lunedì 31 gennaio 2011

Standardizzazione famiglia ISO/IEC 27000

Tra dicembre 2010 e gennaio 2011, sono state inviate agli esperti
dell'Uninfo le bozze delle seguenti norme perché le commentassero:
- ISO/IEC 27000 (2o draft)
- ISO/IEC 27001 (4o draft)
- ISO/IEC 27002 (3o draft)
- TR ISO/IEC 27008 - "Guidelines for auditors on information security
controls" (Draft)
- ISO/IEC 27010 - "Information security management for intersector and
inter-organisational communications" (Committee draft)
- ISO/IEC 27013 - Relazioni tra 27001 e 20000 (3o draft)
- ISO/IEC 27014 - Governance of information security (Committee draft)
- ISO/IEC 27015 (2nd WD) -Guidelines for financial services
- ISO/IEC 27016 - Organizational economics (1o draft)
- ISO/IEC 27033-2 (FCD, revision of ISO/IEC 18028-2:2006) - Guidelines for
the design of network security
- ISO/IEC 27033-3 - Reference networking scenarios -- Threats, design
techniques and control issues (Final Draft)
- ISO/IEC 27033-4 (3rd WD; revision of ISO/IEC 18028-3:2005) -Securing
communications between networks using security gateways
- ISO/IEC 27033-5 (WD) - Securing communications across networks using
Virtual Private Networks (VPNs)
- ISO/IEC 27036-3 (Preliminary draft) - Guidelines for ICT supply chain
security
- ISO/IEC 27038 (1st WD) - Specification for digital redaction

Inoltre, è stata approvata la FDIS della ISO/IEC FDIS 27031 (Guidelines for
information and communication technology readiness for business continuity)
e quindi dovrebbe essere pubblicata la versione definitiva.

Nessuna nuova notizia sulla ISO/IEC 27037 (Guidelines for identification,
collection, acquisition and preservation of digital evidence) che era
arrivata al terzo Working Draft e che desta un certo interesse perché
relativa alla computer forensics.

Phishing anche per rivendere quote di CO2

Simone Tomirotti segnala questa notizia: il phishing non colpisce solo gli
utenti dei sistemi di home banking.

Dal Financial Times Deutschland del 3 febbraio 2010: Dopo un primo attacco
alla fine del 2009, alcuni hacker professionisti hanno colpito alcune
imprese in Europa, in Giappone e in Nuova Zelanda. I pirati hanno inviato
false mail chiedendo alle vittime di registrarsi di nuovo sulla piattaforma
di scambio per prevenire un attacco informatico. Con queste nuove password
hanno inviato dei diritti di emissione su dei conti in Danimarca e Gran
Bretagna e poi li hanno rivenduti. Il numero di imprese vittime di questa
truffa è ancora sconosciuto, "ma le verifiche di più di una dozzina di
imprese in Germania ha già rivelato nove truffe". Di conseguenza il registro
delle emissioni di anidride carbonica è stato chiuso in 13 paesi. "Questo
sistema di scambio, che dovrebbe essere lo strumento per proteggere il
clima, rivela la sua fragilità", commenta il quotidiano.
http://www.presseurop.eu/it/content/news-brief-cover/182761-gli-hacker-ruban
o-i-diritti-di-emissione


Da Presseurop del 21 gennaio 2011: "I ladri di quote colpiscono ancora".
Alcuni hacker hanno rubato e poi rivenduto quote di CO2 di diversi paesi
europei, riporta Libération. "Niente porte forzate, niente casseforti fatte
saltare in aria con la nitroglicerina. Soltanto sistemi informatici di
registri nazionali alleggeriti dei diritti di emissione" delle più grandi
imprese austriache, greche, ceche, polacche e estoni, che il 19 gennaio si
sono rese conto della portata dell'attacco. Secondo la Commissione europea i
cyber-ladri hanno prelevato permessi per circa 3 milioni di tonnellate di
CO2 e un valore di 200 milioni di euro. "Il furto rischia di intaccare la
credibilità del giovane mercato europeo delle emissioni", precisa
Libération. Un mercato "creato dal nulla dall'Unione europea nel 2005 per
limitare le emissioni di carbonio delle industrie". Dal 2007 il mercato è
costantemente il bersaglio degli attacchi dei criminali informatici.
http://www.presseurop.eu/it/content/news-brief/471771-i-ladri-di-quote-colpi
scono-ancora

giovedì 27 gennaio 2011

Qualità dei dati e SLA

Franco Ferrari (DNV Italia) segnala questo interessante articolo sulla
qualità dei dati e gli SLAs. Fa riferimento ad un white paper di DataFlux,
società acquisita da SAS, la cui lettura è sottoposta alla registrazione
presso il loro sito. Quindi, non l'ho scaricato, ma direi che l'articolo è
più che esaustivo
http://www.zerounoweb.it/index.php?option=com_content&task=view&id=4576&Item
id=126


A fronte di ciò, Tony Coletta, ha segnalato che in merito a questo argomento
è stato pubblicata la ISO/IEC 25012:2008, dal titolo "Software engineering
-- Software product Quality Requirements and Evaluation (SQuaRE) -- Data
quality model". Lo standard è interessante e propone 15 dimensioni della
qualità dei dati, a loro volta da considerare come "inerenti" ai dati o
"dipendenti dal sistema". La norma è quindi collegata agli altri standard
sulla qualità del software, in particolare la ISO/IEC 9126-1 "Information
technology - Software product quality - Quality model" che sarà sostituita
dalla ISO/IEC 25010 "System and software quality models"(ora allo stato di
Final Draft).

Aggiungo: questi temi sono importanti sia quando si parla di qualità dei dati da proteggere o da utilizzare per l'erogazione di servizi, sia quando si parla di misurazioni dell'efficacia e efficienza (per esempio di un sistema di gestione per la sicurezza delle informazioni o di gestione dei servizi IT).

Rubare files non è reato (parte 2)

A inizio gennaio avevo segnalato la notizia sulla sentenza della Corte di
Cassazione sui reati configurabili in materia di sottrazione di file sul
luogo di lavoro.
http://blog.cesaregallotti.it/2011/01/rubare-files-non-e-reato.html

Luca De Grazia propone un'analisi più esaustiva della vicenda:
http://lucadegrazia.postilla.it/2011/01/25/copiare-un-documento-su-un-server
-aziendale-non-e-un-furto-poiche-non-vi-e-spossessamento-o-distruzione/

martedì 25 gennaio 2011

Uso dell'email aziendale per comunicare con l'avvocato

Il mese scorso avevo riportato dei comportamenti attenti sull'uso di
Facebook
http://blog.cesaregallotti.it/2011/01/realta-e-virtualita-qualcuno-capisce-l
e.html


Questa volto riporto la notizia appresa dal SANS NewsBites Vol. 13 Num. 6:
un'impiegata ha usato l'email aziendale per concordare con il proprio
avvocato come condurre una causa ostile all'azienda stessa.
http://www.wired.com/threatlevel/2011/01/email-attorney-client-privilege/

Bisogna avere una bella fantasia!

giovedì 20 gennaio 2011

Un cyber-esercito contro i pirati della rete

Simone Tomirotti segnala questa notizia chiedendosi "cosa succederà in
Italia in questo ambito?"


Estonia - Un cyber-esercito contro i pirati della rete


Preoccupata dagli attacchi informatici alle sue istituzioni, l'Estonia ha
formato un'unità di cyber-soldati volontari, la Küberkaitseliit (Lega di
cyber-difesa, KKL), con l'obiettivo di proteggere il paese da nuove minacce,
scrive Rzeczpospolita. Primo cyber-esercito volontario del mondo, la KKL fa
parte del gruppo paramilitare estone Lega di difesa totale, e
nell'eventualità dello scoppio di una guerra verrebbe posta sotto l'autorità
militare. Per adesso è formata da 80 specialisti e ingegneri informatici che
si incontrano una volta alla settimana per sventare attacchi informatici
simulati. Leader nella diffusione dell'accesso a internet, l'Estonia è stata
"il primo paese al mondo a permettere il voto via web nelle elezioni
parlamentari. Per questo motivo un altro cyber-attacco potrebbe paralizzare
l'intera nazione", ha dichiarato al quotidiano polacco Vahur Made,
dell'Accademia diplomatica estone.
http://www.presseurop.eu/it/content/news-brief-cover/461991-un-cyber-esercit
o-contro-i-pirati-della-rete



Dal gruppo su LinkedIn del Clusit, Aldo Ceccarelli segnala un'analoga notizia questa volta dagli USA:
http://punto-informatico.it/3067360/PI/News/cybersicurezza-nsa-costruisce-fortezze.aspx?goback=%2Egde_54878_member_40284642

E infine, su theregister (segnalato dalla Forensic Focus newsletter, January 2011), un articolo dal titolo "Cyberwar hype is obscuring real security threats": troppa attenzione alla cyberwar che è improbabile e toglie energie alla prevenzione di minacce più probabili.
http://www.theregister.co.uk/2011/01/17/cyberwar_hype_oecd_study/

Business Continuity per disabili

Dalla newsletter del DRI Italy, ho trovato un riferimento ad un report di un
workshop sulla gestione delle emergenze per persone disabili.
http://publicaa.ansi.org/sites/apdl/Documents/News%20and%20Publications/Links%20Within%20Stories/

Ho trovato interessante la parte sulle "evacuazioni" e i due link alla guida
della NFPA (
http://www.nfpa.org/categoryList.asp?categoryID=824) e al sito
dell'ADA (
http://www.ada.gov/).

Tutta roba USA, ma sicuramente interessante anche per noi e per questo tema
spesso sottovalutato quando si tratta di Business Continuity.

mercoledì 19 gennaio 2011

Secure coding

Sul Clusit Group su Linkedin viene segnalato questo articolo sull'utilità delle metodologie di programmazione sicura (OWASP soprattutto)
http://blogs.techrepublic.com.com/security/?p=4932&goback=%2Egde_54878_member_39150496

Difficile non essere d'accordo su due considerazioni (tra le altre):
1- ci sono troppi mediocri programmatori e rari bravi programmatori (come in tutte le professioni)
2- i programmatori lavorano male perché costretti a rispettare tempi molto ristretti

Diritto d'autore: assoluzione per uso di software pirata

Attilio Rampazzo ci segnala la seguente notizia: La Corte di Appello di Trento ha assolto due architetti della Valsugana che utilizzavano nei loro uffici programmi informatici privi di licenza. Per i giudici non è reato perché si trattava di liberi professionisti e non di imprenditori.


La vicenda riguarda l'applicazione dell'articolo 171-bis della Legge 633 del 1941 che riguarda "scopi commerciali o imprenditoriali". Altro discorso deduco sia stato fatto in merito all'applicazione del 174-ter che non ha restrizioni.

Articoli simili che ho trovato in rete:
- Commento di Costabile:
http://www.marcodimartino.it/documenti/pdf/Costabile_Software_senza_licenza_in_azienda.pdf
- http://www.reteingegneri.it/notizie/economia-e-fisco/sentenza-su-software-senza-licenza.html
- Sentenza della Cassazione 1: http://www.studiolegalelaw.net/consulenza-legale/15772
- Sentenza della Cassazione 2: http://www.penale.it/giuris/cass_015.htm

Due miei quasi ironici commenti:
1- come libero professionista, prendo nota
2- non si può più dire che i professionisti ("quelli della partita IVA") sono "imprenditori di se stessi"

A parte ciò, la materia pare decisamente complessa e forse troppo discussa perché ci si possano seguire dei comportamenti completamente corretti.
http://www.ilgazzettino.it/articolo.php?id=134678&sez=NORDEST

lunedì 17 gennaio 2011

Incidente in Vodafone Australia

Dal SANS NewsBites Vol. 13 Num. 4: Vodafone Australia ha licenziato un
numero imprecisato di persone dopo il recente incidente di sicurezza che ha
compromesso la riservatezza dei dati di almeno 4 milioni di clienti.

Sono state fatte accuse di vendita a criminali di accessi al database
clienti.
http://www.zdnet.com.au/vodafone-sacks-staff-over-data-breach-339308574.htm
http://www.itnews.com.au/News/244672,vodafone-sacks-staff-over-alleged-secur
ity-breach.aspx


In Italia non è così facile licenziare il personale. Però, ci sono già stati
diversi casi di cambiamenti di fornitori a seguito di incidenti. Di chi sia
poi la colpa, è sempre difficile da stabilire. Però tutto ciò ci insegna ad
essere prudenti.

PCI DSS 2.0

Recentemente ho segnalato la pubblicazione del Quaderno Clusit dal titolo
"PCI-DSS: Payment Card Industry - Data Security Standard".
Luca Lazza (di Novit) mi fa notare che avrei anche dovuto segnalare l'uscita
della versione 2.0 del PCI-DSS, operativa dal 1 gennaio di quest'anno.
https://www.pcisecuritystandards.org/pdfs/summary_of_changes_highlights.pdf

Sia Luca che Fabio Guasconi (co-autore del quaderno Clusit) dicono che non
cambia praticamente nulla: sono stati chiariti alcuni punti, introdotti
alcuni requisiti riguardo alle nuove tecnologie (es. cloud computing e
virtualizzazione dei server) e modificato il "ciclo di vita" delle
specifiche PCI da 2 a 3 anni.

mercoledì 12 gennaio 2011

Sicurezza smartphones

Segnalo (riprendendolo dalla newsletter del Clusit) la bella guida dell'Enisa sulla sicurezza degli smartphones  (compufoni? calcofoni?). Sono elencate e descritte molto accuratamente le minacce, le vulnerabilità e le misure di sicurezza suddivise per privati, impiegati e "alte cariche". La guida ha inoltre in appendice un'interessante bibliografia.

Aggiungo che questa guida mi sembra un ottimo esempio su come dovrebbero essere fatti certi lavori. In altre parole: da studiare non solo da chi si occupa di sicurezza di cellulari, ma da chiunque si occupa di sicurezza.

Il report si scarica da http://www.enisa.europa.eu/act/it/oar/smartphones-information-security-risks-opportunities-and-recommendations-for-users/at_download/fullReport.

Suggerisco di leggere anche la pagina di presentazione dell'Enisa perché riporta anche i link ad un video e alle FAQ: http://www.enisa.europa.eu/media/press-releases/security-is-there-an-app-for-that-eu2019s-cyber-security-agency-highlights-risks-opportunities-of-smartphones

PCI - DSS

La newsletter del Clusit segnala la pubblicazione del Quaderno Clusit dal titolo "PCI-DSS: Payment Card Industry - Data Security Standard". Molto interessante per chiunque voglia conoscere questi standard.

http://clusit.it/download/Q08_bis.pdf

martedì 11 gennaio 2011

Storia dell'algoritmo A5/2

Da CRYPTO-GRAM del 15 dicembre 2010, ripropongo il link alla "Breve storia
della dismissione dell'algoritmo A5/2 dai protocolli GSM" (in inglese), dove
viene dimostrata ancora una volta la pochezza di certe istituzioni e il
dilettantismo che ci pervade.

http://laforge.gnumonks.org/weblog/2010/11/12/#20101112-history_of_a52_withdrawal

Non voglio dire che tutti debbano essere dei geni, ma pare che qui gli manchino le basi. E scrivono standard...

mercoledì 5 gennaio 2011

Nuova versione della ISO/IEC 19770-1

Come membro dell'ISACA, ho ricevuto la richiesta di commentare il draft della nuova versione della ISO/IEC 19770-1 dal titolo "Information technology — Software asset management — Part 1: Processes and tiered assessment of conformance".

Questa sarebbe la nuova versione della ISO/IEC 19770:2006 che aveva titolo "Information technology — Software asset management — Part 1: Processes"

Come si vede dal titolo, ora viene proposto un approccio su più livelli, da 1 a 4. In altre parole, sarebbe possibile dichiarare la propria conformità ad uno dei 4 livelli dello standard, da quello più semplice ("Dati affidabili") a quello completo ("Piena conformità"). Ogni livello comprende il precedente.

Questa scelta, stando agli autori, faciliterebbe l'adozione dello standard e permetterebbe di dare massima priorità alla gestione delle licenze.

Mi sono dichiarato contrario a questa scelta per 2 motivi: il primo è che se si presenta uno standard di requisiti questi dovrebbero costituire un insieme coerente di aspetti e farne uno spezzatino introduce invariabilmente incoerenze; il secondo (riprendendo a modo mio il parere di Tony Coletta) è che qui si sta parlando di UN solo processo e "facilitarne la conformità" sembra un poco ridicolo.

martedì 4 gennaio 2011

Rubare files non è reato

Su www.ictlex.net è pubblicata la notizia della sentenza della Corte di
Cassazione sui reati configurabili in materia di sottrazione di file sul
luogo di lavoro.

Riporto il testo di Andrea Monti, che riassume:
- il reato non sussiste: Sottrazione di soli file contententi informazioni
riservate – reato di furto ex art. 624 C.p. – carenza della qualità di cosa
mobile dei file informatici
- il reato sussite: Sottrazione di dati commerciali da parte del dipendente
e successivo utilizzo in azioni concorrenziali – configurabilità del reato
di rivelazione di segreto professionale ex art. 622 C.p.


Non sussiste il reato di furto, per carenza di tipicità, quando la condotta
riguarda l'appropriazione di file svincolati dal loro supporto.


La copia di file appartenenti al proprio datore di lavoro e il loro
riutilizzo successivo alle dimissioni da parte del dipendente in attività
concorrenziale integra il reato di cui all'art. 622 C.p.


Il testo integrale e' disponibile a questo indirizzohttp://www.ictlex.net/?p=1218

Pare quindi che si possano rubare file, purché successivamente non si
utilizzino. Il Diritto è certamente una materia strana...

Realtà e virtualità: qualcuno capisce le differenze

Qualche tempo fa, avevo segnalato dei casi di licenziamento di dipendenti
che avevano diffamato, seppur in modi differenziati, la propria azienda sui
social network:
http://www.mirror.co.uk/news/top-stories/2009/01/11/exclusive-marks-spencer-
staff-ridicule-customers-on-facebook-115875-21033664/


Da Cryptogram del 15 dicembre, un articolo dimostra che alcuni pensano a
quello che fanno e adottano alcune strategie per evitare che il virtuale
abbia impatti negativi sul reale:
http://www.zephoria.org/thoughts/archives/2010/11/08/risk-reduction-strategi
es-on-facebook.html


Purtroppo, le protagoniste dell'articolo vivono in ambienti sociali
disagiati e probabilmente questo le ha rese più attente.