Arda Solutions s.r.l. | The Informal Blog

Archive for April, 2014

A proposito di heart bleed bug, patch e remedetion: quando è il vendor quello lento

cartoon251

Di recente abbiamo parlato di automation come rimedio rapido a problemi che richiedono una soluzione veloce. Come detto è necessaria una buona dose di “cultura”, processi correttamente ingegnerizzati, e prodotti a supporto dell’automazione. Avremo quindi un infrastruttura in grado di reagire a problemi e modificare la propria configurazione in tempi rapidi. Ma cosa succede quando l’aggiornamento di appliance e device è direttamente responsabilità del vendor? Abbiamo il caso specifico della corsa ai ripari in seguito alla “scoperta” dell’heart bleed bug e la nostra odissea per supportare i clienti in fase di aggiornamento contro i “tempi biblici dei vendor” è, ahimè, appena iniziata

(more…)

Sicurezza, Heartbleed bug, efficienza delle contromisure e automazione IT


Information-Security-2

Il trend topic di questi giorni per “noi del settore” (anche quelli come noi che non si occupano strettamente di sicurezza) riguarda #heartbleed, il nome con cui si identifica il bug contenuto in OpenSSL 1.0.1 e descritto nel CVE-2014-0160. Il bug in questione (se volete un approfondimento oltre al CVE c’è anche “il sito ufficiale” se volete una spiegazione dettagliatissima di come si comporta il bug potete guardare qui oppure, se non avete voglia di sfogliare tutto continuate a leggere, a fine articolo ho messo una vignetta che riassume heartbleed 🙂 )  affligge una buona parte dei portali esposti che utilizzano OpenSSL come sistema di cifratura. Il bug in se, è molto grave ma ancora più grave che, di fatto, molte delle infrastrutture (anche di nomi molto conosciuti) non fossero pronte a mettere in campo contromisure che potessero arginare eventuali problemi e risolvere alla base il bug. Quando i server sono pochi e il nostro interesse è poco rivolto alla nostra visibilità online, i tempi di intervento e l’automazione sono molto marginali, diverso il discorso quando essere online (magari senza fermi) può determinare la differenza fra un anno buono e un pessimo risultato. Automatizzare ha come effetto finale l’utilizzo di software specializzati ma molto spesso è un problema di cultura

(more…)

%d bloggers like this: