Relazione evento ZeroUno

E’ passato un pò di tempo, ma casualmente ho trovato la relazione dell’evento organizzato dalla rivista ZeroUno del quale ho parlato qui.

Diffusione dei virus su terminali telefonici

Tra i diversi siti che contengono informazioni sui virus per apparati telefonici, per piattaforme Symbian e Windows Mobile questo è uno di quelli che costantemente tengo d’occhio.
Alla prossima!

VM e S.O.

Recentemente ho svolto un paio di seminari sulla sicurezza e la virtualizzazione.
Un aspetto che, per problemi di tempo non ho approfondito (c’è veramente molto da dire, sul tema!) riguarda la sicurezza dei sistemi operativi quando si passa da un ambiente tradizionale ad una installazione su una macchina Guest.
In generale, come ho avuto modo di dire, il fatto di aggiungere uno strato di complessità ad una architettura causa necessariamente un degrado della sicurezza, facilmente dimostrabile prendendo in esempio delle note vulnerabilità.
Questo non deve costituire di per se un limite all’adozione delle soluzioni di virtualizzazione, poichè tali problematiche sono certamente controbilanciate da evidenti vantaggi in termini di gestione della sicurezza IT.
D’altro canto, tale passaggio evolutivo non può prescindere da una consapevolezza dei problemi ai quali si rischia di incorrere, come è troppo spesso accaduto in passato in altri ambiti. In tale scenario, il vantaggio dovrebbe essere proprio quello di una maggiore capacità di misurare il peso dei vantaggi nei confronti dei potenziali rischi.

Tutto ciò premesso, qualche tempo fa mi è capitato, come forse a molti di voi, di leggere e riportare questa notizia. Dato che mi ero ripromesso di provare a fare dei test, mi sono organizzato con le ricerche, imbattendomi in questo sito: consiglio a tutti la lettura e la ripetizione del test (io non ho ancora avuto tempo), molto interessante.
Alla fine del post, l’autore registra un dato interessante, a mio avviso la cosa di maggiore interesse:

his was taken in VMWare, with a virtual hard drive as the boot device, since VMWare doesn't support booting from USB. It's interesting that while VMWare does not retain anything in VMs' memory after a cold boot, it does retain data in memory if the virtual machine is rebooted.

Ovvero: come è giusto che sia, in caso di “cold boot” i dati del Guest sono rimossi dalla memoria. Questo probabilmente ad opera del sistema di virtualizzazione (nel caso in cui le aree di memoria suddette siano ancora assegnate al processo, o che il processo non sia stato chiuso) oppure per effetto della chiusura del processo nel quale è in esecuzione la VM.
In caso di reboot, al contrario, i dati ci sono, eccome! Evidentemente in caso di reboot si mantiene l’allocazione della memoria fisica destinata alla RAM virtualizzata (sarebbe poi da capire quali siano le modalità di gestione effettiva della stessa) senza che nessuno si preoccupi di ripulirne il contenuto.

Non mi concentrerei sul prodotto: molto probabilmente il problema vale per la maggior parte delle soluzioni di virtualizzazione. Il punto, piuttosto, è: si tratta di un problema delle soluzioni di virtualizzazione?
Probabilmente no: il S.O. non ripulisce la propria memoria in fase di shutdown, non ne ha il tempo, ammesso che lo faccia.
La cosa potrebbe non costituire un grave problema su una macchina fisica, sopratutto se in un ambiente controllato fisicamente, dove non sia possibile attuare questo attacco, mentre la cosa può risultare problematica in caso di virtualizzazione, se non si è certi di cosa sarà eseguito dal Guest dopo il reboot.

Solidità e sicurezza

Ascoltando le notizie passate sul caso Alitalia sono stato colpito dalle dichiarazioni dell’ENAC, secondo le quali quando la crisi di una azienda di aviotrasporti assume le dimensioni della compagnia di bandiera possono scattare misure che possono portare al ritiro o sospensione del brevetto di volo.
Il principio è interessante: in assenza di liquidità o meglio in presenza di una crisi scattano apposite procedure che pongono sotto attenzione l’azienda interessata, per evitare il rischio che la stessa offra un servizio degradato. Quando questo è l’aviotrasporto, sale il rischio che a rimetterci sia la sicurezza. Da qui il possibile ritiro del brevetto.
Aggiungerei che, in una situazione come quella di Alitalia, è all’interno dell’intero indotto che si corre il rischio che qualche componente della catena del valore del servizio si “degradi”. Anche perchè le stesse persone operano in un contesto di stress emotivo maggiore che non aiuta certo nello svolgimento di mansioni, molto spesso, “delicate”.

Perchè ne parlo in questo blog: perchè questo concetto non trova analogie in ambito informatico. Una azienda in crisi, probabilmente, taglierà i propri costi A PARTIRE da quelli della sicurezza, cosa che fortunatamente una società di aviotrasporti non può fare.

L’unica similitudine che mi viene in mente riguarda la Firma Qualificata: in questo caso il principio che si applica è sostanzialmente preventivo: può essere Certificatore Qualificato il soggetto che soddisfa i requisiti di onorabilità previsti per le banche (e quindi, ad esempio, che ha un capitale interamente versato di almeno 6 milioni di euro).

Le certificazioni internazionali che hanno impatti sulla sicurezza IT, per esempio il capitolo 404 della SOX, non prevedono forme di intervento preventivo in caso di problematiche economiche, sostanzialmente regolate da altri meccanismi del mercato o dalla stessa certificazione, ma sulla base di altri elementi di valutazione.

In pratica, pare che non vi siano ambiti dove l’IT riveste un carattere di rischio tale da esigere entità di controllo con poteri di intervento preventivi in grado di abbattere il rischio in termini di probabilità. Ma è proprio vero?

Insiders: l'ennesima frode all'899

Quando gli intruders sono gli insiders: questa notizia può essere considerata l’ennesima truffa telefonica, ma ha poco di telefonico per la principale vittima: TelecomItalia.
Personale delle pulizie in un Centro Direzionale, mediante violazioni informatiche, otteneva, cito, “migliaia di ricariche telefoniche fraudolente” da spendere poi verso numeri 899 per trasformare il traffico oggetto di furto in moneta sonante pagata probabilmente dallo stesso operatore a coloro che hanno orchestrato il danno.

E’ evidente, per l’ennesima volta, come un fattore di rischio elevato per le aziende è certamente la frode perpetrata dall’interno. Per “interno” sono possibili diverse interpretazioni:

• gli insider sono personale dell’azienda che svolge mansioni compatibili con le azioni che permettono di perpetrare il reato (quindi sfruttano in modo malevole dei privilegi assegnati per compiti leciti);


• gli insider sono consulenti, interinali o altri soggetti che operano come se fossero personale dell’azienda;


• gli insider lavorano dentro l’azienda, ma con mansioni diverse o privilegi tali da dover perpetrare azioni illecite per poter mettere in atto la frode vera e propria.

Il caso citato sembra rientrare in quest’ultima categoria. In particolare, la mansione è tanto diversa da cambiare la definizione di “insider” in “colui che si trova (fisicamente) all’interno dei locali dell’azienda”. Già, perchè pur in assenza di un accesso informatico, non certo necessario per le pulizie, a quanto si capisce è proprio mediante violazione informatica che venivano attivate le ricariche poi utilizzate verso le numerazioni 899.

Questo la dice lunga sul rapporto tra sicurezza fisica e logica, sui controlli antipermanenza e certamente sulla necessità che i meccanismi di protezione logica siano sufficientemente “deep” per rendere inutilizzabili non solo i sistemi, ma anche la rete interna ai locali e le stesse applicazioni.
Con questo ovviamente non esprimo un giudizio sulla “vittima”, che per altro è stata in grado di individuare il problema perchè si giungesse ad una conclusione. Al di là della dimensione (milioni di euro) del problema, identificare potenziali frodi avvenute utilizzando (potenti) strumenti disponibili al personale non è sempre possibile, praticamente mai è facile.
Voglio piuttosto sottolineare di nuovo l’elemento critico costituito dagli attacchi provenienti da insiders, tematica certamente spinosa e di difficile trattazione ma che in ambito sicurezza non può essere ignorata.
Per finire non concordo con le conclusioni dell’articolo citato. La frode è informatica, anche se il danno si manifesta in ambito telefonico.

E' reato dichiarare il falso al Certificatore

E’ passato un pò di tempo dall’ultima volta che ho scritto.
Mi sono appuntato alcune news, che via via cercherò di inserire mano a mano che recupero anche i ritardi lavorativi :-) dovuti ad un picco (indovinate perchè!?) di attività verso la fine di Marzo.
Riporto quindi rapidamente la notizia, da Interlex: la falsa dichiarazione verso il Certificatore è reato.
Certamente questo reato aggiunge un elemento non di poco conto nell’impianto della catena di fiducia nell’ambito dell’uso della firma a valore legale, anche se “rincorre” e non precede condotte ormai diffuse, come sottolinea l’articolo di Cammarata. Con lo stesso non sono completamente d’accordo quando scrive:

“Un punto deve essere valutato con attenzione: la norma parla di "servizi di certificazione delle firme elettroniche", senza aggiungere l'aggettivo "qualificate". Non è (speriamo!) una svista. Infatti nell'ambito delle electronic signatures previste dalla direttiva 1999/93/ ci sono anche le "segnature" che non sono firme qualificate. Rientrano in questa categoria, per esempio, i certificati digitali che sono alla base delle transazioni telematiche "sicure". In questo settore una falsa dichiarazione a un certificatore può essere il primo passo verso una truffa telematica. Dunque, anche per questo la qualifica di reato è opportuna.”
In particolare, ho dubbi sulla proporzionalità del reato penale rispetto ad una presunta falsa certificazione rispetto ad un certificatore “non qualificato”.
Mi domando, ad esempio, se il reato sia tale per i certificati di “infimo livello”, come quelli rilasciati mediante procedure on-line prive di controlli, oppure se questo presupposto non imponga degli obblighi a chi, realizzando dei servizi senza scopi di lucro o specifiche finalità, emetta certificati che non aspirino a certificare l’identità anagrafica degli utenti.
Con la chiave di lettura proposta, si alimenta il falso presupposto che verso tutti i certificatori gli utenti utilizzino le vere identità, piuttosto che degli alias. Molto meglio fare distinzioni per affidabilità dei servizi di certificazione, affidarsi ad un numero ristretto di questi, che alimentare false aspettative di sicurezza, quando questa dovrebbe essere garantita dallo spauracchio di un reato!

Attacchi alle unità di memoria (2)

Aggiornamento, più che altro una provocazione, al precedente post sul tema.
Che bisogno c'è di cifrare i dati del sistema quando, come si legge dalla documentazione di TrueCrypt:

Paging File
(...)
Also called 'swap file'; Windows uses this file (usually stored on a hard disk) to hold parts of programs and data files that do not fit in memory. This means that sensitive data, which you believe are only stored in RAM, can actually be written unencrypted to a hard disk by Windows without you knowing.

TrueCrypt always attempts to lock the memory areas in which cached passwords, encryption keys, and other sensitive data are stored, in order to prevent such data from being leaked to paging files. However, note that Windows may reject or fail to lock memory for various (documented and undocumented) reasons.

Non ho prove a credito nè a discredito di tale affermazione, che ho sentito più volte, sulla quale non faccio commenti.
In primis, non è detto che il problema sia limitato al solo OS di casa Redmond. Il fatto stesso che esista un meccanismo di lock dimostra quanto meno attenzione al problema. Se poi l'implementazione va in deroga allo stesso....
In secondo luogo, direi che un approccio sensato sia comunque valutare il rischio che dati sensibili che "dovrebbero" trovarsi in memoria, prima o poi finiscano sul disco, da qualche parte, non necessariamente dove vorremmo. Questo vale allo stesso modo per i contenuti dei documenti che stiamo scrivendo, e nessun0 se ne fa meraviglia.

In generale, aggiungerei al mio precedente post sul tema che i meccanismi di cifuratura del disco, se comprendono le aree destinate ai file temporanei, possono quanto meno garantire che tali dati, residenti anche dopo la chiusura delle applicazioni o del sistema, sono quanto meno non leggibili se non si è a conoscenza della password di decifratura del disco.
Tuttavia, quale consolazione alla luce di quanto detto all'inizio...

Il riferimento al software TrueCrypt testé citato deriva dal fatto che da tempo mi ero ripromesso di provare questa soluzione, e che dopo aver scritto di problemi di cifratura mi sono finalmente deciso a farlo.
Della versione in ambiente Apple, per adesso, mi ha colpito favorevolmente il fatto che dopo un certo tempo il servizio faccia automaticamente l'unmount del volume cifrato.
Tornerò a parlarne dopo averlo provato per più tempo.

Ottenere informazioni top-secret

Curioso come, parlando di sicurezza, ci si pongano problemi complessi quando spesso sono trascurati gli accorgimenti di base per proteggere le informazioni più critiche.

In alcune occasioni mi sono stati presentati prodotti che decantano favolose proprietà di sicurezza; quelle sulle quali "non si può discutere" (quanto meno con i commerciali :-) ) in quanto a robustezza sono in genere le soluzioni israeliane o utilizzate in ambito militare. Conosco molti prodotti tra le prime e posso dire che certamente risultano tra i più interessanti, non conosco l'ambiente militare ma non posso pensare che in quell'ambito le soluzioni tradiscano la fama di cui si rivestono.

N.B.
Sono abbastanza disilluso nell'associare prodotti agli ambiti di utilizzo, quindi in generale quando una proposta commerciale è di questo tipo, francamente a me non crea suggestione, anzi... Prevalentemente perchè, come ci insegna l'esperienza, non è il prodotto che fa la sicurezza e tanto meno la sua integrazione sarà indolore rispetto alle caratteristiche che offre.

Leggo qui come l'Air Force americana abbia mandato informazioni riservate ad un sito di una cittadina inglese, semplicemente per un errore di nome di casella email.

E' noto che il DoD (del quale credo l'Air Force faccia parte) è una delle organizzazioni che più spende in sicurezza e, in generale, in informatica.
Non posso pensare che non abbiano strumenti per cifrare i messaggi o per monitorare e gestire problematiche di questo genere.
Come al solito, non sono i prodotti o le soluzioni tecnologiche, che non mancano, l'elemento risolutivo per i problemi più gravi, per quanto siano assolutamente banali.
Dall'articolo è possibile rilevare come errare sia umano e perseverare estremamente diabolico....

Attacchi alle unità di memoria

Di qualche giorno è la notizia della possibilità di attaccare i sistemi di cifratura dei dischi accedendo al contenuto della memoria del sistema a seguito della sospensione o dello spegnimento "a caldo".
Il video, che ripropongo qui sotto, è certamente interessante, e suggerisco il test disponibile qui.

Ho qualche perplessità sul restringere l'ambito ai sistemi di cifratura del disco: questo commento lo fa anche Claudio qui e la stessa impressione l'ho avuta anche io leggendo la notizia. In primis, leggendo il papero, ci si rende conto di come gli autori non intendano comunque limitare gli effetti potenziali dell'attacco ai soli sistemi di cifratura del disco. Anzi, è interessante la parte in cui si affronta il problema delle chiavi di cifratura in senso generale. L'applicazione nell'ambito dei sistemi di cifratura del disco è sicuramente notevole in quanto fino ad oggi tale contromisura è stata ritenuta tra le più sicure nella protezione dei dati.
Inoltre questo è l'ambito dove le chiavi di cifratura sono mantenute in memoria per tutto il tempo di esecuzione del PC, mentre per attacchi maggiormente finalizzati (es: intercettare il PIN di una smartcard, la chiave di sessione di una comunicazione cifrata et similia) occorre essere a conoscenza dello stato del sistema e delle operazioni in corso.

Questo è il problema per il quale, credo di averlo scritto in qualche altro post, in generale i sistemi di cifratura del file system sono da ritenere validi esclusivamente contro il furto del disco stesso (o dell'intero PC) a macchina spenta. Ben poco possono fare contro attacchi logici, una volta ovviamente che il volume è "montato". Utilizzare partizioni cifrate per il minor tempo possibile, e quindi farne l'"unmount" non appena utilizzati i dati, può essere una soluzione valida per offrire una maggiore protezione degli stessi.
In generale, è una soluzione che adotto quando i dati stessi possono essere effettivamente usati solo per brevi lassi di tempo, il che non è sempre vero (non lo è, per esempio, per la casella di posta). Una regola che "funziona" è mantenere in una partizione cifrata i documenti di attività ormai chiuse, nonchè cifrare separatamente le cartelle dei progetti, così da avere "in chiaro" solo quelle che sto effettivamente utilizzando. Sul Mac è possibile creare con Disk Utility dei file immagine cifrati, mentre su Linux utilizzavo dm-crypt organizzando partizioni separate per le informazioni datate.

A proposito. Se è da un pò che non scrivo, non sono sparito! Solo... è un periodo un pò, diciamo, sovrabbondante di lavoro...

Pubblicato il Provvedimento del Garante sulle regole per la tenuta dei dati di traffico Telefonico e Internet

E' in linea il Provvedimento Generale del Garante per la Protezione dei Dati Personali concernente la Sicurezza dei Dati di Traffico Telefonico e Telematico.

La versione definitiva del testo raccoglie le indicazioni fornite a seguito di una Consultazione Pubblica che il Garante ha indetto il 25 Settembre 2007, conclusasi il successivo 31 ottobre.
Come CLUSIT abbiamo accolto positivamente l'iniziativa, alla quale abbiamo risposto con entusiasmo, apportando un contributo "tecnico", in particolare richiedendo chiarimenti tanto sugli aspetti tecnologici che sulle implicazioni legali di alcune indicazioni della bozza, proponendo quindi dei possibili miglioramenti.

...continua a leggere il post su SicuraMente >>>

Poisoning

Sto preparando il seminario sulla sicurezza degli ambienti virtualizzati che terrò il 7 Febbraio a Infosecurity, e mi sono imbattuto su questa vignetta:

Speriamo non sia di pessimo auspicio!

Lista dei Security Blog

Questo blog è da qualche giorno recensito nella lista dei security blog italiani di Feliciano Intini. Mi fa molto piacere, vista la compagnia, direi ottima(!!), e perchè leggo da qualche mese quello stesso blog, sia per i contenuti, sia perchè aprirsi ad un confronto, da insider, sulle tecnologie MS non è certo cosa facile se non si è in grado di farlo in modo autorevole.

Primo trojan iPhone, e altro...

Dobbiamo meravigliarci? Non direi, visto quanto per almeno due volte le protezioni messe in atto per vincolare l'uso del terminale alla SIM siano state violate. Ma un trojan è un'altra cosa, e se nel caso specifico gli effetti sembrano essere più quelli di un test che di un vero e proprio malware "in esercizio", la cosa non deve passare inosservata.
IPhone è un prodotto insicuro? Non trarrei conclusioni affrettate. Semplicemente, come per un noto sistema operativo, la comunità lo trova un bersaglio più interessante di altri, dopodichè certamente le caratteristiche del dispositivo fanno il resto...
Per altro, girando per la rete i pareri sulla sicurezza di iPhone sembrano generalmente orientati verso una bocciatura (non tutti, però...). La potenza è nulla senza controllo, recitava una nota pubblicità, e indubbiamente il terminale della casa di Cupertino ha delle caratteristiche interessanti. Tuttavia, non posso non notare come il settore della sicurezza meriterebbe modalità di comunicazione migliori di questa. Cito:
I prodotti della tale marca "are going to kill [the iPhone] from a security [perspective]"
Ci mancherebbe: iPhone non era ancora uscito, il mercato era tutto di "tale marca".

Recentemente, al convegno NSS07 a Pisa ho avuto modo di ascoltare un vendor di terminali telefonici mobili parlare di un sistema di gestione enterprise dei cellulari aziendali. Il prodotto, secondo il relatore, consentiva tra le altre cose il controllo del parco applicativo installato ed in esecuzione sul terminale. Quindi, a seguito di una mia domanda, ha aggiunto che il sistema centrale periodicamente si collegava al terminale (o viceversa, non ricordo) per eseguire tale controllo.
Non mi pare si tratti della stessa cosa, anche se il prodotto è interessante per se... Magari, se non fosse possibile installare il software se non preventivamente autorizzato....
Cito e richiamo questo post sul problema centrale: stessi errori di sempre. Si aggiunge sicurezza all'insicurezza di base di una intera classe di prodotti che hanno la peculiarità di ospitare dati critici e per giunta di offrire una elevata percezione di sicurezza.
La cosa peggiore è che i S.O. di questi dispositivi, in realtà, offrirebbero molte delle feature di protezione disponibili, alcune non da molto, nei moderni sistemi operativi dei PC! Per alcuni prodotti si parla di cento e più impostazioni configurabili!
Solo che se comprerete quei prodotti, saranno quasi certamente disabilitate.

Ancora su Time Machine e backup su MacOS (Leopard)

Ringraziando l'autore, rispondo a questo commento con un aggiornamento alla questione del backup con Time Machine che avevo intenzione di scrivere.

Time Machine non adotta alcun sistema di protezione oltre ai meccanismi di controllo accesso ai dati previsti dal file system. Questo significa, sostanzialmente, che il livello di protezione dei dati della partizione o del disco ove sono salvati i dati da T.M. è equivalente a quello offerto per gli stessi dati sul disco originale. Per altro, con il rischio in più del furto del disco esterno, il cui valore economico, marginale rispetto a quello di un PC, è tipicamente causa di una minore attenzione da parte del proprietario rispetto al (faccio il mio esempio) portatile, ed in più è certamente più facile da rubare.

Per quanto mi riguarda, utilizzo FileVault per cifrare interamente la home directory, proprio per ovviare a questo problema. Le informazioni più critiche, poi, le conservo in file immagine cifrati (AES 128-256bit) creati con Disk Utility, ed ovviamente con una password diversa da quella utilizzata per l'accesso al sistema. Questo perchè FileVault non offre, di per se, protezione dal momento che l'utente accede al sistema, quando il meccanismo di cifratura è trasparente alle applicazioni, "buone o cattive" che siano.

Personalmente, riscontrata l'assenza di meccanismi di cifratura da parte di Time Machine, ho ripristinato il sistema di backup che utilizzavo con Mac OS X 10.4 (Tiger):

1. ho creato un volume virtuale cifrato con Disk Utility, di dimensioni adeguate per ospitare i miei backup
2. ho scelto, tra vari software disponibili per il backup, iBackup, configurandolo per utilizzare, come destinazione dei dati di backup, il volume virtuale cifrato
3. ho installato iBackup sul volume virtuale cifrato, e ho creato uno shortcut sul Dock.

A questo punto, quando devo eseguire il backup, basta fare click sull'icona di iBackup perchè il sistema mi richieda la password di decifratura del volume virtuale per accedere all'applicazione. Il sistema, monta quindi il volume, avvia iBackup ed effettua il backup. Il meccanismo funziona anche creando degli script per pianificare l'operazione in modo automatico ma, visto che devo inserire la password e che sono un ragazzo diligente :-) , faccio tutto giornalmente a mano.

iBackup è una delle possibilità. A me piace perchè unisce semplicità di utilizzo a meccanismi standard di compressione e salvataggio dei dati (crea archivi cpio, cpgz o si appoggia a rsync). La semplicità di utilizzo risiede nella possibilità di selezionare, oltre alle directory delle quali l'utente vuole fare delle copie di sicurezza, anche le impostazioni personali e di sistema, le applicazioni etc... Per esempio, la posta elettronica, che come sapranno gli utenti della mela è conservata in "Library".
Il restore funziona bene, e comunque trattandosi di archivi standard, non è necessario avere a disposizione iBackup per ripristinare il tutto, la qual cosa è per me un elemento indispensabile di scelta di un meccanismo di backup (inizialmente utilizzavo Windows, poi Linux ed adesso MacOS, e sono sempre stato in grado di accedere ai backup fatti con i S.O. precedenti, guarda un pò!).

Classifica di sicurezza dei prodotti Open Source

Qui segnalo una classifica sulla sicurezza di prodotti Open Source stilata da Coverity nell'ambito del progetto Scan.
Come ho scritto, i risultati non vanno intesi in senso assoluto per valutare la "bontà" dei prodotti. Significativa è la percentuale di bug riscontrati per migliaio di righe di codice, ma a mio avviso il dato più importante si ritrova nelle colonne "Defect Report Summary": è costituito dalle segnalazioni che non sono state recepite, relative a problemi ancora presenti nel codice o afferenti a falsi positivi. Può essere indicativo della capacità del progetto Open Source di far fronte alle segnalazioni che provengono dagli utenti, fattore non trascurabile per prodotti non prettamente commerciali.

Sicurezza e business

Mi ri-cito. Ho colto l'occasione di parlare, qui, di un ormai vecchio post di Schneier che mi ha colpito. Non soltanto per l'approccio che suggerisce, ma perchè mi ha fatto ripensare a casi in cui, nello scorso anno,  mi sono trovato ad affrontare un aspetto che in passato avrei definito "happy-problem": casi in cui la sicurezza è posta come un limite al business aziendale, spesso più per un problema di dialogo tra le strutture aziendali che come risultato di analisi oggettive dei problemi che si devono affrontare.

Spesso è vero che quelli che fanno il mio mestiere (e a volte devo dire: anche io...) tendono a chiudersi nel proprio ambito, dimenticando che la prima vera difficoltà è proprio quella di bilanciare correttamente l'esigenza di sicurezza e quella di business. 

Certo, i casi sono diversi, e spesso non si può trascendere dal porre dei limiti. Ma questi casi dovrebbero essere rari. Faccio una analogia: se per un qualche altro ambito dell'informatica si risponde "non è possibile", il cliente spesso è portato a pensare che il suo interlocutore non abbia sufficienti frecce al proprio arco. E molto spesso non ha torto... 

P.S.

Continuerò su questo argomento. 

Il lato opposto della medaglia è, infatti, molto più difficile da trattare.  Quando, e come, la sicurezza diviene un elemento del business di una azienda, ovvero è accettata e valorizzata come tale? 

Worm Wi-Fi

Come ho scritto poco fa, è appena nato il Blog del CLUSIT.
Scriverò alcuni post, se a mio avviso interessanti in quel contesto, sperando possa essermi di aiuto ad essere più "disciplinato" nel mantenere una frequenza "decente" di aggiornamento del sito.
Quindi mi cito: un primo post sulla recente notizia relativa ad uno studio che ipotizza la realizzazione, nel prossimo futuro, di worm che hanno come mezzo di diffusione, e come bersaglio, i router Wi-Fi. Credo sia un lavoro interessante, oltre che realista nelle ipotesi e valido nei risultati. Da tenere in considerazione, vista la diffusione che hanno (ed avranno, anche grazie alla prossima realizzazione della copertura WiMax in Italia) le reti wireless.

E' nato il blog del CLUSIT

L'iniziativa è di qualche mese fa. Sta nascendo il blog del CLUSIT. Non aggiungo parole oltre a quelle del Presidente, a parte l'invito alla partecipazione(!):

MESSAGGIO DEL PRESIDENTE AI SOCI CLUSIT
=======================================

Carissimi soci,

dopo qualche mese di "sperimentazione" prende il via il blog del CLUSIT, uno spazio in cui i soci possono partecipare con segnalazioni, commenti e riflessioni sul mondo della sicurezza.

E' un modo nuovo di favorire la partecipazione dei soci al dibattito e nel contempo di offrire al mercato spunti e suggerimenti perchè ci sia sempre più informazione e consapevolezza che la protezione dei sistemi informativi è una necessità inderogabile e vitale per le istituzioni, le imprese e per i singoli individui.

La formula del blog offre immediatezza e tempestività nell'informazione e allarga, attraverso i commenti, il dialogo con l'utenza più generale, preparandoci a giocare il ruolo di orientamento che il CLUSIT intende svolgere attivamente con la prossima iniziativa di "Online Sicuro" di cui daremo i dettagli nel corso di Infosecurity il prossimo febbraio.

La pubblicazione dei messaggi è riservata ai soci a cui è affidata la responsabilità dei contenuti e del rispetto di una "netiquette" che mantenga alto il livello e la qualità che ha sempre contraddistinto il CLUSIT, in questa come in tutte le sue altre iniziative.

Il sito è già visibile all'indirizzo http://blog.clusit.it (se avete un aggregatore RSS attivate subito il feed!) e ci auguriamo che, dopo qualche mese ancora di "rodaggio", possa diventare un punto di riferimento autorevole e utile per tutti e possa offrire contenuti e spunti che periodicamente saranno riportati sulla newsletter e sul sito ufficiale dell'associazione che continueranno a svolgere la loro insostituibile funzione.

Chi vuole contribuire alla redazione del blog può fare richiesta delle credenziali di accesso sottoscrivendo l'accettazione delle regole di "netiquette" scrivendo a blog@clusit.it.

Mi è gradita l'occasione dell'avvio di questa nuova iniziativa per fare a tutti i migliori auguri per un sereno e proficuo 2008.

Cordialmente

Gigi Tagliapietra

Finito!

...per ora....

Ho terminato di aggiornare la grafica del sito web.

Pant!

Aggiornamento grafico del sito

Come potete vedere (se non state leggendo da un reader RSS) è in corso un aggiornamento grafico del sito web, che si concluderà (spero!) nelle prossime ore.