Post

21

Sicurezza / Re: Ma gli hacker cosa fanno?

« il: 10 Gen 2009, 18:40:34 »

Ma perchè non riesco a farmi capire?!

E' logico che non basta affatto, sennò le aziende come la tua non avrebbero ragione di esistere, il punto è invece
trovare la massima sicurezza free ossia senza rivolgersi ad una azienda.
Normale che la sicurezza "free"  comparata a quella che ti può dare la più stupida e incapace azienda nel settore non sono paragonabili ma non è questo il nocciolo della discussione.

Io penso che un sito amatoriale debba iniziare con un livello di protezione adeguato ma "free" è normale che se poi il sito va bene e si presentano buone possibilità di sviluppo e crescita anche a livello di introiti rivolgersi ad una azienda nel settore mi sembra il minimo.

Il reale problema e` che "Sicurezza" e "Free" (inteso come gratuito) sono due parole che non vanno molto d`accordo. Come ho precedentemente scritto se il sito e` prettamente "amatoriale" e non tocca interessi monetari ne dati particolarmente sensibili, la cosa migliore e` prendere un buon hosting (che in questo caso "dovrebbe" pensare al resto).

Emanuele Gentili
Joomla Security Team
Gerix IT Security Solutions - CEO

22

Sicurezza / Re: 10-01-2009 Due importanti fix di sicurezza per joomla 1.5.x

« il: 10 Gen 2009, 18:25:03 »

Ciao emgent,
grazie per la segnalazione, ora è uscito il pacchetto di aggiornamento alla 1.5.9 e le fix sono contenute all'interno dell'aggiornamento, invito tutti gli utenti ad aggiornare le installazioni di Joomla.

Prendo dal tuo sito la descrizione delle due fix per riportarla nella notizia del rilascio su Joomla.it  ovviamente citando la fonte

Fai pure alex

23

Sicurezza / Re: Ma gli hacker cosa fanno?

« il: 10 Gen 2009, 18:16:15 »

Allora capisco che il discorso può prendere pieghe differenti in base all'impostazione che uno gli vuole dare.
Il punto è capire cosa un hacker può fare che un utente medio è in grado di contrastare.

Ovviamente se parliamo di siti commerciali del valore superiore ai 1000 euro personalmente mi affideri a persone competenti in materia di sicurezza e fin qui ci siamo.

Ma se non fossimo neanche l'ultimo dei siti google, ma un medio sito senza scopi di lucro con discreti utenti che si autogestisce e vuole avere il "massimo" della sicurezza.
Dico massimo della sicurezza perchè come già detto in precedenza la "sicurezza assoluta" non credo esista.

Diciamo che un buon utente adopera con :

- costanti aggiornamenti della versione joomla
- costanti backup del sito
- presta attenzione a componenti,moduli,template e plugin installati
- avere buone password alfanumeriche, aggiornarle e         differenziarle nei vari campi (admin, ftp ecc ecc)
- usare Jsecure per cambiare patch alla cartella administrator
- usare .htaccess e .htpasswd

per un ottimo utente cosa consigliate?!

Bastano questi accorgimenti per eliminare il pericolo di cracker alle prime armi? E per persone mal intenzionate più esperte ci sono altri meccanismi? Ovviamente rientrando nelle capacità di una persona (io) che non sapeva neanche come era fatto un sito fino ad un mese fà.

Direi decisamente di no. Questo non basta affatto.

Molte persone si sono rivolte alla mia societa` per questioni simili: pensavano di essere "sicuri" utilizzando quello che hai precedentemente descritto con l`aggiunta di protezioni lato webserver come modsecurity e via discorrendo, ma quando sono stati messi davanti alla realta` dei fatti, hanno deciso di affidarsi completamente ad un`azienda esperta nel settore (in quel caso la mia), e da quasi un`anno non hanno piu` problemi di alcun tipo o genere.

Questo per farti capire che se ti serve un servizio realmente efficace non risolvi cercando in rete e scaricando applicativi di dubbia efficacia.

Gia` come gruppo di sviluppo di Joomla cerchiamo di alzare il livello di protezione del prodotto, ma se vuoi una certezza professionale affidati ad una delle aziende che fanno sicurezza per mestiere..


Emanuele Gentili
Joomla Security Team
Gerix IT Security Solutions - CEO

24

Sicurezza / Re: Ma gli hacker cosa fanno?

« il: 10 Gen 2009, 13:56:36 »

Non sarei cosi` categorico, le patch alle vulnerabilità che abbiamo pubblicato possono essere benissimo filtrate anche in altri modi, mi spiego meglio:

La sicurezza di un sistema non si ha con solo quello che e` stato detto dall`inizio di questo thread, ci sono tantissime accortezze e tanti sistemi che permettono un filtraggio preventivo.

Ovviamente per un utente medio che gestisce un sito di importanza non rilevantissima, suggerirei solo e soltanto di fare gli update di sicurezza affidando il resto al proprio hosting.

Se invece si parla di siti e-commerce, governativi, universitari (quantomeno istituzionali per capirci) forse e` il caso di rivolgersi ad una societa` di professionisti che fanno sicurezza per mestiere.

un saluto

Emanuele Gentili
Joomla! Security Team
Gerix IT Security Solutions - CEO

25

Sicurezza / 10-01-2009 Due importanti fix di sicurezza per joomla 1.5.x

« il: 10 Gen 2009, 12:20:03 »

Come accennato a qualcuno giorni fa, ecco le due nuove fix di sicurezza a cui stavamo lavorando.

Mentre per la prima abbiamo deciso di attribuire una "Severity" molto alta (visto il target degli  utenti colpiti ed il tipo di vulnerabilita`) la seconda affligge soltanto chi fa uso di SSL.

I due bollettini che abbiamo preparato sono disponibili nel Joomla! security center agli url:

http://developer.joomla.org/security/news/288-20090102-core-plgxstandard-directory-traversal.html

http://developer.joomla.org/security/news/287-20090101-core-jsession-ssl-session-disclosure.html

Se qualcuno necessitasse del diff diretto mi faccia un colpo di query.

Maggiori informazioni in lingua italiana nel link che segue:
http://www.gerix.it/index.php/Sicurezza-Informatica/rilasciate-due-importanti-fix-di-sicurezza-per-joomla-15x.gerix

Emanuele Gentili
Joomla Security Team
Gerix IT Security Solutions - CEO