giovedì 27 dicembre 2012

CERT Italia?


Dal blog di Over Security trovo un riferimento all'articolo "Cybersecurity, Italia pecora nera in Europa" del Corriere delle Comunicazioni.

L'articolo dice che "l'Italia farebbe figura di unico Paese Ue a non essersi dotato di un CERT nazionale", anche se "l'Agenda digitale europea esorta tutti i paesi membri a istituire i propri CERT".

Un CERT nazionale ha il ruolo di gruppo di risposta agli incidenti informatici a livello nazionale e dovrebbe anche identificare minacce e vulnerabilità e informarne gli addetti. Un CERT nazionale potrebbe anche diffondere statistiche su minacce e vulnerabilità (mi chiedo ancora chi possa pensare ad analisi quantitative dei rischi se non ha queste informazioni) e buone pratiche di configurazione e sviluppo dei sistemi e dei software.

La notizia si commenta da sola.

L'articolo del Corriere delle comunicazioni:
-
http://www.corrierecomunicazioni.it/it-world/18802_cybersecurity-italia-pecora-nera-in-europa.htm

lunedì 24 dicembre 2012

Protezione smartphones


L'U.S. Federal Communications Commission, come ho appreso dalla newsletter SANS Newsbyte, ha pubblicato delle linee guida per la protezione degli smartphones:
-
https://www.computerworld.com/s/article/9234928/FCC_offers_security_advice_to_smartphone_users?taxonomyId=17

Potete trovare le check list (con il solito stile basato su decaloghi) su:
-
https://www.fcc.gov/smartphone-security

Queste linee guida mi sono piaciute perché in molti casi riportano link a tool per applicare alcune misure.

La sicurezza di questi oggetti è un problema per gli utenti e le imprese. In molti asseriscono che solo l'iPhone garantisce un buon livello di sicurezza, ma non ne sono convinto (sarà perché ho comprato il 3G, non più aggiornato dal 2010...).

Requisiti per le compagnie di sicurezza private


Max Cottafavi di Spike Reply mi ha segnalato la pubblicazione dello standard ANSI/ASIS PSC.1 per i "private security contractors".

Stiamo parlando di sicurezza fisica e più specificatamente delle forze armate private: tema estraneo a questo blog, ma non troppo.

Si tratta di uno standard di requisiti per un sistema di gestione, impostato secondo i nuovi e futuri standard ISO per i sistemi di gestione (vedere i commenti sulla futura ISO/IEC 27001). E' quindi richiesta una pianificazione basata sulla valutazione dei rischi, l'erogazione dei servizi in conformità con i risultati di questa valutazione, un monitoraggio e un approccio basato sul miglioramento continuo.

Cosa interessante: il ministero competente inglese (Foreign & Commonwealth Office) ha formalmente approvato ed avallato questo standard ASIS PSC.1.

Lo standard può essere reperito (costo di 165 USD) presso il sito dell'ANSI:
-
http://webstore.ansi.org/RecordDetail.aspx?sku=ANSI%2fASIS+PSC.1-2012#.UNhWEaywWSo

venerdì 21 dicembre 2012

Firma elettronica e digitale - Sentenza


Dalla newsletter di Filodiritto, segnalo la "Tribunale di Catanzaro - Sezione Prima Civile, Ordinanza 30 aprile 2012, n. 68/2011".

Tale sentenza stabilisce che non posso essere sottoscritte con "un semplice clic", corrispondente alla firma elettronica, le clausole vessatorie di un contratto. Queste dovrebbero essere sottoscritte con firma digitale o autografa.

Per gli interessati, segnalo l'articolo di Gianni Penzo Doria:
-
http://filodiritto.com/index.php?azione=visualizza&iddoc=2980

Ho trovato più comprensibile questo articolo:
-
http://www.laleggepertutti.it/12644_contratti-sul-web-inefficaci-tutte-le-clausole-vessatorie

Dagli articoli trovati, comunque, non ho capito quale fosse la materia del contendere. Sembra che il potere di eBay di escludere dei sottoscrittori a seguito di loro condotte inadempienti sia una clausola vessatoria. Mi sembra quindi che la sentenza abbia effetti ambivalenti sulla tutela dei consumatori (da una parte li garantisce, dall'altra riduce i poteri di controllo del fornitore del servizio).

Invito chiunque abbia maggiori dettagli a condividerli.

martedì 18 dicembre 2012

Commenti sulla futura ISO/IEC 27001


Dopo i miei commenti del mese scorso sui cambiamenti previsti per la futura ISO/IEC 27001 ho ricevuto solo un commento scritto da parte di Andrea Veneziani di Data Management. Ho ricevuto anche alcuni commenti orali da altri, ma il risultato è sempre lo stesso.

Molti temono che la riduzione dei requisiti sull'analisi dei rischi possa comportare dei problemi e, in definitiva, lo schema attuale sarebbe preferibile. Tutti riconoscono comunque un aspetto: alcuni auditor e consulenti insistono a proporre schemi formali specifici che poi un'azienda non fa altro che lasciarli su carta.

Io penso che si dovrebbe fare una riflessione sulle linee guida della famiglia ISO/IEC 27000: ad oggi alcune sono troppo teoriche, mentre altre sono troppo direttive, non lasciando spazio ad alternative. Se le linee guida della famiglia ISO/IEC 27001 fossero più pratiche, i dubbi sui requisiti della ISO/IEC 27001 forse scomparirebbero.

Non sono originale: è la stessa proposta che ha fatto UNI per la futura ISO 9001.

mercoledì 12 dicembre 2012

Foto del principe William con password


Questa mi è piaciuta molto: il principe William è stato fotografato in una base della RAF e, per un po' di marketing, le foto sono state pubblicate sul web.

Problema: sullo sfondo si trova un foglio con scritte user-id e password di un qualche sistema chiamato MilFlip.

A essere pedanti, si trovano un'infinità di problemi di sicurezza. L'articolo di questo post (segnalato dalla newsletter di DFA) assicura che la password è anche banale:
-
http://nakedsecurity.sophos.com/2012/11/21/prince-william-photos-password/

domenica 9 dicembre 2012

Attacco Eurograbber


Questo lo ritengo interessante (da SANS Newsbyte): alcune banche usano il sistema di autenticazione forte basato su normale user-id e password e su un codice casuale inviato via SMS quando l'utente si connette o effettua qualche disposizione.

Si sono inventati un attacco facile facile da capire, ma difficile da realizzare: la vittima riceve una mail di phising e installa il malware Zitmo Trojan sul suo pc; questo rimane silenzioso e si attiva quando la vittima si connette al sito della sua banca (sono colpite anche banche italiane) e gli segnala di aggiornare anche il software sul cellulare, ovviamente con altro software dannoso.

Il primo software, quindi, intercetta le credenziali per accedere al sito di web banking, il secondo software sul cellulare intercetta il codice temporaneo. Con questi elementi, il malintenzionato può fare bonifici dal conto della vittima ad un suo proprio conto.

Sembra troppo complesso, ma Check Point dice che le vittime, finora, sono state 30.000 e hanno perso 47 milioni di dollari.

Un articolo: 
https://www.informationweek.com/security/attacks/zeus-botnet-eurograbber-steals-47-millio/240143837
Il report di Check Point: http://www.checkpoint.com/products/downloads/whitepapers/Eurograbber_White_Paper.pdf

giovedì 6 dicembre 2012

ISO/IEC 27032


Il 15 luglio è stata pubblicata la ISO/IEC 27032 dal titolo "Guidelines for cybersecurity".

Innanzitutto, ho trovato interessante la distinzione tra "Internet" e "Cyberspace", dove Internet è usato per indicare la parte fisica della rete, mentre il Cyberspace comprende anche i servizi disponibili. Insomma, normalmente il termine Internet è usato per le due accezioni, ma effettivamente bisognerebbe distinguere.

Lo standard è indirizzato agli utenti di servizi Internet (ops... servizi del ciberspazio) e ai loro fornitori.

Per i fornitori, sappiamo bene quante misure di sicurezza sono già presenti sulla 27001. Oltre a quelle, ne sono specificate alcune di relazione con i clienti, dedicate soprattutto alla loro sensibilizzazione sulla sicurezza. Un breve elenco di cose che mi sono segnato: fornire un canale di comunicazione per segnalare eventi e incidenti, fornire il software validato da certificati digitali, fornire manuali agli utenti, inviare agli utenti periodici messaggi di educazione sulla sicurezza, fornire ai clienti una guida per la configurazione del proprio pc, specificare i requisiti legali applicabili, mantenere un protocollo per garantire una mutua autenticazione del cliente e del fornitore, stabilire i contatti autorizzati per le comunicazioni. Infine, viene suggerito di ricordare ai clienti che non verranno mai chieste informazioni personali e credenziali di ogni tipo, né verranno inviati link via mail e che per collegarsi al servizio bisognerà farlo solo dal browser.

Utile, nell'Allegato B, un elenco di siti web dedicati alla sensibilizzazione degli utenti dei servizi del ciberspazio.

Lo standard è di 50 pagine, troppe sono dedicate a riflessioni teoriche, di modo che le indicazioni pratiche occupano in realtà poche pagine. Se consideriamo che il prezzo dello standard è proporzionale al numero di pagine, qualche riflessione critica viene spontanea.