> -----Messaggio originale----- > Da: [email protected] [mailto:[email protected]] Per > conto di Samuele > Inviato: domenica 27 gennaio 2013 20:07 > A: [email protected] > Oggetto: [ml] Info su attacco > > Scrivo solo ora, in quanto tra una cosa e l'altra mi è sempre scappato > di testa. > > A novembre, i media locali avevano dato la notizia di un attacco > avvenuto ad un'azienda, in cui un ex dipendente aveva fatto danni per > circa 600k euro e tenuto ferma l'azienda per 2 settimane. > > Non per farmi gli affari degli altri, ma da quanto letto sui giornali > > http://tribunatreviso.gelocal.it/cronaca/2012/11/22/news/hacker-per- > vendetta-paralizza-l-azienda-1.6068027 > > la situazione risulta un po' strana. Non sono un esperto in sicurezza > come talune persone che sono qui dentro, però alcuni dubbi mi vengono > comunque e, pur sapendo che i dettagli non possono essere rivelati, > capire nel riassunto fatto nel giornale, quanto è vero, quanto è fuffa. > Poi sono un curiosone di mio, quindi mi piacerebbe seppur a grandi > linee, capire cosa è successo. > > 1) Possibile che in una azienda multinazionale, quindi presumo con > delle policy di sicurezza abbastanza stringenti siano riusciti in un > solo colpo a fare tutti questi danni? (ok, sentendo le storie che > raccontano alcuni di voi, non c'è mai da stupirsi di nulla...). > > 2) Dicono che il tipo si è collegato dalla rete wireless del vicino (mi > pare strano che uno se è "bravo" faccia una cavolata del genere). > Poi riferiscono di essere riusciti a trovarlo nonostante avesse usato > tor (anche qui, o lo aveva configurato male con pochi nodi e farlocchi > oppure tor ha qualche problemuccio). > > 3) Capisco che se era nella posizione di essere un sysadmin > dell'azienda, potrebbe avere piazzato backdoor in più punti, però se > come sembra aveva interrotto il rapporto di lavoro in modo burrascoso, > penso che l'azienda avrebbe dovuto fare qualche controllo dopo che se > ne era andato.
Senza voler essere un esperto di sicurezza, qualche mia nota: - I commenti all'articolo sono piuttosto negativi. Sembra che l'autore non sia nuovo a superficialità ed esagerazioni nei suoi lavori. - Le policy di sicurezza non servono a molto, quando l'autore dell'attacco è stato sistemista e ha magari avuto modo di piazzare qualche backdoor nella rete. Una cosa sono le policy, ma altra cosa è chi deve implementarle e farle rispettare. Se il "cattivo" è tra questi, c'è poco da fare. - Bisogna vedere se la polizia postale ci è arrivata risalendo Tor (difficile, a mio parere) o per altre strade. Certo che se usi Tor senza cancellare le tue tracce in locale, una volta messe le mani sul computer la polizia ha gioco facile. Bisogna poi vedere se è vero che ha usato Tor: un articolo da un giornale non specializzato non è la più affidabile delle fonti. - Se veramente ha piazzato una backdoor, non è detto che abbia informato chi gli è subentrato, anzi: se già aveva cattive intenzioni, le avrà nascoste il più possibile. Al di là del fermo rete, con conseguenti danni, mi fa specie, piuttosto, che non abbiano implementato delle politiche di backup un po' più efficaci. Con uno stop di due settimane, infatti, mi vien da pensare che abbiano dovuto ricostruire tutto quanto a mano mentre, con un buon backup, se la sarebbero cavata al più in qualche giorno. Questo dimostra, a mio parere, che risparmiare troppo sulle infrastrutture IT, alla lunga, rischia di dare più danni che benefici. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
