ASSOCIAZIONE ITALIANA PER
LA SICUREZZA INFORMATICA

 14 ottobre 2002

 Newsletter CLUSIT

 indice

 

 

 

www.clusit.it

1.   NUOVI SOCI

2.     SOLO IL 20% DELLE AZIENDE HA UNA POLICY SCRITTA

3.   Area IT Security a SMAU 02: ultime notizie

4.  "Un nuovo dispositivo di autenticazione"

5.   Qualche anticipazione su INFOSECURITY 2003

6.  Curiosità dal web britannico

7.   EVENTI SICUREZZA 

 

1. NUOVI SOCI

Durante l'ultimo mese hanno aderito al CLUSIT le seguenti organizzazioni:

Logical Security (Treviso), Partner Data (Milano), Union V (Milano), Yalma (Milano)

 

2. SOLO IL 20% DELLE AZIENDE HA UNA POLICY SCRITTA

 

 

 

 

(Fonte: Websecurity)

Sirmi, società di analisi e ricerche di mercato specializzata nel settore dell'Information & Communication Technology, ha realizzato uno Studio per analizzare il livello di percezione delle problematiche connesse alla sicurezza fisica e logica dei sistemi It presso le aziende utenti.

Secondo quanto emerge dalla Ricerca Sirmi, svolta su un campione di oltre 300 aziende, la diffusione di una politica di sicurezza è ancora limitata: infatti, solo il 20% delle aziende intervistate dichiara di avere una politica scritta comprendente tutte le regole relative alla sicurezza dei sistemi informativi; il 31% dispone di una politica scritta ma limitata agli obiettivi di sicurezza, mentre il 30% delle aziende ha un politica informale.

Gli elementi della politica di sicurezza adottati con maggior frequenza sono: l’uso di password (92,7%), amministrazione di rete (83,8%), protezione e detenzione dati (83%), amministrazione del sistema informativo (81,8%), architettura sicura (70%) e regole di uso delle e-mail (62,2%).

L’elemento in assoluto meno frequentemente previsto è la stipula di un contratto assicurativo contro i costi finanziari connessi ai danni del sistema informativo (!)
Occorre osservare che, a fronte del 32% di aziende che dichiarano di non aver mai subito danni in seguito ad attacchi ai sistemi informativi, il 36% ha citato come danno l’inutilizzabilità dei sistemi ed il 16% la perdita dei dati. Nonostante ciò, il 74% del campione dichiara che la perdita economica connessa all’attacco subito è nulla o non è in grado di stimarla mentre il 19% afferma che essa è inferiore a 1.000 euro. Da ciò si evidenzia che le aziende risultano non essere in grado di valutare i costi connessi a “falle” nella sicurezza dei sistemi.
Inoltre, la maggioranza delle aziende intervistate dichiara di non aver predisposto un budget specifico per la sicurezza pur effettuando per la stessa investimenti che, negli ultimi 12 mesi, sono stati rivolti principalmente ad interventi sulle procedure di salvataggio/back-up e per l’acquisto di Firewall. Proprio il salvataggio/back-up dei dati e i Firewall, insieme all’adozione di antivirus e password, risultano essere i sistemi di sicurezza maggiormente adottati dalle aziende intervistate.

La Finanza rappresenta il settore di mercato in cui la sicurezza è maggiormente sentita come un elemento chiave per la gestione del business: il fatto che l’82% delle aziende appartenenti a tale settore abbia una politica di sicurezza scritta è senz’altro frutto dell’alto livello di sensibilità dei dati gestiti da tali imprese.

 

3. Area IT Security a SMAU 02: ultime notizie.

È disponibile il programma definitivo dei Convegni che il CLUSIT organizza nell'area IT Security di SMAU 02, dal 24 al 28 ottobre alla

Fiera di Milano.  Tutti i Convegni e Seminari sono gratuiti.

Durante i 5 giorni della manifestazione il CLUSIT mette le proprie competenze a disposizione delle aziende e dei privati cittadini, tramite consulenze gratuite, presso il proprio stand.

 

4. "Un nuovo dispositivo di autenticazione"

 

 

 

 

 

 

(Autore: Mauro Fiorentini Università di Crema, socio fondatore CLUSIT)

Ricercatori del MIT hanno annunciato di avere messo a punto un nuovo dispositivo di autenticazione.

Si tratta di un sottile rettangolo di resina epossidica, grande come un francobollo, nel quale sono immerse microscopiche sferette di vetro.

Illuminando il dispositivo con un laser, si creano figure di interferenza e diffrazione, che dipendono in modo estremamente complesso dalla posizione delle sferette.

Il laser, di fatto, “calcola” fisicamente una “funzione-trappola”, nel senso che mentre è semplice ricavare la figura di interferenza, è estremamente complesso (e praticamente impossibile) dedurre la posizione delle sferette dalla figura risultante.

Modificando anche di pochissimo la posizione di una sferetta, la figura risultante viene sensibilmente alterata, tuttavia si può facilmente rendere il procedimento di verifica insensibile a piccole tracce di sporco e scalfitture superficiali, come avviene in un comune CD.

Un dispositivo di questo genere non può essere duplicato e qualsiasi tentativo di contraffazione altererebbe la posizione delle sferette, rendendolo inutilizzabile.

Secondi i ricercatori, neppure con tecniche olografiche si può riprodurre la figura con la precisione necessaria a ingannare un lettore ottico.

L’idea dei ricercatori è di archiviare le figure ottenute, in modo da poter verificare la validità del dispositivo, tramite confronto in un archivio, in tempi rapidissimi.

Dato che modificando l’angolo di incidenza del laser si ottengono figure completamente differenti, è possibile ottenere un elevato numero di autenticazioni differenti dallo stesso dispositivo. Inserendolo in una tesserina grande come una carta di credito, si possono ottenere dallo stesso dispositivo autenticazioni per scopi diversi, come bancomat, carta di credito, badge di accesso etc..

Dato che è possibile una produzione in grandi volumi a costi molto bassi, se il mercato lo accetterà, sarà destinato a invadere la nostra vita.

Personalmente aggiungo che potrebbe essere finalmente la soluzione economica, sicura e poco ingombrante per sostituire quel residuo di ciarpame medioevale che ci portiamo comunemente appresso: le banconote.

 

5. Qualche anticipazione su INFOSECURITY 2003

La terza edizione di INFOSECURITY ITALIA si terrà presso i padiglioni di Fiera Milano dal 12 al 14 febbraio 2003

Partner scientifico della manifestazione è il CLUSIT. I convegni tratteranno, tra l'altro, di Information Warfare e Business Intelligence, di Sicurezza e Pubbliche Amministrazioni (si discuterà del primo esperimento pilota a livello nazionale sull’uso della Carta Nazionale dei Servizi), di Sicurezza fisica e logica (confronto di due diverse culture che hanno lo stesso fine, ma che utilizzano metodi e infrastrutture diverse).
Nel corso della manifestazione sarà presentata una ricerca effettuata da Sirmi, commissionata da Reed Exhibitions con il supporto di Clusit, che si pone come obiettivo la verifica e l’analisi del rapporto esistente tra “Legge e Informatica”, cercando di mettere in luce le cause di una conflittualità ancora da risolvere.

Ospite di Infosecurity Italia 2003 sarà Marcus Ranum, uno dei massimi esponenti e principale ideatore dei più famosi sistemi firewall per internet, che ha tra l’altro partecipato allo sviluppo e alla gestione di whitehouse.gov, e che interverrà alla conferenza di apertura della manifestazione italiana.

 

6. curiosità dal web britannico 

 

 

 

 

 

(Fonte: www.securityflop.it )

09-10-2002
La polizia inglese ha rivelato di aver scoperto una truffa realizzata tramite Internet da alcuni sconosciuti, probabilmente nigeriani, che hanno realizzato una versione falsificata del sito di una banca britannica per attrarre investitori da truffare.
Ora il sito non è più attivo, ma il National Criminal Intelligence Service  britannico afferma che le vittime del raggiro sono molte, tra le quali due cittadini canadesi che avrebbero perso almeno centomila dollari a testa.
Il trucco usato dal falso sito bancario è quello ben noto di offrire a cittadini di altri paesi la possibilità di "ospitare" presso i propri conto somme di denaro che i richiedenti hanno bisogno di spostare al di fuori dal paese d'origine.
Un portavoce del NICS ha affermato che il sito "sembrava in tutto e per tutto il sito della presunta filiale nigeriana della banca britannica, con il nome della banca in bella evidenza, particolarmente convincente per quelle persone che non hanno particolare esperienza di transazioni online".
Una volta scoperto il gioco, il sito è stato immediatamente chiuso, ma le persone che lo hanno realizzato sono riuscite a dileguarsi.
Nel frattempo, la banca britannica di cui è stato utilizzato impropriamente il nome ha acquistato il dominio incriminato e diverse varianti del nome, nella speranza di evitare ulteriori usi illegali del proprio marchio.

03-10-2002
Coloro che dalla Cina stamane hanno provato a leggere online il Ming Pao, uno dei più importanti quotidiani di Hong Kong, hanno avuto la sorpresa di ritrovarsi rediretti verso un sito pieno di messaggi a sostegno della setta Falun Gong, che in Cina è considerata illegale poiché sospetta di coltivare culti satanici.
Il problema ha riguardato solo i navigatori che si collegavano dalla Cina, mentre i lettori di Hong Kong o del resto del mondo hanno potuto leggere tranquillamente il quotidiano.
Molti lettori cinesi si sono lamentati con la direzione del quotidiano online ma, come afferma Kevin Lau, uno degli amministratori della testata, tutto ciò che ha potuto fare è stato segnalare l'accaduto alle autorità competenti affinché intervenissero direttamente presso gli amministratori del DNS cinese.
Un portavoce di Falun Gong ad Hong Kong ha negato che setta sia in qualche modo responsabile dell'accaduto, spostando i sospetti verso il governo cinese che avrebbe ideato una macchinazione per screditare la setta agli occhi dei cinesi.
Il governo di Pechino è impegnato in una dura lotta per sradicare Falun Gong dalla Cina e recentemente ha incarcerato 15 adepti con l'accusa di aver trasmesso abusivamente una serie di filmati, impadronendosi di una rete televisiva via cavo. I seguaci di Falun Gong sono invece liberi di praticare il loro culto ad Hong Kong, dove, per eredità della dominazione britannica, le libertà civili e la tolleranza verso qualsiasi forma di espressione e di culto hanno una tradizione più consolidata.

20-09-2002
Stephen Carey, tecnico informatico britannico, è stato condannato a 18 mesi di carcere "per aver modificato in modo non autorizzato" i dati contenuti in alcuni computer.
I fatti risalgono al periodo in cui la società RP Duct Work richiese a Carey di aggiornare il sistema operativo delle sue macchine. Il risultato dell'intervento fu ritenuto insoddisfacente dall'azienda, che si rifiutò di saldare l'importo dovuto per l'aggiornamento.
Durante l'intervento, però, Carey aveva installato sui computer una backdoor grazie alla quale, collegandosi tranquillamente da casa sua alla rete della società, ha sistematicamente iniziato a cancellare alcuni file dai computer della RP Duct Work.
Le operazioni di ripristino dei file è risultata particolarmente complessa ed onerosa, comportando una spesa di circa 50 mila sterline.
Le indagini svolte dalla polizia britannica con il supporto della British Telecom hanno portato a verificare una corrispondenza tra i tempi di cancellazione dei file (si trattava di importanti progetti per la realizzazione di condotti di ventilazione che avevano comportato un lavoro di sviluppo durato tre anni) con le connessioni di Carey.

 

7.   EVENTI
SICUREZZA

21-25 ottobre, Roma
Residenza di Ripetta - "Usare CA e PKI per proteggere le vostre informazioni" e "Network Intrusion Detection, Seminari a cura di Sondra Schneider.
Sconto del 10% per i soci CLUSIT

23 ottobre 2002, Lugano.
(Nel quadro di "TICINO INFORMATICA")

Conferenza su "Tutela dei minori su Internet", a cura della Polizia Cantonale Ticinese, con la collaborazione di CLUSIT e CLUSIS e la partecipazione di "Innocence en Danger" (UNESCO).

23 ottobre 2002, Milano
I mercoledì dell' Information Security, seminario gratuito a cura di SPACE-Bocconi e Finmatica (Ethical Hacking: modalità e vantaggi)

24-28 ottobre, Fiera di Milano - SMAU
Il CLUSIT coordina l'area security. Sono in programma numerosi Convegni di alto livello, che si terranno nell'Anfiteatro dell'area stessa

5 novembre 2002, Milano
Hotel Executive via Don Sturzo 45 - BMC Software
Forum 2002: Come migliorare i servizi, ridurre i costi e far crescere la business value delle aziende.

6 novembre 2002, Milano
I mercoledì dell' Information Security, seminario gratuito a cura di SPACE-Bocconi e Finmatica (Firma digitale e firma elettronica: quadro normativo italiano ed europeo. La PKI come strumento perla sicurezza applicativa integrata)

7-8 novembre 2002, Milano
Sheraton Hotel Diana Majestic - Convegno di studio su Diritto e Internet

13 novembre 2002, Milano
StarHotel Business Palace - "Wireless Fidelity Business Forum

14 novembre 2002, Milano
Star Hotel - "Mobile Business e WLAN - quale la sicurezza per le reti e le applicazioni wireless", Convegno organizzato da ALLASSO in collaborazione con NET Business.

18-20 novembre 2002, Munich
Network Security Conference 2002

20 novembre 2002, Milano
I mercoledì dell' Information Security, seminario gratuito a cura di SPACE-Bocconi e Finmatica (La nuova privacy)

20-23 novembre 2002, Fiera di Milano
Sicurezza 2002 

26/28 novembre 2002, Milano
StaHotel Ritz - Workshop: Analisi del rischio e vulnerability assessment - Convegno: Sicret 2002 - organizzati dall'Istituto di Ricerca Internazionale.

4 dicembre 2002, Milano
I mercoledì dell' Information Security, seminario gratuito a cura di SPACE-Bocconi e Finmatica (Aspetti legali ed organizzativi in materia di archiviazione ottica e gestione documentale nelle aziende private e nella PA)

4-5 dicembre 2002, Parigi
CNIT-Paris la Défense, le Salon de la Sécurité Informatique

3-6 dicembre 2002, Milano
Starhotel Splendido- "Certified Network Security Manager", corsi di formazione tenuti da INFOSEC, in collaborazione con l'Istituto di Ricerca Internazionale.

10-11 dicembre 2002, Milano
Starhotel Splendido - "Come redigere e gestire i Contratti Informatici" evento organizzato dall'Istituto di Ricerca Internazionale

18 dicembre 2002, Milano
I mercoledì dell' Information Security seminario gratuito a cura di SPACE-Bocconi e Finmatica (Sicurezza Informatica e delle TLC nelle Pubbliche Amministrazioni Statali: direttiva del Presidente del Consiglio dei Ministri 16 gennaio 2002 Dipartimento per l'Innovazione e le Tecnologie)

31 gennaio 2003, Roma
"Sicurezza Informatica e Sanità" - Seminario organizzato dall'Ospedale Pediatrico Bambino Gesù e dal CLUSIT. Il Seminario è gratuito per i soci CLUSIT.

12-14 febbraio 2003, Fiera di Milano INFOSECURITY

17-19 marzo 2003, Parigi
EUROSEC'2003
14° Forum sur la Sécurité des Systèmes d'Information

Per cancellarsi dalla mailing-list inviare una e-mail a info@clusit.it

specificando nel Subject: REMOVE con l'indirizzo e-mail da eliminare.

CLUSIT - ASSOCIAZIONE ITALIANA PER LA SICUREZZA INFORMATICA*

Dipartimento di Scienze dell'Informazione Università degli Studi di Milano

Via Comelico 39 - 20135 MILANO  -  cell. 349.7768882

* associazione senza fini di lucro, costituita il 4 luglio 2000

© 2002 Clusit - Vietata la riproduzione

Clausola di esclusione della responsabilità e informazioni relative al Copyright: http://www.clusit.it/disclaimer.htm