mercoledì 26 febbraio 2014

Malware The Mask

Da Crypto-Gram rilancio la notizia dell'individuazione di un nuovo malware
APT detto The Mask:
- http://www.wired.com/threatlevel/2014/02/mask/

Sembra che questo malware sia usato da 7 anni per spiare agenzie governative
soprattutto in Marocco e Brasile.

sabato 22 febbraio 2014

Standard ETSI per accessibilità

Da UNINFO ricevo la notizia della pubblicazione di alcuni nuovi standard
ETSI relativi all'accessibilità dei prodotti ICT. Il comunicato stampa, con
link alla pagina dove trovare gli standard:
- http://www.cencenelec.eu/News/Press_Releases/Pages/PR-2014-03.aspx

In particolare è stato pubblicato lo standard EN 301 549 dal titolo "
Accessibility requirements suitable for public procurement of ICT products
and services in Europe". Lo standard riporta molti requisiti tecnici per
rendere accessibili gli strumenti ICT a tutti.

mercoledì 19 febbraio 2014

Libertà di link

Segnalo questo articolo di Filodiritto dal titolo " Corte di Giustizia:
libero link in libera rete, purché verso contenuti liberamente disponibili
nel sito linkato":
-
http://www.filodiritto.com/corte-di-giustizia-libero-link-in-libera-rete-pur
che-verso-contenuti-liberamente-disponibili-nel-sito-linkato


In sintesi: " Un sito internet può contenere al suo interno diversi "link"
(collegamenti internet) con cui rinvia a opere protette dal diritto
d'autore, liberamente accessibili in altri siti, senza il consenso dei
titolari del diritto".

Meno male: sono anni che lo faccio sul blog e sulla newsletter e non mi era
mai sorto il dubbio di commettere reato. Infatti non lo facevo, ma ora ne ho
la conferma al 100%.

ATM e dispositivi medici

Sul SANS NewsBites del 18 febbraio ci sono due notizie a mio parere
collegate.

La prima riguarda gli ATM (ossia i Bancomat): in un Paese ignoto, dei
malfattori sono riusciti a manomettere gli ATM e, inserendo una chiave USB,
ottenere i soldi:
-
http://www.darkreading.com/attacks-breaches/criminals-control-cash-out-banks
-atm-mac/240166070


La seconda i dispositivi medici negli ospedali: il US Department of Health
and Human Services (HHS) Office of Inspector General (OIG) ha deciso di
effettuare degli audit presso gli ospedali per verificare se i loro
dispositivi sono configurati per garantire un adeguato livello di sicurezza
ai dati dei pazienti:
-
http://www.govinfosecurity.com/oig-to-review-medical-device-security-a-6490

Cosa hanno in comune queste due notizie? Traduco liberamente e modifico un
poco il commento sul caso degli ATM di Murray, editor del SANS NewsBites:
"un tempo questi dispositivi erano solidi, presso dei locali controllati,
utilizzavano del software proprietario ad hoc, con reti e protocolli ad hoc,
condotti e gestiti dall'ente stesso. Oggi questi dispositivi sono come degli
elettrodomestici, siti in locali non sempre controllati, con software
solitamente installato su Windows, su reti e protocolli pubblici, condotti e
gestiti da terze parti. Questo ha fatto aumentare le possibilità di attacco
e le vulnerabilità; le notizie sugli attacchi possono essere drammatiche, ma
non sorprendenti".

Qui, a mio parere, è sottintesa un'altra conclusione. Provo a riassumerla,
insieme all'ipotesi: "sono cambiate le architetture dei dispositivi e i loro
interfacciamenti, ma produttori, installatori, manutentori e utilizzatori
continuano a progettarli, installarli, mantenerli e usarli come se ciò non
fosse mai successo".

lunedì 17 febbraio 2014

ISO/IEC 27000:2014 (errata corrige)

Avevo precedentemente annunciato la pubblicazione della ISO/IEC 27000:2012,
ma volevo annunciare la pubblicazione della versione del 2014. Grazie a
Franco Ruggieri e Fabio Guasconi per avermi avvisato per primi.

Mi scuso con tutti e confermo che la norma si può trovare a questo link:
- http://standards.iso.org/ittf/PubliclyAvailableStandards/

sabato 15 febbraio 2014

Ragazzi in rete

I ragazzi, come recentemente si è letto sulle prime pagine dei giornali, si
suicidano a causa del cyberbullismo:
-
http://www.corriere.it/cronache/14_febbraio_12/cerca-aiuto-online-ma-insulta
no-suicida-14-anni-c48f9e5a-93a8-11e3-84f1-d7c36ce692b4.shtml


Queste notizie non possono non turbarci.

Stefano Ramacciotti, Coordinatore GdL Educazione alla Sicurezza Informatica
per (ISC)2 Italy Chapter, ha inviato ai soci di (ISC)2 dei link
interessanti.

EU Kids Online, un'indagine effettuata a partire dal 2009 su incarico della
Commissione Europea in 25 paesi dell'Unione, con l'obiettivo di conoscere
cosa fanno i ragazzi in rete e il livello di competenza nell'utilizzo delle
TIC ha coinvolto 25.000 giovani dai 9 ai 16 anni e i genitori. Il report è
disponibile al link:
http://www.lse.ac.uk/media@lse/research/EUKidsOnline/EU%20Kids%20III/Reports
/PerspectivesReport.pdf


A guide for parents. Education and new media:
http://www.saferinternetday.org/c/document_library/get_file?uuid=15f5f3ac-e6
bb-4760-b6b0-eb4ca46a9829&groupId=10136


The Web We Want:
http://www.saferinternet.org/c/document_library/get_file?uuid=10c06ff7-9263-
4996-a7d3-116340b9fe6f&groupId=10137

venerdì 14 febbraio 2014

US Government's Cybersecurity-Framework

Preannunciato dal SANS NewsBites, è stato pubblicato il US Government's
Cybersecurity Framework e lo si trova a questa pagina:
- http://www.nist.gov/cyberframework/

Ho cercato di capire di cosa si tratta. Riducendo al massimo, mi pare dica:
fate un risk assessment e stabilite quali funzioni di sicurezza applicare.
Mi ricorda un po' troppo la ISO/IEC 27001, se non che la descrizione delle
misure di sicurezza si riduce a circa 100 titoli.

Per la verità, per ciascun titolo sono riportati i documenti dove la
funzione è meglio descritta (CCS CSC, COBIT 5, ISA 62443-2-1:2009, ISA
62443-3-3:2013, ISO/IEC 27001:2013 e NIST SP 800-53 Rev. 4). Ma allora che
serve avere un nuovo elenco di misure (o controlli, o funzioni) di
sicurezza?

Un po' interessante è la suddivisione delle misure in 5 famiglie:
identificazione, protezione, rilevazione, risposta e ripristino.

Un altro aspetto interessante è la possibilità di stabilire il livello
(Tiers) di attuazione del framework, sulla base di valutazioni del processo
di risk managment, integrazione del programma di risk management e di
partecipazione di entità esterne. La descrizione dei livelli è ridotta
poche righe e mi pare un po' poco.

Se qualcuno vuole segnalare posizioni diverse è il benvenuto.

Principi di sicurezza per l'ingegnerizzazione IT

Lo confesso: di fronte al controllo A.14.2.5 "Principi per
l'ingegnerizzazione sicura dei sistemi" della ISO/IEC 27001:2013 sono
rimasto perplesso perché non capivo in cosa differisse dal controllo
A.14.1.1 " Analisi e specifica dei requisiti per la sicurezza delle
informazioni".

Ho trovato la SP800-27, meraviglioso documento del NIST dal titolo
"Engineering Principles for Information Technology Security (A Baseline for
Achieving Security)":
- http://csrc.nist.gov/publications/PubsSPs.html

Lo trovo molto interessante, anche se continuo a non capire quali possano
essere le differenze tra "specificare i requisiti di sicurezza" e "applicare
principi di ingegnerizzazione sicura". Non capisco neanche quali siano le
differenze tra progettazione (design) e ingegnerizzare. Forse qualche
lettore mi aiuterà...

mercoledì 5 febbraio 2014

Un errore di battitura ed ecco il malware!

Dal SANS NewsBytes segnalo questa notizia sugli errori di programmazione:
- http://www.bbc.co.uk/news/technology-26016802

In breve: sui siti del National Health Service del UK alcuni link
rimandavano a siti pubblicitari o infestati da malware perché il
programmatore aveva scritto Googleaspis al posto di Googleapis. Mi chiedo
come abbiano fatto i test, ma questo caso rimane molto utile per ricordare
come la programmazione sia un lavoro molto delicato.