|
|||||||
|
|
|
 |
|
|
Strumenti |
19-09-2011, 12:22
|
#1 |
|
www.hwupgrade.it
Iscritto dal: Jul 2001
Messaggi: 75166
|
Link alla notizia: http://www.hwfiles.it/news/vulnerabi...ivi_38555.html
Un ricercatore italiano ha individuato alcuni problemi di sicurezza nei controller utilizzati in impianti critici e strategici, tra i quali installazioni energetiche, siti aerospaziali o più in generale in ambito militare Click sul link per visualizzare la notizia. |
|
|
|
19-09-2011, 13:03
|
#2 |
|
Bannato
Iscritto dal: Oct 2002
Messaggi: 29264
|
Certi sistemi dovrebbero essere a circuito chiuso, completamente scollegati dalla rete.
|
|
|
|
|
19-09-2011, 13:17
|
#3 |
|
Senior Member
Iscritto dal: Jan 2007
Città: quel ramo del lago di como, che volge a mezzogiorno... ^^
Messaggi: 19625
|
non serve essere collegati per forza a internet per essere vulnerabili.
basta pensare alle reti wireless. solo una rete col filo e chiusa, è inviolabile dall'esterno senza fisicamente usare una macchina della stessa rete. o staccare il cavo e metterlo sul tuo pc...
__________________
Ultima modifica di Khronos : 19-09-2011 alle 13:21. |
|
|
|
|
19-09-2011, 13:42
|
#4 |
|
Senior Member
Iscritto dal: Dec 2004
Città: Milano
Messaggi: 331
|
Se non ricordo male Stuxnet ha sfruttato una chiavetta USB... Quindi anche essere offline non è una garanzia.
|
|
|
|
|
19-09-2011, 13:55
|
#5 | |
|
Senior Member
Iscritto dal: Aug 2003
Città: Legnano (MI)
Messaggi: 4901
|
Quote:
 Come scrisse Kevin Mitnick: "spesso si legge che l'unico computer sicuro è un computer spento; tuttavia un abile ingegnere sociale troverà sempre qualche persona disponibile che glielo accende!"considera che stiamo parlando di servizi critici, un attacco a certi sistemi di controllo può essere la base per un attacco più avanzato (furti, terrorismo, ecc.), quindi non ci si deve difendere mica dallo script kiddie di turno. Ultima modifica di avvelenato : 19-09-2011 alle 13:58. |
|
|
|
|
|
19-09-2011, 15:22
|
#6 |
|
Senior Member
Iscritto dal: May 2006
Città: Vergiate (VA)
Messaggi: 4315
|
scommetto che quando ha scoperto il baco avrà esclamato ED E' RETEEEE SI GGONFIA LA RETEEE
__________________
HAF 922-RYZEN 5 3600+NOCTUA U12S-ANTEC HCG 520W-MSI B550 GAMING PLUS-2X8GB HYPERX FURY RGB-SAPPHIRE RX580 NITRO+ 4GB- ADATA XPG SX8200 Pro 512GB + -CRUCIAL M4 64GB+SAMSUNG 860EVO 256GB+840EVO 128GB+MAXTOR 320GB-CM MK750 CHERRY RED+CMSTORM SENTINEL 3+RAZER VESPULA-AOC 24G2U & SAMSUNG 223BW  COMPRAVENDITE MERCATINO OK
|
|
|
|
|
19-09-2011, 15:47
|
#7 | |
|
Senior Member
Iscritto dal: Dec 2002
Messaggi: 2292
|
Quote:
La sicurezza non si ottiene limitandosi alla protezione perimetrale, deve assolutamente considerare la possibilità di attacchi da insiders e, restando sui comportamenti in buona fede, di mancanza di rispetto perfino di semplici policy di sicurezza (es. utilizzo di chiavette USB infette) da parte del personale interno e può (in certi casi deve!) comprendere controlli detectivi che rilevino e possibilmente blocchino attacchi in corso, partendo dal presupposto che "qualcuno" o "qualcosa" sia comunque riuscito a penetrare nelle difese. In sistemi di tale criticità, ciò è un obbligo. Mi sa che di vulnerabilità dei sistemi SCADA e probabilmente anche di attacchi realmente avvenuti ne sentiremo parlare sempre più spesso ... 
__________________
Lenovo Legion Pro 7i  Redmi Pad Xiaomi 12X
Ultima modifica di freesailor : 19-09-2011 alle 15:50. |
|
|
|
|
|
19-09-2011, 18:23
|
#8 | |
|
Senior Member
Iscritto dal: Dec 2002
Città: Italia
Messaggi: 12360
|
Quote:
Immagina un oleodotto lungo 2500km con un plc e un trasduttore ogni 5km che misura la pressione, il flusso per capire eventuali perdite e problemi. Come connetti un sistema del genere che ha 500 periferiche da controllare a distanza? Puoi usare una rete privata al posto di un sistema aperto come internet? Dove finisce una rete privata e la sua sicurezza? Finisce dove una persona fisicamente può manomettere la connessione ed entrare fisicamente nella VPN con tutta tranquillità visto che non puoi monitorare 2500km di tubatura.. E questo e' un esempio stupido anche se fondamentale per le sorti di una nazione.. Basta pensare a tutte le connessioni politiche e belliche di una tale manomissione... PS: parlo per esperienza diretta purtroppo... Ultima modifica di Taz83 : 19-09-2011 alle 18:38. |
|
|
|
|
|
19-09-2011, 19:28
|
#9 |
|
Bannato
Iscritto dal: May 2001
Messaggi: 6246
|
...anche perche' lo sniffing a distanza dei cavi ethernet leggendo le onde elettromagnetiche che emette e' gia' stato fatto, come quello del cavo PS2 della tastiera, quindi il filo e' sicuro piu' o meno quanto il wifi (siamo sempre sui 10 metri di distanza; per lo sniffer a 0 metri l'attrezzatura non e' nemmeno costosa o complicata da costruire, sono una serie di anelli che leggono per effetto hall).
avendo l'attrezzatura credo che ci sia un solo sistema elettronico realmente sicuro: il computer a quanti, e solo sull'unita' di controllo degli spin (per il Principio di indeterminazione di Heisenberg se io vedo il dato lo caambio, quindi se tu cerchi di vederlo dopo di me lo trovi cambiato e se lo fai prima lo trovo cambiato io, e me ne accorgo... con questa logica c'e' poco da fare); ci sono quelli piu' facili di altri, ma e' solo una questione di aver trovato il metodo piu' semplice per l'hacking. stavo leggendo ora di un programma che ti aiuta nella decriptazione delle smart card avendo una lettura del circuito con un microscopio elettronico (ma credo che anche con un buona scansione ai raggi X sia ugualmente fattibile). Con le giuste conoscenze tecniche si puo' risalire all'algoritmo, e da questo alla chiave di decriptazione, quindi molti sistemi di sicurezza potrebbero essere sblindati; ora pero' no mi trovo sotto mano un microscopio elettronico, e ho qualche lacuna con le porte XOR.... |
|
|
|
|
19-09-2011, 19:49
|
#10 | |
|
Senior Member
Iscritto dal: Dec 2002
Città: Italia
Messaggi: 12360
|
Quote:
 la sicurezza non esiste, più studio la sicurezza e più mi accorgo di non studiare niente ma solo semplici pagliativi... è solo questione di costi per aprirlo/benefici che ne si ottengono e ogni sistema diventa insicuro... Ultima modifica di Taz83 : 19-09-2011 alle 19:56. |
|
|
|
|
|
20-09-2011, 00:20
|
#11 |
|
Member
Iscritto dal: Apr 2011
Messaggi: 40
|
l'unico computer sicuro è quello spento, bruciato, chiuso in cassaforte e gettato in mare
|
|
|
|
|
20-09-2011, 01:17
|
#12 |
|
Senior Member
Iscritto dal: Jun 2011
Messaggi: 337
|
magari la terza guerra mondiale si combatterà: hacker cinesi vs hacker americani vs hacker tedeschi alleati con hacker giapponesi
due click e ti fanno saltare in aria una centrale
|
|
|
|
|
20-09-2011, 11:25
|
#13 | ||
|
Senior Member
Iscritto dal: Aug 2007
Città: Milano
Messaggi: 11981
|
Quote:
Quote:
L'unico computer sicuro e' quello che non esiste.
__________________
CLOUD STORAGE FREE | Asus G51JX (Thread Ufficiale) | Quale notebook per giocare? | PC (in corso): 2x Intel Xeon E5-2670 v1 2,6GHz - 96GB RAM - SAS 10-15k rpm - GPU TBD| |
||
|
|
|
|
20-09-2011, 14:18
|
#14 | |
|
Senior Member
Iscritto dal: Dec 2002
Messaggi: 2292
|
Quote:
Se c'è una cosa che apprezzo delle metodologie standard di sicurezza, a cominciare dalla ISO27001, è che da una parte non sono la tanto frequente "fuffa" che si trova nell'IT, ma sono spesso molto concrete, e dall'altro non sono affatto scritte da "fanatici" che pensano che: 1) la sicurezza assoluta sia possibile 2) sia indispensabile cercare sempre tale sicurezza assoluta. Anzi, viene normalmente ricordato che, se sufficientemente motivato e skillato, un attaccante riuscirà a passare quasi sempre. Ed uno dei cardini è che i controlli di sicurezza siano sempre cost-effective (ci si procura una cassaforte per proteggere il diamante Cullinan, non per la tazzina di porcellana della nonna ...). La sicurezza IT sarà anche un palliativo, ma pure la cintura di sicurezza e gli airbag in auto lo sono. Non evitano gli incidenti e non ti garantiscono di uscirne vivo o senza ossa rotte, ma non per questo non sono utili.
__________________
Lenovo Legion Pro 7i Redmi Pad Xiaomi 12X
|
|
|
|
|
|
20-09-2011, 14:20
|
#15 | |
|
Senior Member
Iscritto dal: Dec 2002
Città: Italia
Messaggi: 12360
|
Quote:
|
|
|
|
|
|
20-09-2011, 16:14
|
#16 |
|
Bannato
Iscritto dal: May 2001
Messaggi: 6246
|
mhm... non lo so' Taz... non e' che oggi abbiamo la precisione d'indirizzare l'energia per cambiare un solo spin... li cambi tutti, e se non li conosci tutti come puoi ricreare lo stato energetico, ammesso che ci sia la possibilita' di ricreare la giusta sequenza... il principio d'indeterminazione e' appunto questo: se operi per scrutare lo stato, avrai la descrizione di questo, ma come conseguenza avrai fornito energia e cambiato di conseguenza lo stato che hai scrutato; rimetterlo nello stesso stato e' proaticamente impossibile (dovresti ritentare qualche trilione di volte).
comunque, come dicevi, la sicurezza e' solo una questione di budget, o vero quello che sei disposto a spendere per eluderla. |
|
|
|
|
20-09-2011, 20:06
|
#17 | |
|
Senior Member
Iscritto dal: Dec 2002
Città: Italia
Messaggi: 12360
|
Quote:
secondo me, nel momento in cui la tecnologia quantistica sarà commerciale (50 anni?), economica e alla portata di tutti saremo in grado di controllare lo spin (non tutti ma esiste sempre qualcuno che ha i mezzi e i soldi per portare avanti questi tipi di attacchi).. ora cosa sappiamo fare a livello di computer quantistico? praticamente nulla... per costruire un calcolatore a 6bit quantistico serve una stanza grande come un capannone, un raffreddamento quasi da zero assoluto e l'energia per alimentare una piccola cittadina.. siamo andati un po' tanto OT, solo che è bello parlare di queste cose con persone che sanno argomentare e replicare con cognizione di causa, è stato un vero piacere! chi vivrà vedrà, alla prossima
Ultima modifica di Taz83 : 20-09-2011 alle 20:46. |
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 10:35.
