venerdì 31 agosto 2018

Eventi, foto pubblicate e privacy

Un mio cliente vuole filmare (e poi diffondere i video) un evento con pubblico a pagamento. Come è noto ogni tanto si fanno dei primi piani dei partecipanti.

Ho chiesto ai miei contatti se potevano aiutarmi (ovviamente sapevo che la soluzione ideale è avere la liberatoria di OGNI partecipante).

Riccardo Lora degli Idraulici della privacy mi ha segnalato questo link molto utile sui casi pratici per la pubblicazione di foto degli eventi:
- http://www.fotografi.org/pubblicabilita_foto_ritratto_esempi_concreti.htm.

Pietro Calorio (sempre degli Idraulici della privacy) ha segnalato questa proposta (forse non seria) per considerare chi non vuole fornire il consenso ad essere ripreso:
- https://petapixel.com/2018/08/17/festival-dont-want-to-be-in-photos-put-a-red-dot-on-your-forehead/.

Li ringrazio molto e ringrazio anche chi vorrà fornire ulteriori approfondimenti.

giovedì 30 agosto 2018

Opinioni EDPB in italiano

Sabrina Prola mi ha segnalato la pubblicazione in italiano di alcune linee guida sull'applicazione del GDPR già pubblicate in passato dal WP Art. 29 (oggi nel EDPB) in inglese.

Le linee guida sono le seguenti:
- 250 rev. 01 sulle violazioni dei dati personali;
- 251 rev. 01 sui processi decisionali automatizzati e sulla profilazione;
- 259 rev. 01 sul consenso;
- 260 rev. 01 sulla trasparenza.

Queste linee guida si trovano sul sito del Garante:
- https://www.garanteprivacy.it/web/guest/regolamentoue.

Si trovano anche sul sito dell'EDPB, con la traduzione in tutte le altre lingue:
- https://edpb.europa.eu/our-work-tools/our-documents/publication-type/guidelines_it.

Minimum standard for improving ICT resilience

Giulio Boero mi ha segnalato il documento "Minimum standard for improving ICT resilience" dell'ufficio federale FONES della Confederazione Svizzera:
https://www.bwl.admin.ch/bwl/en/home/themen/ikt/ikt_minimalstandard.html.

A me sembra un documento ben fatto, anche se sono sempre critico nel vedere il numero sempre più elevato di standard, linee guida, check list e simili.

Riporto quanto scritto da Giulio Boero stesso (e lo ringrazio): << il documento (corredato da relativo assessment tool in .xlsx) è prodotto dalla Confederazione Svizzera. E' abbastanza interessante (seppur non così "rivoluzionario", ma ormai c'è poco di nuovo da inventare ) e presenta un approccio "elvetico" alla sicurezza informatica che può dare spunti interessanti. Il tutto mappato sui principali standard di sicurezza. >>

Guida AgID su metriche software applicativo

Franco Vincenzo Ferrari di DNV GL mi ha segnalato la "Guida tecnica all'uso di metriche per il software applicativo sviluppato per conto delle pubbliche amministrazioni" di AgID (si trova al link seguente sotto "Documentazione"):
- https://www.agid.gov.it/it/design-servizi/linee-guida-design-servizi-digitali-pa.

Mi sembra interessante ma forse (!) troppo teorico e inattuabile nella realtà.

martedì 28 agosto 2018

Sulla blockchain

Avevo detto che avrei cercato di capire meglio la blockchain.

Da un punto di vista funzionale, il concetto è abbastanza semplice: è un sistema che permette di tracciare le transazioni.

Tecnologicamente è molto complesso perché i database su cui sono tracciate le transazioni (ledger) non si trovano su un server, ma sui pc dei partecipanti. Pertanto questi database devono avere degli elevati livelli di sicurezza, tali da non permettere ai partecipanti di violarli.

Questa soluzione ha diversi problemi tecnologici (le soluzioni basate su blockchain non sono così semplici da usare, anche perché le modifiche sono molto difficili da apportare) e filosofici. Mi è piaciuto questo articolo, peraltro molto critico:
- https://medium.com/@kaistinchcombe/decentralized-and-trustless-crypto-paradise-is-actually-a-medieval-hellhole-c1ca122efdec.

Commento personale: sono molto perplesso perché quasi tutti gli articoli sulla blockchain ne promuovono la tecnologia ("la blockchain risolverà tutti i vostri problemi"), senza però indicarne i campi di applicazione, se non in modo generico.

Non sarò mai un esperto di blockchain e non credo me ne occuperò ulteriormente (ma forse questo non interessa nessuno).

Edge e fog computing

Tempo fa avevo scritto di fog e mist computing, dichiaranto la mia incompetenza:
- http://blog.cesaregallotti.it/2018/03/fog-e-mist-computing.html.

Franco Vincenzo Ferrari di DNV GL mi ha inoltrato questo articolo dal titolo "What Is Edge Computing?":
- https://www.cbinsights.com/research/what-is-edge-computing/.

In sostanza: con il termine "IoT" si intendono solo i sensori con limitatissime capacità computazionali (e collegati ad un server detto "cloud"); con il termine "Edge" si intendono i sensori con una capacità computazionale maggiore (o sensori collegati ad un processore "nelle vicinanze"). Questo permette di attivare elaborazioni senza transitare dal cloud.

Fin qui mi sembra tutto semplice. Solo una questione terminologica per dire cose abbastanza ovvie (a parte la tecnologia che ci sta dietro).

Poi l'articolo tira fuori il "fog computing" e io continuo a non capire di cosa si tratta.

lunedì 27 agosto 2018

DFIR for Genoa

Raccolta fondi per Genova della comunità DFIR:
- https://www.gofundme.com/dfir-for-genoa.

Mattia non è solo un amico di Genova, è un grande professionista e consiglio quanti vorrebbero "fare qualcosa" di aderire.

Corso di perfezionamento su Criminalità Informatica e investigazioni digitali

L'Università statale di Milano organizza il corso "Criminalità Informatica e investigazioni digitali":
- http://www.beccaria.unimi.it/ecm/home/didattica/corsi-di-perfezionamento/criminalita-informatica-e-investigazioni-digitali.

Lo promuovo e consiglio a tutti di partecipare (sono anche Presidente dell'associazione degli ex alunni; www.perfezionisti.it).

CSA Top Threats to Cloud Computing

Franco Vincenzo Ferrari di DNV GL mi ha segnalato la pubblicazione del documento "Top Threats to Cloud Computing: Deep Dive" del Cloud Security Alliance (richiede registrazione):
- https://cloudsecurityalliance.org/media/press-releases/csa-releases-top-threats-to-cloud-computing-deep-dive/.

Si tratta di un elenco di 12 attacchi (non minacce!) particolarmente significativi e avvenuti negli ultimi anni.

Segnalo quelli per me più significativi (e, a ben vedere, non si tratta di "minacce cloud").

Il caso del 2016 di due dipendenti della società Zynga che hanno portato dati da un concorrente:
- https://arstechnica.com/tech-policy/2016/11/zynga-sues-2-former-employees-over-alleged-massive-data-heist/.

L'attacco a Yahoo! del 2013, che ha dimostrato diverse leggerezze procedurali:
- http://fortune.com/2016/12/19/yahoo-hack-cyber-security/.

mercoledì 15 agosto 2018

Violazione Reddit e debolezze della 2FA - Post scriptum

Avevo già scritto brevemente e recentemente dell'autenticazione a due fattori:
- http://blog.cesaregallotti.it/2018/08/violazione-reddit-e-debolezze-della-2fa.html.

Nel numero di Crypto-Gram di agosto 2018, Bruce Schneier segnala che Google ora produce il suo token:
- https://www.schneier.com/blog/archives/2018/07/google_employee.html.

La mia competenza in materia è ahimè scarsa, ma cerco di migliorarla. In precedenza avevo segnalato alcuni meccanismi di 2FA, ma non avevo colto il fatto che possono essere in ordine di livello di sicurezza (i link si trovano sul post di Bruce Schneier):
- codici temporanei, o one-time, inviati via SMS (ritenuti molto insicuri);
- codici temporanei inviati via app per dispositivi mobili (esempi sono Google Auth e MS Authenticator);
- chiavi USB o Bluetooth (o NFC o altro) da collegare al pc o al dispositivo mobile (esempi sono YubiKey di Yubico, U2F Security Key di Feitian e il recente Titan Key di Google, basati sul protocollo FIDO).

Prego di inviarmi ulteriori approfondimenti su questa materia.

sabato 4 agosto 2018

Proroga autorizzazioni del Garante

Il Garante, visto che non è stata ancora approvata la "nuova normativa italiana in materia di privacy", ha preferito prorogare le autorizzazioni per i trattamenti di dati sensibili e giudiziari previste dal Dlgs 196 del 2003:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9026901.

E' una notizia forse non importante (nel senso che chi si occupa di privacy avrebbe già dovuto conoscerle). Comunque ringrazio Pietro Calorio e Chiara Ponti degli Idraulici della privacy per aver segnalato la notizia.

Violazione Reddit e debolezze della 2FA

La notizia, giunta via Twitter da @skhemissa è che Reddit è stata violata da qualcuno che ha compromesso le credenziali di personale interno per accedere a dei server cloud e di immagazzinamento di codice sorgente (e quindi a dei backup di dati degli utenti in sola lettura):
- https://thehackernews.com/2018/08/hack-reddit-account.html.

La stessa notizia l'ho trovata (più sintetica) sul SANS NewsBites Vol. 20 Num. 061, che si può consultare su questa pagina:
- https://www.sans.org/newsletters/newsbites/.

Questa notizia è importante perché le credenziali erano protette da un sistema di autenticazione a due fattori (o 2-factor-authentication o 2FA) basato su SMS e questo attacco ha dimostrato che è facile comprometterlo.

Se il 2FA basato su SMS è debole, ancora più debole è il sistema basato sulle sole user-id e password.

E quindi io mi chiedo: quanti hanno detto ai loro clienti che i servizi accedibili con sole user-id e password sono vulnerabili? Penso in particolare ai servizi su cloud (tra cui email, file sharing, backup), ma anche, ovviamente, agli altri.

Ricordo, copiando dal SANS NewsBites, alcuni punti:
- la pubblicazione NIST SP 800-63-3 (che già segnalai a suo tempo) raccomandava di non usare sistemi 2FA basati su SMS;
- il 2FA basato su SMS è comunque preferibile ai sistemi basati su sole user-id e password ed è più economico dei sistemi 2FA basati su token;
- esempi di sistemi 2FA basati su token sono Google Auth, MS Authenticator, YubiKey e RSA SecurID.

giovedì 2 agosto 2018

Provvedimento Garante: Localizzazione di veicoli aziendali

Segnalo questo Provvedimento del Garante sulla localizzazione di veicoli aziendali:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9023246.

In sostanza ricapitola i Provvedimenti precedenti e alcune nuove misure in relazione ai GPS sui mezzi aziendali, pertanto è utile per le aziende (e i loro fornitori!) che usano tali misure.

Il Provvedimento è stato anche pubblicizzato come "storico" perché usa per la prima volta il principio di privacy by design e privacy by default. Ritengo sia esagerato. Ma il provvedimento è comunque importante.