|
|
|
|
12 dicembre 2003 |
|
|
Newsletter CLUSIT indice |
1. NUOVI SOCI 2. eAware 3. Approvata l’Agenzia Europea 4. Codice “Internet e minori” 5. INFOSECURITY 2004: i
Convegni 6. Ultime tendenze sugli
attacchi informatici 7. Aperte le iscrizioni ai
seminari ed esami CISSP in Italia 8. Notizie dal Web 9. EVENTI SICUREZZA |
|||
|
|
||||
|
1. NUOVI SOCI |
Durante l'ultimo mese hanno aderito al
CLUSIT le seguenti organizzazioni: Gruppo NET
(Roma), LAZARD Studi e Ricerche (Milano), Studio Genghini
& Associati (Milano), |
|||
|
|
||||
|
2. eAware |
eAware - Consapevolezza
informatica
Diritti e responsabilità nell’uso della tecnologia in Europa Roma, 20 novembre 2003 - Si è concluso il 7 novembre scorso il progetto eAware promosso
dall’Unione Europea per diffondere la cultura della sicurezza informatica tra
i cittadini e le imprese. Partner italiano il CLUSIT, Associazione Italiana
per la Sicurezza Informatica. Sicurezza e
privacy dovranno essere sempre più legate se si vorranno tutelare interessi e
diritti dei cittadini e delle imprese. Questo è in estrema sintesi il
messaggio più importante emerso dall’incontro finale di Roma del progetto
eAware. Progetto che ha coinvolto le nazioni europee (Estonia, Germania, Grecia, Italia, Olanda,
Polonia, Regno Unito) in un’azione di informazione e sensibilizzazione sui diritti e le
responsabilità connessi con l’uso delle tecnologie informatiche e di
Internet. 7 paesi europei, 10 eventi, 900 partecipanti tra politici,
rappresentanti di ministeri, comuni, uffici governativi, comunità IT,
università, media e cittadini in generale. Molte le tematiche trattate nel corso del progetto. In Italia si è
discusso di rischi per i minori che navigano in Rete e dei modi per
salvaguardarli e proteggerli, nel corso del convegno “Internet e minori:
esperienze internazionali e nuovi orizzonti in Italia”, organizzato da CLUSIT
nel maggio 2003 a Milano; e di Firma Elettronica e carte elettroniche del
cittadino nel corso del convegno “E-government e servizi per i cittadini
quale sicurezza?, organizzato da CLUSIT nel giugno 2003 a Roma. Tra le altre, sicurezza e privacy nel voto elettronico, rischi
provenienti dall’uso delle tecnologie e misure da adottare per proteggersi,
uso sicuro e responsabile di Internet, fino all’illustrazione delle esperienze Internazionali e Sfide per il Futuro del convegno conclusivo
del 7 novembre a Roma. Stefano Rodotà,
in qualità di presidente dell’Autorità Garante per la protezione dei dati personali,
ha sottolineato, nel corso dell’appuntamento romano, che l’assenza di
sicurezza è un rischio per la privacy e nello stesso tempo in nome della
sicurezza può essere richiesta la sospensione delle tutele individuali.
Trovare un equilibrio tra i due elementi è l’impegno dell’Europa che nella
sua Carta dei diritti fondamentali ha inserito la protezione dei dati
personali. Un nuovo punto fermo, per evitare che in nome della sicurezza ci
sia un abbassamento dell’attenzione sulla privacy, si raggiungerà con il
codice che entrerà in vigore nel gennaio 2004. Secondo Danilo
Bruschi, presidente del Clusit, Associazione Italiana per la Sicurezza
Informatica, procedere sulla strada del progresso tecnologico implica la
consapevolezza dei rischi che si corrono. La sfida è quella di disporre di
prodotti rispettosi della privacy e, nello stesso tempo, sicuri. Si può lavorare
anche dal punto di vista della politica e le autorità per la privacy possono
intervenire contro le tecnologie che ledono i diritti individuali. Altrettanto
importante è la crescita di consapevolezza degli utenti, privati e aziende.
Persone informate possono utilizzare in modo più sicuro la tecnologia. La sicurezza e la fiducia sono ancora più importanti quando un governo decide di ricostruire il proprio rapporto con il cittadino attraverso strumenti di e-gov. Dal 1987 in poi abbiamo visto sistemi appartenenti alle più disparate organizzazioni (governative, banche, aziende private) essere vittime di attacchi informatici che in alcuni casi si sono limitati a ridicolizzare i siti visitati, in altri casi a bloccarne l’utilizzo per qualche ora o per intere giornate, in altri a distruggerne il contenuto. Se un’azienda od un privato, dopo un’attenta valutazione, può decidere di correre il rischio di attacchi informatici, ciò non è possibile per le applicazioni di e-gov dove la sicurezza è un MUST assoluto, perché è in gioco la fiducia dei cittadini nelle istituzioni. Gli atti del convegno
finale sono disponibili su http://www.clusit.it/archivio.htm#eaware_roma |
|||
|
|
||||
|
3. Approvata l’Agenzia Europea |
Il Consiglio Europeo ha
approvato il progetto di costituzione dell’ENISA (European Network &
Information Security Agency). Siamo molto lieti per la
conclusione positiva di questa iniziativa, che fin dall’inizio è stata sostenuta dai
CLUSI europei. Teniamo a complimentarci
vivamente con il Ministero delle Comunicazioni e con tutta l’equipe italiana,
coinvolta nelle trattative, per il brillante risultato. |
|||
|
|
||||
|
4. Codice
“Intenet e minori” |
II 19 novembre 2003 è
stato sottoscritto il Codice di autoregolamentazione "Internet e
minori". Il Codice è stato firmato dalle associazioni degli Internet
providers (AIIP, ANFoV, Assoprovider e Federcomin.), dal Ministro delle
Comunicazioni, on. Maurizio Gasparri e dal Ministro per l'Innovazione e le
Tecnologie, dott. Lucio Stanca. Il codice rafforzerà i
rapporti di collaborazione tra gli Internet service providers e le Forze
dell’Ordine, determinando una maggiore capacità di intervento, una maggiore
rapidità delle attività di indagine e quindi una maggiore efficacia del
perseguimento dei crimini informatici contro i minori. Sarà istituito un
Comitato di Garanzia, che vigilerà sul rispetto dell’intesa e sul suo funzionamento. Il testo del Codice è disponibile su: http://www.comunicazioni.it/it/Img/50/CODICE%20INTERNET%20@%20MINORI.pdf |
|||
|
|
||||
|
5. INFOSECURITY 2004: i Convegni |
“Riprendendo una tradizione oramai consolidata, il programma dei convegni
di Infosecurity 2004 si propone di essere un punto di riflessione per le
attività svolte nell'arco dell'anno precedente, ed un momento di lancio per
le nuove attività. In particolare queste iniziative vogliono essere un momento di continuing
education per gli operatori del settore ed una vetrina di problematiche,
soluzioni ed opportunità per chi per la prima volta si affaccia sulla scena. Con i convegni si cerca di offrire ai partecipanti uno spaccato delle
realtà produttive maggiormente coinvolte in processi di adeguamento alla
sicurezza informatica, nonché fornire informazioni sulle più recenti
innovazioni tecnologiche e metodologiche predisposte dai diversi
fornitori". (Introduzione di Danilo Bruschi, Direttore Scientifico di Infosecurity
Italia). Le tematiche principali: La sicurezza informatica nel settore bancario Protezione delle Infrastrutture critiche La professione del Security Manager La firma digitale in Italia Il mercato assicurativo e la sicurezza ICT Il mondo dei servizi Internet per i cittadini |
|||
|
|
||||
|
6. Ultime tendenze sugli attacchi informatici |
Presentiamo un'analisi
sulle ultime tendenze riguardanti gli attacchi informatici. Il report, che è
stato realizzato da Symantec, è il risultato dell'analisi dei dati forniti da
500 aziende, combinati con quelli rilevati da più di 20.000 sensori
installati per il monitoraggio degli attacchi in oltre 180 Paesi. Lo studio
esamina le tendenze negli attacchi alle reti, nelle vulnerabilità
identificate e nel codice nocivo. I risultati
significativi dello studio - Le minacce 'a tecnica
mista' o minacce complesse continuano a rappresentare uno dei maggiori
pericoli affrontati quest'anno dalle aziende. Nella prima metà del 2003, il
numero delle minacce complesse è aumentato del 20% e il 60% di esse è
costituito da malicious code. Le minacce complesse continuano a essere il
tipo di attacco registrato più frequentemente. - I dati emersi
dimostrano che il 64% dei nuovi attacchi hanno riguardato vulnerabilità
identificate meno di un anno prima. Inoltre, il 66% di tutti
gli attacchi documentati nella prima metà del 2003 ha interessato
vulnerabilità indicate come "altamente pericolose". - Recenti eventi
confermano che il lasso di tempo tra la scoperta di una possibile minaccia e
l'effettivo attacco continua a ridursi. Ad esempio, il virus W32.Blaster ha
colpito solo 26 giorni dopo l'annuncio della vulnerabilità su cui tale worm
si basa. Segue una serie di dati
preliminari che rappresenta la sintesi dei risultati scaturiti dallo studio. Il trend nelle
vulnerabilità - Nel primo semestre del
2003 sono state documentate 1.432 nuove vulnerabilità, con un incremento del
12% rispetto allo stesso periodo del 2002; il ritmo con cui sono state
scoperte le nuove vulnerabilità, invece, è stato decisamente inferiore
rispetto all'82% registrato nel 2002; - Il numero di nuove
vulnerabilità a basso grado di pericolosità è cresciuto del 21% contro
l'aumento del 6% nelle vulnerabilità ad alto tasso di pericolosità. Questa
tendenza è stata alimentata dal fatto che l'80% delle vulnerabilità scoperte
nei primi sei mesi del 2003 ha potuto essere sfruttato in remoto; - Il 70% delle
vulnerabilità registrate nella prima metà del 2003 ha potuto essere sfruttato
senza difficoltà perché il loro accesso si è rivelato essere di facile
identificazione e utilizzo. Questo dato rappresenta una crescita del 10%
rispetto ai primi sei mesi del 2002. Il trend nel codice
nocivo - La velocità di
propagazione delle minacce complesse è in aumento. Ad esempio, il worm
Slammer si è diffuso nei sistemi di tutto il mondo in poche ore. Inoltre, per
la prima volta, un worm - il recente Blaster - ha infettato lo straordinario
numero di 2.500 computer all'ora. Si prevede un ulteriore incremento della
velocità di propagazione dei worm con il risultato di un forte sovraccarico
dell'hardware di rete, di una pesante limitazione del traffico e
dell'impossibilità per molte aziende e privati di accedere a Internet. - Nella prima metà del
2003 sono stati identificati 994 nuovi virus e worm Win32, più del doppio
rispetto ai 445 documentati nello stesso periodo dell'anno prima; - Con l'aumento dell'uso
dei client di instant messaging e del networking peer-to-peer, i nuovi worm e
virus tendono a utilizzare sempre più questi meccanismi per diffondersi. Dei
50 principali attacchi da codice nocivo documentati nella prima metà del
2003, 19 hanno utilizzato per diffondersi le applicazioni di instant
messaging e peer-to-peer, con una crescita di quasi il 400% rispetto a un
anno prima; - Gli attacchi da parte
di codice nocivo con la creazione di backdoor sono aumentati di quasi il 50%,
passando dagli 11 del 2002 ai 17 della prima metà del 2003. Il tentativo più
palese di sottrazione di dati riservati è avvenuto con il rilascio, nello
scorso mese di giugno, di Bugbear.B. La scoperta di questa variante di codice
nocivo ha suscitato viva preoccupazione, in quanto aveva come specifico
obiettivo gli istituti bancari. Il trend negli attacchi
informatici - Il numero complessivo
degli attacchi è cresciuto del 19%. Nella prima metà del 2003 le aziende
hanno registrato mediamente 38 attacchi alla settimana contro una media di 32
attacchi nello stesso periodo del 2002; - Gli attacchi fanno
sempre più ricorso ai worm per sfruttare vulnerabilità note con l'obiettivo
di creare brecce in un gran numero di sistemi. I pirati informatici creano,
quindi, delle backdoor nascoste sui sistemi compromessi per dare vita a una
vaste reti di sistemi controllati (bot net) che possono essere utilizzati per
lanciare nuovi attacchi; - Il numero degli
attacchi "altamente pericolosi" ha continuato a diminuire, passando
dal 23% dei primi sei mesi del 2002 all'11% della prima metà di quest'anno. - La maggior parte delle
attività di monitoraggio, intese come come ricognizione preventiva di un
attacco, hanno riguardato sistemi aziendali come Microsoft SQL e soluzioni di
file sharing. Scegliendo come
bersaglio sistemi e soluzioni tanto diffusi all'interno delle aziende il
numero degli potenziali attacchi aumenta considerevolmente. Questa tendenza rafforza
l'importanza di consolidare all'interno delle aziende le policy e i controlli
di sicurezza. |
|||
|
|
||||
|
7. Aperte le iscrizioni ai seminari ed esami
CISSP |
Sono aperte le
iscrizioni al seminario che si terrà a Milano la settimana dal 23 al 27
febbraio 2004 e all'esame il 27 marzo 2004. Tutti i particolari sono
disponibili su www.clusit.it/isc2 Modulo di iscrizione ai
seminari: Modulo di iscrizione
agli esami: Richiesta informazioni: isc2@clusit.it. |
|||
|
|
||||
|
8. Notizie Fonte: www.securityflop.it |
Al varo negli USA
la nuova legge contro lo spam La Camera dei rappresentanti degli Stati Uniti ha approvato a maggioranza
gli emendamenti definitivi alla proposta di legge per regolamentare lo
spamming, la posta elettronica non richiesta a carattere commerciale, e l’ha
inviata al Presidente per la ratifica finale. La legge, che diventerà attiva a tutti gli effetti dal primo gennaio
prossimo, capitalizza gli sforzi di Quattro anni di discussioni parlamentari,
durante i quali il Congresso ha definito un insieme di regolamenti per le
proposte commerciali inviate tramite Internet, un settore riguardo al quale I
politici USA erano sempre risultati piuttosto refrattari a interferire con le
prassi correnti. La legge antispam aveva infatti compiuto ben pochi progressi prima
dell’inizio di quest’anno, quando le pressioni esercitate da alcune società
(tra le quail le potentissime Time Warner e Microsoft) e le esperienze
derivate da alcune leggi statali hanno vinto le ultime forme di resistenza
che avevano fin qui impedito una regolamentazione a livello federale. Se fino
a non molto tempo fa lo spam era visto come un assillo di minore rilevanza,
ora è percepito come un problema urgente, considerato anche che negli ultimi
tempi il fenomeno è cresciuto esponenzialmente: lo spam è arrivato a superare
la metà del traffico globale di email, comportando un analogo incremento nei
costi ad esso associati. La legge che ne è uscita rappresenta un compromesso
tra le due istanze di vietare le più sofisticate tattiche di spammer, come ad
esempio il cosiddetto “harvesting” (mietitura) di indirizzi di posta in
Internet, e di permettere comunque alle aziende americane la promozione dei
loro prodotti via Internet, fornendo una serie di linee guida per
pubblicizzare legalmente la propria attività via mail. Alcune indicazioni
della nuova legge rendono obbligatorio l’utilizzo di un indirizzo valido e
funzionante nel campo mittente dei messaggi e l’adozione di meccanismi di
“opt-out” nel corpo del messaggio, oltre a proibire l’utilizzo di soggetti
del messaggio ingannevoli. Anche se per le violazioni più gravi sono previste multe che possono
arrivare a 6 milioni di dollari e pene detentive fino a 5 anni, le
associazioni dei conumatori sono però perplesse sull’efficacia deterrente di
questa legge e ritengono che non otterrà una decisa diminuzione delle mail
pubblicitarie. Tali associazioni lamentano anche che per promuovere materiale
non adatto ai minorenni si richieda solo una banale indicazione del contenuto
nella linea dell’oggetto della mail, e fanno notare anche le difficoltà di
compatibilità della legge federale con le norme di alcuni stati come la
California, che ha recentemente imposto regole ben più restrittive, come
l’obbligatorietà del preventivo consenso del destinatario. 2 milioni di dollari per difendere le banche USA Il portavoce del Dipartimento del Tesoro USA ha dichiarato ieri che il governo Americano investirà circa due milioni di dollari in servizi acquistati da un centro privato per proteggere I servizi finanziari dalle minacce di attacchi informatici. Lo stanziamento permetterà di aggiornare i sistemi operativi del Centro
di analisi e informazioni del servizio finanziario. Il centro Fs/Isac,
coordinato da un gruppo di compagnie e società che offrono servizi
finanziari, è stato creato del 1999 per contrastare le minacce ai Danni di
infrastrutture finanziarie. “La chiave per proteggere I nostri sistemi finanziari dalla distruzione o
dagli attacchi degli hacker è la condivisione di informazioni tra il governo
e le aziende private, e di conseguenza la condivisione di informazioni tra le
single istituzioni finanziarie” ha detto in un comunicato il segretario del
Tesoro John Snow. Il centro Fs/Isac raggruppa ad oggi 80 tra le più importanti banche degli
Stati Uniti, ma conta di allargare l’appartenenza a 30.000 istituti tra
banche, assicurazioni e altri fornitori di servizi finanziari negli USA. (Fonte: www.securityflop.it) |
|||
|
|
||||
|
9. EVENTI (Tutti i dettagli sulle manifestazioni sono
disponibili sul sito clusit alla voce EVENTI) |
13- dicembre 2003,
Parma Convegno privacy
sicurezza informatica in sanità 15-19 dicembre 2003,
Milano Corso per la
certificazione professionale OPST-OSSTMM Professional Security Tester 15-16 gennaio 2004,
Roma “Il Computer Crime
nelle Aziende e nella P.A.: tecniche di intervento e strategie di
prevenzione” 11-13 febbraio 2004,
Milano INFOSECURITY Italia
2004 23-27 febbraio 2004,
Milano Seminario di
preparazione all’esame CISSP |
|||
|
Per cancellarsi
dalla mailing-list inviare una e-mail a info@clusit.it specificando nel Subject: REMOVE con l'indirizzo
e-mail da eliminare |
|||
|
CLUSIT - ASSOCIAZIONE ITALIANA PER LA SICUREZZA
INFORMATICA* Dipartimento di Informatica e
Comunicazione - Università degli Studi di Milano Via Comelico 39 - 20135 MILANO -
cell. 347.2319285 * associazione
senza fini di lucro, costituita il 4 luglio 2000 |
|||
|
© 2003 Clusit - Vietata la riproduzione Clausola di esclusione della responsabilità e
informazioni relative al Copyright: http://www.clusit.it/disclaimer.htm |
|||
