sabato 31 marzo 2012

Furto di firma digitale

Valentino Privato mi segnala questa interessante notizia:
-
http://www.ilsole24ore.com/art/notizie/2012-03-26/rubano-firma-digitale-intestano-181133.shtml?uuid=AbGTnUEF

Riassumo: due furbacchioni si presentano dal commercialista di un imprenditore, gli dicono che l'imprenditore ha bisogno di una copia della smart card per l'apposizione della firma digitale, ma non può essere presente perché all'estero; il commercialista ci crede e avvia la pratica; i due furbacchioni, con la nuova smart card, si intestano quindi l'azienda dell'imprenditore.

Come al solito, la vulnerabilità è nelle persone credulone e disponibili ad aiutare anche se questo richiede di forzare "un po'" le procedure, come già detto da Kevin Mitnick nella sua "L'arte dell'inganno".

venerdì 23 marzo 2012

Assessment e critiche

The IT Skeptic scrive un articolo molto critico sugli assessment sulla maturità dei processi ITIL. In particolare, fornisce 4 ragioni per dire che sono "un'inutile perdita di soldi":
1- i consulenti che fanno gli assessment non prendono in carico gli obiettivi del cliente (in altre parole, segnalano delle mancanze che forse non lo sono)
2- molti assessment non forniscono indicazioni su come rimediare (livello di gravità, priorità da dare all'azione correttiva)
3- una valutazione del livello di maturità è inutile, mentre è utile una valutazione rispetto ai rischi e agli obiettivi dell'organizzazione
4- ITIL non è uno strumento per valutare la maturità dei processi

I primi 3 punti sono facilmente applicabili a tutti gli altri schemi; il quarto è ovviamente istanziabile solo una parte di essi.

Sottoscrivo tutto, anche se ciò non farà piacere a qualche mio lettore.

Una parte del mio lavoro è dedicata a fare audit e assessment e quindi non posso dichiarare (così come non lo fa IT Skeptic) che gli assessment sono in generale inutili. Dichiaro che gli assessment sulla maturità dei processi non mi convincono, che gli assessment senza una conseguente priotizzazione delle azioni correttive non forniscono indicazioni utili ai clienti e che gli assessment basati su check list per condurli e grafici troppo semplicistici per presentarne i risultati sembrano professionali ma non lo sono.

Il post di IT Skeptic (commentato non sempre in modo condivisibile):
http://www.itskeptic.org/uselessness-itil-process-maturity-assessment

La segnalazione l'ho avuta da ITSM News:http://www.itsmportal.com/news/process-maturity-assessments-prove-it-it-service-providers-suck    

Spammer o vittima degli filtri?

Il 15 marzo, stranamente puntuale, ho inviato la mia newsletter con titolo "[IT Service Management] Newsletter del 15 marzo 2012". Il mio client di posta, in un millisecondo, mi ha avvisato che la mail non poteva essere recapitata a nessuno dei destinatari causa errore SMTP 554 (ho guardato: errore generico di "messaggio rifiutato"). Ho riprovato più volte, fino a quando ho inviato la stessa mail con titolo "[IT Service Management] Newsletter 15 marzo 2012" (vi risparmio la fatica: ho solo tolto un "del").

Risultato: la mail è partita ma ho ricevuto parecchi messaggi di errore, dal maledetto SMTP 554 a notifiche di filtri (per esempio il 550 5.7.1 Message rejected due to content restrictions). Altri, hanno ricevuto la newsletter senza problemi. La cosa buffa è che non l'ho ricevuta neanche io stesso.

Il "colpevole" era un link dell'articolo 14. Per trovarlo, ho fatto numerose prove (meno male che uso diversi indirizzi di mail!)  e mi è costato diverso tempo

I filtri alle mail sono oggi uno strumento necessario e io per primo non ho proposte alternative per sostituirli.

Il 23 marzo o riinviato la newsletter corretta e spero sia arrivata a quanti non l'avevano ricevuta.

Mi rimane solo di scusarmi con quanti hanno invece ricevuto la medesima mail per 4 (quattro!) volte. Spero non si ripeta più.

giovedì 15 marzo 2012

Sentenza su danneggiamento di informazioni mediante cancellazione di file

La Cassazione Penale ((Corte di Cassazione - Sezione Quinta Penale, Sentenza 5 marzo 2012, n.8555),  ha stabilito che, sussiste il reato previsto dall'articolo 635 bis Codice Penale (danneggiamento di informazioni, dati e programmi informatici) anche qualora i file cancellati possano essere oggetto di recupero.

La sentenza riguarda un caso in cui, comunque, alcuni dei file cancellati non sono stati recuperati lo stesso.

La notizia l'ho trovata sulla newsletter di Filodiritto:
-
http://www.filodiritto.com/index.php?azione=archivionews&idnotizia=3640

Per chi avesse la pazienza di leggere l'orrendo italiano della sentenza originale, ho trovato questo link:
-
http://www.cnai.it/allegati/novita/85_sentenza%20cassazione%208555%205.03.2012.pdf

Analisi minacce - Rapporti MELANI

Quando si analizzano i rischi alla sicurezza delle informazioni, è necessario analizzare, tra gli altri elementi, la possibilità di accadimento delle minacce. Per questo dovrebbero essere prese in considerazioni le esperienze passate dell'organizzazione oggetto dell'analisi, le esperienze passate di organizzazioni in contesti geografici o di business simili, l'appetibilità delle proprie informazioni e le caratteristiche delle fonti di rischio.

Per questo segnalo due rapporti tecnici di MELANI, la Centrale d'annuncio e d'analisi per la sicurezza delle informazioni della Svizzera:
- il Rapporto semestrale 2011/1 dell'ottobre 2011,
http://www.melani.admin.ch/dokumentation/00123/00124/01128/index.html?lang=it
- il Rapporto "Minacce attuali su Internet, autori, strumenti, perseguimento penale e Incident Response" del gennaio 2012, http://www.melani.admin.ch/dokumentation/00123/01132/01134/index.html?lang=it

mercoledì 14 marzo 2012

ISO/IEC 20000-2:2012

Il 15 febbraio è stata pubblicata la nuova versione della ISO/IEC 20000-2:2012. Il primo a darmene notizia è stato Attilio Rampazzo che ringrazio.

La ISO/IEC 20000-2 ha titolo "Information technology — Service management — Guidance on the application of service management systems". E' pertanto una linea guida e non uno standard certificabile.

La sua lettura è interessante ed è consigliabile a quanti intendono applicare la ISO/IEC 20000-1 senza avere una buona conoscenza di sistemi di gestione e/o una preparazione a livello di ITIL Foundation.

A dire la verità, leggendo il documento si notano alcune sbavature, soprattutto nei requisiti di sistema del capitolo 4 (responsabilità della direzione, gestione della documentazione e delle registrazioni, gestione delle risorse e gestione del miglioramento), a causa di alcune ripetizioni e concetti discutibili.

Gli approfondimenti sui 14 processi specifici sono invece più convincenti. Sono però rimasto perplesso dalla volontà di non parlare di workaround (si parla di known error con causa conosciuta, ma non di soluzioni temporanee a fronte di cause ignote) e di CAB e ECAB (anche se sono introdotti altri concetti tipici di ITIL e non presenti nella ISO/IEC 20000-1).

Faccio anche notare che queste linee guida sono di 94 pagine, mentre la versione precedente del 2005 ne aveva 42 per spiegare, più o meno, gli stessi processi. Ecco quindi che potremmo anche dire che tra la sintetica ISO/IEC 20000-1 (36 pagine) e il prolisso ITIL 2011 (quasi 2.000 pagine), un lettore potrebbe trovare in questo documento la giusta via di mezzo.

sabato 10 marzo 2012

Precisazione sul Regolamento UE Privacy

Trattando sul futuro Regolamento UE sulla privacy, mi sono posto la seguente domanda: come sarà possibile tradurre "employing fewer than 250 persons", essendo questo il confine tra aziende che saranno obbligate a fare il DPS e quelle che non lo saranno?
-
http://blog.cesaregallotti.it/2012/02/regolamento-ue-sulla-privacy-forse-il.html

Fabrizio Bottacin mi ha risposto inviandomi il link alla Raccomandazione della Commissione del del 6 maggio 2003 relativa alla definizione delle microimprese, piccole e medie imprese, da cui si deduce come calcolare le "250 persone" e che le PMI non dovranno fare il DPS, le altre sì:http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2003:124:0036:0041:IT:PDF

Nospammer.info

Luca De Grazia mi segnala l'associazione No Spammer (http://www.nospammer.info/). Si occupano di fornire assistenza legali a quanti sono infestati dallo spamming, a quanti hanno a che fare con siti web non regolari, a quanti hanno problemi a far valere i propri diritti quando acquistano via web, eccetera.

Al momento, l'associazione pare appena costituita e quindi non ci sono notizie interessanti. Ma l'idea è buona e non ci aspetta che vedere l'effetto che fa.

Change Oracle e blocco di un ospedale

Sandro Sanna mi segnala questa notizia:
-

In poche parole, sembra che il fine settimana del 12 e 13 febbraio, siano
state fatte delle modifiche al database (dall'articolo pare sia Oracle) e
che poi il sistema si sia bloccato fino a ripartire lentamente il martedì.

Non ho nulla contro Oracle: chi non fa non falla. Ho però qualche appunto da
fare a chi dice che "i change ai database non sono critici", "fare e
documentare i test è una perdita di tempo" e "le procedure di roll-back sono
facili". In realtà nessuno lo dice con queste parole, ma lo pensa.

A pensarci bene, qualcosa contro Oracle ce la potrei avere, ma non ho dati a sufficienza. Vorrei capire se ci sono dei prezzi agevolati per l'acquisto di licenze per gli ambienti di test e per gli ambienti di DR. A pensar male ho ragione o torto?

Chissà chi è il colpevole (il manager che aveva fretta? il commerciale che
aveva fatto male i conti e bisognava chiudere per non perdere "giornate
uomo"? il cliente che aveva chiesto tempi irragionevoli? Il project manager
non abbastanza prudente? il responsabile qualità che non aveva fatto
correttamente la procedura?).

Di queste notizie ne abbiamo abbastanza, ma ne vedremo ancora. In Italia e
all'estero. In troppi penseranno comunque che "questo a me non potrà
capitare".

giovedì 1 marzo 2012

Prescrizioni per i siti web dedicati alla salute

Il Garante il 25 gennaio ha emesso le "Linee guida in tema di trattamento di dati personali per finalità di pubblicazione e diffusione nei siti web esclusivamente dedicati alla salute".

Esse riguardano "i gestori dei siti web dedicati esclusivamente alla salute (specifici forum e  blog, specifiche sezioni di portali che contengono informazioni sanitarie, nonché social network che si occupano di tematiche sulla salute attraverso specifici profili, aperti da soggetti privati con  finalità di  sensibilizzazione e confronto in tale ambito) in cui si svolge un'attività di carattere meramente divulgativo e conoscitivo, non solo con riferimento alle informazioni e ai commenti che si scambiano gli utenti, ma anche con riferimento ai consigli o alle "consulenze" mediche che vengono dagli stessi richieste."

Sono compresi due casi: i siti che richiedono e quelli che non richiedono la registrazione. In tutti i casi, devono essere fornite opportune avvertenze agli utenti. Sicuramente, tali avvertenze potrebbero essere fornite anche da siti non dedicati alla salute.

Le Linee Guida:
-
http://www.garanteprivacy.it/garante/doc.jsp?ID=1870212

Il commento su Filodiritto:
-
http://www.filodiritto.com/index.php?azione=archivionews&idnotizia=3613

Certificazioni ISO 9001 e controlli

Edmea De Paoli mi segnala l'articolo 14 del DL Semplifica Italia (DL 5 del 2012), per cui:
- le amministrazioni pubbliche sono tenute  a  pubblicare la  lista  dei  controlli  a  cui  sono assoggettate le imprese
- i controlli potranno essere ridotti per le imprese  in possesso della certificazione UNI EN ISO 9001

Già la Legge 133/2008 prevedeva che "i controlli periodici svolti dagli enti certificatori sostituiscono i controlli amministrativi o le ulteriori attività amministrative di verifica". Era un evidente orrore, in quanto è ben noto che la ISO 9001 non copre i controlli amministrativi in modo da coprire quanto opportuno.

Commento 1: dobbiamo vedere come sarà trattata la questione dalle Linee Guida in materia che saranno prodotte più o meno in ottobre 2012 e pubblicate su www.impresainungiorno.gov.it

Commento 2: il punto f) del comma 4 fornisce un ottimo punto di partenza per i requisiti da chiedere ad un qualsiasi fornitore ("certificazione del sistema di gestione per la qualità da  un  organismo  di  certificazione accreditato da un ente  di  accreditamento  designato  da  uno  Stato membro dell'Unione europea ai sensi del  Regolamento  2008/765/CE,  o firmatario degli Accordi internazionali di mutuo riconoscimento IAF MLA); visti i bandi di gara che si vedono in giro, c'è da fare i complimenti a chi ha scritto questo paragrafo per l'inusuale correttezza.

Sentenza utilizzo di software duplicati per i computer aziendali

Se qualcuno aveva ancora dei dubbi: è illegale "aver installato software su computer aziendali senza averne previamente acquistato la relativa licenza". Lo ha stabilito la Cassazione, Sezione Terza Penale, con sentenza 5879 del 15 febbraio 2012.

L'articolo su Filodiritto:
-
http://www.filodiritto.com/index.php?azione=archivionews&idnotizia=3618

Secondo me, l'accusato poteva pagare i 1.000 Euro e farsi convertire i 4 mesi di reclusione in qualcosa d'altro. O l'accusato aveva soldi e tempo da spendere in processi (primo, secondo e terzo grado!), o aveva scelto un avvocato furbetto che l'ha consigliato male.

Controllo legittimo ex post di email del dipendente

La Cassazione Lavoro, con sentenza del 23 febbraio 2012, ha dichiarato legittimo, in certe condizioni, il controllo delle e-mail del dipendente.

Sentenza molto interessante per chi si occupa di sicurezza, 231 e privacy.

Segnalo l'articolo su Filodiritto:
-
http://www.filodiritto.com/index.php?azione=archivionews&idnotizia=3619

L'articolo si conclude con un interessante commento: "sarebbe stato interessante conoscere nel dettaglio l'attività di indagine sull'infrastruttura informatica posta in essere dal datore di lavoro".

NIS SP 153 - Guidelines for Securing WLANs

Il NIST ha pubblicato la Special Publication 800-153 dal titolo "Guidelines for Securing Wireless Local Area Networks (WLANs)".

In questa pubblicazione si richiamano soprattutto le criticità legate al personale interno che potrebbe usare la doppia connessione wireless e wired, aprendo delle vulnerabilità.

Per ulteriori specifiche di sicurezza sulle WLANs, bisogna fare riferimento a:
- SP 800-97 "Establishing Wireless Robust Security Networks: A Guide to IEEE 802.11i"
- SP 800-48 "Guide to Securing Legacy IEEE 802.11 Wireless Networks"

Rimangono i soliti concetti base:
- verificare i requisiti di sicurezza dei prodotti per creare gli Access Point
- configurare gli accessi via meccanismi crittografici
- installare le reti per gli ospiti in modo che non abbiano visibilità sulla rete interna

Banalità, certamente. Fino a quando si scopre che non sono sempre seguite.