• Decrease font size
  • Reset font size to default
  • Increase font size
  • Qualità
  • Sicurezza
  • Garanzia
  • Rapidità di risposta
  • Diminuzione dei costi
  • Soluzioni Ecosostenibili
  • Utilizzo di materiali riciclabili
  • Risparmio energetico
Dedicato agli IT
Scoperta una vulnerabilità in IIS PDF Print E-mail

Microsoft pubblica un bollettino relativo a Internet Information Services 5.0 e 6.0. Pochi, comunque, i server a rischio.

Microsoft ha pubblicato un bollettino attraverso il quale ha confermato l'individuazione di una vulnerabilità di sicurezza all'interno di "Internet Information Services" (IIS) 5.0 e 6.0. Ad essere interessato dal problema è, in particolare, il server FTP del colosso di Redmond.
Pur avendo appreso la pubblicazione del codice exploit in grado di sfruttare la vulnerabilità, Microsoft non ha rilevato, al momento, alcun attacco vero e proprio.

Come precisano diversi esperti di sicurezza, affinché l'attacco possa andare a buon fine, il server FTP di IIS dovrebbe essere stato configurato in modo tale da permettere l'accesso anonimo ed in più consentire la scrittura in almeno una cartella. Dal momento che, di default, gli utenti FTP non hanno accesso in scrittura e sono ben pochi i sistemi impostati per consentire connessioni anonime, il numero dei server effettivamente a rischio è considerato come estremamente ridotto.

Non affette dal problema sono le versioni di Windows che integrano una versione di IIS superiore alla 6.0 ossia Windows Server 2008, Windows Vista e Windows 7.

Microsoft dovrebbe rilasciare prossimamente una patch risolutiva.

 
Chrome, Google sana tre vulnerabilità PDF Print E-mail

Tutti gli utenti del browser sviluppato dal gigante di Mountain View sono invitati ad applicare tempestivamente l'aggiornamento.

Google ha rilasciato la versione 2.0.172.43 del suo browser Chrome. Tutti gli utenti del browser sviluppato dal gigante di Mountain View sono invitati ad applicare tempestivamente l'aggiornamento: sono infatti tre le vulnerabilità, particolarmente critiche, che Google ha provveduto a sanare.

La prima delle tre falle riguarda il motore JavaScript V8: se sfruttata da parte di un aggressore (invitando l'utente a visitare con Google Chrome una pagina web contenente il codice JavaScript "maligno"), questi può riuscire a leggere il contenuto della memoria od addirittura provare l'esecuzione di codice nocivo.
Per il momento non sono stati pubblicati ulteriori dettagli sulla vulnerabilità perché Google vuole accertarsi che la maggior parte dei suoi utenti abbia applicato l'importante aggiornamento.
La scoperta del "deficit" nel motore V8 sarebbe merito di Mozilla. E' ragionevole che il team di Mozilla, durante i normali test dei principali browser "concorrenti" per verificare se siano affetti dalle medesime lacune che hanno via a via interessato anche Firefox, abbia rilevato la vulnerabilità.

Le altre due falle risolte dai tecnici di Google riguardano errori nella gestione di documenti XML da parte della libreria libxml2. Anche in questo caso, nel caso in cui l'aggiornamento non venga applicato, un malintenzionato potrebbe mandare in crash il browser od eseguire codice dannoso semplicemente spronando l'utente ad effettuare il download di un file XML "maligno".

Rivisto anche il comportamento di Google Chrome in fase di connessione ai siti web HTTPS che utilizzano certificati digitali: il browser della società fondata da Larry Page e Sergey Brin si rifiuterà di collegarsi a pagine web facenti uso di certificati firmati con gli algoritmi di hashing MD2 e MD4. Tali algoritmi sono infatti estremamente vulnerabili: un malintenzionato può creare un sito spacciandolo per un sito HTTPS valido.

Gli utenti di Chrome possono aggiornare il prodotto servendosi della proedura automatica integrata nel browser (menù Strumenti).

 
Cinque patch critiche per Microsoft PDF Print E-mail

Aggiornamenti "pesanti" per il mese di settembre: tutte le vulnerabilità corrette possono portare all'esecuzione di codice maligno in modalità remota.

09 Settembre 2009
Sono cinque i bollettini di sicurezza che Microsoft ha rilasciato quest'oggi nel corso del consueto "patch day" mensile. Tutti gli aggiornamenti sono stati classificati come "critici" da parte dei tecnici dell'azienda di Redmond dal momento che le vulnerabilità da essi corrette possono portare all'esecuzione di codice potenzialmente dannoso in modalità remota.

- Una vulnerabilità nel motore di scripting JScript potrebbe consentire l'esecuzione di codice da remoto (MS09-045). Questo aggiornamento di sicurezza consente di sanare una vulnerabilità che potrebbe consentire ad un aggressore di eseguire codice dannoso sul sistema dell'utente persuadendo quest'ultimo ad aprire un file "maligno", preparato "ad hoc", od una pagina web nociva.
Affetti dal problema sono i sistemi basati su qualunque versione di Windows, fatta eccezione per Windows 7 e Windows Server 2008 (solo R2 x64 e R2 Itanium).

- Una vulnerabilità presente nel componente ActiveX per l'editing DHTML può agevolare l'esecuzione di codice da remoto (MS09-046). La patch permette di risolvere una vulnerabilità scoperta nel controllo ActiveX per l'editing DHTML. Un aggressore può sfruttare questa lacuna di sicurezza allestendo una pagina web "maligna" ed invitando l'utente a visitarla. L'aggiornamento è destinato ai sistemi Windows 2000 SP4, Windows XP e Windows Server 2003.

- Alcune vulnerabilità nel formato Windows Media possono facilitare l'esecuzione di codice in modalità remota (MS09-047). L'aggiornamento si occupa di sistemare due falle presenti nel formato Windows Media e che potrebbero essere sfruttate da un aggressore per allestire file multimediali dannosi. Tali file, aperti su un sistema vulnerabile, potrebbero portare all'esecuzione di codice nocivo. La patch è rivolta agli utenti di tutte le versioni di Windows, fatta eccezione per coloro che usano Windows 7 o Windows Server 2003/2008 entrambi nelle versioni x64 o per sistemi Itanium.

- Alcune vulnerabilità nell'implementazione del protocollo TCP/IP potrebbero avere come conseguenza l'esecuzione di codice da remoto (MS09-048). Applicando questa patch è possibile risolvere diverse vulnerabilità individuate nell'implementazione Windows del protocollo TCP/IP. Le falle potrebbero comportare l'esecuzione di codice dannoso nel caso in cui un aggressore dovesse inviare, verso il sistema vulnerabile, speciali pacchetti di dati "confezionati" ad arte.
Affetti dal problema sono Windows Server 2003, Windows Vista e Windows Server 2008 (con eccezione per le versioni R2 x64 ed Itanium). Anche Windows 2000 SP4 lamenta la stessa problematica di sicurezza: come spiega Microsoft nelle FAQ in questo caso non è stato tuttavia possibile produrre una patch in forza della specifica architettura usata in Windows 2000.

- Una vulnerabilità presente nel servizio di configurazione automatica delle LAN wireless può agevolare l'esecuzione di codice in modalità remota (MS09-049). La vulnerabilità sanabile mediante l'installazione di questo aggiornamento potrebbe essere sfruttata nel momento in cui un sistema client o server riceva, sulla propria interfaccia di rete, un pacchetto dati modificato "ad arte" per far leva sulla lacuna di sicurezza. I sistemi interessati sono Windows Vista e Windows Server 2008 (eccetto le versioni R2).

A corollario del "patch day", Microsoft ha rilasciato anche un nuovo aggiornamento per il suo Strumento di rimozione malware giunto alla versione 2.14.

 
Pianificare correttamente il disaster recovery PDF Print E-mail

Poca flessibilità, tempi di sviluppo sottovalutati e rapporti con i provider da rivedere. Gli esperti indicano quali strade seguire per evitare di cadere in questi comunissimi errori.

Anche se la complessità che hanno raggiunto gli attuali sistemi IT è la causa dell'80% dei downtime, nella grande maggioranza dei casi le società non hanno modificato il modo in cui progettano i loro sistemi di disaster recovery (DR). E ciò rappresenta uno dei più grandi errori che oggi si commettono nella pianificazione del disaster recovery.

Questo è quanto sostengono diversi esperti di DR, i quali affermano che il segreto per un'efficace pianificazione a lungo termine è nascosto all'interno degli errori più diffusi fra le aziende.

Secondo Forrester Research, per rendere più effficaci i sistemi di disaster recovery, le imprese impiegano un numero sempre maggiore di tecnologie, dal server di virtualizzazione alla replicazione host-based per arrivare alle wide area network ottimizzate (tra siti remoti, in co-locazione o in outsourcing).

Gli errori da evitare
Può così nascere il problema di far lavorare assieme (e in modo efficace) tutti questi pezzi quando se ne ha bisogno. Di seguito gli errori più comuni da evitare.

Mancanza di flessibilità. "L'approccio standard alla pianificazione del disaster recovery spesso parte dall'elenco dei più frequenti eventi che possono minare i sistemi informativi e dalle soluzioni per riattivare i sistemi IT nel caso tali eventi si verificassero" spiega Paul Clifford, fondatore del Davenport Group, società di consulenza di storage e data recovery. Ma questa modalità operativa lascia fuori l'elemento più critico all'interno di un buon piano di DR: la flessibilità.

"Probabilmente il più grande errore che vediamo fare dai CIO è di non costruire un piano in grado di essere adattato", ha detto Clifford.

Il rimedio? "Semplificare l'architettura It e centralizzare il controllo, in modo da avere un approccio veramente data-centric. La semplificazione e la centralizzazione permettono di ottenere la flessibilità", ha dichiarato Clifford (che per inciso sostiene che l'80% del downtime dei sistemi è causato dalla complessità.)

La virtualizzazione è una via per costruire la flessibilità, lo stesso vale per le storage area network dual-mirrored che forniscono la possibilità di avere la scelta tra più location.

Clifford ha precisato che "una volta che avete i dati in mano, e le immagini reali di tutti gli altri siti, potete fare qualsiasi cosa vi serva, sia che si tratti di portare tali dati in un colocation center o di reinviarli alla sede principale, oppure di definire un'altra location primaria".

Sottovalutare il tempo necessario per la piena attuazione di un piano di disaster recovery. Questo è un aspetto che riguarda principalmente le aziende con sedi remote.

"Sinora, non mi è mai capitato di vedere team IT sovradimensionati o con extra budget - ha sottolineato Clifford -. Ci vuole molto tempo per implementare tali soluzioni in uffici remoti. Non è possibile realizzare nulla in un arco temporale di 30 giorni".

In realtà, in molti casi, non si ottiene una "piena" implementazione, considerando le difficoltà di una piano di DR su più location. I CIO hanno bisogno di capire le sfumature di ogni sito, dalle risorse tecniche e operative al personale.

"In alcune location si vedono i tecnici impegnati a fare il backup su nastri e fare affidamento che lo staff amministrativo gestisca tali nastri e si preoccupi di conservarli in un luogo esterno al sito. Questa è una strada che presenta solo pericoli", ha dichiarato Clifford.

Affidarsi a un provider che non risponde alle vostre esigenze. Stephanie Balaouras, analista di Forrester, ha evidenziato il fatto che molte aziende stanno riportando il disaster recovery in-house per diversi motivi. Questi possono andare "dai problemi avuti col service provider di DR" a più impegnativi obiettivi di recovery, ma spesso dipendono semplicemente dal fatto che i progressi tecnologici permettono oggi ai CIO di portare le capacità in-house.

Attualmente, la tecnologia è molto più accessibile di quanto non lo fosse qualche tempo fa e un'azienda può utilizzarla per impieghi che vanno oltre il semplice DR. "La replicazione host-based è meno costosa è più efficiente in termini di larghezza di banda rispetto alla replicazione storage-based e aiuta a raggiungere obiettivi di recovery che si possono misurare in ore", ha sostenuto Balaouras. L'IT, per esempio, può utilizzare un sito di recovery per lo sviluppo di applicazioni e per il loro test.

"Ciò detto, vi sono comunque buoni motivi per continuare il rapporto con il medesimo fornitore di DR", ha suggerito Balaouras. Per esempio non va sottovalutato il fatto che con l'avvento delle soluzioni più commodity e offerte "alla carta", i provider stanno diminuendo sensibilmente i loro costi.

 
Cloud computing, ecco le aree di sicurezza più problematiche PDF Print E-mail

Un documento della Cloud Security Alliance illustra i punti da valutare per migliorare la security degli ambienti di cloud computing.

Il cloud computing sta solleticando l'attenzione di molti responsabili IT. Ma quali sono le problematiche di sicurezza da considerare? Per avere un'idea generale può essere d'aiuto la Cloud Security Alliance che ha rilasciato un documento in cui vengono evidenziate alcune aree che dovrebbero essere valutate per migliorare la sicurezza degli ambienti di cloud computing.

Nelle sue 83 pagine, il report, che si intitola Security Guidance for Critical Areas of Focus in Cloud Computing, delinea 15 ambiti o settori particolarmente rilevanti per la sicurezza all'interno del cloud, mettendo soprattutto l'accento su governance e operation.

Il report descrive la struttura di molte architetture di cloud computing e identifica tre modelli di delivery:
• Infrastructure as a Service (IaaS);
• Platform as a Service (PaaS);
• Software as a Service (SaaS).

Affronta inoltre i problemi inerenti la governance e il risk management incontrati dalle imprese e dai service provider. Il report raccomanda poi ai service provider di condurre con regolarità il risk assessment delle terze parti e di rendere disponibili i risultati ai clienti.

Tra gli altri settori citati nel report, troviamo la compliance e l'audit. In questo senso, viene suggerito ai service provider di aderire all'audit SAS 70 Type II e alle certificazioni ISO 27001, ma anche di mostrare maggiore uniformità nella definizione delle loro certificazioni globali. Sono poi affrontati in dettaglio temi come la crittografia e il key management, lo storage, le applicazioni di sicurezza e gli aspetti di sicurezza inerenti la virtualizzazione.

Clod Security Alliance

La Cloud Security Alliance si è mostrata per la prima volta in pubblico alla RSA Conference 2009 con l'obiettivo di aumentare la consapevolezza sulla sicurezza del cloud computing.

Nella sua presentazione, Jim Reavis, presidente di Reavis Consulting Group LLC e co-fondatore dell'alleanza no profit, ha affermato che il report vuole rappresentare una guida per le organizzazioni che implementano la virtualizzazione o che sono alla ricerca di un fornitore di cloud computing.

"Abbiamo selezionato le aree trattate considerando quei punti strategici e tattici per i quali la virtualizzazione rappresenta una componente fondamentale per il cloud compting. E tra queste aree, quelle legate alla governance sono le più ampie ma anche le più importanti", ha detto Reavis.

Nel corso degli ultimi anni, le imprese hanno lavorato molto per riuscire a implementare la virtualizzazione o spostare i dati ai provider di cloud computing, con la speranza di ridurre i costi di gestione del server. A fronte di ciò, Reavis ha annunciato che la Cloud Security Alliance terrà diversi eventi durante l'anno per offrire i consigli di esperti su temi legati alla sicurezza del cloud, ma proporrà anche ulteriori report in cui saranno illustrate le best practice per le implementazioni di cloud computing.

Dave Cullinane, CISO e Vice President di information security di eBay e consulente all'interno dell'organizzazione no profit, alla presentazione di RSA ha dichiarato che la sua l'azienda è stata una delle prime ad adottare il cloud computing e ha constatato la mancanza di informazioni o di best practices in relazione alla sicurezza dei dati nel cloud.

"Ho pensato che fosse ora di iniziare ad affrontare questo problema, almeno secondo la prospettiva della sicurezza - ha sostenuto Cullinane -. Quello che abbiamo cercato di fare è prendere tutte le più brillanti menti disponibili e mettere insieme le loro idee".

Jerry Archer, Vice President e CISO di Intuit, e anch'esso consulente dell'organizzazione, ha affermato che il cloud computing era un passo inevitabile e attualmente lo utilizza nella sua attività di ricerca e sviluppo.

"Oggi si può ancora considerare una sorta di sperimentazione, ma data la quantità di informazioni identificative della persona e di dati transazionali, è incredibilmente importante essere certi del suo livello di sicurezza - ha sottolineato Archer -. È fondamentale che si possa sempre capire cosa sta succedendo nel cloud e si sia in grado di gestire gli incidenti e tutti gli altri tipi di problemi".

Reavis ha detto che l'organizzazione vorrebbe essere "all inclusive" e attualmente annovera un ampio spettro di membri, da privati appassionati di problemi di cloud sicurity a fornitori, quali Microsoft, PGP, Qualys, Zscaler e altri.

 
<< Start < Prev 1 2 3 4 5 Next > End >>

Page 5 of 5