venerdì 29 gennaio 2016

Mettere in sicurezza le utenze privilegiate

Da un retweet di @pstirparo, segnalo questo articolo di Microsoft "Securing Privileged Access":
- https://technet.microsoft.com/en-us/library/mt631194.aspx.

È molto tecnico, ma non troppo. È un po' complicato da leggere perché richiede spesso di passare da una pagina web ad un'altra. Per i lettori di libri come me è un po' faticoso.

Però ne vale la pena, è pragmatico e andrebbe letto da tutti quanti si occupano di sicurezza informatica. Spero che si diffonda e diventi un punto di riferimento per gli amministratori di sistema.

Notate, per esempio, che smitizza alcune pratiche seguite dai sistemisti (per esempio, usare macchine virtuali).

Almeno leggete lo "stage 1". Penso sia più che sufficiente per cominciare a lavorarci.

Le 25 peggiori password del 2015

SplashData ha pubblicato l'aggiornamento dell'elenco delle peggiori password:
- https://www.teamsid.com/worst-passwords-2015/.

Pensavo fosse un esercizio inutile, poi Francesca Lazzaroni di Spike Reply mi ha fatto notare che è molto utile quando si fanno sessioni di formazione presso le aziende.

Si può anche leggere l'articolo del The Guardian (segnalato da un tweet di @leliosimi):
- http://www.theguardian.com/technology/2016/jan/20/123456-worst-passwords-revealed.

Novità CAD e eIDAS

Segnalo qualche novità in tema di Codice dell'amministrazione digitale e del Regolamento europeo sulla stessa materia.

Il Consiglio dei ministri ha approvato una bozza di nuovo CAD, ossia le modifiche al Dlgs 82 del 2005:
- http://www.agendadigitale.eu/identita-digitale/nuovo-cad-le-poche-e-confuse-novita-all-orizzonte_1947.htm.

Non sono un estimatore dell'analisi delle bozze, visto che poi sono soggette ad ampi cambiamenti. Ma se qualcuno vuole perderci tempo, faccia pure (se però qualche mio lettore riesce a fare lobby e migliorare il testo, credo lo ringrazieremo in tanti).

Molto più interessante è questo articolo più tecnico su "I primi cinque atti di Esecuzione previsti dal Regolamento eIDAS (UE n. 910/2014)". Si fa il punto di norme fondamentali per chi si occupa della materia:
- https://www.linkedin.com/pulse/eidas-al-decollo-pubblicato-mio-articolo-scritto-con-tumietto.

ENISA Threat Landscape 2015

Luciano Quartarone mi ha segnalato la pubblicazione dell'ENISA Threat Landscape 2015 (ETL 2015):
- https://www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/enisa-threat-landscape/etl2015.

Confesso che trovo un po' troppo numerose queste pubblicazioni.

Però Luciano fa notare che la tassonomia delle minacce (peraltro disponibile su un documento a parte e disponibile allo stesso indirizzo web) è molto interessante.

mercoledì 27 gennaio 2016

OWASP Incident response

Segnalo, da Tweet di @techn0cratic (che a sua volta si riferisce ad un post su LinkedIn
https://www.linkedin.com/pulse/owasp-incident-response-tactical-guidance-tom-brennan), la pubblicazione di OWASP "Top 10 Considerations For Incident Response":
- https://www.owasp.org/index.php/OWASP_Incident_Response_Project.

Nulla di sensazionale, ma la guida è completa e molto sintetica. E già questi sono pregi.

martedì 26 gennaio 2016

Carrai e la Sicurezza Cibernetica Nazionale

Io non ho mai voluto parlare di politica nei miei "luoghi" professionali (blog, newsletter, Twitter), ma questa notizia è veramente troppo diffusa per ignorarla.

Il Presidente del Consiglio Matteo Renzi prevede di nominare tal Marco Carrai come responsabile del "centro nazionale della sicurezza cibernetica". Sembra che Carrai non abbia quasi alcuna competenza in materia. Ecco alcuni articoli (tutti ben polemici; scusate ma è quello che gira in rete):
- http://www.lettera43.it/politica/renzi-la-nomina-di-carrai-ai-servizi-rischia-lo-stop_43675230574.htm;
- https://codiceinsicuro.it/blog/tra-conflitti-di-interesse-e-007-addio-meritocrazia/;
- http://limbeccata.it/la-polemica/10-mesi-di-lavoro-e-0-laurea-carrai-li-non-andrai/.

Io ho già qualche problema perché non riesco a capire cosa sia la "sicurezza cibernetica", visto che la "cibernetica" è la "Disciplina che si occupa dello studio unitario dei processi riguardanti la comunicazione e il controllo nell'animale e nella macchina" (www.treccani.it).

Per la verità, come ho scritto in precedenza, non sopporto neanche il termine "cybersecurity", a prescindere dalla sua etimologia, perché viene usato in ogni contesto senza specificare cosa intende, quali sono i suoi confini e cosa la differenzia dalla "sicurezza informatica".

A parte i miei problemi terminologici, la nomina di Carrai è molto criticata, tanto che è stata scritta una "Lettera aperta al Presidente del Consiglio dei Ministri, Matteo Renzi, sulla "Sicurezza Cibernetica Nazionale"" e tutti gli "esperti del settore" sono stati invitati a sottoscriverla:
- https://www.cybersecuritynazionale.org/.

Cercando di non fare il finto modesto, mi sono sentito in causa e mi sono chiesto se firmarla.

Da una parte è opportuno prestare attenzione ai responsabili con elevate competenze tecniche. Ne ho avuti e ho visto che fungono da collo di bottiglia su tutti i temi di cui sono competenti.

Inoltre, i manager con competenze tecniche riducono tutto alla propria area di competenza (il sistemista IT ignora i problemi delle applicazioni e viceversa, l'esperto in organizzazione ignora i problemi tecnologici e viceversa, i non legali ignorano gli impatti normativi sulle proprie attività, e così via). In una realtà complessa come la sicurezza di Internet (forse è questo che si intende con "sicurezza cibernetica"?) questo può essere un limite.

Osservate, per esempio, i problemi del Garante privacy. Se pure tra il suo personale si trovano dei tecnici molto preparati, alcuni (non tutti...) Provvedimenti contengono sciocchezze tecnologiche inaudite. Segno che da Rodotà in poi i tecnici sono considerati vil razza dannata. E certamente il curriculum di Rodotà non lascia dubbi sulle sue elevate competenze giuridiche.

Dall'altra parte ho pensato che un manager deve essere soprattutto bravo a scegliere e gestire i collaboratori. Questa sarebbe la posizione di Renzi (mi dicono l'abbia esposta in qualche trasmissione televisiva). Però, mi chiedo, se una persona non ha un minimo di competenze, come può scegliere e coordinare correttamente le persone? Ho avuto capi non competenti della materia e ho visto i problemi che hanno causato.

Tra l'altro, ho sempre pensato, e ne ho visto le prove, quanto sia sciocca l'affermazione che un "manager è un bravo manager in qualunque settore lavori". Ritengo sia una baggianata messa in giro dagli stessi manager incompetenti e, purtroppo, presa per buona anche dalle persone competenti.

Qualche manager incompetente può sembrare bravo se, prima di lui, sono stati scelti e coordinati dei bravi tecnici, che possono lavorare bene anche senza i suoi interventi (preferisco non fare esempi...).

Ecco perché alla fine ho deciso di firmare la lettera.

Tra l'altro, spero che Carrai, visto che pare abbia conoscenze nel settore, abbia il buon gusto di rinunciare alla nomina e indicare persone più adatte di lui, con le giuste competenze e incompetenze, al ruolo di responsabile del "centro nazionale della sicurezza cibernetica".

sabato 23 gennaio 2016

Sicurezza e deviazioni

Bruce Schneier, nel suo Crypto-Gram di gennaio, riporta un articolo dal titolo "IT Security and the Normalization of Deviance":
- https://www.schneier.com/blog/archives/2016/01/it_security_and.html.

Si parla di "normalizzazione della devianza", ossia delle persone che si abituano così tanto ai comportamenti devianti da non considerarli più tali.

Ho già parlato in altre occasioni di questo aspetto della sicurezza, spesso dandone la colpa ai capi (se loro sono i primi a chiedere o operare eccezioni alle regole o ignorano gli avvisi di auditor o altre entità).

L'altra faccia della medaglia dovrebbe essere presa in considerazione: persone che seguono (o chiedono di seguire) regole e procedure senza chiedersene il senso. Alcune volte si tratta di regole necessarie in passato, quando la tecnologia o l'organizzazione erano diverse (pensate a quanti chiedono ancora di firmare a mano dei moduli, quando un'email potrebbe essere sufficiente), o tentativi di risolvere delle situazioni oggi non più verosimili.

Schneier raccomanda ulteriori articoli (alcuni non relativi la sicurezza delle informazioni, ma comunque pertinenti l'argomento). Tra questi segnalo il seguente di John Banja dal titolo "The normalization of deviance in healthcare delivery":
- https://www.ncbi.nlm.nih.gov/pmc/articles/PMC2821100/.

Al paragrafo 4.3 sono fornite alcune indicazioni su come intervenire (ma nessun link è "facilmente" utilizzabile).

domenica 17 gennaio 2016

Regolamento europeo privacy - Q&A della Commissione europea

Per chi fosse interessato a qualche informazione veloce in merito al quasi futuro Regolamento europeo sulla privacy, segnalo questa pagina (in inglese) della Commissione europea stessa:
- http://europa.eu/rapid/press-release_MEMO-15-6385_en.htm.

Novità SPID

AgID ha comunicato i primi accreditamenti dei primi gestori di identità digitale:
- http://www.agid.gov.it/notizie/2015/12/19/spid-accreditati-i-primi-gestori-identita-digitale.

Da un tweet di @martinapennisi, segnalo questo articolo del Corriere della Sera con qualche elemento in più:
- http://www.corriere.it/tecnologia/economia-digitale/15_dicembre_18/agid-identita-digitale-identity-provider-accreditamento-spid-fe552daa-a5c9-11e5-a238-fd021b6faac8.shtml.

Franco Ferrari di DNV GL mi ha anche segnalato questo articolo dal titolo "Spid, fare in fretta. Ma attenzione a privacy e sicurezza" che propone alcune riflessioni in merito:
- http://www.corrierecomunicazioni.it/pa-digitale/38806_spid-fare-in-fretta-ma-attenzione-a-privacy-e-sicurezza.htm.

Normativa firme elettroniche

Luciano Quartone mi ha segnalato una sua presentazione "per illustrare la situazione attuale della normativa italiana in merito alle firme elettroniche e le principali differenze rispetto le novità che verranno con il Regolamento eIDAS".

Visto che l'argomento, per chi non ha seguito con estrema attenzione tutte le puntate, è complesso, mi pare utile segnalarla:
- http://www.lucianoquartarone.it/wp/?p=661.

Importanti saranno le modifiche che dovrebbero essere apportate al Codice dell'amministrazione digitale (CAD, Dlgs. 82 del 2005). A questo proposito, Anorc (Twitter @_ANORC) ha segnalato questo articolo dal titolo "Che resterà del CAD dopo la riforma?":
- http://www.agendadigitale.eu/identita-digitale/che-restera-del-cad-dopo-la-riforma-ecco-tutte-le-modifiche-necessarie_1885.htm.

Sempre da Anorc, segnalo la pubblicazione del D.P.C.M. del 6 novembre 2015, recante la disciplina della firma digitale dei documenti classificati:
- http://anorc.it/notizia/745_Le_nuove_regole_tecniche_per_la_sottoscrizione_digitale_dei_documenti_infor.html.

L'atto lo si trova al seguente link:
- www.gazzettaufficiale.it/eli/id/2015/12/05/15A08534/sg.

sabato 16 gennaio 2016

ISO/IEC TR 20000-11: relazioni tra ISO/IEC 20000-1 e ITIL

Franco Ferrari di DNV GL mi ha segnalato la pubblicazione della ISO/IEC TR 20000-11:2015 dal titolo "Guidance on the relationship between ISO/IEC 20000-1:2011 and service management frameworks: ITIL®":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=62151.

Il testo di accompagnamento è molto scarno (6 pagine con anche immagini e tabelle riassuntive) e non dice nulla di nuovo a chi conosce già la ISO/IEC 20000-1 e ITIL (può però far ridere la pretesa di dire che non sono basate l'una sull'altra ma hanno solo qualche elemento in comune).

Il resto del documento è costituito da aride tabelle di correlazione e confronti tra le definizioni usate.

OWASP Top 10 Proactive Controls 2016 (e il Joel Test)

L'OWASP ha pubblicato la OWASP Top 10 Proactive Controls 2016:
- https://www.owasp.org/index.php/OWASP_Proactive_Controls.

Questa notizia mi è stata riferita dalla Newsletter d'information de HSC <newsletter@hsc-news.com>.

L'articolo della newsletter, richiama un punto di cui ho già parlato anche io in passato: per la sicurezza delle applicazioni web, purtroppo il riferimento è la OWASP Top 10, ossia la lista delle 10 vulnerabilità più diffuse delle applicazioni web, che però rappresentano l'inverso del problema:
- https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project.

Ringrazio quindi OWASP per aver presentato la nuova lista.

L'articolo della newsletter, richiama anche la lista di buone pratiche di Joel Spolsky:
- http://www.joelonsoftware.com/articles/fog0000000043.html.

L'ho letta con dolore, pensando a quante volte non ho visto applicati i 12 punti:
- usare un sistema di controllo dei file;
- fare in modo che le build siano prodotte in un solo passaggio;
- fare build almeno ogni giorno;
- usare un sistema di ticketing per tracciare i bug;
- correggere i bug prima di scrivere nuovo codice;
- mantenere un piano di lavoro;
- scrivere le specifiche;
- assicurare ai programmatori un ambiente di lavoro tranquillo;
- fornire ai programmatori gli strumenti migliori;
- avere dei tester;
- in fase di selezione del personale, far scrivere del codice ai programmatori;
- chiedere all'"uomo della strada" di fare dei test di usabilità.

Per ciascun punto è fornita una spiegazione molto utile.

La lista è del 2000 e forse qualche voce potrebbe essere aggiornata. Ciò non toglie che dovrebbe essere studiata e applicata con attenzione.