Pagine

Visualizzazioni totali

Google Scholar
Visualizzazione post con etichetta cloud computing. Mostra tutti i post
Visualizzazione post con etichetta cloud computing. Mostra tutti i post

venerdì 7 aprile 2017

Poca privacy, molti rischi

L'allarme del presidente dell'Autorità garante per la protezione dei dati personali: "Internet è libero solo in apparenza, di fatto è di proprietà di quattro grandi imprese E sulla tutela dei cittadini: "La disciplina europea c'è, ma può ancora poco" 
Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(di Massimo Sideri, "Corriere Innovazione", 6 aprile 2017)
"Uso la rete tutti i giorni, amo la rete, è molto utile e per molte cose. Sono però aspramente critico sui social media e ho serie preoccupazioni sul fatto che la rete, apparentemente libera e democratica, sia di fatto diventata proprietà di quattro grandi imprese". Quando lo scrittore Jonathan Franzen diceva queste cose qualche anno fa sembrava un marziano. Il tempo, purtroppo, gli ha dato ragione: l'iperconnessione ha i suoi lati pericolosi. Ma purtroppo se ne parla solo nei momenti drammatici come con il suicidio di Tiziana Cantone. Un caso che rimane da studiare perché è tristemente facile prevedere che ce ne saranno altri. "Si trattava di diffusione illecita di dati personali, la norma permetteva di intervenire. Se avessimo avuto la possibilità dei contenuti in questione immediatamente dopo l'ingresso su Facebook  - ragiona a freddo il Garante della Privacy, Antonello Soro -— saremmo stati nelle condizioni di richiederne l'immediato ritiro. Ma dopo un po' questi contenuti vanno in giro per tutto il mondo, entrano nei server di siti anche piccoli che li possono lasciare silenti e rilanciarli a distanza. E questo è un problema che avremo anche con la nuova legge per il cyber-bullismo: l'intervento tempestivo che la legge ci affida è una cosa molto bella a dirsi, ma poi bisogna essere capaci e avere una struttura per attuarlo. Dopo un periodo di inerzia diventa velleitario rintracciare un video con certezza. Tra sei mesi posso rincorrerlo ma poi ce ne sarà un altro e un altro. Prendiamo anche il caso della portabilità dei dati personali: potrò chiedere al social network di spostare i miei pacchetti di informazioni. È bellissimo da raccontare ma richiederà che i soggetti si attrezzino per rendere facile questo diritto. L'architettura è molto bella, la praticabilità richiederà risorse umane ed energie".
Il governo dei dati personali è ormai chiaramente il dominio di incontro e anche di scontro tra aziende e istituzioni che rappresentano i consumatori. Ma il dibattito sull'esperienza della campagna elettorale di Trump e le grandi elezioni attese in Europa pongono un ulteriore salto di qualità: dal consumatore al cittadino. Quanto è breve il passo?
"Gli over the top, i gestori dei cloud o dei motori di ricerca sono diventati gli intermediari tra produttori e consumatori. Già oggi consumo ciò che solleciti. L'offerta che ho davanti è sempre di più organizzata cercando di cogliere le mie aspettative, ma non è un panel infinito. Questo processo ci influenza molto, dalla scelta del libro fino alla ricerca delle informazioni su chi sei: se ti devo incontrare guardo sulla rete e anche se trovo informazioni irrealistiche non mi viene nemmeno il dubbio che ci siano errori. La rete è fonte di informazione sempre più esclusiva. Questo condizionamento dei comportamenti sociali tende a diventare uno dei caratteri della società digitale e il passaggio dai consumi agli orientamenti politici non è lunghissimo, tende a essere breve".
La sensazione è che il problema sia ormai stato messo a fuoco dagli osservatori più attenti. Chi sollevava dubbi non è più visto come un agitatore o un nemico del progresso. Però allo stesso tempo le armi delle istituzioni appaiono spuntate o, perlomeno, da raffinare.
"Uno dei motivi del ritardo degli interventi, oltre all'inconsapevolezza, è la natura globale di queste aziende laddove gli Stati non sono globali. L'Europa da questo punto di vista ha segnato una avanguardia perché è riuscita a porre almeno le premesse per una disciplina di protezione dei dati. Non so se riuscirà ancora a svolgere questa funzione, ho dei motivi di pessimismo per il futuro, ma l'obiettivo non può che essere di applicare alla società dei dati un diritto globale, largamente accettato e diffuso. Il nuovo regolamento europeo sulla protezione dei dati si sta diffondendo come modello. C'è, per esempio, l'interesse da parte dell'India. Certo, c'è naturalmente in tutto questo la differente velocità della tecnologia rispetto al diritto che ha i tempi della democrazia e della condivisione".
Il tema dei dati si intreccia sempre di più con quello della sicurezza informatica. Nel 2016 uno dei grandi dibattiti è quello sul "trade off" tra libertà e sicurezza, stigmatizzato dal braccio di ferro tra Apple ed Fbi. Un problema che crescerà con la diffusione dell'Internet delle cose.
"Uno dei temi più complicati è appunto l'arrivo dell'Iot e anche quello dell'Intelligenza artificiale perché rendono più lontano dalle persone il problema solo apparentemente laddove invece sono un modo terribilmente più sofisticato di circondare le persone. La bambola spia Cayla fermata in Germania è l'esempio di un oggetto apparentemente ingenuo che si può trasformare in una breccia enorme e diventare un software spia come quelli di hacking team. Anche qui il regolamento europeo Privacy by design è uno strumento efficace perché devi rispettare delle regole. Un altro esempio è la smart city: la devi fare in modo che il processo sia trasparente. I dati sono ormai la chiave per il governo della moderna società digitale".

venerdì 6 gennaio 2017

Cosa ci aspetta? Previsioni sulla sicurezza per il 2017

È difficile fare previsioni, soprattutto sul futuro”, disse il danese Niels Bohr, premio Nobel per la Fisica nel 1922. Dal momento che la fine del 2016 si avvicina, è utile cercare di capire le tendenze sulla sicurezza informatica che ci aspettano e riflettere su quello che è successo quest’anno, per vedere quanto accurate siano state le previsioni fatte per il 2016. L’anno scorso avevamo previsto:
  • L’emergere di malware sofisticati e personalizzati progettati per superare le difese delle organizzazioni. I criminali stanno utilizzando varianti su misura di malware esistenti, che sono in grado di aggirare i tradizionali antivirus e strumenti di sandboxing – il nostro Security Report 2016 ha rivelato che ben 971 varianti sconosciute di malware vengono scaricate nelle reti aziendali ogni ora.
  • Attacchi mobile – avevamo predetto un aumento di questo tipo di attacchi dal momento che i dispositivi mobili sono diventati sempre più comuni nel mondo del lavoro, offrendo agli hacker un accesso diretto e potenzialmente remunerativo ai dati personali e aziendali. Anche questo è stato confermato – abbiamo visto l’avvento di grandi vulnerabilità come Quadrooter e nuove minacce zero-day, così come un aumento di malware che sfruttano vulnerabilità dei dispositivi mobile.
  • Attacchi a infrastrutture critiche – ci aspettavamo che questi aumentassero dal momento che i criminali informatici cercano di sfruttare sia le vulnerabilità insite nei sistemi informatici delle infrastrutture critiche, sia il danno potenzialmente enorme che può essere provocato. Infatti, un attacco che utilizza il malware BlackEnergy ha colpito una società elettrica Ucraina, l’aeroporto Chopin di Varsavia è stato preso di mira da un attacco DDoS e anche i sistemi SCADA della diga Bowman a Rye, New York, sono stati attaccati.
  • I criminali informatici che approfittano della crescita dell’Internet of Things e colpiscono sempre più dispositivi smart. Quest’anno abbiamo assistito a uno dei più grandi attacchi DDoS di sempre che ha colpito il sito del blogger specializzato in sicurezza, Brian Krebs. Questo attacco è stato sferrato da milioni di telecamere di sicurezza e altri dispositivi IoT simili.
Quindi, ecco qui le cinque previsioni sulla sicurezza informatica per il 2017:
Mobile: bersagli in movimento – Dal momento che gli attacchi ai dispositivi mobili continuano a crescere, possiamo aspettarci che gli attacchi informatici alle aziende originati dai dispositivi mobili, diventeranno una delle principali preoccupazioni della sicurezza per le aziende. La recente scoperta di non uno, ma tre vulnerabilità zero-day nell’Apple iOS, a seguito del tentativo di attacco al telefono di un attivista per i diritti umani, mette in luce quanto rapidamente l’industria della sorveglianza e del crimine informatico mobile si stia espandendo – e la necessità, per le aziende, di proteggere i propri dispositivi mobile contro malware, intercettazioni delle comunicazioni e altre vulnerabilità.
Convergenza tra IT e OT – Durante il prossimo anno, ci aspettiamo di vedere un’ulteriore diffusione degli attacchi informatici verso l’IoT industriale. La convergenza tra le tecnologie informatiche (IT) e la tecnologia operativa (OT) sta rendendo entrambi gli ambienti più vulnerabili, in particolare quello della tecnologia operativa degli ambienti SCADA. Questi ambienti spesso eseguono sistemi datati, per i quali le patch non disponibili, o peggio, semplicemente non vengono utilizzate. Molti sistemi di controllo industriali critici sono aperti a Internet – un recente rapporto ha rilevato che oltre 188.000 sistemi in 170 paesi erano accessibili in questo modo. Il 91% è sfruttabile da remoto da parte di hacker, e oltre il 3% ha vulnerabilità sfruttabili. Il manufacturing, come industria, dovrà estendere i controlli dei sistemi e della sicurezza fisica allo spazio logico e implementare soluzioni di prevenzione delle minacce negli ambienti IT e OT.
Infrastrutture critiche – Ancora una volta, indichiamo le infrastrutture critiche nelle nostre previsioni per il prossimo anno – a livello globale, queste rimangono altamente vulnerabili a un attacco informatico. Quasi tutte le infrastrutture, comprese le centrali nucleari, le reti elettriche e quelle per le telecomunicazioni, sono infatti state progettate e costruite prima dell’avvento della minaccia di attacchi informatici. A inizio 2016 è stato segnalato il primo blackout causato intenzionalmente da un attacco informatico. I responsabili della sicurezza delle infrastrutture critiche devono dunque prepararsi alla possibilità che le loro reti e i loro sistemi possano essere attaccati in modo sistematico da diversi attori: altri stati, terroristi e criminalità organizzata.
Prevenzione delle minacce – Parlando di aziende, prevediamo che i ransomware diventeranno diffusi quanto gli attacchi DDoS. Al pari degli attacchi DDoS, le infezioni da ransomware possono bloccare le operazioni quotidiane di un’azienda e la loro mitigazione richiede una strategia di prevenzione multi-strato, che includa tecniche di sandboxing e di estrazione delle minacce avanzate. Le aziende dovranno prendere in considerazione diverse alternative per fronteggiare le persone che lanciano campagne di ransomware. Strategie collaborative come arresti coordinati con colleghi del settore e l’applicazione della legge saranno cruciali. Se è vero che pagare un riscatto non è mai consigliato, perché incoraggia attacchi futuri, a volte è l’unica opzione per il recupero dei dati e la possibilità di lavorare. Dunque, la disponibilità di riserve finanziarie per velocizzare i pagamenti diventerà sempre più comune.
Prevediamo anche più attacchi mirati a influenzare o far tacere un’organizzazione, con attori “legittimati” che sferrano questi attacchi. L’attuale campagna presidenziale degli Stati Uniti mostra questa possibilità e servirà come precedente per le future campagne.
Diffusione del cloud – Dal momento che le aziende continuano a conservare sempre più dati sul cloud, fornendo una backdoor per gli hacker che vogliono accedere ad altri sistemi aziendali, un attacco mirato a disturbare o spegnere uno dei principali fornitori di servizi cloud avrà ripercussioni sul business di tutti i suoi clienti – come abbiamo visto con il recente attacco DDoS contro il servizio di domain directory DynDNS. Sebbene molto dirompente, un attacco di questo tipo potrebbe essere utilizzato anche solo per colpire un concorrente o un’azienda specifica, che sarebbe uno dei tanti interessati, e quindi renderebbe difficile determinare la fonte.
Infine, ci aspettiamo di vedere un aumento degli attacchi da ransomware diretti verso i data center basati su cloud. Dal momento che sempre più aziende adottano il cloud, sia pubblico che privato, questo tipo di attacchi inizierà a trovare il modo di infiltrarsi in questa nuova infrastruttura, usando sia la diffusione di file crittografati da cloud a cloud, sia utilizzando il cloud come un moltiplicatore di volume.

domenica 23 novembre 2014

Sicurezza d’autunno, 10 brividi


Hacker in azione

Abbiamo raccolto 10 tra minacce, vulnerabilità, segnalazioni (con qualche consiglio) cui prestare attenzione, selezionate dal nostro team di esperti in relazione alla loro diffusione negli ultimi giorni. In alcuni casi, si tratta semplicemente di curiosità raccolte nel cyberspazio, in grado di far riflettere su come il problema del crimine informatico non riguardi oramai solo privati  e aziende, ma sia un sistema utilizzato dai governi per mettere in difficoltà i Paesi nemici, oppure ancora, come basti poco per “suggestionare” la società e sfruttare le sue debolezze. Tra l’altro, quando alle vulnerabilità si rimedia con patch non del tutto adeguate, il cybercrime è talmente evoluto da essere in grado di sfruttare ulteriormente queste lacune per sferrare altri attacchi. Pensate poi nell’era di Internet of Things  e delle tecnologie M2M come potrebbero risultare esposti anche gli oggetti che utilizziamo tutti i giorni. Avete già i brividi? Ecco quindi le novità più importanti selezionate per voi.

1. Il virus Ebola riesce a far vittime non solo reali, ma anche nel mondo dei cibernauti. Dovevamo aspettarcelo. Più fonti sul Web segnalano l’ondata di spam (per ora non endemica) con finti suggerimenti per la sicurezza sanitaria che sarebbero  inviati dall’OMS (e ovviamente non lo sono). Le email contengono il trojan DarkComet Rat (questo sì per nulla nuovo). Una volta installato, il vostro computer diventa vulnerabile esponendo i dati in transito per esempio attraverso webcam e microfoni. Il buon senso vi sia sempre di aiuto, l’OMS non invia i consigli sanitari via email!

2. Solo questo martedì, il patch day di Microsoft prevedeva per i suoi sistemi la patch MS114-060, che riguardava il sistema a oggetti OLE. Questa patch non si è rivelata abbastanza robusta tanto che a distanza di poche ore la vulnerabilità è stata sfruttata ancora e sono stati segnalati attacchi contro Taiwan da parte di hacker cinesi. Ancora prima una vulnerabilità simile era già stata sfruttata dalla criminalità informatica russa –  che fa riferimento al Sandworm Team – per attaccare, tra gli altri, anche alcuni organismi della UE.

3. Android con la sua diffusione ha meritato tutta l’attenzione possibile e immaginabile degli hacker. Pochi giorni fa è emersa una vulnerabilità che permette di inserire malware nelle immagini. La vulnerabilità riguarda Android 4.4.2. L’attacco dimostrativo, AngeCryption, ha evidenziato come sia possibile nascondere un APK (Android Package) infetto dietro un’immagine sfruttando la crittografia AES, procedura per cui identificare l’immagine infetta diventa decisamente laborioso. Il consiglio di Google, è sempre il medesimo: utilizzare esclusivamente app da Play store. Non è detto tra l’altro che la patch, quando sarà individuata quella definitiva, sia disponibile anche per tutte le versioni precedenti di Android.

4. Ottobre è stato il mese europeo della sicurezza informatica (ECSM). In Italia se ne sono occupati ClusitEnisa (Agenzia europea per la sicurezza delle reti e dell’informazione), ma anche il nostro Ministero dello sviluppo economico. Perché questa attenzione? Perché la sicurezza informatica non è un problema solo dei privati cittadini, e delle grandi aziende ma è un problema per tutto il tessuto economico nazionale. Sotto attacco oggi ci sono anche le PMI italiane. Si stima che il costo medio di un singolo attacco a una nostra azienda sia passato dai 50mila agli 80mila euro. Nel 2014 sono aumentati i cyberattacchi contro le istituzioni governativi, i politici e i servizi aziendali. Ma sono aumentati anche gli attacchi contro cloud, social network e servizi in mobilità. Clusit denuncia che il 60% degli attacchi in Rete concerne il cybercrime a differenza del 60% degli attacchi in Rete concerne il cybercrime a differenza del 36% preso in esame nel 2011
  
5. Virtualizzare che passione. Malware, virus, attacchi informatici, con la virtualizzazione generalmente hanno vita più difficile, perché questo? Perché lavorare su un desktop virtualizzato significa spesso avere maggiori possibilità di isolare sia in entrata che in uscita malware e infezioni. Il problema però è spesso dati dai dispositivi mobile. In questo ambito la cultura della virtualizzazione è solo agli inizi, sono pochissime le nostre PMI aziende che dispongono di sistemi di sicurezza ad hoc per i dispositivi mobile. Gli attacchi più pericolosi arrivano, e arriveranno presto ancora di più da questo fronte.

6. Ricorderemo questi giorni perché con l’arrivo dei nuovi smartphone di Apple mezzo mondo ha preso coscienza dei passi in avanti nei sistemi di pagamento mobile. Non li ha inventati Apple i sistemi di pagamento mobile, ma come spesso accade Cupertino, con il suo Apple Pay ha contribuito a rendere popolare le nuove possibilità di pagamento ed è servito ad affinare e a rendere semplice un concetto importante. Le transazioni monetarie effettuate contactless tramite smartphone (qualsiasi OS) saranno sempre più al centro dell’attenzione degli hacker, vedremo cosa succederà, intanto tutti si muovono sull’argomento con i piedi di piombo.

7. Sportelli bancomat svuotati anche senza la scheda. Intanto, per rimanere con i piedi per terra, in questi giorni, ricordiamo che chi con il malware ci sa davvero fare è riuscito a svuotare sportelli bancomat, anche senza la scheda. In questo caso è stato sfruttato un trojan Tyupkin, il trojan è da innestare nel computer che gestisce lo sportello bancomat ed è questa la parte più complessa del piano criminale. Al primo riavvio, l’attaccante ne ha potuto prendere il pieno controllo e praticamente far fare allo sportello quello che voleva, senza che il sistema bancario registrasse alcunché. Ovviamente roba per esperti, che si esercitavano – guarda un po’ – proprio nel week end. Se ne è occupata l’Interpol.

8. Per un Android che certo in termini di sicurezza lascia a desiderare, con le buone trimestrali, anche Apple colleziona però un’attenzione maggiore da parte degli hacker. E’ un dato di fatto che alcune botnet estremamente attive possano contare tra i computer ‘zoombie’ anche MacOs. In america ne hanno individuati 17mila con Mac.BackDoor.iWorm a bordo. Sembra che il sistema di controllo sfrutti Reddit come applicazione dove postare le istruzioni. E per non farsi mancare nulla ecco anche gli attacchi ad iCloud, l’ultimo è di pochissimi giorni fa. Ne parliamo su ITespresso.it.

9. Poodle. Non ci sono bastati Heartbleed ShellShock, anzi, non li avevamo ancora digeriti ed ecco il nuovo terribile bug. In italiano il nome suona quasi amichevole, perché significa barboncino. Purtroppo si tratta di un brutto affare e il nome è un acronimo: Padding Oracle On Downgraded Legaxy Encryption, il baco riguarda la versione 3 del protocollo SSL, ancora implementato da praticamente tutti i browser, come sistema ‘di scorta’. Poodle consente un attacco di tipo man in the middle, per cui si riescono a decifrare i cookie e magari ottenere informazioni sensibili dell’utente. L’attaccante deve essere nella stessa rete dell’attaccato perché tutto sia più semplice. WiFi pubblico? Ve la siete cercata.

10. Brividi di sicurezza? Fate bene! Il primo passo per non rimanere vittime è la consapevolezza. Quindi come primo punto usare il buonsenso, password complesse, e non fare mai clic in modo affrettato. Con questi consigli già sareste a metà dell’opera. Poi, certo, la protezione di un buon antivirus, e ancora meglio,iniziate a informarvi sull’autenticazione a due fattori che, almeno per gli ambiti più delicati nel financial e sulle comunicazioni personali è già disponibile e può tutelare buona parte delle vostre operazioni. Quando navigate però occhi sempre ben aperti. E non credete mai a chi vi dice con un banner che il vostro computer è infetto. Lasciatelo stabilire al vostro antivirus.

mercoledì 18 maggio 2011

I servizi cloud: profili legali e contrattuali


Inizia dalle recenti dichiarazioni del Garante della Privacy Gabriele Faggioli, legale e partner di Isl Consulting, per cercare di delineare, nel corso di una delle riunioni del Gruppo di Lavoro dedicato al cloud computing e software as a service del Club TI (Club per le Tecnologie dell'Informazione, fondato nel 1987, è una libera e spontanea associazione di professionisti dell'Ict), gli attuali profili legali e contrattuali del cloud computing. “Investigatori privati, banche e cloud computing sono oggetto del piano ispettivo varato dal Garante per il primo semestre 2011 - osserva Faggioli, ricordando che lo scorso anno sono state applicate sanzioni per circa 3 milioni e 800 mila euro -. L'attività di accertamento del Garante per la Privacy si concentrerà su questi settori e sulle modalità con le quali vengono trattati i dati personali di milioni di cittadini italiani”. Il piano ispettivo appena varato prevede specifici controlli, sia nel settore pubblico sia in quello privato, anche riguardo alle informazioni da fornire ai cittadini sull'uso dei loro dati personali, all'adozione delle misure di sicurezza, alla durata di conservazione dei dati, al consenso da richiedere nei casi previsti dalla legge, all'obbligo di notificazione al Garante. E per sottolineare quanto sia effettivamente tangibile l’operato del Garante, Faggioli riporta alcuni significativi dati: “Un primo bilancio sull'attività ispettiva relativa al 2010 mostra il lavoro di controllo svolto dall'Autorità: sono state circa 474 le ispezioni effettuate e 424 i procedimenti sanzionatori, relativi in larga parte alla omessa informativa, al trattamento illecito dei dati, alla mancata adozione di misure di sicurezza, all' inosservanza dei provvedimenti”. Complessivamente le entrate derivanti dalle sanzioni sono state pari a circa 3 milioni e 800 mila euro: in particolare, 2 milioni relativi alle violazioni degli obblighi sull'informativa, 800 mila relativi al trattamento illecito di dati e 450 mila relativi alla mancata adozione delle misure di sicurezza da parte di aziende e pubbliche amministrazioni. Il motivo per cui Faggioli ha voluto dare evidenza a questi numeri è “far comprendere l’importanza degli aspetti legali/contrattuali di un qualsiasi progetto It, che dovrebbero essere valutati e considerati fin dalle primissime fasi di analisi. Ad esempio – prosegue il consulente – nell’indagine preliminare di un progetto It vi sono impatti legali immediati che possono essere la verifica della conformità alle norme di legge del progetto ipotizzato o della coerenza con le procedure aziendali e i regolamenti interni. Nella fase immediatamente successiva alla definizione degli obiettivi e delle specifiche funzionali del progetto It corrispondono attività e impatti legali come quelle di valutazione del livello di determinatezza dell’oggetto del contratto e i rischi ad esso correlati, nonché la progettazione delle prime tutele relative all’impostazione macro dei rapporti con i fornitori”. Tutti aspetti che dovrebbero essere presi in considerazione molto prima della stesura del contratto perché, precisa Faggioli, “non sempre è facile negoziare con i fornitori, soprattutto quando si sono già avviate le prime fasi di relazione”.
Rapporti chiari e legalmente garantiti
E se questo vale in linea generale, ancor di più ha senso adottare una strategia collaborativa tra dipartimenti (It, Legale, top management, Cfo, risorse umane, ecc.), quando il progetto It prevede l’adozione di soluzioni e servizi di nuova generazione che non trovano ancora un’adeguata regolamentazione normativa, come nel caso del cloud computing. “La contrattualistica sottesa a un progetto di sviluppo di un sistema informativo (e successiva gestione) tipicamente si compone di tutti o di alcuni dei seguenti contratti: contratto di licenza d’uso software; di manutenzione delle licenze; di “approvvigionamento” hardware; di implementazione (installazione, parametrizzazione, personalizzazione); di assistenza e manutenzione; eventuale contratto di outsourcing”, descrive Faggioli. “In tutte queste forme contrattuali, interessi dell’azienda e del provider si contrappongono. Le aziende hanno interesse ad avere un contratto unico che riunisca in un solo accordo complessivo tutte le singole prestazioni contrattuali (licenza, gestione, servizi, ecc.), mentre i provider tendono a suddividere il più possibile le proprie obbligazioni in diversi contratti non collegati. Dal punto di vista degli obblighi delle parti, le aziende preferiscono contratti legati a obbligazioni di risultato (attraverso le quali, cioè, il fornitore garantisce il risultato dell’operazione o del servizio), mentre i provider optano per le obbligazioni di mezzi (cioè si impegnano a garantire tutti i mezzi necessari per un determinato obiettivo, ma senza garantirne il risultato a priori). Questo vale soprattutto per i contratti di implementazione o di servizi, dato che il contratto di licenza d’uso, tipicamente, si basa su una contrattualistica standard tendenzialmente estremamente rigida e poco negoziabile”, aggiunge l’avvocato. I contratti di implementazione, servizi di gestione/manutenziuone, outsourcing, possono essere ricondotti ai cosiddetti contratti d’appalto (Art. 1655 del codice civile: l’appalto è il contratto con il quale una parte assume, con organizzazione dei mezzi necessari e con gestione a proprio rischio, il compimento di un’opera o di un servizio verso un corrispettivo in denaro). “In questi contratti l’interesse delle parti è contrapposto in relazione alla natura dell’obbligazione sottostante (mezzi/risultato) - precisa Faggioli -. In un contratto di implementazione, l’azienda è interessata ad ancorare la liberazione del fornitore dalle sue obbligazioni al momento del buon fine del collaudo finale o addirittura del go-live o della conclusione degli eventuali roll-out; il provider, invece, ha interesse a prolungare la relazione. I contratti di manutenzione/gestione o di outsourcing – aggiunge l’avvocato – rientrano anch’essi nel contratto di appalto; si tratta di contratti di appalto di servizi, in questo caso con obbligazione di risultato (che in termini informatici si traduce in Sla, Service Level Agreement)”.

Cloud computing: attenzione ai rischi dovuti all’indeterminatezza di alcune aree

“Ciò che va comunque ben evidenziato è il fatto che, trattandosi di accordi tra due forze contrapposte, solitamente sono contratti stipulati ad hoc, molto personalizzati o personalizzabili (motivo per cui serve sempre l’aiuto del legale), con aree che rischiano anche di essere indeterminate soprattutto nelle fasi iniziali”, specifica Faggioli. Ed è questo l’elemento di maggior distinguo rispetto ai contratti applicabili al modello del cloud computing.
Da un punto di vista normativo, infatti, la fornitura di servizi di public cloud, rientrerebbe nella casistica dei contratti di appalto di servizi con obbligazione di risultato (il risultato è il livello di servizio garantito dal service provider). Tuttavia, si discosta dai modelli classici per i seguenti motivi:

1) assenza o valenza estremamente limitata della componente contrattuale “licenza d’uso” (tendenzialmente, NON si tratta di contratti di licenza d’uso in quanto il prodotto It - infrastruttura, piattaforma o software - “utilizzato” dal cliente non viene consegnato);
2) assenza o valenza limitata della componente “implementazione” (al limite necessaria una fase di start-up);
3) tendenziale omnicomprensività della prestazione in un contratto unico;


4) tendenziale standardizzazione della contrattualistica;

5) tendenziale rigidità in relazione a possibili “personalizzazioni del servizio” (per non fare venire meno il vantaggio competitivo offerto dall’economia di scala che permette il servizio);

6) contrattualistica (e servizio) modellato dal fornitore (quindi con obbligo del cliente a sposare il modello del fornitore). “Le problematiche maggiori, però sono legate all’applicazione delle normative in materia di sicurezza dei dati personali e trasferimento dei dati all’estero per il basso potere di controllo che è possibile effettuare”, evidenzia Faggioli. “I riflettori vanno quindi puntanti sull’individuazione delle responsabilità e sulla profilazione degli utenti, a partire dagli amministratori di sistema (in caso di servizi di amministrazione di sistema affidati in outsourcing il titolare o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema), ma questa potrebbe diventare un’operazione molto complicata quando i servizi vengono erogati da diversi data center situati in geografie distribuite e da persone diverse”. La difficoltà di definire appieno, anche sotto il profilo legale, il rapporto tra vendor e aziende utenti, attraverso il cloud, vive, dunque, un’ulteriore scossa. Fiducia e flessibilità sono i due pilastri su cui dovrebbe basarsi il rapporto erogazione/fruizione dei servizi ma, di fatto, sono proprio questi ad essere fonte di maggior preoccupazione per le aziende. La scarsa personalizzazione dei servizi in the cloud, poi, aumenta il timore di perdere il vantaggio competitivo. È evidente, quindi, che il passaggio a scenari di massima flessibilità con sistemi It fortemente basati sul cloud computing avverrà con molta gradualità. Ad oggi, possiamo dire che non esistono regole standard per risolvere le problematiche legate al rapporto tra le aziende e i “nuovi” service provider (sia di natura contrattuale sia tecnologica, per l’integrazione e l’interoperabilità dei sistemi). È dunque chiaro che ogni azienda deve trovare la propria strada, magari procedendo per gradi e sperimentando servizi cloud su tecnologie non core o comunque non di impatto diretto sulle dinamiche e i processi del business; sperimentazione che non deve limitarsi agli aspetti tecnologici ma “fare da palestra” anche per le questioni legali e contrattuali, in modo da avere le competenze necessarie al governo di progetti via via più complessi.

Fonte: ZerounoWeb - Autore: Nicoletta Boldrini

venerdì 29 aprile 2011

Rapporto Ibm X-Force: attacchi alla sicurezza sempre più mirati e sofisticati


Il rapporto descrive phishing, spam e attacchi ai dispositivi mobili verificatisi nel 2010, mentre la sicurezza del cloud continua ad evolversi.

Ibm ha pubblicato i risultati del suo rapporto annuale X-Force 2010 Trend and Risk Report, in cui si evidenzia come, nello scorso anno, le organizzazioni pubbliche e private di tutto il mondo abbiano affrontato minacce sempre più sofisticate e personalizzate. Sulla base delle informazioni raccolte attraverso la ricerca di divulgazioni pubbliche e il monitoraggio e l’analisi giornalieri di più di 150.000 eventi di sicurezza al secondo, queste sono state le osservazioni chiave del team X-Force Research:

1) Più di 8.000 nuove vulnerabilità, un aumento del 27 percento rispetto al 2009. Anche le comunicazioni pubbliche di exploit sono salite del 21 percento dal 2009 al 2010. Questi dati indicano un panorama delle minacce in espansione, nel quale attacchi sofisticati vengono lanciati verso ambienti di calcolo sempre più complessi.

2) La crescita storicamente elevata del volume di spam si è stabilizzata con la fine dell’anno, a indicazione del fatto che gli spammer vedono meno valore nell’aumento del volume di spam, e si focalizzano invece sul bypass dei filtri.

3) Anche se nel complesso il numero di attacchi di phishing è stato significativamente minore rispetto agli anni precedenti, lo “spear phishing”, una tecnica di attacco più mirata, ha acquistato maggiore importanza nel 2010. Ciò ad indicare che i cyber-criminali si sono concentrati maggiormente sulla qualità degli attacchi, piuttosto che sulla quantità.

4) Man mano che aumenta l’adozione di smart phone e altri dispositivi mobili da parte degli utenti finali, i reparti di sicurezza IT hanno difficoltà a stabilire le giuste modalita’ di inserimento in sicurezza di questi dispositivi nelle reti aziendali. Sebbene gli attacchi contro l’ultima generazione di dispositivi mobili non siano risultati ancora predominanti nel 2010, i dati X-Force mostrano un aumento nelle divulgazioni delle vulnerabilità e degli exploit che prendono di mira tali dispositivi.

Una nuova sezione dell’X-Force Trend & Risk Report è dedicata ai trend della sicurezza e alle best practices per le tecnologie emergenti, quali i dispositivi mobili e il cloud computing.

Cloud computing: Il rapporto evidenzia un cambiamento di percezione rispetto alla sicurezza del cloud, man mano che l’adozione si evolve e la conoscenza di questo modello IT emergente aumenta. Poiché la sicurezza è tuttora considerata un ostacolo all’adozione del cloud, i fornitori di cloud devono conquistare la fiducia dei propri clienti offrendo un’infrastruttura che sia sicura ‘by design’ e abbia funzionalità di sicurezza appositamente create, in grado di soddisfare le esigenze delle applicazioni specifiche che le aziende intendono spostare sul cloud. Man mano che carichi di lavoro più sensibili si spostano sul cloud, le funzionalità di sicurezza nel cloud diventeranno più sofisticate al fine di ospitarli e gestirli nella maniera più adeguata. Per il prossimo futuro IBM prevede che il mercato spingerà il cloud verso la fornitura di servizi e competenza di sicurezza, che gli abbonati non possono permettersi di supportare internamente. Ciò potrebbe ribaltare completamente il paradigma, rendendo l’interesse per una migliore sicurezza uno stimolo all’adozione del cloud, anziché un ostacolo.

Dispositivi mobili – Le organizzazioni sono sempre più preoccupate delle implicazioni per la sicurezza creata dai dispositivi mobili personali, portati dai dipendenti in azienda. Le imprese devono assicurare il controllo dei propri dati ovunque essi si trovino, inclusi gli smart phone aziendali o di proprietà dei dipendenti. Nel 2010, X-Force ha documentato un aumento del volume di vulnerabilità divulgate nei dispositivi mobili, nonché della divulgazione di exploit che li prendono di mira. Il desiderio di fare il “jailbreak” o il “root” dei dispositivi mobili ha motivato la distribuzione di codice di exploit maturo, che è stato riutilizzato in attacchi maligni. Ciononostante, il malware non è ancora cosi’ comune sui dispositivi mobili di ultima generazione e la maggior parte dei professionisti IT ritiene che i dati che possono esservi memorizzati – e quindi la loro eventuale perdita o il loro uso improprio - costituiscano la principale minaccia per la sicurezza associata a questi dispositivi. Secondo il rapporto X-Force, le best practices per la sicurezza mobile si stanno evolvendo, con funzionalità potenziate di gestione delle password e di crittografia dei dati.

Fonte: Zerounoweb - Autore: Nicoletta Boldrini

martedì 19 aprile 2011

Regole per il Cloud computing "nuvola" sicura per l'utente


All'evento Skills 4 Cloud, si sono confrontati mondo politico, istituzionale e aziende del settore.Obiettivo: evitare il rischio far west in un mondo digitale che ci ha già cambiato e continua a cambiarci la vita. Il problema delle norme nazionali applicate a un fenomeno locale

IL CLOUD computing ha bisogno di nuove leggi, a tutela degli utenti e a guida delle aziende. Per evitare il "far west" e per sostenere lo sviluppo di un mercato oggi stimato 16,5 miliardi di dollari nel mondo, ma con un potenziale di 55 miliardi nel 2014 (secondo l'osservatorio di ricerca Idc). E' il tema, più politico che tecnico, affrontato oggi a Roma all'evento Skills 4 Cloud, organizzato da Microsoft nella sede del Parlamento Europeo in Italia, con un confronto tra mondo politico, istituzionale e delle aziende del settore. A conferma che se ne deve parlare: probabilmente molti stanno già usando servizi "cloud" anche se non lo sanno. Con questo termine s'intendono infatti quei servizi che permettono di accedere, via internet, a risorse di vario tipo: foto, posta elettronica, persino potenza di calcolo. Tutto ciò che prima bisognava tenere sui propri pc, per poterlo usare, ora può essere spostato su internet: sulla "nuvola" (da qui il termine "cloud"). Forse il servizio cloud più noto agli utenti comuni è la web mail: usare la posta tramite sito web invece che con un programma installato sul proprio pc. Facciamo cloud computing, però, anche quando archiviamo foto o file vari su siti web, per esempio su Flickr o Facebook. Questi servizi infatti sostituiscono la funzione "non cloud" dei nostri hard disk. Considerato il successo di Facebook e della web mail, forse il numero di utenti cloud al mondo non è molto lontano da 2 miliardi, cioè il totale di quelli che vanno su internet.
"Questo fenomeno sta cambiando il mondo e quindi non è solo tecnico ma anche culturale", dice Marco Scurria, uno degli euro parlamentari presenti al convegno. "Abbiamo quindi deciso di avviare tavoli di lavoro per giungere a un disegno di legge sul cloud. Lo scopo è duplice", continua Scurria: "Da una parte, evitare che la politica resti indietro e magari arrivi a formulare leggi che non rispecchiano il mercato. Dall'altra, scongiurare il rischio che le aziende corrano avanti da sole, facendo solo i propri interessi e non quelli degli utenti".
A questo proposito, sono due i punti caldi affrontati al convegno: privacy e sicurezza dei dati presenti sulla cloud. Il 68 per cento delle aziende spaventate dal cloud lo è per via di questi due problemi, secondo la London School of Economics. Sicurezza vuol dire che il dato dell'utente deve essere ben protetto dal rischio che cada in mani sbagliate. Deve essere inoltre trattato correttamente, nel rispetto delle norme sulla privacy.
Quali norme? E' qui il cuore del problema: le norme oggi sono nazionali, ma il fenomeno è globale. Noi italiani possiamo mettere i nostri dati su servizi cloud che funzionano tramite computer sparsi nel mondo. A nostra tutela, valgono le norme del Paese dove sono presenti fisicamente i dati. Le Autorità europee garanti della privacy sostengono quindi, per prima cosa, che l'utente ha il diritto alla trasparenza. A sapere dov'è il proprio dato (nome, cognome, foto, preferenze personali...) e com'è protetto. "Noi appoggiamo la posizione dei garanti a favore della massima trasparenza", dice Pietro Scott Jovane, amministratore delegato di Microsoft Italia. "Microsoft già dice dov'è geograficamente il dato, dov'è il suo back up e com'è protetto (ne comunica le certificazioni di sicurezza utilizzate). Sono tre aspetti che dovrebbero essere trasparenti in ogni offerta cloud", continua. Francesco Pizzetti, presidente dell'Autorità Garante della Privacy italiana guarda oltre: "La direttiva Ue sulla privacy è ormai obsoleta, bisogna rivederla con un accordo internazionale. E, nell'attesa, sarebbe opportuno che i fornitori "notificassero" (cioè sottoponessero) i propri servizi cloud ai Garanti europei". In estate la Commissione europea presenterà appunto una proposta di modifica della normativa privacy e già annuncia una rivoluzione: di imporre alle aziende di trattare i dati dei cittadini europei secondo le regole europee. A prescindere da altre considerazioni, come la nazionalità dell'azienda o la posizione geografica del dato. Significa cambiare tutto, perché le regole europee per la privacy sono le più rigide, a tutela dell'utente. La sfida sarà proteggerlo senza tarpare le ali a un mercato promettente, che secondo Idc crescerà anche in Italia: del 41% sul 2010 per poi arrivare a 671 milioni di euro nel 2014. Con una ricaduta benefica anche sull'ecosistema. Secondo Microsoft, il cloud computing mondiale aggiungerà almeno 800 miliardi di dollari di ricavi nelle economie locali entro il 2013. In Europa creerà oltre 100 mila nuove piccole e medie imprese e farà crescere dello 0,3 per cento il prodotto interno lordo.

lunedì 28 marzo 2011

I tuoi documenti in un box


L'Italia che innova nel campo del cloud computing

Il cloud computing sta diventando davvero una moda. La comodità di creare, editare, condividere file in mobilità senza la necessità di portarsi appresso vari tipi di supporti (cd, dvd, pen usb) è innegabile. BBox è una delle vie italiane al cloud, sviluppato da Nois3Lab, permette di avere una cartella condivisa tra più utenti. BBox è un programma molto riservato. Lui gira senza che voi ve ne accorgiate, e si occupa di prendere tutto il contenuto di una particolare cartella del vostro computer e di sincronizzarla con il server. Di fatto è un sistema per fare backup dei propri dati, con un paio di differenze significative.Ogni volta che salvate un file, anche se lo sovrascrivete, senza saperlo ne state salvando una nuova revisione, e quindi se foste pentiti della vostra modifica, potreste tranquillamente tornare indietro. Ma il vantaggio principale di BBox è quando lo usate in gruppo. In questo caso più persone potrebbero dover lavorare sullo stesso file all'interno della stessa giornata. Per non impazzire con dei nomi di file improbabili che sintetizzino tutte le varie versioni salvate, ci si limita a salvarlo con lo stesso nome, e la tecnologia che usa BBox si preoccuperà di dargli un numero progressivo, un segno dell'utente che ha effettuato la modifica e i dati temporali della stessa. Perciò oltre alla già menzionata possibilità di tornare indietro di versione, questa tecnologia permette di gestire i conflitti tra versioni di file. Quando si crea una sovrapposizione di nomi e il sistema non è in grado di decidere da solo se la vostra versione o quella sul server è quella più importante, vi chiederà di scegliere. La paura maggiore infatti negli odierni sistemi di cloud computing è quella di sostituire per un errore versioni più recenti di un file solo perché utilizziamo lo stesso nome. In questo caso la cronologia creata automaticamente consente di tener traccia delle modifiche effettuate. Il sistema è utile se non si sta' lavorando contemporaneamente sullo stesso file altrimenti le nostre ultime modifiche (e il nostro ultimo salvataggio) potrebbe non tener conto delle azioni dell'utente prima di noi, causando non pochi impicci. Bisogna ricordare che BBox è open source, aperto quindi a tutti i miglioramenti possibili da parte degli sviluppatori, per ora solo europei. A presto una versione d'oltreoceano? In ultima analisi BBox non vi impone nessuna struttura di cartelle astrusa, troppo ramificata o difficile da raggiungere. La cartella si usa come tutte le altre cartelle del Pc (o del Mac). Cloud computing per tutti insomma.

Dagli Stati Uniti Federal Cloud Computing Strategy: la Casa Bianca migra al cloud


Migrare l'IT della pubblica amministrazione americana sulla piattaforma Cloud Computing. Un progetto senz’altro complesso che impatta su organizzazione, processi, ruoli e responsabilità, sicurezza e compliance, governance e gestione… Ma se la Casa Bianca spende 20 miliardi di dollari per migrare al cloud, significa che l’IT sta davvero cambiando. L’ambiente IT del Governo Federale degli Stati Uniti è oggi caratterizzato da un basso livello di utilizzo degli asset, una domanda frammentata delle risorse, eccessiva duplicazione dei sistemi, ambienti complessi difficili da gestire, lunghi tempi per il procurement. Queste inefficienze impattano sulla capacità e l’abilità del Governo Federale di servire il pubblico americano. Con questa premessa, Vivek Kundra, U.S. Chief Information Officer (nella foto), illustra la strategia dell'Amministrazione Obama per migrare l'IT del Governo Federale americano Usa verso il cloud computing. Il cloud computing, si legge nel report di Kundra, ha in sé tutte le potenzialità per risolvere la maggior parte delle attuali inefficienze dell’ambiente IT e migliorare l’erogazione dei servizi governativi. Il modello di riferimento del cloud computing può davvero risultare un aiuto per le agenzie governative americane che oggi lottano con la necessità di poter fornire servizi innovativi ed estremamente affidabili in modo veloce, nonostante le contratte risorse. I service providers stanno significativamente espandendo le proprie offerte commerciali basate sui servizi cloud che includono gli interi stack tradizionali IT di hardware e software infrastructures, middleware platforms, componenti di application system, software services, “turnkey” applications (applicazioni chiavi in mano). Il settore privato ha già iniziato a beneficiare delle opportunità lanciate dal cloud computing e ad usufruire di queste tecnologie in modo rapido e innovativo, con positivi risultati in termini di agilità ed efficienza. In questo scenario, osserva Kundra, anche il Governo Federale potrebbe sfruttare l’innovazione del cloud computing per accrescere e migliorare l’efficienza operativa e rispondere tempestivamente alle necessità crescenti di un’amministrazione pubblica decisamente complessa e in forte evoluzione.E se ad aprire “il portone” al cloud computing è addirittura la Casa Bianca (con un investimento dichiarato da Kundra pari a 20 miliardi di dollari - su un IT spending di 80 miliardi di dollari – da dedicare alla migrazione verso ambienti cloud), significa che l’IT, per chi ancora avesse dei dubbi in merito, sta davvero cambiando rotta. Un cambio che, ovviamente, necessita di tempo per essere compreso, definito, avviato, governato. E Kundra lo sa bene, tant’è che la migrazione verso il cloud degli ambienti IT della Casa Bianca non avverrà dall’oggi al domani ma in modo graduale e, soprattutto, pianificato strategicamente in ogni azione e sotto tutti i profili (tecnologico, organizzativo e di processo, sicurezza e compliance, governance, gestione, ecc.).In questo documento, Kundra illustra in modo dettagliato qual è la strategia definita per questo importante “progetto” (anche se definirlo tale è forse troppo riduttivo), partito con l’istituzione della cosiddetta “Cloud First policy”, voluta per definire le basi attraverso cui accelerare il ritmo di adozione del cloud e per spingere le singole agenzie governative a valutarne le opportunità prima di fare qualsiasi altro investimento. Scarica il documento "Federal Cloud Computing Strategy"


venerdì 11 marzo 2011

Il Cloud Computing nel mirino del Garante della Privacy


In una delle ultime newsletter emesse dal Garante della Privacy si annuncia il piano ispettivo dell’ente: nel primo semestre 2011 saranno messi sotto controllo, insieme a investigatori privati, istituti bancari e carte di credito, attività marketing (anche via sms ed e-mail), enti previdenziali, anche i servizi informatici, in particolare quelli forniti mediante il cloud computing. Il piano ispettivo appena varato prevede specifici controlli, sia nel settore pubblico sia in quello privato, anche riguardo alle informazioni da fornire ai cittadini sull'uso dei loro dati personali, all'adozione delle misure di sicurezza, alla durata di conservazione dei dati, al consenso da richiedere nei casi previsti dalla legge, all'obbligo di notificazione al Garante. Oltre 250 gli accertamenti ispettivi programmati che verranno effettuati come di consueto anche in collaborazione con le Unità Speciali della Guardia di Finanza - Nucleo Privacy. A questi accertamenti si affiancheranno quelli che si renderanno necessari in ordine a segnalazioni e reclami presentati. Intanto, un primo bilancio sull'attività ispettiva relativa al 2010 mostra il significativo lavoro di controllo svolto dall'Autorità: sono state circa 474 le ispezioni effettuate e 424 i procedimenti sanzionatori, relativi in larga parte alla omessa informativa, al trattamento illecito dei dati, alla mancata adozione di misure di sicurezza, all'inosservanza dei provvedimenti del Garante. Le ispezioni hanno riguardato in particolare il settore sanitario, le catene alberghiere, l'attivazione di schede telefoniche multiple, la formazione on line. Le segnalazioni all'autorità giudiziaria per violazioni penali sono state 55, e hanno riguardato tra l'altro la mancata adozione di misure di sicurezza, la falsità nelle dichiarazioni e nelle notificazioni, il mancato adempimento ai provvedimenti del Garante. Complessivamente le entrate derivanti dalle sanzioni sono state pari a circa 3 milioni e 800 mila euro: in particolare, 2 milioni relativi alle violazioni degli obblighi sull'informativa, 800 mila relativi al trattamento illecito di dati e 450 mila relativi alla mancata adozione delle misure di sicurezza da parte di aziende e pubbliche amministrazioni. Per info leggi la "Newsletter del Garante della Privacy n° 345"

venerdì 28 gennaio 2011

Cloud Cracking: nuove minacce per la sicurezza


Che bello il cloud computing! E' tutto più facile, è tutto più immediato, è tutto più sicuro! Davvero? Non ne siamo così convinti e vi spieghiamo perché. Le architetture cloud offrono certamente vantaggi innegabili per l'infrastruttura IT, dei quali abbiamo già ampiamente discusso in precedenza, ma non sono tutte rose e fiori. C'è un pericolo che si profila all'orizzonte guardando bene tra le nuvole, e deriva proprio dalla caratteristica principale del cloud: l'alta parallelizzazione offerta velocemente e senza troppi limiti a chiunque, dovunque ed in qualsiasi momento. Prendiamo l'ambito della sicurezza. Qual'è il fattore più potente che ad oggi impedisce che le password dei nostri conti bancari, dei nostri account di servizi, o di qualunque altro genere di protezione attiva vengano crackate? Pensateci bene, non è un qualche algoritmo matematico né una fantomatica tecnologia informatica. E' un qualcosa di molto più semplice e del quale siamo ben consci nella nostra quotidianità: è il tempo! Il tempo necessario a crackare una password di media complessità impedisce che ogni giorno vengano messi a repentaglio i nostri dati sensibili. Il tempo richiesto da un attacco di tipo brute-force, di forza bruta, col quale si tentano tutte le possibili combinazioni di password fino a trovare quella giusta, è commisurato alla lunghezza della stessa e, con una chiave di 8 caratteri ad esempio, crittata con un algoritmo di buona qualità, un normale PC potrebbe impiegare settimane, mesi o anche anni per trovare il risultato utile. Questo perché l'attività di brute-forcing è essenzialmente basata sulla potenza computazionale di un sistema, tanto maggiore essa sarà, quanto minore il tempo per provare tutte le innumerevoli possibilità. Come qualsiasi altra attività computazionale però, questa non è detto che debba essere svolta per intero da una singola macchina, potrebbe infatti essere divisa in "pacchetti" e distribuita ad un gran numero di sistemi, ognuno impegnato così ad elaborare una parte del tutto per poi ricostruire insieme il risultato definitivo. Detto in altri termini, l'elaborazione può sfruttare il calcolo parallelo senza necessità alcuna di essere eseguita in serie. Che ruolo svolge quindi il cloud computing in tutto ciò? Come può essere d'aiuto nello scovare password fino ad ora ritenute a prova di bomba? E' molto più semplice di quanto si possa credere. e abbiamo compreso come la parallelizzazione possa essere di grande aiuto al malintenzionato di turno che voglia scovare una qualunque password di un sistema protetto, il passo successivo, quello del cloud computing, dovrebbe essere abbastanza ovvio. Con il cloud si può sfruttare la potenza di un gran numero di macchine, virtuali e non, senza doverne per forza disporne fisicamente, affittando risorse solo quando servono e per un compito ben preciso, pagando cioé per l'effettivo lavoro da svolgere e nulla più, senza altri costi connessi più o meno celati.

Fonte: Digitalnewschannel - Autore: Federico Piccirilli
Continua su: Digitalnewschannel

giovedì 23 dicembre 2010

Dieci anni di invenzioni, la Tecnoclassifica



Smartphone, social network e telefonate via internet:
ecco chi è salito sul podio della classifica delle 11 tecnologie più "cool", eccezionali, di questa decade che si appresta a finire. La vittoria, meritatissima, è loro assegnata per l'impatto che hanno avuto sulla società e per la loro utilità. E' la classifica stilata dal magazine di tecnologia IEEE Spectrum Magazine, il giornale della associazione IEEE - Institute of Electrical and Electronic Engineers.

SMARTPHONE
Letteralmente i 'telefoni furbi', si sono aggiudicati il primo posto per la loro utilità e per il loro successo indiscusso: gli smartphone, infatti, sono amati da tutti perché racchiudono nel telefono una serie di funzioni, dall'ascolto di musica a internet, dalla macchina fotografica alle email.
SOCIAL NETWORK
da Facebook a MySpace, passando per Twitter, da quando sono nati i social network hanno conquistato tutti tanto che ormai è quasi un 'must' relazionarsi con la propria cerchia di amici tramite uno di loro; non a caso finora hanno 'accolto' come membri un quinto della popolazione mondiale.

TELEFONO VIA INTERNET 'Voice over IP' (Voce tramite protocollo Internet), abbreviato VoIP, è una tecnologia che rende possibile effettuare una conversazione telefonica sfruttando una connessione internet e un microfono. Ciò consente di abbattere le distanze con telefonante intercontinentali che costano quanto un'urbana.

LED Le lucine sparse per casa, su PC, TV e altri elettrodomestici; LED sta per Light Emitting Diode (diodo ad emissione luminosa) ed è usata sia come spia di funzionamento del congegno, sia per far funzionare telecomandi, semafori e anche gli stop delle auto, solo per fare qualche esempio.

COMPUTER SEMPRE PIU' POTENTI grazie a microprocessori (il cervello del PC) multipli, le cosiddette 'Multicore CPU' che hanno tanti piccoli cervelli raggruppati in un unico chip.

CLOUD COMPUTING Una 'nuvola' di applicazioni posta nella rete e utilizzabile da un comune pc senza doverla installare su di esso. E' questo il futuro dell'informatica, anche i tuoi dati, immagazinati sul web, sono utilizzabili da qualunque pc accedendovi tramite internet.

AEREI SENZA PILOTI Noti come 'droni', sono 'robot alati' usati a scopo militare che si prevede verranno impiegati anche nell'aeronautica civile. ROVER Robot esploratori lanciati su altri pianeti a scopo di ricerca.

TRASMISSIONE FLESSIBILE DI CORRENTE. Gli ingegneri hanno sviluppato modi sofisticati di trasmettere la corrente alternata in modo potente ma stabile: è il sistema flessibile di trasmissione di corrente alternata (FACTS).

FOTOGRAFIA DIGITALE Non solo ha reso la fotografia immediatamente gratificante, perché vedi subito il prodotto del tuo scatto, ma soprattutto ha reso l'immagine (e il video, la registrazione di ogni evento) molto più invasiva nella nostra quotidianità.

SISTEMI AUDIO DI CLASSE D Tecnologia efficiente per ascoltare musica ad alta fedeltà: rappresenta il più grande miglioramento nella riproduzione audio da moltissimo tempo.

Fonte: Ansa

lunedì 13 dicembre 2010

Symantec: previsioni 2011 su sicurezza e storage


Da Symantec i cambiamenti previsti per il 2011 sul tema della protezione dei dati. Budget ridotti e troppe informazioni, richiederanno investimenti sempre più mirati e iniziative strategiche. Con il finire del 2010 giunge da Symantec la previsione per il 2011 in tema di protezione dei dati e sulla sicurezza e lo storage in particolare. In estrema sintesi, il budget destinato all'IT appare purtroppo sempre più stagnante e in calo e le minacce sempre più specifiche. Con sempre più informazioni da gestire, le aziende debbono quindi massimizzare il valore degli strumenti acquistati, oltre a pianificare e realizzare iniziative tecnologiche il più possibile strategiche. Nel nuovo anno, quindi, sotto le luci della ribalta di saranno cloud, virtualizzazione, sicurezza dei dispositivi mobili e social media. Se da un lato le tecnologie per la sicurezza si fanno sempre più intelligenti e veloci, dall'altro anche le minacce compiono la loro inevitabile evoluzione. Nel corso del 2011 si intensificheranno gli attacchi rivolti agli smartphone, la cui crescita sarà esponenziale sia in ambito consumer che business. In quest'ultimo caso, l'utilizzo condiviso di apparecchi mobili ad uso privato e lavorativo confonderà non poco i confini tra business e uso personale, esponendo di conseguenza le aziende ad un maggior numero di pericoli. Nel 2011 i responsabili IT dovranno riconoscere la fragilità delle sempre più utilizzate infrastrutture virtuali; la loro rapida adozione e la mancanza di standardizzazione renderanno infatti sempre più evidenti le carenze in termini di sicurezza e backup di tale soluzione. Se la virtualizzazione riduce i costi legati ai server, ne aumenta al contempo i costi di gestione e storage; occorre quindi per questi ambienti un piano di investimento mirato.Le informazioni diventeranno sempre più critiche e la loro crescita esponenziale le renderà praticamente impossibili da contenere nella loro globalità. Sarà quindi necessario scegliere i dati da memorizzare, pena costi di storage eccessivamente elevati e tempi di recovery estremamente lunghi. I social media renderanno la situazione ancora più critica, in quanto le aziende dovranno capire come gestire questi strumenti in termini di recovery e ricerca delle informazioni aziendali condivise. Il 2011 porterà inoltre nuove soluzioni in grado di semplificare le operazioni IT; tra le offerte, cloud computing, servizi hosted e applicazioni, in grado di assicurare alle imprese maggiore flessibilità e facilità d'utilizzo. Le reti cloud pubbliche e private saranno sempre più disponibili, permettendo all'IT di massimizzare i vantaggi del cloud.

Fonte: Pmi.it - Autore: Tullio Matteo Fanti

martedì 2 novembre 2010

Sicurezza dei sistemi cloud aziendali: una società su sette è vulnerabile


Un’indagine portata avanti da Courion riporta dati imbarazzanti sulla sicurezza dei dati e degli accessi alle cloud application a livello aziendale. Una società su sette ha ammesso di essere a conoscenza della possibilità che le loro applicazioni cloud siano vittima di potenziali violazioni, ma non sanno come porre rimedio al problema e ancor peggio, il 78.4% non ha identificato i responsabili della sicurezza dei dati cloud all’interno della loro azienda. Da un sondaggio condotto a livello mondiale nel mese di ottobre 2010, su trecentoottantaquattro manager di grandi imprese con oltre mille dipendenti, emerge che oltre il 10% in più di loro rispetto allo scorso anno non è a conoscenza di quali sistemi o applicazioni i dipendenti hanno accesso. Sintomo di un’allarmante crescita della mancanza di controllo delle imprese sull’accesso dei loro dipendenti, che l’adozione di soluzioni cloud non ha fatto altro che aggravare. Quasi la metà, il 48,1% degli intervistati, ha detto di non poter escludere che se si verificassero gli accessi alle cloud application utilizzate a livello aziendale, si arriverebbe alla conclusione che molti rappresentano vere e proprie violazioni, di cui in assenza di controlli, si è totalmente all’oscuro. Un ulteriore 15,7% ammette di esser consapevole del fatto che esista la possibilità di violazioni di accesso, ma aggiunge di non sapere come poter intercettarle e porvi rimedio. Più di tre quarti dei manager intervistati non si ritiene responsabile per la sicurezza dei dati nel sistema di cloud application aziendali: mentre il 13% non sa chi debba occuparsene, il 65,4% attribuisce questa responsabilità alle società da cui provengono i dati, al provider delle applicazioni e al fornitore di servizi cloud. Maggiormente preoccupante è il trend ad aumentare della mancanza di conoscenza sulle applicazioni a cui hanno accesso i dipendenti: dal 52,8% del 2009 al 61,2% dei manager interpellati nel 2010 dichiara di avere conoscenze limitate o nulle a riguardo. Alla domanda se pensano che le loro aziende siano sicure, il 64,3% ha risposto di no, contro il 57,9% dello scorso anno.

Fonte: Oneitsecurity - Autore: Paolo Leonardi

martedì 5 gennaio 2010

Le previsioni di Trend Micro sul 2010


Trend Micro, come già molti altri produttori, attraverso un report, ha stilato una lista delle potenziali minacce che verranno, cercando di delineare il panorama della sicurezza per il 2010.
Tra le tecnologie che verranno sfruttate in maniera massiva dai cyber-criminali, sicuramente il cloud computing e la virtualizzazione. L’adozione di questi sistemi è vista di buon occhio dalla aziende, sempre alla ricerca di soluzioni che consentano di aumentare i guadagni e ridurre i costi, migliorando l’efficienza. Il problema come evidenzia il documento “Trend Micro 2010 Future Threat Report“, è la necessità che queste scelte tecnologiche siano ben ponderate e adeguatamente studiate. Il rischio è di incappare in situazioni analoghe a quella verificatasi ad ottobre nel caso Microsoft-Sidekick, quando la soluzione cloud computing di Microsoft portò alla perdita dei dati degli utenti Sidekick di T-Mobile.
Altro vettore di attacco certo saranno i social network che già quest’anno hanno fatto la loro parte nella diffusione di malware, ricordiamo Koobface tra i casi più eclatanti, magari attraverso l’impiego di nuove tecniche di social engineering. Da non sottovalutare nemmeno l’uso di tecniche di phishing che sfruttino i nomi di dominio simili a quelli di note brand o vendor per attrarre e ingannare gli utenti, che magari il più delle volte sbagliano a digitare il nome corretto. Trend Micro inoltre prevede un incremento degli attacchi di tipo “drive-by-download” e un tempo sempre più ridotto per la comparsa di nuove varianti per spyware e virus già in circolazione. Per concludere, è quasi certo che gli autori di malware, cominceranno a concentrarsi sempre più sullo sfruttare le eventuali falle di Windows 7. Il nuovo sistema operativo di Microsoft è infatti nella sua configurazione di default, meno sicuro di Vista, sembra per le impostazioni dello UAC (User Access Control) meno stringenti rispetto al suo predecessore. I consigli finali indicati nel report sono sempre gli stessi già sentiti in passato:
- mantenere il proprio sistema correttamente aggiornato;
- utilizzare una suite antivirus/firewall;
- non cliccare su allegati o link contenuti in email di dubbia provenienza;
- assicurarsi che gli shop online su cui stanno effettuando acquisti utilizzino https;
- non utilizzare la stessa password su tutti i siti Web.

Nessuna ricetta magica dunque, solo le classiche regole di base e sicuramente un po’ di attenzione in più da parte dell’utente stesso.