fbpx

Blog

Oggi patch di Acrobat, ieri c'era l'aggiornamento di Java, ierilatro quello di flash, domani è il patch day Microsoft.... forse sabato rilasciano la patch del nostro applicativo e poi c'è il fix per Tomcat: un patch continuo in severfarm senza dover minimamente impattare sui clienti

Provate a pensare se accettereste di buon grado, quasi quotidianament, di portalre la vostra auto in assistenza per aggiornamenti, una volta il fix del navigatore, una volta quello dello sterio, un'altra uno sbalzo di tensione sulle candele, fix per la pressione delgli iniettori: Ma siamo matti? Io no, non ho tempo da perdere, ma subisco come tutti i vari patch day dei vari brand, e non si tratta di concentrarli tutti in un giorno, ma si distribuiscono in fix che almeno un paio a settimana arrivano. Tutto tempo, quello dedicato al patching, che impatta sui clienti e sulla disponibilità delle piattaforme utente . Microsoft, Oracle, Google, sembrano ormai sfidarsi nella corsa al patching... .questa è la qualità dei prodotti che abbiamo, non ci meritiamo di più? magari meno fronzoli cosmetici ma sistemi più stabili! 

 

pcws2010 res40http://www.corrierecomunicazioni.it/it-world/34715_cybercrime-allarme-pos-malumpos-prende-di-mira-i-pagamenti-in-hotel-e-ristoranti.htm

Questa notizia è la dimostrazione di la nostra società moderna stia producendo software e sistemi di pessima qualità, nell'articolo si legge "I cybercriminali utilizzano questo malware per impossessarsi dei dati contenuti nelle bande magnetiche delle carte di credito, quando questi vengono trasferiti nella Ram del computer collegato al Pos. Questi dati, una volta estratti dagli hacker, possono essere utilizzati per clonare le carte di credito ed effettuare transazioni finanziarie fraudolente, utilizzando i conti bancari ad esse associati." 

Iniziamo dall'esame dei sistemi desk all-in-one di Oracle Micros, si tratta di dispositivi all-in-one che in un unico case raccolgono le funzioni di computer e di pos, normalmente, come accade per le casse automatiche di pagamento, tipo metro o asl, dovrebbero avere le componenti  pos e "computer" separate.
Dopodichè mi domandoperchè mai i dati della carta devono finire nella memoria del computer se uso un dispositivo di sicurezza per i pagmenti che si chiama POS????? e che è certificato dal suo produttore (ingenicoo/verifone etc...). per completare l'emissione dello scontrino? Ma scherziamo davvero!!!!
è sufficiente che il pos venga interrogato sull'esito della transazione, magari qualcuno è riuscito pure a farselo certificare PCI-DSS?


SAP Attack: l'ERP per eccellenza, la cassaforte di dati aziendali diventerà la meta preferita degli attaccanti.

perchè? Perchè contiene i dati aziendali più importanti per lo spionaggio industriale, e perchè è configurato per funzionare e non per essere sicuro, del resto è un prodotto in mano al management e alla parte amministrativa dell'azienda... a loro interessa che funzioni, la sicurezza è un di cui.
SAP, visto quello che costa alle aziende, non si è risparmiata dal stendere una guida alla configurazione sicura dei vari moduli. Peccato che per la complessità della sua architettura questa guida non viene quasi mai rispettata,  sono veramente pochi i sysadmin che si avventurano nell'hardening della piattaforma, la maggioranza preferisce seguire la guida di installazione classica.

In ogni caso i vincoli architetturali e le le griglie di compatibilità di SAP fanno spesso a cazzotti con i fix di sicurezza e le best practice di configurazione di Application Server e Database

Sapendo quanto SAP è intrinsecamente vulnerabile, dal punto di vista IT, e sapendo che con SAP in aziende medio grandi spesso viene gestito tutto o quasi, dal magazzino, alla contabilità industriale fino alle vendite e fatturazioni, diventa sicuramente un target importante di un attacco di tipo cyber spionaggio. 

Di data breach di SAP non se ne parla in Italia e se ne parla pochissimo in Europa, tipico ateggiamento di chi vuole non affrontare il problema,  in USA invece  questa tematica incomincia ad essere oggetto di attenzione, http://www.darkreading.com/attacks-breaches/first-example-of-sap-breach-surfaces/d/d-id/1320382

Studio Fiorenzi P.IVA 06170660481 - Perizie Informatiche Forensi e Consulenze Tecniche a valore Legale e Giudiziario in Tribunale

Questo sito utilizza i cookie per offrire una migliore esperienza di navigazione. Cliccando OK puoi continuare la navigazione e questo messaggio non ti verrà più mostrato. Se invece vuoi disabilitare i cookie puoi farlo dal tuo browser. Per maggiori informazioni puoi accedere alla nostra cookie policy.