2009/5/1 Stefano Zanero: > Marco Ermini wrote: > >> Non credo che lo sporadico utente casalingo "conti" in certe >> classifiche. Le botnet e i worm piů importanti sono decisamente >> "targettizzati" alla corporation. > > Beh, come dire, no :-) > > Le botnet e i worm hanno come obiettivo fare numero, quindi non sono poi > cosi' mirati. Vedi Conficker, vedi Storm, vedi praticamente tutto quello > che e' successo negli ultimi 2 anni :p
Secondo me invece sì e lo dimostrano proprio i meccanismi di diffusione di Conficker e Storm. Sono creati esattamente per diffondersi dentro ad una intranet aziendale - dove le porte SMB e HTTP e, spesso, UDP (per il VoIP/video conferece) sono aperte e dove la gente si scambia dati via chiavette USB. Non a caso Conficker prende l'impostazione dei proxy da Internet Explorer e non regola la propria temporizzazione tramite NTP (che non sarebbe aperto dai firewall) ma dal valore degli header di una GET HTTP presso siti popolari generalmente raggiungibili dalle aziende (a parte alcuni... :-)). Che funzioni anche (e pure meglio, se vogliamo) sul PC di qualsiasi utente casalingo secondo me è solo un "nice plus" per chi l'ha creato, ma secondo me i creatori hanno appunto specificamente pensato alla diffusione aziendale. Altrimenti avrebbero usato (come molti altri vecchi malware) porte TCP differenti. Insomma, secondo me c'è una specifica evoluzione nella impostazione. Il fatto stesso che Conficker per esempio "patchi" altre vulnerabilità Microsoft per impedire il diffondersi di altro malware... tutto per me è veramente indicativo della diffusione "enterprise" che si è voluta dare al software. > Diverso e' il caso del malware mirato, ma molto spesso e' comunque > mirato ai client. Ad esempio un malware mirato per sottrarre le > credenziali dello specifico sistema di autenticazione di una grande > banca: l'obiettivo e' "una corporation", ma i computer bersaglio sono > "tutti i computer del mondo" per fare la pesca a strascico delle > credenziali. Concordo che non è il caso di Conficker. Non mira ad una specifica azienda, ma, sospetto fortemente, alle aziende in quanto tali. 2009/5/1 Stefano Zanero: [...] >> X-Force non credo abbia bisogno di farsi pubblicità :-) > > Au contraire, credo che X-Force (anche giustamente) esista soltanto per > farsi "pubblicita'", nel senso positivo di "dimostrare che si fa ricerca > di vulnerabilita' in modo efficace". La mia era una espressione pleonastica ovviamente :-) In ogni caso, non credo (o almeno spero) che la pubblicità sia il solo primo obiettivo, anche se ovviamente se la fanno. Come possessori paganti di diverse loro, _costose_, sottoscrizioni annuali, posso testimoniare che i contenuti disponibili soltanto a pagamento sono di ottima qualità. 2009/4/29 Piero Cavina: > 2009/4/29 Marco Ermini: [...] >> È vero proprio il contrario - al giorno d'oggi nessun utente Windows a >> livello corporate viene più autorizzato a lavorare come Administrator, >> visto che esistono le Group Policies. Al massimo vengono concessi >> diritti locali di amministratore in casi eccezionali. > > Dipende cosa intendi per "corporate".. siamo in un paese di aziende > medio piccole, dove spesso l'IT non c'è internamente o viene affidata > al "ragioniere che ci capisce".. e nella pratica far funzionare un > parco di PC / XP con utenti senza privilegi amministrativi, richiede > un po' di competenze non superficiali nell'amministrazione dei sistemi > Windows. Non sono d'accordo, le GPO non sono affatto difficili da implementare, se l'amministratore è degno di tal nome. Se è un "raccattato" qualsiasi, problemi simili si presenterebbero con qualsiasi sistema operativo - avendo Linux tutti lavorerebbero come root? E comunque, io non lavoro in "questo" paese - o almeno, la mia azienda non soltanto. Quello che non mi piace è un discorso come quello fatto da Vincenzo: >> 2009/4/27 Vincenzo Ampolo: [...] >>> Su Windows invece, non ho mai visto un utente che non abbia i privilegi di >>> amministratore, ciò significa accesso a tutte le parti del sistema anche >>> solo >>> sfruttando una falla del browser. [...] Io ho visto... e non alle porte di Tannausehr :-) migliaia e migliaia di utenti usare Windows senza privilegi di amministratore, accade in una qualsiasi azienda con più di un tot di parco macchine che devono lavorare insieme in un dominio, gli utenti sono siano "tecnici" e non siano prevalentemente "roaming", e che alla fine decidano di lavorare come si deve... Che poi questo "tot" sia dieci o mille, credo dipenda dalle circostanze - ma accade eccome! 2009/4/29 Andrea Dainese: > Le generalizzazioni non vanno mai bene, Era infatti quello a cui rispondevo... non mi piaceva la generalizzazione di Vincenzo. Sono d'accordo con te, non è corretto generalizzare > e per la mia esperienza posso > farti decine di nomi dove questo non accade, incluse diverse > multinazionali dove tutti (almeno i tecnici, per gli altri non ho mai > verificato) hanno accesso con massimi privilegi al proprio sistema. L'ho visto anche io in "grandi" aziende - meglio dire medie, ma erano società di consulenza IT, dove i vari consulenti erano appunto tecnici, in teoria sapevano cosa era un computer, e lavoravano spesso presso il cliente e non nel proprio dominio. Caso diverso una azienda non IT di certe dimensioni. Molto più raro che tutti lavorino come Administrator. Prego ricordare che è diverso avere i privilegi di "local admin" e di Domain Administrator. Nel primo caso puoi sempre per esempio installare dei software, ma essere bloccato/restritto in altri. Nel mio laptop per esempio, ho privilegi di local admin, posso per esempio installare ed aggiornare Firefox (ed usarlo come sto facendo adesso), ma non posso cambiare la versione di Internet Explorer o installare fancy toolbars... o cambiare il Service Pack di Windows. Al giorno d'oggi ci sono molti modi di usare Windows. > Magari la generalizzazione è vera al contrario e sei proprio tu l'eccezione ;) > Non è la mia esperienza, ma forse vedo il mondo troppo rosa ;-) Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" Sent from Meerbusch, Nordrhein-Westfalen, Germany
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
