Reti locali
 

responsabilita' per sistemi obsoleti

Paolo opg 16 Feb 2016 11:10
ciao a tutti,

chiedo qui perche' non so bene da dove partire.

mi sono imbattuto in una situazione in cui le direttive generali sono ' se
funziona non toccarlo, neanche aggiornare' che ha portato a un sistema
informativo anche abbastanza importante (30+ server, 500+ client) basato su
software abbastanza datato il tutto, tranne i client, rigorosamente fermo a
patch di diversi anni fa (win 2003, sql 2005, patch fino al 2011 o anche
piu' vecchie).

la questione tecnica sulla sicurezza non e' interessante per il management
che vuole solo che il sistema funzioni, in qualche modo.

esiste qualche leva da poter usare in una situazione del genere per
smuovere le acque?

qualcosa del tipo responsabilita' di manager/admin/chissachi in caso di
perdita di dati o di *****ing.

esiste qualche norma di questo tipo?



--
Paolo opg

BE AWARE that this post uses a fake reply-to address
to contact me write to:
janickg ( at ) hotmail ( dot ) com
--
writethem 16 Feb 2016 11:40
> qualcosa del tipo responsabilita' di manager/admin/chissachi in caso di
> perdita di dati o di *****ing.
>
> esiste qualche norma di questo tipo?

chi firma l'incarico di amministratore della rete? ovvero chi è il
responsabile dell'infrastruttura informatica?
Andrea B. 16 Feb 2016 11:41
Il 16/02/2016 11.10, Paolo opg ha scritto:
> esiste qualche leva da poter usare in una situazione del genere per
> smuovere le acque?
>
> qualcosa del tipo responsabilita' di manager/admin/chissachi in caso di
> perdita di dati o di *****ing.
>
> esiste qualche norma di questo tipo?
>

Codice privacy, allegato B, punto 17.
Luca Sasdelli 16 Feb 2016 11:56
Nel suo scritto precedente, Paolo opg ha sostenuto :

> trovato riferimento anche nelle sanzioni:
> http://www.consulenzaprivacy.it/sanzioniprivacy.htm

Prova anche a chiedere un penetration test; se sono così sicuri non
dovrebbero opporsi, e ne vedrai delle belle.

Ciao
Luca
Luca Sasdelli 16 Feb 2016 12:08
Dopo dura riflessione, Paolo opg ha scritto :

> racconto solo l'ultima che e' capitata: il gateway verso internet è un
> fortigate.

Ogni apparato ha i propri pro e contro, ma se fai fare un pentest
dall'interno con macchine tanto vecchie, verrà fuori il finimondo.

Certo che un pentest di 500+ macchine costerà un botto; in alternativa,
potresti installarti OpenVAS e Metasploit + Armitage, fare una bella
scansione approfondita, creare i report Executive (tanto, stando alla
situazione che descrivi, i dettagli non servono) e consegnarli alla
dirigenza.

P.S.: con Armitage, se fai i test con meterpreter, prendi il controllo
delle macchine dei dirigenti e nella root di C: scrivi un ******* con la
storia del contadino ed i buoi scappati.

Ciao
Luca
Luca Sasdelli 16 Feb 2016 16:21
Paolo opg ci ha detto :

> il problema secondo me sono i server che sono fermi ad anni fa.

Te ne dico una: la prima volta che abbiamo condotto un pentest nella
zona di sicurezza di un'azienda che produce carte di credito, sono
entrato nel db delle PostePay a causa di b*****i errori di
configurazione di MSSQL.

Allo stesso modo, un client aggiornato al quale venisse connessa una
chiavetta USB con un worm, avrebbe terreno facile se i server,
raggiungibili da tutte le periferiche, fossero fragili.

> un pen test servirebbe per dei tecnici, ma i tecnici gia' sanno tutto e
> non gli frega una cippa di aggiornare o patchare, l'importante e' che
> stia in piedi...

No: si tratterebbe di andare dal management e mostrare loro qualche
grafico di ciò che è vulnerabile in quel momento.

> proprio niente, stavo cercando un modo per fare capire la situazione a
> chi tecnico non e'.

I report di tipo Executive sono fatti proprio per questo. Anche solo
per mettere le mani avanti, mostrando che le falle ci sono e che tu hai
relazionato: a quel punto, avendoli informati, passi loro la palla,
cioé la responsabilità di considerare sicura una condizione che sicura
non è.

Il catasto di Roma è alloggiato in un sotterraneo che si trova
nell'area di esondazione del Tevere. Senti se anche per loro è una
condizione sicura.

Ciao
Luca
Mirko Borsari 16 Feb 2016 16:50
Il Tue, 16 Feb 2016 10:58:40 +0000 (UTC), Paolo opg ha scritto:


> racconto solo l'ultima che e' capitata: il gateway verso internet è un
> fortigate.

e questa cosa, cosa avrebbe di così eclatante?



--
MirkoB. news@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo ema@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente
writethem 16 Feb 2016 16:58
Il 16/02/2016 16:50, Mirko Borsari ha scritto:
> Il Tue, 16 Feb 2016 10:58:40 +0000 (UTC), Paolo opg ha scritto:
>
>
>> racconto solo l'ultima che e' capitata: il gateway verso internet è un
>> fortigate.
>
> e questa cosa, cosa avrebbe di così eclatante?

ti giuro, stavo con il cronometro aspettando questa risposta. lol
Mirko Borsari 16 Feb 2016 17:27
Il Tue, 16 Feb 2016 16:58:29 +0100, writethem ha scritto:


>>> racconto solo l'ultima che e' capitata: il gateway verso internet è un
>>> fortigate.
>>
>> e questa cosa, cosa avrebbe di così eclatante?
>
> ti giuro, stavo con il cronometro aspettando questa risposta. lol

no perchè detta così sembra che si parli del router di alice...


--
MirkoB. news@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo ema@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente
Andrea B. 17 Feb 2016 11:51
Il 16/02/2016 12.58, Paolo opg ha scritto:
> "Andrea B." <sohjin@invalid.tiscali.it> wrote in
> news:n9uubp$1hau$1@gioia.aioe.org:
>
>> Il 16/02/2016 11.10, Paolo opg ha scritto:
>>> esiste qualche leva da poter usare in una situazione del genere per
>>> smuovere le acque?
>>>
>>> qualcosa del tipo responsabilita' di manager/admin/chissachi in caso
>>> di perdita di dati o di *****ing.
>>>
>>> esiste qualche norma di questo tipo?
>>>
>>
>> Codice privacy, allegato B, punto 17.
>>
>
> giusto per ridere, l'alleagto dice:
> 17. Gli aggiornamenti periodici dei programmi per elaboratore volti a
> prevenire la vulnerabilità di strumenti elettronici e a correggerne
> difetti sono effettuati almeno annualmente. In caso di trattamento di
> dati sensibili o giudiziari l'aggiornamento è almeno semestrale.
>
>
> e se il sistemista effettivamente ogni 6 mesi installa 2 o 3
> aggiornamenti lasciandone indietro una vagonata, e' in regola? la norma
> non dice di installare *tutti* gli aggiornamenti e nemmeno i piu'
> recenti...

Sì, lo so che è fatta con i piedi.
Mirko Borsari 17 Feb 2016 11:59
Il Wed, 17 Feb 2016 10:02:05 +0000 (UTC), Paolo opg ha scritto:

>>> racconto solo l'ultima che e' capitata: il gateway verso internet è un
>>> fortigate.
>>
>> e questa cosa, cosa avrebbe di così eclatante?
>>
>>
>>
>
> la backdoor scoperta di recente, da sola, non molto.

allora andava specificato quantomeno il firmware, visto che non tutte
le versioni sono affette.

> messa nel contesto che ho descritto (una serie di server non patchati da
> anni, sicurezza spannometrica e controlli caserecci) aggiunge secondo me un
> ulteriore problema piuttosto significativo a un quadro gia' critico.

capisco il punto di vista, ma bisogna anche capire questi qua cosa
fanno...
Personalmente mi ha chiamato un'azienda colpita da criptolocker. mi ha
fatto verificare che non ci fossero residui in giro, hanno preso e
buttato tutti i ******* non si sono preoccupati più di tanto.
Al consiglio di sostituire i PC (tutti con XP), di installare un
antivirus degno di questo nome, di fare backup e affini hanno fatto
semplicemente spallucce.

Alla fine se sanno come sono messi e a cosa possono andare incontro,
affari loro (e non è certo una legge a far cambiare idea a qualcuno in
Italia).



--
MirkoB. news@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo ema@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente
Valerio Vanni 17 Feb 2016 23:48
On Tue, 16 Feb 2016 10:46:02 +0000 (UTC), Paolo opg
<spamcatcher@tiscali.it> wrote:

>> chi firma l'incarico di amministratore della rete? ovvero chi è il
>> responsabile dell'infrastruttura informatica?
>>
>
>questa e' una bella domanda: non riesco a capirlo.
>
>c'e' un responsabile IT ma tutti quelli che dovrebbero dipendere da lui
>fanno un po' quel che vogliono e piu' che fare il responsabile fa
>l'amicone.

Se si finisce in tribunale, il giudice per capire chi è il capo guarda
chi è pagato come capo.


--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.
Skywalker Senior 18 Feb 2016 00:11
Paolo opg ci ha detto :

>>
>> capisco il punto di vista, ma bisogna anche capire questi qua cosa
>> fanno...
>
> appunto...
> ti assicuro che si tratta di un gruppo di una certa rilevanza.
>

Sembra sia una tendenza molto diffusa, anche nei grandi gruppi, quella
di sottovalutare grandemente certi problemi.
Ho un cliente, facente parte di un grande gruppo nel ramo
alimentazione, per il quale ho dovuto lottare ed insistere affinchè
venisse "concesso" spazio e supporto per i backup, prima inesistenti.
La richiesta è stata accolta solo dopo un paio di "mani" di
cryptolocker...
[b a z] 26 Feb 2016 09:44
Paolo opg ha usato la sua tastiera per scrivere :
> "Andrea B." <sohjin@invalid.tiscali.it> wrote in
> news:n9uubp$1hau$1@gioia.aioe.org:
>
>> Il 16/02/2016 11.10, Paolo opg ha scritto:
>>> esiste qualche leva da poter usare in una situazione del genere per
>>> smuovere le acque?
>>>
>>> qualcosa del tipo responsabilita' di manager/admin/chissachi in caso
>>> di perdita di dati o di *****ing.
>>>
>>> esiste qualche norma di questo tipo?
>>>
>>
>> Codice privacy, allegato B, punto 17.
>>
>
> giusto per ridere, l'alleagto dice:
> 17. Gli aggiornamenti periodici dei programmi per elaboratore volti a
> prevenire la vulnerabilità di strumenti elettronici e a correggerne
> difetti sono effettuati almeno annualmente. In caso di trattamento di
> dati sensibili o giudiziari l'aggiornamento è almeno semestrale.
>
>
> e se il sistemista effettivamente ogni 6 mesi installa 2 o 3
> aggiornamenti lasciandone indietro una vagonata, e' in regola? la norma
> non dice di installare *tutti* gli aggiornamenti e nemmeno i piu'
> recenti...
>

io invece ci leggo che se è un aggiornamento importante per la
sicurezza deve essere fatto comunque, al massimo con cadenza annuale.

--
[ b a z ]
"Scettico io? Ne dubito!"
" La coerenza è l'ultimo rifugio delle persone prive di immaginazione"
- socio MSTC - Responsabile Gruppi Antanati Gomito/Piede
- Mister Vistracàonpetto
Giulia 26 Feb 2016 10:23
> e se il sistemista effettivamente ogni 6 mesi installa 2 o 3
> aggiornamenti lasciandone indietro una vagonata, e' in regola? la norma
> non dice di installare *tutti* gli aggiornamenti e nemmeno i piu'
> recenti...


If (esistevulnerabilita & esistepatch) then
obbligo aggiornare
fi

Giulia
PS:Sostanzialmente tutto gli aggiornamenti di sicurezza sono obbligatori.
writethem 26 Feb 2016 15:06
> If (esistevulnerabilita & esistepatch) then
> obbligo aggiornare
> fi
>

in un mondo perfetto. nel mondo reale hai TIZIO che fa funzionare il suo
software su php dei flinston, CAIO a cui non hanno pagato la
manutenzione e quindi non ti da assistenza nel passaggio e SEMPRONIO che
dice "fin quando funziona io non lo tocco".
Giulia 26 Feb 2016 15:15
writethem wrote:
>
>> If (esistevulnerabilita & esistepatch) then
>> obbligo aggiornare
>> fi
>>
>
> in un mondo perfetto. nel mondo reale hai TIZIO che fa funzionare il suo
software su php dei flinston, CAIO a cui non hanno pagato
> la manutenzione e quindi non ti da assistenza nel passaggio e SEMPRONIO che
dice "fin quando funziona io non lo tocco".
>
L importante e' non essere chi la legge stabilisce come chiaramente responsabile
(Amministratore delegato -> direttore -> capo
ufficio -> vice capoufficio -> tecnico -> addetto alle pulizie).

Giulia

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Reti locali | Tutti i gruppi | it.comp.reti.locali | Notizie e discussioni reti locali | Reti locali Mobile | Servizio di consultazione news.