Analisi del Computer Emergency Response Team dell’Agenzia per l’Italia Digitale: per i server della PA la situazione è “preoccupante, tanti server sonomolto obsoleti”, un server su cinque è vulnerabile e in media ogni server ha almeno tre vulnerabilità critiche

12 comments

1. La cosiddetta scoperta dell’acqua calda

2. Non so perché, ma non sono per niente sorpreso…

3. Uno dei motivi per cui sono contrario a dare informazioni su di me allo stato, di qualsiasi tipo. È più sicuro il db di Aruba.

4. Considerato che “vulnerabile” vuol dire “ha vulnerabilità note e non patchate, aggredibili da malware ampiamente disponibili in commercio”, la situazione è molto grave. Se fosse il risultato di una valutazione da un cliente mi starei in parte disperando per loro, in parte fregando le mani al pensiero della fattura che ci sarà da staccare per rimetterli in riga.

   Immagino anche che il grosso problema sia che le articolazioni dello stato avranno centinaia se non migliaia di direzioni IT disomogenee, dalla piccolissima senza budget alla tentacolare con budget milionari ma anche responsabilità enormi. E questo sicuro non semplifica il lavoro di sistemazione, visto che devi andare a pescare macchine di cui non è nemmeno detto esista un censimento, o che sia aggiornato, o che qualcuno ancora ricordi l’uso e i settaggi…

5. >non per forza se una vulnerabilità viene riscontrata, allora può essere sfruttata su un server perché “queste possono richiedere interazioni particolari non effettivamente abilitate sul sistema in oggetto”

   Oh almeno l’hanno scritto. Cioè per dirne una: se uso una libreria con una vulnerabilità alle sql injection ma tutte le query che faccio sono fisse o gli input non arrivano direttamente dall’esterno ma variano tra un insieme noto allora posso stare tranquillo

   Seconda cosa: aggiornare indiscriminatamente può provocare malfunzionamenti negli applicativi che andrebbero poi corretti, e questo richiede tempo e risorse, quindi non basta il neckbeard di turno che lancia `apt update && apt upgrade` su ansible a risolvere la situazione

6. Cose che succedono quando fai girare i server con gli stessi S.O. che usano i videogiochini per 12enni

7. Milioni di euro di commesse che farebbero ripartire l’economia, altro che ponte sullo stretto.

8. Solo 3 per server? Avrei detto anche di più vedendo quello che fanno girare certi clienti.

9. Mah, articolo per normies, “3 vulnerabilità critiche in media” non vuol dire nulla. Dell’ OS/Kernel o di specifiche applicazioni? Cose patchabili in qualche settimana aggiornando premendo un bottone?

   La media conta poco, quello di cui sono abbastanza sicuro e che mi preoccupa di più è che l’infrastruttura (persone e sistemi) per gestire la security sarà di sicuro imbarazzante. Serve gente preparata. Non basta farsi fare applicazioni in outsourcing e sperare che non succeda mai nulla.

10. AMD: Naples, Rome, Milan, Genoa. A cosa sto pensando?

    Italia: pizza, Colosseo, Madunina, focaccia.

11. Botte de fero.

12. Nella mia città c’è un ristorante che alla cassa usa come sistema operativo windows xp. Nel 2021