domenica 11 aprile 2021

Materiale di formazione su OWASP Top 10 per il web

Glauco Rampogna (questo mese mi ha fornito molte indicazioni interessanti!)
mi ha segnalato questo sito dove sono disponibili applicazioni interattive
per formazione delle OWASP Top 10 per il web:
- https://application.security/free/owasp-top-10.

Come dice Glauco, può essere usato "al posto di mille webinar a pagamento".
E in effetti ho trovato più indicazioni utili e approfondite qui che nelle
presentazioni che ho sentito finora, tranne una di Paolo Perego
(https://codiceinsicuro.it/) ormai troppi anni fa.

Io confesso di aver guardato solo la ricostruzione dell'attacco a Capital
One con un attacco SSRF e la "Vertical Privilege Escalation". Non ho capito
proprio tutto, ma penso proprio si tratti di un buon approccio per spiegare
ai non tecnici come me alcune possibili vulnerabilità e ai tecnici come
mitigarle.

Il furto di dati personali da Facebook

Glauco Rampogna mi ha segnalato questo articolo sul furto di dati personali
da Facebook:
-
https://www.businessinsider.com/stolen-data-of-533-million-facebook-users-le
aked-online-2021-4?IR=T
.

Ormai questa è una notizia super nota e richiamata da tutte le testate
giornalistiche. Non mi sembra però di aver letto articoli tecnicamente
significativi.

Tranne questo (sempre segnalato da Glauco qualche giorno dopo):
-
https://www.reuters.com/article/us-facebook-data-leak/facebook-does-not-plan
-to-notify-half-billion-users-affected-by-data-leak-idUSKBN2BU2ZY
.

La cosa interessante è che Glauco ha cercato il mio nome e l'ha trovato con
il numero di cellulare. Ora... non mi sembra di averlo mai dato a Facebook.
Mi sa che l'ha reperito da WhatsApp e infatti sul profilo di Facebook il mio
cellulare non risulta disponibile. Quindi vuol dire che ha aggregato dati
credo senza una vera necessità. Ottimo...

Tra l'altro, in questi giorni ci sono stati altri attacchi (dati rubati a
LinkedIn, blocco dei servizi a Brescia per ransomware e del servizio Axios
per le scuole sempre per ransomware, analisi del Garante dell'incidente a
Booking.com a inizio 2019), però nessuno degli articoli che ho visto ci
insegna veramente qualcosa, tranne la necessità di stare attenti.

Risoluzione del Parlamento EU sull'applicazione del GDPR

Glauco Rampogna (un Idraulico della privacy) ha segnalato la pubblicazione
della "Valutazione della Commissione sull'applicazione del regolamento
generale sulla protezione dei dati due anni dopo la sua attuazione" e la
"Risoluzione del Parlamento europeo" in merito alla valutazione della
Commissione:
- https://www.europarl.europa.eu/doceo/document/TA-9-2021-0111_IT.html.

Il testo è di 14 pagine (il link proposto riporta all'edizione italiana). Io
però preferisco riportare quello che mi ha segnalato Glauco.

Galuco segnals il punto 7:
esprime preoccupazione per il fatto che il "legittimo interesse" è molto
spesso citato in modo improprio come base giuridica del trattamento; rileva
che i titolari del trattamento continuano a basarsi sul legittimo interesse
senza effettuare il necessario esame del bilanciamento degli interessi, che
comprende una valutazione dei diritti fondamentali; esprime particolare
preoccupazione per il fatto che alcuni Stati membri stanno adottando una
legislazione nazionale per determinare le condizioni per il trattamento
sulla base del legittimo interesse, prevedendo il bilanciamento dei
rispettivi interessi del titolare del trattamento e delle persone
interessate, mentre il GDPR obbliga ogni singolo titolare del trattamento a
effettuare tale esame del bilanciamento a livello individuale e ad avvalersi
di tale fondamento giuridico; teme che alcune interpretazioni nazionali del
legittimo interesse non rispettino il considerando 47 e vietino di fatto il
trattamento sulla base del legittimo interesse; si compiace che l'EDPB abbia
già avviato i lavori per aggiornare il parere del gruppo di lavoro "Articolo
29" sull'applicazione del legittimo interesse quale base giuridica per il
trattamento, al fine di affrontare le questioni evidenziate nella relazione
della Commissione.

e il punto 23:
si rammarica del fatto che il ricorso, da parte degli Stati membri, alle
clausole di specificazione facoltative (ad esempio, il trattamento
nell'interesse pubblico o da parte delle autorità pubbliche sulla base del
diritto dello Stato membro e dell'età del consenso dei minori) abbia
pregiudicato il conseguimento di una piena armonizzazione della protezione
dei dati e l'eliminazione di condizioni di mercato divergenti per le imprese
in tutta l'UE, ed esprime preoccupazione in relazione al fatto che ciò può
far aumentare il costo della conformità al GDPR.

Personalmente trovo particolarmente interessante il fatto che l'EDPB voglia
aggiornare l'opinione del WP Art. 29 del 2014 in merito al legittimo
interesse, in quanto basato sulla precedente Direttiva privacy.

lunedì 5 aprile 2021

Rapporto Clusit 2021

Come ogni anno, anche nel 2021 il Clusit ha pubblicato il suo rapporto:
- https://clusit.it/rapporto-clusit/.

I numeri, di per sé stessi, non mi entusiasmano molto, anche perché sono
sempre alti e, oltre una certa soglia, non dicono altro che "bisogna stare
attenti". Da questo punto di vista, il rapporto Clusit ogni anno trova un
messaggio nuovo e nel 2021 è "siamo sotto assedio".

Alcuni aspetti sono però degni di nota. Ovviamente le tipologie di attacco
più diffuse, che confermano il malware e il social engineering e quindi la
necessità di educare le persone a riconoscere ed evitare questi attacchi
(sempre più difficile, anche per la qualità sempre più alta delle email di
accompagnamento di questi attacchi).

Vedo che anche l'attacco BEC (Business email compromise) è molto diffuso e
devo dire che in questi anni l'ho sempre sottovalutato, ma nel 2020 un paio
di miei clienti ne sono rimasti vittima e quindi sbagliavo. Questo mi impone
di proporre alle organizzazioni per cui lavoro qualche forma di formazione
su questo tema (accetto suggerimenti). Ed ecco quindi che già questo
rapporto Clusit si è dimostrato per me molto utile.

Ho trovato anche molto interessante lo speciale sulla supply chain security,
altro argomento a mio avviso o sottovalutato o trattato molto male (vedo
ancora troppi questionari inutili che girano, come se potessero risolvere la
situazione).

Io ho segnalato gli argomenti che a me hanno interessato maggiormente, ma
sono sicuro che ciascuno troverà pane per i suoi denti e quindi ne
raccomando la lettura.