Mah...:O

Gartner, e' veramente una barzelletta questa societa', guarda caso anche questa volta se la prende con un prodotto fornito da un suo concorrente, oops...scusate, un concorrente di MS.

Falso in quanto tutti i bios permettono una gestione password bios e una disabilitazione del boot da qualsiasi dispositivo che non sia l' HD !
E per fare le cose bene in azienda usi case che si possano chiudere con il lucchetto e che supportino il sistema antintrusione...
Certo il sistema sicuro non esiste ma almeno così non permetti di fare quello che hai detto tu...
Che poi per Win esistano decine di exploit che ti danno i diritti di amministratore e un'altra storia...

n°2 Forse perché è molto famoso e si voleva dare un esempio chiaro di cosa si stesse parlando?
Mi è sembrato ovvio che non se la prendesse in particolare con l'iPod ma lo usasse solo come esempio di lettore mp3. Se diceva Muvo in quanti capivano? E poi parla anche di chiavi usb ecc...

Dai, non facciamo polemiche quando non importa. Il problema c'è e fare esempi chiari aiuta a comprendere anche chi non se ne intende.

:rotlf:

mi pare quì diverse persone abbiano letto il libro di mitnick eh? bravi

Ho capito ma...anche se è una cosa detta magari senza secondi fini è una cosa che non si deve fare!

Non si può nominare un prodotto specifico solo perchè famoso...che si nomini la categoria generica, tanto tutti gli interessati san cos'è! Se non sai cos'è una chiave usb...è perchè non ce l'hai! :D

Non ci vedo nulla di così scandaloso in questa notizia. Ultimamente si era diffusa la convinzione che bisognasse proteggere i dati sopratutto dall'esterno contro attacchi di hacker et simila senza tenere conto che se non ci si chiama Miscrosoft il rischio di un accesso dall'esterno della rete è minimo, per disinteresse di chi potrebbe farlo. E' statiscamente provato che i "pericoli" maggiori in termini di sicurezza arrivano dall'interno e chi si occupa di sicurezza dovrebbe saperlo benissimo, non è questione di dare fiducia o meno ai dipendenti.

hmm...ma a me sembra che i floppy disk esistano sui computer da parecchie decine di anni....

Lavoro nel mercato della sicurezza da ormai 10 anni e credetemi al di la di tante parole è difficilissimo trovare aziende, anche le grandi multinazionali, on policies definite e adattate al momento di business.
Prima di tutto è un problema culturale e non tecnologico. La tecnologia dovrebbe essere un tramite per facilitarti ad implementare le policies che hai definito, magari appoggiandoti a best practies tipo BS 7799, ITSEC o equivalenti in modo da raggiungere il tuo scopo con il minor impatto di risorse e adattandoti all minaccia in modo più possibile puntuale per diminuire la finestra di rischio. Il veo problema è che difficilmente i reali decision makers in un azienda hanno la percezione che la sicurezza deve costituire un fattore abilitante di business e non un semplice "costo". Per esperienza ho notato che se media o fonti "autorevoli" (una gartner volente o nolente è molto più vicina ad un CEO che un organismo meno parziale tipo CERT) danno un messaggio questo può raggiungere la catena di comando in modo più puntuale, diretto, in pratica sono più credibili. Siccome implementare politiche di sicurezza comporta un impatto organizzativo e quindi economico non indifferente, se il decision maker finalmente ha capito il messaggio ci sono più possibilità che sponsorizzi un attività di questo tipo e quindi dedicare delle risorse nella configurazione corretta del sistema operativo delle postazioni di lavoro, implementare un infratsruttura di data integrity, garantire l'identità di chi accede alle risorse azendali per mezzo di sistemi si single sign on o addirittura facendo implementare un sistema di Identity and Access Management....
Chiaramente questo è solo il mio punto d vista.

Condivido a pieno il punto di vista di Avalon.

Presumo che i saccenti che parlavano di case chiusi a chiave o con policies ristrette per non installare hardware (nello stesso efficaci) lavorino in multinazionali molto probabilmente di informatica o che necessitano di una "sicurezza forte" e che ha poche sedi nel territorio o a degli infromatici in ogni sede.

1)Personalmente dove lavoro io mi dicono che c'è un nuovo assunto (che necessita di PC) il giorno prima mentre io devo fare altre 200 cose .... è già tanto se gli trovo un PC praticamente.

2)Ho 22 sedi da gestire , se ogni volta che c'è da aggiungere una stampante o simil mi chiamassero e fare tutto da remoto diventerei pazzo .

E va gia bene che sono in una multinazionale che può spendere un tot e appoggiarsu fornitori per la gestione della rete,firewall e antivirus

3)Vogliamo fare una statistica di quante aziende comprano case col lucchetto per poi scremarli ancora sul fatto che questi siano apribili in niente .............