Luca Bechelli - ICT Security Consultant

Security Summit Milano 2014

2014-03-16T23:25:00.000+01:00

Inizia tra due giorni, precisamente dal 18 al 20 Marzo, il Security Summit di Milano, organizzato dal CLUSIT.

Anche quest'anno sarà presentato il Rapporto CLUSIT, e si parlerà di Sicurezza nei molteplici eventi che caratterizzano l'agenda.

Mi troverete alla presentazione del Rapporto CLUSIT, all'apertura della seconda giornata a parlare di Security by Design ed alla presentazione del libro "Le Frodi nella Rete" edito nell'ambito della Oracle Community for Security.

In onda "La sicurezza digitale dei minori e il “cyber bullismo”"

2014-02-19T22:47:00.003+01:00

Giovedì 20 Febbraio, in onda su Punto Radio a parlare di sicurezza e di cyber bullismo, nella trasmissione "Aula40" presso il CNR di Pisa.
Potete ascoltare qui il podcast della puntata

Sicurezza e PMI

2014-02-12T23:49:00.000+01:00

Mi è capitato di ritrovare un'intervista che mi è stata fatta qualche mese fa dal magazine IdeaImpresa sul tema della sicurezza per le PMI.
Invero, i contenuti non sono tutti farina del mio sacco: nascono nell'ambito di discussioni fatte in seno al CLUSIT, rispetto a iniziative che hanno impegnato l'associazione negli scorsi anni, in particolare per iniziativa di Claudio.
Il testo dell'articolo è scaricabile da qui.
La rivista è consultabile a questo link.

Circolare 263 di Banca d'Italia - Aggiornamento di Luglio 2013

2014-02-02T01:47:00.004+01:00

Con l'Aggiornamento n.15 del 2 Luglio 2013 della Circolare n.263 del 27 Dicembre 2006 (N.B. ancora un'altra normativa nata alla fine dell'anno...), Banca d'Italia ha introdotto una serie di nuovi adempimenti nell'ambito delle disposizioni di vigilanza prudenziale delle banche, in particolare per quanto concerne il sistema dei controlli interni, la gestione del sistema informativo, la sicurezza ICT e la continuità operativa.

L'aggiornamento richiama inoltre le Raccomandazioni BCE sui Pagamenti Elettronici, includendo nel perimetro degli adempimenti anche la conformità a queste disposizioni, sebbene fino a ieri (31 gennaio 2014) ancora oggetto di consultazione pubblica.

Per meglio comprendere la natura degli adempimenti ed il loro impatto, rimando alle seguenti letture:

le attesissime e intempestive note di chiarimento e sintesi di Banca d'Italia;
un ottimo articolo di sintesi (alla fine trovate la lista delle scadenze per gli interventi di adeguamento che, fatto salvo l'invio della Relazione di Autovalutazione prevista entro ieri - 31/01/14 - vanno dal 1 Luglio 2014 al 1 Luglio 2016, benché molte delle iniziative di maggiore impatti per l'ICT siano previste entro il 2 Febbrario 2015).

Per la consultazione del testo ufficiale, fare click qui.

Seminario "DLP: profili normativi ed aspetti tecnico gestionali"

2011-05-07T13:38:00.000+02:00

La prossima settimana, giovedì 12/05 a Milano, e la successiva (19/05 a Roma), terrò un seminario sul tema "Data Leakage Prevention - Profili Normativi ed aspetti tecnico/gestionali"assieme a Gabriele Faggioli (che si occuperà della parte legale) ed a Roberto Pachì di Crag Partners.
Roberto, oltre ad essere un amico con il quale lavoro assiduamente, sponsorizza il seminario e racconterà il dettaglio del funzionamento delle soluzioni DLP, prendendo ad esempio un prodotto dalla propria offerta. Io tratterò prevalentemente gli aspetti organizzativi e tecnici.
Il seminario è la naturale prosecuzione della prima iniziativa su questo tema svolta lo scorso anno al Security Summit di Roma (atti).

Vi aspetto!

Luca

Il caso Aruba e non solo

2011-05-07T13:24:00.000+02:00

Segnalo due articoli interessanti di Claudio e Armando sul blog del CLUSIT, relativamente alla vicenda di Aruba.
Oltre ad essere d'accordo con entrambi, qui, qui e qui le mie considerazioni.

Internet Governance Forum Italia 2010 – Incontro tematico LAit S.p.A.

2010-11-27T22:19:00.001+01:00

Il 30 Novembre si terrà l'incontro tematico organizzato da LAit nell'ambito dell'Internet Governance Forum Italia 2010. Per conto del CLUSIT Parteciperò alla Tavola Rotonda dal tema "Sicurezza: vietare, educare o ...? La PA come motore di innovazione per la società civile".

Vi aspetto!

Seminario Provvedimento AdS

2010-02-01T18:57:00.003+01:00

Qualche aggiornamento.
Per quest'anno rientro a far parte del Comitato Tecnico Scientifico del Clusit, mentre da poco sono state pubblicate sull'area Clusit Education le date dei due seminari che terrò assieme a Gabriele Faggioli sul Provvedimento del Garante della Privacy del 27/11/2008, più noto come il Provvedimento sugli "Amministratori di Sistema". L'abstract:

A valle dell'entrata in vigore del provvedimento del Garante Privacy del 27 novembre 2008, molti sono ancora i dubbi che le aziende devono risolvere in relazione al suo ambito di applicazione ed alle scelte tecniche e metodologiche sottostanti.

Il seminario ha lo scopo di illustrare ai partecipanti quali siano i limiti entro cui opera il Provvedimento offrendo tuttavia una panoramica più generale dell'opportunità di aumento della sicurezza aziendale che lo stesso Provvedimento permette di perseguire.

Spero sia l'occasione per fare chiarezza su un tema che è stato "caldo" per tutto il 2009, e molto probabilmente lo sarà ancora per tutto il 2010!

Maligno

2009-10-23T16:40:00.010+02:00

Da due giorni ricevo decine di mail con informative sulla disponibilità di aggiornamenti vari per Windows.

E' innegabile che la qualità del phishing sta salendo notevolmente:

Facendo click con il browser, questo si lascia ingannare, almeno per adesso
, fintanto che i controlli antiphishing non saranno aggiornati anche con questo link. Ieri sera, ad esempio, il browser mi ha fornito questa segnalazione:

Questo riporta in auge una perplessità che ho su questi strumenti: sapere di avere un meccanismo di controllo, quanto contribuisce ad accrescere l'impatto di un attacco apportato con successo verso gli utenti finali?

Certo, si tratta di una questione di riduzione dell'impatto del danno, almeno su larga scala, tuttavia in tali casi forse aiuterebbe di più maggiore awareness...

Che ne pensate?

1 minuto per violare una rete Wi-Fi

2009-08-31T11:50:00.005+02:00

Come riportato in questi giorni da più fonti, risulta essere realizzato un attacco che consentirebbe di violare una rete wireless in circa un minuto.

L'attacco si applica a reti protette con meccanismo WPA su protocollo TKIP, ed è basato sul precedente attacco ideato da Martin Beck e Erik Tews, che impiegava circa 15 minuti per ottenere il key material
e quindi poteva essere mitigato mediante l'attivazione della funzionalità di re-keying. Inoltre, tale attacco non consentiva il pieno accesso ai contenuti della trasmissione, ma "solo" la violazione dell'integrità dei pacchetti (da cui la possibilità di inserire del traffico illecito nella rete wireless).

Il nuovo attacco, ideato dai ricercatori Toshihiro Ohigashi e Masakatu Morii, permette di accedere al contenuto del traffico cifrato. Maggiori informazioni si avranno in una prossima conferenza il 25 settembre, ma il segnale forte è che lo standard WPA con protocollo TKIP non è ormai da ritenere più affidabile per la sicurezza della propria rete. Qualora sia supportato, è opportuno configurare l'algoritmo AES al posto di TKIP, oppure ricorrere ai meccanismi di protezione WPA2, immuni da questo attacco.

Naturalmente, ricordandoci di NON UTILIZZARE il più vetusto e meno sicuro WEP!

Top Virtualization Security Mistakes

2009-08-21T10:53:00.002+02:00

Dal SANS, caldo caldo arriva un documento che riassume le problematiche principali nell'adottare massivamente tecnologie di virtualizzazione nella propria infrastruttura.

Sebbene ricorrere alle tecnologie di virtualizzazione presenti a mio avviso molti vantaggi, non devono essere ignorati i problemi di sicurezza che una maggiore complessità tecnologica (e di processo, benchè si tenda a non pensarci troppo...) introducono.

In particolare, mi fa piacere che tutte le indicazioni presenti nel documento sono le stesse che elencavo ormai più di un anno fa nel seminario CLUSIT sulle tecnologie di virtualizzazione (sebbene non con la stessa sintesi, che è notoriamente una qualità che mi manca :-( )

Articolo introduttivo sulla virtualizzazione

2009-08-19T12:55:00.001+02:00

Qui potete trovare un buon articolo introduttivo sulla virtualizzazione server, corredato di link ad altri documenti altrettanto interessanti e video esplicativi.

Provvedimento sugli Amministratori di Sistema: risposta alla Consultazione Pubblica (con Proroga)

2009-06-29T11:19:00.003+02:00

Il Garante per la Protezione dei Dati Personali ha pubblicato la risposta alla Consultazione Pubblica, mediante una serie di modifiche al Provvedimento sugli Amministratori di Sistema.
Le modifiche sostanziali:

- alcuni degli adempimenti previsti per i "Titolari al trattamento" sono attribuiti anche ai Responsabili (situazione nella quale si ricade più spesso nel caso di trattamenti affidati a terzi)

- l'elenco aggiornato dei nominativi degli amministratori di sistema non deve più essere inserito nel Documento Programmatico sulla Sicurezza, bensì sarà sufficiente un documento interno

- è prevista una proroga dell'adeguamento per quelle aziende che già oggi effettuano trattamento di dati personali, che sposta il termine al 15 Dicembre.

Devo dire che, rispetto alle perplessità e ai dubbi interpretativi del Provvedimento, sebbene molto ridotte a seguito della pubblicazione delle FAQ (21/05/2009 - Amministratori di sistema: risposte alle domandepiù frequenti), mi sarei aspettato delle modifiche più sostanziali. La proroga, al contrario, era abbastanza scontata, visto che la stessa consultazione pubblica si concludeva il 31 Maggio, un mese prima della scadenza del Provvedimento stesso...

[From SicuraMente: AMMINISTRATORI DI SISTEMA: PROROGA AL 15 DICEMBRE]

E Pippo entrava nei computer dei pm - Corriere della Sera

2009-06-27T10:19:00.003+02:00

L'articolo dal quale riprendo il titolo racconta scenari purtroppo non nuovi, specie in molte piccole e medie imprese.

Peccato che tali scene si svolgano in una Procura, quella di Milano!

Attenzione però alle conclusioni dell'articolo: prima di ricorrere ai seppur validi progetti di livello nazionale sulla protezione degli accessi, buone pratiche quali l'inibizione dell'uso degli account di amministrazione, l'uso di identificativi nominali ed il divieto di mantenere le informazioni riservate su cartelle condivise, fino al fatto che i PC per uso lavorativo, sono aspetti che solo un cambiamento culturale, certamente aiutato da strumenti automatici di prevenzione e controllo, possono risolvere.

C'è molto da fare, ma molto spesso per risolvere i problemi più gravi basterebbe innanzitutto ricorrere alle soluzioni più semplici che, per altro, sono anche quelle meno costose.

[From E Pippo entrava nei computer dei pm - Corriere della Sera ]

Biometria e Hash: un binomio imperfetto...

2009-06-25T19:54:00.003+02:00

Provare per credere: cercando su Google "database impronte centralizzato", si visitano pagine dove si afferma che vi sono dei sistemi che consentono l'autenticazione biometrica tramite database centralizzato delle impronte, assicurando la riservatezza delle caratteristiche biometriche degli utenti, poichè sarebbero trasformate in una sequenza numerica mediante funzione hash.

Le descrizioni continuano dicendo che, dato che le funzioni hash sono invertibili, è impossibile a partire da quanto memorizzato nel database centralizzato risalire all'impronta dell'utente.

Fino qui teoricamente tutto bello, tuttavia... ...peccato che un sistema così congegnato non possa funzionare! Vediamo di capire perchè.

Di vero nella suddetta affermazione c'è che:

1) le funzioni hash sono invertibili

2) se sottoposta a funzione hash, dall'hash stesso non è possibile ricavare l'impronta originale.

Direi tuttavia che è improbabile che questo sistema consenta di autenticare gli utenti. Infatti:

a) tra le caratteristiche delle funzioni hash utilizzate in ambito sicurezza, vi è la bassissima probabilità di generare collisioni, ovvero che a partire, ad esempio, da due impronte diverse si ottenga lo stesso hash. Questo assicurerebbe che a partire da una impronta illegittima si possa ottenere un accesso autorizzato in vece del vero utente. Fino qui tutto bene.

b) per garantire il suddetto requisito, da due sequenze di bit molto simili una tipica funzione hash produce output molto diversi. Questo assicura che non si possa costruire ad arte una collisione, mediante tentativi finalizzati a riprodurre un hash sempre più rassomigliante a quello dell'impronta originaria. Anche questo è un fatto positivo.

Ma veniamo al punto. La verifica biometrica di una impronta avviene a partire da una immagine, che dopo essere acquisita viene elaborata per estrarre le caratteristiche principali dell'impronta stessa, le cosiddette minutiæ.

Come è possibile che due acquisizioni di immagine di impronte siano perfettamente uguali?

Non è possibile: il dito dovrebbe non aver subito alcuna variazione, le condizioni di temperatura e umidità dell'utente ed ambientali dovrebbero essere esattamente le stesse, il dito dovrebbe trovarsi esattamente nella stessa posizione (a meno di una manciata di DPI, in funzione della risoluzione del lettore biometrico), il lettore dovrebbe essere sostanzialmente sterile per garantire che eventuale sporcizia non ne alteri la capacità di lettura, e l'utente dovrebbe esercitare esattamente la stessa pressione sul lettore (sapete com'è... la pelle è molliccia....). Etc... etc... etc...

Quindi: se due acquisizioni successive non possono dare la medesima immagine, non produrranno template identici, a meno che questi non siano calcolati in modo talmente grossolano da rendere il confronto biometrico assolutamente non sicuro.

Se non si hanno template identici, gli hash generati a partire dagli stessi saranno molto diversi, quindi non confrontabili.

Quindi una soluzione del genere non funziona!

Altrimenti, perchè non vi sono sistemi di cifratura che utilizzerebbero le impronte acquisite "live" come chiave? Infatti esistono, al contrario, sistemi di cifratura che solo a seguito di un match biometrico forniscono l'accesso a "wallet" di chiavi da utilizzare nei vari servizi locali e remoti!

Perchè quindi affermare l'esistenza di una simile tecnologia?

Alla prossima puntata...

220 millisecondi in HTTPS

2009-06-25T19:05:00.001+02:00

Consiglio a tutti la lettura di questo interessantissimo post, che racconta, millisecondo dopo millisecondo, cosa accade quando si instaura una connessione HTTPS tra un client ed un server.

Davvero un articolo ben fatto!

Amministratori di sistema: risposte alle domande più frequenti (FAQ)

2009-06-03T12:07:00.002+02:00

Sono da qualche giorno on-line le FAQ del Garante sul Provvedimento sugli amministratori di sistema.

I chiarimenti sono stati emessi mentre è in corso una Consultazione Pubblica per acquisire commenti in merito al suddetto Provvedimento, che si è conclusa il 31 Maggio.

Per altro, pochi giorni prima dell'annuncio della Consultazione, CLUSIT ha emesso un proprio documento elencando gli elementi che a nostro parere meritano maggiore chiarimento e fornendo osservazioni sulla natura di alcune prescrizioni.

Si attendono quindi ulteriori deliberazioni su questo caldissimo argomento!

[From SicuraMente: Amministratori di sistema: risposte alle domande più frequenti (FAQ)]

Lo "zar" della sicurezza

2009-06-02T12:21:00.001+02:00

Il Presidente Obama, come si legge nel link in calce, ha elevato la sicurezza informatica a "priorità nazionale" contro le "armi di sabotaggio di massa", istituendo la figura del responsabile della cybersecurity, che farà parte del Consiglio di Sicurezza Nazionale e del Consiglio Nazionale Economico.

Forse la partecipazione a quest'ultimo organo può dare maggiormente l'idea della rilevanza che il Presidente USA vuol dare a questa figura, dato che di organizzazioni governative che si occupavano anche di sicurezza informatica negli States ve n'erano, eccome.

La presenza di un coordinamento centrale e la partecipazione ai tavoli di maggiore importanza per l'amministrazione americana porterà dei cambiamenti anche oltreoceano?

[From "SURGE"OBAMA NEL CYBER-SPAZIO, ZAR PER LE GUERRE FUTURE | News Esteri | La Repubblica.it]

Dati di Traffico: proroga del Garante

2009-06-01T01:37:00.000+02:00

Il Garante per la Protezione dei Dati Personali, con un provvedimento datato 28 Aprile, ha prorogato i termini del Provvedimento del 17 Gennaio 2008 relativo alla conservazione dei dati di traffico. La proroga sposta i termini di adeguamento al 15 Dicembre 2009 per alcuni adempimenti. In particolare:

la separazione logica e fisica degli ambienti di elaborazione dei dati di traffico per finalità di giustizia e repressione dei reati rispetto a quelli per la c.d. gestione ordinaria e/o fatturazione

l‘audit log per i dati conservati per finalità di giustizia

la cifratura dei dati, sempre per quanto riguarda i dati conservati per finalità di giustizia

tutti gli adempimenti per i dati trattati per finalità di gestione ordinaria e/o fatturazione.

La proroga, come si legge in premessa, segue alle richieste mosse da Asstel dovute, in particolare, a

"particolare complessità riscontrata dai fornitori nell'adozione delle misure prescritte nel suddetto provvedimento con riferimento ai trattamenti effettuati per le finalità di cui all'art. 123 del Codice, anche in ragione dell'elevato numero di sistemi e/o piattaforme coinvolte"

come per altro ribadito da analoghe richieste fatte da AIIP e da Assoprovider nello stesso periodo.

I visitatori del Summit

2009-04-03T15:20:00.003+02:00

800 visitatori al Security Summit. Solo che... non erano i visitatori della tipica fiera: erano persone che avevano qualcosa da dire o da sentire, e molte aule sono state infatti riempite.

Resta ancora la possibilità di vedere i video degli eventi, e di andare al secondo appuntamento, a Roma, a Giugno.

[From edipi :: Newsletter]

Fascicolo Sanitario Elettronico e Dossier Sanitario

2009-04-03T15:15:00.002+02:00

Nuova consultazione pubblica del Garante per un provvedimenti in merito al "Fascicolo Sanitario Elettronico e Dossier Sanitario. La pagina del sito del Garante che riporta la deliberazione è questa.

Dal mio punto di vista ritengo molto positivo che in più occasioni il Garante si sia aperto a questo tipo di iniziativa su tematiche che toccano il quotidiano dei cittadini (gli Interessati della normativa...) e coloro che nel proprio lavoro trattano dati personali di varia "rilevanza".

[From Privacy: consultazione pubblica su "fascicolo sanitario elettronico e dossier sanitario" | ComplianceNet]

C6.tv - Video - Security Summit: La sicurezza dei cittadini su Internet

2009-03-29T16:12:00.003+02:00

Su C6.TV è presente una video intervista ad alcuni dei partecipanti della tavola rotonda dal titolo "La sicurezza dei cittadini su Internet", nell'ambito del Security Summit.

Telefonino - Browser 1 a 0

2009-03-29T00:42:00.008+01:00

Al terzo Pwn2Own contest alcuni risultati interessanti: violazione di Windows Vista e Mac OS X mediante attacchi "0 day" apportati dai partecipanti ai principali browser disponibili sulle due piattaforme.

A quanto pare, i vincitori del contest hanno impiegato pochissimi minuti per aggiudicarsi la vittoria, a fronte di una precedente preparazione. Nessuno, tuttavia, è stato in grado di ottenere un analogo risultato con gli smartphone, in una sessione dedicata proprio a questo tipo di device mobili. I dispositivi (Blackberry, Android, iPhone, Nokia/Symbian e Windows Mobile) hanno dato prova di una maggiore robustezza, tanto che si è potuto parlare solo di

simulated stack overflow vulnerability

in una presentazione durante lo svolgimento della manifestazione. Questa, e la violazione inaspettatamente (?) facile di Mac OS X sono state le notizie più rilevanti del Pwn2Own contest.

Continua>>

Security Summit

2009-02-21T12:41:00.002+01:00

Da qualche giorno sul sito del Security Summit sono stati caricati i contenuti degli eventi di Milano e, parzialmente, di Roma.

E' la prima volta che un evento del genere viene organizzato in Italia nel settore della sicurezza, e sopratutto è la prima volta che il CLUSIT si fa organizzatore in prima persona di una manifestazione di così ampia portata.

E' stato creato anche un gruppo in Facebook, per consentire a chi fosse interessato di inoltrare le proprie richieste agli speaker.

Una chicca: rispetto alle manifestazioni tradizionali su questi temi, in questa prima edizione è stato organizzato persino un "Hacking Film Festival".

Rilevanti sono le tavole rotonde ed i convegni verticali: credo che se ne avrò la possibilità, tra le prime non mi perderò questa sul tema della convergenza tra sicurezza logica e protezione delle infrastrutture critiche e, per quanto riguarda i convegni, questo sulla sicurezza delle PMI.

Non mancano una serie di percorsi formativi, tra i quali questo al quale parteciperò anche io come docente.

Elezioni CLUSIT

2008-12-19T15:40:00.001+01:00

Il 15 Dicembre si è svolta l'elezione del Comitato Direttivo e del Presidente del Clusit. Qui i risultati, mentre in questa pagina riporto solo la soddisfazione per la mia ri-conferma.

Con piacere, riscontro anche che il tema della partecipazione dei soci alla vita associativa è una delle principali priorità "programmatiche" dei vecchi e dei nuovi membri del Direttivo, ed in particolare a questi va il mio augurio ed un benvenuto.

Nel frattempo, con l'occasione, auguro un Buon Natale (chissà se entro capodanno ci sarà lo spazio per un altro post?) a tutti!