Re: [ml] Leggete e meditate...

----- Forwarded message from Michele <vo.sinh(at)gmail.com> -----
From: Michele <vo.sinh(at)gmail.com>
To: ml(at)sikurezza.org
Subject: Re: R: R: [ml] Leggete e meditate...

On 5/12/06, Massimo Baschieri <massimo.baschieri(at)re-ti.it> wrote:
>
>
>>Per bucare un qualsiasi sistema informatico ci vuole solo tempo e se
>>quella password che ti da l'accesso al sistema viene cambiata
>>periodicamente l'eventuale attacker ha meno tempo a disposizione =)
>
>Chiarissimo, come ? altrettanto chiaro che non tutti i sistemi contengono
>informazioni vitali, o che ci sono sistemi intrinsecamente pi? o meno
>deboli, ecc.....


<snip>

conoscenza di terzi, ma eccedere all'opposto ? probabilmente anche peggio,
>soprattutto se il cambio periodico della password non fa parte di una
>policy
>di sicurezza seria e completa.


Esatto. Infatti ha senso cambiare le password periodicamente come misura
extra DOPO
aver sistemato molte altre cose...Il problema di quel documento e' proprio
questo..
che per dimostrare che cambiare periodicamente la password non serve usa il
90% di
esempi che possono esistere solo in una rete tanzaniana con windows 95b

Ok, un hacker esperto che si trova di fronte ad sistema ben patchato ed una
>password di basso livello a disposizione sa che prima o poi potrebbe
>verificarsi una finestra temporale entro la quale il sistema diventi
>vulnerabile ad attacchi efficaci, se nel frattempo la password ? cambiata
>il
>gioco si rompe, mi chiedo per? quante volte possa capitare una evenienza
>del
>genere e se un cambio semestrale o annuale della password non sia nella
>maggioranza dei sistemi pi? che sufficiente per ridurre il rischio al
>lumicino.


Si, e' appunto una misura extra che viene dopo a tutta una lunga serie di
cose.


Michele
----- End forwarded message -----