[Security] Premessa

Questo è il mio decimo post e approfitto di qualche giorno a casa in malattia per fare un po' il punto della situazione: sto effettuando una consulenza, per conto dell'azienda per cui lavoro insieme al piccolo Gerva e a Fabio, presso uno dei più importanti e grandi gruppi bancari italiani (non vogliatemene se non lo cito)... Ebbene, leggendo il post di Raffaele Banche soggette a DNS poisoning, ho cercato di legare quello che veniva detto circa i siti delle banche alla gestione IT interna di questo cliente in particolare.

Uno si aspetterebbe di entrare in un mondo altamente orientato alla sicurezza, dove per ottenere delle grants di qualunque tipo devi sudare camicie (...con annesse giacche e cravatte...) e non ti verranno comunque concesse e poi scopri di vivere in un mondo dove i presuntuosi la fanno da padroni.

Cominciamo dall'inizio: ogni persona fisica registrata ha due utenze, la prima per navigare all'esterno e accedere alla posta, la seconda per accedere alle risorse della rete aziendale; e fin qui nulla di strano, un po' cervellotico dal mio punto di vista, ma potrebbe avere dei suoi perché... Per evitare che uno perda i suoi documenti non può vedere, dall'explorer il disco C: (?!) "Così uno è costretto a salvarsi i documenti sulla share di rete che viene salvata tutte le notti..."; il profilo standard dei programmatori è il Power User della macchina, senza accesso al registry (anzi, sarò più preciso, senza le autorizzazioni ad usare Regedit.exe e Regedt32.exe), senza riga di comando, senza prompt dei comandi (neanche quello di Visual Studio(?!?!?!?!) perché "pericolosi in mani inesperte". Ah, dimenticavo, per la gioia di Raffaele i sistemi operativi sono Windows XP Pro, rigorosamente SP1 "perché il SP2 non da garanzie di sicurezza, non è stato sufficientemente testato e poi, che cambia dal SP1?"...

Io, qualche necessità, per sviluppare, ce l'ho: avere un interfaccia per il registry e vedere/ripristinare quello che ci scrivo dentro, modificare i .config con il notepad, lanciare dei comandi da prompt (a volte mi sento un po' un nostalgico...).

Più che [Security] avrebbe potuto essere [Hacking] perché è quello di cui parlerò nei post successivi: come "smontare" quella specie di sicurezza usando il framework 1.1 (il 2.0 non è installabile e Visual Studio 2005 senza WinXP SP2 non funge...) e sfruttando qualche trucco che Raffaele ai CD ci ha mostrato...

Print | posted @ Friday, April 28, 2006 3:08 PM

Comments on this entry:

Gravatar # re: [Security] Premessa
by Lanny at 5/2/2006 7:04 AM

Ho sentito parlare di te da alcuni colleghi, ma non credo di averti mai incontrato: io, in BFS, ho iniziato a maggio 2005...
Comments have been closed on this topic.