Il 04/11/07, Rosario Russo <[EMAIL PROTECTED]> ha scritto: > Fabio Panigatti ha scritto: > > > > > Dopo quanti tentativi da un ip? Facciamo 5? Considerando che mediamente > > servirebbero 50.000 tentativi... mumble mumble... fanno 10.000 sessioni > > di cracking... 10.000 bot per un totale di circa... uhmmm... 2.000 euro > > di noleggio della botnet? Mah, chissa che non ne valga la pena :-) > > > > Sono calcolini un po' per scherzo e un po' per provocazione (dubito che > > il solo ip sia la discriminante per il blocco). > > Io spero che non lo sia proprio! L'ho scritto tanto per dire che > sicuramente (!) esistera' un sistema di intrusion protection a piu' > livelli. Se lo fanno bloccando solo l'IP, sbaglierebbero (e di tanto!) > > Spero anche che il firewall escluda la provenienza della connessione > dalla rete Tor. E' vero che un maniaco di privacy potrebbe voler vedere > il proprio conto utilizzando Tor, ma e' un maniaco... ;-) Per la stessa > sicurezza del cliente, la connessione deve essere tracciabile. >
Nel caso in cui la banca si affidi ad una societa di controllo esterna, di solito si blocca l'IP sul firewall in base al num di connessioni, in quanto la societa esterna non puo vedere il traffico che transita in https. Ad esempio credo blocchino l'IP se vengono effettuate piu di 1000conn/30min, soltanto se l'IP non e' gw di grosse MAN... Cmq credo si decida caso per caso. Banche con sonde ISS e controllo 24/7 per ora credo non ce ne siano, o sono molto poche, forse banca intesa... Eni e Terna si stanno attrezzando per offrire un servizio simile.. Sistemi IPS o IDS che possano fare controlli corretti di prevention e reagire in automatico, per ora non ce ne sono. Hanno un elevatissimo num di falsi positivi, e la banca ha paura che bloccando troppo gli IP i clienti si lamentino... ma nn solo le banche.. Alle banche conviene limitare la transazione massima eseguibile online, e utilizzare server con tempi di risposta lenti per evitare password bruteforce.. Oppure utilizzare sistemi di autenticazione piu sicuri degli altri, per far star tranquillo il cliente.. questo e' quello che conta ;) Limitare la password inseribile dal cliente secondo me resta comunque una sciocchezza. Ciao -- -------------------------------------------------- Daniele Rugginenti [EMAIL PROTECTED] ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
