lunedì 31 gennaio 2022

Programma di bug bounty

Pierluigi Stefli di Datapro mi ha segnalato questa pagina web di un programma di bug bounty promosso da una società di prodotti di smart energy:
- https://www.solaredge.com/it/cyber-security-policy.

In breve, questa società chiede di segnalarle vulnerabilità sui suoi sistemi e fornisce una ricompensa a certe condizioni (p.e. tempo per correggere gli errori prima della divulgazione).

Pierluigi me l'ha segnalata perché è la prima che vede così strutturata. E, a mia volta, la segnalo perché è la prima volta che ne vedo una così strutturata.

venerdì 28 gennaio 2022

Direttiva e regolamento RED (sui dispositivi radio)

Alessandro Cosenza di BTicino mi ha segnalato il nuovo Regolamento delegato (UE) 2022/30 che rende obbligatori, dal 1 agosto 2024, alcuni requisiti dei dispositivi radio:
- https://eur-lex.europa.eu/eli/reg_del/2022/30/oj.

I requisiti devono quindi assicurare che:
- non danneggiano la rete o il suo funzionamento, né abusano delle risorse della rete arrecando quindi un deterioramento inaccettabile del servizio;
- contengono elementi di salvaguardia per garantire la protezione dei dati personali e della vita privata dell'utente e dell'abbonato;
- supportano caratteristiche speciali che consentano di tutelarsi dalle frodi.

Per questi punti, nell'ambito di ETSI, CEN e CENELEC, si sta ragionando sulla possibilità di creare standard tecnici, al momento non esistenti.

Nuove regole per la conservazione dei documenti

Alessandro Cosenza di BTicino mi ha segnalato questo articolo relativo alla conservazione dei documenti:
- https://www.dirittodellinformatica.it/ict/gennaio-2022-3-nuovi-adempimenti-obbligatori-per-le-aziende.html.

L'articolo parla anche dei cookie e della transizione digitale, ma il punto che più ha attirato la mia attenzione è il secondo: "La figura del Responsabile della conservazione digitale: Obbligatorio per tutte le aziende".

In effetti si tratta di un punto che inizialmente non avevo considerato. Mi pare anche che le organizzazioni debbano avere un proprio manuale della conservazione. Mi pare, in sostanza, che questo sarà ottemperato o con un responsabile interno che, in sostanza, recepisce le indicazioni del conservatore (inteso come fornitore) o indicando come responsabile una persona del conservatore stesso. Insomma... nulla di sconvolgente, a parte il fatto che si tratta di altri adempimenti non utilissimi.

domenica 23 gennaio 2022

Campagna di sensibilizzazione "I Navigati"

Avevo segnalato la campagna #cyberscams (http://blog.cesaregallotti.it/2022/01/campagna-cyberscams-sulle-truffe.html) promossa, tra gli altri, da CERTFin e sono stato notato... Quindi Mario Trinchera di CERTFin mi ha scritto una gentilissima segnalandomi la campagna "I Navigati":
- https://inavigati.certfin.it/.

E' piuttosto interessante perché suddivisa in 8 video molto brevi e simpatici. Si tratta sicuramente di materiale di base, ma ben fatto e utile.

sabato 22 gennaio 2022

ISO/SAE 21434 Road vehicles - Cybersecurity engineering

Franco Vincenzo Ferrari del DNV mi ha segnalato la pubblicazione della ISO/SAE 21434:2021 Road vehicles - Cybersecurity engineering:
- https://www.iso.org/standard/70918.html.

Mi ha segnalato anche un articolo:
- https://www.cybersecurity360.it/soluzioni-aziendali/iso-sae-21434-il-nuovo-standard-di-cyber-security-in-ambito-automotive-correlazioni-e-limiti/.

Lo standard non riporta suggerimenti tecnici sulle misure da attuare, ma su tutto il resto: valutazione del rischio (che a sua volta richiama la ISO/IEC 18045), organizzazione, gestione dei progetti, gestione dei fornitori, eccetera. Scelta condivisibile, vista la continua evoluzione della tecnologia.

venerdì 21 gennaio 2022

Campagna #Cyberscams sulle truffe digitali

Franco Vincenzo Ferrari di DNV mi ha segnalato l'iniziativa #Cybersams. Si tratta della diffusione di materiale di sensibilizzazione e di formazione sulle truffe online. Mi sembra molto interessante.

Il materiale in italiano l'ho trovato sul sito CERTFin:
- https://www.certfin.it/educational/cyberscams/.

La campagna ha però diffusione europea e segnalo quindi il sito di Eurpol, dove ci sono i poster nelle lingue della UE:
- https://www.europol.europa.eu/operations-services-and-innovation/public-awareness-and-prevention-guides/take-control-of-your-digital-life-don%E2%80%99t-be-victim-of-cyber-scams.

lunedì 17 gennaio 2022

QR code falsi

Da Crypto-Gram di gennaio 2022, leggo la notizia "US Police Warn of Parking Meters with Phishing QR Codes":
- https://www.bitdefender.com/blog/hotforsecurity/us-police-parking-meters-phishing-qr-codes/.

Mi stavo chiedendo da tempo perché non avevo ancora sentito parlare di queste frodi. Sono stato, purtroppo, accontentato.

In sintesi: sui parchimetri è possibile trovare QR code che indirizzano a un sito per pagare il parcheggio. Però il sito è falso e l'incasso (e forse anche il numero di carta di credito) va a finire ai frodatori.

Antivirus con crypto miner

Da Crypto-Gram di gennaio 2022, leggo che l'antivirus Norton 360 adesso include un cryptominer:
- https://krebsonsecurity.com/2022/01/norton-360-now-comes-with-a-cryptominer/.

Il mio dubbio è che se la sicurezza si raggiunge anche con la semplicità, questo principio non è seguito da un prodotto antivirus che fa anche altro.

Ci sono anche altre questioni sollevate dall'articolo (il fatto che non si capisce bene chi ci guadagna a parte la Norton e i rischi per persone non sufficientemente attente alla sicurezza che sono incentivate a usare servizi con problemi di sicurezza da conoscere).

sabato 8 gennaio 2022

Vulnerabilità in log4j

E' noto che non mi occupo di questioni eccessivamente tecniche, ma la vulnerabilità trovata in log4j è decisamente importante. Intanto un articolo esplicativo (e tecnico):
- https://www.lunasec.io/docs/blog/log4j-zero-day/.

Riassumo dal SANS NewsBites del 10 dicembre: Una vulnerabilità nel log4j può essere sfruttata per l'esecuzione di codice da remoto (RCE). Mantenuta dall'Apache project, log4j è una libreria per realizzare funzioni di log. Essa è usata in molti servizi cloud e prodotti. Un attaccante può scrivere una stringa in una richiesta http; se l'applicazione tiene il log della stringa con log4j, questo può essere ingannato e connettersi a un server dell'attaccante e scaricare codice che sarà eseguito dal servizio. La vulnerabilità ha codice CVE-2021-44228.

Questa vulnerabilità dimostra un problema di sicurezza non indifferente: è preferibile usare librerie e strumenti sviluppati da altri (purché competenti), in modo da sviluppare autonomamente e male le stesse soluzioni, ma se le librerie più diffuse sono compromesse, tantissimi servizi saranno vulnerabili.

Ecco quindi che l'uso di soluzioni sviluppate da altri non ci deve esimere dal tracciarle (ecco a cosa serve l'asset inventory!), monitorarle, verificare se sono costantemente mantenute. In altre parole: non vengono a costo zero, anche se sono free. E a questo punto mi è venuto in mente che anche questa è una lezione che andrebbe spiegata per bene a tutti coloro che lavorano nel o con l'IT.

Ulteriore articolo tecnico è quello del CERT del Governo svizzero:
- https://www.govcert.ch/blog/zero-day-exploit-targeting-popular-java-library-log4j/.

Aggiornamento Linee guida EDPB sulle notifiche delle violazioni

EDPB ha aggiornato a dicembre 2021 le "Guidelines 01/2021 on Examples regarding Personal Data Breach Notification":
- https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_en.

La prima versione era di gennaio 2021 e all'epoca non le avevo segnalate.

E' ovviamente necessario leggerle, anche perché i casi possono essere usati come minacce da considerare nella valutazione del rischio e per ciascuno di essi sono anche elencate le misure di sicurezza. Insomma: queste linee guida possono essere usate per verificare la completezza delle propria valutazione del rischio e valutare l'adeguatezza delle misure di sicurezza.

Grazie a Chiara Ponti per averlo segnalato agli Idraulici della Privacy.

venerdì 7 gennaio 2022

Sito di ACN

Grazie a Silvestro Marascio di DFA, vengo a conoscenza del fatto che l'Agenzia per la cyberscicurezza nazionale ha avviato il suo sito web:
- https://www.acn.gov.it/.

Al momento non c'è quasi niente, ma sono fiducioso che le cose arriveranno.