jump to navigation

Contraccezione e sicurezza ICT mercoledì 9 luglio 2014

Posted by andy in Information Security, Internet e società.
add a comment

Dite la verità … non è facile trovare un nesso tra questi due temi …

Dopo aver letto questo articolo forse qualche preoccupazione potrebbe insorgere anche nei vostri pensieri.

Eppure ora è possibile controllare i periodi di fertilità delle donne con un chip wireless sottocutaneo.
È certamente comodo l’utilizzo di un telecomando, ma … se altri lo facessero al nostro posto, in modo trasversale o selettivo?

Quanto può valere la sicurezza o insicurezza di un dispositivo simile?

 

Pubblicate in G.U. le Regole tecniche: arriva il nuovo “sistema di conservazione” dei documenti informatici sabato 15 marzo 2014

Posted by andy in Information Security, tecnologia.
Tags: , , , ,
add a comment

Sono state pubblicate in G.U. le Regole tecniche per il nuovo “sistema di conservazione” dei documenti informatici.

Una delle novità riguarda il concetto di “sistema di conservazione“, che viene definito come un sistema che, in tutto il ciclo di vita del documento, deve assicurarne la conservazione con i metadati a essi associati, tramite l’adozione di regole, procedure e tecnologie idonee a garantirne le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità.

Non intendo qui entrare nel merito delle caratteristiche di autenticità, integrità, affidabilità e reperibilità, che sono di fatto da anni oggetto degli obblighi derivanti dalla Legge sulla Privacy (d.Lgs. 196/2003), e successive integrazioni e modifiche.

Grazie alla redazione del DPS, tali obblighi hanno in sostanza portato all’attenzione del top management delle aziende ed anche dei professionisti la necessità di gestire la sicurezza delle informazioni in tutto il loro ciclo di vita.

Desidero invece concentrarmi su uno dei termini invece ha delle implicazioni che probabilmente sfuggono ai più: la ‘leggibilità‘.
Supposto che siamo in grado di assicurare una lunga vita al documento informatico, siamo altrettanto in grado di garantirne la sua leggibilità?
Già oggi è estremamente difficile trovare del software che sia in grado di aprire documenti realizzati con le prime versioni di Word, Access, etc. (per non parlare di quelli redatti con i programmi di office automation che giravano prima su DOS e su altre piattaforme (Commodore, Sinclair, etc.).
E se anche inseriste nel vostro ciclo di vita di gestione delle informazioni anche la preservazione del software necessario, il giorno che vi occorresse, sareste ancora in grado di utilizzarlo?
Potrebbe essere definitivamente scaduta la licenza d’uso, o non essere più supportato dall’ultima versione del sistema operativo che avete adottato a livello aziendale …
Senza voler fare dell’allarmismo, già oggi esistono parecchie criticità nell’utilizizare all’interno di WIndows 7 applicativi scritti per versioni precedenti di Windows e del DOS – vedi il workaround del XPmode).
Windows 8.1 prevede l’utilizzo del DRM: il che significa che Microsoft avrà il controllo sul software che utilizzerete; a fronte di una licenza scaduta, il produttore del software potrebbe impedire l’esecuzione del programma, o addirittura forzarne la disinstallazione.
In sostanza, garantire la leggibilità di un documento potrà divenire potenzialmente impossibile.

Ovviamente esistono anche gli standard aperti ed il software libero, ma queste sono scelte strategiche che in pochi sono in grado di affrontare.

 

A proposito …
visto che per poter rendere ‘leggibile’ un documento possono essere necessari dell’hardware obsoleto ed anche una o più licenze di software anch’essi potenzialmente obsoleti, in caso di giudizio quale delle parti ha l’onere di fornire la piattaforma per poter presentare il documento?

Ed il giudice stesso, volendo consultare gli atti del processo può avere necessità di fare accesso al documento stesso; anche nell’ottica della dematerializzazione deve andare da una delle parti e farsi stampare tutto?
O si fa mettere a disposizione una copia del sistema informatico necessario per poter leggere il documento?

… forse manca una strategia per la formazione a livello nazionale … domenica 2 febbraio 2014

Posted by andy in Information Security, Internet e società, Politica.
Tags: , , , , , ,
add a comment

È di pochi giorni fa la notizia che per il ministro dell’Istruzione, Maria Chiara Carrozza “A scuola non serve insegnare il digitale”.
In sostanza, la sua visione del futuro digitale dei giovani è che debbano imparare a muoversi con sicurezza in Rete perché a scuola utilizzeranno il computer per studiare sui nuovi libri digitali.

Il fatto che la sicurezza in Rete sia un problema di tutti i cittadini non risolve il problema di come si potrà educare un’intera popolazione, composta di generazioni con culture informatiche differenti (spesso inesistenti).

Il ministro non fa i conti con il fatto che tra una decina d’anni i ragazzi che oggi stanno finendo le medie già si occuperanno di politica, e che tra una dozzina d’anni saranno già responsabili della sicurezza delle informazioni che gestiranno nell’ambito della Pubblica Amministrazione e di aziende che, tramite l’innovazione, dovranno trainare l’economia del Paese.

Il problema non è tanto l’introruzione di ore specifiche di insegnamento, ma quello dei contenuti da insegnare: l’idea di insegnare l’Etica in Rete all’interno delle ore di Educazione Civica non è sbagliata, ma non può prescindere dalle tecnologie utilizzate (la crittografia, tanto per indicarne una), e non può prescindere dal fornire adeguate competenze ai docenti.

E l’altro aspetto che sembra sfuggire è che, mentre la stampa ha semplicemente accelerato e democratizzato l’accesso all’informazione per tutta la popolazione, oggi è la popolazione che crea e pubblica informazione: si è in sostanza reso bidirezionale (o meglio, multidirezionale) il flusso delle informazioni.

Politici ricattabili, e persone che si faranno ‘sfilare’ da sotto il naso informazioni aziendali riservate non contribuiranno certamente ad una crescita politica ed economica del Paese.

Perché è importante la pervasiva raccolta di informazioni giovedì 24 ottobre 2013

Posted by andy in Information Security, privacy.
Tags: , , , ,
add a comment

Lo scandalo Datagate ha svelato fino a che punto sia giunta la pervasività della raccolta delle informazioni svolta dalla NSA (e presumibilmente anche da parte di molte altre agenzie pubbliche e private).

Spesso mi sento chiedere a che titolo qualcuno potrebbe voler intercettare le comunicazioni anche del più ‘insignificante’ dei cittadini: che interesse potrebbero avere gli americani (o chiunque altro) a sapere con chi parlo, a chi scrivo, dove vado …?

Il problema nella raccolta delle informazioni è che il loro valore è tanto maggiore quanto è più completa.

Le reti di relazioni, le sequenze degli eventi e delle comunicazioni (senza contare i loro contenuti) sono fondamentali.

Faccio un paio di esempi banali, tanto per dare un’idea.

Se Paperino telefona a Pippo (entrambe persone integerrime), e questi parlano di fare un regalo al Commissario Basettoni, non si evidenzia niente degno di nota.
Ma se la mia raccolta di informazioni mi porta ad intercettare anche le telefonate tra Pippo e Gambadilegno (noto o potenziale terrorista), allora l’interpretazione che si può dare ai discorsi tra i primi due cambia molto, così come la valutazione sulla loro integrità.

Altro esempio: intercetto tutte le e-mail tra due persone, ma non le telefonate (è un esempio: potrebbe trattarsi di ‘pizzini’).
Il Commissario Basettoni scrive a Topolino una mail in cui afferma di non avere intenzione di mettere Gambadilegno in prigione (o di non voler muovere guerra contro Paperopoli).
Tuttavia gli aveva preventivamente telefonato avvisandolo di interpretare al contrario ogni sua affermazione via e-mail.

Come vedi soltanto se hai un quadro completo delle relazioni e delle comunicazioni puoi comprendere veramente ciò che sta accadendo.

Per non parlare poi del furto della proprietà intellettuale, delle informazioni commerciali strategiche, dello spionaggio industriale (vi ricorda nulla la vicenda Boing vs. Airbus …?).

Intercettazioni: e ancora ci stupiamo? giovedì 24 ottobre 2013

Posted by andy in Information Security, Internet e società, privacy.
Tags: , , , , , ,
add a comment

Datagate: anche il governo italiano è spiato.

È da anni che sappiamo di Echelon.

Il nostro stato (leggi DigitPA, ex CNIPA), invece che lavarsi i panni sporchi in casa (leggi: Telecom), appalta tutto fuori, e casualmente a chi? a BT (British Telecom), che è pappa e ciccia con gli USA nei programmi di spionaggio.

In particolare oltre che ad assegnargli l’appalto nazionale per la RUPA (Rete Unitaria della Pubblica Amministrazione, ora SPC – Sistema Pubblico di Connettività e Cooperazione) gli abbiamo appaltato anche quella internazionale (RIPA – Rete Internazionale della Pubblica Amministrazione).

E ci stupiamo ancora che all’estero qualcuno controlli le nostre comunicazioni …?

È nata prima la policy di sicurezza o il workaround? lunedì 2 aprile 2012

Posted by andy in Information Security.
Tags: , ,
add a comment

Oggi mi stava venendo da ridere; molto probabilmente non vi racconterò nulla di nuovo, ma è interessante per scattare l’ennesima fotografia dei problemi che un responsabile della sicurezza delle informazioni si trova a dover affrontare quotidianamente.

Non faccio il nome della società di cui vi parlo, sia perché si dice il peccato e non il peccatore, sia perché sarebbe irrilevante ai fini del discorso; vi basti sapere che è una società di rilevanza mondiale, e direi una delle due top nel proprio settore.

Stiamo parlando di una società con policy di sicurezza così ben fatte e così ben applicate che risulta praticamente impossibile lavorare (almeno per una mentalità  snella e libera come può essere quella italiana).

Tra le policy, ovviamente, l’impossibilità di utilizzare dispositivi USB, il divieto (e l’impossibilità) di collegare alla rete aziendale qualsiasi dispositivo non aziendale e non autorizzato.

Situazione: riunione tra partners per la redazione e finalizzazione di un’offerta (ovviamente, molto corposa).

La riunione si tiene praticamente nell’equivalente di un bunker, completamente schermato dalle radiofrequenze, e quindi senza la disponibilità della telefonia mobile.

È uno di quei momenti topici in cui tutti devono scambiarsi documenti, aggiornamenti, revisioni, correzioni …

Come fare? Impossibile passarsi i documenti via USB, né via rete locale (gli ospiti non possono collegarsi alla rete).

Gli ospiti non possono neppure trasferire i propri file veicolandoli attraverso la rete mobile, per mancanza di copertura.

Etc. etc. etc.

Le soluzioni adottate sono state sostanzialmente due:

  1. utilizzo di un hard disk volante (forse non avete ben inteso: non un hard disk USB, bensì uno smontato da un PC del cliente, inserito in un PC dell’ospite, caricato di documenti, e ritrasferito nel suo computer originale);
  2. invio dei documenti (ovviamente altamente riservati) utilizzando caselle di posta personali (GMail) dei vari interlocutori;

Per fortuna il responsabile della security non ne sa nulla, altrimenti rischierebbe di perdere il sonno (e forse non solo quello!) …

OneShares: la nuova trovata per raccogliere informazioni riservate giovedì 16 febbraio 2012

Posted by andy in Information Security, tecnologia.
add a comment

Ne hanno inventata un’altra: il servizio OneShare (https://oneshar.es) consente di inviare ‘messaggi che si autodistruggono dopo la prima ed unica consultazione’ .
Qui (https://oneshar.es/about) le indicazioni sulla sicurezza implementata.
Si dimenticano di dire che il messaggio a loro arriva in chiaro, prima che lo criptino (con una loro chiave, e quindi lo possono anche decrittare), e che quindi è in loro potere leggerne il contenuto.
Si dimenticano anche di dire che il browser che legge il messaggio può fare caching, e quindi l’ipotesi dell’autodistruzione del messaggio vale solo lato server.

Insomma, una nuova trovata per raccogliere informazioni dichiaratamente sensibili (altrimenti che senso avrebbe utilizzare il servizio) al popolo sprovveduto della Rete.

La notizia, con un’impostazione un po’ promozionale, la si può trovare sul Fatto Quotidiano.

Come al solito, il marketing promuove come oro un’idea, ma si dimentica di raccontare come stanno in realtà le cose.

E certamente nessuno viene a raccontare quale sia il reale scopo del nuovo business …

ACTA, alt tedesco martedì 14 febbraio 2012

Posted by andy in Information Security, Internet e società.
Tags: , , , , ,
add a comment

Dopo Polonia e Repubblica Ceca, tocca alle autorità tedesche rimandare il sì al processo di ratificazione del trattato globale anti-contraffazione (ACTAAnti-Counterfeiting Trade Agreement).

Siglato a Tokyo dall’Unione Europea, l’accordo internazionale anti-contraffazione subirà così una nuova battuta d’arresto.

La lobby mondiale dei contenuti, unita alla volontà dei governi di controllare l’informazione e di poter mettere il bavaglio alle fonti libere dell’Informazione si sta scontrando contro delle ‘crisi di coscienza’.

È di poco tempo fa l’incredibile evento che una ventina di senatori statunitensi ha dovuto ritirare un’equivalente proposta (SOPA/PIPA) a causa di una sollevazione mondiale della Rete, che ha coinvolto i più grandi attori tra cui i più importanti motori di ricerca e perfino Wikipedia.

Un trattato che è stato predisposto segretamente in un percorso durato anni tra lobby dei contenuti e delle comunicazioni e governi, su scala mondiale, ha iniziato a mostrare le prime crepe grazie ai leaks delle prime bozze del documento.

Una volta divenuto pubblico, il documento ha sollevato l’attenzione mondiale per le sue gravissime implicazioni per la futura libertà dell’informazione, e tutto sommato ha anche messo i governi nazionali di fronte al fatto di dover (e ribadisco: dover) recepire una legge senza essere stati coinvolti nella sua preparazione e discussione (questo forse è più un atteggiamento difensivo per non entrare troppo in conflitto con i propri elettori).

Ora, in molti si chiedono perché questo trattato dovrebbe essere ‘il male’, pensando che gli unici detrattori sono coloro che vogliono poter proseguire a scaricare illegalmente contenuti protetti da diritto d’autore.

Ma in questo trattato c’è molto di più: la possibilità per chiunque, privato od organizzazione di richiedere l’oscuramento di un sito sulla semplice autocertificazione di una (presunta) violazione di un proprio diritto d’autore.

Ed il tutto senza passare attraverso la Giustizia, senza un terzo imparziale che verifica l’effettiva violazione della legge.

A peggiorare la cosa si deve aggiungere la responsabilizzazione degli intermediari: il che significa che carrier, motori di ricerca, piattaforme di blogging, siti social, etc. potrebbero essere a loro volta coinvolti ed oscurati nel caso non intervengano attivamente nella rimozione od oscuramento dei contenuti segnalati.

Questo significa che le major potrebbero richiedere l’oscuramento di Google in quanto mediatore tra l’utente ed i contenuto, o di Twitter …

L’implicazione è ovvia: chiunque voglia oscurare un sito ‘scomodo’ deve solo cercare un possibile contenuto su cui può, in qualche forma, reclamare un diritto, e richiedere l’oscuramento del sito; in caso di rifiuto, il reclamante può anche risalire ai mediatori dell’informazione (piattaforma di blogging, motore di ricerca, etc.), DNS, etc. di fatto tagliando fuori dalla rete i contenuti.

Stiamo quindi per passare da un sistema in cui si è innocenti fino a prova contraria ad uno in cui siamo colpevoli fino a prova contraria, con l’aggravante che questo ribaltamento di responsabilità mette la parte più debole nella condizione di dover affrontare costi sproporzionati per far valere i propri diritti, e senza la possibilità di poter recuperare il danno derivante dall’oscuramento dei propri contenuti.

Inoltre, per far risparmiare i soldi ed i tempi della Giustizia ai pochi detentori dei diritti, si modifica la legge in modo da non dover più neppure far intervenire la Giustizia nelle questioni di diritto.

È una follia, e sono convinto che non passerà mai (sono un inguaribile ottimista), ma anche dovesse passare, questa legge si ritorcerà immediatamente contro chi l’ha promossa: ogni frase, ogni nota, ogni immagine pubblicata in Rete (e non) dalle major, dai politici, etc. verrà immediatamente sottoposta al vaglio, ed ogni riutilizzo, anche casuale, di materiale preesistente porterà ad una (lecita) richiesta di oscuramento dei siti coinvolti, con un danno incredibile, sia economico, che di immagine, che di limitazione della libertà di espressione.

Il virus del controllo dell’informazione non metterà in ginocchio la Rete: si svilupperanno immediatamente i necessari anticorpi per eliminarlo.

A tal proposito per l’11 Febbraio è stata promossa una protesta mondiale contro ACTA.

 

Come promuovere la sicurezza nei prodotti commerciali giovedì 9 febbraio 2012

Posted by andy in Information Security.
Tags: , , ,
add a comment

Giorno dopo giorno le aziende ed i sistemi di organi istituzionali sono sempre più oggetto di attacchi da parte di malintenzionati e di attivisti politici.

Proteggersi da questi attacchi è divenuta un’attività sempre più onerosa, sia come competenze richieste, sia come costi da sostenere.

Approfondendo, ci si rende conto che i costi che l’azienda deve sostenere sono, in buona parte, alla necessità di mantenere allo stato dell’arte la configurazione dei propri sistemi e le competenze del proprio personale, oltre che alla necessità di ‘acquistare’ attacchi controllati sotto forma di assessments e penetration tests.

Un altro costo da mettere in conto, seppur difficilmente quantificabile, è il danno derivante da attacchi effettivamente riusciti e la difficoltà, se non l’impossibilità, di assicurarne il rischio, in quanto non sono disponibili sufficienti dati, e sufficientemente attendibili, perché le assicurazioni possano stabilire premi adeguati.

Se le aziende non sono di fatto in grado di proteggersi adeguatamente, e se le compagnie di assicurazione non possono essere d’aiuto in caso di incidente, esiste qualche modo per ridurre e/o trasferire il rischio, e se si, a chi?

Facendo mente locale sull’attuale ciclo di gestione della sicurezza delle informazioni, non possiamo non notare che in buona parte questa ruota intorno ad un gran numero di prodotti commerciali (i cosidetti ‘off the shelf‘: router, firewall, IDS, IPS, sistemi operativi, web server, RDBMS, …).

Di fatto, le organizzazioni spendono una notevole parte del proprio budget per la sicurezza non tanto nell’acquisto di prodotti, ma nella loro personalizzazione, aggiornamento e manutenzione.

E questo accade perché in realtà i produttori riducono i propri costi trasferendoli sul cliente.

Di fatto, distinguiamo tra prodotti consumer e professionali basandoci semplicemente sul prezzo e su qualche eventuale ‘bollino di qualità‘ eventualmente riportato sui manuali.

Come i giornali dimostrano, né il prezzo né i bollini risolvono i nostri problemi: dobbiamo per forza passare il nostro tempo ad informarci ed aggiornarci, a scaricare ed applicare patch, eventualmente fermando i sistemi e creando disservizi al nostro business, eventualmente sostenendo anche i costi per ambienti di test ove provare le patch prima dell’effettivo deployment negli ambienti di produzione.

Sarebbe quindi interessante invertire la tendenza a trasferire il rischio, riportandolo all’origine, là dove il prodotto nasce.

È vero che la perfezione non esiste, ma quante delle patch di sicurezza che applichiamo periodicamente avrebbero potuto essere implementate già durante la progettazione e realizzazione del prodotto?

L’ideale sarebbe quindi quello di innescare un circolo virtuoso, con l’obiettivo di realizzare prodotti talmente affidabili da poter tagliare drasticamente i costi di manutenzione, spostando le risorse verso la progettazione.

Ne consegue naturalmente la domanda: come incentivare l’implementazione della sicurezza già alla fonte, invece che rimandarla alle fasi post-market? Che tradotta in un’altra forma, potrebbe essere: come convincere i clienti a spendere di più al momento dell’acquisto?

Certamente qualsiasi organizzazione acquisterebbe molto volentieri, ed anche ad un prezzo superiore a quello attuale, prodotti che forniscano non solo garanzie sulla sostituzione dell’hardware guasto, ma anche sull’aggiornamento continuo a cura del fornitore, ed un’assicurazione per coprire i danni derivanti dallo sfruttamento di vulnerabilità dei propri prodotti.

All’organizzazione rimarrebbero, di fatto, soltanto i costi per la progettazione della propria sicurezza e per la personalizzazione dei prodotti acquistati.

Occorre quindi lavorare sui seguenti aspetti:

  • aiutare i clienti (e specificamente il management) a valutare i costi complessivi (TCO) della sicurezza, fornendo degli strumenti per quantificare i costi di aggiornamento e patching nel tempo (senza dimenticare almeno una quota di rischio per eventuali breaches);
  • aiutare le compagnie di assicurazione a sviluppare prodotti assicurativi specifici per i danni derivanti da violazioni dei sistemi informativi sfruttando le vulnerabilità degli apparati e del software in commercio, creando così un mercato nuovo ed aprendo grandi opportunità commerciali, considerando quanto le tecnologie dell’informazione siano diventate pervasive e fondamentali per il business;
  • aiutare i produttori a perseguire l’obiettivo commerciale del ‘prodotto più sicuro‘ (un po’ come già avviene nel settore automobilistico), sia sviluppando strumenti di verifica sempre più completi, sia promuovendo la disclosure di tutti gli incidenti dipendenti dai propri prodotti;
  • spingere i produttori a corredare i propri prodotti con polizze di assicurazione per il cliente: una maggior sicurezza del prodotto comporterà quindi premi sempre più bassi ed una maggior competitività commerciale, non solo per il brand, ma anche per i prezzi.

In qualche modo, l’Europa sta effettivamente andando nella direzione dell’obbligo della disclosure dei data breach per le aziende (cfr. proposta di revisione della normativa europea del 25 gennaio 2012); la proposta presentata in questo articolo in realtà mira a pubblicare le effettive responsabilità, almeno quando queste siano riconducibili ad apparati o a software.

In conclusione, il miglior bollino di qualità per il cliente è la fiducia che il produttore dimostra di avere nell’affidabilità dei propri prodotti, attraverso le garanzie e le responsabilità che conferma di volersi assumere.

Intorno a questa fiducia possono crearsi grandi opportunità di risparmio per i clienti, maggiori opportunità di revenue per i produttori, ed aprirsi nuovi mercati per le compagnie di assicurazione.

Il valore della compromissione degli account lunedì 19 dicembre 2011

Posted by andy in Etica, Information Security, Internet e società.
Tags: , , ,
add a comment

Ho recentemente letto la notizia relativa ad un attacco al Ministero per la Pubblica Amministrazione ed Innovazione.

Su pastebin potete trovare l’elenco degli account compromessi.

Indipendentemente dalle considerazioni che si possono fare sulla competenza e sulla serietà nella gestione della sicurezza del sito (per l’attacco è stata utilizzata una semplice SQL Injection), viene comunque spontaneo chiedersi quale sia il danno conseguente.

Uno dei problemi più complessi nella valutazione dei rischi è proprio la valutazione del danno indiretto.

Ciò nondimeno, è intuitivo e certo che un danno ci sia: pur non provando a quantificarlo, possiamo come minimo considerare:

  • la perdita di immagine,
  • il costo per eliminare le vulnerabilità sfruttate,
  • il costo per ogni utente per cambiare la propria password,
  • l’eventuale sfruttamento dei profili compromessi.

Sarebbe quindi davvero interessante riuscire a fare una valutazione del danno economico (anche spannometrico) derivante dalla perdita di un account, e richiedere l’addebito sullo stipendio dei responsabili degli equivalenti importi.

Tutto sommato chi gestisce in modo incompetente la sicurezza dei sistemi della PA procura un danno economico e di immagine allo stato, e quindi ai cittadini.

Come ‘incentivo’ a gestire le cose in modo un po’ più serio potrebbe essere interessante ipotizzare anche il semplice addebitare un importo simbolico (10€  per account compromesso possono andare bene?), ciascuno moltiplicato per il suo ‘peso’ (ovverosia per il livello gerarchico nella PA – che in qualche modo rende proporzionale il rischio) ai responsabili ed agli amministratori di sistema.