venerdì 28 novembre 2014

ISO/IEC 27040 - Storage security

A breve sarà pubblicata la ISO/IEC 27040 dal titolo "Information technology
─ Security techniques ― Storage security". Si tratta di un libro di 122
pagine in totale, con molte cose tecniche interessanti.

Si potrà trovare sul sito dell'ISO: www.iso.org

Social Network assimilato a luogo pubblico

Segnalo questo articolo a sua volta segnalatomi da Pasquale Stirparo sulla
lista di discussione della DFA:
- http://thinkinginforensics.net/2014/11/social-network-assimilato-ad-un-luogo
-aperto-al-pubblico/


In sintesi: La Corte di Cassazione ha assimilato una pagina (visibile a
chiunque sia registrato) di un social network come un luogo aperto al
pubblico, quindi idoneo alla configurabilità del reato di molestie o
disturbo alle persone.

Non è la prima volta che segnalo questa notizia (e, anzi, penso sia lo
stesso caso attraverso i vari gradi di giudizio), ma questa volta la
sentenza è della Corte di Cassazione.

giovedì 27 novembre 2014

ISO/IEC 27018 - Code of practice for PII protection in public clouds acting as PII processors

L' Istituto Italiano Privacy e Alessandro Cosenza di BTicino mi hanno
informato dell'uscita dello standard ISO/IEC 27018 "Code of practice for PII
protection in public clouds acting as PII processors". L'articolo
dell'Istituto:
- http://www.istitutoitalianoprivacy.it/it/dati-personali-e-cloud-computing-ad
esso-la-nuvola-ha-il-suo-standard/


La ISO/IEC 27018 presenta alcuni requisiti aggiuntivi rispetto alla ISO/IEC
27002 applicabili ai fornitori di servizi cloud.

Personalmente, non mi pare un documento particolarmente illuminante. Ma è
un'opinione personale.

VA, sicurezza e OWASP - Contributo 2

Enos D'Andrea, in merito alle mie piccole critiche sull'uso di OWASP e,
soprattutto, sul fatto che la sicurezza applicativa si riduce ai test, mi ha
segnalato una pagina dell'OWASP Top 10 dal titolo "What's Next for
Organizations".

Qui sono scritte cose molto interessanti che richiedono appunto di non
ridurre ai soli test la sicurezza applicativa. Infatti richiede di "porre
delle basi solide", e tra queste vi sono "politiche e standard per gli
sviluppatori, guide per la progettazione e lo sviluppo, formazione". Nella
pagina "What's Next for Developers" si richiede di "progettare la sicurezza
fin dall'inizio".

Raccomando quindi di rileggere la "OWASP Top 10 - 2013" senza fermarsi a
pagina 16, ma proseguendo fino a pagina 27. Trovate la guida sul sito
dell'OWASP:
- https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

mercoledì 26 novembre 2014

Provvedimento Garante biometria (e firma grafometrica)

Mi segnala Pierfrancesco Maistrello di Vecomp che è appena uscito il
Provvedimento definitivo del Garante privacy su biometria:
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3556992

Pierfrancesco commenta: "è scomparso il riferimento alla ISO/IEC 15408 per i
sistemi di firma grafometrica, ma è comparso un interessante modulino di
notifica data breach".

Io invece ho notato il seguente periodo: "I titolari dotati di
certificazione del sistema di gestione per la sicurezza delle informazioni
(SGSI) secondo la norma tecnica UNI CEI ISO/IEC 27001:2005 e successive
modificazioni..." perché la norma citata non è mai esistita (esitono invece
la ISO/IEC 27001:2005 e la UNI CEI ISO/IEC 27001:2006), cosa che segnalai
quando si potevano inviare commenti. Ma io mi chiedo: chi sono i consulenti
del Garante? perché il Garante non si interfaccia con UNINFO? perché questa
autoreferenzialità? Comunque oggi bisognerà usare la ISO/IEC 27001:2013 (o
la UNI CEI ISO/IEC 27001:2014).

Segnalo anche questo articolo di riassunto:
- http://lamiaprivacy.wordpress.com/2014/12/07/provvedimento-e-linee-guida-in-materia-di-biometria-12-11-2014/

VA, sicurezza e OWASP

Stefano Ramacciotti commenta il mio articolo "I VA sono la sicurezza
applicativa?":
- http://blog.cesaregallotti.it/2014/11/i-va-sono-la-sicurezza-applicativa.html

Stefano, leggendo il mio commento "in molti riducono il tutto non solo ai
VA, ma alle sole vulnerabilità Top 10 segnalate da OWASP", commenta quanto
segue:

 “la cosa ancora più grave è che OWASP si riferisce alle sole web applications, ma se un'applicazione non è web? Ci sarebbero i "CWE/SANS TOP 25 Most Dangerous Software Errors" (http://www.sans.org/top25-software-errors/), e potrebbe essere d’aiuto l’elenco su http://www.hpenterprisesecurity.com/vulncat/en/vulncat/index.html, ma in molti sembrano non conoscerli.

Con questo nessuno vuole disconoscere l’enorme importanza di OWASP. Diciamo solo che di OWASP se ne avvantaggiano i soli sviluppatori web, che forse sono anche la maggioranza, ma non tutti gli altri.

Inoltre ci si dimentica che la Top 10 di OWASP elenca solo le prime dieci vulnerabilità, ma non è che ce ne siano solo 10, in realtà ce ne sono molte di più. Lo stesso sito di OWASP ne riporta anche altre che però sono meno visibili e forse meno tenute in considerazione dagli sviluppatori".

martedì 25 novembre 2014

Certificazioni privacy e Europa

Alessandro Cosenza di BTicino mi ha segnalato il Bando di concorso
dell'Ufficio europeo di selezione del personale (EPSO) per amministratori
(AD 6) nel settore della protezione dei dati:
- http://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=OJ:C:2014:391A:FULL&
from=EN


La cosa interessante è la richiesta di formazione. E' infatti richiesta "Una
formazione certificata in materia di protezione dei dati (IAPP, EIPA, GDD o
equivalente, conseguita a seguito di esami)".

La cosa è interessante perché il tutto è lasciato molto all'interpretazione,
oltre a ridurre gli organismi di certificazione a 3 (come interpretare il
termine "equivalente"?).

Il primo è l'IAPP che offre ben 3 certificazioni ed è un'associazione USA
(non europea!):
- https://privacyassociation.org/certify/programs/

Il secondo è l'EIPA, forse il più istituzionale, supportato economicamente
dall'Unione Europea (ma temo sia un organismo privato). Il catalogo presenta
diversi corsi, il cui più interessante potrebbe essere quello per "Training
and Certification Programme for Data Protection Officers and Other Data
Protection Professionals - Basic and Advanced Module".
- http://www.eipa.eu/en/pages/display/&tid=152

L'ultimo (GDD) è la German Association for Data Protection and Data
Security. E questo la dice lunga su come è orientata l'Europa, anche per
quanto riguarda la sicurezza delle informazioni. Io poi sul sito non ho
trovato proposte di certificazione:
- https://www.gdd.de/international/english

giovedì 20 novembre 2014

Errata corrige: Poodle non Poddle

Enos D'Andrea mi ha fatto notare che ho scritto più volte Poddle al posto di
Poodle. Me ne scuso con i lettori.

Enos aggiunge anche che, per contrastare Poodle, la soluzione in SSL3
consiste nel disabilitare i block cyphers e lasciare solo gli stream
cyphers.

domenica 16 novembre 2014

UNI EN ISO 22301:2014 - Errata corrige

Franco Ferrari di DNV GL mi ha fatto notare che la UNI EN ISO 22301:2014 non
è in italiano, ma solo in inglese. Pertanto è uguale alla ISO 22301:2012.

Mi scuso per l'errore. Avevo dato per scontato che il recepimento italiano
della norma comprendesse la traduzione, visto che so che alcune persone ci
stavano lavorando.

I VA sono la sicurezza applicativa?

Negli ultimi tempi ho notato che a fronte della domanda "come assicurate la sicurezza delle applicazioni?" mi viene risposto: "facciamo dei vulnerability assessment, dei penetration test e delle code review". Peccato che queste pratiche siano realizzate a fine lavori (in rari casi, anche in fasi intermedie), mentre la sicurezza andrebbe considerata sin dall'inizio, quando si stabiliscono i requisiti funzionali, si progetta il software e la sua architettura e si scelgono gli strumenti di sviluppo e i compilatori; un poco dopo, ma sempre prima dei VA-PT-CR, si dovrebbero stabilire degli standard di codifica.

Perché quindi in molti riducono la sicurezza applicativa ai VA-PT-CR? Provo con delle deduzioni, ma è bene precisare che si applicano a coloro che veramente intendono assicurare un buon livello di sicurezza alle applicazioni; non è questa un riflessione sul perché molti non si interessano all'argomento.

In molti riducono la sicurezza applicativa ai VA-PT-CR perché:
1- i venditori dei servizi di VA-PT-CR sono molto più bravi dei venditori dei servizi di sicurezza a supporto dell'analisi, progettazione, sviluppo e realizzazione dei software;
2- quasi nessuno offre buoni servizi di sicurezza a supporto dell'analisi, progettazione, sviluppo e realizzazione dei software; i tecnici migliori e più preparati si dedicano a fare VA-PT-CR, anche per attitudine (è molto più divertente cercare di bucare un'applicazione che scrivere documenti o scrivere codice); questa non è una critica, ma una presa d'atto delle diverse attitudini di ciascuno;
3- in effetti, chi offre servizi di sicurezza a supporto dell'analisi, progettazione, sviluppo e realizzazione dei software o è un consulente con pochissima conoscenza tecnica dello sviluppo (e quindi si limita a dire "individuate i requisiti di sicurezza fin dalla fase di analisi" senza poi dare ulteriori consigli), oppure riduce il tutto all'OWASP Top 10 (che riguarda alcuni aspetti della progettazione e non dell'analisi e dello sviluppo);
4- gli sviluppatori sono orientati a realizzare funzionalità, non la sicurezza; quindi è ben lontano dalla loro mentalità affrontare questo argomento sin dall'inizio;
5- i libri che trattano di questi argomenti sono pochissimi, molto voluminosi e molto costosi; ottime scuse per evitare di affrontarli, sia per gli sviluppatori (che quindi preferiscono affidarsi ad esterni che, per il punto 1, vendono solo VA-PT-CR) sia per i consulenti (che vendono già altri servizi più "di moda" senza doversi impegnare in una nuova materia difficile e poco richiesta).

Per dimostrare ulteriormente il punto 2, si osservi l'andamento dei progetti OWASP (owasp.org): la testing guide è stata aggiornata nel 2007, 2008 e 2014. La development guide, invece, è stata scritta inizialmente nel 2002, aggiornata nel 2005 e poi basta, anche se da diverso tempo stanno lavorando ad una nuova versione.

sabato 8 novembre 2014

Messaggistica sicura

Dal gruppo Italian Security Professional di LinkedIn giro questo link:
- https://www.eff.org/secure-messaging-scorecard

Mette a confronto la sicurezza degli strumenti di messaggistica. Accanto a
quelli molto noti come Whatsup, Skype e Viber, ce ne sono altri molto più
sicuri.

Nogotofail

Dal gruppo infotechlegale.it di LinkedIn giro la notizia: Google ha
pubblicato uno strumento di verifica della sicurezza della rete denominato
Nogotofail. Sembra essere dedicato alle vulnerabilità relative a TLS/SSL:
- https://github.com/google/nogotofail

Sarebbe interessante vedere se saranno pubblicate delle estensioni per un
maggiore controllo della sicurezza di altri aspetti.

Chiedo ai lettori come questo strumento si affianca a un Nessus (o, meglio,
OpenVAS che è gratuito): da quanto ho studiato, dovrebbe rilevare queste e
altre vulnerabilità.

mercoledì 5 novembre 2014

Istituti di vigilanza privati: DM 115 del 2014 e certificazione

Copio e incollo dal sito di DNV GL quanto segue.

Secondo il nuovo decreto n.115/2014, gli istituti di vigilanza privati per
poter operare devono obbligatoriamente ottenere il certificato di conformità
dei propri servizi, impianti e professionisti secondo le norme UNI 10891
(istituti di vigilanza privata); UNI 50518 (centri di monitoraggio) e 10459
(professionista della security), da parte di un organismo di certificazione
accreditato da un Ente designato, quale Accredia in Italia.

Il decreto ministeriale prevede un passaggio immediato per le nuove licenze
e nuovi istituti e una transizione di 36 mesi per chi è già certificato per
le disposizioni del precedente decreto 269 del 2010.

Ricordo che la vigilanza e la sicurezza fisica sono controlli importanti per
assicurare la sicurezza alle informazioni.

La pagina del sito di DNV GL:
-
http://www.dnvba.com/it/information-resources/news/Pages/Servizi_Vigilanza_P
rivati.aspx

ISO Survey 2013

E' stata pubblicata la ISO Survey del 2013, relativa alla diffusione nel
mondo dei certificati ISO 9001 (qualità), ISO 14001 (ambiente), ISO 50001
(energia), ISO/IEC 27001 (sicurezza delle informazioni), ISO 22000
(sicurezza alimentare), ISO/TS 16949 (qualità nel settore Automotive) e ISO
13485 (qualità dei dispositivi medici):
- http://www.iso.org/iso/home/standards/certification/iso-survey.htm

Dalla pagina dell'ISO è possibile scaricare l'executive summary e i dati di
dettaglio. Vedo anche che l'Italia ha "ben" 901 certificati ISO/IEC 27001 e
si colloca al quinto posto (dopo Giappone, India, UK e Cina).

La notizia me l'ha fornita la newsletter del DNV GL:
-
http://www.dnvba.com/it/information-resources/news/Pages/iso-survey-2013.aspx

martedì 4 novembre 2014

UNI EN ISO 22301:2014

Franco Ferrari di DNV GL mi informa che il giorno 11-09-2014 è stata
pubblicata la UNI EN ISO 22301:2014.
- http://store.uni.com/magento-1.4.0.1/index.php/uni-en-iso-22301-2014.html

Si tratta della versione ufficiale in lingua inglese della norma europea EN
ISO 22301 (edizione luglio 2014), che a sua volta è il recepimento della ISO
22301:2012.

Nulla cambia tra le diverse versioni, a parte, ovviamente, che la UNI è in
italiano e non in inglese.

Post scriptum: la UNI EN ISO 22301 in realtà non è in italiano e ne ho scritto un errata corrige: http://blog.cesaregallotti.it/2014/11/uni-en-iso-223012014-errata-corrige.html. Mi lascia perplesso perché io, anni fa, avevo visto una bozza di traduzione.

lunedì 3 novembre 2014

Stato delle norme ISO/IEC 270xx

Venerdì 24 ottobre si è concluso a Santa Fe (Messico) il 49mo meeting
dell'SC 27 dell'ISO/IEC JTC 1. Purtroppo, causa cancellazione del volo, non
ho potuto partecipare. A rappresentare l'Italia c'erano solo Fabio Guasconi
(Presidente SC 27 italiano) e Andrea Caccia.

Provo comunque, sulla base del documento finale "WG 1 Recommendations,
Resolutions and Acclamations", ad indicare lo stato di avanzamento delle
norme in discussione:
- ISO/IEC 27000 (Panoramica e vocabolario); il documento è stato proposto
per il passaggio in DIS;
- ISO/IEC 27003 (Guida alla ISO/IEC 27001); il documento è stato proposto
per il passaggio in CD;
- ISO/IEC 27004 (Monitoraggi, misurazioni, analisi e valutazioni); il
documento è stata proposta per il passaggio in CD;
- ISO/IEC 27005 (Gestione del rischio); rimane in stato di WD;
- ISO/IEC 27006 (Requisiti per gli organismi di certificazione rispetto alla
ISO/IEC 27001); è stata proposta per il passaggio in DIS;
- ISO/IEC 27007 (Linee guida per gli audit dei sistema di gestione per la
sicurezza delle informazioni); rimane in stato di WD;
- ISO/IEC 27008 (Linee guida per gli audit dei controlli di sicurezza delle
informazioni); rimane in stato di WD;
- ISO/IEC 27009 (Requisiti per l'applicazione della ISO/IEC 27001 in settori
specifici); rimarrà in stato CD;
- ISO/IEC 27010 (Sicurezza nelle comunicazioni tra settori e
organizzazioni); il documento è stato proposto per il passaggio in DIS;
- ISO/IEC 27011 (controlli di sicurezza per il settore delle
telecomunicazioni); rimarrà in stato CD;
- ISO/IEC 27013 (relazioni tra ISO/IEC 27001 e ISO/IEC 20000-1); è stata
proposta per il passaggio in DIS;
- ISO/IEC 27017 (controlli di sicurezza per il cloud computing); è stata
proposta per il passaggio in DIS;
- ISO/IEC 27021 (Competenze per i professionisti dei sistemi di gestione per
la sicurezza delle informazioni); rimane in stato di WD;
- ISO/IEC 27023 (Mappa dei requisiti delle versioni del 2005 e del 2013
delle ISO/IEC 27001 e ISO/IEC 27002).

E' opportuno ricordare che i documenti attraversano diversi stadi prima
della pubblicazione: WG (Working draft), CD (Committee Draft), DIS (Draft),
FDIS (Final Draft).

Altre discussioni hanno riguardato:
- il futuro riesame della ISO/IEC 27019 (controlli di sicurezza per il
settore energia);
- la redazione di un " Cloud Adapted Risk Management Framework";
- la redazione di un documento relativo alla "Information Security Library";

Essendo io assente, il povero Fabio Guasconi ha dovuto difendere da solo i
miei numerosi commenti sulla ISO/IEC 27003 e non ho potuto aiutarlo sulle
sue proposte sulle altre norme. Con queste poche righe, rendo merito alla
sua capacità di portare avanti le istanze italiane.

Molta discussione si è fatta sulla ISO/IEC 27006 su due punti. Il primo
riguarda la durata degli audit: attualmente le giornate previste per le
organizzazioni piccole o molto piccole sono, a parere di alcuni, troppo
numerose (per le aziende di 5 persone si richiede un minimo non derogabile
di 4 giornate). Il secondo riguarda la necessità o meno di prevedere
esplicitamente negli audit la verifica di come sono attuati i controlli di
sicurezza previsti dall'Appendice A della ISO/IEC 27001. Come Italia, siamo
ovviamente favorevoli a verificare i controlli di sicurezza, ma in un numero
di giornate ragionevoli (purtroppo, troppi auditor si accontentano di
verificare solo i documenti o di fare interviste ai top manager, senza
verifiche sul campo). La nostra posizione è quindi difficile perché richiede
di bilanciare due esigenze diverse (tempi e costi degli audit ragionevoli e
adeguato livello di profondità).

Il prossimo meeeting sarà a inizio maggio 2015 a Kuching, in Malesia (isola
di Borneo).