Sicurezza informatica: rischio altissimo, bisogna reagire subito

[Redazione di Hardware Upg]

Link all'Articolo: http://www.hwupgrade.it/articoli/sic...ito_index.html

Abbiamo assistito alla presentazione del Rapporto CLUSIT, realizzata alla presenza di eminenti esperti del settore come Andrea Zapparoli Manzoni, Senior Manager Information Risk Management per KPMG; Davide Del Vecchio, responsabile del software di sicurezza informatica FASTWEB; Alessio L.R. Pennasilico, Security Evangelist in Objectivo Technology, e Alessandro Livrea, Regional Manager per Akamai Technologies

Click sul link per visualizzare l'articolo.

[Wikkle]

Sicuramente ammirevole il lavoro svolto da CLUSIT.... ma.... signori.... che sito internet da panico!

https://www.clusit.it

Passa la voglia di informarsi, non hanno una pagina social decente ed aggiornata... l'iscrizione alle newsletters è veramente scarsa.

Ma perchè???

[icoborg]

per carita il sito fa pena ma...pagina social?

[Wikkle]

Quote:

Originariamente inviato da icoborg

per carita il sito fa pena ma...pagina social?

Ci sono fior di fan pages super aggiornate e ben organizzate.
Forse non lo sai, ma c'è chi usa in maniera intelligente anche i social... non solo per guardare le foto o scrivere cavolate

[LORENZ0]

...che la delinquenza avrebbe cavalcato prima o poi anche il filone web/internet e simili...nulla di cui sorprendersi...ora lavorare tanto, sodo e bene per difendersi...

[Max_R]

Gira e rigira la tecnica più efficace per prevenire gi attacchi rimane la cosiddetta stacca-stacca-stacca https://youtu.be/g6tuepmUmJg la imparassero tutti, il mondo sarebbe un posto più sicuro

[gerko]

Ma che questo?
https://www.youtube.com/watch?v=Cs12sfnFkYs

ahahaha che ridere.
STACCAAAA!!!

[Tasslehoff]

Una cosa interessante da far notare è che tra le prime due cause ci sono sql injection e phishing, entrambi che hanno origine prettamente umana e non tecnica e sono perfettamente inquadrabili nello scenario tipicamente nostrano.

Le applicazioni scritte male dove non si valida (o lo si fa male) nessun tipo di input sono la naturale conseguenza dello scenario lavorativo IT.
E francamente sfido chiunque a dare la colpa agli sviluppatori, semmai le responsabilità andrebbero ricercate nelle aziende, negli enti, in tutti quei protagonisti che si rifiutano di pagare adeguatamente per avere a disposizione figure professionali skillate.
Nel momento in cui uno sviluppatore/analista/sistemista senior viene quotato come un junior o anche meno, e viene allocato si troppi progetti, tutti urgenti e "per ieri", il risultati sono questi.
Aggiungiamo anche project o service manager totalmente ignoranti dal punto di vista tecnico, spesso commerciali e venditori investiti di questo ruolo, che prendono decisioni e siedono a tavoli tecnici senza avere la più pallida idea dei temi o delle tecnologie di cui si sta parlando.
E se va bene lo scenario è questo, altrimenti si vendono junior come senior per rientrare in gare al ribasso e quotazioni folli.

Teniamo presente che fino a un paio d'anni fa le gare per la fornitura di servizi IT alla PA (che gira e rigira è il vero motore dell'IT italiano, perchè dai privati - salvo pochissime eccezioni quasi sempre bancarie - si scherza) prevedevano circa 350-400 euro a giornata per figure senior (possono sembrare tanti soldi ma bastano appena a pagare uno stipendio normale, tra appalti, subappalti e scatole cinesi varie).
Da allora le gare sono magicamente scese con quotazioni da 160-140 euro a giornata per le stesse figure, secondo voi come possono sostenere un ribasso simile le aziende?
E poi ovviamente aggiungete anche che le offerte devono sempre essere migliorative, quindi reperibilità h24 e presidi a orari indecenti, spesso su forniture di una criticità RIDICOLA.

Sul phishing basta pensare all'ignoranza tecnica pressochè assoluta che pervade la quasi totalità degli utenti finali delle aziende e degli enti, che spesso il management (privato e pubblico) pensa stupidamente di arginare con banalità perimetrali, antivirus e cose del genere, senza nemmeno pensare alle uniche vera armi, formazione e informazione.

In uno scenario del genere mi stupirei se i risultati fossero diversi

[Gundam.75]

Tasslehoff, sottoscrivo punto per punto. Aggiungici pure l'amico, fratello e cuggino (volutamente con 2g) che realizza siti, applicazioni ecc sviluppate con i piedi.
La colpa è del management aziendale che vede l'IT non come una risorsa e/o opportunità, ma come un costo intangibile che crea problemi

[battilei]

Scusate io ho letto solo il titolo:"rischio altissimo, bisogna reagire subito", e non ho letto l'articoletto.
Per caso c'è scritto qualche modo per reagire subito, oppure posso fare a meno di leggerlo ? Perlomeno qualcosa meglio di "STACCAH STACCAH STACCAH"

[battilei]

Quote:

Originariamente inviato da Tasslehoff

Sul phishing basta pensare all'ignoranza tecnica pressochè assoluta che pervade la quasi totalità degli utenti finali delle aziende e degli enti, che spesso il management (privato e pubblico) pensa stupidamente di arginare con banalità perimetrali, antivirus e cose del genere, senza nemmeno pensare alle uniche vera armi, formazione e informazione.

Non vorrei che la disinformazione pervadesse anche gli esperti del reparto IT.
Perchè io ho scritto 1000 volte che il problema ransomware l'ho risolto con Linux che banalmente non ha il bit execute sugli allegati.
E non ho minimamente fatto formazione nè informazione, perchè so benissimo che ad un impiegato che si occupa di tutt'altro, certi concetti gli entrano nella testa una volta e una settimana dopo li ha già dimenticati.

Continuare ad insistere con la formazione, non porta a nulla, se non ad ore di lavoro spese nelle... consulenze dei formatori.
E così ci guadagnano un po' anche loro, e il problema non si risolve, e i tennici devono continuare ad intervenire (e fatturare )
Insomma diciamolo chiaramente che questi ransomware sono un reddito anche per altri.

[battilei]

Quote:

Originariamente inviato da Gundam.75

La colpa è del management aziendale che vede l'IT non come una risorsa e/o opportunità, ma come un costo intangibile che crea problemi

E mi sembra che ha ragione.
Il problema ransowmare come lo risolvete ?
Invece di configurare le macchine in modo che non possano lanciare eseguibili arrivati nelle mail, se voi proponente della costosa ed inutile formazione.
E quindi l'IT è proprio quello: un costo, che crea problemi.

[hellkitchen]

Articolo molto interessante, grazie.

[Phantom II]

Quote:

Originariamente inviato da Tasslehoff

Una cosa interessante da far notare è che tra le prime due cause ci sono sql injection e phishing, entrambi che hanno origine prettamente umana e non tecnica e sono perfettamente inquadrabili nello scenario tipicamente nostrano.

Le applicazioni scritte male dove non si valida (o lo si fa male) nessun tipo di input sono la naturale conseguenza dello scenario lavorativo IT.
E francamente sfido chiunque a dare la colpa agli sviluppatori, semmai le responsabilità andrebbero ricercate nelle aziende, negli enti, in tutti quei protagonisti che si rifiutano di pagare adeguatamente per avere a disposizione figure professionali skillate.
Nel momento in cui uno sviluppatore/analista/sistemista senior viene quotato come un junior o anche meno, e viene allocato si troppi progetti, tutti urgenti e "per ieri", il risultati sono questi.
Aggiungiamo anche project o service manager totalmente ignoranti dal punto di vista tecnico, spesso commerciali e venditori investiti di questo ruolo, che prendono decisioni e siedono a tavoli tecnici senza avere la più pallida idea dei temi o delle tecnologie di cui si sta parlando.
E se va bene lo scenario è questo, altrimenti si vendono junior come senior per rientrare in gare al ribasso e quotazioni folli.

Teniamo presente che fino a un paio d'anni fa le gare per la fornitura di servizi IT alla PA (che gira e rigira è il vero motore dell'IT italiano, perchè dai privati - salvo pochissime eccezioni quasi sempre bancarie - si scherza) prevedevano circa 350-400 euro a giornata per figure senior (possono sembrare tanti soldi ma bastano appena a pagare uno stipendio normale, tra appalti, subappalti e scatole cinesi varie).
Da allora le gare sono magicamente scese con quotazioni da 160-140 euro a giornata per le stesse figure, secondo voi come possono sostenere un ribasso simile le aziende?
E poi ovviamente aggiungete anche che le offerte devono sempre essere migliorative, quindi reperibilità h24 e presidi a orari indecenti, spesso su forniture di una criticità RIDICOLA.

Sul phishing basta pensare all'ignoranza tecnica pressochè assoluta che pervade la quasi totalità degli utenti finali delle aziende e degli enti, che spesso il management (privato e pubblico) pensa stupidamente di arginare con banalità perimetrali, antivirus e cose del genere, senza nemmeno pensare alle uniche vera armi, formazione e informazione.

In uno scenario del genere mi stupirei se i risultati fossero diversi

Quello che esponi mi pare rientri tutto in un fattore strutturale di sistema. Alla fine della fiera si lavora e produce a quel modo per massimizzare i profitti/ridurre i costi (a seconda della sponda presa in considerazione), sempre a vantaggio di pochi ovviamente.
Per farla breve, capitalismo, di quello più da squali.

[baruk]

Paghiamo l'ignoranza informatica e la superficialità dei dirigenti e degli impiegati. In Italia, quando parlo di sicurezza dei PC e dei dati che producono i miei colleghi, la risposta è sempre "dopo, ora sono molto occupato"... poi fanno cazzate, va tutto in fumo, e tutti a piangere...

[v10_star]

Quote:

Originariamente inviato da baruk

Paghiamo l'ignoranza informatica e la superficialità dei dirigenti e degli impiegati. In Italia, quando parlo di sicurezza dei PC e dei dati che producono i miei colleghi, la risposta è sempre "dopo, ora sono molto occupato"... poi fanno cazzate, va tutto in fumo, e tutti a piangere...

quoto e sottoscrivo

potrei portare esempi di clienti che pur perdendo i dati 2/3 volte per colpa del solito cryptolocker hanno ancora fermo la il preventivo per la messa in sicurezza dei servizi potenzialmente vettori di infezioni come posta, web, networking ecc...

finchè pagano le fatture di ripristino da DR mi sta anche bene, ma avere N spade di damocle che spuntano a random mandandomi a putt@ne la pianificazione di altri lavori inizia a stancarmi...

[icoborg]

Quote:

Originariamente inviato da Wikkle

Ci sono fior di fan pages super aggiornate e ben organizzate.
Forse non lo sai, ma c'è chi usa in maniera intelligente anche i social... non solo per guardare le foto o scrivere cavolate

fan pages?

[bio.hazard]

Bisogna reagire subito?

La reazione tipica dell'imprenditore italiota è quella di andare in concessionaria a ordinare un SUV in leasing.

[battilei]

Quote:

Originariamente inviato da bio.hazard

Bisogna reagire subito?

La reazione tipica dell'imprenditore italiota è quella di andare in concessionaria a ordinare un SUV in leasing.

E invece dovrebbe rivolgersi ad una ditta di consulenza !
Potremmo inviare delle newsletter del tipo: "potresti perdere tutti i dati ! rivolgiti a noi che abbiamo la soluzione !"
E il cliente risponde "WOOOOOW minkia chiamo subito !" E ci dà subito qualche migliaio di euro in cambio di fuffa !
E poi già che ci siamo, raccontiamo che la infrastruttura è inadeguata, che la ditta precedente ha fatto dei brutti lavori, e qui e là, e bisogna cambiare tutto !

[Tasslehoff]

Quote:

Originariamente inviato da battilei

Non vorrei che la disinformazione pervadesse anche gli esperti del reparto IT.
Perchè io ho scritto 1000 volte che il problema ransomware l'ho risolto con Linux che banalmente non ha il bit execute sugli allegati.
E non ho minimamente fatto formazione nè informazione, perchè so benissimo che ad un impiegato che si occupa di tutt'altro, certi concetti gli entrano nella testa una volta e una settimana dopo li ha già dimenticati.

Continuare ad insistere con la formazione, non porta a nulla, se non ad ore di lavoro spese nelle... consulenze dei formatori.
E così ci guadagnano un po' anche loro, e il problema non si risolve, e i tennici devono continuare ad intervenire (e fatturare )
Insomma diciamolo chiaramente che questi ransomware sono un reddito anche per altri.

Quote:

Originariamente inviato da battilei

E mi sembra che ha ragione.
Il problema ransowmare come lo risolvete ?
SNIP

Quote:

Originariamente inviato da battilei

E invece dovrebbe rivolgersi ad una ditta di consulenza !
SNIP

Si va bene, abbiamo capito che hai avuto brutte esperienze e quindi tutte le società informatiche o di consulenza sono brutte, cattive, disoneste e tramano nell'ombra per fregare i clienti
Non c'è bisogno di ripeterlo ad ogni reply, altrimenti viene spontaneo pensare ad un tentativo di flame.

La tua soluzioni quindi quale sarebbe?
Continuare a brancolare nell'ignoranza e confidare in qualche mistico rimedio temporaneo, sia esso una magica distribuzione (poi quanto sia applicabile in tutti i casi non è dato da sapere, ma tanto ormai tutto è web, giusto? ) o il mitico antivirus che tutto fa e tutto risolve?
Non so, io dall'alto della mia ignoranza mi permetto di considerare la formazione degli utenti (leggasi fargli capire le conseguenze di un certo modo di fare, dargli istruzioni per farlo in relativa sicurezza) come il punto di partenza per trovare una soluzione.
Magari sarà una visione ingenua o idealistica, ma mi sembra la più razionale e praticabile (che poi richieda parecchio tempo e risorse sono d'accordo, ma problemi complessi con soluzioni semplici e low cost francamente non ne ho mai visti).

Poi una piccola precisazione, formare il personale può voler dire far studiare il proprio personale, ma anche assumere personale già formato.
E' ovvio però che in questo caso occorre mettere mano al portafogli e giustamente pagare la gente per quello che sa fare e per le proprie skill.
Francamente io ne ho piene le tasche di aziende che piangono miseria e poi aggravano la propria condizione assumendo "smanettoni" o "ragazzi che ci capiscono col computer" e spacciandoli per senior (da cui nascono le famose nuove figure professionali come lo "sviluppatore Wordpress" ).
Vuoi gente formata e competente? Bene, allora la paghi adeguatamente.
Non te lo puoi permettere? Benissimo, continua pure a pedalare nello yogurt arrancando tra progetti zoppi e soluzioni maccheroniche, ma non ti venire a lamentare se per uscire dalle sabbie mobili ti tocca comprare giornate di consulenza ipercostose.