sabato 29 giugno 2013

Wi-fi libere? Boh!

Nel DL 69 del 2013 (il famoso Decreto del "fare") è presente l'articolo 10
con le pubblicizzate disposizioni per il wi-fi libero.

Se ho capito giusto: chiunque offra l'accesso Internet, quando questa non è
la sua attività prevalente (immagino quindi hotel, bar e le aziende che
dispongono di connessioni per gli ospiti), non hanno più l'obbligo di
registrare i dati dell'utente. Però devono "garantire la tracciabilita' del
collegamento (MAC address)".

Ecco... arrivato a questo punto mi sono chiesto se questo non sia peggio
della precedente disposizione (DL 144 del 2005, poi convertito dalla Legge
155 del 2005). Anche perché quelli che si erano già adeguati, se vogliono
continuare ad essere conformi alla normativa, dovranno fare altri
investimenti.

Comunque: aspettiamo fino a quando il DL sarà convertito in Legge e speriamo
negli emendamenti.

Per chi volesse approfondire, segnalo questo post sul blog de l'Espresso
segnalato sul gruppo infotechlegale.it di LinkedIn:
-
http://scorza.blogautore.espresso.repubblica.it/2013/06/22/wifi-decretodelfa
re-c%E2%80%99etantodarifare/


Per chi non apprezza il pdf segnalato dal post, il DL 69 è anche presente su
www.normattiva.it.

venerdì 28 giugno 2013

NIST SP 800-124 sui mobile devices

Il NIST ha annunciato la pubblicazione della Special Publication 800-124
Revision 1, "Guidelines for Managing the Security of Mobile Devices in the
Enterprise". La trovate al link:
- http://csrc.nist.gov/publications/PubsSPs.html#800-124

E' una guida breve, con le "solite" indicazioni per la sicurezza dei
dispositivi mobili (password per accedere, cifratura dei dati, wiping dei
dati, whitelisting delle apps, eccetera). Alla fine, proprio in fondo, si
trovano 3 simpatici link ai "Mobile Device Security-Related Checklist
Sites".

Un solo dubbio: sono indicati dei sistemi per il controllo centralizzato dei
dispositivi mobili, anche BYOD (mobile device management solutions); mi
chiedo perché non pubblichino una sorta di lista di comparazione degli
stessi. Credo sia utile.

PGP 2013 sulla business continuity

Segnalo che sono state pubblicate le " Good Practice Guidelines 2013 -
Global Edition - A Guide to Global Good Practice in Business Continuity".

Sono l'evoluzione dell'edizione del 2010, con un maggiore allineamento alla
ISO 22301. Personalmente, non mi sembra abbiano apportato straordinari
cambiamenti rispetto alla precedente edizione, a parte qualche termine
modificato e una grafica più accattivante.

Io apprezzo molto le GPG del BCI, anche se costano ben 25 sterline!

Il link:
- http://www.thebci.org/index.php/resources/the-good-practice-guidelines

Per chi invece volesse dedicarsi solo al materiale gratuito, segnalo la
ottima SP 800-34 del NIST:
-
http://csrc.nist.gov/publications/nistpubs/800-34-rev1/sp800-34-rev1_errata-
Nov11-2010.pdf

oppure un giro nella Knowledge Bank del The BCI:
- http://www.thebci.org/index.php/resources/knowledgebank

giovedì 27 giugno 2013

Nuova ISO 9001: prevista per il 2015

Dalla newsletter del DNV Italia, segnalo questo articolo sulla futura ISO
9001:
-
http://www.dnvba.com/it/information-resources/news/Pages/Nuova-ISO-9001.aspx

In poche parole: ne è prevista la nuova edizione nel 2015.

Non ho avuto la possibilità di leggerne le bozze, ma sono molto curioso di
vedere come hanno adottato il Testo comune per i sistemi di gestione (il
cosiddetto Annex SL).

giovedì 20 giugno 2013

Aggiornamento sul Regolamento Europeo Privacy

Ricevo da Stefano Tagliabue di Telecom Italia "un aggiornamento sui (lenti)
avanzamenti del processo di approvazione del General Data Protection
Regulation":

E' stato confermato che la votazione in Commissione LIBE (Libertà Civili,
Giustizia e Affari Interni) della bozza di relazione sulla proposta della
Commissione di Regolamento sulla protezione dei dati è stata rimandata
ulteriormente al prossimo ottobre.

LIBE negli scorsi mesi ha ricevuto i pareri delle altre commissioni
coinvolte (IMCO, JURI, INTRE, EMPL ) e, a causa dell'ingente numero di
emendamenti presentati –più di 3000-, la votazione, inizialmente programmata
per il 24 aprile, è successivamente slittata a fine maggio, luglio ed ora ad
ottobre. Non è ancora stata pubblicata la data precisa.

La transizione dovrebbe avvenire dopo due anni dalla pubblicazione del
Regolamento nella Gazzetta Ufficiale della Comunità Europea, almeno stando
alla bozza attuale.

mercoledì 19 giugno 2013

Raccomandazioni della DFA per i dispositivi medici

Dalla newsletter SANS Newsbytes trovo la notizia per cui l'agenzia USA Food
and Drug Administration (FDA) ha pubblicato delle raccomandazioni sulla
sicurezza dei dispositivi medici:
-
http://www.fda.gov/MedicalDevices/DeviceRegulationandGuidance/GuidanceDocume
nts/ucm356186.htm

- http://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm356423.htm

Trovo interessante ed inquietante che i dispositivi medici siano così
vulnerabili alle minacce informatiche. Inoltre, sembra che le loro
configurazioni di default siano molto insicure.

Personalmente sono contento della strada presa da Microsoft e altri nel
rendere più sicura la configurazione di default dei loro sistemi, ma ancora
non capisco perché ciò non succeda anche per gli altri software, soprattutto
se critici come quelli collegati a dispositivi medici (mi assumo comunque
delle colpe da auditor).

La formazione sulla sicurezza è utile? (risposte - parte 3)

Ad aprile avevo pubblicato un post dal titolo "La formazione sulla sicurezza
è utile?":
- http://blog.cesaregallotti.it/2013/04/la-formazione-sulla-sicurezza-e-utile.
html


Mauro Cicognini di WID Consulting mi ha dato il suo punto di vista. Dico che
mi pare molto condivisibile e sfuma meglio quanto da me scritto (infatti, io
stesso erogo corsi di formazione e sensibilizzazione sulla sicurezza; non
posso reputarli sempre inutili!).

Quindi, copio e incollo la risposta di Mauro, ma prima ricordo le altre
risposte ricevute:
- http://blog.cesaregallotti.it/2013/04/la-formazione-sulla-sicurezza-e-utile.
html

-http://blog.cesaregallotti.it/2013/06/la-formazione-sulla-sicurezza-e-utile.
html


<<
Leggendo bene il post di Schneier
(https://www.schneier.com/blog/archives/2013/03/security_awaren_1.html) -
come al solito, effettivamente molto ben scritto - e le varie reazioni che
ha ricevuto, mi trovo in realtà molto più vicino all'opinione di David
Kennedy (linkata dallo stesso Bruce sul suo post).

Trovo il post di Bruce molto parziale, puntato com'è esclusivamente su
contromisure tecnologiche che, per quanto importanti, come sappiamo non sono
sufficienti a portare a casa il risultato: a me viene in mente quello che mi
raccontano i miei amici che di mestiere fanno i Penetration Tester, che
ottengono il risultato nel 100% dei casi, e nella maggior parte di essi
usano non la tecnologia ma una qualche combinazione di tecniche di social
engineering. Difficile dire quindi che la formazione delle persone non
conti.

Il "dettaglio" di cosa intendiamo per formazione, ovviamente, fa la
differenza, e - come autorevolmente commentato anche da chi ha risposto a
Bruce - non è lecito inferire dal fatto che la maggior parte dei programmi
di formazione sulla sicurezza fanno schifo (indubitabile) il fatto che
allora la formazione sulla sicurezza non serve. Il sillogismo non regge.

Ciò detto, le due cose positive che scrive, sono in realtà assolutamente
vere, giuste, commendabili, e da divulgare il più possibile:
1. spendere di più per educare i programmatori sulla sicurezza. Bisogna
davvero spendere molto di più per formare i programmatori; anzi mi verrebbe
voglia di prendere per le orecchie quanti ancora oggi si dimenticano di
inserire alcune cose assolutamente basilari come la validazione dei dati in
ingresso.
2. almeno una parte della consapevolezza che gli utenti hanno della
sicurezza deve essere "respirata nell'aria", percepita in modo informale,
ecc., come peraltro scrivi anche tu riferendoti alle pratiche e alla cultura
aziendale (ma non basta, la sicurezza non può fermarsi alla cancellata
dell'azienda).
>>

Il link all'articolo di David Kennedy:
- https://www.trustedsec.com/march-2013/the-debate-on-security-education-and-a
wareness/

Quaderno Clusit: "Certificazioni Professionali in Sicurezza Informatica 2.0"

Con molto piacere, segnalo la pubblicazione del Quaderno Clusit:
"Certificazioni Professionali in Sicurezza Informatica 2.0".

Gli autori siamo io e Fabio Guasconi.

Sono molto contento del risultato ottenuto, sia per la raccolta e
schematizzazione dei dati sia perché nell'introduzione siamo riusciti a
esporre i pregi delle certificazioni professionali insieme alle dovute
cautele da prendere.

Il Quaderno è disponibile su http://www.clusit.it/download/Q09_web.pdf.

venerdì 14 giugno 2013

OWASP Top 10 - 2013

OWASP ha pubblicato il 12 giugno l'aggiornamento delle "OWASP Top 10", ossia
delle 10 vulnerabilità più critiche delle applicazioni web. L'edizione
precedente è del 2010.

La notizia l'ho avuta dal gruppo Clusit su LinkedIn, che l'accompagna dal
seguente commento: "sono le stesse del 2010; questo vuol dire che
bisognerebbe iniziare a fare i compiti". Credo si riferisca al fatto che se
le vulnerabilità più critiche sono sempre le stesse, vuol dire che in 3 anni
nulla è stato fatto per ridurle.

In realtà l'elenco è leggermente diverso da quello del 2010, ma si tratta di
un rimescolamento delle stesse cose. Viene data maggiore evidenza ai
software riutilizzati, spesso non ben gestiti e aggiornati.

Trovo la lettura delle Top 10 un po' ostica, probabilmente a causa degli
accorpamenti fatti e della sintesi con cui i vari problemi sono trattati.
Sto quindi aspettando la nuova edizione della OWASP Guida, prevista per il
2013.

Potete scaricare la Top 10 dal seguente link:
- https://www.owasp.org/index.php/Top10

giovedì 13 giugno 2013

ITIL "venduto" ad una joint venture

La notizia è in giro da qualche tempo: il Governo UK ha "venduto" ITIL e
Prince2 ad una nuova società a cui lo stesso Governo UK partecipa con il
49%. Il 51% è di una società denominata Capita.

Alcuni sono molto critici perché temono un'eccessiva futura
commercializzazione di ITIL:
- http://www.itsmportal.com/news/itil-goes-commercial

Altri sono invece soddisfatti perché ora la nuova joint venture si occuperà
di svolgere funzioni di arbitro e controllore imparziale dei fornitori di
formazione e certificazioni ITIL, mentre in precedenza APMG svolgeva il suo
incarico di arbitro e controllore in regime di conflitto di interessi, in
quanto fornitore di certificazioni essa stessa.

In realtà, nel Gruppo Capita, una piccola società è fornitrice di formazione
ITIL, ma è stato dichiarato che i suoi servizi sono svolti principalmente
all'interno del Gruppo e che non vi sono piani di un suo sviluppo come
concorrente degli altri fornitori di formazione (ATO, accredited training
organization). Mi chiedo se però poi a Capita non verrà un po' di appetito.

Le dichiarazioni in merito al futuro del "sistema ITIL", seppure ancora
molto possibiliste, le trovate sul sito ufficiale:
- http://www.best-management-practice.com/?di=637187

sabato 8 giugno 2013

Il mercato delle vulnerabilità - Parte 2

Un anno fa avevo scritto un breve articolo sul mercato delle vulnerabilità:
- http://blog.cesaregallotti.it/2012/06/il-mercato-delle-vulnerabilita.html

Nel numero del 30 maggio 2013, l'Economist tratta l'argomento più
diffusamente, anche se senza fare alcun commento:
- http://www.economist.com/news/business/21574478-market-software-helps-hacker
s-penetrate-computer-systems-digital-arms-trade


Faccio il mio: trovo allarmante che esistano così tante imprese legalmente
riconosciute il cui obiettivo è vendere vulnerabilità. Certamente io sono
uno sciocco, visto che i prezzi variano tra i 20.000 e 250.000 dollari!

Regole tecniche sulle firme elettroniche (AgID e Garante privacy)

Il 2 febbraio è stato approvato il Decreto del Presidente del Consiglio dei
Ministri dal titolo "Regole tecniche in materia di generazione, apposizione
e verifica delle firme elettroniche avanzate, qualificate e digitali [...],
che sostituisce quello del 30 marzo 2009.

Il DPCM si trova nella pagina del sito dell'AgID:
- http://www.digitpa.gov.it/firme-elettroniche-certificatori

Ringrazio Daniela Quetti che ha postato l'informazione sulla newsletter di
DFA.

Sul Sole 24 Ore si trova anche un interessante articolo che segnala come la
maggiore novità sia l'estensione delle regole alla firma elettronica
avanzata, non solo digitale; questo ha come conseguenza il riconoscimento
della piena validità giuridica dei documenti informatici, tranne che per
alcuni casi specifici:
- http://www.ilsole24ore.com/art/norme-e-tributi/2013-05-22/firma-elettronica-
funzioni-064353.shtml?uuid=AbrUL1xH

- http://www.ilsole24ore.com/art/norme-e-tributi/2013-05-22/vecchia-grafia-div
enta-spendibile-064416.shtml?uuid=AbUaL1xH


Ad aprile il Garante aveva già dato il permesso ad un paio di banche ad
introdurre la possibilità per i clienti di firmare su lettori digitali
anziché su carta; sebbene richiesto dalla normativa, il commento mi è
sembrato inutile e forse dannoso (ora dovrò stare attento a tutti i
documenti firmati che ho in casa perché rappresentano dati personali
biometrici con il rischio di palesare lo stato di salute del firmatario...):
- http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2
381240#1

Contrassegno elettronico e Linee guida

L'Agenzia per l'Italia Digitale ha emanato la Circolare n. 62/2013 relativa
alle Linee guida per il contrassegno generato elettronicamente.

Copiando dalla Circolare: " La copia analogica del documento amministrativo
informatico su cui è apposto il contrassegno elettronico sostituisce a tutti
gli effetti di legge la copia analogica sottoscritta con firma autografa e
pertanto non può essere richiesta all'amministrazione la produzione di altro
tipo di copia analogica".

Inoltre: "Il contrassegno non assicura di per sé la "corrispondenza" della
copia analogica al documento amministrativo informatico originale contenuto
nel contrassegno stesso o conservato dall'amministrazione che lo ha
prodotto, ma costituisce uno strumento mediante il quale è possibile
effettuare la verifica della suddetta corrispondenza secondo modalità
oggetto delle presenti linee guida".

I contrassegni elettronici più diffusi sono quelli visibili come quelle
specie di codici a barre a punti (PDF417, 2D-Plus, WR Code) o di quadrati a
punti (Maxicode, DataMatrix, Dataglyph, QR Code).

La circolare si trova sul sito dell'AgID:
- http://www.digitpa.gov.it/notizie/contrassegno-elettronico-online-circolare-
sulle-linee-guida

La formazione sulla sicurezza è utile? (risposte - parte 2)

In aprile avevo scritto che " la formazione degli utenti sulla sicurezza
informatica non è generalmente utile":
- http://blog.cesaregallotti.it/2013/04/la-formazione-sulla-sicurezza-e-utile.
html


Ho già pubblicato alcune risposte:
- http://blog.cesaregallotti.it/2013/05/la-formazione-sulla-sicurezza-e-utile.
html


Ne ho ricevuta un'alta da parte di Stefano Brambilla di Intesa Sanpaolo che
ringrazio perché la trovo molto interessante.



<< La mia esperienza vissuta in quest'ultimo periodo con la ISO/IEC 27001 mi porta a pensare che la formazione è utile. Infatti per le persone che lavorano sui sistemi in ambito di certificazione ho tenuto un corso di formazione di un'ora per dal titolo "Dal Cobit alla ISO/IEC 27001: implicazioni pratiche per gli operatori tecnici".

Non ho (per ora) una "misurazione di efficacia" quantitativa che lo possa dimostrare, ma vedo nel comportamento delle 35 persone a cui ho fatto il corso che ne tengono conto, anche se non tutti, non del tutto, e con attenzione decrescente nel tempo.... Però se non avessi fatto formazione avrei avuto comportamenti mediamente peggiori. Quindi la mia risposta secca alla domanda "La  formazione sulla sicurezza è utile?" è "Sì, è utile".>>

Il Governo USA raccoglie dati personali

La notizia è molto nota e molto diffusa e la traduco direttamente dal sito
del Washington Post (segnalato dal SANS NewsByte): la National Security
Agency e l'FBI stanno effettuando intercettazioni direttamente dai server di
9 delle più importanti aziende USA fornitrici di servizi Internet
(Microsoft, Apple, Yahoo!, Google, Facebook, Skype, YouTube, PalTalk, AOL)
per analizzare audio, video chiamate, fotografie, e-mail, documenti e
connessioni. Questo per controllare alcuni obiettivi stranieri.

Il progetto si chiama Prism ed è anche disponibile una presentazione
dell'NSA:
- http://www.washingtonpost.com/www.washingtonpost.com/investigations/us-intel
ligence-mining-data-from-nine-us-internet-companies-in-broad-secret-program/
2013/06/06/3a0c0da8-cebf-11e2-8845-d970ccb04497_story.html


Sul giornale del 8 giugno, Obama conferma la notizia:
- http://www.corriere.it/esteri/13_giugno_07/inchiesta-usa-nsa_e2fdc50e-cf7e-1
1e2-b6a8-ee7758ca2279.shtml


Lo sapevamo già da Echelon che una roba così era fattibile e quasi
sicuramente fatta. Il successo di telefilm come Person of interest dimostra
anche quanto tutto ciò fosse già da tempo nel nostro immaginario. E' dagli
anni '90 che in tutte le aziende ci si racconta che i sistemisti guardano le
e-mail del personale.

Ora abbiamo la certezza che tutto ciò è realtà. E finché sono i "buoni" a
fare certe cose, possiamo anche accettarlo. Ma le stesse tecnologie sono
anche in mano ai "cattivi" (lascio ai lettori scegliere a quale delle tue
categorie appartengono NSA e FBI) o ai "furbi" che ci inondano di
pubblicità.

Dovremo da una parte modificare qualche nostro atteggiamento personale e poi
osservare se questa notizie inciderà sulla società nel suo complesso. Forse
un po' più di attenzione alla riservatezza non potrà guastare.