ius and bit

La National Geographic ha realizzato un reportage video sugli hackers (o crackers ?). I video sono presenti su Youtube. Riporto di seguito due dei video-reportage. Buona visione. Continua a leggere …

E’ stata istituita la giornata europea per il 112.

A parere mio sembra una esagerazione bella e buona; addirittura una giornata europea per un numero unico. Non è discussione il contenuto di questo servizio che, invece, è da valutare positivamente in quanto contribuisce ad aumentare i livelli di sicurezza, ma attribuire alla giornata celebrativa la denominazione di un numero mi sembra poco elegante.

Comunque, da quanto emerge dal comunicato stampa, la Commissaria europea per l’agenda digitale Neeil Kroes ha scelto la via della sensibilizzazione scrivendo agli Stati membri proprio per far maggiormente diffondere la cultura del “112″ ancora sconosciuto in alcuni Paesi. Si tratta del numero unico valido per tutta l’Europa attraverso la cui chiamata è possibile far intervenire le forze dell’ordine in caso di incidenti stradali particolarmente gravi.

E’ interessante visionare il sito che la Commissione europea ha riservato al servizio del 112, disponibile anche in italiano.

Fonte: Europa

Continuando gli articoli dei giorni precedenti, di seguito l’ultima parte delle 10 buone prassi secondo ENISA.

6. Visitatori

Tutti i visitatori devono essere registrati e firmare all’arrivo e all’uscita.

Tutti i visitatori devono essere muniti di un badge di riconoscimento che deve essere indossato in ogni momento, mentre stanno visitando l’edificio aziendale-

Seguire i visitatori attorno all’edificio aziendale per tutto il tempo. Lasciare vagare i visitatori per l’ufficio non è sicuro.

7. Rapporti circa la perdita e/o danni ai dispositivi portatili aziendali e incidenti

Riferire di perdita e/o danni ai dispositivi portatili aziendali (ad esempio cellulari, PDA o drive USB) del reparto IT della propria organizzazione.

Rapporto su ogni dispositivo portatile aziendale trovato al dipartimento IT della vostra organizzazione.

Segnalare qualsiasi violazione della sicurezza e/o di incidenti, anche se non siete sicuri.

Relazione su eventuali attività sospette sulla workstation e sulla inaspettata indisponibilità di un’applicazione, se avete ricevuto alcun avviso in anticipo dal vostro dipartimento IT.

8. Proteggere le informazioni al di fuori dell’organizzazione

Quando si è al di fuori dell’organizzazione, assicurarsi di conservare le informazioni sensibili e le attrezzature in tutta sicurezza per tutto il tempo per evitare il furto o la perdita. In particolare quando si è in luoghi pubblici gestire le informazioni con cura.

Siate consapevoli del fatto che qualcuno possa ascoltare la conversazione. Non mettere a disposizione di tutti informazioni riservate della propria organizzazione.

Quando si viaggia o si lavoro da un luogo remoto proteggersi contro chi si può impadronire di codici e password.

9. Rispettare le politiche aziendali di sicurezza e le procedure

Rispettare le politiche di sicurezza e le procedure aziendali.

Garantire la riservatezza, l’integrità e la disponibilità dei dati.

Rispettare I principi legali, come diritti d’autore, proprietà intellettuale, privacy e licenze software.

Se vedi i colleghi che agiscono in violazione delle policy di sicurezza e delle procedure aziendali, informa immediatamente I responsabili.

10. Fornire un feedback per affinare ulteriormente le soluzioni applicate e le politiche di sicurezza

fornire un riscontro per affinare ulteriormente le soluzioni applicate e le politiche di sicurezza.

Proponi l’acquisto di software aggiuntivo, se necessario, per svolgere le attività.

porre domande o formulare suggerimenti per migliorare le soluzioni e le politiche di sicurezza.

Fonte: ENISA

Proseguo la pubblicazione del documento ENISA sulle 10 regole di buone prassi in ambito soprattutto aziendale. Di seguito le ulteriori regole:

3. Usare e-mail e Internet con attenzione

• non aprire e-mail ed allegati sconosciuti
• non fare clic sui link ipertestuali contenuti nelle e-mail sospette.
• inoltrare messaggi e-mail se opportuno. Pensa di eliminare la storia del messaggio prima di farlo.
• condividere documenti in formato PDF per garantire che i file non possono essere facilmente modificati.
• le informazioni riservate devono essere crittografate quando vengono inviate via e-mail.
• navigare in Internet con attenzione.
• non condividere le informazioni circa la tua organizzazione e i tuoi ruoli su siti di social networking.
• evitare di partecipare a blog in cui la vostra presenza e le vostre opinioni possono essere interpretati come quelli della vostra organizzazione.
• non scaricare documenti e materiale da parte di terzi non attendibili.
• non accedere, scaricare, archiviare o trasmettere qualsiasi materiale illegale o offensivo
• ricordate che la navigazione su Internet utilizzando la vostra workstation può essere tracciata

4. Uso di portatili aziendali: laptops, USB drives, cellulari e Blackberry

Laptops

• non installare o utilizzare software illegali e/o non autorizzati perché si compromettono i la sicurezza dei vostri dati e si viola la legge
• spegnere le connessioni wireless quando non necessario.
• collegare il vostro laptop alla rete della vostra organizzazione per aggiornare regolarmente i controlli di sicurezza
• fare il backup delle informazioni memorizzate nel laptop
• bloccare il vostro computer portatile quando si lascia la scrivania per andare a una riunione, se si fa una pausa e/o il pranzo
• non permettere ad altre persone di collegare i loro drive USB in un computer portatile, specialmente dives personali non sicuri
• non lasciare incustodito il vostro laptop.
• non lasciare il computer portatile in vista all’interno dell’auto

USB drive

• utilizzare un disco USB criptato
• limitare il numero di dati aziendali che si memorizzano sul drive USB, in particolare su drives personali non sicuri
• collega il drive USB al portachiavi/cordino per evitarne la perdita: la ridotta dimensione delle unità flash USB rende questi dispositivi più facili da perdere o essere rubati. Inoltre, la maggiore capacità di archiviazione aumenta la quantità di dati a potenziale rischio di accesso non autorizzato. Le unità flash USB di solito sono messi in borse, zaini, borse per laptop, giacche, tasche dei pantaloni o vengono lasciati incustoditi sulle workstation. Il numero di incidenti è aumentato di recente per drive USB persi, dimenticati, presi in prestito senza permesso o rubati
• invitare gli utenti a mettere il flash drive USB in modalità di sola lettura utilizzando l’interruttore fisico per evitare la trasmissione di virus: alcune unità flash USB includono un interruttore fisico per mettere l’unità in una modalità di sola lettura per evitare che il computer host scriva o modifichi i dati sul disco
• scansionare i flash drive USB, dopo la copia di file da una macchina sconosciuta e/o di non autorizzata per evitare trasmissione di virus
• prima di collegare il vostro disco USB nel computer di qualcun altro, eliminare tutti i file che non sono rilevanti per l’operazione da compiere
• informazioni di backup: siate in grado di recuperare i dati che risiedono su unità flash USB

Telefoni cellulari e BlackBerry

• spegnere le connessioni wireless (cioè Bluetooth e WLAN), quando non in uso. La tecnologia Bluetooth consente ai dispositivi elettronici di comunicare tra loro tramite un collegamento radio a corto raggio. Alcuni telefoni cellulari Bluetooth soffrono di bug software che portano alla pratica di Bluejacking e Bluesnarfing. Bluejacking è quando qualcuno invia un testo anonimo con la creazione di un messaggio per poi inviarlo a un altro cellulare Bluetooth attivato. Bluejacking può essere utilizzato per inviare messaggi indesiderati. Bluesnarfing viene utilizzato per copiare le informazioni personali, come ad esempio l’elenco dei contatti da un portatile all’altro.
• non lasciare il vostro cellulare o il Blackberry incustodito. In caso contrario, potrebbe portare alla perdita di dati

5. Gestire le informazioni con cura

• segnare qualsiasi documento con l’appropriato codice di classificazione
• proteggere i contenuti sensibili con una password per impedire a qualcuno la modifica o la loro eliminazione
• regola della scrivania pulita: non lasciare dati sensibili in giro. Smaltire con cura i documenti.
• non lasciare le informazioni sensibili in strutture per conferenze o sale riunioni comuni al fine di evitare la loro esposizione a chiunque utilizzi la stanza dopo di voi.
• stampa sicura: stampare, copiare e scansionare le informazioni solo se necessario. Ricordatevi di raccogliere il documento di output dalla stampante
• distruggere sempre i documenti contenenti informazioni sensibili e/o la dicitura “riservato”
• non conservare tutte le informazioni sul disco locale.
• assicurarsi che gli eventuali terzi che lavorano con voi abbiano firmato un accordo di non divulgazione prima di fornire tutte le informazioni sensibili

Pubblicherò l’ultima parte domani.

Fonte: ENISA

ENISA è l’acronimo di European Network and Information Security Agency e tra le varie attività svolte viene anche coordinata una Awareness Raising Community.

La AR Community è un gruppo internazionale di cui fanno parte gratuitamente esperti che hanno interesse ad impegnarsi nella sensibilizzazione alle tematiche della sicurezza. Sono membro di questa AR-C e partecipo alle attività che vengono proposte.

Recentemente, nel mese di luglio di quest’anno, è stato pubblicato un documento che costituisce una buona guida come best practice in materia di security. Ritengo utile, anche nell’ottica dell’awareness raising, di divulgare queste 10 regole a step. Pertanto, adesso indicherò soltanto la prima parte che riguarda i punti 1 e 2.

1. Uso delle password

La password è l’equivalente della serratura della tua casa su Internet. Le password sono la migliore defence e attraverso un buon uso delle password si potrà tenere al sicuro l’identità e le informazioni riservate e sensibili.

Usare una password forte

• La password del tuo computer è la chiave per accdere a tutte le informazioni — entrambe aziendali e personali — che hai registrato sul tuo computer e sugli account online. Usare una password forte per proteggere i tuoi dati: usare almeno otto caratteri; combinare lettere (maiuscole e minuscole), numeri e simboli. Maggiore è la varietà di caratteri che hai nella tua password, più è difficile da indovinare. Non usare informazioni personali – nome, il nome del bambino, la data di nascita, ecc – che qualcuno potrebbe già conoscere o ottenere facilmente e cercare di evitare parole comuni: alcuni hacker utilizzano programmi che provano ogni parola nel dizionario.

Cambiare regolarmente la password

• Se credete che il vostro sistema sia stato compromesso modificate le password immediatamente.

Tenere la password segreta

• La tua password è unica e non deve essere condivisa con nessuno.
• Laddove possibile, cerca di imparare le tue password a memoria. C’è una strategia per memorizzarle.
• Se scrivi le tue password in basso, stai attento a dove vengono memorizzate. Non lasciare trccia delle tue password da nessuna parte.

Usare password differenti

• Utilizzare password diverse per ogni account online al quale si accede (o almeno una serie di password). Se si utilizza la stessa password per più account, chi effettua l’attacco ed ottiene l’accesso a un conto sarà in grado di accedere a tutti i vostri conti.

2. Proteggere il computer

• Bloccare il desktop quando si lascia la scrivania per andare a una riunione, durante una pausa e/o per il pranzo.
• Non permettere ad altre persone di collegare i loro drive USB al computer, specialmente drives personali non sicuri.
• Non installare o utilizzare software illegali e/o software non autorizzati se si stanno compromettendo i dati di sicurezza e violando la legge. E’ possibile aprire le vulnerabilità della rete della propria organizzazione.
• Non collegare qualsiasi disco personale, lettore musicale e/o unità USB al computer.
• Non collegare il vostro laptop personale alla rete della vostra organizzazione in quanto potrebbero contenere virus o malware.

Fine prima parte.

La Commissione Europea ha pubblicato giovedì scorso – 8/10/2009 – uno studio dal quale emerge come il fenomeno dello spamming abbia numeri elevati. In tutta sincerità il risultato contenuto nello studio citato non stupisce poiché lo spam è un fenomeno noto da tempo ed è immaginabile che l’evoluzione della rete abbia comportato un incremento del fenomeno.

Tuttavia, lo studio citato – così come riportato nel comunicato stampa – indica le seguenti conclusioni:

- attualmente quasi tutti i paesi dell’UE dispongono di uno o più siti web in cui i cittadini possono reperire informazioni o presentare denuncia nel caso in cui siano vittima di spam, di spyware o di software maligni;

- un’analisi di oltre 140 azioni legali di 22 Stati membri indica l’esistenza di differenze sostanziali fra il numero di cause per paese e le multe comminate. Il numero più elevato di cause è stato registrato in Spagna (39), in Slovacchia (39) e in Romania (20). Le multe più elevate sono state comminate nei Paesi Bassi (1 000 000 EUR), in Italia (570 000 EUR) e in Spagna (30 000 EUR). Tuttavia, gli autori di spam in paesi come la Romania, l’Irlanda e la Lettonia hanno ricevuto multe modeste che vanno da alcune centinaia ad alcune migliaia di euro.

- Per combattere con successo le minacce online occorre una combinazione di prevenzione, repressione e sensibilizzazione del pubblico. Le autorità pubbliche (quali le autorità di regolamentazione delle telecomunicazioni, gli enti responsabili per la protezione dei dati e la difesa dei consumatori, gli organismi di polizia e le autorità giudiziarie) devono essere investite di responsabilità chiare e disporre di procedure di cooperazione tra loro; anche i settori pubblico e privato devono collaborare. Il livello di cooperazione varia considerevolmente nei diversi paesi dell’UE. In Belgio, a Cipro, in Estonia, in Francia, in Germania, in Italia, in Lettonia, in Lituania, nei Paesi Bassi, in Romania e nel Regno Unito esistono accordi di cooperazione mentre nel Lussemburgo e a Malta, ad esempio, esiste solo una cooperazione informale.

- Lo spam è un problema mondiale. È necessaria una maggiore cooperazione internazionale, sia all’interno dell’UE che a livello mondiale, per combattere lo spam.

- I paesi dell’UE devono assegnare risorse sufficienti alle autorità nazionali affinché queste possano raccogliere prove, effettuare indagini e intentare azioni legali in questo settore.

Secondo la Commissione europea il fenomeno “spam” viene considerato quale minaccia diretta alla privacy (o alla eprivacy). E’ indubbio che lo spam costituisca una minaccia e/o un pericolo per la privacy dei netcityzen, posto che in prima battuta viene da domandarsi: “Come mai il indirizzo email è finito nelle mani degli spammer ?”.

La seconda domanda che potrebbe essere formulata è: “Com’è possibile un invio massivo di mail senza che lo/gli spammer/s venga/no fermato/i ?”.

Non va trascurato che spesso lo spam è connesso ad attività illecite di phishing, ma non si può neppure escludere un legame con le  attività di marketing. L’analisi è complessa ma sicuramente sarebbe necessaria una campagna di forte sensibilizzazione sul fenomeno, anche se a volte si richiedono proprio interventi più radicali di alfabetizzazione informatica.

Sono noti i provvedimenti del Garante in materia e l’atteggiamento della giurisprudenza riguardo al fenomeno, anche se spesso non è facile spiegare a certi Magistrati cosa sia lo spam e perché si stia agendo giudizialmente contro questo fenomeno.

Tra le categorie più deboli si annovera sicuramente quella dei consumatori che spesso si trovano proiettati nel mondo digitale senza avere conoscenze  adeguate in ordine alla sicurezza e, comunque, riguardo alle basilari norme di comportamento prudenziale sulla rete. Di qui la necessità di una campagna di sensibilizzazione che deve essere promossa dalle associazioni dei consumatori, oggi sempre più attente – direi necessariamente – al fenomeno digitale.

Con un comunicato di oggi, ENISA (European Network and Information Security Agency) ha lanciato la prima guida pan europea sulla sicurezza delle reti e dello scambio di informazioni (il cui acronimo è NSIE che sta per Network Security Information Exchange). Dall’ENISA dichiarano che l’obiettivo primario è quello di assistere gli Stati membri ed i privati nella creazione e nella esecuzione della NSIE.

La guida conferma come le informazioni abbiano un loro rilevante valore tale da garantirne la protezione in termini di sicurezza.

L’argomento della sicurezza delle reti e delle informazioni è strettamente connesso con CIIP (Critical Information Infrastructure Protection), ossia la protezione delle infrastrutture informatiche critiche. In effetti, è noto che servizi cruciali per la vita quotidiana sono strettamente connessi con le infrastrutture informatiche. Pertanto, l’eventuale collasso delle stesse infrastrutture (ad es. per attività di hacking) comporterebbe gravi conseguenze sul piano economico e sociale.

La sicurezza delle infrastrutture critiche è connessa con la protezione dei dati personali o di altre informazioni sensibili il cui eventuale attacco comporterebbe fenomeni già noti come furto d’identità ed altre tipologie di frodi.

Il report completo è disponibile dal sito dell’ENISA oppure da questo link.

Fonte: ENISA