ASSOCIAZIONE ITALIANA PER
LA SICUREZZA INFORMATICA

12 novembre 2003

Newsletter CLUSIT

 indice

 

www.clusit.it

1. NUOVI SOCI

2. Accordo CLUSIT/ISC² per le certificazioni CISSP e SSCP

3. Forum di Ginevra sulla protezione delle infrastrutture critiche

4. Seminario CLUSIT a “Prevenzione Italia”

5. Alec Muffet a INFOSECURITY 2004

      6. Sicurezza (ma non solo)

      7. EVENTI SICUREZZA

 

1. NUOVI SOCI

Durante l'ultimo mese hanno aderito al CLUSIT le seguenti organizzazioni:

ADISI (Lugano, CH), AUSED (Milano), EDOSS Consulenze (Milano),

IBS (Falconara Marittima), Società per i Servizi Bancari - SSB (Milano).

 

2. Accordo CLUSIT/ISC² per le certificazioni CISSP e SSCP

Clusit e (ISC)2 hanno concluso un accordo di partnership in esclusiva per l'Italia e il Canton Ticino come Education Affiliate per i seminari e gli esami di certificazione CISSP e SSCP.

Per facilitare il conseguimento di queste certificazioni, diffuse a livello mondiale, Clusit e (ISC)2 propongono un calendario di seminari di preparazione agli esami CISSP e SSCP da tenersi in Italia, oltre alle sessioni di esame. 

Facendo riconoscere le competenze e la professionalità in materia di ICT Security, queste certificazioni serviranno a rinforzare i valori che Clusit sostiene da sempre ed accrescerà il ritorno degli investimenti che ogni organizzazione farà in ambito informatico.

Il calendario 2004 dei seminari e degli esami è disponibile su:

www.clusit.it/isc2/calendario_isc2.htm.

Per ulteriori informazioni scrivere a: isc2@clusit.it

 

3. Forum di Ginevra sulla protezione delle infrastrutture critiche

 

Nei giorni 28 e 29 ottobre il CLUSIT, su invito del Geneva Centre for Security Policy, ha partecipato ad un Forum internazionale sulla protezione delle infrastrutture critiche e dei servizi pubblici. Il Forum ha riunito a Ginevra 172 delegati provenienti da 29 paesi, in rappresentanza di governi, organismi internazionali (IAEA, NATO, OCSE, ONU, U.E. ...), università e centri di ricerca ed imprese private che gestiscono importanti strutture e servizi nazionali.

Uno degli intenti del Forum era quello di porre le basi per una maggior collaborazione tra settore pubblico e settore privato, per una comune strategia di protezione delle infrastrutture critiche dei vari paesi.

Tra le minacce analizzate, la più preoccupante è sicuramente il terrorismo, ma non meno preoccupanti sono le disfunzioni verificatesi recentemente in conseguenza di fatti gravi, come l’interruzione del lavoro in Venezuela e in Nigeria o la mancanza di corrente elettrica nel Nord America e in Italia.

Durante i due giorni di dibattiti sono emerse le interdipendenze tra le principali infrastrutture critiche: i trasporti, la fornitura di energia elettrica, di gas e di acqua, le centrali nucleari.

Ma sicuramente la protezione delle infrastrutture di comunicazione e dell’informazione è una  priorità assoluta, così come aveva evidenziato anche il G8 al meeting di Evian dello scorso mese di maggio.

 

4. Seminario CLUSIT a “Prevenzione Italia”

Il 28 novembre alla Fiera di Roma, nell’ambito di “Prevenzione Italia”, il CLUSIT terrà il Seminario:

“La pianificazione delle emergenze e la gestione delle crisi”, con inizio alle 9.00”.

Si parlerà di:

-         identificazione, analisi e valutazione del rischio;

-         piano di emergenza: pianificazione, realizzazione, manutenzione e attuazione.

Saranno presentati casi di studio: pianificazione e gestione delle emergenze informatiche in campo sanitario, della pubblica amministrazione e delle public utilities.

La partecipazione al seminario è gratuita.

Per l’iscrizione: fax 02 700 440 496 / e-mail: info@clusit.it

 

5. Alec Muffet a INFOSECURITY 2004

Alla quarta edizione di Infosecurity Italia, mercoledì 11 febbraio, sarà presente durante il convegno di apertura un ospite d'eccezione, Alec Muffett.

Mescolando dialoghi vivi e video-clips, Alec Muffett illustrerà la storia dei sistemi di sicurezza IT: ciò che abbiamo usato, ciò che stiamo usando, ciò che dimentichiamo di usare e perché la dimenticanza è pericolosa.

Alec Muffet è tra i personaggi che hanno principalmente contribuito alla nascita del settore della system security. In questo settore il suo principale contributo è stato quello di dimostrare l'inefficacia del meccanismo delle password, attraverso la realizzazione del primo strumento automatico per la verifica della robustezza delle password, divenuto noto con il nome di password cracker. È inoltre tra i primi ricercatori ad occuparsi di firewall e di security scanning.

Alec Muffet inizia il suo percorso professionale con attività di hacking su reti X.25 all'università di Londra. Nel 1988 Alec Muffett viene impiegato come programmatore di sistemi all'Università di Aberystwyth, e nei successivi 4 anni scrive numerosi articoli e realizza svariati e importanti strumenti per la sicurezza delle reti, il più conosciuto dei quali è "Crack", il primo strumento di password checking/cracking realizzato da cui poi trarranno ispirazione tutti i tool attualmente utilizzati per tale scopo.

Nel 1992 entra nella Sun Microsystems nel gruppo "Sun Network Security", dove si occupa di problematiche legate al nascente concetto di firewall e di security scanning su reti WAN. Successivamente diventa responsabile del progetto "Project Bruce", svolto presso SunLabs Security Research Group, mirato alla realizzazione di un sistema sicuro per l'amministrazione e l'auditing remoto di sistemi.

Alec Muffett è attualmente Chief Architect di "Sun Microsystems Professional Services" in Europa.

 

6. Sicurezza (ma non solo)

Sembrano foto sexy, ma è il worm MiMail C

Data notizia: 03.11.2003

A causa di un aumento di casi di infezione rilevati, le principali case di produzione di software antivirus hanno innalzato il livello di gravità del worm MiMail C, invitando gli utenti ad aggiornare prontamente le definizioni del proprio software. MiMail C è una recente variante del noto worm MiMail, che colpisce i computer Windows e sottrae informazioni dai computer infetti. Conosciuto anche con i nomi W32.Mimail.C@mn (Symantec), W32/Mimail.c@mn (McAfee), WORM_MIMAIL.C (Trend Micro), W32/Mimail-C (Sophos), I-Worm.Mimail.c (Kaspersky), Win32.Mimail.C (Computer Associates), MiMail sfrutta una delle più antiche armi dei codici maligni: la curiosità per le immagini a sfondo erotico. 

Il worm MiMail C può essere riconosciuto facilmente perchè proviene sempre dall’indirizzo (james@tuodominiodiposta), perchè l’allegato si chiama sempre photos.zip e l’oggetto dell’e-mail è sempre: Re[2]:our private photos. Proprio questo oggetto, assieme al corpo del messaggio, potrebbe essere la variante che ha favorito la diffusione del worm, con le allettanti promesse di foto sexy.

Una volta infettata la macchina, il worm modifica il file di registro, raccoglie tutti gli indirizzi email che riesce a trovare sul computer, con l’eccezione degli indirizzi contenuti in alcuni generi di file (come .exe o .gif), inserisce gli indirizzi trovati nel file eml.tmp nella directory di Windows e registra le informazioni contenute nelle finestre aperte di Windows. Nella directory di Windows il worm crea altri due file (zip.tmp e exe.tmp), che contengono una copia temporanea del messaggio in spedizione.

Il worm contiene un proprio motore SMTP per la costruzione di messaggi; si auto-invia come allegato in formato ZIP, procurandosi gli indirizzi e-mail dalla macchina locale.

Oltre a replicarsi inviando messaggi infetti a tutti gli indirizzi che trova nei file e nella rubrica del computer dell’utente, MiMail.C spedisce al suo autore le informazioni che riesce a catturare sulle finestre aperte del computer vittima.

(Fonte: www.securityflop.it)

__________________________________________________________________________

Multa di 50.000 dollari per sito con carenza di privacy

Il procuratore generale di New York Eliot Spitzer ha firmato una sentenza che condanna Victoria’s Secret, che commercia in biancheria intima femminile, al pagamento di una multa di 50.000 dollari per non aver ottemperato correttamente a difendere la privacy dei propri clienti online.

Victoria’s Secret, una divisione della società Limited Brands, aveva lasciato alcune falle di sicurezza nel proprio sito web che permettevano ai visitatori di sbirciare negli ordini dei clienti.

La causa che ha portato alla condanna di Victoria’s Secret è iniziata da un episodio dello scorso novembre, quando Jason Sudowski, un cliente del Connecticut che voleva ordinare biancheria intima da donare alla propria amata, si accorse che riusciva a vedere il contenuto degli ordini di altri acquirenti, nome e indirizzo compresi.

Segnalato l’accaduto alla società, ottenne per tutta risposta una frase del tipo: “Non si leggono i numeri di carta di credito e quindi non vedo quale sia il problema!”

A questo punto è stato il procuratore generale della contea di New York, Eliot Spitzer ad incaricarsi di spiegarlo alla società, anche il base alla policy che la stessa aveva esposto presso il proprio sito.

Nel processo che ne è seguito, infatti, oltre al danno di immagine per la società e la multa di 50 mila dollari, la limited Brands è stata condannata anche a rifondere i danni a tre clienti che l’avevano citata in giudizio, mentre per altri 560 dello stato di New York che potrebbero aver subito egual trattamento (in quanto risulta che da Agosto a Novembre i loro dati non risultavano adeguatamente protetti), darà fatta una notifica per poi provvedere anche nei loro confronti a un congruo trattamento di indennizzo.

(Fonte: www.securityflop.it)

 

7.  EVENTI
SICUREZZA

 

(Tutti i dettagli sulle manifestazioni sono disponibili sul sito clusit alla voce EVENTI)

13 novembre, Roma

2a Giornata Mondiale della Qualità in Sanità

15 novembre 2003, Roma

Sessione di esami CISSP presso Hewlett Packard

17-19 novembre 2003, Milano

ISACA Network Security Conference

17-21 novembre 2003, Roma

Corso per la certificazione professionale OPST-OSSTMM Professional Security Tester

18 novembre 2003, Milano

Internet Security Systems Customer Seminar

19 novembre 2003, Roma

Presentazione della Collana “DIRITTO DELLE NUOVE TECNOLOGIE”

21-22 novembre 2003, Bologna

Italian Cyberspace and Law Conference

26-27 novembre 2003, Parigi

Le salon de la sécurité informatique

26-27 novembre 2003, Milano

Network Security Forum

27 novembre 2003, Udine

Presso l’Università degli Studi di Udine

“Tutti i vantaggi della Rete...senza rischi 2003”
28 novembre 2003, Roma
Nell’ambito di “Prevenzione Italia” si terrà un Seminario CLUSIT dal titolo:

"La pianificazione delle emergenze e la gestione delle crisi"

1-4 dicembre 2003, Milano

Certified course Responsabile Protocollo Informatico

1-5 dicembre 2003, Milano

Mastercourse Security Manager

15-19 dicembre 2003, Milano

Corso per la certificazione professionale OPST-OSSTMM Professional Security Tester

15-16 gennaio 2004, Roma

“Il Computer Crime nelle Aziende e nella P.A.: tecniche di intervento e strategie di prevenzione”

11-13 febbraio 2004, Milano

INFOSESCURITY Italia 2004

 Per cancellarsi dalla mailing-list inviare una e-mail a info@clusit.it

specificando nel Subject: REMOVE con l'indirizzo e-mail da eliminare


 

CLUSIT - ASSOCIAZIONE ITALIANA PER LA SICUREZZA INFORMATICA*

Dipartimento di Informatica e Comunicazione - Università degli Studi di Milano

Via Comelico 39 - 20135 MILANO  -  cell. 347.2319285

* associazione senza fini di lucro, costituita il 4 luglio 2000


 

© 2003 Clusit - Vietata la riproduzione

Clausola di esclusione della responsabilità e informazioni relative al Copyright:

www.clusit.it/disclaimer.htm