La mia mail era un po' provocatoria per fare capire che non sempre le cose sono cosi' facili. Se da un punto di vista tecnico molte cose si potrebbero facilmente risolvere, esistono altri punti in cui le cose sono moooolto complicate.
Vi faccio un esempio pratico giusto di martedi' scorso: tre mesi di riunioni tra cliente (grosso telco italiano) e prime contractor per capire chi/cosa/quando non funzionava una determinata architettura, ci ho messo 2 ore a risolverlo, incluso test di carico e caffe' :-) In un altro grosso telco qualche mese e' capitato proprio quello che vi ho descritto nella mail: un prime contractor ha riunito 4 vendor di fronte al proprio cliente (il telco) per "scaricarsi" delle responsabilita' delle matrici di compatibilita'. Fa niente che gli ho detto "ma in quella versione del OS c'erano critical patch da applicare", loro volevano tutto certificato e scaricare la responsabilita' sul vendor di turno (dalle mie parti si chiama scaricabarile!). Non si tratta del numero dei server, ma il problema e' meramente organizzativo e non tecnologico. E' ovvio che il numero di server piu' elevato si trovano in organizzazioni piu' grosse, dove le responsabilita' distribuite e lo scaricabarile piu' probabile. D'altronde se e' tutto certificato puoi dire: io ho fatto tutto nel mio potere (??) e a norma di legge per proteggere, se mi hanno bucato mica e' colpa mia .... E' vero anche che puoi mettere dei sistemi per "monitorare" un determinato defacement, ma siamo tutti (parecchio) bravi per capire che chi vuole entrare, entra! Non importa quanti sistemi di sicurezza hai, se c'e' qualcuno che ti ha preso di mira, prima o poi trovera' quella misconfigurazione che ti permette di entrare. E piu' e' grande l'azienda, piu' hai sistemi, piu' hai persone "piu' o meno brave" che ruotano attorno all'azienda (soprattutto sub-sub-subcontractors), piu' hai la probabilita' che ci siano misconfigurazioni. Vorrei dirne di piu', ma conosco troppe realta', anche molte in cui lavorano persone di questa lista. Vorrei fare i complimenti a qualcuno di loro che, nonostante problemi "politici" vari, riesce in qualche modo ad imporre una certa sicurezza. Vorrei dare "una pacca sulla spalla" di solidarieta' a chi, nonostante il loro impegno, si trova quotidianamente a sbattere contro i muri e farsi male. Preferisco non dire altro in lista: non sono formalmente sotto NDA, ma non voglio scendere nei dettagli ... ;-) Ciao ciao, Gippa P.S. Una piccola risposta ad una mail passata in lista. Per il tipo di business che hanno, i telco devono essere assolutamente competitivi, e questo spesso lo si realizza offrendo (piu' o meno bene) dei servizi innovativi. IMHO i telco sono l'unico driver di innovazione che c'e' nel mondo "civile" (non sto parlando di militari ;). ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
