Relazione evento ZeroUno

E’ passato un pò di tempo, ma casualmente ho trovato la relazione dell’evento organizzato dalla rivista ZeroUno del quale ho parlato qui.

Dati fiscali

A cosa fa riferimento questo post dovrebbe essere chiaro ai più.
Come sintesi, suggerisco questo articolo, tranne sulle conclusioni con le quali non concordo.
In sostanza, direi che l’Agenzia delle Entrate sia in diritto di effettuare la pubblicazione. Le norme che l’articolo citato illustra non esprimono un diniego, nè un criterio di permanenza.
L’assenza di una espressa autorizzazione verso il mezzo “internet” non pregiudica la pubblicazione on line: “sine lege, sine poena” è il principio con cui si basa il nostro ordinamento.

Queste norme, piuttosto, non tengono conto della natura del cambiamento degli ultimi anni, e probabilmente non l’ha fatto, ingenuamente, neppure l’Agenzia delle Entrate.
Due cambiamenti quasi enormi: la normativa sulla tutela dei dati personali, ed Internet.
La prima ci ha educato (e spesso influenzato più che garantito) sotto il profilo della riservatezza delle informazioni. Non ricordo una attenzione alla riservatezza propria ed altrui come quella attuale, parlando dell’“uomo della strada”, quando questa norma non c’era.
Il secondo cambiamento, internet, è di maggiore portata, e naturalmente rende inadatte le logiche tradizionali, ovvero il fatto che il diritto di accesso alle informazioni sia naturalmente soggetto ad una limitazione della diffusione di tali dati per la difficoltà di accedervi, di crearne delle copie e di aiutarne la diffusione.
Tuttavia,

• i dati pubblicati, per essere precisi, sono relativi all’imponibile. Non permettono di risalire al dettaglio, per esempio, delle spese sanitarie, di eventuali donazioni a istituzioni politiche, culturali, religiose. Non permettono di risalire allo stipendio, anche se lasciano intuire il tenore di vita: riferiscono sostanzialmente in quanta parte il contribuente contribuisce con le proprie tasse all’erario


• tali dati sono pubblici o, per essere precisi “destinati alla diffusione”: sono pubblicati sui quotidiani e sono disponibili per la consultazione


• come dicevo, tali dati non sono sensibili: sono comuni come il numero di telefono.

Pertanto, non vedo un caso.

Vedo molta disinformazione. Come mi ha fatto notare un amico, nessuno ha spiegato esattamente quali dati siano stati effettivamente pubblicati ed il loro reale significato. Ho sentito dire addirittura che una qualche associazione di commercialisti ha deciso di sporgere denuncia per danni relativi ai costi che questi devono sostenere per adeguarsi alla privacy, quando a loro dire gli stessi sono poi resi pubblici.
Come se i miei scontrini della farmacia avessero lo stesso valore, per la mia privacy, dell’imponibile dichiarato.

Piuttosto, qualcuno ha visto quanto dichiara il proprio commercialista? :-))))))

VM e S.O.

Recentemente ho svolto un paio di seminari sulla sicurezza e la virtualizzazione.
Un aspetto che, per problemi di tempo non ho approfondito (c’è veramente molto da dire, sul tema!) riguarda la sicurezza dei sistemi operativi quando si passa da un ambiente tradizionale ad una installazione su una macchina Guest.
In generale, come ho avuto modo di dire, il fatto di aggiungere uno strato di complessità ad una architettura causa necessariamente un degrado della sicurezza, facilmente dimostrabile prendendo in esempio delle note vulnerabilità.
Questo non deve costituire di per se un limite all’adozione delle soluzioni di virtualizzazione, poichè tali problematiche sono certamente controbilanciate da evidenti vantaggi in termini di gestione della sicurezza IT.
D’altro canto, tale passaggio evolutivo non può prescindere da una consapevolezza dei problemi ai quali si rischia di incorrere, come è troppo spesso accaduto in passato in altri ambiti. In tale scenario, il vantaggio dovrebbe essere proprio quello di una maggiore capacità di misurare il peso dei vantaggi nei confronti dei potenziali rischi.

Tutto ciò premesso, qualche tempo fa mi è capitato, come forse a molti di voi, di leggere e riportare questa notizia. Dato che mi ero ripromesso di provare a fare dei test, mi sono organizzato con le ricerche, imbattendomi in questo sito: consiglio a tutti la lettura e la ripetizione del test (io non ho ancora avuto tempo), molto interessante.
Alla fine del post, l’autore registra un dato interessante, a mio avviso la cosa di maggiore interesse:

his was taken in VMWare, with a virtual hard drive as the boot device, since VMWare doesn't support booting from USB. It's interesting that while VMWare does not retain anything in VMs' memory after a cold boot, it does retain data in memory if the virtual machine is rebooted.

Ovvero: come è giusto che sia, in caso di “cold boot” i dati del Guest sono rimossi dalla memoria. Questo probabilmente ad opera del sistema di virtualizzazione (nel caso in cui le aree di memoria suddette siano ancora assegnate al processo, o che il processo non sia stato chiuso) oppure per effetto della chiusura del processo nel quale è in esecuzione la VM.
In caso di reboot, al contrario, i dati ci sono, eccome! Evidentemente in caso di reboot si mantiene l’allocazione della memoria fisica destinata alla RAM virtualizzata (sarebbe poi da capire quali siano le modalità di gestione effettiva della stessa) senza che nessuno si preoccupi di ripulirne il contenuto.

Non mi concentrerei sul prodotto: molto probabilmente il problema vale per la maggior parte delle soluzioni di virtualizzazione. Il punto, piuttosto, è: si tratta di un problema delle soluzioni di virtualizzazione?
Probabilmente no: il S.O. non ripulisce la propria memoria in fase di shutdown, non ne ha il tempo, ammesso che lo faccia.
La cosa potrebbe non costituire un grave problema su una macchina fisica, sopratutto se in un ambiente controllato fisicamente, dove non sia possibile attuare questo attacco, mentre la cosa può risultare problematica in caso di virtualizzazione, se non si è certi di cosa sarà eseguito dal Guest dopo il reboot.

Solidità e sicurezza

Ascoltando le notizie passate sul caso Alitalia sono stato colpito dalle dichiarazioni dell’ENAC, secondo le quali quando la crisi di una azienda di aviotrasporti assume le dimensioni della compagnia di bandiera possono scattare misure che possono portare al ritiro o sospensione del brevetto di volo.
Il principio è interessante: in assenza di liquidità o meglio in presenza di una crisi scattano apposite procedure che pongono sotto attenzione l’azienda interessata, per evitare il rischio che la stessa offra un servizio degradato. Quando questo è l’aviotrasporto, sale il rischio che a rimetterci sia la sicurezza. Da qui il possibile ritiro del brevetto.
Aggiungerei che, in una situazione come quella di Alitalia, è all’interno dell’intero indotto che si corre il rischio che qualche componente della catena del valore del servizio si “degradi”. Anche perchè le stesse persone operano in un contesto di stress emotivo maggiore che non aiuta certo nello svolgimento di mansioni, molto spesso, “delicate”.

Perchè ne parlo in questo blog: perchè questo concetto non trova analogie in ambito informatico. Una azienda in crisi, probabilmente, taglierà i propri costi A PARTIRE da quelli della sicurezza, cosa che fortunatamente una società di aviotrasporti non può fare.

L’unica similitudine che mi viene in mente riguarda la Firma Qualificata: in questo caso il principio che si applica è sostanzialmente preventivo: può essere Certificatore Qualificato il soggetto che soddisfa i requisiti di onorabilità previsti per le banche (e quindi, ad esempio, che ha un capitale interamente versato di almeno 6 milioni di euro).

Le certificazioni internazionali che hanno impatti sulla sicurezza IT, per esempio il capitolo 404 della SOX, non prevedono forme di intervento preventivo in caso di problematiche economiche, sostanzialmente regolate da altri meccanismi del mercato o dalla stessa certificazione, ma sulla base di altri elementi di valutazione.

In pratica, pare che non vi siano ambiti dove l’IT riveste un carattere di rischio tale da esigere entità di controllo con poteri di intervento preventivi in grado di abbattere il rischio in termini di probabilità. Ma è proprio vero?

Insiders: l'ennesima frode all'899

Quando gli intruders sono gli insiders: questa notizia può essere considerata l’ennesima truffa telefonica, ma ha poco di telefonico per la principale vittima: TelecomItalia.
Personale delle pulizie in un Centro Direzionale, mediante violazioni informatiche, otteneva, cito, “migliaia di ricariche telefoniche fraudolente” da spendere poi verso numeri 899 per trasformare il traffico oggetto di furto in moneta sonante pagata probabilmente dallo stesso operatore a coloro che hanno orchestrato il danno.

E’ evidente, per l’ennesima volta, come un fattore di rischio elevato per le aziende è certamente la frode perpetrata dall’interno. Per “interno” sono possibili diverse interpretazioni:

• gli insider sono personale dell’azienda che svolge mansioni compatibili con le azioni che permettono di perpetrare il reato (quindi sfruttano in modo malevole dei privilegi assegnati per compiti leciti);


• gli insider sono consulenti, interinali o altri soggetti che operano come se fossero personale dell’azienda;


• gli insider lavorano dentro l’azienda, ma con mansioni diverse o privilegi tali da dover perpetrare azioni illecite per poter mettere in atto la frode vera e propria.

Il caso citato sembra rientrare in quest’ultima categoria. In particolare, la mansione è tanto diversa da cambiare la definizione di “insider” in “colui che si trova (fisicamente) all’interno dei locali dell’azienda”. Già, perchè pur in assenza di un accesso informatico, non certo necessario per le pulizie, a quanto si capisce è proprio mediante violazione informatica che venivano attivate le ricariche poi utilizzate verso le numerazioni 899.

Questo la dice lunga sul rapporto tra sicurezza fisica e logica, sui controlli antipermanenza e certamente sulla necessità che i meccanismi di protezione logica siano sufficientemente “deep” per rendere inutilizzabili non solo i sistemi, ma anche la rete interna ai locali e le stesse applicazioni.
Con questo ovviamente non esprimo un giudizio sulla “vittima”, che per altro è stata in grado di individuare il problema perchè si giungesse ad una conclusione. Al di là della dimensione (milioni di euro) del problema, identificare potenziali frodi avvenute utilizzando (potenti) strumenti disponibili al personale non è sempre possibile, praticamente mai è facile.
Voglio piuttosto sottolineare di nuovo l’elemento critico costituito dagli attacchi provenienti da insiders, tematica certamente spinosa e di difficile trattazione ma che in ambito sicurezza non può essere ignorata.
Per finire non concordo con le conclusioni dell’articolo citato. La frode è informatica, anche se il danno si manifesta in ambito telefonico.

E' reato dichiarare il falso al Certificatore

E’ passato un pò di tempo dall’ultima volta che ho scritto.
Mi sono appuntato alcune news, che via via cercherò di inserire mano a mano che recupero anche i ritardi lavorativi :-) dovuti ad un picco (indovinate perchè!?) di attività verso la fine di Marzo.
Riporto quindi rapidamente la notizia, da Interlex: la falsa dichiarazione verso il Certificatore è reato.
Certamente questo reato aggiunge un elemento non di poco conto nell’impianto della catena di fiducia nell’ambito dell’uso della firma a valore legale, anche se “rincorre” e non precede condotte ormai diffuse, come sottolinea l’articolo di Cammarata. Con lo stesso non sono completamente d’accordo quando scrive:

“Un punto deve essere valutato con attenzione: la norma parla di "servizi di certificazione delle firme elettroniche", senza aggiungere l'aggettivo "qualificate". Non è (speriamo!) una svista. Infatti nell'ambito delle electronic signatures previste dalla direttiva 1999/93/ ci sono anche le "segnature" che non sono firme qualificate. Rientrano in questa categoria, per esempio, i certificati digitali che sono alla base delle transazioni telematiche "sicure". In questo settore una falsa dichiarazione a un certificatore può essere il primo passo verso una truffa telematica. Dunque, anche per questo la qualifica di reato è opportuna.”
In particolare, ho dubbi sulla proporzionalità del reato penale rispetto ad una presunta falsa certificazione rispetto ad un certificatore “non qualificato”.
Mi domando, ad esempio, se il reato sia tale per i certificati di “infimo livello”, come quelli rilasciati mediante procedure on-line prive di controlli, oppure se questo presupposto non imponga degli obblighi a chi, realizzando dei servizi senza scopi di lucro o specifiche finalità, emetta certificati che non aspirino a certificare l’identità anagrafica degli utenti.
Con la chiave di lettura proposta, si alimenta il falso presupposto che verso tutti i certificatori gli utenti utilizzino le vere identità, piuttosto che degli alias. Molto meglio fare distinzioni per affidabilità dei servizi di certificazione, affidarsi ad un numero ristretto di questi, che alimentare false aspettative di sicurezza, quando questa dovrebbe essere garantita dallo spauracchio di un reato!

Ottenere informazioni top-secret

Curioso come, parlando di sicurezza, ci si pongano problemi complessi quando spesso sono trascurati gli accorgimenti di base per proteggere le informazioni più critiche.

In alcune occasioni mi sono stati presentati prodotti che decantano favolose proprietà di sicurezza; quelle sulle quali "non si può discutere" (quanto meno con i commerciali :-) ) in quanto a robustezza sono in genere le soluzioni israeliane o utilizzate in ambito militare. Conosco molti prodotti tra le prime e posso dire che certamente risultano tra i più interessanti, non conosco l'ambiente militare ma non posso pensare che in quell'ambito le soluzioni tradiscano la fama di cui si rivestono.

N.B.
Sono abbastanza disilluso nell'associare prodotti agli ambiti di utilizzo, quindi in generale quando una proposta commerciale è di questo tipo, francamente a me non crea suggestione, anzi... Prevalentemente perchè, come ci insegna l'esperienza, non è il prodotto che fa la sicurezza e tanto meno la sua integrazione sarà indolore rispetto alle caratteristiche che offre.

Leggo qui come l'Air Force americana abbia mandato informazioni riservate ad un sito di una cittadina inglese, semplicemente per un errore di nome di casella email.

E' noto che il DoD (del quale credo l'Air Force faccia parte) è una delle organizzazioni che più spende in sicurezza e, in generale, in informatica.
Non posso pensare che non abbiano strumenti per cifrare i messaggi o per monitorare e gestire problematiche di questo genere.
Come al solito, non sono i prodotti o le soluzioni tecnologiche, che non mancano, l'elemento risolutivo per i problemi più gravi, per quanto siano assolutamente banali.
Dall'articolo è possibile rilevare come errare sia umano e perseverare estremamente diabolico....

Lista dei Security Blog

Questo blog è da qualche giorno recensito nella lista dei security blog italiani di Feliciano Intini. Mi fa molto piacere, vista la compagnia, direi ottima(!!), e perchè leggo da qualche mese quello stesso blog, sia per i contenuti, sia perchè aprirsi ad un confronto, da insider, sulle tecnologie MS non è certo cosa facile se non si è in grado di farlo in modo autorevole.

Ancora su Time Machine e backup su MacOS (Leopard)

Ringraziando l'autore, rispondo a questo commento con un aggiornamento alla questione del backup con Time Machine che avevo intenzione di scrivere.

Time Machine non adotta alcun sistema di protezione oltre ai meccanismi di controllo accesso ai dati previsti dal file system. Questo significa, sostanzialmente, che il livello di protezione dei dati della partizione o del disco ove sono salvati i dati da T.M. è equivalente a quello offerto per gli stessi dati sul disco originale. Per altro, con il rischio in più del furto del disco esterno, il cui valore economico, marginale rispetto a quello di un PC, è tipicamente causa di una minore attenzione da parte del proprietario rispetto al (faccio il mio esempio) portatile, ed in più è certamente più facile da rubare.

Per quanto mi riguarda, utilizzo FileVault per cifrare interamente la home directory, proprio per ovviare a questo problema. Le informazioni più critiche, poi, le conservo in file immagine cifrati (AES 128-256bit) creati con Disk Utility, ed ovviamente con una password diversa da quella utilizzata per l'accesso al sistema. Questo perchè FileVault non offre, di per se, protezione dal momento che l'utente accede al sistema, quando il meccanismo di cifratura è trasparente alle applicazioni, "buone o cattive" che siano.

Personalmente, riscontrata l'assenza di meccanismi di cifratura da parte di Time Machine, ho ripristinato il sistema di backup che utilizzavo con Mac OS X 10.4 (Tiger):

1. ho creato un volume virtuale cifrato con Disk Utility, di dimensioni adeguate per ospitare i miei backup
2. ho scelto, tra vari software disponibili per il backup, iBackup, configurandolo per utilizzare, come destinazione dei dati di backup, il volume virtuale cifrato
3. ho installato iBackup sul volume virtuale cifrato, e ho creato uno shortcut sul Dock.

A questo punto, quando devo eseguire il backup, basta fare click sull'icona di iBackup perchè il sistema mi richieda la password di decifratura del volume virtuale per accedere all'applicazione. Il sistema, monta quindi il volume, avvia iBackup ed effettua il backup. Il meccanismo funziona anche creando degli script per pianificare l'operazione in modo automatico ma, visto che devo inserire la password e che sono un ragazzo diligente :-) , faccio tutto giornalmente a mano.

iBackup è una delle possibilità. A me piace perchè unisce semplicità di utilizzo a meccanismi standard di compressione e salvataggio dei dati (crea archivi cpio, cpgz o si appoggia a rsync). La semplicità di utilizzo risiede nella possibilità di selezionare, oltre alle directory delle quali l'utente vuole fare delle copie di sicurezza, anche le impostazioni personali e di sistema, le applicazioni etc... Per esempio, la posta elettronica, che come sapranno gli utenti della mela è conservata in "Library".
Il restore funziona bene, e comunque trattandosi di archivi standard, non è necessario avere a disposizione iBackup per ripristinare il tutto, la qual cosa è per me un elemento indispensabile di scelta di un meccanismo di backup (inizialmente utilizzavo Windows, poi Linux ed adesso MacOS, e sono sempre stato in grado di accedere ai backup fatti con i S.O. precedenti, guarda un pò!).

Classifica di sicurezza dei prodotti Open Source

Qui segnalo una classifica sulla sicurezza di prodotti Open Source stilata da Coverity nell'ambito del progetto Scan.
Come ho scritto, i risultati non vanno intesi in senso assoluto per valutare la "bontà" dei prodotti. Significativa è la percentuale di bug riscontrati per migliaio di righe di codice, ma a mio avviso il dato più importante si ritrova nelle colonne "Defect Report Summary": è costituito dalle segnalazioni che non sono state recepite, relative a problemi ancora presenti nel codice o afferenti a falsi positivi. Può essere indicativo della capacità del progetto Open Source di far fronte alle segnalazioni che provengono dagli utenti, fattore non trascurabile per prodotti non prettamente commerciali.

Sicurezza e business

Mi ri-cito. Ho colto l'occasione di parlare, qui, di un ormai vecchio post di Schneier che mi ha colpito. Non soltanto per l'approccio che suggerisce, ma perchè mi ha fatto ripensare a casi in cui, nello scorso anno,  mi sono trovato ad affrontare un aspetto che in passato avrei definito "happy-problem": casi in cui la sicurezza è posta come un limite al business aziendale, spesso più per un problema di dialogo tra le strutture aziendali che come risultato di analisi oggettive dei problemi che si devono affrontare.

Spesso è vero che quelli che fanno il mio mestiere (e a volte devo dire: anche io...) tendono a chiudersi nel proprio ambito, dimenticando che la prima vera difficoltà è proprio quella di bilanciare correttamente l'esigenza di sicurezza e quella di business. 

Certo, i casi sono diversi, e spesso non si può trascendere dal porre dei limiti. Ma questi casi dovrebbero essere rari. Faccio una analogia: se per un qualche altro ambito dell'informatica si risponde "non è possibile", il cliente spesso è portato a pensare che il suo interlocutore non abbia sufficienti frecce al proprio arco. E molto spesso non ha torto... 

P.S.

Continuerò su questo argomento. 

Il lato opposto della medaglia è, infatti, molto più difficile da trattare.  Quando, e come, la sicurezza diviene un elemento del business di una azienda, ovvero è accettata e valorizzata come tale? 

(Dis)ordine e (in)sicurezza

In questi giorni passo molto più tempo del solito in trasferta, per seguire alcuni progetti che dovrebbero trovare la luce entro la fine dell'anno.
Riflettevo, in queste occasioni, su quanti dati dell'IT, in forma di semilavorato, di informazioni non strutturate come semplici scambi di email, di report di riunioni e di SAL, sono distribuite a vari livelli presso una azienda di medie-grandi dimensioni.
La complessità di questo fatto è tanto più evidente quando si prova, come mi è capitato oggi di fare, a recuperare ed a raccogliere tutti i dati significativi di un progetto quando non si è certi (ahimè, mi capita anche abbastanza spesso!) di aver mantenuto in ordine le directory con lo storico di tutte le bozze, i deliverables etc... Mi sono domandato: come facevo quando non avevo a disposizione beagle (prima) e Spotlight (oggi)?

• Prima considerazione: facevo prima, perchè non contando sul fatto che qualcuno risolvesse per me il problema, mi attrezzavo a tenere in maggiore ordine la documentazione!

• Seconda considerazione: "filtravo" molto di più le informazioni. Semplicemente, mantenevo copia degli stati essenziali dei documenti, contando sul client di posta come repository delle informazioni più significative, che è essenzialmente quello che faccio ancora oggi.

Quindi, necessariamente, il problema reale è che ultimamente ho mantenuto poco ordine tra le caselle di posta elettronica :-(

In ogni caso, deve essermi rimasta accesa una lampadina in testa, perchè leggendo qualche sera fa la notizia della pubblicazione delle top-20 del Sans , ed in particolare dove dice:

Users who are allowed by their employers to browse the Internet have become a source of major security risk for their organizations. A few years back securing servers and services was seen as the primary task for securing an organization. Today it is equally important, perhaps even more important, to prevent users having their computers compromised via malicious web pages or other client-targeting attacks.

con maggior forza ho pensato a quanto la disseminazione dell'informazione presso l'azienda comporti:

• un limite, dal punto di vista dello storico e della gestione delle informazioni. In questo, certamente, i processi di qualità, tanto odiati da chi svolge attività operative, costringono quanto meno a gestire le informazioni in modo strutturato, indipendentemente poi da quanto queste siano "sparse" come bozze, mail etc.... E, di nuovo, informazioni strutturate sono un prerequisito, assieme a processi operativamente applicati, per essere poi gestite e conservate mediante sistemi sempre più "intelligenti" (motori di workflow etc...);

• un rischio, perchè ogni sistema di ogni utente coinvolto in un processo sul quale siano memorizzate informazioni anche non specificatamente pertinenti al proprio lavoro, costituisce una fonte di dati la cui compromissione può causare un danno anche rilevante per l'azienda.

Questo è tanto più vero nelle aziende o nei settori che operano nell'IT, dove le informazioni che circolano sono proprio quelle di cui avrebbe bisogno un attaccante per meglio introdursi logicamente o fisicamente nell'azienda, ma più semplicemente dove la disponibilità di dati corretti o aggiornati è fondamentale per una buona gestione (leggere: sicurezza) dei sistemi.

Cosa accade quando un operativo cambia lavoro?
Oppure, se un disco di una postazione utente si danneggia?

O quando, trascorsi mesi dal passaggio in esercizio, si riprende in mano la documentazione per la manutenzione evolutiva? Si sa chi è in possesso della versione definitiva dei documenti, oppure le informazioni si trovano sulle classiche "bozze definitive" delle quali non si sa quale sia l'effettiva ultima versione?

Il telefono, la tua posta

Due o più riflessioni a voce alta su notizie riguardo a temi che seguo con interesse.

E' di poche ore la notizia della commercializzazione dell'offerta PosteMobile, l'ennesimo ingresso sul mercato di un Mobile Virtual Network Operator (MVNO), in questo caso basato sulla rete Vodafone.
La diversità di questo tipo di offerta è abbastanza evidente: si parla di "servizi" e di "SIM": due elementi che tipicamente è più facile associare al MNO piuttosto che al "Virtual", sopratutto il secondo. Fino ad oggi, infatti, il marketing SIM-centrico è stato proprio degli operatori tradizionali, per altro non di tutti. TIM, per esempio, che non vanta certamente la palma della migliore comunicazione verso il mercato consumer, ha "marcato" ogni evoluzione tecnologica della SIM, significativamente identificata con la memoria disponibile (ricordate? 16k, 64k, 128k....), mentre altri (Omnitel se non ricordo male) ha sempre avuto una vocazione più orientata ai servizi remoti o alle applicazioni ospitate sul cellulare.

L'assenza di un gestore che abbia saputo massimizzare entrambe le vocazioni è certamente un peccato, sopratutto considerando che l'unico vero elemento di sicurezza (e di "valore" dell'Operatore presso il cliente) di un terminale telefonico è proprio la SIM, e dato che delle reti mobili la cronaca ci ha insegnato a diffidare, aver mancato ad una piena integrazione dei servizi con questa ha costituito un evidente limite nel delineare una vera innovazione.

Una prima considerazione, una provocazione, altrimenti questo post sembra un cartello pubblicitario: PosteMobile sta diventando quanto di più simile abbiamo al Grande Fratello in Italia, oggi: conti bancari, movimenti (BancoPosta), indirizzi, PEC, e ora la SIM, il tutto in progetto di essere sempre più integrato, con quanto questo possa comportare. Viene da augurarsi che a forma corrisponda sostanza, e che a questa ottima proposition di mercato corrisponda una gestione oculata dei dati dei clienti.
Non so quale sia il controllo che esercitano sulla rete telefonica, ma probabilmente possono accedere anche alle informazioni sulla posizione geografica...

Avendo dato adito alle più inquietanti paure, posso ora parlare di quanto mi premeva mettere in evidenza. Come è noto, per cose fatte o dette, sostengo che la telefonia mobile abbia ancora molto da dire in termini di innovazione tecnologica, servizi e sicurezza.

Fino a oggi, di servizi innovativi (utili) si è visto ben poco: gli SMS in primo luogo, la voce poi, costituiscono lo "zoccolo duro" del mercato e difficilmente la cosa cambierà in poco tempo. Per altro, i pochi servizi veramente utili si limitano all'advertising e sfruttano al più gli SMS.
In questo scenario, l'operatore Poste può giocare un ruolo di "trascinatore" determinante: il connubio tra l'identità mobile (la SIM) ed il conto corrente consentono di sviluppare scenari di servizi che non siano più il riporto del mondo web sul piccolo schermo del telefono, ma qualcosa di effettivamente peculiare, che solo con un telefono è possibile attuare.

Cosa centra questo con questo blog? C'entra, perchè in questo scenario sarà determinante il modo con cui tali servizi saranno realizzati, ovvero il reale rapporto tra senso di sicurezza e sicurezza attuata. Oggi il telefono è ancora percepito come un oggetto personale, quasi alla stregua del portafogli, quasi non fosse collegato a reti Wi-Fi, telefoniche, dati.... Si deve considerare anche che è l'unico strumento hi-tech utilizzato tanto dai giovani che dagli anziani, che poco risente di limiti culturali e di preconcetti sulla tecnologia. Quasi tutti coloro che hanno un cellulare sanno spedire SMS, e questi sono MOLTI di più di coloro che sanno inviare una email. Ed inviare una email è certamente più semplice rispetto a spedire un SMS.

Se il telefono è ancora considerato sufficientemente sicuro, questo lo si deve sia al fatto che molti dei modelli sul mercato sono estremamente semplici, sia perchè tante sono le piattaforme, ma sopratutto perchè il contesto è quello dell'internet ai tempi del worm di Morris: necessità di comunicare, quasi totale assenza di sfruttamento a scopi di mercato, servizi di base.

Come apripista Poste ha quindi l'ingrato compito di testare su di se e sulla propria immagine i rischi correlati all'introduzione di servizi pregiati in questo scenario: immaginate cosa possa significare uno smartphone (non c'è bisogno di cercare prodotti tanto strani: ogni Symbian, per esempio, lo è...) in mano alla casalinga di Voghera con il bluetooth attivo, quando si potrà effettivamente spostare soldi da un conto corrente ad un altro agendo su una applicazione a bordo del telefono.

Con questo non voglio dire che non sia possibile fare servizi in modo sicuro sui terminali telefonici (nè, per carità, che Poste non l'abbia fatto! è il capro espiatorio del post, ma solo casualmente): come ho esordito sul post, la caratteristica che mi colpisce è l'attenzione che è stata portata sulla SIM, che non è da sottovalutare, se sarà la base, come sembra, delle features di sicurezza.

D'altro canto, la SIM è solo un elemento del terminale telefonico, neppure tanto isolato come si potrebbe pensare: non solo le applicazioni telefoniche native, ma su alcuni modelli anche le applicazioni Java hanno oggi maggiore capacità di interazione con essa (es: JSR 177).
Quando l'ingresso sul mercato degli MVNO di Poste fu annunciato, per altro si parlava di distribuire un (intero) telefono cellulare + SIM, non solo la carta. Sarà interessante capire quali siano effettivamente i punti di forza della loro soluzione.

Chiudo con le riflessioni: tornerò, mi auguro presto, sul questo tema ed in particolare sulla notizia, in attesa di maggiori informazioni.

Identità perdute

Qui e qui due commenti sulla notizia...

Al commento di Schneier:

And this is an easy security problem to solve! Disk and file encryption software is cheap, easy to use, and effective.

risponderei che, in tal caso, si sarebbero fatti rubare anche la chiave di cifratura.

Sembra infatti che sia il secondo evento in un mese, dopo la scomparsa di un cd contenente i dati di 15.000 persone.

Errare umanum est, perseverare....

Articolo Sole24Ore

Sul Sole 24 Ore di oggi è uscita una mia intervista che ho rilasciato qualche tempo fa.

Sono stato chiamato per raccontare la mia esperienza di consulente freelance nel campo della sicurezza informatica, ovvero del percorso che dall'Università mi ha portato a scegliere questo settore e l'approccio libero-professionale.

Nella sintesi, necessaria in questo tipo di articoli, si è perso il racconto dell'opportunità, ovvero del fatto di aver avuto a disposizione, nel corso Nicchia sulla sicurezza del DU in Informatica a Pisa, tematiche innovative e di interesse per il mercato.
Uscire dall'Università con una tesi con tali caratteristiche è stata, e credo valga ancora oggi per gli ex colleghi studenti universitari, la condizione di partenza ideale per presentarsi sul mondo del lavoro, nonostante le notti insonni ed un hard disk che mi abbandonò (con tutto il lavoro svolto) a tre giorni dalla consegna (ultimo backup un mese prima....).

Quel giorno imparai a mie spese l'importanza della Disponibilità :-)

Mobile sempre...

Mobilità e disponibilità: un problema talvolta quotidiano... Quasi in modo inconscio, le batterie di cellulari, auricolari, notebook, sono messe in carica preventivamente per il viaggio del giorno dopo, per la comune giornata di lavoro, ...
Da un certo punto di vista, poi, il telefono cellulare, paradossalmente, diviene 'modello di disponibilità': della posta elettronica, della comunicazione vocale, del dipendente dell'azienda che, con accrocchi di questo genere, può dire addio alla vetusta Reperibilità...
Questo, nonostante che il cellulare, di per se, sia molto lontano dal concetto di "infrastruttura critica", con quel che ne consegue. Ai vari fattori che concorrono a confermare questa ipotesi, (sarà capitato anche a voi di collegare il telefono all'alimentatore, ma non di attaccare l'alimentatore alla presa?) si aggiunge il fatto che la copertura non è sempre ideale, e non solo per "il vocale" ma anche su servizi applicativi: da pochi giorni a questa parte si scopre come un servizio orientato all'utenza business, e non "banalmente" corporate, può abbandonarci in ogni momento (forse il tono è un poco apocalittico, scusate...). Non si parla di attacco, e le dichiarazioni citate nell'articolo specificano che non si tratta di un problema di sicurezza.
Vabbuò, chiariamo meglio: non si tratta di un evento avvenuto a fronte di un atto intenzionale, ma la disponibilità non è pur sempre una delle tre dimensioni nelle quali si declina la Sicurezza?
Per l'utente finale, non aver ricevuto le e-mail per un test-bed male congegnato o per un DDoS, fa qualche differenza?
Si: nel primo caso, ci si chiede come mai un servizio così diffuso geograficamente, con un numero di utenti così elevato, che fa della disponibilità dei dati "al secondo, ovunque e comunque" la sua bandiera, nonostante le dovute misure di Business Continuity e Disaster Recovery, abbia un qualche (single) Point of Failure in grado di causare effetti in mezzo mondo. Ci si chiede quindi, cosa sia effettivamente successo (a distanza di giorni non è giunta una risposta). Si dimostra poi concretamente quali siano gli effetti di talune logiche di servizio che non spostano il rischio, ma ne precludono la gestione. Questo, se vogliamo, è uno dei nodi più critici che l'Azienda "mobile" oggi deve affrontare. I paradigmi della mobilità creano una rarefazione nella determinazione dei ruoli/responsabilità (es:erogatore e fruitore), per i quali la gestione del rischio non sempre ha dei modelli chiari di analisi e strumenti adatti per delle risposte.
Come stimo l'impatto dei servizi di connettività sulla produttivilità del personale, quando questo è mobile? E come tratto questo rischio?
L'ufficio mobile virtuale non ha una connessione di rete, ovvero può avere, ad esempio, un Operatore, il cui ruolo è sminuito in caso di roaming. Ma se il roaming non funziona, per colpa dell'Operatore locale? Se si pensa che la disponibilità della connessione di rete per il lavoro quotodiano per i dipendenti è un elemento di analisi da pochi anni a questa parte, che dire di questi nuovi scenari?
Certo era più semplice (e qui molti sorrideranno per esperienze purtroppo recenti) quando il problema era "solo" il cavo portato fisicamente fino all'azienda!
Ad un "collega" ricordo che ha avuto pienamente ragione in una dichiarazione, qualche tempo fa (e qui cerco di riportare, spero correttamente, le sue parole):

cambiano le tecnologie ma i problemi sono sempre gli stessi, e si manifestano pressochè nella medesima forma. Peccato che le soluzioni sono allo stesso modo le medesime, ma bisogna passare attraverso agli stessi problemi per vederle attuare...

(e con una certa indignazione)

Possibile!?

Ci rivediamo...

E' passato un pò di tempo dal mio ultimo post.
Il fatto è che dopo un bel pò di tempo che ci pensavo, ho cambiato piattaforma di lavoro. Da Linux sono passato a Mac OS.
Sorrideranno coloro i quali hanno spesso intrattenuto simpatiche diatribe pro e contro l'uso di Linux come soluzione desktop, ma voglio loro dire che non ho cambiato idea: sono solo passato da un sistema Unix non sempre supportato dal punto di vista dell'HW per piattaforme desktop e, sopratutto, notebook, ad uno che sotto questo punto di vista ha tipicamente meno problemi di altri (se non altro, perchè il problema non si pone...).
In particolare, il cambiamento di sistema ha seguito un cambiamento di uso dello stesso, grazie sopratutto ai benefici della virtualizzazione, che consente di lavorare su piattaforme ogni volta diverse senza problematiche particolari.
Analogamente, un uso sempre più intensivo del pacchetto Office, sebbene possibile e, devo aggiungere, nella maggior parte dei casi con problemi minori rispetto a quanto mi accadeva con Windows (abbandonato ai tempi della versione 2000), comportava sempre più spesso il ricorrere a Virtual Machine Windows o attese derivanti dal refresh di contenuti grafici.
In buona parte, questi sono problemi risolubili, tuttavia talvolta si accompagnavano alla necessità di fare in fretta, e questo non è sempre compatibile con (il gusto di fare) attività di configurazione.
Forse parlerò in futuro dei motivi che mi hanno spinto su questa soluzione (Mac) piuttosto che altre, ma in sintesi posso elencare:

• il supporto completo dell'hardware su notebook
• un S.O. Unix open source (tranne per la GUI)
• porting di numerose applicazioni Open Source ed in particolare Linux (prima tra tutte l'iniziativa Fink Commander), visibile in molti servizi del S.O.
• analoghe capacità di virtualizzazione di un desktop Linux
• integrazione con telefoni cellulari e PDA (il mio E61 gioisce, ed io con lui per non dover usare sempre la tastiera querty da 2,5" ca)

Aggiungo il gusto per l'estetica, che non guasta!

Dal punto di vista della sicurezza, il BSD che pulsa sotto Aqua sembra essere ben supportato con frequenti patch, mentre evito di approfondire con paragoni con altri S.O. perchè, devo ammetterlo, non mi sono ancora documentato un granchè....

Ancora LinkedIn

Aggiungo al precedente post considerazioni riguardo una particolarità del motore di ricerca di LinkedIn che non avevo precedentemente notato: ricercando un termine, si ottengono una serie di risultati con delle sintesi che permettono di comprendere l'affinità con la ricerca effettuata...

Ecco, tali sintesi sono prelevate dal profilo "privato" della persona, tipicamente riservato ai soli partecipanti al network, con la conseguente possibilità di dedurre molti dati senza doversi compromettere troppo...

Il limite è l'avere un account LinkedIn, ma non necessariamente una rete di contatti.
Per esempio, volendo conoscere le tecnologie in uso presso una azienda, potrebbe essere sufficiente iniziare dal visionare le competenze peculiari di coloro che vi hanno lavorato. Con opportune relazioni (per esempio, il periodo di attività con la versione di un particolare prodotto) si potrebbero ottenere informazioni iniziali sufficienti per raffinare analisi altrimenti effettuabili solo con metodi intrusivi e necessariamente non specializzati in una condizione di conoscenza-zero.
Certo, l'ipotesi è un pò forte, e l'attaccante deve essere dotato di una buona dose di fortuna, ma a questo approccio basta aggiungere altri dati, come i prodotti promossi in esclusiva da società fornitrici, eventuali azioni di social engineering facilitate dallo stesso network sociale, per semplificare le cose. Anche in caso di insuccesso, il rischio rasenta lo zero, e pertanto il gioco vale comunque, per chi attacca, la candela...

Social Network o Social Engineering?

Da qualche tempo ho una mia pagina su LinkedIn.
LinkedIn è un social network, ovvero un sistema web based per creare, sviluppare e accelerare le relazioni tra persone. Probabilmente è qualcosa di più, ma questo è sostanzialmente il motivo per il quale mi sono iscritto a suo tempo, pur, come potete vedere, non avendo un granchè sviluppato la cosa... Personalmente, apprezzo lo strumento perchè certamente aiuta a diffondere la conoscenza e crea interessanti e talvolta curiose condizioni di relazione tra soggetti diversi, anche se mantiene, nell'uso che se ne può fare, alcuni sostanziali difetti.
Un esempio: vivendo a Pisa, ho relazioni di conoscenza e di amicizia con un certo numero di persone che a vari livelli lavorano presso l'Università.
Adesso, io potrei scrivere nel mio profilo che svolgo attività di ricerca, senza specificare che questo sia o meno un investimento del mio tempo libero su temi di mio interesse, o che questo risponda ad una vera e propria attività lavorativa presso la stessa Università.
Collegandomi quindi ad una serie di conoscenti/amici che insegnano, fanno ricerca, studiano etc.. presso l'"Unipi", potrei riuscire a dare di me una immagine diversa da quella reale (effettivamente, io ho rapporti di lavoro solo con il CNR e sporadicamente faccio qualcosa per l'Università, ma per questa non certo Ricerca: non sono qualificato!).
Tutto questo per dire che, per quanto social, il network è in ogni caso costituito da identità digitali non necessariamente fedeli alla realtà.
Il peggiore riscontro dall'uso distorto dello strumento che ho riscontrato, tuttavia, è una sgradevole tendenza a descrivere con un certo dettaglio le attività che le persone svolgono presso le loro aziende o presso i relativi clienti, cosa ancora più pericolosa quando chi scrive lavora nell'IT o addirittura nel settore della sicurezza informatica.
Navigando nei vari livelli del mio network, trovo ad esempio una persona che scrive:

(NB: riporto l'immagine perchè, in ogni caso, si tratta di informazioni liberamente fruibili su web, nonostante che la mia opinione su tali contenuti sia di seguito espressa a favore negativo. A tale scopo, ho volutamente eliminato i nomi delle aziende)

Quindi, anche senza omissis, come sul sito originale, si deduce che il soggetto lavora per una società di consulenza la quale a sua volta opera per una azienda che ha il problema di proteggere "dati di traffico", e mi domando se ad un hacker che vuole accedere a tali informazioni non basterebbe indossare una giacca ed una cravatta per offrirgli un colloquio nel quale farsi raccontare anche il seguito :-)
Lo stesso hacker, potrebbe quindi farsi assumere dalla società che ha in carico il progetto, per partecipare attivamente alla costruzione della piattaforma che in futuro vorrà violare!
Utilizzando comodi strumenti di ricerca, ho cercato il nome dell'operatore, venendo così a sapere per esempio su quale versione di sistema operativo è in esecuzione il sistema di CRM, e naturalmente quale prodotto (e versione!!) utilizza.
Certamente la colpa non è ascrivibile al sistema di social networking, nè alle aziende i cui dipendenti raccontano quanto siano stati bravi nello svolgere i vari progetti sui diversi clienti, nè tantomeno dell'operatore, la principale "vittima".
Probabilmente il fenomeno è comunque marginale, ma questa considerazione non è valida se anche una sola delle suddette informazioni potrà essere sfruttata.
Come spesso accade, i costi tecnologici, i processi, le normative decadono miseramente se non opportunamente corredati da attività di formazione, ed in ogni caso se il personale che li dovrà applicare non è stato reso consapevole del peso che assume all'interno del sistema IT.
Vi sono poi le famose clausole contrattuali, che come mi hanno insegnato, un dipendente/consulente dovrebbe comunque leggere, e ricordare, prima di sottoscrivere!

Considerazioni a contorno

Relativamente al precedente post, aggiungo alcune precisazioni:

• in primis, le considerazioni non sono in contrasto con gli articoli dai quali sono partito;
• ho riletto i suddetti articoli, stavolta più interessato alla notizia che alle mie elucubrazioni, e non mi è sfuggita la annotazione che un segno del cambiamento è l'annuncio che YouTube condividerà i propri guadagni con gli utenti.

(Apro una premessa: qui entro molto più che in altri casi, pertanto inauguro la sezione "Considerazioni personali")
Mi sembrava una incompletezza non considerare che adesso, ai programmi televisivi della notte, i genitori dovranno preoccuparsi dei contenuti disponibili a tutte le ore del giorno.
Si potrebbe dire che l'accesso a certi contenuti è comunque più difficoltoso: la mia figlioccia, a quattro anni, avvia e gioca con un PC linux... A voi le conclusioni!