Accesso ai sistemi informativi aziendali

[Tom]

Immaginate di lavorare per una grande azienda, con sedi in tutto il mondo, e di dover abilitare l'accesso al sistema informativo di una marea di consulenti, che le varie ditte fornitrici (parliamo sempre di IT) vi propongono.

Cioe': le varie ditte vincono delle gare di appalto (sempre in ambito IT), per svolgere le loro attivita' hanno necessita' che molti nuovi utenti (loro dipendenti o collaboratori), delle piu' diverse nazionalita', vengano abilitati al sistema informativo aziendale.

Ora il problema e': come faccio a sapere se tutti i nuovi consulenti che ci vengono proposti sono onesti? Per quanto ci si affidi a documenti di identita' eccetera, alla fine ci dobbiamo fidare di quanto ci dichiarano, non si sfugge a questa logica.

La mia domanda e': sapete se esista un servizio (una ditta, una societa', nazionale o meno) che sia in grado di garantire "l'onesta' " degli aspiranti collaboratori?

Googlando, ad esempio, ho visto che esiste il database dell'interpol, magari potrebbe essere un'idea. Qui in Italia esiste il CRIF, che garantisce la "solvibilita'" degli individui (solo di nazionalita' italiana, se non sbaglio), magari e' un indicatore che potremmo usare. Oppure rivolgersi a Linkedin?

Le vostre idee? Grazie in anticipo

[Paperino]

Tom ha scritto:

> Immaginate di lavorare per una grande azienda, con sedi in tutto il
> mondo, e di dover abilitare l'accesso al sistema informativo di una
> marea di consulenti, che le varie ditte fornitrici (parliamo sempre
> di IT) vi propongono.
>
> Cioe': le varie ditte vincono delle gare di appalto (sempre in ambito
> IT), per svolgere le loro attivita' hanno necessita' che molti nuovi
> utenti (loro dipendenti o collaboratori), delle piu' diverse
> nazionalita', vengano abilitati al sistema informativo aziendale.
>
> Ora il problema e': come faccio a sapere se tutti i nuovi consulenti
> che ci vengono proposti sono onesti? Per quanto ci si affidi a
> documenti di identita' eccetera, alla fine ci dobbiamo fidare di
> quanto ci dichiarano, non si sfugge a questa logica.

Posso farti una controdomanda?
[Se non altro perché non ho una risposta diretta :-)]

Come mai la responsabilità della scelta dei collaboratori è un
tuo problema e non della multinazionale che sceglie i fornitori
o dei fornitori stessi?

BTW, nel mio caso stiamo mettendo su una gestione centralizzata
per gli accessi di questo tipo, con un server personale di ISL
Online per una sede locale (c'è stato anche un interessamento
della gestione centrale per un'adozione più ampia), ma comunque
la scelta del personale per cui abilitare l'accesso non è - e
non deve essere - nostra.

Bye, G.

[Tom]

Il giorno venerdì 12 novembre 2021 alle 13:11:36 UTC+1 Paperino ha scritto:
> Tom ha scritto:
> > Immaginate di lavorare per una grande azienda, con sedi in tutto il
> > mondo, e di dover abilitare l'accesso al sistema informativo di una
> > marea di consulenti, che le varie ditte fornitrici (parliamo sempre
> > di IT) vi propongono.
> >
> > Cioe': le varie ditte vincono delle gare di appalto (sempre in ambito
> > IT), per svolgere le loro attivita' hanno necessita' che molti nuovi
> > utenti (loro dipendenti o collaboratori), delle piu' diverse
> > nazionalita', vengano abilitati al sistema informativo aziendale.
> >
> > Ora il problema e': come faccio a sapere se tutti i nuovi consulenti
> > che ci vengono proposti sono onesti? Per quanto ci si affidi a
> > documenti di identita' eccetera, alla fine ci dobbiamo fidare di
> > quanto ci dichiarano, non si sfugge a questa logica.
> Posso farti una controdomanda?
> [Se non altro perché non ho una risposta diretta :-)]
>
> Come mai la responsabilità della scelta dei collaboratori è un
> tuo problema e non della multinazionale che sceglie i fornitori
> o dei fornitori stessi?

Domanda assolutamente pertinente. Io ti do la mia risposta: non ci sono certezze.
Nel senso: in caso di problemi *grossi* (ad es. una di queste utenze viene utilizzata per diffondere un ransomware, insomma e' di queste problematiche che stiamo parlando, senza girarci tanto intorno, ma potrebbe essere anche spionaggio, ammesso che qualcuno qui in azienda abbia a cuore *veramente*, e non a parole, queste cose) cosa succedera'? E chi lo sa... nessuno lo sa. Immagino che qualcuno fara' una perizia, e su questa perizia si valutera' se ci sono delle responsabilita'. Tutti i coinvolti cercheranno di scaricare le proprie, in cascata... ma prova tu ad indovinare su chi le scaricheranno, ste resposabilita'. Indovina... su chi lavora? Su chi fisicamente assegna le abilitazioni? Un po' lo temo.

>
> BTW, nel mio caso stiamo mettendo su una gestione centralizzata
> per gli accessi di questo tipo, con un server personale di ISL
> Online per una sede locale (c'è stato anche un interessamento
> della gestione centrale per un'adozione più ampia), ma comunque
> la scelta del personale per cui abilitare l'accesso non è - e
> non deve essere - nostra.

Si si, giusto. Pero'...

Per quanto ne so, il tutto si regge in piedi su formalismi che non so nemmeno che validita' reale abbiano.
Per pura ipotesi (ripeto: e' una ipotesi), mi immagino sta roba nelle mani di un CTU (il Consulente Tecnico d'Ufficio nominato dal giudice), che cerca di dipanare questa matassa, dato che l'azienda, sempre per ipotesi, ha fatto una denuncia nei confronti della ditta X che ha sotto contratto un consulente che, pare, ha commesso un illecito (ad esempio ha diffuso un ransomware). Ammettiamo che un colpo di fortuna ci abbia consentito di isolare questa utenza, dalla quale e' partita l'infezione (e questa sia senza possibilita' di dubbio volontaria... e anche qui dimostrarlo non lo vedo proprio banale). Benissimo. L'utente si chiama Pinco Pallino. Nome falsissimo, ma nessuno lo poteva sapere, anche perche' nessuno ha mai visto i suoi documenti. Forse la ditta X? Forse, ma anche no. Questo contractor potrebbe lavorare ad un subappalto... e chi lo sa, sono tanti i casi.

Sto CTU, dopo aversi letto contratti, legislazioni locali eccetera se ne esce con un "ma chi ha fatto ste cavolo di abilitazioni? Chiedere i documenti di identita' pareva brutto?". Pareva brutto si', io mica li vedo i documenti degli indiani... (per dire, ma potrebbero essere di qualsiasi altra nazionalita').
Ma non so nemmeno che documenti abbiano (ad esempio, caso reale, ho chiesto l'UID, che ho imparato esistere da wikipedia, ma mi hanno detto che non posso darmelo per problemi *anche* di privacy...). Quindi mi fido e basta. Per adesso.

[Cordy]

Il Fri, 12 Nov 2021 01:40:05 -0800, Tom ha scritto:
> Le vostre idee? Grazie in anticipo

Magari ho tratto una conclusione errata io, ma: il tuo intervento mi fa
pensare ad un "liberi tutti". Cioè alla indiscriminata ammissione
all'interno dei sistemi, senza nessun filtro, di tutti.
Di solito si fa un'analisi delle necessità e poi si ammette alla parte di
archivi strettamente rilevanti alla funzione che ognuno deve svolgere.

Insomma: entrare, si, ma non ovunque e con diritti di elevato livello.
Altrimenti, altro che regione Lazio...



--
Ciao! Stefano

[John Smith]

On 12/11/2021 10:40, Tom wrote:
> Le vostre idee? Grazie in anticipo
>

Link esteso:
https://www.laleggepertutti.it/339785_il-datore-di-lavoro-puo-indagare-sulla-vita-privata-di-un-dipendente

Link corto:
https://tinyurl.com/d7p89zvt

Se poi la cosa è mooooolto critica, fai il vago ed assumi un
investigatore privato e gli dici il livello di approfondimento desiderato.
Ovvio che non puoi farlo per tutti.

M.

[ObiWan]

:: On Fri, 12 Nov 2021 06:20:37 -0800 (PST)
:: (it.comp.sicurezza.varie)
:: <784797fc-4574-4a2b...@googlegroups.com>

:: Tom <dav...@gmail.com> wrote:

> > Come mai la responsabilità della scelta dei collaboratori è un
> > tuo problema e non della multinazionale che sceglie i fornitori
> > o dei fornitori stessi?

> Domanda assolutamente pertinente. Io ti do la mia risposta: non ci
> sono certezze. Nel senso: in caso di problemi *grossi* (ad es. una di
> queste utenze viene utilizzata per diffondere un ransomware, insomma
> e' di queste problematiche che stiamo parlando, senza girarci tanto
> intorno, ma potrebbe essere anche spionaggio, ammesso che qualcuno
> qui in azienda abbia a cuore *veramente*, e non a parole, queste
> cose) cosa succedera'? E chi lo sa... nessuno lo sa. Immagino che
> qualcuno fara' una perizia, e su questa perizia si valutera' se ci
> sono delle responsabilita'. Tutti i coinvolti cercheranno di
> scaricare le proprie, in cascata... ma prova tu ad indovinare su chi
> le scaricheranno, ste resposabilita'. Indovina... su chi lavora? Su
> chi fisicamente assegna le abilitazioni? Un po' lo temo.

Ok, sin qui hai esposto i tuoi dubbi e perplessità, relativamente al
punto in discussione, però resta in sospeso la risposta alla domanda
che ti ha posto "il Papero", e sinceramente, sarei interessato anche io
a capire per quale motivo sia tu il soggetto che si dovrebbe far carico
di questo problema, specie perchè la cosa coinvolge tutta una serie di
campi diversi e che non si limitano alla "semplice" progettazione del
sistema di accesso, ma che coinvolgono anche aspetti di ordine legale

[Tom]

Domanda piu' che corretta. Naturalmente non e' una questione che devo risolvere io. Non sono un responsabile, un "capo" per dirla terra terra. Non ho poteri sull'organizzazione.

Pero' ci sono due aspetti. L'aspetto che mi riguarda direttamente (ossia: cosa potrebbe accadermi se lo scenario immaginato si avverasse?), e l'aspetto di persona competente.

Come persona competente, posso esprimere dubbi (già fatto, e mi hanno dato ragione, quindi e' un problema reale, senza pero' proporre soluzioni o scenari diversi ne' a breve ne' a lungo termine) ma anche proporre suggerimenti. Non per ricavarne personalmente qualcosa, non ci sono le condizioni, ma perche' capisco che questo problema costituisca un elemento debole della nostra organizzazione. Abbiamo delle vulnerabilita' (aggiungo che in meno di un anno moltissime sono state corrette, la struttura degli accessi e' stata stravolta, riprogettata, ed e' stato fatto molto altro, segno che il management ha ritenuto necessario intervenire, quindi e' sensibile a questi aspetti). Si possono correggere? Non lo so, provo a fare ipotesi e ad immaginare soluzioni. Col vostro fondamentale aiuto, se vi va.

[Tom]

Grazie mille!

[Tom]

Il giorno venerdì 12 novembre 2021 alle 16:41:59 UTC+1 Cordy ha scritto:
> Il Fri, 12 Nov 2021 01:40:05 -0800, Tom ha scritto:
> > Le vostre idee? Grazie in anticipo
> Magari ho tratto una conclusione errata io, ma: il tuo intervento mi fa
> pensare ad un "liberi tutti". Cioè alla indiscriminata ammissione
> all'interno dei sistemi, senza nessun filtro, di tutti.
> Di solito si fa un'analisi delle necessità e poi si ammette alla parte di
> archivi strettamente rilevanti alla funzione che ognuno deve svolgere.

Io credo che sia cosi'. Lo voglio credere. Pero' non e' piu' tempo di sola fiducia. Noi abbiamo la massima fiducia di tutti i nostri collaboratori. Ma sono tanti, c'e' fretta e le scadenze dei progetti vanno rispettate. Questo, secondo me ma spero di sbagliarmi, fa saltare dei controlli di sicurezza che possono ritorcersi contro la nostra organizzazione.

>
> Insomma: entrare, si, ma non ovunque e con diritti di elevato livello.
> Altrimenti, altro che regione Lazio...
>
>

Non e' neanche questione di diritti di alto livello, perche' uno bravo (magari con un team dietro) io penso che riesca a fare piu' danni di quanto m'immagini. Quindi bisogna prevenire. I responsabili delle varie applicazioni, delle varie filiere, fanno sicuramente la loro parte. Io devo pensare a fare la mia.

[rootkit]

On Fri, 12 Nov 2021 06:20:37 -0800, Tom wrote:


>> Come mai la responsabilità della scelta dei collaboratori è un tuo
>> problema e non della multinazionale che sceglie i fornitori o dei
>> fornitori stessi?
>
> Domanda assolutamente pertinente. Io ti do la mia risposta: non ci sono
> certezze.
> Nel senso: in caso di problemi *grossi* (ad es. una di queste utenze
> viene utilizzata per diffondere un ransomware, insomma e' di queste
> problematiche che stiamo parlando, senza girarci tanto intorno, ma
> potrebbe essere anche spionaggio, ammesso che qualcuno qui in azienda
> abbia a cuore *veramente*, e non a parole, queste cose) cosa succedera'?

non è un tema pertinente alla domanda che hai fatto.
voglio dire, un attacco ramsomware puà venire anche dalla persona più
onesta del mondo. solitamente è colposo, non doloso.

> E chi lo sa... nessuno lo sa. Immagino che qualcuno fara' una perizia, e
> su questa perizia si valutera' se ci sono delle responsabilita'. Tutti i
> coinvolti cercheranno di scaricare le proprie, in cascata... ma prova tu
> ad indovinare su chi le scaricheranno, ste resposabilita'. Indovina...
> su chi lavora? Su chi fisicamente assegna le abilitazioni? Un po' lo
> temo.

scusa, ma a meno che tu non abbia abilitato di tua iniziativa tuo cugino
non vedo come sia possibile. quando abiliti un utente sarai autorizzato,
no? ti scriveranno anche che permessi deve avere, giusto? se fai quello
che ti dicono (anzi, scrivono) di fare che hai da temere?
casino è se sbagli o se sei negligente. ma questo è un altro discorso
perché in quel caso sarebbe una colpa tua che non potresti negare.

>> BTW, nel mio caso stiamo mettendo su una gestione centralizzata per gli
>> accessi di questo tipo, con un server personale di ISL Online per una
>> sede locale (c'è stato anche un interessamento della gestione centrale
>> per un'adozione più ampia), ma comunque la scelta del personale per cui
>> abilitare l'accesso non è - e non deve essere - nostra.
>
> Si si, giusto. Pero'...
>
> Per quanto ne so, il tutto si regge in piedi su formalismi che non so
> nemmeno che validita' reale abbiano.

ce l'hanno, ce l'hanno.
in primo luogo nel caso che hai ipotizzato di un ransomware proveniente
da un esterno la prima cosa che la tua azienda farebbe è rivalersi
sull'esterno. che senso avrebbe aver subito un danno da un terzo e
cercare di dare le colpe internamente? è il fornitore, a cui sicuramente
avranno richiesto una polizza assicurativa adeguata (tutti adesso la
richiedono), a cacarsi in mano. mi preoccupo *molto* di più ad essere
dall'altra parte della barricata piuttosto che la tua, voi avreste nel
caso ben altri cazzi da smazzare tipo il piano di disaster recovery che
sicuramente farà acqua :-)

[rootkit]

On Fri, 12 Nov 2021 01:40:05 -0800, Tom wrote:

> Immaginate di lavorare per una grande azienda, con sedi in tutto il
> mondo, e di dover abilitare l'accesso al sistema informativo di una
> marea di consulenti, che le varie ditte fornitrici (parliamo sempre di
> IT) vi propongono.
>
> Cioe': le varie ditte vincono delle gare di appalto (sempre in ambito
> IT), per svolgere le loro attivita' hanno necessita' che molti nuovi
> utenti (loro dipendenti o collaboratori), delle piu' diverse
> nazionalita', vengano abilitati al sistema informativo aziendale.
>
> Ora il problema e': come faccio a sapere se tutti i nuovi consulenti che
> ci vengono proposti sono onesti? Per quanto ci si affidi a documenti di
> identita' eccetera, alla fine ci dobbiamo fidare di quanto ci
> dichiarano, non si sfugge a questa logica.

l'azienda si tutela nei confronti dei fornitori, richiedendo adeguate
garanzie di solvibilità e stipulando accordi di accountability. nella
maggioranza dei casi non si tratta di "filtrare" per criteri di presunta
onestà ma di garantirsi adeguata rivalsa per la parte civile (e quando
dico adeguata intendo proprio adeguata, capisciammè). solo in alcuni casi
specifici e motivati possono richiedere, ad esempio, il casellario
giudiziale e/o i carichi pendenti.

detto questo: quando arrivano a chi gestisce materialmente gli account
questi aspetti sono già stati affrontati, non sono di competenza loro.

[Leonardo Serni]

On Fri, 12 Nov 2021 01:40:05 -0800 (PST), Tom <dav...@gmail.com> wrote:

> Immaginate di lavorare per una grande azienda, con sedi in tutto il mondo, e di dover abilitare
> l'accesso al sistema informativo di una marea di consulenti, che le varie ditte fornitrici (parliamo sempre di IT)
> vi propongono.

Ed ecco che hai già la tua risposta.

**Perché** la ditta fornitrice ti propone il consulente X?

Perché la ditta appaltante ha detto: "Ci serve una figura fatta così", no?

E nel "fatta così" è implicito essere persona de rispetto.

Te la giro in un altro modo: tu sei il tizio che deve abilitare la porta X
sullo switch per una stampante.

Non compete a te stabilire se la stampante è a norma o se è elettricamente
sicura, né tantomeno se il profilo colore è adeguato o la carta è FSC.

Tutti questi problemi che pure ci sono, vanno affrontati e risolti a tutto
un altro livello. Tu, al massimo, puoi suggerire che vadano affrontati. Ma
quando arriva a te, sei legittimato a supporre che i controlli siano stati
fatti ad esito positivo; io mica vado a caratterizzare una stampante prima
di collegarla! Do per scontato che il fornitore non sia un assassino. Poi,
se quella esplode, ho tutti i titoli del mondo per rivalermi e nessuno mai
si sognerà di dirmi "Ma tu dovevi accertarti...", perché io *NON* dovevo.

Per esempio puoi richiedere di essere tempestivamente avvisato di revoche,
aggiornamenti o modifiche di credenziali, o di interruzioni di rapporti di
consulenza (chiudi con la ditta Z --> saltano tutti i consulenti di Z).

Puoi predisporre alcuni controlli automatici, informandone il management -
così come saresti avvisato se improvvisamente il MAC della stampante fosse
sostituito dal MAC di un portatile mai visto né conosciuto.

Ma tutto il resto non è il tuo "bailiwick".

Leonardo
--

"You all presumably know why" :-) :-(

[Tom]

Hai ragione da vendere, per me. Ma i ransomware (e il caso regione Lazio) stanno cambiando i paradigmi.
Siamo tutti responsabili di quello che facciamo. Non siamo soggetti passivi, dobbiamo agire in coscienza e consapevolezza.
Voglio dire, l'aspetto legale se lo smazzeranno, dopo, i legali. Ma se ci ne accorgiamo di qualcosa di strano, per conto mio dovremmo agire, al meglio delle nostre capacità.
Sia che ci accorgiamo dell'imminenza di un attacco (per chi e' in grado di capirlo o sospettarlo), sia che si tratti di una falla nel sistema delle autorizzazioni, a qualsiasi livello essa sia.
E' anche vero che non siamo attrezzati, sia culturalmente che psicologicamente, a reagire a situazioni mai affrontate prima.
Non so se qualcuno di voi ha fatto i corsi di primo soccorso, quelli obbligatori. Ti insegnano le manovre primarie, anche la respirazione bocca bocca (una volta la insegnavano, oggi l'accennano e basta). Ma se non te la senti di intervenire, chiama il 118 e stop, che comunque e' gia' qualcosa.
Secondo me qualcuno si dovrebbe prendere la briga di insegnarci a reagire a potenziali situazioni di emergenza nella sicurezza informatica, in senso ampio (ti dirò che in azienda qualcosa hanno fatto, ora che ci penso, una specie di mailbox, imho e' un po' pochino).

[ObiWan]

:: On Sun, 14 Nov 2021 22:47:18 -0800 (PST)
:: (it.comp.sicurezza.varie)
:: <6c4f8962-163d-46f2...@googlegroups.com>

:: Tom <dav...@gmail.com> wrote:

> Secondo me qualcuno si dovrebbe prendere la briga di insegnarci a
> reagire a potenziali situazioni di emergenza nella sicurezza
> informatica, in senso ampio (ti dirò che in azienda qualcosa hanno
> fatto, ora che ci penso, una specie di mailbox, imho e' un po'
> pochino).

Il discorso è diverso, è necessario dotarsi di strumenti atti a
rilevare le anomalie e segnalarle a chi è preposto a tale compito in
modo da permettergli di prendere decisioni appropriate e tempestive, ad
esempio potreste installare degli strumenti IDS/IPS che permettano un
monitoraggio costante della rete e dei sistemi che compongono la
stessa, tali strumenti avvertiranno di anomalie e potranno, se
desiderato, anche essere configurati per avviare delle azioni di
"remediation" in automatico

Giusto per fare un esempio

https://cybersecurity.att.com/products/ossim

ma ovviamente di prodotti di questo genere ce ne sono diversi, la
scelta tra uno o l'altro (o anche più di uno) dipende dalle specifiche
esigenze

[rootkit]

On Sun, 14 Nov 2021 22:47:18 -0800, Tom wrote:


> Hai ragione da vendere, per me. Ma i ransomware (e il caso regione
> Lazio) stanno cambiando i paradigmi.
> Siamo tutti responsabili di quello che facciamo. Non siamo soggetti
> passivi, dobbiamo agire in coscienza e consapevolezza.

giustamente. ma i ransomware però rappresentano un altro ordine di
problema rispetto a quello che hai presentato. un attacco ransomware può
venire anche per mezzo della persona più onesta del mondo, perché non è
lui che te lo sta facendo.

> Voglio dire, l'aspetto legale se lo smazzeranno, dopo, i legali. Ma se
> ci ne accorgiamo di qualcosa di strano, per conto mio dovremmo agire, al
> meglio delle nostre capacità.
> Sia che ci accorgiamo dell'imminenza di un attacco (per chi e' in grado
> di capirlo o sospettarlo), sia che si tratti di una falla nel sistema
> delle autorizzazioni, a qualsiasi livello essa sia.

è compito dell'azienda avere sia un piano di prevenzione che di reazione.
capisci che affidarsi all'iniziativa del singolo ha ben poco senso, ne
andare a caccia responsabilità quando le persone non sanno quello che
devono fare.
servono strumenti di monitoraggio e intrusion detection, in più serve un
piano di reazione condiviso in modo che le persone sappiano cosa fare.

> E' anche vero che non siamo attrezzati, sia culturalmente che
> psicologicamente, a reagire a situazioni mai affrontate prima.

e questo è un problema. vuol dire che non c'è un piano di reazione ad un
attacco informatico, o se c'è è rimasto in un cassetto senza condividerlo
con gli interessati. che è come se non ci fosse.

[Tom]

Il giorno lunedì 15 novembre 2021 alle 11:14:01 UTC+1 rootkit ha scritto:
> On Sun, 14 Nov 2021 22:47:18 -0800, Tom wrote:
>
>
> > Hai ragione da vendere, per me. Ma i ransomware (e il caso regione
> > Lazio) stanno cambiando i paradigmi.
> > Siamo tutti responsabili di quello che facciamo. Non siamo soggetti
> > passivi, dobbiamo agire in coscienza e consapevolezza.
> giustamente. ma i ransomware però rappresentano un altro ordine di
> problema rispetto a quello che hai presentato. un attacco ransomware può
> venire anche per mezzo della persona più onesta del mondo, perché non è
> lui che te lo sta facendo.

Si giusto, pero' pensavo anche all'eventualita', non so quanto probabile, di una infiltrazione architettata ad hoc per colpire con un ransomware. Il che si configurerebbe quando i sistemi siano maturi e attrezzati all'intrusion detection, per cui l'unico attacco possibile e' da personale interno. Un piano, insomma. Identita' falsa, lavoro come contractor, acquisto fiducia, attacco, sparisco nel nulla e chiedo il riscatto.

> > Voglio dire, l'aspetto legale se lo smazzeranno, dopo, i legali. Ma se
> > ci ne accorgiamo di qualcosa di strano, per conto mio dovremmo agire, al
> > meglio delle nostre capacità.
> > Sia che ci accorgiamo dell'imminenza di un attacco (per chi e' in grado
> > di capirlo o sospettarlo), sia che si tratti di una falla nel sistema
> > delle autorizzazioni, a qualsiasi livello essa sia.
> è compito dell'azienda avere sia un piano di prevenzione che di reazione.
> capisci che affidarsi all'iniziativa del singolo ha ben poco senso, ne
> andare a caccia responsabilità quando le persone non sanno quello che
> devono fare.
> servono strumenti di monitoraggio e intrusion detection, in più serve un
> piano di reazione condiviso in modo che le persone sappiano cosa fare.
> > E' anche vero che non siamo attrezzati, sia culturalmente che
> > psicologicamente, a reagire a situazioni mai affrontate prima.
> e questo è un problema. vuol dire che non c'è un piano di reazione ad un
> attacco informatico, o se c'è è rimasto in un cassetto senza condividerlo
> con gli interessati. che è come se non ci fosse.

Eh si, sono assolutamente d'accordo.

[ObiWan]

:: On Mon, 15 Nov 2021 03:29:25 -0800 (PST)
:: (it.comp.sicurezza.varie)
:: <1cc54535-9c46-4066...@googlegroups.com>

:: Tom <dav...@gmail.com> wrote:

> Si giusto, pero' pensavo anche all'eventualita', non so quanto
> probabile, di una infiltrazione architettata ad hoc per colpire con
> un ransomware. Il che si configurerebbe quando i sistemi siano maturi
> e attrezzati all'intrusion detection, per cui l'unico attacco
> possibile e' da personale interno. Un piano, insomma. Identita'
> falsa, lavoro come contractor, acquisto fiducia, attacco, sparisco
> nel nulla e chiedo il riscatto.

Se hai una architettura dotata, tra l'altro di sistemi IDS/IPS e di
filtraggio del traffico, mi sembra strano che un dipendente possa tirar
su volutamente un ransomware senza che i sistemi di monitoraggio se ne
accorgano, certo, tutto è possibile, ma la cosa sarebbe difficile

Ovvio, sempre SE i sistemi di monitoraggio/prevenzione sono messi in
piedi e gestiti correttamente

[Tom]

Molto interessante. Non sapevo, anzi non so proprio niente di questi sistemi di monitoraggio, sono rimasto indietro.
Magari li abbiamo gia'. Spero.
Grazie mille

[ObiWan]

:: On Mon, 15 Nov 2021 03:37:30 -0800 (PST)
:: (it.comp.sicurezza.varie)
:: <86538285-a9df-4f14...@googlegroups.com>

:: Tom <dav...@gmail.com> wrote:

> Molto interessante. Non sapevo, anzi non so proprio niente di questi
> sistemi di monitoraggio, sono rimasto indietro. Magari li abbiamo
> gia'. Spero. Grazie mille

Dai un'occhiata qui per qualche informazione di massima

https://en.wikipedia.org/wiki/Intrusion_detection_system

[Leonardo Serni]

On Sun, 14 Nov 2021 22:47:18 -0800 (PST), Tom <dav...@gmail.com> wrote:

>> Puoi predisporre alcuni controlli automatici, informandone il management -
>> così come saresti avvisato se improvvisamente il MAC della stampante fosse
>> sostituito dal MAC di un portatile mai visto né conosciuto.

>> Ma tutto il resto non è il tuo "bailiwick".

>Hai ragione da vendere, per me. Ma i ransomware (e il caso regione Lazio) stanno cambiando i paradigmi.

Ma anche no :-). Magari stanno svegliando a quelli che dovrebbero essere i

paradigmi.

>Siamo tutti responsabili di quello che facciamo. Non siamo soggetti passivi, dobbiamo agire in coscienza e consapevolezza.

Sicuro: tutti. Ma appunto, tu devi basarti sull'assunto che, gli altri, la
loro parte l'abbiano fatta. Anche perché, se il loro lavoro lo fai tu, che
cosa li pagano a fare loro?

>Ma se ci ne accorgiamo di qualcosa di strano, per conto mio dovremmo agire, al meglio delle nostre capacità.

Quello sì; come dicevo, "Puoi predisporre...".

>sia che si tratti di una falla nel sistema delle autorizzazioni, a qualsiasi livello essa sia.

Ah, un suggerimento, una nota, quella puoi mandarla sempre.

[Cordy]

Il Fri, 12 Nov 2021 09:13:01 -0800, Tom ha scritto:

> Il giorno venerdì 12 novembre 2021 alle 16:41:59 UTC+1 Cordy ha scritto:
>> Il Fri, 12 Nov 2021 01:40:05 -0800, Tom ha scritto:
>> > Le vostre idee? Grazie in anticipo
>> Magari ho tratto una conclusione errata io, ma: il tuo intervento mi fa
>> pensare ad un "liberi tutti". Cioè alla indiscriminata ammissione
>> all'interno dei sistemi, senza nessun filtro, di tutti.
>> Di solito si fa un'analisi delle necessità e poi si ammette alla parte
>> di archivi strettamente rilevanti alla funzione che ognuno deve
>> svolgere.
>
> Io credo che sia cosi'. Lo voglio credere. Pero' non e' piu' tempo di
> sola fiducia. Noi abbiamo la massima fiducia di tutti i nostri
> collaboratori. Ma sono tanti, c'e' fretta e le scadenze dei progetti
> vanno rispettate. Questo, secondo me ma spero di sbagliarmi, fa saltare
> dei controlli di sicurezza che possono ritorcersi contro la nostra
> organizzazione.

Ma parli di controlli di sicurezza tipo Polizia, oppure di controlli di
sicurezza tipo firewall? Cioè, fisici o informatici?
In generale, qui parliamo di contromisure informatiche. Un sistema
correttamente dimensionato e strutturato, in stato di manutenzione almeon
regolare, è difficilmente attaccabile.
Un consulente, che magari si connette da remoto, non più e non deve avere
diritti di accesso indiscriminati. Il partizionamento di aree, risorse ed
accessi è una parte fondamentale della corretta progettazione di un
sistema. Così come la gestione e manutenzione dei diritti di accesso. Mi
parrebbe pericoloso, lasciare diritti di accesso ad un consulente che non
lavora più per me, no? Quindi, alcune risorse vanno necessariamente
gestite in locale, avendo cura di una selezione scrupolosa, più che altro
in termini di capacità professionali. Un bravo CTO (Chief Technical
Officer) ha la fila fuori dalla porta, non ha certo bisogno di vendere
accessi agli hacker. E comunque, andrà controllato (inteso come
affidabilità personale) lui, non certo gli impiegati (come penso che sia
tu).

>
>
>> Insomma: entrare, si, ma non ovunque e con diritti di elevato livello.
>> Altrimenti, altro che regione Lazio...
>>
>>
> Non e' neanche questione di diritti di alto livello, perche' uno bravo
> (magari con un team dietro) io penso che riesca a fare piu' danni di
> quanto m'immagini. Quindi bisogna prevenire. I responsabili delle varie
> applicazioni, delle varie filiere, fanno sicuramente la loro parte. Io
> devo pensare a fare la mia.

Mi sembra un approccio sbagliato. Occorre certamente difendersi, ma parte
di questa difesa è anche una gestione dei rischi, delle procedure di
salvataggi di riserva, di disaster recovery, ecc.
Bilanciando opportunamente gli investimenti fra le varie voci.
E' come se tu, a casa tua, installassi un firewall da 50.000 euro. Certo,
sei protetto (forse...), ma: ha senso, economicamente?



--
Ciao! Stefano

[rootkit]

On Mon, 15 Nov 2021 03:29:25 -0800, Tom wrote:


> Si giusto, pero' pensavo anche all'eventualita', non so quanto
> probabile, di una infiltrazione architettata ad hoc per colpire con un
> ransomware. Il che si configurerebbe quando i sistemi siano maturi e
> attrezzati all'intrusion detection, per cui l'unico attacco possibile e'
> da personale interno. Un piano, insomma. Identita' falsa, lavoro come
> contractor, acquisto fiducia, attacco, sparisco nel nulla e chiedo il
> riscatto.

suggestivo ma improbabile. uno dei motivi del "successo" di questi
attacchi è proprio che si servono di utenti ignari: in primis perché sono
già "trusted" senza tutta quella trama da film di spionaggio, e poi
perché quando cerchi di risalire all'autore arrivi fino lì e finisci in
un cul de sac.
se vogliamo la realtà ha una trama molto meno intricata di quella che
ipotizzi. ricorda il rasoio di occam.

[ObiWan]

:: On Mon, 15 Nov 2021 16:02:45 -0000 (UTC)
:: (it.comp.sicurezza.varie)
:: <smu0b5$77q$5...@dont-email.me>

:: rootkit <roo...@email.it> wrote:

> suggestivo ma improbabile. uno dei motivi del "successo" di questi
> attacchi è proprio che si servono di utenti ignari: in primis perché
> sono già "trusted" senza tutta quella trama da film di spionaggio, e
> poi perché quando cerchi di risalire all'autore arrivi fino lì e
> finisci in un cul de sac.

Si e no, vedi, supponi di avere un sistema tipo (giusto come esempio)
"AlienVault" in opera, a quel punto, l'utente ignaro riceve (in qualche
modo, ed anche qui ci sarebbe da ragionare) il ransomware e lo esegue
ed a quel punto il sistema di monitoraggio rileva il traffico generato
dal ransomware verso il suo "C&C" lo identifica come pericoloso ed
oltre ad inviare un alert a chi gestisce la rete, isola il computer
dell'utente ignaro dalla rete stessa

[rootkit]

no ma io non parlavo tanto del successo dal punto di vista tecnico,
parlavo più dal punto di vista organizzativo/malavitoso. cioè il fatto
che l'attacco parta da un pc ignaro fa sì che non riuscirai mai a
risalire all'autore vero e proprio, quello che poi chiederà il riscatto.
come invece ipotizzava l'op utilizzando un "complice", per quanto possa
essere sofisticato il piano si tratta sempre di un individuo che lascia
tracce.

su quello che dici sono d'accordissimo, i sistemi di intrusion detection
rilevano attività anomale in rete a prescindere dalla provenienza.

[Tom]

Il giorno lunedì 15 novembre 2021 alle 15:44:42 UTC+1 Leonardo Serni ha scritto:
> On Sun, 14 Nov 2021 22:47:18 -0800 (PST), Tom <dav...@gmail.com> wrote:
>
> >> Puoi predisporre alcuni controlli automatici, informandone il management -
> >> così come saresti avvisato se improvvisamente il MAC della stampante fosse
> >> sostituito dal MAC di un portatile mai visto né conosciuto.
>
> >> Ma tutto il resto non è il tuo "bailiwick".
> >Hai ragione da vendere, per me. Ma i ransomware (e il caso regione Lazio) stanno cambiando i paradigmi.
> Ma anche no :-). Magari stanno svegliando a quelli che dovrebbero essere i
> paradigmi.
>
> >Siamo tutti responsabili di quello che facciamo. Non siamo soggetti passivi, dobbiamo agire in coscienza e consapevolezza.
> Sicuro: tutti. Ma appunto, tu devi basarti sull'assunto che, gli altri, la
> loro parte l'abbiano fatta. Anche perché, se il loro lavoro lo fai tu, che
> cosa li pagano a fare loro?

E' il mio stile, sono fatto cosi'. Non voglio fare il lavoro degli altri, e onestamente penso che lo facciano bene. Alcune cose gli possono sfuggire, perche' ciascuno di noi ha, in realta', un punto di osservazione e percezione diverso. Vediamo la realta' con il fitro della nostra consapevolezza, che si basa sulla nostra memoria e intelligenza. Non siamo proprio tutti uguali.

> >Ma se ci ne accorgiamo di qualcosa di strano, per conto mio dovremmo agire, al meglio delle nostre capacità.
> Quello sì; come dicevo, "Puoi predisporre...".
> >sia che si tratti di una falla nel sistema delle autorizzazioni, a qualsiasi livello essa sia.
> Ah, un suggerimento, una nota, quella puoi mandarla sempre.

Si infatti, e' quello che ho fatto. Volevo spingermi oltre, nelle proposte, solo che prima che mi scambino per matto volevo capire da voi lo status del pensiero dominante.

[Tom]

Il giorno lunedì 15 novembre 2021 alle 16:11:35 UTC+1 Cordy ha scritto:
> Il Fri, 12 Nov 2021 09:13:01 -0800, Tom ha scritto:
>
> > Il giorno venerdì 12 novembre 2021 alle 16:41:59 UTC+1 Cordy ha scritto:
> >> Il Fri, 12 Nov 2021 01:40:05 -0800, Tom ha scritto:
> >> > Le vostre idee? Grazie in anticipo
> >> Magari ho tratto una conclusione errata io, ma: il tuo intervento mi fa
> >> pensare ad un "liberi tutti". Cioè alla indiscriminata ammissione
> >> all'interno dei sistemi, senza nessun filtro, di tutti.
> >> Di solito si fa un'analisi delle necessità e poi si ammette alla parte
> >> di archivi strettamente rilevanti alla funzione che ognuno deve
> >> svolgere.
> >
> > Io credo che sia cosi'. Lo voglio credere. Pero' non e' piu' tempo di
> > sola fiducia. Noi abbiamo la massima fiducia di tutti i nostri
> > collaboratori. Ma sono tanti, c'e' fretta e le scadenze dei progetti
> > vanno rispettate. Questo, secondo me ma spero di sbagliarmi, fa saltare
> > dei controlli di sicurezza che possono ritorcersi contro la nostra
> > organizzazione.
> Ma parli di controlli di sicurezza tipo Polizia, oppure di controlli di
> sicurezza tipo firewall? Cioè, fisici o informatici?

Hai centrato il punto. Tutti indaffarati sul piano tecnico (per tutti penso ai colleghi, al "reparto" che cura la sicurezza in azienda). Ma quello sociale? Anche questa discussione si e' incanalata piu' su aspetti tecnici e diciamo tecnico-organizzativi, ma d'altronde non poteva essere che cosi', siamo in un gruppo di discussione tecnico. Mi incurosiva capire se il brainstorming prima o poi affrontasse anche l'aspetto diciamo sociale.

> In generale, qui parliamo di contromisure informatiche. Un sistema
> correttamente dimensionato e strutturato, in stato di manutenzione almeon
> regolare, è difficilmente attaccabile.

Nelle realta' piccole. E' come per i bambini: bambini piccoli problemi piccoli, bambini grandi problemi grandi.

> Un consulente, che magari si connette da remoto, non più e non deve avere
> diritti di accesso indiscriminati. Il partizionamento di aree, risorse ed
> accessi è una parte fondamentale della corretta progettazione di un
> sistema. Così come la gestione e manutenzione dei diritti di accesso.

Perfetto. Per quanto queste affermazioni mi "scaldino il cuore", mi diano conforto, so che i sistemi sono comunque e sempre attaccabili. Qua ce la possiamo giocare fin che vogliamo sul si e sul no (si lo sono, non non lo sono). Io penso di si'.

> Mi parrebbe pericoloso, lasciare diritti di accesso ad un consulente che non
> lavora più per me, no?

Assolutamente. Su questo siamo molto attenti. Ciascuno deve poter fare solamente quello che deve fare, nell'ambiente previsto.

> Quindi, alcune risorse vanno necessariamente
> gestite in locale, avendo cura di una selezione scrupolosa, più che altro
> in termini di capacità professionali. Un bravo CTO (Chief Technical
> Officer) ha la fila fuori dalla porta, non ha certo bisogno di vendere
> accessi agli hacker. E comunque, andrà controllato (inteso come
> affidabilità personale) lui, non certo gli impiegati (come penso che sia
> tu).
> >

I nostri fornitori sono le primarie aziende mondiali ICT (accenture, ntt data eccetera). Il grosso del lavoro ormai lo fanno loro. Io do' gli accessi agli operatori che fanno capo a loro. La selezione del loro personale ovviamente la fanno loro. Ogni tanto diamo qualche parere, penso sia normale (del tipo: vorremmo sostituire Tizio perche' eccetera). Non la faccio io sta attivita', la fa qualcuno vicino a me, responsabile del progetto/sistema/applicativo ecc. Quindi non vedo le persone, non le conosco (d'altronde potrebbero trovarsi in latam piuttosto che emea, apac, nafta...). Nella piccola/media realta' magari le conosci e sei un passo avanti, nel valutare i soggetti. Ma in una realta' grande no. E' tutto molto "spersonalizzato", passami il concetto. Capisci che a sto punto una questione te la poni: ma a chi sto dando le chiavi di casa?

Giustamente tu mi ripeterai "ma no, che preoccupazioni hai, se hai progettato bene i sistemi, le attivita' cosi' come le autorizzazioni sono ben delineate, cosa vuoi che facciano?". Temo che questo concetto appartenga ad un mondo ideale, ho fatto il programmatore/tecnico/responsabile per troppi anni per illudermi che questa sia la realta'. Per cui se qualcuno vuole trovare una scappatoia per "colpire", la trova.

> >
> >> Insomma: entrare, si, ma non ovunque e con diritti di elevato livello.
> >> Altrimenti, altro che regione Lazio...
> >>
> >>
> > Non e' neanche questione di diritti di alto livello, perche' uno bravo
> > (magari con un team dietro) io penso che riesca a fare piu' danni di
> > quanto m'immagini. Quindi bisogna prevenire. I responsabili delle varie
> > applicazioni, delle varie filiere, fanno sicuramente la loro parte. Io
> > devo pensare a fare la mia.
> Mi sembra un approccio sbagliato. Occorre certamente difendersi, ma parte
> di questa difesa è anche una gestione dei rischi, delle procedure di
> salvataggi di riserva, di disaster recovery, ecc.

ok, ma questo non e' compito mio (in un passato e' stato anche compito mio, cmq ora e' proprio cambiato tutto). Mi trovo ad affrontare aspetti piu' "sociali", per cosi' dire.

> Bilanciando opportunamente gli investimenti fra le varie voci.
> E' come se tu, a casa tua, installassi un firewall da 50.000 euro. Certo,
> sei protetto (forse...), ma: ha senso, economicamente?
>

Assolutamente d'accordo. Ma aggiungerei "cosa sei disposto a perdere?" Che tipo di danno, quanto grande, sei disposto ad acccettare?

[Valerio Vanni]

On Tue, 16 Nov 2021 02:15:59 -0800 (PST), Tom <dav...@gmail.com>
wrote:

>I nostri fornitori sono le primarie aziende mondiali ICT (accenture, ntt data eccetera). Il grosso del lavoro ormai lo fanno loro. Io do' gli accessi agli operatori che fanno capo a loro. La selezione del loro personale ovviamente la fanno loro. Ogni tanto diamo qualche parere, penso sia normale (del tipo: vorremmo sostituire Tizio perche' eccetera).

>Capisci che a sto punto una questione te la poni: ma a chi sto dando le chiavi di casa?

Certo, ma non è un problema risolvibile dalla tua posizione.
L'unica cosa che puoi fare è dare meno chiavi possibile.

--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.

[Cordy]

Il Tue, 16 Nov 2021 02:15:59 -0800, Tom ha scritto:

> Il giorno lunedì 15 novembre 2021 alle 16:11:35 UTC+1 Cordy ha scritto:
>> Il Fri, 12 Nov 2021 09:13:01 -0800, Tom ha scritto:
>>
>> > Il giorno venerdì 12 novembre 2021 alle 16:41:59 UTC+1 Cordy ha
>> > scritto:
>> >> Il Fri, 12 Nov 2021 01:40:05 -0800, Tom ha scritto:
>> >> > Le vostre idee? Grazie in anticipo

>> Ma parli di controlli di sicurezza tipo Polizia, oppure di controlli di
>> sicurezza tipo firewall? Cioè, fisici o informatici?
>
> Hai centrato il punto. Tutti indaffarati sul piano tecnico (per tutti
> penso ai colleghi, al "reparto" che cura la sicurezza in azienda). Ma
> quello sociale? Anche questa discussione si e' incanalata piu' su
> aspetti tecnici e diciamo tecnico-organizzativi, ma d'altronde non
> poteva essere che cosi', siamo in un gruppo di discussione tecnico. Mi
> incurosiva capire se il brainstorming prima o poi affrontasse anche
> l'aspetto diciamo sociale.

Su it.comp la vedo dura... forse su un ng di tipo più legale?

>
>> In generale, qui parliamo di contromisure informatiche. Un sistema
>> correttamente dimensionato e strutturato, in stato di manutenzione
>> almeon regolare, è difficilmente attaccabile.
>
> Nelle realta' piccole. E' come per i bambini: bambini piccoli problemi
> piccoli, bambini grandi problemi grandi.

Eh, ma è proprio per quello che... ci vogliono sistemi configurabili,
gente che li sappia far andare ed idee chiare.

>
>> Un consulente, che magari si connette da remoto, non più e non deve
>> avere diritti di accesso indiscriminati. Il partizionamento di aree,
>> risorse ed accessi è una parte fondamentale della corretta
>> progettazione di un sistema. Così come la gestione e manutenzione dei
>> diritti di accesso.
>
> Perfetto. Per quanto queste affermazioni mi "scaldino il cuore", mi
> diano conforto, so che i sistemi sono comunque e sempre attaccabili. Qua
> ce la possiamo giocare fin che vogliamo sul si e sul no (si lo sono, non
> non lo sono). Io penso di si'.

Indubbiamente. E' un po' come giocare a guardie e ladri: rincorsa continua.

>
>> Mi parrebbe pericoloso, lasciare diritti di accesso ad un consulente
>> che non lavora più per me, no?
>
> Assolutamente. Su questo siamo molto attenti. Ciascuno deve poter fare
> solamente quello che deve fare, nell'ambiente previsto.
>
>> Quindi, alcune risorse vanno necessariamente gestite in locale, avendo
>> cura di una selezione scrupolosa, più che altro in termini di capacità
>> professionali. Un bravo CTO (Chief Technical Officer) ha la fila fuori
>> dalla porta, non ha certo bisogno di vendere accessi agli hacker. E
>> comunque, andrà controllato (inteso come affidabilità personale) lui,
>> non certo gli impiegati (come penso che sia tu).
>> >
>> >
> I nostri fornitori sono le primarie aziende mondiali ICT (accenture, ntt
> data eccetera). Il grosso del lavoro ormai lo fanno loro. Io do' gli
> accessi agli operatori che fanno capo a loro. La selezione del loro
> personale ovviamente la fanno loro. Ogni tanto diamo qualche parere,
> penso sia normale (del tipo: vorremmo sostituire Tizio perche'
> eccetera). Non la faccio io sta attivita', la fa qualcuno vicino a me,
> responsabile del progetto/sistema/applicativo ecc. Quindi non vedo le
> persone, non le conosco (d'altronde potrebbero trovarsi in latam
> piuttosto che emea, apac, nafta...). Nella piccola/media realta' magari
> le conosci e sei un passo avanti, nel valutare i soggetti. Ma in una
> realta' grande no. E' tutto molto "spersonalizzato", passami il
> concetto. Capisci che a sto punto una questione te la poni: ma a chi sto
> dando le chiavi di casa?

Ho come la sensazione che tu non abbia il punto visuale giusto per
valutare la situazione. Può anche essere che tu abbia ragione, chi lo sa?
Ma non troverai risposte qui, di sicuro.
Non vorrei sembrare brutale, non è la mia intenzione, ma: sei troppo in
basso, nella scala gerarchica, anche solo per poter valutare la
situazione. E fra l'altro non penso rientri nei tuoi compiti.
In una dimensione come quella che tratteggi brevemente, probabilmente ci
sono già un minimo di controlli di sicurezza. Magari siete già a standard
NATO, per quel che ne puoi sapere. Quando entra fisicamente gente nei
vostri uffici, deve lasciare giù un documento d'identità ed ottiene un
cartellino identificativo? Avete un servizio metronotte? Sono tutti indizi
di un certo ambiente, che soggiace a regole invisibili ma rigide.

>
> Giustamente tu mi ripeterai "ma no, che preoccupazioni hai, se hai
> progettato bene i sistemi, le attivita' cosi' come le autorizzazioni
> sono ben delineate, cosa vuoi che facciano?". Temo che questo concetto
> appartenga ad un mondo ideale, ho fatto il
> programmatore/tecnico/responsabile per troppi anni per illudermi che
> questa sia la realta'. Per cui se qualcuno vuole trovare una scappatoia
> per "colpire", la trova.

Ah, senza alcun dubbio. Come detto: è una rincorsa continua. E guai a chi
si ferma.

>
>
>> >> Insomma: entrare, si, ma non ovunque e con diritti di elevato
>> >> livello. Altrimenti, altro che regione Lazio...
>> >>
>> >>
>> > Non e' neanche questione di diritti di alto livello, perche' uno
>> > bravo (magari con un team dietro) io penso che riesca a fare piu'
>> > danni di quanto m'immagini. Quindi bisogna prevenire. I responsabili
>> > delle varie applicazioni, delle varie filiere, fanno sicuramente la
>> > loro parte. Io devo pensare a fare la mia.
>> Mi sembra un approccio sbagliato. Occorre certamente difendersi, ma
>> parte di questa difesa è anche una gestione dei rischi, delle procedure
>> di salvataggi di riserva, di disaster recovery, ecc.
>
> ok, ma questo non e' compito mio (in un passato e' stato anche compito
> mio, cmq ora e' proprio cambiato tutto). Mi trovo ad affrontare aspetti
> piu' "sociali", per cosi' dire.

Boh. Non capisco che cosa fai tutto il santo giorno come lavoro...

>
>> Bilanciando opportunamente gli investimenti fra le varie voci.
>> E' come se tu, a casa tua, installassi un firewall da 50.000 euro.
>> Certo, sei protetto (forse...), ma: ha senso, economicamente?
>>
>>
> Assolutamente d'accordo. Ma aggiungerei "cosa sei disposto a perdere?"
> Che tipo di danno, quanto grande, sei disposto ad acccettare?

Il punto è proprio quello. Spendere 50.000 euro per difendere da
intrusioni... diciamo il caso peggiore, un c/c bancario che torna intorno
a zero ad ogni fine mese? Ma mi possono pure dare fuoco al pc, da remoto,
ma col cavolo che installo un qualsiasi "coso" che mi costa 50.000 euro!



--
Ciao! Stefano

[^Bart]

> Domanda piu' che corretta. Naturalmente non e' una questione che devo risolvere io. Non sono un responsabile, un "capo" per dirla terra terra. Non ho poteri sull'organizzazione.
>

Se tu sei uno che esegue gli ordini e non prende decisioni puoi dormire
più che tranquillo, nell'azienda in cui lavoro i capi decidono agli
esterni anche esteri che tipo di accesso dare.

> Pero' ci sono due aspetti. L'aspetto che mi riguarda direttamente (ossia: cosa potrebbe accadermi se lo scenario immaginato si avverasse?), e l'aspetto di persona competente.
>

Quando c'è un problema chi non ha preso le decisioni che possono essere
state la causa del problema si fa solo il mazzo per risolverlo!

> Come persona competente, posso esprimere dubbi (già fatto, e mi hanno dato ragione, quindi e' un problema reale, senza pero' proporre soluzioni o scenari diversi ne' a breve ne' a lungo termine) ma anche proporre suggerimenti. Non per ricavarne personalmente qualcosa, non ci sono le condizioni, ma perche' capisco che questo problema costituisca un elemento debole della nostra organizzazione. Abbiamo delle vulnerabilita' (aggiungo che in meno di un anno moltissime sono state corrette, la struttura degli accessi e' stata stravolta, riprogettata, ed e' stato fatto molto altro, segno che il management ha ritenuto necessario intervenire, quindi e' sensibile a questi aspetti). Si possono correggere? Non lo so, provo a fare ipotesi e ad immaginare soluzioni. Col vostro fondamentale aiuto, se vi va.
>

Se internamente non ci sono le competenze per delimitare chi fa cosa e
tracciare il tutto prima ci si rivolge a società serie che fanno
sicurezza (in Italia ce ne sono poche!) e poi viene il resto!

Saluti.
^Bart

[^Bart]

> Giusto per fare un esempio
>
> https://cybersecurity.att.com/products/ossim
>
> ma ovviamente di prodotti di questo genere ce ne sono diversi, la
> scelta tra uno o l'altro (o anche più di uno) dipende dalle specifiche
> esigenze

Anche questo https://www.crowdstrike.com/ funziona bene! :)

^Bart

[Tom]

Il giorno martedì 16 novembre 2021 alle 18:50:53 UTC+1 Cordy ha scritto:
> Il Tue, 16 Nov 2021 02:15:59 -0800, Tom ha scritto:
>
> > Il giorno lunedì 15 novembre 2021 alle 16:11:35 UTC+1 Cordy ha scritto:
> >> Il Fri, 12 Nov 2021 09:13:01 -0800, Tom ha scritto:
> >>
> >> > Il giorno venerdì 12 novembre 2021 alle 16:41:59 UTC+1 Cordy ha
> >> > scritto:
> >> >> Il Fri, 12 Nov 2021 01:40:05 -0800, Tom ha scritto:
> >> >> > Le vostre idee? Grazie in anticipo
> >> Ma parli di controlli di sicurezza tipo Polizia, oppure di controlli di
> >> sicurezza tipo firewall? Cioè, fisici o informatici?
> >
> > Hai centrato il punto. Tutti indaffarati sul piano tecnico (per tutti
> > penso ai colleghi, al "reparto" che cura la sicurezza in azienda). Ma
> > quello sociale? Anche questa discussione si e' incanalata piu' su
> > aspetti tecnici e diciamo tecnico-organizzativi, ma d'altronde non
> > poteva essere che cosi', siamo in un gruppo di discussione tecnico. Mi
> > incurosiva capire se il brainstorming prima o poi affrontasse anche
> > l'aspetto diciamo sociale.
> Su it.comp la vedo dura... forse su un ng di tipo più legale?

Si certo, corretto, diciamo piu' in generale affrontando l'argomento con dei legali, trovando interlocutori giusti, svegli aperti comprensivi informati... finora non ho presente :)

Non lo so. Sto pensando chi potrebbe averlo, sto punto visuale. Che io sappia, nessuno.

> Può anche essere che tu abbia ragione, chi lo sa?
> Ma non troverai risposte qui, di sicuro.

Risposte magari no, mi basta un confronto e devo dire di essere molto soddisfatto, mi e' proprio piaciuto scrivere e ragionare qui. Una boccata di aria fresca. Ci vuole, ogni tanto :)

> Non vorrei sembrare brutale, non è la mia intenzione, ma: sei troppo in
> basso, nella scala gerarchica, anche solo per poter valutare la
> situazione. E fra l'altro non penso rientri nei tuoi compiti.

Sicuro. Non rientra fra i miei compiti decidere. Pero' capita che mi chiedano un parere. Ogni settimana c'e' un meeting sui temi piu' ampi. La sicurezza ultimamente e' ai primi posti, subito dopo gli aspetti economici, diciamo :)

> In una dimensione come quella che tratteggi brevemente, probabilmente ci
> sono già un minimo di controlli di sicurezza. Magari siete già a standard
> NATO, per quel che ne puoi sapere.

Lo escludo, lo saprei. Interessante sta cosa, devo approfondire. Gli spunti arrivano, questo e' il bello dei gruppi di discussione.

> Quando entra fisicamente gente nei
> vostri uffici, deve lasciare giù un documento d'identità ed ottiene un
> cartellino identificativo? Avete un servizio metronotte? Sono tutti indizi
> di un certo ambiente, che soggiace a regole invisibili ma rigide.

Si

> >
> > Giustamente tu mi ripeterai "ma no, che preoccupazioni hai, se hai
> > progettato bene i sistemi, le attivita' cosi' come le autorizzazioni
> > sono ben delineate, cosa vuoi che facciano?". Temo che questo concetto
> > appartenga ad un mondo ideale, ho fatto il
> > programmatore/tecnico/responsabile per troppi anni per illudermi che
> > questa sia la realta'. Per cui se qualcuno vuole trovare una scappatoia
> > per "colpire", la trova.
> Ah, senza alcun dubbio. Come detto: è una rincorsa continua. E guai a chi
> si ferma.
> >
> >
> >> >> Insomma: entrare, si, ma non ovunque e con diritti di elevato
> >> >> livello. Altrimenti, altro che regione Lazio...
> >> >>
> >> >>
> >> > Non e' neanche questione di diritti di alto livello, perche' uno
> >> > bravo (magari con un team dietro) io penso che riesca a fare piu'
> >> > danni di quanto m'immagini. Quindi bisogna prevenire. I responsabili
> >> > delle varie applicazioni, delle varie filiere, fanno sicuramente la
> >> > loro parte. Io devo pensare a fare la mia.
> >> Mi sembra un approccio sbagliato. Occorre certamente difendersi, ma
> >> parte di questa difesa è anche una gestione dei rischi, delle procedure
> >> di salvataggi di riserva, di disaster recovery, ecc.
> >
> > ok, ma questo non e' compito mio (in un passato e' stato anche compito
> > mio, cmq ora e' proprio cambiato tutto). Mi trovo ad affrontare aspetti
> > piu' "sociali", per cosi' dire.

> Boh. Non capisco che cosa fai tutto il santo giorno come lavoro...

Autorizzazioni, scadenze, revoche, password (sta roba tocca a me) e si', anche il rilascio dei badge dei consulenti ict qui in Italia (poi lo ritirano nelle portinerie delle varie sedi, ma ultimamente usano una app sul cellulare), un minimo ma proprio minimo di assistenza tecnica (abbiamo un help desk in appalto, il grosso lo fanno loro), consulenze su quello che so (me le chiedono...). Riunioni (bilancio, non quello aziendale, ma del mio ufficio, pianificazione degli sviluppi sw aziendali (li seguiamo noi), scambi (mail, telefonate) con i referenti delle attivita' in appalto, qualche presentazione powerpoint). Qualche applicazione (ideazione, valutazioni con gli utilizzatori o potenziali tali, scouting di quanto esiste gia' sul mercato, integrazioni e sviluppi sw che ci sono sempre, appalti, costi, tempi, ecc) ma non le seguo più io... piu' o meno.

> >
> >> Bilanciando opportunamente gli investimenti fra le varie voci.
> >> E' come se tu, a casa tua, installassi un firewall da 50.000 euro.
> >> Certo, sei protetto (forse...), ma: ha senso, economicamente?
> >>
> >>
> > Assolutamente d'accordo. Ma aggiungerei "cosa sei disposto a perdere?"
> > Che tipo di danno, quanto grande, sei disposto ad acccettare?
> Il punto è proprio quello. Spendere 50.000 euro per difendere da
> intrusioni... diciamo il caso peggiore, un c/c bancario che torna intorno
> a zero ad ogni fine mese? Ma mi possono pure dare fuoco al pc, da remoto,
> ma col cavolo che installo un qualsiasi "coso" che mi costa 50.000 euro!
>

Eh si', d'accordissimo :)
>
> --
> Ciao! Stefano

Grazie e ciao!

[Tom]

Il giorno martedì 16 novembre 2021 alle 20:34:30 UTC+1 ^Bart ha scritto:
> > Domanda piu' che corretta. Naturalmente non e' una questione che devo risolvere io. Non sono un responsabile, un "capo" per dirla terra terra. Non ho poteri sull'organizzazione.
> >
> Se tu sei uno che esegue gli ordini e non prende decisioni puoi dormire
> più che tranquillo, nell'azienda in cui lavoro i capi decidono agli
> esterni anche esteri che tipo di accesso dare.

Da me capita questo: i capi in realta' non sanno. E' tutto molto frammentato. Provo a spiegarlo anche a me stesso, perche' le cose sono cambiate e stanno cambiando radicalmente. Abbiamo una struttura aziendale di cyber security, la quale si occupa di tutti sti aspetti (piu' tecnici che altro). Abbiamo da poco anche una societa' di revisione che fa dei controlli diciamo "approfonditi" dei nostri punti deboli. Abbiamo in realta', e non da oggi, anche chi fa l'hacking etico (oddio, c'erano. Non so se ci siano ancora). Beh con questi mi sono fatto veramente delle risate, cioe' eravamo amici. Ad un certo punto siamo stati selezionati per sto hacking etico (da notare che la regola non scritta era che selezionavano "le migliori applicazioni, le piu' sicure", per non far brutte figure), e io gli ho detto per filo e per segno tutti i nostri punti deboli. Li ho spiazzati, ci siamo messi a ridere. Boh, mai visto quel rapporto, mai saputo piu' niente.

Cmq, tornando a bomba, mi sa che nessuno ha del tutto chiaro in che situazione siamo. Capi e non capi. I non capi ragionano appunto come hai detto tu (faccio quello che mi dicono, non posso avere responsabilita'). Ma i capi saranno consapevoli? Qua e' dura. Non sono tecnici, se lo erano non lo sono piu' da tempo. E se non sei un tecnico, sei tagliato fuori da tutto questo mondo che ha una sua oggettiva complessita'. Quindi io dico di no, non sono consapevoli. Al di la' dei risvolti civili e penali sui singoli, mi spiace sinceramente vedere buttati soldi o anche fare figuracce sul piano internazionale per essere stati colpiti da un virus o quello che e', o aver perso dei dati (per inciso, con la mia busta paga di qualche tempo fa, mi hanno comunicato che si sono persi i miei dati, che sono finiti nel web, dark o meno). E' un problema reale, non mi sto inventando qualcosa, non ho le travvegole. Sono cose successe, accadute (centinaia di server "rifatti" per almeno due ransomware, e altrettanti pc crittografati, non il mio :)).

Questo mi da' proprio fastidio, e' come una sconfitta. Quindi se posso, qualcosa faccio. Mi informo, valuto, penso e comunico. Poi non tocca a me decidere, ma non per questo non mi do' da fare.

> > Pero' ci sono due aspetti. L'aspetto che mi riguarda direttamente (ossia: cosa potrebbe accadermi se lo scenario immaginato si avverasse?), e l'aspetto di persona competente.
> >
> Quando c'è un problema chi non ha preso le decisioni che possono essere
> state la causa del problema si fa solo il mazzo per risolverlo!
> > Come persona competente, posso esprimere dubbi (già fatto, e mi hanno dato ragione, quindi e' un problema reale, senza pero' proporre soluzioni o scenari diversi ne' a breve ne' a lungo termine) ma anche proporre suggerimenti. Non per ricavarne personalmente qualcosa, non ci sono le condizioni, ma perche' capisco che questo problema costituisca un elemento debole della nostra organizzazione. Abbiamo delle vulnerabilita' (aggiungo che in meno di un anno moltissime sono state corrette, la struttura degli accessi e' stata stravolta, riprogettata, ed e' stato fatto molto altro, segno che il management ha ritenuto necessario intervenire, quindi e' sensibile a questi aspetti). Si possono correggere? Non lo so, provo a fare ipotesi e ad immaginare soluzioni. Col vostro fondamentale aiuto, se vi va.
> >
> Se internamente non ci sono le competenze per delimitare chi fa cosa e
> tracciare il tutto prima ci si rivolge a società serie che fanno
> sicurezza (in Italia ce ne sono poche!) e poi viene il resto!

Si si certo, verissimo. Grazie :)

> Saluti.
> ^Bart

[Cordy]

Il Wed, 17 Nov 2021 00:27:58 -0800, Tom ha scritto:

"Hacking etico". Cioè?


--
Ciao! Stefano

[Archaeopteryx]

> "Hacking etico". Cioè?

Conosco la locuzione a proposito di crackare programmi con
l'idea che chi li usa non ci faccia soldi. Inutile dire
quanto sia pretestuosa la cosa ma così ho letto e così
riporto. Suppongo che in un contesto come quello del NG
sia qualcosa di diverso, quindi mi accodo alla curiosità.

[Michele]

Cracking etico: trombare la moglie del proprio miglior amico per
dimostrargli che è una "poco di buono".

Michele

[rootkit]

On Wed, 17 Nov 2021 12:26:39 +0100, Michele wrote:


> Cracking etico: trombare la moglie del proprio miglior amico per
> dimostrargli che è una "poco di buono".

questo è fucking etico.

[Michele]

Infatti voleva essere una similitudine.
L'importante è essere etici!

Michele

[Tom]

Il giorno mercoledì 17 novembre 2021 alle 10:45:47 UTC+1 Cordy ha scritto:
> Il Wed, 17 Nov 2021 00:27:58 -0800, Tom ha scritto:
>
> "Hacking etico". Cioè?
>

https://www.google.com/search?q=hacking+etico&oq=hacking+etico

[dalai lamah]

Un bel giorno Tom digitò:

>> Come mai la responsabilità della scelta dei collaboratori è un
>> tuo problema e non della multinazionale che sceglie i fornitori
>> o dei fornitori stessi?
>
> Domanda assolutamente pertinente. Io ti do la mia risposta: non ci sono
> certezze. Nel senso: in caso di problemi *grossi* (ad es. una di queste
> utenze viene utilizzata per diffondere un ransomware, insomma e' di
> queste problematiche che stiamo parlando, senza girarci tanto intorno,
> ma potrebbe essere anche spionaggio, ammesso che qualcuno qui in azienda
> abbia a cuore *veramente*, e non a parole, queste cose) cosa succedera'?
> E chi lo sa... nessuno lo sa. Immagino che qualcuno fara' una perizia, e
> su questa perizia si valutera' se ci sono delle responsabilita'. Tutti i
> coinvolti cercheranno di scaricare le proprie, in cascata... ma prova tu
> ad indovinare su chi le scaricheranno, ste resposabilita'. Indovina...
> su chi lavora? Su chi fisicamente assegna le abilitazioni? Un po' lo
> temo.

Per prima cosa assicurati di non apporre firme su nessun documento che
dichiari qualsiasi tipo di idoneità ad accedere al sistema informativo.
Sembra strano e anacronistico, ma anche nel 2021 una firma su un documento
cartaceo fa ancora una certa differenza.

Per il resto se il tuo compito è solo quello di creare e fornire
credenziali di accesso, io richiederei che venga preventivamente prodotta
una richiesta firmata (vedi sopra) che contenga i nomi dei nominativi da
abilitare. Questo vale sia se la lista dei nominativi ti viene fornita
internamente, sia se ti interfacci tu direttamente con il fornitore
esterno. Anzi, nel secondo caso è ancora più facile, perché basta dirgli
che questa è la policy aziendale e si deve fare così.

Se la richiesta firmata non è ottenibile, al limite potresti mandare una
e-mail a tutti gli opportuni responsabili dove riporti i nomi dei
nominativi per i quali hai creato l'account "come richiesto da XXX",
precisando magari che non puoi fare nessuna valutazione sull'idoneità di
tali soggetti. Però qui iniziamo a entrare in una modalità
passivo-aggressiva e dipende da quali relazioni hai con i suddetti
responsabili.

--
Fletto i muscoli e sono nel vuoto.

[Tom]

Crackare programmi fa ridere comunque si' dai, puo' essere.
Non "craccano" programmi, in genere (pero' effettivamente non so, magari lo fanno anche). Mi pare che il loro obbiettivo (però dichiarato prima in una riunione, anche se certo non sapevi quando sarebbe accaduto) fosse quello di entrare nei sistemi. Fatto questo compilavano ovviamente una relazione. Se tu eri il responsabile di quel sistema/applicazione, non ci facevi na gran figura. Poi bisogna vedere, insomma. Ogni caso fa storia a se' (i sistemi sono tanti, le esigenze diverse, per cui non e' possibile generalizzare). L'intento non e' ovviamente punitivo nel confronto dei singoli, quanto piuttosto capire punti deboli, sicurezza ecc.

[Tom]

Esatto, e' proprio cosi'. E' un continuo chiedere conferme e autorizzazioni. Pero' sai, qualcosa scappa sempre. Il sistema e' complesso, le autorizzazioni spesso sono "incrociate", spero di rendere l'idea. Cmq c'e' un grosso miglioramento, stanno investendo un po' su tutto l'aspetto sicurezza.

Vabe', ho approfittato anche troppo della vostra pazienza.
Grazie veramente a tutti. Ciao e buon lavoro!

[John Smith]

On 17/11/2021 15:30, dalai lamah wrote:
>
> Se la richiesta firmata non è ottenibile, al limite potresti mandare una
> e-mail a tutti gli opportuni responsabili dove riporti i nomi dei
> nominativi per i quali hai creato l'account "come richiesto da XXX",
> precisando magari che non puoi fare nessuna valutazione sull'idoneità di
> tali soggetti. Però qui iniziamo a entrare in una modalità
> passivo-aggressiva e dipende da quali relazioni hai con i suddetti
> responsabili.

Email tipo:
Buonasera, come da accordi, ho provveduto ad abilitare XXX al sistema
YYY con i privilegi WWW.
Le abilitazioni saranno attive entro 24-48 ore dalla presente.
Ci è gradita l'occasione per porgere tanti, ma tanti cari saluti.
.
.
.
.
Se tacciono hai il "sielnzio assenso".
Se ti rispondono che non li devi abilitare hai tempo per bloccare tutto.
Se si incazzano che ci vuole troppo tempo gli rispondi che provvederai
di persona a sollecitare l'abilitazione.

E cicciarcù.

M.

[Cordy]

Tu ne hai scritto in un contesto preciso. Al di là del fatto che viene
considerato poco educato postare link a ricerche su internet, temo che il
link non risolva la mia domanda.
Avevo già più di un dubbio sul tuo effettivo scopo con questa domanda.
Questa è una conferma, in senso negativo. Farewell.


--
Ciao! Stefano

[Tom]

Capisco, mi spiace ma non saprei come giustificarmi.
Grazie mille per i tuoi interventi, molto interessanti.