Home » Posts tagged 'security'
Archivi tag: security
CD rotto, giustizia è sfatta
Un CD-ROM può diventare inutilizzabile? Assolutamente sì. Nel nostro Paese, però, può accadere che un CD-ROM contenente gli atti di un’inchiesta giudiziaria diventi illeggibile e per questo motivo i giudici, dal momento che non è possibile consultarne il contenuto, annullino un’ordinanza di custodia cautelare e rimettano in libertà gli indagati (poi tornati agli arresti per la riemessione dell’ordinanza, visti i gravi indizi di colpevolezza).
“La tecnologia non sempre aiuta e certamente l’uso del vecchio sistema cartaceo elimina questo tipo di inconvenienti”, aveva commentato uno dei difensori con una frase che farebbe rodere il fegato a chiunque conosca i concetti di copia e di backup, che dovrebbero essere prassi consueta soprattutto per chi gestisce informazioni importanti, sensibili o critiche, ma essere anche riconosciuti per legge. In questo caso non so se esista una norma che esclude l’ammissibilità degli atti contenuti in una copia del CD (che renderebbe vana ogni opportuna cautela eventualmente adottata), ma comunque da questa notizia emerge ancora una volta il digital divide culturale che regna nel nostro Paese. Perché – contrariamente a quanto osservato dall’avvocato – un uso consapevole della tecnologia, in realtà, avrebbe aiutato!
Instagram: “non vogliamo vendere le vostre foto”
Dopo aver registrato innumerevoli feedback negativi, critiche e lamentele da mezzo mondo in relazione alle novità sulle condizioni contrattuali rese note solo ieri, Kevin Systrom – co-fondatore di Instagram – scrive un nuovo post nel blog aziendale per spiegarsi meglio e “rispondere alle vostre domande, sistemare ogni errore ed eliminare la confusione”. Non solo:
“Modificheremo punti specifici delle condizioni per fare maggiore chiarezza su ciò che accadrà con le vostre foto. I documenti con valore legale possono essere facilmente mal interpretati”.
Rivolgendosi quindi alle specifiche preoccupazioni espresse da tutti, Systrom tiene a precisare che l’advertising è una fonte di auto-sostentamento, ma non è l’unica, e che l’obiettivo delle nuove condizioni è la volontà di sperimentare nuove forme di pubblicità appropriate per Instagram: “invece questo è stato interpretato da molti come l’intenzione di vendere le vostre foto senza alcun compenso. Questo non è vero e il nostro linguaggio fuorviante è un nostro errore . Per essere chiari: non è nostra intenzione vendere le vostre foto”. Foto che, aggiunge, non saranno cedute per diventare parte di inserzioni pubblicitarie.
La parte più rilevante del post chiarificatore è questa:
“Gli utenti di Instagram sono proprietari dei propri contenuti e Instagram non rivendica alcun diritto di proprietà sulle vostre foto”.
Chiarimenti anche sul fronte delle impostazioni della privacy: “Impostando le foto come private, Instagram le condividerà solamente con gli utenti approvati che vi seguono”.
Qualcuno, alla luce di queste spiegazioni, riguardo alla possibile vendita delle foto da parte di Instagram, ha parlato di bufala. Io non la liquiderei come tale: il fraintendimento non è stato circoscritto in una chiacchierata di quattro amici al bar, ma dalla stampa di mezzo mondo e da moltissimi utenti – tra cui il National Geographic, che come potete vedere ha già preso provvedimenti – e il motivo è nel fatto che tutti hanno letto frasi come questa, che riporto testualmente e traduco (più o meno maccheronicamente) nel seguito:
“You agree that a business or other entity may pay us to display your username, likeness, photos (along with any associated metadata), and/or actions you take, in connection with paid or sponsored content or promotions, without any compensation to you.”
Concordate che una società o altra entità possa pagarci per esporre i vostri nome utente, ritratto, le foto (insieme a tutti i metadati associati), e /o azioni da voi intraprese, collegati a contenuti a pagamento o sponsorizzati o promozioni, senza alcun compenso per voi
Registriamo quindi questa retromarcia da parte di Instagram (lo è, dal momento che introdurranno modifiche alle condizioni rese note ieri), ma continuiamo a mantenere ben dritte antenne e orecchie 
Skype, problemi di reset della password
Su Skype è stato disattivato il reset della password: Microsoft si è vista costretta a questa contromisura a causa di una grave vulnerabilità che potrebbe portare, attraverso l’e-mail dell’utente, a violarne la password e la riservatezza del suo account.
La pericolosa falla riguarda utenti che hanno più account su Skype, ma associati ad un unico indirizzo e-mail. Ad un malintenzionato sarebbe sufficiente conoscere una di queste associazioni (account+e-mail) per creare un nuovo account Skype farsi inviare da Skype il reset token della password. Opzione che ora è stata temporaneamente bloccata e che sarà ripristinata non appena Microsoft avrà risolto il problema.
C’è anche il phishing scaltro
Che cos’è il phishing? Per utilizzare la definizione utilizzata da Anti-Phishing Italia, il phishing è una frode on-line ideata per sottrarre con l’inganno numeri di carte di credito, password, informazioni su account personali. Attuato generalmente tramite e-mail si basa sull’invio da parte di un utente malintenzionato di e-mail che sembrano provenire da siti web autentici o noti i quali richiedo all’ingenuo utente l’inserimento di informazioni personali.
Accanto ai numerosi esempi di phishing maldestro, che agli utenti più sgamati o smaliziati danno motivo di sorridere (e talvolta anche di ridere), ci sono anche quelli di phishing scaltro, ossia che ha buone probabilità di far cadere un po’ di persone nel proprio tranello.
Ecco la mail che ho ricevuto poco fa:
Il phisher si dimostra al passo con i tempi e – oltre ad aver preparato una mail scritta in modo abbastanza credibile – finge di proporre al cliente Postepay o BancoPosta l’adesione all’offerta PosteMobile, che è l’operatore di telefonia mobile alternativo lanciato a fine novembre da Poste Italiane. Il link ovviamente porta ad un sito fasullo (che fa capo ad un dominio “postemobile.cc”, che non è quello ufficiale), quindi statene alla larga se non volete cadere nell’ennesima truffa online che carpisce i vostri dati riservati (come le credenziali di accesso al conto).
Dimmi cosa indossi e ti dirò DOVE sei
Il Corriere di oggi riporta questa novità:
Così i genitori controllano i figli
Da Londra la giacca-spia con il Gps
Permette di localizzare ovunque chi la indossa. E negli Usa il cellulare manda la mappa per dire dove sei: 3 dollari
L’innovativo indumento è realizzato da un’azienda che si chiama Blade Runner (io l’avrei orwellianamente chiamata 1984). La giacca è dotata di un modulo GPS che – dice l’articolo – permetterà ai genitori apprensivi di seguire minuto per minuto il percorso dei figli e di rintracciarli con un’approssimazione di quattro metri quadrati. Un giornalista del Guardian lo ha fatto provare al figlio, che ne ha apprezzato le caratteristiche (“nero, attillato, ha anche una tasca interna per l’iPod”).
Adesso ci manca solo una bella telecamerina nascosta in un bottone, per vedere da casa ciò che vedono i figli. E magari anche un microfono. A me sembra una soluzione più adatta a tenere sotto controllo chi viene messo agli arresti domiciliari. Speriamo che nessuno si dimentichi di dare un’adeguata informativa ai sensi del Codice della Privacy…
Adrian Davis, direttore della Blade Runner, offre un pretesto per comprarlo, suggerendo il giaccone con Gps ai genitori i cui figli fanno sport avventurosi, come lo snowboard: «Sai sempre dove sono e in caso si trovino nei guai possono attivare un allarme per far rilevare immediatamente la loro posizione». Ma non era meglio un ARVA?
Ssssh! Il badge ci ascolta
Chi fino ad oggi poteva lamentarsi di essere spiato in ufficio da sistemi di videosorveglianza non segnalati o sistemi di tracciabilità della propria attività su Internet, prima o poi potrebbe doversi trovare a fare i conti con questo:
Da Repubblica:
AD UN PRIMO sguardo, potrebbe sembrare un normalissimo badge. Uno di quei cartellini identificativi che indossano i dipendenti delle grandi società. Ma l’aspetto inoffensivo non deve ingannare: si tratta, in realtà, di un sofisticato dispositivo elettronico in grado di tracciare le attività di chi lo indossa.
Lo ha creato Hitachi, che l’ha battezzato Business Microscope. Rileva la posizione del dipendente che se lo porta appresso, monitorandone le comunicazioni (cosa è stato detto, dove, a chi). Lo scopo? Rilevare “la forza delle relazioni all’interno di un gruppo di lavoro”.
Ovvie le reazioni suscitate dal nuovo piccolo-grande-fratello made by Hitachi, visto da subito come un guardiano anti-privacy. Addio agli speteguless da corrodoio, soprattutto quelli che riguardano il superiore (o l’incaricato al monitoraggio, una figura che sembra una sorta di novello confessore – peraltro non richiesto). Hitachi però garantisce (anche se pochi sono disposti a crederci) che il badge con le orecchie ha finalità puramente statistiche: “in questo modo possono essere chiariti alcuni dei problemi che a volte sorgono all’interno di un’organizzazione. E si aumenta la produttività, mostrando la forza o la debolezza delle relazioni tra i membri di un gruppo che lavora allo stesso progetto”.
Il Business Microscope dovrebbe essere commercializzato dal prossimo anno. Nelle aziende italiane dovrà sicuramente passare sopra il corpo delle rappresentanze sindacali, dopo essere transitato dal Garante della Privacy.
Meno security per le PMI?
Uno non può farsi qualche giorno di vacanza che, al ritorno, trova grandi novità, già attuate o in preparazione. In questo caso leggo che Stefano, da conneXioni, lancia una segnalazione:
Leggo dal blog di Gigi tagliapietra, presidente del Clusit, che nella seduta 164 del 5/6/2007, la Camera dei Deputati ha votato, a larghissima maggioranza, un progetto di legge che prevede l’esonero per le imprese fino a 15 addetti dall’osservanza delle misure minime di sicurezza per il trattamento dei dati previsti negli art. 33-35 della legge 196/03.
Il Clusit chiede la sospensione del progetto di Legge e l’introduzione di iniziative mirate a facilitare e supportare le PMI in questo compito.
Leggi il comunicato stampa.
Notoriamente il sistema produttivo italiano è caratterizzato dalla prevalenza di micro e piccole imprese: sono oltre 4 milioni quelle con meno di 10 addetti. Esse rappresentano il 95 per cento del totale ed occupano il 47 per cento degli addetti. (ISTAT, “Struttura e dimensione delle imprese”, Ottobre 2006).
Pensate alle imprese che si occupano di e-commerce, o che gestiscono dati sensibili in genere: forse che la dimensione dell’azienda abbia qualche influenza sull’importanza delle informazioni che gestisce?
La risultante è uno svilimento della figura della piccola impresa, che si può comportare in modo diverso dalle sorelle maggiori.
Sono sconcertato che il governo pensi che la salvaguardia delle attività di quello che è la componente principale del tessuto produttivo italiano abbia un’importanza relativa.
Si ricade sempre nella sensazione diffusa (ed errata!) che tutto quanto attiene alla protezione delle informazioni sia da considerarsi un mero costo, anziche’ una garanzia per il futuro dell’impresa.
Io sono sconcertato anche dal fatto che, con il pretesto di un rilevante alleggerimento burocratico, si rischia – da un lato – di incoraggiare legittimare atteggiamenti di incuria e di superficialità da parte delle imprese e – da un altro lato – di aprire le porte delle reti delle piccole imprese ad attacchi provenienti dall’esterno.
E’ pur vero che l’adozione di misure di sicurezza, ancor prima di essere imposta da una normativa, dovrebbe essere la conseguenza dell’applicazione di tre concetti: buon senso, coscienziosa gestione delle risorse aziendali e attenzione al cliente. Ma è altrettanto vero che esonerare le piccole imprese da quanto previsto dalla normativa è, come ha osservato Gigi Tagliapietra, “come decidere di non vaccinare i bambini contro le malattie infettive per evitare loro la puntura dell’iniezione”. O – aggiungo io – per paura di farsi fare un certificato medico e di dover riportare l’avvenuta vaccinazione su un libretto sanitario.
Evitereste di compilare qualche scartoffia per esporvi ad un rischio serio?
Occhio al registro italiano che è tedesco
Come ogni anno (ma ne riparlo volentieri, repetita juvant e poi capita sempre di trovare qualcuno che non ne è a conoscenza), ho ricevuto la comunicazione dal Registro Italiano in Internet, che mi scrive:
Nel quadro dell’attualizzazione annuale della Vostra registrazione nel Registro Italiano in Internet, Vi preghiamo di verificare la correttezza e completezza del Vostri dati da noi registrati e di verificarli, se ne è necessario, sotto il seguente indirizzo Internet: http://www.Registro-Italiano-in-Inbternet.com. Solamente così, il registro Internet riporterà i dati più attuali! La Vostra registrazione di base e la sua attualizzazione sono gratuite.
La lettera può sembrare una sorta di promemoria finalizzato al rinnovo della registrazione del nome a dominio, che magari arriva proprio a ridosso della data di scadenza, ma in realtà è tutt’altra cosa, per cui se la ricevete anche voi fate attenzione: si tratta di un ordine vero e proprio, più precisamente per la sottoscrizione – su base triennale – ai servizi di una directory tedesca, che fa capo alla DAD Deutscher Addresdienst GmbH. Per comparire in tale registro chiedono il pagamento di un importo di 958 euro per tre anni. Quindi in totale fanno 2.874 euro, pagati per far comparire un link, per la durata di tre anni, nella pagine di questo registro.
Ergo, valutate bene le comunicazioni di questo tenore (e con queste cifre) che provengono da un’azienda diversa dal Maintainer con cui avete registrato il vostro nome a dominio. E valutate bene se vale la pena spendere quelle somme per avere un link su quel tipo di directory.
Badate bene: non è una truffa. Come non sarebbe una truffa, ad esempio, la proposta di acquisto di una normale spilla da balia al prezzo di 700 euro.
Il phishing maldestro
Un utente mediamente preparato dovrebbe tranquillamente ignorare tentativi di phishing come questo (se cliccate sull’immagine la vedete meglio):
L’autore del phishing, solitamente, tenta di far abboccare gli utenti, inducendoli a rivelare credenziali di accesso riservate, allo scopo di farne un uso fraudolento. Chi ha scritto questo messaggio, però, è paragonabile a un pescatore che come esca usa un cubo di rubik.
I costi dell’insicurezza delle informazioni
Dopo un periodo trascorso operativamente offline – ma comunque professionalmente non poco intenso – dal suo gestore (o tenutario, direbbe Mantellini), il blog conneXioni riprende le trasmissioni. Poteva limitarsi ad un semplice saluto o ad un banale “rieccoci qua”? Ma quando mai…?
Il fratello del sottoscritto ha pensato bene di andare subito al sodo e cimentarsi, come suo costume, nel tostissimo tema “La dimensione economica della sicurezza delle informazioni”. Argomento spesso ignorato, trascurato e sottovalutato, ma solo perché non se ne conoscono realmente impatto e dimensioni.
Capita anche di sentirne parlare a sproposito. Ma in questo caso, fortunatamente, a parlarne è chi se ne occupa professionalmente.
Meditate gente, meditate…
Personali e sensibili
Ci sono quelli personali e quelli sensibili. Ovviamente sto parlando di dati. Di quelle informazioni che ci riguardano strettamente, che essendo nostre dovremmo essere ben consapevoli delle mani in cui cadono.
Naturalmente non è così: non siamo assolutamente padroni del percorso che i nostri dati personali compiono, guidati da mani invisibili e scrutati da occhi indiscreti. Senza neppure rendercene conto, siamo disposti a consegnarli nelle mani del primo che capita (spesso per ottenere un servizio, irrevocabilmente condizionato dal nostro consenso a trasmetterli) e da quel momento ne perdiamo traccia. Ma grazie ad essi altre persone conservano le nostre tracce. Istituti di credito (tramite carte di credito e Bancomat sanno dove ci troviamo, quanto ci mettiamo in tasca e quanto resta sul conto corrente, nonché dove e per cosa spendiamo il nostro denaro), operatori telefonici (quanto stiamo al telefono, con chi), supermercati (alla tessera punti è abbinato il nostro nome, i nostri punti, ma soprattutto ciò che acquistiamo – ma questo lo sa anche la banca), i gestori delle autostrade (con Telepass e Viacard), provider internet (quelli sanno dove navighiamo e cosa ci interessa) e via discorrendo…
E poi (ad esempio) gli appassionati di motori si stupiscono quando ricevono mail pubblicitarie di riviste, siti web o portali che riguardano (ma guarda un po’) auto e/o moto… o quando, interrogando un motore di ricerca, accanto al risultato della richiesta si trovano link sponsorizzati (pubblicità) relativi ad inserzioni su eBay, a modelli di automobili, a siti di annunci economici legati all’automobilismo…
Ci siamo mai chiesti quanto viaggiano i nostri dati? E ancora: abbiamo modo di tenerli sotto controllo? Il nuovo Codice della Privacy dice di sì.
A-ghost (che mi è istintivamente simpatico, per i suoi hobbies, tra cui il condiviso amore per l’escursionismo di montagna), ha appena dedicato all’argomento dati sensibili un post assai realistico che esemplifica bene quanto quotidianamente accade ai nostri cari dati personali e sensibili. Forse il sopra richiamato Codice della Privacy dovrebbe prevedere l’eventualità descritta da a-ghost (assai comune e rintracciabile) e risolvere il problema.
Mi aspetto già commenti del tipo “e a che serve? tanto, fatta la legge, trovato l’inganno”.
[security] Kamasutra, danni evitabili
La promessa di immagini pornografiche del Virus “Kamasutra” (alias Blackworm, Nyxem, MyWife o Tearec) sembra aver incastrato molti utenti. Suscita meraviglia che al Comune di Milano, che non è un ente di dimensioni trascurabili, la trappola sia scattata per moltissimi computer.
Secondo quanto riporta il Corriere della Sera in ViviMilano, forse con una stima un po’ abbondante, i computer fuori uso sarebbero migliaia. E tutto sarebbe stato innescato da un solo, ignaro, sbadato, curioso, utente.
A fine gennaio era noto che il virus aveva già infettato almeno 300mila computer, di cui 23mila solo nel nostro Paese. L’azione distruttiva di Kamasutra, però, era programmata per il 3 febbraio (e probabilmente destinata a ripetersi il 3 di ogni mese). Le notizie circolate finora lasciano pensare che utenti e responsabili ICT mediamente aggiornati avrebbero avuto tutto il tempo di premunirsi e cautelarsi. Chi non lo ha fatto ne ha patito (o fatto patire) le conseguenze. Alla Borsa di Mosca, ad esempio, hanno avuto qualche… fastidio.
Le possibilità di informazione tempestiva al giorno d’oggi non mancano certamente, e da fine gennaio il problema era conosciuto e analizzabile. Si sapeva già che il virus, in data 3 febbraio, avrebbe potuto eliminare dai pc infetti tutti i file Office (DOC, XLS, PDF e altri formati). E infatti non c’è stata alcuna catastrofe planetaria, come rilevato da alcune agenzie di stampa come Reuters.
Il titolo riportato oggi dal Giornale, in un articolo che spiega che oggi a Palazzo Marino si affronterà il problema, è impagabile: Oggi il comune fa il test del kamasutra (Buon divertimento ).
Però non è male nemmeno il titolo del Sole 24 Ore che mi segnala Stefano: “Allarme per il warm Grew.A”. Refuso? Confusione? Ora l’hanno corretto, ma fino a qualche ora fa il titolo era ben diverso (vedi sotto)
