giovedì 18 ottobre 2012

Vulnerabilità alla IEEE


Questa notizia me l'ha data Sandro Sanna:
-
http://www.ilsole24ore.com/art/tecnologie/2012-09-26/falla-sistema-sicurezza-ieee-192130.shtml?uuid=AbSioBkG

In breve: su un ftp server erano conservati dei log con anche delle user-id e password non cifrate.

Purtroppo, il solito mix di incompetenza, disattenzione e superficialità.

Il fatto che sia coinvolta la IEEE dà solo più colore alla notizia. Il cui significato finale rimane quello di dover sensibilizzare l'IT.

mercoledì 17 ottobre 2012

Firme digitali: SHA-3


Il "nuovo" algoritmo per le firme digitali, che sostituirà lo SHA-2, è nato e si chiama in modo poco originale SHA-3:
-
http://csrc.nist.gov/groups/ST/hash/policy.html

Il punto di riferimento è lo statunitense NIST. Ha dato l'annuncio della scelta dell'algoritmo di hashing (Keccak) a inizio ottobre:
-
http://csrc.nist.gov/groups/ST/hash/sha-3/winner_sha-3.html

Come si vede dalle pagine del NIST, non c'è ancora la necessità di migrare al nuovo algoritmo.

La notizia l'ho avuta dalla newsletter Crypto-Gram, in cui Bruce Schneier fa anche notare come l'attuale SHA-512 sia ancora da considerare sicuro:
-
https://www.schneier.com/blog/archives/2012/09/sha-3_will_be_a.html

Certificazioni e avvalimenti


Un avvalimento, detto in poche parole, permette ad un'azienda che partecipa ad una gara di non avere tutti i requisiti richiesti, perché può indicare altre aziende "amiche" che li hanno al posto loro.

Detta così non sembra una procedura condivisibile, soprattutto se si parla di certificazioni di sistemi di gestione. E infatti, l'Autorità di Vigilanza sui Contratti Pubblici ha chiarito la sua posizione in questo senso.

La Determinazione dell'Autorità:
-
http://www.avcp.it/portal/public/classic/AttivitaAutorita/AttiDellAutorita/_Atto?ca=5146

Il riassunto di Accredia:
-
http://www.accredia.it/news_detail.jsp?ID_NEWS=986>emplate=default.jsp&ID_AREA=10

Ringrazio l'organismo di certificazione NQA per la notizia.

mercoledì 10 ottobre 2012

Standardizzazione: approvata la ISO/IEC 27037 su digital forensics


Segnalo che è stata approvata, con voto concluso il 23 settembre, la norma ISO/IEC 27037 dal titolo "Guidelines for identification, collection, acquisition, and preservation of digital evidence".

Questa norma sarà poi seguita da altre norme ISO sulla digital forensics.

Da una presentazione di Alessandro Guarino del novembre 2011, segnalo che questa norma riguarda le fasi di identificazione, raccolta (collection), acquisizione e conservazione (preservation); non riguarda quindi le fasi di analisi, presentazione, eliminazione (disposal).

giovedì 4 ottobre 2012

Certificati digitali invalidati? - 2a puntata


Il 14 febbraio avevo postato la notizia sulla possibile non validità delle firme digitali rilasciate da quasi tutte le autorità di certificazione. Questo perché non avevano dei dispositivi di generazione delle chiavi certificati opportunamente:
-
http://blog.cesaregallotti.it/2012/02/certificati-digitali-invalidati.html

Dal sito dell'Agenzia per l'Italia Digitale, ho avuto notizia del DPCM del 19 luglio 2012 con un'ulteriore deroga alle deroghe precedenti (una del 14 ottobre del 2011, che a sua volta prorogava la deroga data il 10 febbraio 2010, che poi a sua volta prorogava una misura del 1999).

Un mio anonimizzato lettore ha fatto i seguenti commenti:
- ho sempre visto le deroghe come una diminuzione "almeno momentanea" della sicurezza e pertanto non mi piacciono. Poi si sa che in Italia niente è più definitivo di ciò che è momentaneo;
- il decreto, è scritto veramente male

Io aggiungo che tutto ciò mi ricorda le brutte deroghe per il DPS.

Infine, ho chiesto sempre al mio anonimizzato lettore alcuni chiarimenti sui tempi di certificazione di un prodotto rispetto ai Common Criteria (ISO/IEC 15408):
- normalmente, la valutazione di un Security targhet (cioè la fase denominata ASE) la si fa in 30/40 giorni;
- se per "adeguatezza" si intende "una veloce lettura del ST per vedere se il TOE è adeguato per essere sottoposto ad una valutazione" che è la prima azione che fa per Legge un direttore di un CEVA prima ancora di accettare il contratto per evitare di perdere tempo e soldi del contribuente che paga il certificatore, allora ci vuole una settimana lavorativa;
- per la valutazione del TOE (cioè del suo Security target, dei deliverable e del TOE stesso), per un EAL1 si va da 7/8 mesi a n-anni (con n=2 per un SO EAL4);
- il nostro schema nazionale non prevede, purtroppo, delle durate limite delle certificazioni, che invece sono previste in altri Paesi (dove, per esempio, per un EAL4 devono essere impiegati un massimo di 18 mesi).

Avvertenza: io e il mio lettore abbiamo utilizzato la terminologia inglese, anche perché le traduzioni italiane sono orrende.

Potete scaricare il nuovo DPCM del 19 luglio 2012 da
- www.digitpa.gov.it/sites/default/files/normativa/DPCM_19_luglio_2012.pdf




La pagina di DigitPA:
- http://www.digitpa.gov.it/notizie/firmato-decreto-ministro-profumo

Un commento sul sito dell'ANORC:
-
http://www.anorc.it/notizia/354_Approvato_il_Decreto__Salva_-_HSM___ecco_le_novit_.html

Privacy e cookies


Enzo Ascione di Intesa Sanpaolo mi ha segnalato questa interessante serie di brevi articoli sull'interpretazione da dare al nuovo articolo 122 del Codice Privacy, così come modificato dal Dlgs 69 del 2012.

L'articolo, soprattutto nella terza parte, tratta delle modalità di gestione dei cookies dei siti web distinguendone le diverse funzionalità (user-input cookies, authentication cookies, multimedia player session cookies, social plug-in content sharing cookies)

-
https://associazionecindi.wordpress.com/2012/06/29/cookies-privacy-d-lgs-69/