On 28/01/2015 16:10, Piero Cavina wrote: > Curiosità: capisco che una realtà senza IT interna possa non > arrivarci, ma dove c'è un consulente, non potrebbe questi suggerire di > attivare la policy di restrizione software di Windows in modalità > "whitelist"? Ha bisogno di un po' di "tuning" ma dovrebbe risolvere il > problema di tutto il malware di questo tipo.
Con una soluzione del genere ti ritroveresti che il cliente ti chiama ogni 5 minuti per sbloccare questo o quello. Successa giusto lunedì: dopo anni passati a tarmarlo, avevo convinto il cliente a configurare un domino e non far usare utenti con privilegi amministrativi sui client (solo il responsabile amministrativo aveva la pwd di domain admin). Sull'onda dell'entusiasmo mi hanno chiamato per un po' di volte quando dovevano installare qualche aggiornamento, fin quando venerdì, hanno deciso che non era necessario chiamare per installarsi pdf creator (avevano il setup valido sul server), se lo sono installati scaricando la prima pacchettizzazione piena di spy/malware da internet... e lunedì mattina avevano schermata nera sul client :-D. A livello di backup, per chi non può permettersi soluzioni con backup offline su nastro o simili, l'unica che mi viene in mente è backuppc, può mantenere un buono storico, si arrangia backuppc a prendere i file dai vari server/client, e tiene tutti i backup in locale, quindi a meno di un attacco mirato mi sembra una buona soluzione. Altre alternative? Stamattina, avvisando la nostra contabile del pericolo, di controllare l'estensione del file ecc. ecc. mi fa "ma se è scritto che è una fattura devo aprire il file per vedere cos'è". Di questo passo penso che i produttori di questi virus non avranno mai crisi. Per l'utente non informatico, i tipi di file sono preventivi, lettere, fatture, buste paga ecc. non pdf, documenti di word, excel, eseguibili, immagini ecc. Ogni tanto mi chiedo se avere un application server "isolato" dove far girare il browser ed il client di posta unito ad un programma che sposta, dopo scansione, su un nas/server esterno solo i file di tipo conosciuto, possa mitigare questi problemi. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
