Il NIST ha pubblicato questa guida dal titolo SP 800-163 " Vetting the
Security of Mobile Applications". Si scopre che "vetting" è usato al posto
di "evaluating" (Oxford Dictionary lo traduce come "verifica del passato di
un individuo" e mi chiedo perché non abbiano usato "evaluating" e basta...
forse la solita introduzione di un gergo inutile e ridicolo che crea una
cortina fumogena di confusione e fa sembrare bravi e competenti?).
La guida si trova a questo link:
- http://csrc.nist.gov/publications/PubsSPs.html#800-163
La guida dovrebbe essere accompagnata dalla NIST SP 800-124 "Guidelines for
Managing the Security of Mobile Devices in the Enterprise". Insieme
forniscono indicazioni per lo sviluppo delle apps, sulle quali transitano
sempre più dati critici e, pertanto, dovrebbero essere sviluppate
attentamente.
sabato 31 gennaio 2015
venerdì 30 gennaio 2015
Sicurezza IT nel settore energia - 3
Stefano Ramacciotti, dopo le prime due puntate sulla sicurezza IT nel
settore energia, mi ha segnalato il "Energy sector cybersecurity framework
implementation guidance" del U.S. Department of energy, uscito giusto a
gennaio 2015:
- http://www.energy.gov/oe/downloads/energy-sector-cybersecurity-framework-implementation-guidance
Si tratta di un bel volume di 53 pagine di tipo tecnico (per quanto un
framework possa esserlo), dopo le precedenti segnalazioni di pubblicazioni
molto più divulgative.
Diciamo che non dice nulla di particolarmente nuovo (ma sono pronto ad
essere smentito), ma è certamente molto chiaro e molto pragmatico. Può
essere letto anche da chi non si occupa di settore energetico, visto che si
tratta di raccomandazioni facilmente applicabili a tutti i settori.
Per chi volesse approfondire, nel capitolo 3 si trovano ulteriori link,
incluso uno al " NISTIR 7628 Revision 1: Guidelines for Smart Grid
Cybersecurity. Volume 1 - Smart Grid Cybersecurity Strategy, Architecture,
and High-Level Requirements" di ben 668 pagine (mi sono rifiutato di
leggerlo perché non sto seguendo lavori nel settore energia; e poi mi chiedo
quanto dovrebbe essere lungo il documento che tratta dei requisiti a basso
livello).
Sicuramente queste pubblicazioni così pragmatiche mi sembrano più
interessanti di altre che trattano di sicurezza come se fosse metafisica.
Quindi ringrazio Stefano della segnalazione.
settore energia, mi ha segnalato il "Energy sector cybersecurity framework
implementation guidance" del U.S. Department of energy, uscito giusto a
gennaio 2015:
- http://www.energy.gov/oe/downloads/energy-sector-cybersecurity-framework-implementation-guidance
Si tratta di un bel volume di 53 pagine di tipo tecnico (per quanto un
framework possa esserlo), dopo le precedenti segnalazioni di pubblicazioni
molto più divulgative.
Diciamo che non dice nulla di particolarmente nuovo (ma sono pronto ad
essere smentito), ma è certamente molto chiaro e molto pragmatico. Può
essere letto anche da chi non si occupa di settore energetico, visto che si
tratta di raccomandazioni facilmente applicabili a tutti i settori.
Per chi volesse approfondire, nel capitolo 3 si trovano ulteriori link,
incluso uno al " NISTIR 7628 Revision 1: Guidelines for Smart Grid
Cybersecurity. Volume 1 - Smart Grid Cybersecurity Strategy, Architecture,
and High-Level Requirements" di ben 668 pagine (mi sono rifiutato di
leggerlo perché non sto seguendo lavori nel settore energia; e poi mi chiedo
quanto dovrebbe essere lungo il documento che tratta dei requisiti a basso
livello).
Sicuramente queste pubblicazioni così pragmatiche mi sembrano più
interessanti di altre che trattano di sicurezza come se fosse metafisica.
Quindi ringrazio Stefano della segnalazione.
Enisa Threat Landscape 2014
A inizio gennaio 2015 avevo segnalato l'Enisa "Threat Landscape and Good
Practice Guide for Internet Infrastructure":
- http://blog.cesaregallotti.it/2015/01/enisa-threat-landscape-of-internet.html
Questa volta, sempre dal gruppo Italian Security Professional di LinkedIn,
segnalo l'ENISA "Threat Landscape 2014" che ha come sottotitolo "Overview of
current and emerging cyber-threats":
- http://www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/enisa-threat-landscape/enisa-threat-landscape-2014
Si tratta di un'analisi e un ordinamento delle minacce informatiche più
diffuse, secondo quanto raccolto da numerosi (più di 400) studi liberamente
disponibili su Internet. In altre parole, quelli di Enisa si sono studiati i
materiali disponibili e preparati da altri e quindi, con un metodo che mi è
oscuro, hanno elencato le 15 minacce più diffuse. Malgrado i miei dubbi, la
lettura è interessante. I più pigri possono solo consultare pagina iv, dove
si trova la "Table 1: Overview of Threats and Emerging Trends of the ENISA
Threat Landscape 2014".
I mediamente pigri possono accontentarsi di un articolo riassuntivo:
- http://securityaffairs.co/wordpress/32777/cyber-crime/enisa-threat-landscape-2014.html
Practice Guide for Internet Infrastructure":
- http://blog.cesaregallotti.it/2015/01/enisa-threat-landscape-of-internet.html
Questa volta, sempre dal gruppo Italian Security Professional di LinkedIn,
segnalo l'ENISA "Threat Landscape 2014" che ha come sottotitolo "Overview of
current and emerging cyber-threats":
- http://www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/enisa-threat-landscape/enisa-threat-landscape-2014
Si tratta di un'analisi e un ordinamento delle minacce informatiche più
diffuse, secondo quanto raccolto da numerosi (più di 400) studi liberamente
disponibili su Internet. In altre parole, quelli di Enisa si sono studiati i
materiali disponibili e preparati da altri e quindi, con un metodo che mi è
oscuro, hanno elencato le 15 minacce più diffuse. Malgrado i miei dubbi, la
lettura è interessante. I più pigri possono solo consultare pagina iv, dove
si trova la "Table 1: Overview of Threats and Emerging Trends of the ENISA
Threat Landscape 2014".
I mediamente pigri possono accontentarsi di un articolo riassuntivo:
- http://securityaffairs.co/wordpress/32777/cyber-crime/enisa-threat-landscape-2014.html
Rapporto sulla sicurezza nelle PA
Andrea Praitano di Business-e mi ha segnalato il "Cyber Security Report
2014" del CIS dell'Università La Sapienza di Roma. Questo report riporta i
risultati dell'osservatorio che hanno fatto sulle Pubbliche Amministrazioni,
classificate in PA centrali, locali, ASL, ecc.
La presentazione, da sola, è di difficile comprensione, mentre il report,
riportando la descrizione dei vari grafici, è chiaro:
- http://www.cis.uniroma1.it/csr2014
La mia veloce lettura mi ha permesso di trarre preoccupazione dallo stato
della sicurezza della nostra PA, ma ben pochi insegnamenti (spero però ne
traggano i responsabili delle strutture). Comunque, copio e incollo nel
seguito il commento di Andrea e lo sottoscrivo.
<<
2014" del CIS dell'Università La Sapienza di Roma. Questo report riporta i
risultati dell'osservatorio che hanno fatto sulle Pubbliche Amministrazioni,
classificate in PA centrali, locali, ASL, ecc.
La presentazione, da sola, è di difficile comprensione, mentre il report,
riportando la descrizione dei vari grafici, è chiaro:
- http://www.cis.uniroma1.it/csr2014
La mia veloce lettura mi ha permesso di trarre preoccupazione dallo stato
della sicurezza della nostra PA, ma ben pochi insegnamenti (spero però ne
traggano i responsabili delle strutture). Comunque, copio e incollo nel
seguito il commento di Andrea e lo sottoscrivo.
<<
Il report nel complesso è interessante anche se ha diversi
aspetti che a me non piacciono perché analizza più il "che cosa
hanno" più che entrare nel merito del "come lo utilizzano". Per
esempio, è stato chiesto agli intervistati se hanno il firewall, non se ne
gestiscono le regole in modo efficace.
Però un osservatorio, gioco forza, fa
analisi abbastanza "ad alto livello" non riuscendo o potendo entrare
nel dettaglio.
Ha comunque degli spunti e conclusioni interessanti che sono
anche delle conferme. A mio avviso andrebbero approfondite le PA che hanno
risposto di non aver subito attacchi, in quanto a me personalmente sembra
poco probabile: forse non si sono accorte di essere state sotto attacco e
questo sarebbe grave.
>>
lunedì 26 gennaio 2015
Game of hacks per il codice sicuro
Stefano Ramacciotti mi ha segnalato una bella iniziativa: un quiz di 5 domande per verificare la capacità di riconoscere le vulnerabilità di programmazione e, quindi, imparare a sviluppare codice più sicuro.
Ecco un articolo di presentazione (in inglese):
- https://www.checkmarx.com/2015/01/20/secure-coding-with-game-of-hacks
Ecco il gioco, nella versione gratuita:
- http://www.gameofhacks.com/
Sembra che proporranno una versione a pagamento per le attività aziendali di formazione e sensibilizzazione; mi viene quasi voglia di obbligare i miei clienti a fare il test. Stefano, invece, dice di suggerire questo gioco agli sviluppatori, in sostituzione della PlayStation.
Ecco un articolo di presentazione (in inglese):
- https://www.checkmarx.com/2015/01/20/secure-coding-with-game-of-hacks
Ecco il gioco, nella versione gratuita:
- http://www.gameofhacks.com/
Sembra che proporranno una versione a pagamento per le attività aziendali di formazione e sensibilizzazione; mi viene quasi voglia di obbligare i miei clienti a fare il test. Stefano, invece, dice di suggerire questo gioco agli sviluppatori, in sostituzione della PlayStation.
Legale: Lecito registrare il colloquio telefonico con il capo (parte 2)
Roberto Bonalumi mi ha risposto in merito alla notizia per cui la
registrazione di un colloquio intercorsa tra due persone può essere
effettuata nel caso in cui si preveda possa essere spendibile in un processo
civile o per difesa:
- http://blog.cesaregallotti.it/2015/01/lecito-registrare-il-colloquio.html
In quella occasione mi lamentavo di non poter leggere la sentenza. Roberto
mi ha quindi fornito la soluzione: "andare su www.cassazione.it, selezionare
il servizio "SentenzeWeb" e poi effettuare la ricerca tra le sentenze civili
della Cassazione".
C'è ovviamente anche quella oggetto di discussione e sembra proprio che è
legittimo registrare conversazioni, purché solo quando questo possa essere
ritenuto utile, in un futuro, per difesa in un processo.
Spero di aver capito correttamente, visto che la sentenza è scritta in modo
inutilmente complicato.
registrazione di un colloquio intercorsa tra due persone può essere
effettuata nel caso in cui si preveda possa essere spendibile in un processo
civile o per difesa:
- http://blog.cesaregallotti.it/2015/01/lecito-registrare-il-colloquio.html
In quella occasione mi lamentavo di non poter leggere la sentenza. Roberto
mi ha quindi fornito la soluzione: "andare su www.cassazione.it, selezionare
il servizio "SentenzeWeb" e poi effettuare la ricerca tra le sentenze civili
della Cassazione".
C'è ovviamente anche quella oggetto di discussione e sembra proprio che è
legittimo registrare conversazioni, purché solo quando questo possa essere
ritenuto utile, in un futuro, per difesa in un processo.
Spero di aver capito correttamente, visto che la sentenza è scritta in modo
inutilmente complicato.
domenica 18 gennaio 2015
ENISA Threat Landscape of Internet Infrastructure
Dal gruppo Italian Security Professional di LinkedIn vedo la notizia della
pubblicazione da parte di Enisa del "Threat Landscape and Good Practice
Guide for Internet Infrastructure":
- https://www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/iitl
La segnalazione riporta anche il link ad un articolo riassuntivo:
- http://securityaffairs.co/wordpress/32258/security/enisa-threat-landscape-report.html
Ho trovato più interessante la tabella del capitolo 7 (molto tecnica)
piuttosto che le recommendations: queste ultime ripropongono le solite cose
(fate risk assessment, formate le persone, eccetera).
pubblicazione da parte di Enisa del "Threat Landscape and Good Practice
Guide for Internet Infrastructure":
- https://www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/iitl
La segnalazione riporta anche il link ad un articolo riassuntivo:
- http://securityaffairs.co/wordpress/32258/security/enisa-threat-landscape-report.html
Ho trovato più interessante la tabella del capitolo 7 (molto tecnica)
piuttosto che le recommendations: queste ultime ripropongono le solite cose
(fate risk assessment, formate le persone, eccetera).
venerdì 16 gennaio 2015
Una riflessione sull'attacco alla Sony
L'ultimo numero di Crpyo-Gram presenta numerose riflessioni sull'attacco
alla Sony. La sostanza è ovvia: state attenti, perché tutti possono subire
un attacco mirato, condotto da persone competenti.
Quello che più mi ha colpito è un'altra riflessione (si trova quasi al
termine dell'articolo di cui fornisco il link poco oltre): i dati pubblicati
riguardano i "normali" impiegati della Sony, non i top manager né altra
gente importante. Questi impiegati si sono scambiati e-mail e informazioni
tra loro con anche battute e barzellette discutibili e ora sono alla
berlina. Quindi: quando usate i sistemi informatici, anche se non c'entrate
niente e non siete l'oggetto di un attacco, potreste subirne le conseguenze.
Quindi (ancora): siate prudenti anche nelle vostre attività individuali.
Il link:
- http://www.wsj.com/articles/sony-made-it-easy-but-any-of-us-could-get-hacked-1419002701.
alla Sony. La sostanza è ovvia: state attenti, perché tutti possono subire
un attacco mirato, condotto da persone competenti.
Quello che più mi ha colpito è un'altra riflessione (si trova quasi al
termine dell'articolo di cui fornisco il link poco oltre): i dati pubblicati
riguardano i "normali" impiegati della Sony, non i top manager né altra
gente importante. Questi impiegati si sono scambiati e-mail e informazioni
tra loro con anche battute e barzellette discutibili e ora sono alla
berlina. Quindi: quando usate i sistemi informatici, anche se non c'entrate
niente e non siete l'oggetto di un attacco, potreste subirne le conseguenze.
Quindi (ancora): siate prudenti anche nelle vostre attività individuali.
Il link:
- http://www.wsj.com/articles/sony-made-it-easy-but-any-of-us-could-get-hacked-1419002701.
giovedì 15 gennaio 2015
Documenti informatici nella PA - Dpcm del 13 novembre 2014
Segnalo questo articolo di Bancaforte che annuncia le regole tecniche per la
gestione dei documenti informatici presso le pubbliche amministrazioni:
- http://www.bancaforte.it/notizie/2015/01/pa-18-mesi-per-dire-addio-alla-carta
Non credo aggiunga alcunché per chi non si occupa di Pubblica
Amministrazione.
gestione dei documenti informatici presso le pubbliche amministrazioni:
- http://www.bancaforte.it/notizie/2015/01/pa-18-mesi-per-dire-addio-alla-carta
Non credo aggiunga alcunché per chi non si occupa di Pubblica
Amministrazione.
ISO/IEC 90003:2014
Franco Ferrari del DNV GL mi ha segnalato la pubblicazione della nuova
edizione della ISO/IEC 90003 dal titolo "Guidelines for the application of ISO 9001:2008 to computer software. L'introduzione segnala che questa nuova
edizione nasce per allineare la norma alla ISO 9001:2008, mentre la
precedente si basava sulla ISO 9001:2000.
Visto che tra le due edizioni della ISO 9001 non ci sono notevoli
differenze, immagino che non siano state apportate modifiche rilevanti alla
ISO/IEC 90003. Se qualcuno più attento di me vuole però segnalarmele, sarò
ben contento di condividerle.
Mi lascia perplesso anche la scelta di pubblicare questa norma oggi, a meno
di un anno dalla prevista pubblicazione della nuova ISO 9001. Solo per
questo motivo vorrei ignorarla.
edizione della ISO/IEC 90003 dal titolo "Guidelines for the application of ISO 9001:2008 to computer software. L'introduzione segnala che questa nuova
edizione nasce per allineare la norma alla ISO 9001:2008, mentre la
precedente si basava sulla ISO 9001:2000.
Visto che tra le due edizioni della ISO 9001 non ci sono notevoli
differenze, immagino che non siano state apportate modifiche rilevanti alla
ISO/IEC 90003. Se qualcuno più attento di me vuole però segnalarmele, sarò
ben contento di condividerle.
Mi lascia perplesso anche la scelta di pubblicare questa norma oggi, a meno
di un anno dalla prevista pubblicazione della nuova ISO 9001. Solo per
questo motivo vorrei ignorarla.
giovedì 8 gennaio 2015
Lecito registrare il colloquio telefonico con il capo
Dal Gruppo infotechlegale.it di LinkedIn, inoltro la seguente notizia:
secondo la Corte di Cassazione, la registrazione di un colloquio intercorsa
tra due persone assurge al rango di prova se è posta in essere da uno dei
soggetti coinvolti nella conversazione; il dipendente può registrare il
colloquio ancor prima dell'instaurazione di un eventuale procedimento
civilistico o penalistico a suo carico, essendo detta attività orientata
precisamente all'acquisizione di prove a suo favore:
- http://www.studiocataldi.it/news_giuridiche_asp/news_giuridica_17238.asp
Sarebbe interessante leggere la sentenza completa per vedere quali principi
sono richiamati e in che modo sono limitati. Purtroppo non l'ho trovata.
L'unico commento che ho trovato online finora è proprio quello del link
segnalato.
secondo la Corte di Cassazione, la registrazione di un colloquio intercorsa
tra due persone assurge al rango di prova se è posta in essere da uno dei
soggetti coinvolti nella conversazione; il dipendente può registrare il
colloquio ancor prima dell'instaurazione di un eventuale procedimento
civilistico o penalistico a suo carico, essendo detta attività orientata
precisamente all'acquisizione di prove a suo favore:
- http://www.studiocataldi.it/news_giuridiche_asp/news_giuridica_17238.asp
Sarebbe interessante leggere la sentenza completa per vedere quali principi
sono richiamati e in che modo sono limitati. Purtroppo non l'ho trovata.
L'unico commento che ho trovato online finora è proprio quello del link
segnalato.
martedì 6 gennaio 2015
Sicurezza IT nel settore energia - 2
Dopo la precedente segnalazione su sicurezza IT nel settore energia
(http://blog.cesaregallotti.it/2014/12/sicurezza-it-nel-settore-energia.html
), Stefano Ramacciotti mi ha segnalato un altro documento interessante (fino
a pagina 10; le ultime 4 pagine sono pubblicità), dicendo " mi sembrano una
discreta introduzione alla problematica per non addetti ai lavori,
considerando che in Italia quasi nemmeno ci si pensa":
- http://www.appliedelectronics.com/documents/Design_Considerations_Real_Time_
Operating_Centers_White_Paper.pdf
Per chi non vuole scaricarsi direttamente il pdf, lo può trovare a questo
link con il titolo "Design Considerations for Real-Time Operating Centers":
- http://www.appliedelectronics.com/technical-papers
(http://blog.cesaregallotti.it/2014/12/sicurezza-it-nel-settore-energia.html
), Stefano Ramacciotti mi ha segnalato un altro documento interessante (fino
a pagina 10; le ultime 4 pagine sono pubblicità), dicendo " mi sembrano una
discreta introduzione alla problematica per non addetti ai lavori,
considerando che in Italia quasi nemmeno ci si pensa":
- http://www.appliedelectronics.com/documents/Design_Considerations_Real_Time_
Operating_Centers_White_Paper.pdf
Per chi non vuole scaricarsi direttamente il pdf, lo può trovare a questo
link con il titolo "Design Considerations for Real-Time Operating Centers":
- http://www.appliedelectronics.com/technical-papers
domenica 4 gennaio 2015
Attacco ad una conduttura turca (nel 2008)
A dicembre è stato noto un incidente occorso nel 2008: dopo un'intrusione ai
sistemi informatici, è stata elevata la pressione di una conduttura di
petrolio e questo ha generato un'esplosione:
- http://www.bloomberg.com/news/2014-12-10/mysterious-08-turkey-pipeline-blast-opened-new-cyberwar.html
Sembra possa essere stato un attacco da parte della Russia verso la Georgia
(devono aver sbagliato qualche calcolo) quando la tensione politica era
elevata.
La notizia, che traggo dal SANS NewsBites, è interessante perché sembra che,
per l'intrusione, sia stata sfruttata una vulnerabilità del sistema di
controllo delle telecamere o di un sistema di allarme:
- http://www.federalnewsradio.com/489/3769859/DoJs-new-cybersecurity-office-to -aid-in-worldwide-investigations
Trovo interessanti queste notizie perché mi ricordano la "filiera di
fornitura ICT": gli addetti del condotto non sono esperti di informatica e
fanno installare i sistemi senza pensare alla sicurezza; gli installatori di
sistemi di allarme e/o di telecamere si preoccupano solo che i propri
sistemi funzionino (magari con qualche patch mancante al sistema operativo
e/o qualche porta del firewall aperta senza necessità perché "non si sa mai"
e "meglio non toccare"); gli sviluppatori dei software di allarme e di
gestione delle telecamere sanno "programmare" in Java o simile, ma senza
saper "programmare in sicurezza", visto che poi la responsabilità di
"configurare" sta negli installatori; gli addetti agli acquisti forse hanno
pensato alla parola "sicurezza" solo per la salute dei lavoratori (spero
almeno questa) e al costo dell'offerta.
Chissà chi avranno trovato come capro espiatorio, anche se la colpa è di
tutti.
sistemi informatici, è stata elevata la pressione di una conduttura di
petrolio e questo ha generato un'esplosione:
- http://www.bloomberg.com/news/2014-12-10/mysterious-08-turkey-pipeline-blast-opened-new-cyberwar.html
Sembra possa essere stato un attacco da parte della Russia verso la Georgia
(devono aver sbagliato qualche calcolo) quando la tensione politica era
elevata.
La notizia, che traggo dal SANS NewsBites, è interessante perché sembra che,
per l'intrusione, sia stata sfruttata una vulnerabilità del sistema di
controllo delle telecamere o di un sistema di allarme:
- http://www.federalnewsradio.com/489/3769859/DoJs-new-cybersecurity-office-to -aid-in-worldwide-investigations
Trovo interessanti queste notizie perché mi ricordano la "filiera di
fornitura ICT": gli addetti del condotto non sono esperti di informatica e
fanno installare i sistemi senza pensare alla sicurezza; gli installatori di
sistemi di allarme e/o di telecamere si preoccupano solo che i propri
sistemi funzionino (magari con qualche patch mancante al sistema operativo
e/o qualche porta del firewall aperta senza necessità perché "non si sa mai"
e "meglio non toccare"); gli sviluppatori dei software di allarme e di
gestione delle telecamere sanno "programmare" in Java o simile, ma senza
saper "programmare in sicurezza", visto che poi la responsabilità di
"configurare" sta negli installatori; gli addetti agli acquisti forse hanno
pensato alla parola "sicurezza" solo per la salute dei lavoratori (spero
almeno questa) e al costo dell'offerta.
Chissà chi avranno trovato come capro espiatorio, anche se la colpa è di
tutti.
Iscriviti a:
Post (Atom)