[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [OT] Segnalazione windigo

Dario writes:

 > Riguardo gli ambienti citati (stuxnet), "dubito fortemente" che
 > qualcuno abbia fatto "qualcosa" "inavvertitamente" o che possa
 > mai essere stata qualcosa di "banale/prevedibile".

Effettivamente possono esserci vari scenari possibili.

 > Raggiungere una risposta senza esserne
 > testimoni diretti e' un esercizio di logica inferenziale

Concordo.
 
 > [Aumento di virus su sistemi Linux]
 > 
 > G.U. Lauri, riguardo l'aspettare un'impennata di virus
 > sui sistemi Linux "solo quando diverranno appetibili" non sono
 > d'accordo. Non c'è nulla da aspettare, siamo in
 > "crisi" già  da un bel pò di anni a questa parte.

Non mi sono spiegato bene. Fare un virus di quelli "alla Windows" in
Linux è più arduo (non c'è l'aiuto di API pensate alla CDC). Per
questo ritengo che richieda costi ben più alti e quindi abbia bisogno
di una remuneratività sufficiente.

Virus "alla windows" di prova ne sono stati fatti, ma sono risultati
invariabilmente goffi e quindi perdenti.

 > Per confermarti quanto sto dicendo, se hai tempo/interesse
 > /possibilità , tirati su una honeypot linux in dmz e guarda
 > da te (chiedo venia per il tu).
 
Nessun problema per il tu.

Come ho  detto, ho fallito nel  chiarire il concetto che  ho in testa.
Di attacchi ai server... Nell'anno in cui ho (ri)fatto il sistemista a
tempo  (altrui) perso  ho  visto  almeno un  attacco  di una  persona,
presumibilmente  dalla  RPC,  che  provava  insistentemente  il  logon
provando svariate coppie di utenti e password...

 > [Sviluppo virus per sistemi Linux richiede ingenti investimenti]
 > 
 > Per chi crede invece che siano necessari ingenti investimenti
 > per violare sistemi, lo invito a riflettere un attimino.
 > 
 > Cito G.U. Lauri non per riferirmi a lui, quanto il fatto
 > che diversi hanno un pensiero simile:
 > 

 > > G.U.Lauri> Quello di cui parlo io è il mirare a torme di pesci
 > >            piccoli, così come si fa con gli utenti Windows. Al
 > >            momento farlo bene è troppo costoso perché sia
 > >            redditizio.

 > 
 > Andiamo ad esaminare su, un sito a caso, alexa.com [1]
 > quali sono i siti più visitati dagli italiani.
 > Stupisce se nella lista sono presenti molteplici siti
 > in black list (malware, spam, frodi, ecc.)?
 > 
 > Qual'è la percentuale degli utilizzatori di sistemi
 > informatici collegati ad Internet (pc,tablet,smartphone ecc.)

Guardiamo anche i sistemi operativi implicati. A naso la percentuale
di GNU/Linux (non Android) è bassa.

 > Quanti siti web, server, Linux sia della pubblica amministrazione
 > che di aziende vengono violati ogni giorno (vedasi punto successivo
 > insecurity)?

Diciamo che a volte sono bravissimi a farsi dei denial of service
autonomamente senza intervento esterno. E qui mi devo fermare...
 
 > Partendo dagli apparati di rete in poi, chi può dire oggi
 > di avere il pieno controllo di ciò che avviene nella propria
 > infrastruttura fino a livello di firmware/hardware, pur avendo
 > esperienza e capacità professionali?

Indubbiamente, nessuno. Non puoi evitare che alle tue spalle qualcuno
tiri su un hot spot "molto generoso e permissivo" perché sa
accenderlo, vede che funziona (gli fa figo, i.e. fa il gentile col
cliente) ma non ha la più vaga idea dei concetti di sicurezza. Gli
basta "funziona" e "facile".

 > Quanti utilizzano apparati di provenienza "made in X"?
 > Se X ha capacità  di risorse/tempo smisurate, che potere
 > può acquisire (o già  ha acquisito) a breve termine?
 > Che "capacità" di difesa possiamo avere noi?

Spegnere i computer e procurarci un badile ed un bell'appezzamento...
 
 > A volte è il nostro "giocare al ribasso" sui costi dell'IT
 > a permette all'attaccante di "risparmiare" sull'attacco.

+1

 
 > Preferisco rompere la testa all'uTonto di turno fino
 > a che ho pazienza/capacità /o sue capacità  di comprensione,
 > piuttosto che fargli credere che quello che fa, lo fa bene,
 > o che non esistono problemi, automatizzando il più possibile
 > con batch et simila.
 > C'è da dire che, per quanti buoni propositi abbiamo,
 > molte volte purtroppo abbiamo le mani legate (segue su INSECURITY).

È l'esempio degli access point permissivi di prima.

 > -
 > 
 > [INSECURITY]
 > 
 > Per quanti sforzi/capacità  abbiamo, siamo condizionati
 > dall'insecurity:
 > 
 > * Assunzione con contratti ridicoli di sistemisti,
 >    che devono essere appena laureati, con esperienza pluriennale
 >    che devono saper fare pure il caffè.
 >    (Dove chi fa il colloquio -body rental- non sa nemmeno cosa
 >     significhi quello che chiede e per capire le eventuali skill
 >     fa una ricerca su Internet)
 >    Quanti sistemisti odierni hanno avuto la possibilità  di
 >    essere affiancati a veri GURU delle generazioni precedenti?
 >    C'è stato un "ricambio generazionale"?
 >    Per quanto si possa studiare, l'esperienza è tutta un'altra cosa.

Sante parole. 

Da questo deriva la capacità di generarsi denial of service da paura
senza bisogno di attacchi esterni.

 > 
 > * Budget al ribasso (l'IT è visto come un costo, che non porta
 >    introiti -ultimamente spero stia cambiando questa veduta-).
 >    Commesse/progetti dove il costo gioca al ribasso insieme
 >    al tempo che viene dato disponibile per la realizzazione.
 >    Si può pretendere che tutto funzioni?
 
Ditto!

C'è un'altro aspetto della cosa. Gli utenti a cui il computer è fatto
usare per migliorare il loro lavoro.

Già è una cosa non comunissima avere sviluppatori che abbiano la
sensibilità di capire come fare il software sia corretto & sicuro sia
comodo da usare per gli utenti, con l'idea che l'I.T. è una commodity
su cui tirare sul prezzo vengono fuori ciofeconi (semi)inusabili e per
di più proni a vulnerabilità divertenti


 > * "Raccomandati" (purtroppo molte volte "incapaci") che vengono messi
 >    in punti strategici, dove altri (capaci) potrebbero fare la
 >    differenza.

Ho idea che serva it.alt.sysadmin.recovery ...

Mi piacerebbe sapere quanti sono i sysadmin che arrivano allo choc
post-traumatico a causa di questi "geni"(della raccomandazione).

 > * Volontà  di far passare Internet come la terra di nessuno e
 >    pericolosa, quindi per difendersi carta bianca su qualsiasi
 >    sistema di protezione (anche se ne va a discapito di libertà
 >    d'espressione e privacy -anche questa parola priva di significato
 >    visto che per qualsiasi cosa ti chiedono il consenso di fare
 >    quello che vogliono dei tuoi dati-)

Ahem, e il trattato che il buon Obama ha fatto firmare agli europei
sull'apertura dei dati?

 > * Gli uTonti sono tali e mai potranno cambiare.
 >    (discriminando in questo modo persone che hanno potenzialità
 >    tali da divenire a loro volta GURU e risorsa aggiunta
 >    per l'azienda, sempre dove l'azienda abbia una veduta dei
 >    propri dipendenti come risorse non *da spremere*, ma
 >    da valorizzare).

Vederli come persone più che risorse. 

Detesto il termine risorsa. Le parole hanno un peso: tanto più quella
persona è lontana, tanto più il termine risorsa ti porta a metterla
sullo stesso piano dell'hardware...

Inoltre una risorsa ha delle skill.  Una persona ha appunto una
personalità, e invece di inscatolarla nella "attitudine aziendale" si
dovrebbe lasciarle lo spazio di essere utile con naturalezza.

Ma è tanto più comodo ridurre tutto a modelli di primo grado...

Grazie dell'intervento

-- 
 /\           ___                                    Ubuntu: ancient
/___/\_|_|\_|__|___Gian Uberto Lauri_____               African word
  //--\| | \|  |   Integralista GNUslamico            meaning "I can
\/                 coltivatore diretto di software       not install
     già sistemista a tempo (altrui) perso...                Debian"

Warning: gnome-config-daemon considered more dangerous than GOTO
Reply to: