Chiarimenti sulle modalità di attacco del recente Security Advisory su IE

re: Chiarimenti sulle modalità di attacco del recente Security Advisory su IE

Feliciano Intini — Tue, 19 Jan 2010 23:17:19 GMT

@fabio: non capisco se sei d'accordo o meno con tutto l'estusiasmo per la tecnologia che sprizza nel tuo ufficio (scusa la battuta), ma spero proprio di no ;-)

@ Antonio: più che bug mi sembra un problema di processo nell'aggiornamento del database consultato dal filtro Smartscreen, mi fai avere una copia dell'email che hai segnalato senza esito? (Usa tasto email in alto al blog)

re: Chiarimenti sulle modalità di attacco del recente Security Advisory su IE

Antonio — Tue, 19 Jan 2010 22:30:43 GMT

Salve, io ritengo che la versione di IE8 sia molto sicura rispetto alle versioni precedenti, ma ancora con qualche piccolo bug. Per esempio ogni tanto mi arriva qualche e-mail di phishing con link alle poste italiane, likandolo su i vari browser (firefox, chrome, ie 8) , solo ie8 mi apre il sito "fake", mentre gli altri browser mi avvertono che è un sito contraffatto. Anche inviando la segnalazione alla microsoft, dopo alcuni giorni il sito è ancora raggiungibile.

re: Chiarimenti sulle modalità di attacco del recente Security Advisory su IE

fabio — Tue, 19 Jan 2010 13:52:06 GMT

Bhè l'ufficio per il quale lavoro, non è certo grande come il gruppo Intesa. Diciamo che sono circa una sessantina di computer tra desktop e portatili. Bene, chi gestisce i computer qui dentro, lo sforzo massimo che ha fatto è stato quello di fare il downgrade da Vista per i pc nuovi verso XP. Alle domande tipo ma perchè non aggiornate? Le risposte di default sono che se vogliamo navigare in Internet, IE che c'è (il 6) va già più che bene così....

(succede poi che l'utente medio quando compra il pc a casa vuole vedere le stesse icone che vede tutto il giorno in ufficio per non perdersi, con tutto quello che ne concerne)

re: Chiarimenti sulle modalità di attacco del recente Security Advisory su IE

Feliciano Intini — Tue, 19 Jan 2010 12:38:23 GMT

Ciao Claudio, ti assicuro che gli interventi proattivi non mancano affatto per spingere i clienti all'aggiornamento. Non per prendere le difese dei sistemisti o IT manager, ma non credo si tratti di pigrizia o ignoranza, quanto di rimandare il più possibile lo sforzo di verifica applicativa che accompagna ogni migrazione e che è tanto più impegnativo quanto più grande è l'azienza (e il tuo gruppo lo è ;-).

re: Chiarimenti sulle modalità di attacco del recente Security Advisory su IE

Claudio Cicali — Tue, 19 Jan 2010 12:22:21 GMT

Feliciano, il personale della mia banca (del gruppo Intesa!) usa IE6. Alla mia diretta domanda "Ma siete pazzi?", hanno risposto (ovviamente) che non hanno controllo su queste scelte. Mi chiedo se i sig. MS non farebbero meglio a fare interventi proattivi verso quei sistemisti o IT manager che per pigrizia o ignoranza non fanno bene il loro lavoro, invece di dire "tranquilli, tranquilli..."

re: Chiarimenti sulle modalità di attacco del recente Security Advisory su IE

Feliciano Intini — Tue, 19 Jan 2010 09:08:47 GMT

Dal momento che lavoro nell'ambito del supporto tecnico, so bene che diverse realtà IT italiane hanno ancora un parco di sistemi fermo su versioni non aggiornate, come diversi di voi mi stanno purtroppo confermando: anche se ho profondo rispetto dei motivi che possono essere alla base di tali scelte, devo approfittare di queste situazioni per far riflettere sul rischio di sicurezza che si corre. Riguardo alla prudenza, per rispondere a Daniele: è vero, la situazione richiede prudenza, atteggiamento che non viene però applicato da chi approfitta per fare clamore a suo vantaggio; il mio è quindi solo un modo per tranquillizzare gli utenti rispetto alla situazione oggettiva di rischio che osserviamo. Certo questa situazione può cambiare e, nel caso, vi avviseremo in modo tempestivo, ma non siamo in scenario da fine del mondo come qualcuno vuole far credere.

re: Chiarimenti sulle modalità di attacco del recente Security Advisory su IE

Daniele — Tue, 19 Jan 2010 08:35:42 GMT

Mi sembrano commenti superficiali dire cose come:

"usando sul loro PC una combinazione di versioni, lasciatemi dire, paleolitica: Windows XP con Internet Explorer 6 "

infatti sull'advisory MS si legge che il SOFTWARE NON AFFECTED e' proprio:

Internet Explorer 5.01 Service Pack 4 for Microsoft Windows 2000 Service Pack 4.

Inviterei alla prudenza e a una maggiore oggettivita' e possibilmente a un maggiore spessore tecnico dell'analisi senza essere troppo di parte ( anche se magari puo' non essere facile).

Saluti

Daniele

re: Chiarimenti sulle modalità di attacco del recente Security Advisory su IE

Riccardo — Tue, 19 Jan 2010 08:34:56 GMT

Che in ambito office ci sia ancora windows xp è un dato di fatto, ma che nello stesso ambito non si sia fatto l'upgrade di internet explorer è assolutamente ridicolo. Diciamo la verità: chi non ha fatto l'upgrade è perchè probabilmente non può scaricare gli aggiornamenti... wga?

re: Chiarimenti sulle modalità di attacco del recente Security Advisory su IE

fabio — Mon, 18 Jan 2010 22:09:18 GMT

Se posso, riguardo la tua deduzione e in particolare sul punto due: in ufficio (ente statale), gira - ad oggi - tutto su XP e come browser c'è proprio IE 6! Fuori dall'ufficio, tutti gli amici so che usano come sistema XP e usano IE 6 massimo il 7!! Sì, anche quelli che hanno preso pc recenti, dato che hanno fatto il downgrade da Vista. Certo la mia realtà, puo essere una goccia nel mare, ma tant'è...

re: Chiarimenti sulle modalità di attacco del recente Security Advisory su IE

alpha — Mon, 18 Jan 2010 21:52:10 GMT

"come la mettiamo con il fatto che la realtà è proprio all’opposto (Firefox flaws account for 44% of all browser bugs) ?"

La mettiamo nel senso che Microsoft e Mozilla hanno sistemi di gestione delle falle completamente diversi e quindi i numeri non sono per niente confrontabili. In Mozilla considerano bug anche quello che altri definirebbero "caratteristica".

Tanto per dire in questo momento Secunia segnala 4 falle aperte per IE e zero per Firefox ed Opera...

Detto questo concorso sul fatto che forse il clamore sollevato è eccessivo, ma se a sconsigliare l'uso di IE sono agenzie governative i media non possono far altro che rilanciare la notizia anche perché la natura del problema non è chiara, e quindi nel dubbio ti vien da pensare che magari "loro" ne sappiano di più.