Microsoft scelta dal Dipartimento della Difesa US per la fornitura di servizi cloud per un valore di 10 miliardi di dollari

[LukeIlBello]

Quote:

Originariamente inviato da emiliano84

nazionalisti, se non sbaglio sia ms che amazon che google sono MMERIGANI...

esatto.. se no mica so scemi che vanno su MS ma manco su amazon..
magari su robe europee (che di sicurezza je insegnamo il mestiere) o mediorientali (idealmente)
in due parole
OPEN SUSE
(ma pure redhat con ibm)

[Feidar]

Quote:

Originariamente inviato da LukeIlBello

si vabbe, la sicurezza è a carico dell'utente, quindi se sbragano azurre e mi droppano ilovu nelle mie pagine asp la colpa è mia
le mode vengono e le mode passano..

Disse uno sviluppatore, noti conoscitori di infrastrutture...

per cortesia: fai una miglior figura a tenerti nel tuo ambito. :F

Fammi sapere quando riescono a "sbragare Azure".

Anzi, provaci! Voglio vedere come e quando lo fai Se fosse così facile, stai sicuro che l'avrebbero fatto moooooooooooooolto tempo prima del tuo pensiero a riguardo... chissà perché, invece, tutti le intrusioni/hackerate sono avvenute sempre e solo sui dati utente che non erano protetti a dovere dall'utente stesso...

Misteri... tutti imbecilli...

[LukeIlBello]

Quote:

Originariamente inviato da Feidar

Disse uno sviluppatore, noti conoscitori di infrastrutture...

per cortesia: fai una miglior figura a tenerti nel tuo ambito. :F

Fammi sapere quando riescono a "sbragare Azure".

la sicurezza è uno dei miei ambiti
e, anche in questo caso, il nome Azure era un esempio.. non è che ce l'ho
con azure, ce l'ho col cloud intero..
può essere oracle cloud, o dropbox, o la rete di telegram...

se vuoi un parallelismo, è come fidarsi della webmail piuttosto che avere il server di posta (postfix non sexchange ovviamente) interno..
hai 10 dipendenti? e vabbe vai pure de gmail...
hai 1000 dipendenti e usi la webmail? sei un pazzo.. chiunque può farsela bucare o addirittura bucare il provider e acquisire tutti i tuoi segreti aziendali

[gd350turbo]

Quote:

Originariamente inviato da LukeIlBello

la sicurezza è uno dei miei ambiti

Ecco, dopo questa possiamo chiudere...

Come mettere un topo a guardia del formaggio !

[Feidar]

Quote:

Originariamente inviato da emiliano84

non e' proprio cosi, se veramente uno e' veramente interessato a bucare qualcosa di importante, buca il cloud come il tuo server...probabilmente il tuo server anche piu' facilmente, ma deve essere davero interessato.

poi magari quello che lo fa' tanto per, ti buca la tua webmail con la password dimentica o simili ... ma sono abbstanza sicuro che non sara' il caso del pentagono

P.s.
ma ad hilary non gli avevano bucato il server a casa o sbaglio?

Finora, tutti i problemi con le varie tenancy di o365 legate alla sicurezza (comprese quelle che seguo come clienti qui in Scandinavia) erano per scarsa preparazione delle aziende sul come usare un paio di accorgimenti come MFA (MultiFactor Authentication, ovvero usare una password [preferibilmente con servizi come LastPass] + un dispositivo su cui dare conferma di accesso), incapacità di usare/conoscere cosa sia un gestore password, filtri su provenienza IP (per paese e rete di provenienza), filtri sulle macchine utilizzabili (MAC address) e altre cose che dovrebbero essere la norma (che un "esperto di sicurezza" dovrebbe sapere)... ma ehi, sempre colpa del cloud.

Già con l'MFA ti eviti il 99,9 (periodico)% dei problemi; poi, come hai detto, nessun sistema è sicuro al 100%; ma stai certo che, a parità di livello di sicurezza, i problemi che hanno i server locali il cloud _non li ha_.

Poi va be'...
ammetto di essere un po' perplesso su che tipo di credenziali LukeIlBello possa mai avere in sicurezza, visti certi discorsi un po'... come dire? "Ingenui" e "mancanti di nozioni"?

[gd350turbo]

Quote:

Originariamente inviato da Feidar

ammetto di essere un po' perplesso su che tipo di credenziali LukeIlBello possa mai avere in sicurezza, visti certi discorsi un po'... come dire? "Ingenui" e "mancanti di nozioni"?

Perchè tu ancora non lo conosci bene !
Calcola che in un concorso su scala intergalattica sul trollaggio sui forum, lui vincerebbe solo dicendo "partecipo".

[LukeIlBello]

Quote:

Originariamente inviato da emiliano84

non e' proprio cosi, se veramente uno e' veramente interessato a bucare qualcosa di importante, buca il cloud come il tuo server...probabilmente il tuo server anche piu' facilmente, ma deve essere davero interessato.

poi magari quello che lo fa' tanto per, ti buca la tua webmail con la password dimentica o simili ... ma sono abbstanza sicuro che non sara' il caso del pentagono

P.s.
ma ad hilary non gli avevano bucato il server a casa o sbaglio?

certo ma sul mio server ho tutto il controllo che voglio.. ho i monitor che mi segnalano di tutto (spamassassin e altri filtri su dovecot).. su azure che controllo ho? posso fare qualche preghiera e "fidarmi" dei markettari MS..

[LukeIlBello]

Quote:

Originariamente inviato da Feidar

Poi va be'...
ammetto di essere un po' perplesso su che tipo di credenziali LukeIlBello possa mai avere in sicurezza, visti certi discorsi un po'... come dire? "Ingenui" e "mancanti di nozioni"?

https://0day.today/author/1809
https://www.exploit-db.com/exploits/2460

[LukeIlBello]

Quote:

Originariamente inviato da gd350turbo

Perchè tu ancora non lo conosci bene !
Calcola che in un concorso su scala intergalattica sul trollaggio sui forum, lui vincerebbe solo dicendo "partecipo".

eh si peccato che 2 anni fa quando preparai la form in ajax con cui loggarsi nessuno ha voluto partecipare al contest

[nickname88]

Quote:

Originariamente inviato da LukeIlBello

eh si peccato che 2 anni fa quando preparai la form in ajax con cui loggarsi nessuno ha voluto partecipare al contest

Ma non ti stanchi mai di sparare cavolate ?

[Feidar]

Quote:

Originariamente inviato da LukeIlBello

https://0day.today/author/1809
https://www.exploit-db.com/exploits/2460

Molto recente su tutto, noto 2006, XP SP2, IE 6...
fatti un po' di aggiornamenti sul tuo ambito

[LukeIlBello]

Quote:

Originariamente inviato da Feidar

Molto recente su tutto, noto 2006, XP SP2, IE 6...
fatti un po' di aggiornamenti sul tuo ambito

vabbe all'epoca c'avevo piu tempo de "scovare" le cose
non è che oggi non mi aggiorno

[LukeIlBello]

Quote:

Originariamente inviato da nickname88

Ma non ti stanchi mai di sparare cavolate ?

ecco un altro dei "partecipanti" che è stranamente risultato "missing in action"
al momento dell'avvio del contest

[gd350turbo]

Quote:

Originariamente inviato da LukeIlBello

eh si peccato che 2 anni fa quando preparai la form in ajax con cui loggarsi nessuno ha voluto partecipare al contest

Io avrei partecipato più che volentieri !
ma purtroppo nella mia lista di cose da fare questa era dopo la distruzione del mondo, quindi con sommo dispiacere non ho potuto partecipare !

[LukeIlBello]

Quote:

Originariamente inviato da gd350turbo

Io avrei partecipato più che volentieri !
ma purtroppo nella mia lista di cose da fare questa era dopo la distruzione del mondo, quindi con sommo dispiacere non ho potuto partecipare !

sisi immagino

[ComputArte]

Quote:

Originariamente inviato da Feidar

Fin quando non si riesce neanche vagamente a pensare la differenza di budget, tecnologie e possibilità di sicurezza che un'azienda media si ritrova (non includo quelle italiane che fanno _pietà_) rispetto ai big 4 (IBM, Microsoft, AWS e Google), hai ragione: è inutile parlare...

magari avete il rack nello sgabuzzino dell'ufficio, un AV crackato, usate il FW di Windows o un prodotto non più supportato dai 5 anni a salire e siete magari con i backup collegati nella stessa rete (dove un ransomware di basso livello vi frega anche l'anima accedendo tranquillamente a quelli... se li avete)... Però è colpa del cloud, mica della tua sicurezza che fa schifo

Ma ehi: son sicuro che questo sia molto più sicuro di un datacenter Azure/AWS/IBM/OpenStack, dove devono spendere _miliardi_ per avere non solo i certificati ma anche le garanzie di sicurezza su SLR (Service Level Requirements) richiesti da tutti i governi con cui collaborano o le ditte che lavorano per essi.

E per l'ennesima volta: i datacenter si occupano del garantirvi un servizio stabile con macchine sempre aggiornate e servizi sempre (o quasi, 99,9/99,95% delle volte) attivi; ma la parte di sicurezza (FW, protezione dati, criptazione e tante altre belle cosucce che vi evitano di essere depredati) sono _sempre_ a carico dell'utente. Quando si legge degli scandali su piattaforme cloud è perché il reparto sicurezza IT che doveva occuparsi delle proprie mansioni sulle proprie risorse nel cloud ha fallito, non perché il datacenter abbia qualche problema insito che aggirato la sicurezza

...quindi il cloud è la panacea e quando FALLISCE è solo per le impostazioni errate dell 'utente? ....

...ma come?!?!... le ROBOANTI affermazioni fatte in fase di vendita diventano requiem nel momento in cui si SCOPRE l'hackeraggio....

Il concetto che fa ACQUA da tutti i buchi è proprio l'infrastruttura DELOCALIZZATA e GESTITA DA TERZI con tutti i DATI della priopria attività!!!

Il gatto e la Volpe con Pinocchio...il tuo soldo crescerà sotto questo albero e domani sarai ricco

Quote:

Originariamente inviato da Feidar

Finora, tutti i problemi con le varie tenancy di o365 legate alla sicurezza (comprese quelle che seguo come clienti qui in Scandinavia) erano per scarsa preparazione delle aziende sul come usare un paio di accorgimenti come MFA (MultiFactor Authentication, ovvero usare una password [preferibilmente con servizi come LastPass] + un dispositivo su cui dare conferma di accesso), incapacità di usare/conoscere cosa sia un gestore password, filtri su provenienza IP (per paese e rete di provenienza), filtri sulle macchine utilizzabili (MAC address) e altre cose che dovrebbero essere la norma (che un "esperto di sicurezza" dovrebbe sapere)... ma ehi, sempre colpa del cloud.

Già con l'MFA ti eviti il 99,9 (periodico)% dei problemi; poi, come hai detto, nessun sistema è sicuro al 100%; ma stai certo che, a parità di livello di sicurezza, i problemi che hanno i server locali il cloud _non li ha_.

Poi va be'...
ammetto di essere un po' perplesso su che tipo di credenziali LukeIlBello possa mai avere in sicurezza, visti certi discorsi un po'... come dire? "Ingenui" e "mancanti di nozioni"?

....quindi chi mette in dubbio l'efficacia dellA soluzione Cloud è un "incompetente"...mentre chi ci lavora , ma non vuole vedere cosa sta succedendo con i dati di cittadini, aziende ed istituzioni cosa è...?!

Per quanto il marketing ed i "tecnici" nuvolari si spertichino per assicurare la grande efficiacia e "convenienza", non regge alcun argomento alla luce di un fatto ....piccolo...ma fondamentale...la fame di dati di chi OFFRE con grande enfasi il cloud....e come le OTT poi debbano sottostare a leggi nazionali in cui se lo stato ritenesse opportuno, può accedere ai server IN QUALSIASI GIURISDIZIONE siano essi posizionati (...dice niente il "Cloud Act"?!)...

Ma la cosa più grave non è tanto il fatto che una agenzia di intelligence possa, per compiere il suo lavoro ( SPIARE ...ed è legale per questa entità ), frugare nelle tracce digitali di potenziali "sospettati"....la cosa INACCETTABILE è che per compiere questa missione, non deve fare altro che entrare nei server di soggetti PRIVATI che GIA' stanno spiando tutto e tutti.... e indovina come riascono a fare tutto ciò!?!?!

semplicemente con l'abbinata "smart"+cloud!

...si!...il "man in the middle" è, e può essere un grave pericolo, ma rimane comunque POTENZIALE.....il vero pericolo è dare i dati al Gatto e alla Volpe...dei quali hai PIENA CERTEZZA di cosa ci faranno ....o vogliamo riscrivere "la storia di Pinocchio" ?!

Quote:

Originariamente inviato da LukeIlBello

bravo, allora non sono l'unico a ragionare qui dentro
leggete fans, leggete

[Feidar]

Quote:

Originariamente inviato da ComputArte

...quindi il cloud è la panacea e quando FALLISCE è solo per le impostazioni errate dell 'utente? ....

...ma come?!?!... le ROBOANTI affermazioni fatte in fase di vendita diventano requiem nel momento in cui si SCOPRE l'hackeraggio....

Il concetto che fa ACQUA da tutti i buchi è proprio l'infrastruttura DELOCALIZZATA e GESTITA DA TERZI con tutti i DATI della priopria attività!!!

Il gatto e la Volpe con Pinocchio...il tuo soldo crescerà sotto questo albero e domani sarai ricco

Ti danno in mano la possibilità di poter ridurre drasticamente un reparto IT per gestione e manutenzione, avendo la possibilità di avere _al volo_ una qualunque tipologia di servizio/VM/HPC che possa mai servire ad un'azienda. È come avere il server nello sgabuzzino; ma senza il rischio che vi lasci in panne e con la possibilità di modificarlo _immediatamente_ a seconda dei periodi e senza downtime.

E il server a lavoro non lo proteggi?

Quote:

Originariamente inviato da ComputArte

....quindi chi mette in dubbio l'efficacia dellA soluzione Cloud è un "incompetente"...mentre chi ci lavora , ma non vuole vedere cosa sta succedendo con i dati di cittadini, aziende ed istituzioni cosa è...?!

Sul cloud Azure (uno dei quali su cui lavoro) ci sarebbero altre critiche da muovere; ma quando si spara sentenze a casaccio senza sapere esattamente come funzioni... Sarebbe disonesto dire che sia tutto vero.

Quote:

Originariamente inviato da ComputArte

Per quanto il marketing ed i "tecnici" nuvolari si spertichino per assicurare la grande efficiacia e "convenienza", non regge alcun argomento alla luce di un fatto ....piccolo...ma fondamentale...la fame di dati di chi OFFRE con grande enfasi il cloud....e come le OTT poi debbano sottostare a leggi nazionali in cui se lo stato ritenesse opportuno, può accedere ai server IN QUALSIASI GIURISDIZIONE siano essi posizionati (...dice niente il "Cloud Act"?!)...

Al di là che non c'entra nulla con l'argomento (ovvero "perché un'azienda dovrebbe scegliere una soluzione cloud ibrida/full nella maggior parte dei casi"), ma facciamo finta che sia rilevante: è una legge americana per l'FBI legata ad indagini d'interesse americano per gli americani. Non è che si possa andare a prendere i dati di chiunque solo perché risiedono in altre parti del mondo... Mi sembra un intervento vagamente a sproposito.

Tornando alla questione del perché un'attività (una banca, per esempio) dovrebbe appoggiarsi al cloud: immagina di dover far calcoli finanziari complessi in HPC (High Power Computing, ovvero macchine che devono fare una valanga di operazioni nel minor tempo possibile). Creare un'intera sezione solo per quel tipo di operazioni è:
1 - Esorbitante in costi di creazione
2- Ha bisogno di personale altamente specializzato
3- Manutenzione molto particolare e costosa
4- Posto dove metterla.
5- Un utilizzo costante per essere remunerativa, con tutti i rischi del caso (usura, malfunzionamenti, difetti di fabbrica eventuali etc).
Ora, immagina se potessi avere solo i vantaggi di questa soluzione senza doverti sbattere in progettazioni, costi, luogo dove piazzarla... e avessi _sempre_ le macchine di ultima generazione, utilizzabili solo quando ti serve nel numero che ti servono e pagando solo per il tempo per cui le hai utilizzate: fai un discorso del genere ad un economista e vedi cosa ti risponde

Ma

Quote:

Originariamente inviato da ComputArte

la cosa più grave non è tanto il fatto che una agenzia di intelligence possa, per compiere il suo lavoro ( SPIARE ...ed è legale per questa entità ), frugare nelle tracce digitali di potenziali "sospettati"....la cosa INACCETTABILE è che per compiere questa missione, non deve fare altro che entrare nei server di soggetti PRIVATI che GIA' stanno spiando tutto e tutti.... e indovina come riascono a fare tutto ciò!?!?!

semplicemente con l'abbinata "smart"+cloud!

...si!...il "man in the middle" è, e può essere un grave pericolo, ma rimane comunque POTENZIALE.....il vero pericolo è dare i dati al Gatto e alla Volpe...dei quali hai PIENA CERTEZZA di cosa ci faranno ....o vogliamo riscrivere "la storia di Pinocchio" ?!

A questo punto non avremmo dovuto usare la ruota perché ci avrebbero creato, molto più avanti, il carro armato.
O la razza umana non sarebbe dovuta nascere perché è in grado di fare cose terribili.

Se ci si ferma sempre e solo al potenziale negativo: dal momento in cui si nasce, si sa che si muore. Se dovessi seguire lo stesso ragionamento, dovrei sempre bloccarmi e dire: "Che campo a fare? Tanto muoio!"

Tanto, giusto per svelarti un segreto: c'è un famosissimo vettore di comunicazione americano che, dalla metà degli anni '80, "presta" i propri mezzi all'intelligence del governo USA per... "visitare" le istituzioni di tutto il mondo in maniera "molto cordiale e discreta" (non si scomodano neanche di fare spoofing all'IP, per dire)

Ora: chiediti perché gli americani non vogliano più Huawei a fare infrastrutture quando gli hanno lasciato campo libero per anni, quando era conveniente ed economico. ;P

Poi, se ti preoccupi così tanto dei tuoi dati: hai un social? Usi uno smartphone con un account mail legato ad un conto?
Se hai risposto "sì" ad almeno una di queste cose, vai tranquillo: sanno molto più di te di quanto i datacenter Azure possano sapere dei propri clienti

[LukeIlBello]

adesso il cloud viene pure assurto come invenzione alla pari della ruota
marketteeee venghino sijori...

[Feidar]

Quote:

Originariamente inviato da LukeIlBello

adesso il cloud viene pure assurto come invenzione alla pari della ruota
marketteeee venghino sijori...

Certo, fai finta di non capire l'esempio e il parallellismo sul fatto che tutto può essere usato per nuocere se usato male

Perché bisogna essere "markettari" per capire che, forse forse, bisognerebbe informarsi sulle cose prima di parlare

Dai, ho capito che tipo di persona sei

[gd350turbo]

Quote:

Originariamente inviato da emiliano84

perdi tempo, se leggi la risposta non sapendo piu' cosa rispondere la buttano in caciara

Io glieo dissi di lasciarlo perdere, quando lo metti alle strette con risposte precise e mirate, allora inzia a deviare per continuare il trollaggio !