sabato 28 maggio 2016

Certificazioni IoT

Dal Sans NewsBites del 27 maggio leggo la notizia che ICSA (ossia Verizon) ha lanciato un programma di certificazione dei dispositivi IoT. Segnalo l'articolo di Computerworld (più serio e completo di quello di DarkReading):
- http://www.computerworld.com/article/3075438/security/iot-security-is-getting-its-own-crash-tests.html.

La pagina di ICSA non aiuta perché promuove i test ma non dà indicazioni su quali sono i requisiti da rispettare. Trovo poco serio leggere di "sicurezza dalla progettazione" e poi, ipocritamente, trovare approfondimenti solo sui test:
- https://www.icsalabs.com/technology-program/iot-testing.

Segnalo quindi l'iniziativa della Online Trust Alliance, che ha pubblicato 30 principi per dispositivi sicuri (si trova la sintesi in versione definitiva e la guida completa in bozza):
- https://otalliance.org/initiatives/internet-things.

PS: l'articolo di DarkReading non riporta link per approfondire la notizia. Inoltre usa "cyber" a sproposito e "ecosistema" per "sistema informatico"; due indicatori di competenza acquisita sulle brochure commerciali.

giovedì 26 maggio 2016

Aggiornamenti su eIDAS

Il nuovo CAD, per allinearsi al Regolamento eIDAS, sarà modificato a breve. Per chi vuole approfondire lo stato dell'arte, segnalo questo articolo (da un tweet di @fpmicozzi):
- http://www.ilquotidianodellapa.it/_contents/news/2016/maggio/1463684793525.html.

ENISA (l'agenzia europea per la sicurezza informatica) ha pubblicato un report con raccomandazioni in merito all'uso di certificati digitali per i siti web:
- https://www.enisa.europa.eu/publications/qualified-website-authentication-certificates.

Il report riguarda soprattutto le strategie generali per l'Europa, la prima delle quali è orientata, nel breve periodo, all'aumento di siti web che usano certificati digitali, la seconda è migliorare il mercato dei certificati digitali per i siti web.

In questi giorni saranno pubblicate le regole di Accredia per essere "certificati" come Trust service provider (TSP) anche per la vendita di certificati digitali per i siti web. Il numero minimo di giornate di audit per ottenere la qualifica è decisamente elevato.

Certo è che se ai fornitori sono richiesti molti soldi per qualificarsi come fornitore qualificato, il costo di questi certificati sarà troppo elevato e, quindi, questa strategia non avrà successo. Parere mio, per quanto poco possa valere.

Direttiva europea sulla sicurezza informatica

Da tempo si parla della Direttiva europea relativa alla sicurezza delle reti e delle informazioni (network and information security, NIS).

Credo sia il caso di tenere sotto controllo il suo percorso. Essa dovrebbe essere attiva da agosto 2016. Ma, per avere una vera validità in Italia, è necessario vengano emessi degli opportuni Decreti legislativi. Quindi spero che non si scateni il panico che abbiamo già visto per il Regolamento privacy.

Per saperne un po' di più, segnalo la pagina del Consiglio EU:
- http://www.consilium.europa.eu/en/press/press-releases/2016/05/17-wide-cybersecurity-rule-adopted/.

Privacy online

Segnalo questo interessante articolo dal titolo "Going dark: online privacy and anonymity for normal people" (da un tweet di @fpietrosanti):
- https://www.troyhunt.com/going-dark-online-privacy-and-anonymity-for-normal-people/.

Un articolo che spiega perché non è male cercare di restare anonimi online.

A questo problema era collegato il mio post sulle email temporanee:
- http://blog.cesaregallotti.it/2016/05/email-temporanee.html.

Una mia amica (anonimizzata) mi ha segnalato altri servizi di posta temporanea: emailtemporanea.net, spaml.com, bigstring.com, 2prong.com, rppkn.com, ominutemail.com, spambox.us, mailinator.com, veryrealemail.com, mytrashmail.com, tempemail.net, tempinbox.com.

La mia anonima amica mi segnala che alcuni siti non permettono la registrazione con queste.

Ne approfitto a segnalare una frase di Terry Pratchett (da @DailyPratchett), di cui sono un fan, appropriata a questo argomento: "Ah, the rights of the individual, a famous Ankh-Morpork invention, so they say. But what rights are they, really, and whence do they come?"

Il caos degli standard per l'IoT

Segnalo questo articolo dal titolo "Chaos Theory of Standardization in IOT":

La tesi è semplice: sono presenti troppi protocolli di comunicazione per l’IoT e questo non potrà che generare problemi di funzionalità e di sicurezza.

Ho i miei timori: il tentativo di standardizzazione, se mai riuscirà, porterà ad un compromesso al ribasso in termini di sicurezza.

Sicurezza dei pagamenti via Internet

Enrico Toso di DB Consorzio mi ha segnalato che Banca d'Italia ha emesso l'aggiornamento 16 delle Disposizioni di Vigilanza per le Banche - circolare 285 dove ha recepito gli Orientamenti EBA sulla Sicurezza dei pagamenti via Internet. Era un atto formale atteso dallo scorso 3 agosto 2015.

Enrico ricorda che la temuta conversione delle best practice (incluse nell'allegato 1 degli orientamenti) in misure obbligatorie non c'è stata e che, a partire dal 30 settembre 2016, le formule di adeguamento potranno contemplare la sola clausola del "comply" poiché la precedente formula "comply or explain" non sarà verosimilmente più percorribile.

Personalmente, trovo molto interessante il fatto che vogliono migliorare le misure di pagamento elettronico. Forse questo migliorerà le misure anche degli altri siti che non c'entrano nulla con le banche (visto che si innalzerà la qualità desiderata degli utenti). Enrico però mi ricorda che sarà necessario valutare ogni transazione per dimensionare correttamente la robustezza della sicurezza richiesta.

Il testo integrale della nuova Circolare 285 è disponibile al seguente link (A pag 350 / 628 c'e' la sezione VII che riporta il testo dell'aggiornamento):
- http://www.bancaditalia.it/compiti/vigilanza/normativa/archivio-norme/circolari/c285/Circ_285_16_Aggto_testo_integrale_segnalibri.pdf

DevOps e SIAM - Integrazioni

A inizio maggio avevo scritto su DevOps e SIAM:
http://blog.cesaregallotti.it/2016/05/devops-e-siam.html.

Deborah Monaco di Quint Wellington Redwood mi ha scritto per DevOps è attiva la DevOps Agile Skills Association (DASA), dedicata allo sviluppo delle competenze DevOps e Agile.

Questa associazione ha l'obiettivo, tra gli altri, di definire un programma di qualifiche DevOps. Da metà giugno 2016 saranno disponibili le certificazioni.

Stefano Ramacciotti mi ha invece suggerito di considerare le certificazioni, di ISC2, CSSLP, ISSEP e CCSP. Esse hanno dei moduli dove parlano della parte sicurezza delle DevOps, o meglio dell'SDLC, e promuovono la sicurezza in ogni fase del SDLC, per evitare di aggiungerla ex post, come un add-on.

Secondo Stefano, le metodologie più classiche e consolidate garantiscono un livello di sicurezza decisamente superiore.

Stefano ha anche avuto la brutta esperienza, di avere incontrato giovani programmatori che non hanno alcuna idea della sicurezza né della sua importanza. Certificazioni non di sicurezza (come, appunto, quelle di DevOps) dovrebbero integrare la sicurezza.

giovedì 19 maggio 2016

eIDAS: norme di sicurezza per dispositivi (precisazione)

Leggendo la mia notizia in merito alla pubblicazione della decisione di esecuzione 2016/650 del 25 aprile 2016 della Commissione europea relativa alle norme per la valutazione di sicurezza dei dispositivi per la creazione di una firma e di un sigillo qualificati a norma del Regolamento eIDAS, Andrea Caccia mi ha segnalato una precisazione importante: questa decisione di esecuzione 2016/650 si applica limitatamente ai dispositivi sotto il diretto controllo dell'utilizzatore degli stessi (smart card, token USB, micro SD, eccetera); non si applica dunque (ad esempio) ai dispositivi (HSM) di firma remota.

La mia notizia originale:
http://blog.cesaregallotti.it/2016/05/eidas-norme-di-sicurezza-per.html.

martedì 17 maggio 2016

Report di sicurezza delle informazioni 2016

Verizon ha pubblicato il suo Data Breach Investigations Report (DBIR) 2016:
- http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/.

Non mi pare dica niente di fondamentale e non riesco a capirne fino in fondo l'impostazione (sono analizzate alcune minacce in modo un po' disomogeneo; ci sono delle raccomandazioni, ma non mi sembrano sempre pertinenti alla minaccia in questione). Chi vuole leggere la versione breve, segnalo questo articolo di DarkReading:
- http://www.darkreading.com/endpoint/verizon-dbir-over-half-of-data-breaches-exploited-legitimate-passwords-in-2015/d/d-id/1325242.

Anche la Microsoft ha pubblicato il suo report "Security Intelligence Report (SIR)" relativo al secondo semestre 2015 (a tweet di @skhemissa):
http://www.neowin.net/news/microsoft-publishes-security-intelligence-report-
including-cloud-data-for-the-first-time
.

Non basta? Ecco un elenco di 9 report sulla sicurezza (da un tweet di . Ce n'è per tutti i gusti (segnalo però che il report di Juniper è segnalato malamente, subito dopo quello di Verizon, di cui ho già scritto qui sopra):
- http://www.forbes.com/sites/stevemorgan/2016/05/09/top-2016-cybersecurity-reports-out-from-att-cisco-dell-google-ibm-mcafee-symantec-and-verizon/#49a0a0333edb.

giovedì 5 maggio 2016

Pubblicato il nuovo Regolamento privacy

Sulla Gazzetta ufficiale della UE è stato pubblicato il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

In realtà è stato pubblicato tutto il "nuovo pacchetto privacy", che include anche 2 Direttive (segnalo che il mese scorso avevo segnalato solo l'approvazione del Regolamento, dimenticandomi delle Direttive; Agostino Oliveri mi ha segnalato l'errore e io mi scuso per l'incompletezza dell'informazione):
  • Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio 
  • Direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull'uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi.

Qui il link al testo ufficiale, da cui può essere letto in tutte le lingue dell'Unione:
- http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=OJ:L:2016:119:TOC.

Il Regolamento sostituirà quindi il nostro Dlgs 196/2003 (cosiddetto "Codice privacy"). Le Direttive, invece, dovranno essere recepite da nostri Decreti legislativi. Entro il 24 maggio 2018 tutte le aziende dovranno adeguarsi al nuovo Regolamento.

Dovremo quindi vedere, nel futuro, se il Dlgs 196 verrà abrogato totalmente o parzialmente (e quindi, per esempio, se rimarrà in vigore l'Allegato B e altre sue parti non previste dal Regolamento. Dovremo anche vedere come il nostro Garante modificherà o abrogherà i Provvedimenti generali o settoriali emessi negli anni (spero che sarà quanto prima creata una pagina dedicata a questo argomento).

Segnalo alcuni punti a mio parere fondamentali se confrontati a quanto già previsto dal nostro Dlgs 196 del 2003:
  • necessità di minimizzare i dati raccolti e trattati considerando le diverse finalità;
  • inserimento, nell'informativa, dei tempi di conservazione dei dati e diritto all'oblio;
  • diritto di portabilità dei dati;
  • possibilità di certificazioni che possono dimostrare gli obblighi del titolare del trattamento;
  • principi di protezione fin dei dati fin dalla progettazione e di default;
  • nessuna considerazione delle attuali filiere di fornitura "lunghe" (ma questa non è una novità, purtroppo);
  • predisposizione di un "registro dei trattamenti" per molte aziende;
  • comunicazione al Garante da parte di qualunque titolare che subisce delle violazioni dei dati trattati;
  • valutazione degli impatti in caso di specifici trattamenti e condizioni (con indice del rapporto);
  • previsione di un "referente (o responsabile) della protezione dei dati" in casi particolari (che però fa riferimento a "trattamenti di dati sensibili su larga scala", senza specificare cosa "su larga scala" significa).

Segnalo quindi questo articolo (da tweet di @europrivacy) dal titolo "Lack of EU Data Reg Guidance Has Companies Uncertain":
- http://www.bna.com/lack-eu-data-n57982070660/.

Ne approfitto per segnalare questo sito web del CNIL che spiega, per ogni Paese del mondo, le regole da seguire per trasferirvi i dati personali:
- https://www.cnil.fr/en/data-protection-around-the-world.

Qualche mia domanda ironica:
  • fino a che anno leggeremo documenti con scritto "il nuovo Regolamento europeo sulla privacy";
  • fino a che anno leggeremo informative e documenti con riferimento al Dlgs 196/2003 (io ho visto riferimenti alla L. 675/1996, abrogato nel 2003, anche nel 2014).

Non dimentico di ringraziare chi mi ha avvisato della pubblicazione del Regolamento: Fabrizio Bottacin del Politecnico di Milano (che mi ha anche allegato il file in italiano); Biagio Lammoglia (che mi ha inviato i link al "pacchetto privacy" sia in inglese che in italiano); Pierfrancesco Maistrello di Vecomp (che però mi ha fornito il link alla sola versione in italiano) e Pasquale Tarallo (anche lui con la sola versione in italiano). Anche se ho ricevuto la medesima notizia molte volte, mi ha fatto piacere in tutti i casi.

L'FBI può attaccare qualunque computer nel mondo

La notizia è decisamente inquietante (da tweet di @F_Traficante): la Corte suprema USA ha sancito nuove regole per le investigazioni digitali dell'FBI che a breve potrà hackerare più facilmente i computer di chiunque, ovunque si trovi, sia indiziato di un qualsiasi reato:
- http://www.repubblica.it/tecnologia/sicurezza/2016/04/29/news/corte_suprema_usa_intercettazioni-138732392/.

Questo articolo ("U.S. Supreme Court allows the FBI to Hack any Computer in the World") è in inglese (da tweet di @mayhemspp):
- http://thehackernews.com/2016/04/fbi-hacking-power.html.

eIDAS: norme di sicurezza per dispositivi di creazione di firme e sigilli elettronici

Da un tweet di @fposati, segnalo che è stata pubblicata in Gazzetta ufficiale UE la decisione di esecuzione 2016/650 del 25 aprile 2016 della Commissione europea. Essa stabilisce le norme per la valutazione di sicurezza dei dispositivi per la creazione di una firma e di un sigillo qualificati a norma del Regolamento eIDAS.

Riporto il link a Diritto&Internet con la notizia e il link alla decisione:
- http://www.blogstudiolegalefinocchiaro.it/documento-informatico-e-firma-digitale/sicurezza-e-firma-elettroniche-pubblicate-le-norme-ue/.

Questa decisione si affianca alle alte già pubblicate per l'esecuzione delle disposizioni del Regolamento eIDAS di cui ho già parlato in altri articoli (dovrei cercare di realizzare un elenco di quante decisioni sono previste e quante pubblicate).

Ricordo la pagina della Commissione europea dedicata a questo tema, anche se non aggiornata con questa ultima decisione:
- https://ec.europa.eu/digital-single-market/en/trust-services-and-eid.

Email temporanee

Non sapevo esistessero i servizi di email temporanee (e gratuite). Grazie ad un tweet di @enigmadt ora lo so e condivido questa informazione:
- http://focustech.it/email-temporanea-mail-gratuita-come-107163.

martedì 3 maggio 2016

ISO/IEC 29147 sulla gestione delle vulnerabilità è gratis

Da un tweet di @mattia_reggiani, segnalo che la ISO/IEC 29147, dal titolo "Information technology -- Security techniques -- Vulnerability disclosure" è ora gratuita:
- http://www.itnews.com.au/news/iso-vulnerability-disclosure-standard-now-free-418253.

L'articolo segnalato fornisce qualche dettaglio in più su questo standard e quanto è collegato ad esso.

Garante privacy: Facebook e il furto di identità

È stata sufficientemente pubblicizzata la notizia relativa alla pronuncia del Garante privacy in merito alle false utenze su Facebook:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/4833448.

Ho trovato molto interessante questo articolo che ne spiega l'importanza:
- http://www.webnews.it/2016/04/27/garante-facebook-fake/.

Riassumendo molto, una persona ha subito un furto di identità su Facebook e ha chiesto aiuto al social network, ma "la richiesta di cancellazione o del blocco del falso account, nonché la comunicazione dei suoi dati in forma chiara, anche di quelli presenti nel fake, non sembravano un percorso fattibile".

Il Garante privacy ha quindi dato ragione alla vittima.

lunedì 2 maggio 2016

Modulo unificato per videosorveglianza e GPS

Il Ministero del lavoro ha pubblicato un modulo, valevole a livello nazionale, per richiedere l'autorizzazione all'installazione di impianti di videosorveglianza e all'installazione e utilizzo di impianti e apparecchiature di localizzazione satellitare GPS a bordo di mezzi aziendali:
http://www.assodpo.it/News/tabid/98/articleId/112/articlesListTabId/98/artic
lesListModId/541/articleDetailsModId/541/listType/templateBased/Default.aspx
.

Qual è la novità? Che in precedenza ogni Direzione territoriale aveva il proprio modulo, mentre oggi ce n'è uno solo.

Questa notizia mi è stata data da Massimo Cottafavi di Snam, che ringrazio.

DevOps e SIAM

Federico Corradi di Cogitek mi ha scritto qualche tempo fa per chiedermi se fossi a conoscenza di certificazioni personali in ambito DevOps e SIAM.

Confesso che, pur avendo letto in giro di DevOps, gli dissi che non ne sapevo quasi nulla. Federico Corradi continuò le sue ricerche e me ne ha reso partecipe. Ritengo che sia quindi utile condividerne una sintesi.

DevOps si occupa del rapporto tra sviluppatori di applicazioni IT (normalmente già strutturati con metodo Agile) e le operation (gestori dei sistemi, ma non solo). Materia fondamentale e molto antica, ma un po' dimenticata in questi anni in cui si è puntato soprattutto a migliorare il rapporto tra utilizzatori (o "business") e sviluppatori di servizi IT.

Per quanto riguarda esami e certificazioni personali DevOps, Federico Corradi ha visto che Exin ha annunciato una Devops Master Certification (mi era sembrato di averla vista in qualche email da parte di Exin, visto che con loro collaboro!) che dovrebbe essere disponibile entro l'estate 2016. Anche itskeptic ha annunciato che OGC (!) si dedicherà a Devops e questa certificazione entrerà nel catalogo dei "soliti noti", Exin inclusa.

Federico Corradi ha anche contattato il "Devops Iinsitute", che propone un corso dedicato (DevOps Foundation) e poi due corsi Agile con argomenti DevOps (Certified Agile Service Management o CASM; Certified Agile Process Owner o CAPO).

SIAM (Service Integration and Management) si occupa della gestione di contratti multi-sourcing, ossia contratti con vari fornitori che devono essere tra loro integrati. Anche questa è materia molto antica, soprattutto in ambito manifatturiero, anch'essa negletta in ambito IT soprattutto in questi anni in cui sembra che gli unici fornitori degni di nota siano quelli di servizi cloud.

Federico Corradi è riuscito a trovare due pubblicazioni promozionali sul SIAM:
- una di Axelos:
https://www.axelos.com/case-studies-and-white-papers/who-is-the-king-of-siam;
- una del Information Services Group (ISG; www.isg-one.com): "Assembling the jigsaw: Service Integration and Management in a Multisourced Operating Model".

Sembra però che questa materia sia troppo recente e, quindi, non sono disponibili certificazioni in materia.