2009/10/14 Rissone Ruggero:
[...]
> Il manager e' pero' colpevole di non aver fatto applicare le policy in
> materia di aggiornamenti applicativi e
> sistemistici,ma da licenziare e' anche il DBA che doveva segnalare la cosa
> (la 9.2.0.7 e' vecchiotta, con parecchie
> vulnerabilita' note e chissa' quante ignote, di sicuro non e' l'ultima
> versione disponibile).
La 9.x è una versione supportata di Oracle, comunque è ben noto che
certi software non devi semplicemente averli accessibili via Internet
e devi tenerli in un "secure backend". Più che un problema di DB direi
che tutta l'architettura è fallata, dovrebbero esserci in fronte come
minimo dei reverse proxy che blocchino il traffico amministrativo -
meglio se non c'è alcun collegamento tra il DB e l'esterno.
> Il pollo e' anche lo sviluppatore dell'applicazione che ha inserito le
> credenziali in chiaro delle utenze DB A2A, ma
> le procedure di verifica sul codice sorgente dell'applicazione avrebbero
> dovuto far emergere anche questo
> problema.
> Come sempre, la sicurezza di un sistema e' un lavoro di team, e meriti e
> colpe dovrebbero andar equamente
> distribuite (nel mondo ideale); nel mondo reale se tutto va bene il merito e'
> del manager, se tutto va male e' come
> hai detto tu, colpa dello sfigato tecnico.
Concordo col punto a cui vuoi arrivare. Resta il fatto che in altri
paesi, il manager come è giusto che sia, si prende le sue
responsabilità in quanto manager, e per definizione responsabile.
Questo non significa che se le deve prendere il responsabile della
sicurezza. Secondo me dovrebbe essere il manager che ha autorizzato il
servizio ad andare in produzione ("service owner").
Cordiali saluti
--
Marco Ermini
r...@human # mount -t life -o ro /dev/dna /genetic/research
http://www.linkedin.com/in/marcoermini
"Jesus saves... but Buddha makes incremental back-ups!"
Sent from Düsseldorf, North Rhine-Westphalia, Germany
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
