Da Crypto-Gram rilancio la notizia dell'individuazione di un nuovo malware
APT detto The Mask:
- http://www.wired.com/threatlevel/2014/02/mask/
Sembra che questo malware sia usato da 7 anni per spiare agenzie governative
soprattutto in Marocco e Brasile.
mercoledì 26 febbraio 2014
sabato 22 febbraio 2014
Standard ETSI per accessibilità
Da UNINFO ricevo la notizia della pubblicazione di alcuni nuovi standard
ETSI relativi all'accessibilità dei prodotti ICT. Il comunicato stampa, con
link alla pagina dove trovare gli standard:
- http://www.cencenelec.eu/News/Press_Releases/Pages/PR-2014-03.aspx
In particolare è stato pubblicato lo standard EN 301 549 dal titolo "
Accessibility requirements suitable for public procurement of ICT products
and services in Europe". Lo standard riporta molti requisiti tecnici per
rendere accessibili gli strumenti ICT a tutti.
ETSI relativi all'accessibilità dei prodotti ICT. Il comunicato stampa, con
link alla pagina dove trovare gli standard:
- http://www.cencenelec.eu/News/Press_Releases/Pages/PR-2014-03.aspx
In particolare è stato pubblicato lo standard EN 301 549 dal titolo "
Accessibility requirements suitable for public procurement of ICT products
and services in Europe". Lo standard riporta molti requisiti tecnici per
rendere accessibili gli strumenti ICT a tutti.
mercoledì 19 febbraio 2014
Libertà di link
Segnalo questo articolo di Filodiritto dal titolo " Corte di Giustizia:
libero link in libera rete, purché verso contenuti liberamente disponibili
nel sito linkato":
-
http://www.filodiritto.com/corte-di-giustizia-libero-link-in-libera-rete-pur
che-verso-contenuti-liberamente-disponibili-nel-sito-linkato
In sintesi: " Un sito internet può contenere al suo interno diversi "link"
(collegamenti internet) con cui rinvia a opere protette dal diritto
d'autore, liberamente accessibili in altri siti, senza il consenso dei
titolari del diritto".
Meno male: sono anni che lo faccio sul blog e sulla newsletter e non mi era
mai sorto il dubbio di commettere reato. Infatti non lo facevo, ma ora ne ho
la conferma al 100%.
libero link in libera rete, purché verso contenuti liberamente disponibili
nel sito linkato":
-
http://www.filodiritto.com/corte-di-giustizia-libero-link-in-libera-rete-pur
che-verso-contenuti-liberamente-disponibili-nel-sito-linkato
In sintesi: " Un sito internet può contenere al suo interno diversi "link"
(collegamenti internet) con cui rinvia a opere protette dal diritto
d'autore, liberamente accessibili in altri siti, senza il consenso dei
titolari del diritto".
Meno male: sono anni che lo faccio sul blog e sulla newsletter e non mi era
mai sorto il dubbio di commettere reato. Infatti non lo facevo, ma ora ne ho
la conferma al 100%.
ATM e dispositivi medici
Sul SANS NewsBites del 18 febbraio ci sono due notizie a mio parere
collegate.
La prima riguarda gli ATM (ossia i Bancomat): in un Paese ignoto, dei
malfattori sono riusciti a manomettere gli ATM e, inserendo una chiave USB,
ottenere i soldi:
-
http://www.darkreading.com/attacks-breaches/criminals-control-cash-out-banks
-atm-mac/240166070
La seconda i dispositivi medici negli ospedali: il US Department of Health
and Human Services (HHS) Office of Inspector General (OIG) ha deciso di
effettuare degli audit presso gli ospedali per verificare se i loro
dispositivi sono configurati per garantire un adeguato livello di sicurezza
ai dati dei pazienti:
-
http://www.govinfosecurity.com/oig-to-review-medical-device-security-a-6490
Cosa hanno in comune queste due notizie? Traduco liberamente e modifico un
poco il commento sul caso degli ATM di Murray, editor del SANS NewsBites:
"un tempo questi dispositivi erano solidi, presso dei locali controllati,
utilizzavano del software proprietario ad hoc, con reti e protocolli ad hoc,
condotti e gestiti dall'ente stesso. Oggi questi dispositivi sono come degli
elettrodomestici, siti in locali non sempre controllati, con software
solitamente installato su Windows, su reti e protocolli pubblici, condotti e
gestiti da terze parti. Questo ha fatto aumentare le possibilità di attacco
e le vulnerabilità; le notizie sugli attacchi possono essere drammatiche, ma
non sorprendenti".
Qui, a mio parere, è sottintesa un'altra conclusione. Provo a riassumerla,
insieme all'ipotesi: "sono cambiate le architetture dei dispositivi e i loro
interfacciamenti, ma produttori, installatori, manutentori e utilizzatori
continuano a progettarli, installarli, mantenerli e usarli come se ciò non
fosse mai successo".
collegate.
La prima riguarda gli ATM (ossia i Bancomat): in un Paese ignoto, dei
malfattori sono riusciti a manomettere gli ATM e, inserendo una chiave USB,
ottenere i soldi:
-
http://www.darkreading.com/attacks-breaches/criminals-control-cash-out-banks
-atm-mac/240166070
La seconda i dispositivi medici negli ospedali: il US Department of Health
and Human Services (HHS) Office of Inspector General (OIG) ha deciso di
effettuare degli audit presso gli ospedali per verificare se i loro
dispositivi sono configurati per garantire un adeguato livello di sicurezza
ai dati dei pazienti:
-
http://www.govinfosecurity.com/oig-to-review-medical-device-security-a-6490
Cosa hanno in comune queste due notizie? Traduco liberamente e modifico un
poco il commento sul caso degli ATM di Murray, editor del SANS NewsBites:
"un tempo questi dispositivi erano solidi, presso dei locali controllati,
utilizzavano del software proprietario ad hoc, con reti e protocolli ad hoc,
condotti e gestiti dall'ente stesso. Oggi questi dispositivi sono come degli
elettrodomestici, siti in locali non sempre controllati, con software
solitamente installato su Windows, su reti e protocolli pubblici, condotti e
gestiti da terze parti. Questo ha fatto aumentare le possibilità di attacco
e le vulnerabilità; le notizie sugli attacchi possono essere drammatiche, ma
non sorprendenti".
Qui, a mio parere, è sottintesa un'altra conclusione. Provo a riassumerla,
insieme all'ipotesi: "sono cambiate le architetture dei dispositivi e i loro
interfacciamenti, ma produttori, installatori, manutentori e utilizzatori
continuano a progettarli, installarli, mantenerli e usarli come se ciò non
fosse mai successo".
lunedì 17 febbraio 2014
ISO/IEC 27000:2014 (errata corrige)
Avevo precedentemente annunciato la pubblicazione della ISO/IEC 27000:2012,
ma volevo annunciare la pubblicazione della versione del 2014. Grazie a
Franco Ruggieri e Fabio Guasconi per avermi avvisato per primi.
Mi scuso con tutti e confermo che la norma si può trovare a questo link:
- http://standards.iso.org/ittf/PubliclyAvailableStandards/
ma volevo annunciare la pubblicazione della versione del 2014. Grazie a
Franco Ruggieri e Fabio Guasconi per avermi avvisato per primi.
Mi scuso con tutti e confermo che la norma si può trovare a questo link:
- http://standards.iso.org/ittf/PubliclyAvailableStandards/
sabato 15 febbraio 2014
Ragazzi in rete
I ragazzi, come recentemente si è letto sulle prime pagine dei giornali, si
suicidano a causa del cyberbullismo:
-
http://www.corriere.it/cronache/14_febbraio_12/cerca-aiuto-online-ma-insulta
no-suicida-14-anni-c48f9e5a-93a8-11e3-84f1-d7c36ce692b4.shtml
Queste notizie non possono non turbarci.
Stefano Ramacciotti, Coordinatore GdL Educazione alla Sicurezza Informatica
per (ISC)2 Italy Chapter, ha inviato ai soci di (ISC)2 dei link
interessanti.
EU Kids Online, un'indagine effettuata a partire dal 2009 su incarico della
Commissione Europea in 25 paesi dell'Unione, con l'obiettivo di conoscere
cosa fanno i ragazzi in rete e il livello di competenza nell'utilizzo delle
TIC ha coinvolto 25.000 giovani dai 9 ai 16 anni e i genitori. Il report è
disponibile al link:
http://www.lse.ac.uk/media@lse/research/EUKidsOnline/EU%20Kids%20III/Reports
/PerspectivesReport.pdf
A guide for parents. Education and new media:
http://www.saferinternetday.org/c/document_library/get_file?uuid=15f5f3ac-e6
bb-4760-b6b0-eb4ca46a9829&groupId=10136
The Web We Want:
http://www.saferinternet.org/c/document_library/get_file?uuid=10c06ff7-9263-
4996-a7d3-116340b9fe6f&groupId=10137
suicidano a causa del cyberbullismo:
-
http://www.corriere.it/cronache/14_febbraio_12/cerca-aiuto-online-ma-insulta
no-suicida-14-anni-c48f9e5a-93a8-11e3-84f1-d7c36ce692b4.shtml
Queste notizie non possono non turbarci.
Stefano Ramacciotti, Coordinatore GdL Educazione alla Sicurezza Informatica
per (ISC)2 Italy Chapter, ha inviato ai soci di (ISC)2 dei link
interessanti.
EU Kids Online, un'indagine effettuata a partire dal 2009 su incarico della
Commissione Europea in 25 paesi dell'Unione, con l'obiettivo di conoscere
cosa fanno i ragazzi in rete e il livello di competenza nell'utilizzo delle
TIC ha coinvolto 25.000 giovani dai 9 ai 16 anni e i genitori. Il report è
disponibile al link:
http://www.lse.ac.uk/media@lse/research/EUKidsOnline/EU%20Kids%20III/Reports
/PerspectivesReport.pdf
A guide for parents. Education and new media:
http://www.saferinternetday.org/c/document_library/get_file?uuid=15f5f3ac-e6
bb-4760-b6b0-eb4ca46a9829&groupId=10136
The Web We Want:
http://www.saferinternet.org/c/document_library/get_file?uuid=10c06ff7-9263-
4996-a7d3-116340b9fe6f&groupId=10137
venerdì 14 febbraio 2014
US Government's Cybersecurity-Framework
Preannunciato dal SANS NewsBites, è stato pubblicato il US Government's
Cybersecurity Framework e lo si trova a questa pagina:
- http://www.nist.gov/cyberframework/
Ho cercato di capire di cosa si tratta. Riducendo al massimo, mi pare dica:
fate un risk assessment e stabilite quali funzioni di sicurezza applicare.
Mi ricorda un po' troppo la ISO/IEC 27001, se non che la descrizione delle
misure di sicurezza si riduce a circa 100 titoli.
Per la verità, per ciascun titolo sono riportati i documenti dove la
funzione è meglio descritta (CCS CSC, COBIT 5, ISA 62443-2-1:2009, ISA
62443-3-3:2013, ISO/IEC 27001:2013 e NIST SP 800-53 Rev. 4). Ma allora che
serve avere un nuovo elenco di misure (o controlli, o funzioni) di
sicurezza?
Un po' interessante è la suddivisione delle misure in 5 famiglie:
identificazione, protezione, rilevazione, risposta e ripristino.
Un altro aspetto interessante è la possibilità di stabilire il livello
(Tiers) di attuazione del framework, sulla base di valutazioni del processo
di risk managment, integrazione del programma di risk management e di
partecipazione di entità esterne. La descrizione dei livelli è ridotta
poche righe e mi pare un po' poco.
Se qualcuno vuole segnalare posizioni diverse è il benvenuto.
Cybersecurity Framework e lo si trova a questa pagina:
- http://www.nist.gov/cyberframework/
Ho cercato di capire di cosa si tratta. Riducendo al massimo, mi pare dica:
fate un risk assessment e stabilite quali funzioni di sicurezza applicare.
Mi ricorda un po' troppo la ISO/IEC 27001, se non che la descrizione delle
misure di sicurezza si riduce a circa 100 titoli.
Per la verità, per ciascun titolo sono riportati i documenti dove la
funzione è meglio descritta (CCS CSC, COBIT 5, ISA 62443-2-1:2009, ISA
62443-3-3:2013, ISO/IEC 27001:2013 e NIST SP 800-53 Rev. 4). Ma allora che
serve avere un nuovo elenco di misure (o controlli, o funzioni) di
sicurezza?
Un po' interessante è la suddivisione delle misure in 5 famiglie:
identificazione, protezione, rilevazione, risposta e ripristino.
Un altro aspetto interessante è la possibilità di stabilire il livello
(Tiers) di attuazione del framework, sulla base di valutazioni del processo
di risk managment, integrazione del programma di risk management e di
partecipazione di entità esterne. La descrizione dei livelli è ridotta
poche righe e mi pare un po' poco.
Se qualcuno vuole segnalare posizioni diverse è il benvenuto.
Principi di sicurezza per l'ingegnerizzazione IT
Lo confesso: di fronte al controllo A.14.2.5 "Principi per l'ingegnerizzazione sicura dei sistemi" della ISO/IEC 27001:2013 sono rimasto perplesso perché non capivo in cosa differisse dal controllo A.14.1.1 "Analisi e specifica dei requisiti per la sicurezza delle informazioni".
Ho trovato la SP800-27, meraviglioso documento del NIST dal titolo "Engineering Principles for Information Technology Security (A Baseline for Achieving Security)":
- http://csrc.nist.gov/publications/PubsSPs.html
Lo trovo molto interessante, anche se continuo a non capire quali possano essere le differenze tra "specificare i requisiti di sicurezza" e "applicare principi di ingegnerizzazione sicura". Non capisco neanche quali siano le differenze tra progettazione (design) e ingegnerizzazione. Forse qualche lettore mi aiuterà...
Ho trovato la SP800-27, meraviglioso documento del NIST dal titolo "Engineering Principles for Information Technology Security (A Baseline for Achieving Security)":
- http://csrc.nist.gov/publications/PubsSPs.html
Lo trovo molto interessante, anche se continuo a non capire quali possano essere le differenze tra "specificare i requisiti di sicurezza" e "applicare principi di ingegnerizzazione sicura". Non capisco neanche quali siano le differenze tra progettazione (design) e ingegnerizzazione. Forse qualche lettore mi aiuterà...
mercoledì 5 febbraio 2014
Un errore di battitura ed ecco il malware!
Dal SANS NewsBytes segnalo questa notizia sugli errori di programmazione:
- http://www.bbc.co.uk/news/technology-26016802
In breve: sui siti del National Health Service del UK alcuni link
rimandavano a siti pubblicitari o infestati da malware perché il
programmatore aveva scritto Googleaspis al posto di Googleapis. Mi chiedo
come abbiano fatto i test, ma questo caso rimane molto utile per ricordare
come la programmazione sia un lavoro molto delicato.
- http://www.bbc.co.uk/news/technology-26016802
In breve: sui siti del National Health Service del UK alcuni link
rimandavano a siti pubblicitari o infestati da malware perché il
programmatore aveva scritto Googleaspis al posto di Googleapis. Mi chiedo
come abbiano fatto i test, ma questo caso rimane molto utile per ricordare
come la programmazione sia un lavoro molto delicato.
Iscriviti a:
Post (Atom)