Pagine

Visualizzazioni totali

Google Scholar
Visualizzazione post con etichetta file log. Mostra tutti i post
Visualizzazione post con etichetta file log. Mostra tutti i post

venerdì 25 novembre 2011

Facebook e i rapporti con l'autorità

Facebook e i rapporti con l'autorità

Un documento relativo ai rapporti del social network con le forze dell'ordine: quali dati degli utenti vengono consegnati, e in quali circostanze?
Roma - Facebook ha pubblicato le linee guida operative in base alle quali regola i suoi rapporti con le forze dell'ordine. Per quanto non sia una novità che i soggetti che operano in rete, in qualità di intermediari, si trovino a dover interagire con le autorità, il nuovo documento fornisce un quadro dettagliato di questa relazione. I contenuti del documento erano stati anticipati da EFF (Electronic Frontier Foundation) che via Twitter aveva divulgato documenti presumibilmente ottenuti da Anonymous, ma l'indiscrezione è diventata ufficiale con la pubblicazione della pagina Facebook. Le linee guida sono indirizzate alle autorità che intendono rivolgersi al social network per chiedere log e altri dati relativi a suoi utenti, che sono conservati per 90 giorni (la legge prescrive la loro conservazione per 30). Per quanto riguarda la normativa statunitense vi sono tre gradi di accesso che Facebook concede alle autorità: il primo livello necessità l'emissione da parte di un giudice di una citazione in giudizio e permette di conoscere nome, indirizzo email, più recente indirizzo IP di login e date di iscrizione al servizio. Poi Facebook richiede uno specifico ordine di un giudice per la divulgazione di registrazioni specifiche e altre informazioni riguardanti l'account, dagli indirizzi IP ai destinatari dei messaggi. Infine Facebook richiede un mandato per concedere alle autorità l'accesso agli altri contenuti: messaggi pubblicati, foto, video e informazioni di geolocalizzazione. Inoltre Facebook ha stabilito tutta una serie di procedure per le richieste di emergenza e per le questioni che costituiscono una minaccia per la sicurezza dei minori.

Fonte: Punto Informatico - Autore: Claudio Tamburrino

sabato 15 gennaio 2011

Wi-fi libero, quali responsabilità per i fornitori di accesso?


Entusiasmi e dubbi sul Decreto Pisanu
La modifica e lo snellimento del gran parte dell'ormai celebre Decreto Pisanu e in particolare degli articoli 4 e 5, che imponevano ai titolari di bar, hotel, ristoranti e altre attività che forniscono un servizio di connettività wireless di “schedare” i loro utenti, ha suscitato, in maniera comprensibile, l’entusiasmo dei sostenitori italiani dell’accesso libero alla Rete, ma suscitato anche alcuni dubbi che forse saranno risolti solo nei prossimi mesi. Con questo modifiche, infatti, non è chiaro come farà il titolare a collaborare con la Polizia postale o la Guardia di finanza in caso di indagini, né se il gestore possa essere ritenuto responsabile di eventuali attività illecite nella sua rete. “Il venir meno dell’obbligo di identificazione degli avventori - chiarisce l’avvocato Guido Scorza, esperto di diritto della Rete - non comporta, naturalmente, un divieto per i gestori dei locali pubblici di ricorrere, comunque, a forme light di identificazione a scopo di autotutela”. In futuro, quindi, il gestore di un bar potrebbe, ad esempio, identificare il cliente interessato ad accedere ad internet, attraverso il suo numero di carta di credito, mediante l’invio di una mail o tramite un numero di telefono a cui inviare un Sms con la password di accesso al Wi-Fi. “Detto questo – continua Scorza - è bene precisare che la circostanza che una certa condotta sia stata posta in essere partendo da un certo Ip (poniamo quello del bar che ha fornito connettività), non è, di per sé, sufficiente a fare del gestore del bar il responsabile di una condotta illecita esattamente come la circostanza che una telefonata minatoria sia stata fatta partendo dal mio telefonino non basta a far sì che io sia condannato per tale telefonata”.“E ciò perché – prosegue l'avvocato - nel diritto penale vige il principio di personalità dell’illecito con la conseguenza che, in assenza di una precisa norma che affidi al gestore del bar la custodia delle risorse di connettività come ipotizzato in Francia per l’Hadopi, il gestore del bar non può essere chiamato a rispondere delle condotte degli utenti”. Per quanto riguarda gli esercizi commerciali per cui la fornitura di connettività costituisce l’attività principale, come gli Internet Point, alcuni commentatori ritengono che, malgrado la modifica del Decreto Pisanu, resterebbero in piedi gli obblighi previsti da un decreto del ministero dell’Interno datato 16 agosto 2005, in cui si impone ai gestori l’adozione di una serie di “misure fisiche e tecnologiche occorrenti per impedire l'accesso a persone non identificate”. È quanto ad esempio sostiene nel suo blog un altro esperto di legislazione della Rete, l’avvocato Massimo Melica. Gli Internet point, inoltre, dovrebbero inoltre osservare gli stessi obblighi di registrazione dei dati dei grandi provider, conservando tutti i log per un periodo di dodici mesi.In ogni caso, a prescindere da quelle che saranno le misure più idonee a garantire “un giusto equilibrio tra la libertà di comunicazione, lo sviluppo della new economy e idonei standard di sicurezza” che il tavolo tecnico del Parlamento individuerà nei prossimi mesi, è probabile che ai gestori dei servizi Wi-Fi convenga optare per soluzioni tecniche (come l’accesso tramite Hot Spot) che consentono di tenere separata la propria rete da quella in cui si offre il Wi-Fi pubblico. In questo modo sarà più facile monitorare il traffico web, autenticare in maniera univoca l’utente e rintracciarlo, se necessario.

martedì 28 dicembre 2010

GFI Labs, le dieci regole per accedere alla Rete in sicurezza nel 2011


Tom Kelchner, Communications e Research Analyst di GFI Software, produttrice di software di protezione Web e posta, servizi di rete e sicurezza, suggerisce le 10 regole per navigare sicuri nel corso del 2011. Se un qualsiasi nuovo computer può essere preso dalla confezione e connesso direttamente a Internet, farlo rappresenta un errore madornale per la sicurezza.

  1. Limitare l'accesso alla rete alle persone che ne necessitano. Nelle piccole e medie imprese capita spesso che vengano assegnati alla quasi totalità dei dipendenti privilegi completi di accesso alla rete e ai dispositivi, anche se in realtà non ce ne sono i requisiti lavorativi. Tali decisioni comportano però una serie di rischi per la sicurezza aziendale. Se presumibilmente l'azienda ha assunto persone affidabili, come amministratori IT e specialisti responsabili di sicurezza per proteggere la rete aziendale, offrire privilegi completi rimane comunque un rischio… e non si può mai sapere.
  2. Serve una strategia per prevenire la perdita dei dati. Le minacce interne possono spesso essere quelle più pericolose e da cui probabilmente ci si protegge meno, semplicemente perché i dipendenti e il management nelle piccole e medie imprese tendono ad avere elevati livelli di fiducia reciproca. L'attività di rete dovrebbe essere monitorata e dovrebbe essere tendenzialmente vietata la connessione di dispositivi portatili, come le chiavette USB. Semplicemente, è estremamente facile per un dipendente scontento sottrarre dati confidenziali senza essere notato. Anche i lavoratori mobili rappresentano un problema per gli amministratori, e le aziende dovrebbero attuare una strategia definita sull'utilizzo di laptop e smartphone.
  3. Limitare la navigazione su Internet ed educare gli utenti a riconoscere le minacce. Gli utenti spesso non conoscono le minacce presenti su Internet. È meglio prevenire i problemi potenziali, quali download pericolosi o social engineering, che conducono a codici malevoli. In assenza di un motivo di business per visitare i siti Web, può essere utile limitare la capacità di navigazione attraverso white o black list. I siti peer-to-peer possono essere vettori di malware o dare ai membri P2P remoti possibilità di accesso ai dati aziendali se il client non è configurato correttamente. Anche i siti di social networking, come ad esempio Facebook, possono portare a link malevoli. Questi possono provenire dall'account compromesso di un amico, senza che nessuno si accorga che quel determinato link rimanda a un sito malevolo. Il malware scaricato sulla macchina dell'utente può poi diffondersi attraverso la rete.
  4. Eseguire regolarmente audit di rete è fondamentale. Monitorare gli event log ed effettuare regolarmente controlli fornisce dati importanti sulla rete. Audit regolari consentono di ottenere informazioni sui materiali disponibili in rete. L'analisi dei log consente di comprendere come vengono utilizzate le risorse e come migliorarne la gestione. Date le richieste di conformità che oggi incidono sulle aziende, mantenere gli audit di rete aggiornati è "un must" e rappresentano una risorsa critica se qualcosa dovesse andare storto. La gestione delle vulnerabilità e delle patch è inoltre essenziale per qualsiasi strategia di sicurezza della rete. Le macchine su cui mancano alcune patch o gli ultimi aggiornamenti di sicurezza rappresentano un bersaglio facile per i creatori di malware e gli hacker, è quindi importante che gli amministratori dispongano della tecnologia in grado di identificare, valutare e riparare qualsiasi buco riscontrato in rete.
  5. Verificare la sicurezza dei sistemi prima di connetterli alla rete. Se un qualsiasi nuovo computer può essere preso dalla confezione e connesso direttamente a Internet, farlo rappresenta un errore madornale per la sicurezza. Prima di connettere qualsiasi computer a un cavo Ethernet o alla linea telefonica, deve essere installato un software anti-malware. Una volta messe in atto queste misure di sicurezza e che la macchina è connessa a Internet, è fondamentale che queste funzionalità di sicurezza siano costantemente aggiornate per assicurare la protezione da malware e virus. I sistemi operativi, i browser e le altre applicazioni sono esposte a buchi di sicurezza. Una volta scoperta la falla, viene solitamente sfruttata nell'arco di poco tempo. Un responsabile degli acquisti IT dovrebbe essere responsabile anche del monitoraggio dei siti web del produttore o dei feed dei social media per le notifiche sul rilascio degli aggiornamenti.
  6. Rafforzare le policy di sicurezza. Le policy di sicurezza sono praticamente inutili se non vengono supportate e promosse da parte del management. Allo stesso tempo, bisogna trovare un equilibrio per consentire ai dipendenti di portare avanti il loro lavoro. Se le policy sono troppo restrittive, i dipendenti troveranno un modo per evitarle. Bisognerebbe fornire inoltre una spiegazione ai dipendenti sul perché vengono attuate determinate policy. Se i dipendenti sono consapevoli del perché non possono fare una determinata cosa, sono più propensi a rispettare tali policy. Un approccio dittatoriale porterà solamente a un senso di risentimento da parte dei dipendenti.
  7. Autenticare sempre chi effettua chiamate. Autenticare le chiamate telefoniche potrebbe sembrare un processo ridondante per gli amministratori quando riconoscono direttamente la voce di chi chiama. Tuttavia, dare nuove password e informazioni confidenziali al telefono senza seguire una procedura di autenticazione idonea potrebbe causare problemi di sicurezza che spesso non possono essere tracciati a ritroso fino al punto di origine - risultando poi molto più difficili da rilevare e da gestire. Lo spear-phishing - che consiste in attacchi di social engineering mirati - è sempre più diffuso e gli utenti dovrebbero essere informati su come distinguere una richiesta legittima di informazioni da un tentativo di phishing - che avvenga via email o telefonicamente.
  8. È necessario eseguire i backup ma anche verificarli. Non si è praticamente mai sentito che un back-up di sistema sia fallito, ma testare i backup e confermare che il piano di disaster recovery funziona realmente è tutta un'altra questione. Per prima cosa, i backup per essere efficaci devono essere creati su base regolare e tenuti offsite in un luogo sicuro. Se questo già avviene, il passaggio successivo è quello di garantire realmente che i backup funzionino in caso di emergenza. Spesso, vi sono richieste di conformità per la crittografia dei backup. È bene controllare due volte che la crittografia sia realmente abilitata per i backup e che i dati possano essere recuperati.
  9. Cosa fare se il programma di disaster recovery non funziona. In teoria, il piano aziendale di disaster recovery è probabilmente un capolavoro. Può sembrare perfetto sulla carta, archiviato nella cartella "disaster recovery" sul PC aziendale. Ma come funziona in pratica? Si è provato a simulare una situazione di disaster recovery in cui i backup devono essere utilizzati in modo da ripristinare i sistemi e renderli nuovamente attivi in modo da poter continuare il lavoro e ridurre al minimo la perdita di profitto? . Pianificare una simulazione di questo tipo per garantire che l'azienda possa effettivamente andare a ritroso nei backup rappresenta un elemento fondamentale per la sicurezza. Un piano di disaster recovery che fallisce una volta messo in pratica non è altro che un ulteriore disastro!
  10. Chiedere aiuto se necessario. Non bisogna temere di chiedere aiuto per i compiti più importanti. Eseguire da soli le impostazioni di rete è un compito estremamente impegnativo. È consigliabile cercare aiuto all'esterno se non si possiedono ancora l'esperienza e gli skill sufficienti. Se da un lato ricorrere a un aiuto esterno può risultare costoso,dall'altro i professionisti assicureranno che il lavoro sia eseguito correttamente.
GFI Software offre un'unica fonte di software di protezione web e posta, archiviazione, back-up e fax, servizi di rete e sicurezza e soluzioni ospitate per piccole e medie imprese. Grazie alla tecnologia vincitrice di numerosi riconoscimenti, a una politica tariffaria concorrenziale e alla particolare attenzione rivolta ai requisiti specifici delle piccole e medie imprese (PMI), GFI soddisfa le esigenze informatiche delle PMI su scala mondiale. Inoltre, è un Microsoft Gold Certified Partner. Ulteriori informazioni all'indirizzo http://www.gfi-italia.com/.

Fonte: Protezione Account

Black Box: strumento per la gestione dei dati riservati Black Box: strumento per la gestione dei dati riservati


Nuova soluzione integrata per essere conformi alla normativa vigente sulla data retention nelle aziende

Ad oggi, oltre l'85% delle verifiche effettuate dalla Guardia di Finanza in merito di trattamento dei dati si conclude con un'ammenda. Malgrado l'opinione diffusa, non basta disporre di un DPS aggiornato per fornire risposte adeguate, soprattutto quando i dati a cui ci si riferisce sono gestiti attraverso strumenti informatici che supportano gli adempimenti burocratici ed amministrativi a carico dell'azienda. Che ci sia una certa arretratezza culturale in gran parte delle Pmi italiane in fatto di tecnologia e IT è risaputo. I problemi finanziari ed economici, conseguenza dell ' attuale crisi, hanno ulteriormente aggravato la situazione. È un problema che investe un po' tutti i settori produttivi. Esistono però ambiti in cui questa arretratezza, o trascuratezza, può avere conseguenze il cui costo va ben al di là della semplice conseguenza legale, andando ad impattare sugli aspetti penali in termini di responsabilità ed economico-produttivi in termini di interruzione delle attività. Le norme vigenti (DLgs 196/2003) impongono che i file di log (i diari di sistema) comprovanti gli accessi degli Amministratori di sistema siano raccolti e conservati per almeno 6 mesi in formato immodificabile. I requisiti si articolano in: mantenimento dei dati di accesso ai sistemi; conservazione dei dati relativi ad un periodo non inferiore ai sei mesi; garanzia di non modificabilità dei dati. Mentre i primi due aspetti sono facilmente realizzabili con le funzionalità presenti in ogni sistema operativo, il terzo non è disponibile e nemmeno così ovvio come si può pensare: normalmente i file di log sono normali file di testo, accessibili con qualsiasi editor e quindi facilmente alterabili. Normalmente riportano i dati relativi a eventi che si verificano sui sistemi e indicano la data, l'evento e chi lo ha causato. Questo per ogni computer presente in azienda. I dati non possono semplicemente essere criptati dal momento che chi gestisce il sistema deve essere in grado di ricostruirne la storia per effettuare le analisi del caso, ad esempio in caso di malfunzionamento del sistema. Qualcuno ci ha pensato e da alcuni mesi lo propone con successo sul mercato. Una società del comprensorio della Brianza, la Antares srl ha brevettato e reso disponibile un prodotto che interviene proprio in questo ambito. La Black Box risponde infatti ai requisiti richiesti dalla normativa. La Black Box è costituita da hardware sigillato e software proprietario (il protocollo Antares brevettato). L'hardware è costituito da un PC che oltre alle consuete caratteristiche dispone di un supporto di memorizzazione (hard disk) da 1.5 Tera per garantire la retention (conservazione) dei dati per il periodo previsto. Il sistema provvede ad effettuare una copia dei dati cifrandoli con chiave asimmetrica RSA da 2048 che garantisce l'inaccessibilità dei dati. Solo l'autorità giudiziaria può accedere ai dati così conservati, per i quali è certificato che non sono stati modificati. Ma quello dei log dei sistemi non è il solo aspetto che questo prodotto affronta con successo: di fatto qualsiasi dato che possa essere registrato può essere gestito con questo prodotto. Proviamo a fare un esempio di utilizzo che illustra questo ulteriore vantaggio. Molte aziende utilizzano, per la propria sicurezza interna, delle videocamere che riprendono gli accessi agli ambienti. Si pensi ad esempio ad un negozio, ad un passo carraio e si potrebbero illustrare altri casi. Attualmente, per non incorrere in sanzioni da parte degli organi competenti, praticamente tutti gli utilizzatori di sistemi di sicurezza eliminano in modo automatico i dati nell'arco delle 24 ore. Questo tuttavia può contrastare con i bisogni dell'azienda in caso ad esempio di effrazione che venga rilevata a distanza superiore all'intervallo di mantenimento dei dati, come nel caso non infrequente di un fine settimana lungo (ferragosto, I maggio, Natale, etc.). L'inviolabilità dei dati registrati invece garantisce la possibilità di conservare i dati anche per lunghi periodi senza violare il diritto alla riservatezza. Concludendo, si può affermare che il prodotto Black Box consente di rispettare le norme di legge con un costo veramente ridotto (a conti fatti inferiore alla spesa dell ' ammenda comminata dagli organi preposti).

Fonte: Pmi.it - Autore: Ferdinando Cermelli