Ottimo lavoro di Google, non ho finito di leggere ma penso questo possa rinforzare anche tutti i modelli attuali tipo Cloudflare workers / Fastly edge functions che sono basati su v8 isolate
Entro a gamba tesa.
Servizi tipo quello di Experian(a pagamento) che “scandagliano il dark web”, sono solo fuffa? E cosa farebbe di bello? La mia azienda l’ha offerto a tutti i dipendenti e mi son rifiutato
Summon @SkyLinx
Uso Experian per il credit score (gratis) mai sentito che avessero anche questo tipo di servizi e mi puzza di fuffa o sotto sotto rivende https://haveibeenpwned.com/ con qualche altro servizio in piu loro tra cui appunto il credit score
Quello e’ uno dei servizi. L’azienda ha fatto una subscription di 12 mesi ma non sono andato a fondo dei servizi inclusi.
Tipo questo
Magari ti rivende questo servizio di Google Come funziona il report del dark web - Guida di Google One
Non ricordo dove vivi,ma ad esempio in UK tenere sotto controllo il proprio credit score puo’ essere utile, se te lo offrono a gratis why not
Italia.
Cazz e’ il credit score?
Ce l’hanno offerto per ovvi motivi di cybersecurity… Niente a che vedere con il credit score 
non posso dire altro 
Non ricordo come si chiama di preciso, sto usando google translate “affidabilita’ creditizia” ?
E’ il rating che hai quando vuoi chiedere del credito, che sia un mutuo per la casa, un prestito o una carta di credito.
In Italia non e’ molto visibile e non se ne parla molto ma c’e’ sono sicuro, probabilmente molto piu rilassato, qui in UK e’ abbastanza importante e ci sono fattori ben precisi per alzarlo , che variano da cose banali tipo avere sempre ripagato i tuoi debiti al fatto che sei iscritto al registro degli elettori del tuo borgo
Se non ricordo male in Italia l’equivalente è la “Centrale dei rischi”, che puoi consultare gratuitamente sul sito della banda di Italia: Banca d'Italia - Centrale dei rischi
Quindi se uno lavora per una societa’ italiana che fa parte di un gruppo molto grande con sedi in tutto il mondo, dal punto di vista della cybersec non c’azzecca una sega. Corretto?
Si sostanzialmente e’ una parte che compone il credit score quella.
In UK ci sono altri fattori non solo la parte di essere un buon debitore, ad esempio c’e’ il fatto che tu sia inserito nel registro degli elettori della tua zona, che tu abbia una serie verificabile di indirizzi per almeno tot anni (piuttosto che avere buchi senza una residenza), che tu abbia un conto bancario aperto da vari anni (piuttosto che avere tanti conti aperti in poco tempo) robe cosi insomma e morale alla fine della fiera quell’Experian li ti offre la visione del tuo credit score
State parlando di servizi di cyber intelligence, che è un settore in forte espansione. Un ramo ben specifico al servizio della cyber security.
Stanno nascendo molte società che forniscono servizi B2B di monitoraggio e intelligence ad altre aziende.
Sono dati da integrare nei Security Operation Center per migliorare la visione della postura di sicurezza, usati per monitorare la brand reputation, prevenire campagne di phishing (ad esempio se viene registrato un dominio scam simile al proprio) e molte molte altre cose (es. controllare la security delle terze parti).
In generale, si sta andando verso una cyber security sempre più proattiva per estendere ancora il paradigma precedente principalmente reattivo, grazie all’intelligence.
Quello di Google è una piccola piccolissima parte dei servizi di cyber intelligence, nello specifico verifica solo se l’email è presente in data leak e poco altro, ma lo monitora in continuazione e vi avvisa se rileva qualcosa.
1 Like
Io parlavo di sta roba qui " experian global web monitoring"
Ne parlavo con i colleghi qualche giorno fa, il consenso é stato “go eat a dick” nel 90% dei casi.
Qualunque dev mi si metta davanti a sminuire il lavoro che c’é stato dietro, anche se una feature esistente funziona da culo, e soprattutto fare pressioni allora non merita di essere un contributor.
Giá mi fanno girare il cazzo in RL figurarsi un signor qualsiasi su internet, ma penso questo si possa applicare in tutti i casi lavorativi.
1 Like
log4j di Apache con il buco che permetteva l’esecuzione di cordice arbitrario
siamo stati da dicembre fino a marzo a fare remedietion di questa roba (log4shell)
me lo ricordo benissimo
edit: spetta questa però prendeva solo java 9+
intendevo per la log4j citata
Mi sa non avete letto nulla del contesto, faccio un refresh
Si parla di vulnerabilita’ introdotte intenzionalmente da dipendenti FAANG su software closed source proprietari , il tutto e’ partito dal fatto che PorkchopExpress sostiene che sia facile fare questo tipo di operazione e tanto nessuno se ne accorge dato che il codice e’ closed source, che e’ ovviamente una fesseria dato il livello di controllo che c’e’ in questi ambienti su qualsiasi cosa che finisce nelle mani dei customer e’ generalmente molto elevato.
I due esempi che portate sono di software open source
@PorkchopExpress sto aspettando qualche link di casi del genere che sono successi negli ultimi anni, vista la facilita’ che sostieni te ne dovrebbero saltare fuori a manciate… o forse si puo’ fare un passo indietro e rendersi conto che la realta’ e’ diversa? 
La sicurezza in FAANG e cazzi è un’aspettativa nostra che appappagalla quello che le stesse FAANG ripetono ai loro investitori.
Il problema è che non abbiamo modo di verificare in concreto. Quindi caro mtt, non mi tranquillizza una bella cippa, sorry.
L’open source non è santo per intercessione di cristo. Ma è almeno più trasparente: le cose buone o cattive che succedono hai più possibilità di notarle ed intercettarle (cosa successa).
Nei sistemi closed, il fatto che non si vedono merdoni puo’ essere:
- perché i merdoni non esistono
- perché i merdoni non sono scopribili
Di contro, è vero che in molti software open vi è una struttura più inaffidabile, nel senso che si basa su pochissimi volontari con cerchie ben infiltrabili come si è visto qui.
Insomma, ci sono pro e contro su entrambe, e i fanboy sono da compatirsi.
2 Likes
Ma poi @mtt tu stai parlando tra l’altro di dipendenti, non stai minimamente mettendo in conto potenziali backdoor messe volutamente dai piani alti. Almeno nell’open source
1 Like
Le corporations sono macchine efficienti e impersonali, il che vuol dire che non fanno mai nulla per nulla, nel bene e nel male.
Il controllo sul codice x o sul processo y te lo fanno, se e solo se il non farlo risulta in danni pesanti, immediati ed evidenti. Mantenere la “reputazione” non è assolutamente in quella categoria di motivazioni.
Qui parliamo di roba tipo Meta (per dirne uno solo) che non si fa problemi ad essere coinvolta in scandali di manipolazione politica. Non gliene frega un cazzo perché non risentono di eventuali figure di merda.
Quindi, quando uno si aspetta che il dipendente loro venga schedato prima di poter lavorare, questo avviene con una precisione proporzionale ai cazzi che la corporation subirebbe in un problema.
Schedatura superiore al caso zingaro open-source? Assolutamente sì.
Schedatura sufficiente a evitare infiltrazioni? E chi lo sa? Sarebbe folle fidarsi automaticamente.