HackerSecret.it - Il Sito Italiano Più Autorevole sul Mondo dell'Hacking, del Penetration Testing e della CyberSecurity

  • Home
  • Visita il Nostro Shop
  • Scarica l’App gratuita
  • Contattaci per Info
VISITA IL NOSTRO SHOP ! CLICCA QUI !

Ho, Snaitech e quella sensibilità che ancora manca

da Lo Staff di HackerSecret.it / venerdì, 01 Gennaio 2021 / Pubblicato il Hacking
Share
Tweet
Pin

Snaitech e l’operatore mobile Ho. sono state le ultime vittime in ordine di tempo di attacchi informatici o comunque di fughe di dati.

Mentre nel caso di Snaitech sembra trattarsi del solito DDos, nel caso di Ho., la fuga di dati potrebbe essere stata realizzata attraverso un’API realizzata in maniera poco robusta.

Empatia

Condizionali a parte, mettiamo subito una cosa in chiaro. La community in casi come questi dovrebbe essere più solidale con la vittima di un attacco.

Non solo potrebbe capitare a tutti, oppure è già capitato e neanche ce ne siamo accorti, ma bisogna sempre ricordare che dall’altra parte ci sono professionisti che tutto meritano tranne che andare alla gogna, anche perché in molti casi sono gli ultimi a doversi prendere la colpa.

Vizi italici e non solo

Veniamo a qualcosa che vediamo spesso nei progetti IT in giro per il mondo o per diretta esperienza o per i racconti di amici e colleghi.

  1. Il progetto ha delle scadenze irrealizzabili decise a tavolino da persone non tecniche, non in grado quindi di stimare lo sforzo necessario ad implementare un servizio webo mobile.
  2. L’appalto per lo sviluppo non viene dato ai migliori ma a chi poi mi farà un favore / ad un amico manager / a chi mi costa meno. Già, l’approccio del “me lo fa mio cugino” è purtroppo molto diffuso e i risultati a cui porta è codice non sviluppato adeguatamente, mal progettato e soprattutto non testato adeguatamente.
  3. Io non voglio disservizi, quindi apparati come Intrusion Prevention System o WAF li tengo spenti, sempre se esistono.
  4. I penetration test affidati a chi può uscire con tariffe da 100 euro al giorno. Dopotutto, il poco budget a disposizione per un progetto i cui penetration test sono emersi solo in corso d’opera, non permette di affidarsi a quelle 3/4 società italiane per i quali qualche euro in più valgono tantissimo.

Quindi, poco tempo a disposizione, pianificazioni errate e corsa al risparmio. Questi i tre vizi capitali che portano un progetto software alla ribalta delle cronache per essere stati oggetto di un attacco criminale.

Off by one

Quale il compito di chi fa application security in azienda? Sensibilizzare, parlare, creare una cultura aziendale per far capire che la security ha un costo non più negoziabile all’interno di un progetto IT.

Certo, noi abbiamo anche il dovere di pensare gli sforzi, come linee guida di sviluppo o API robuste, in maniera tale che siano riutilizzabili in modo da spalmare il costo per l’hardening su più progetti. Awareness e automazione quindi. Cercare di introdurre code review light o assessment per vulnerabilità macroscopiche, che possano essere fatte da uno strumento, mentre l’effort insostituibile di un professionista deve essere speso per un’analisi approfondita, per evitare che un attaccante poi possa farvi fare una magra figura sul mercato.

Insomma, basta andare al risparmio. Enjoy it!

Codice Insicuro, blog di Cyber Security, sviluppo sicuro, code review e altro.

Share
Tweet
Pin
Taggato in: Ancora, manca, quella, sensibilità, Snaitech

Cerca nel Sito

Dicono di Noi

Francesca M. – Sistemista

Share
Tweet
Pin
 
Samuel D. – Hacker Etico

Share
Tweet
Pin
 
Carola M. – Influencer

Share
Tweet
Pin
 
Renato P. – Investigatore Privato

Share
Tweet
Pin
 
Rosaria S. – Casalinga

Share
Tweet
Pin
 
Paolo V. – Consulente Informatico

Share
Tweet
Pin
 
Matteo C. – Imprenditore

Share
Tweet
Pin
 
Alice B. – Studentessa di Informatica

Share
Tweet
Pin
 
Goffredo B. – Analista IT

Share
Tweet
Pin
 
Roberto C. – Programmatore

Share
Tweet
Pin
 

Clicca subito qui per visitare il nostro Shop!

Clicca subito qui per visitare il nostro Shop!

Altri 2300 utenti come te lo hanno già fatto quest'anno!

SCARICATA 1316 VOLTE!

SCARICATA 1316 VOLTE!

Scarica subito Hacker Secret la nostra app Android gratuita.

Contattaci Subito per un Supporto Immediato!

Contact Us
Scrivi il tuo indirizzo email qui
Scrivi qui come possiamo aiutarti - ti supportiamo immediatamente per ogni tua esigenza!

Gli ultimi articoli

  • sos-waveform

  • ICTSS 2020: the 32nd IFIP International Conference on Testing Software and Systems | 9 e 10 dicembre 2020

  • E tu di che tecnologia ti fai?

  • Port scanning e enumeration in WordPress con Nmap

  • Hacking democracy? Hacker russi, Wikileaks, propaganda, elezioni americane – Hacking democracy? Wikileaks, Russian hackers, US elections #ijf17

## Stai cercando prodotti per l’hacking, la sicurezza informatica e il penetration testing? Hai bisogno di bonificare il tuo smartphone, il tuo pc o il tuo sito da virus e malware? Devi rintracciare una persona o recuperare delle informazioni urgenti? Devi riprendere possesso di un account, una mail o di una password che ti hanno sottratto? Vuoi acquistare device già configurati per sperimentare tutte le tecniche di hacking in modo facile e veloce? Hai esigenze particolari in ambito software o hardware? ##

Contattaci subito…altri 2300 utenti come te lo hanno già fatto quest’anno!

Clicca subito qui!

Tutte le tecniche, i prodotti e i servizi descritti o contenuti in questo sito si intendono per uso esclusivo di studio e di aggiornamento professionale e per testare la sicurezza della propria rete informatica in accordo alle vigenti normative sull'accesso a sistemi informativi e telematici (cfr. art. 615 ter c.p. e successive modifiche).

TORNA SU
Nuovo Ordine!