> >-----Messaggio originale----- > >Da: [email protected] > >[mailto:[email protected]] Per conto di simo > >Inviato: domenica 11 ottobre 2009 20.04 > >A: [email protected] > >Oggetto: Re: Re:[ml] www.poste.it > > > >On Sun, 2009-10-11 at 16:36 +0200, [email protected] wrote: > >> > > >> > Pesante, direi. > >> > > >> > >Ricordiamoci che questa e' (anche) una banca. Come si puo' > >avere fiducia di un ente che come prima reazione minimizza > >cercando di dare a bere che non sia successo nulla ? > >
Allora dovresti buttare via tutte le carte di credito che hai, visto che ogni grossa compagnia ha visto violati piu' volte i loro DB e non sempre la notizia e' stata divulgata. > >Io da una banca mi aspetterei un licenziamento in tronco > >del/dei responsabile/i (e intendo i manager non qualche > >sfigato di tecnico), I manager , in quanto tali, devono fidarsi di quello che gli hanno riferito gli esperti di sicurezza che hanno effettuato i Penetration Tests ed i VA sul portale; magari non hanno scelto un team sufficientemente skillato. Il manager e' pero' colpevole di non aver fatto applicare le policy in materia di aggiornamenti applicativi e sistemistici,ma da licenziare e' anche il DBA che doveva segnalare la cosa (la 9.2.0.7 e' vecchiotta, con parecchie vulnerabilita' note e chissa' quante ignote, di sicuro non e' l'ultima versione disponibile). Il pollo e' anche lo sviluppatore dell'applicazione che ha inserito le credenziali in chiaro delle utenze DB A2A, ma le procedure di verifica sul codice sorgente dell'applicazione avrebbero dovuto far emergere anche questo problema. Come sempre, la sicurezza di un sistema e' un lavoro di team, e meriti e colpe dovrebbero andar equamente distribuite (nel mondo ideale); nel mondo reale se tutto va bene il merito e' del manager, se tutto va male e' come hai detto tu, colpa dello sfigato tecnico. Ciao RR Questo messaggio e i suoi allegati sono indirizzati esclusivamente alle persone indicate. La diffusione, copia o qualsiasi altra azione derivante dalla conoscenza di queste informazioni sono rigorosamente vietate. Qualora abbiate ricevuto questo documento per errore siete cortesemente pregati di darne immediata comunicazione al mittente e di provvedere alla sua distruzione, Grazie. This e-mail and any attachments is confidential and may contain privileged information intended for the addressee(s) only. Dissemination, copying, printing or use by anybody else is unauthorised. If you are not the intended recipient, please delete this message and any attachments and advise the sender by return e-mail, Thanks.
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
