mercoledì 30 novembre 2016

Vulnerabilità nel protocollo NTP

Il protocollo NTP è quello che consente di sincronizzare gli orologi di pc e server in modo che abbiano tutti lo stesso orario (perché è divertente vedere l'orologio di John Belushi in Animal House, ma non averlo nella realtà). Normalmente i sistemi operativi hanno installato un codice open source e freeware con il nome ntpd e realizzato da un gruppo di persone dal nome NTP.org.

Intorno a giugno 2016 hanno scoperto numerose vulnerabilità nel ntpd, con impatto soprattutto sui sistemi operativi Windows.

E a quel punto si scopre che questa storia l'abbiamo già sentita, anche se con protagonisti diversi. Allora il protagonista principale era OpenSSL, ma la storia è ancora quella: si scopre che un protocollo importantissimo e diffusissimo è mantenuto da pochissime persone che non ricevono neanche un supporto economico sufficiente per continuare a lavorarci.

Non commento oltre perché queste storie sono sconfortanti. Ringrazio quindi Marco Fabbrini per avermi segnalato questo articolo:
- http://www.infoworld.com/article/3144546/security/time-is-running-out-for-ntp.html.

E non disperate. Alla fine sono riusciti a riparare le vulnerabilità (dal SANS NewsBites):
- http://www.theregister.co.uk/2016/11/23/ntp_patch_time_rolls_around_again/.

lunedì 28 novembre 2016

NIST Systems Security Engineering

Il NIST ha pubblicato la NIST Special Publication 800-160 dal titolo "Systems Security Engineering: Considerations for a Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems":
- http://csrc.nist.gov/publications/PubsSPs.html#800-160.

Un malloppo di 257 pagine. L'ho sfogliato e mi sembra un po' troppo teorico. Ho trovato più interessante l'Appendice G del corpo del documento.

giovedì 24 novembre 2016

Privacy a scuola

Il Garante privacy ha pubblicato un opuscolo dal titolo "La scuola a prova di privacy":
http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/5601934.

È soprattutto indirizzato a chi opera nella scuola, ma può essere utile a tutti.

Privacy shield approvato dal Garante

Dalla newsletter del Garante (e una gentile segnalazione di Ivo Trotti di TNS Italia, che ringrazio), segnalo che il Garante privacy italiano ha autorizzato il trasferimento dei dati personali negli USA alle organizzazioni che aderiscono al Privacy shield.

Non ripercorro la storia del Safe Harbor e del Privacy Shield. Ecco quindi la decisione del Garante:
- http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/5652873.

Ovviamente non troverete alcun link alla lista delle organizzazioni che hanno aderito al privacy shield. Sarebbe troppo facile. Però una semplice ricerca sul web fornisce il link:
- https://www.privacyshield.gov/list.

Non ho studiato il Privacy shield framework, ma capisco che un'azienda USA può aderire per dati HR (cioè per trattare i dati del personale dipendente) e/o dati non-HR.

sabato 19 novembre 2016

Cloud Adoption & Risk Report Q4 2016

Marco Fabbrini mi ha segnalato il report "Cloud Adoption & Risk Report Q4 2016" della Skyhigh (neanche sapevo che esistesse questa azienda). Il rapporto è presentato da un interessante articolo dal titolo "Cloud use could be putting businesses at risk":
- http://betanews.com/2016/11/17/cloud-use-business-risk/.

È breve e dice cose già note, che però è bene non dimenticare. Per esempio il fatto che le clausole contrattuali sono spesso negative per i clienti: il 69,7% non specifica di chi è la proprietà dei dati, solo l'8,7% assicura di non trasferire i dati a terze parti (qui però bisognerebbe capire le eccezioni), solo il 16% si impegna a cancellare i dati in caso di chiusura del contratto.

L'articolo si conclude ricordando che i siti di conversione di documenti da/a pdf, sebbene spesso ritenuti innocui, sono spesso usati per convertire dati molto critici, ma questi siti hanno clausole di garanzia per i clienti molto deboli (e quindi dovremmo chiederci cosa ci guadagnano offrendo il servizio di conversione).

I più interessati possono scaricarsi il rapporto completo dal titolo :
- https://www.skyhighnetworks.com/cloud-computing-trends-2016/.

Io mi sono solo letto l'estratto presentato nella pagina web e l'ho trovato molto interessante.

Pubblicata la 27035 sulla gestione degli incidenti

Sono state appena pubblicate le nuove norme ISO/IEC 27035 e ne è stata quindi cancellata la versione del 2011.

La nuova ISO/IEC 27035 è divisa in due parti. La prima ha titolo "Principles of incident management":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=60803.

La seconda parte ha titolo "Guidelines to plan and prepare for incident response" (di 145 pagine, ossia molto lunga):
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=62071.

Trovo interessante l'appendice C, che propone un esempio di categorizzazione degli incidenti, per gravità e ambito. Non credo sia un esempio ottimale, ma almeno c'è.

Pubblicata ISO/IEC 27050 sull'electronic discovery

È stata pubblicata da poco la ISO/IEC 27050-1 dal titolo "Electronic discovery -- Part 1: Overview and concepts":
- http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=63081.

Le parti 2 (Guidance for governance and management of electronic discovery) e 3 (Code of Practice for electronic discovery) sono ancora in bozza.

venerdì 18 novembre 2016

Dare più privacy per migliori prestazioni

Non so quanto questo articolo (segnalato da Crypto-gram di novembre) dal titolo "Want People to Behave Better? Give Them More Privacy" riguardi effettivamente la sicurezza delle informazioni e la normativa sulla privacy, però mi sembra comunque interessante:
- https://www.psychologytoday.com/blog/the-outsourced-mind/201604/want-people-behave-better-give-them-more-privacy.

In sintesi: se i datori di lavoro e i manager controllano di meno i lavoratori, questi tendono ad auto-organizzarsi in modo più efficiente e lavorare con miglliori prestazioni.

Credo che ciò sia degno di riflessione. Certamente bisogna bilanciare le esigenze di controllo (necessarie) con quelle di auto-gestione e responsabilizzazione delle persone.

giovedì 17 novembre 2016

Segnalazione di copia slide

Settimana scorsa avevo segnalato delle slide su privacy e sanità:
- http://blog.cesaregallotti.it/2016/11/dati-e-sanita.html.

Paola Generali GetSolution mi ha segnalato che le slide da 52 a 105 sono copiate da sue slide già presentate in varie occasioni allo SMAU e dedicate al nuovo GDPR:
- http://www.smau.it/speakers/paola.generali/.

Mi spiace essere stato implicato in una faccenda così e spero sia chiaro a tutti che non approvo in alcun modo il copia-incolla di materiale altrui, anche se liberamente disponibile. Certamente si può cogliere ispirazione per alcune cose (sennò dovremmo iniziare sempre da zero e non ci evolveremmo), però penso che chi diffonde conoscenza debba essere capace di elaborarla autonomamente.

Mio errato riferimento al GDPR

Nell post su PIA e valutazione del rischio in ambito privacy (http://blog.cesaregallotti.it/2016/10/privacy-pia-e-valutazione-del-rischio_28.html) ho fatto un errore: ho indicato che il GDPR (il Regolamento europeo sulla privacy) ha come riferimenti "Regolamento 169/2016", mentre si tratta del 679/2016.

Il post ora è corretto.

Ringrazio Agostino Oliveri (di Sicurdata) e Andrea Praitano (di Business-e) per avermi corretto.

Andrea, poi, in ambito PIA, ricorda che il CNIL francese ha pubblicato dei documenti ben fatti su questo argomento (io li avevo segnalati a suo tempo, ma un promemoria non guasta):
https://www.cnil.fr/en/privacy-impact-assessments-cnil-publishes-its-pia-manual.

sabato 12 novembre 2016

Sicurezza per le piccole imprese

Fabio Teoldi mi ha segnalato la nuova edizione della pubblicazione del NIST "NISTIR 7621 - Small Business Information Security: The Fundamentals". Si trova in questa pagina:
- http://csrc.nist.gov/publications/PubsNISTIRs.html

Mi piace e non solo perché il titolo non riporta "cyber", ma "information".

Potremo discutere lungamente dei controlli inclusi ed esclusi, ma mi sembra un'iniziativa importante, oltre che ben fatta.

Riscaldamento in Finlandia bloccato

Questa notizia l'ho letta sul SANS NewsBites: degli appartamenti in Finlandia sono rimasti senza acqua calda per una settimana perché il sistema di riscaldamendo è stato oggetto di attacco DDOS:
- http://www.theregister.co.uk/2016/11/09/finns_chilling_as_ddos_knocks_out_building_control_system/.

La cosa può far sorridere (Brian Honan, sul SANS NewsBites, commenta: "This brings a whole new definition to a cyber cold war").

Però ci sono lezioni da imparare:
- il sistema, fosse stato progettato correttamente, non doveva bloccarsi in assenza di attacco da Internet (classico caso per cui una funzionalità migliorativa diventa più importante delle funzionalità di base);
- chi ha progettato il sistema non aveva previsto un firewall di controllo accessi da Internet.

venerdì 11 novembre 2016

IT Audit & Cloud

Segnalo la pubblicazione "IT Audit & Cloud" di AIEA:
- http://www.aiea.it/attivita/gruppi-di-ricerca/it-audit-cloud.

Presenta una bella carrellata dei rischi da considerare quando si usano servizi cloud, delle condizioni contrattuali da prevedere e di altre misure pertinenti. Non tratta dettagli tecnici ed è molto breve. Una lettura interessante, insomma.

Normativa e-commerce

Segnalo questi 4 articoli proposti da Altalex sul commercio elettronico e in particolare sul D. Lgs. 70 del 2003. Mi sembra una buona occasione per ripassare.

1- E-commerce B2C: vendere online tra rispetto della normativa e attenzione al cliente:
http://www.altalex.com/documents/news/2016/04/06/e-commerce-b2cvendere-online-tra-rispetto-della-normativa-e-attenzione-per-il-cliente;
2- Se il consumatore cambia idea: il diritto di recesso nell'e-commerce di prodotti:
www.altalex.com/documents/news/2016/07/06/e-commerce-e-diritto-di-recesso;
3- Le controversie online: le ADR del commercio elettronico:
www.altalex.com/documents/news/2016/06/30/controversie-online-adr-commercio-elettronico;
4- Vendita online dei beni alimentari: requisiti, adempimenti e peculiarità:
www.altalex.com/documents/news/2016/10/21/vendita-online-dei-beni-alimentari.
.

mercoledì 2 novembre 2016

Stato delle norme della famiglia ISO/IEC 27000

Il 27 ottobre si è concluso ad Abu Dhabi il 53o meeting dell'ISO/IEC JTC 1 SC 27, il cui WG 1 si occupa delle norme della serie ISO/IEC 27000. Io ho partecipato in qualità di delegato italiano (in tutto la delegazione italiana era composta da 4 persone). I delegati erano in tutto 110 da 29 Paesi.

La buona notizia è che abbiamo finito i lavori sulla ISO/IEC 27003, ossia la guida all'interpretazione della ISO/IEC 27001:2013. Alcuni sperano sarà pubblicata entro fine 2016, io penso che lo sarà per inizio 2017. Questa norma è importante perché ci ha permesso di consolidare alcune decisioni prese per la ISO/IEC 27001. Certamente questa norma risulta pubblicata in ritardo, ben 3 anni dopo la ISO/IEC 27001, però era necessaria.

Sono partiti i lavori per la nuova ISO/IEC 27002, con una prima fase che consiste nell'elaborazione di una "design specification" (utile per evitare successivi ritardi). Nella migliore delle ipotesi uscirà tra 4 anni. Gli esperti hanno deciso di modificare la norma esistente per includere gli aggiornamenti tecnici necessari e per migliorare il testo già esistente (chiunque l'abbia letto con attenzione ha notato ripetizioni, eccessivi approfondimenti in qualche punto, eccessiva sintesi in altri).

Sono ripartiti, dalla fase di design specification, i lavori per la ISO/IEC 27005 sulla valutazione del rischio. Negli ultimi 4 anni gli esperti non hanno trovato un accordo per la modifica di questa norma e quindi si ripartirà da capo, con una nuova impostazione. Come ho già scritto in passato, molti sono d'accordo sulla direzione da prendere (ossia superare la metodologia asset-minacce-vulnerabilità basata sui "censimenti"), ma non hanno trovato il modo per affrontarla. La mia opinione è che in troppi vogliono promuovere la propria idea senza riuscire ad arrivare ad una sintesi di tutte.

Il problema dietro la ISO/IEC 27005 è che la ISO/IEC 27001 promuove l'uso di metodologie meno dettagliate, mentre la ISO/IEC 27005 (che dovrebbe essere una guida all'attuzione della ISO/IEC 27001) promuove invece l'approccio opposto. Anzi, proprio per questo motivo alcuni partecipanti hanno rilevati dei "difetti" nella attuale ISO/IEC 27005 che la mette in conflitto con la ISO/IEC 27001. Francamente, non so cosa pensare e cercherò di capire come questa questione sarà risolta.

Sono partiti o continuati i lavori per altre norme, tra cui la revisione delle ISO/IEC 27007, 27008, 27014, 27017 e 27019, la nuova ISO/IEC 27021, la pubblicazione di linee guida sulla "cyber resilience" (sarà quindi un business continuity per l'IT) e la "cyber insurance" (questa è in uno stadio successivo alla design specification ed è stata avviata la pratica per un "new item proposal"). La ISO/IEC 27015 sarà eliminata.

Infine, si vuole inaugurare una serie ISO/IEC 27100 sulla cyber security. Io continuo a vedere indecisione su cosa voglia dire "cyber security" (in realtà, nessuno vuole dirlo; si parla in pratica solo di IoT e tutti i lavori che ho visto sinora, incluso quello del NIST, parlano di sicurezza IT aziendale). Vedremo.

martedì 1 novembre 2016

Dati e sanità

Pasquale Tarallo mi ha segnalato questa sua presentazione relativa ai dati in ambiente sanitario:
- http://www.slideshare.net/tarallop/healthcare-data-management-67790102.

Mi racconta, tra l'altro, che è rimasto molto colpito dalla scarsa attenzione alla privacy nelle strutture sanitarie. E ha ragione (ci sono passato anche io di recente, anche se per cose decisamente modeste).

Post scriptum del 17 novembre 2016: Paola Generali GetSolution mi ha segnalato che le slide da 52 a 105 sono copiate da sue slide già presentate in varie occasioni allo SMAU e dedicate al nuovo GDPR:


Mantengo questo post con questo post scriptum per ricordare a me stesso e agli altri che certe cose non si fanno. Penso che chi diffonde conoscenza debba essere capace di elaborarla autonomamente.