sony - rsa - hbary - lulzsec - anonymous ... whitehats/blackhats

**EvolutionCrazy** · 04-06-2011, 11:39

A vedere quel che sta ultimamente succedendo penso a più di qualcuno sia venuto qualche dubbio su quanto è gonfiato il mercato della sicurezza/del managed/del faccio tutto io/so tutto io :/

Quanto sono diffuse aziende come HBGary Federal o Unveillance diventata famosa dopo i tweet di stamattina di @lulzsec ?
E quanto sono utili se poi persino RSA viene bucata?

e tutto si riassume a: servono normative più restrittive ed in un attimo torna tutto sotto controllo o il problema sono limiti tecnici? :/

**usu** · 04-06-2011, 12:00

Sony è stata bucata con una SQL injection e le password erano in plaintext, non dico altro.

Lulz Security® (LulzSec), the world's leaders in high-quality entertainment at your expense è su cloudflare

**EvolutionCrazy** · 04-06-2011, 12:03

sì appunto... scoperto ieri cloudflare dopo aver visto il sito con il messaggio in giallo che diceva che il server era offline e servito da cloudflare

al di la di sony i leak di oggi (persino le conferenze che hanno fatto per telefono???) contro un'azienda che si occupa di monitorare botnet (whitehats?) mi sembrano davvero cose al limite -_-'

**usu** · 04-06-2011, 12:09

Originariamente Scritto da EvolutionCrazy

sì appunto... scoperto ieri cloudflare dopo aver visto il sito con il messaggio in giallo che diceva che il server era offline e servito da cloudflare

Ah ecco xD

Originariamente Scritto da EvolutionCrazy

al di la di sony i leak di oggi (persino le conferenze che hanno fatto per telefono???) contro un'azienda che si occupa di monitorare botnet (whitehats?) mi sembrano davvero cose al limite -_-'

Alla base di tutto c'è incompetenza, cioè il fantomatico CEO usava la stessa password per tutti i suoi account online, alla faccia dell'espertone di sicurezza.

Sono sicuro che un sito sviluppato seguendo le norme di sicurezza di base messo su un server tenuto aggiornato e messo come si deve in sicurezza è molto molto difficile da bucare, certo che se poi lasci buchi giganteschi qualcosa succede.
Il problema come dicevi è appunto fidarsi ad affidare la tua sicurezza ad aziende esterne visti gli esempi di queste ultime settimane. Come fare? Boh.

**EvolutionCrazy** · 04-06-2011, 12:14

chi le password, chi kernel vecchi... ognuno ha le sue...

oggi hanno postato persino la config completa di apache relativo a nintendo.com... davvero agli alti livelli ci sono tutti sti problemi di sicurezza?
Oppure sono aziende che fanno credere che sia tutto apposto (so tutto io, ti gestisco tutto io... e poi succedono i casini?)

**usu** · 04-06-2011, 12:18

Originariamente Scritto da EvolutionCrazy

chi le password, chi kernel vecchi... ognuno ha le sue...

oggi hanno postato persino la config completa di apache relativo a nintendo.com... davvero agli alti livelli ci sono tutti sti problemi di sicurezza?
Oppure sono aziende che fanno credere che sia tutto apposto (so tutto io, ti gestisco tutto io... e poi succedono i casini?)

Sony si affida ad aziende esterne o gestisce in house (come sarebbe logico pensare)?

**EvolutionCrazy** · 04-06-2011, 12:19

boh!

penso che a quei livelli il guru di turno che ha l'honeypot a casa sia presente in house... booh

**guest** · 04-06-2011, 13:18

Ma dove leggete queste cose? Dove avete visto la configurazione di nintendo.com ?

**usu** · 04-06-2011, 13:27

Originariamente Scritto da guest

Ma dove leggete queste cose? Dove avete visto la configurazione di nintendo.com ?

https://twitter.com/#!/LulzSec/status/76782021116051457

**TheVice** · 04-06-2011, 13:40

Se un "guru della sicurezza" lavora di consulenza ad un'azienda il manager accorda ogni sua richiesta come vangelo ed accorda investimenti (anche inutili) nell'ordine di M$

Se la risorsa che si occupa di sicurezza è interna all'azienda ed ha competenze superiori a quelle del guru di cui sopra dovrà vedersi rifiutare risorse economiche anche nell'ordine delle c$ o dovrà giustificare ogni sua voce di spesa semplicemente perchè il manager di cui sopra non capisce quello che gli si dice.

Nel primo caso il manager non capisce ma acconsente perchè ha un guru che paga profumatamente per ste cose
Nel secondo caso il manager non capisce lo stesso ma ha un cojonaccio qualsiasi che è un suo "inutile" sottoposto che gli parla di cose incomprensibili.

I manager bisognerebbe ammazzarli da piccoli in culla !

**EvolutionCrazy** · 04-06-2011, 13:58

tra l'altro non sembrano proprio improvvisati... devono avere alle spalle una struttura (loro o "in prestito") non improvvisata... (o tanti bitcoin da usare sul forum di insidepro e simili...)...

aggiungiamo poi che sony prima del primo grosso hack è stata scannata sistematicamente per giorni da IP del dipartimento della difesa americano... crescono i dubbi (oppure le cose sul serio sono davvero critiche e c'è gente dentro ovunque) ....