ASSOCIAZIONE ITALIANA PER
LA SICUREZZA INFORMATICA

 16 settembre 2002

 

Newsletter CLUSIT

 

indice

 

 

 

www.clusit.it

  1. NUOVI SOCI

  2. Il voto elettronico in Svizzera

  3. AREA SECURITY di SMAU

  4. GUIDA alla Sicurezza Informatica

  5. Entrano in vigore le nuove norme europee per la privacy e la sicurezza nelle TLC

  6. Un nuovo algoritmo per la verifica dei primi

  7. EVENTI SICUREZZA 

 

1.     NUOVI SOCI

Durante gli ultimi 2 mesi, nonostante la pausa estiva, hanno aderito al CLUSIT le seguenti organizzazioni:

2000 NET (Borgosesia - VC), ACME Solutions (Roma),

A.C.S.I. (Roma), Banca Popolare di Milano (Milano), GFI OIS (Roma),

INNOVERY (Brescia), Intesys Networking (Verona),

Istituto di Ricerca Internazionale (Milano),

L & C Genius Service (Borgoricco - PD),

Net Studio Company (Gaggio di Marcon - VE), OPC GROUP (Milano),

PriceWaterHouseCoopers (Milano).

 

2.  Il voto elettronico in Svizzera

Durante i giorni 9 e 10 settembre il CLUSIT ha partecipato ad una Conference sul voto elettronico, organizzata dall'Università di Ginevra, in collaborazione con l'Università di Berna, la Cancelleria della Confederazione e lo Stato del Cantone di Ginevra.  In Svizzera i cittadini sono invitati alle urne da 4 a 6 volte all'anno. È la ragione per cui la maggior parte dei cantoni offre anche la possibilità di votare per posta. A Ginevra il voto per posta ha portato ad un aumento della partecipazione di ben 20 punti. Il 95% dei votanti lo fanno per posta. Il messaggio è chiaro: i cittadini preferiscono la semplicità ed il confort.

Gli svizzeri sono tra i maggiori utilizzatori di Internet: il 52% degli svizzeri è connesso ad Internet, il 30% l'utilizza giornalmente e quasi tutti hanno la connessione sia sul posto di lavoro che a casa. Secondo l'inchiesta nazionale Baromédia 2002, la fiducia di cui gode Internet ha fatto un balzo in avanti, passando dal 53% (nel 2001) al 65% quest'anno! Un altro indice dell'interesse degli svizzeri per Internet è dato dal fatturato delle transazioni on line. Secondo uno studio dell'Università di Berna, l'e-commerce rappresenta in Svizzera 6-7 miliardi di CHF (nel 1999).

Durante la Conference sono stati presentati 3 "progetti pilota", che vedono il coinvolgimento dei cantoni di Ginevra, Neuchâtel e Zurigo.

In qualunque progetto di e-voting, il problema della sicurezza è sicuramente uno dei più importanti e dei più complessi. In materia di sicurezza, si tratta anche di arrivare ad un compromesso: spesso la sicurezza si ottiene a scapito della semplicità e praticità di utilizzazione e viceversa. Possiamo immaginare una soluzione assolutamente sicura ma praticamente inutilizzabile e, al contrario, un'altra molto facile da utilizzare ma troppo insicura.

Bisogna accettare il principio che la sicurezza assoluta non esiste, come del resto anche nel voto tradizionale o nel voto per posta. Per rendere attrattivo il voto su Internet, la procedura deve essere semplice e rapida per l'elettore, pur mantenendo un elevato livello di sicurezza.

Sono stati formulati 11 "comandamenti" che devono assolutamente essere rispettati: 

  • I voti espressi elettronicamente non devono poter essere intercettati o modificati. 

  • Il contenuto dei voti espressi elettronicamente non devono poter essere conosciuti da terzi, prima dello spoglio. 

  • Solo chi ha diritto di voto deve poter prendere parte allo scrutinio.

  • Ogni elettore dispone di un solo voto e non deve poter votare più di una volta  

  • Non deve essere mai possibile, nemmeno durante lo spoglio, mettere in relazione l'elettore ed il suo voto (segreto del voto). 

  • Il sito deve poter resistere ad un attacco di Denial of service, che potrebbe portare alla saturazione del Server. 

  • L'elettore deve essere protetto contro qualunque tentativo di usurpazione di identità. 

  • Il numero dei voti espressi deve corrispondere al numero dei voti ricevuti; qualunque differenza deve poter essere spiegata e corretta.

  • Si deve poter conservare la prova che l'elettore ha votato. 

  • Il sistema non deve accettare voti elettronici al di fuori del periodo di apertura della votazione. 

  • Il buon funzionamento del sistema deve poter essere verificato dalle autorità preposte. 

Ciascuno dei 3 progetti pilota ha fornito le proprie soluzioni tecnologiche ed organizzative, per rispondere agli 11 comandamenti di sicurezza.  I progetti svizzeri ci sono parsi particolarmente interessanti.

Oltre al problema della sicurezza sono stati affrontati gli aspetti giuridici, psicologici e sociali del voto elettronico.

 

3.  AREA SECURITY DI SMAU

Il CLUSIT sarà presente, con una collettiva di aziende socie, nell'area IT security - Pad. 13/1 di SMAU 02, che si terrà alla Fiera di Milano dal 24 al 28 ottobre.
È previsto un ricco programma di Convegni, che si terranno in un Anfiteatro, allestito all'interno dell'area stessa. 

PROGRAMMA DEI CONVEGNI

Giovedì 24 ottobre

15.00-18.00
Seminario.
"Sicurezza informatica e delle telecomunicazioni nelle pubbliche
amministrazioni. A che punto è l'applicazione della Direttiva del 16 gennaio 2002 del Ministro Stanca?"
con la partecipazione della P.A.

Chairman: Mario Pelosi

 

Venerdì 25 ottobre

10.00-13.00
Convegno Principale.
Ospite d'onore: Bruce Schneier (uno dei principali Guru della Security
mondiale, inventore tra l'altro, dei famosi algoritmi di codifica Blowfish e Twofish).
Con la partecipazione di Communication Valley, CISCO...

Chairman: Danilo Bruschi (Presidente Clusit)

14,30-18,00
Conference
"Internet ed il Cittadino"
Con la partecipazione di associazioni di consumatori, Aldo Bonomi, Giancarlo Livraghi, Stefano Quintarelli (I.Net) ed un rappresentante del Garante per la Privacy.

 

Sabato 26 ottobre

10,00-13,00
Conference
"Progetto Fata Turchina: Virtual Italy is Safe for Children"
Chaiman: Gigi Tagliapietra

14,00-18,00
Seminario
"Ethical Hacking Conference: Intrusione e Difesa"
Chairman: Raoul Chiesa

 

Lunedì 28 ottobre

10,00-11,30
Seminario
"L'analisi della sicurezza informatica in ambito economico aziendale; analisi e valutazione economica dei rischi, analisi e valutazione dei costi", con la partecipazione dI alcuni componenti dell'omonima Commissione di Studio del CLUSIT.
Chairman: Roberto Pavesi (Economista, Università Cattolica del Sacro Cuore di Milano)

11,45-13,30
Conference
"ICT Security: panorama internazionale"
Con la partecipazione di Lorenzo Valeri (Rand Europe), Andrea Servida (European Commission Information Society), Ernesto Savona (Università di Trento, Direttore TRANSCRIME), Augusto Leggio (ISTAT).
Chairman: Danilo Bruschi (Presidente CLUSIT, Università degli Studi di Milano)

14,00-17,30
Seminario
"Certificazione di sistemi di gestione della sicurezza delle informazioni (SGSI) e Certificazione del personale", con la partecipazione di alcuni componenti dell'omonima Commissione di Studio del CLUSIT.
Chairman: Vittorio Asnaghi

Nelle giornate di giovedì 24, venerdì 25 e lunedì 28, nella zona Workshop dell'area IT security, si terranno i workshop di alcune delle principali aziende fornitrici di prodotti e servizi di ICT Security.

 

 

4. Guida alla Sicurezza Informatica

La Guida alla Sicurezza Informatica 2002 nasce da una iniziativa congiunta di collaborazione tra il Gruppo Editoriale Edipi e il CLUSIT.

Cos'è: La Guida è il primo repertorio italiano sulla sicurezza informatica e tlc. Conterrà suddivisi per aree tematiche tutti i prodotti e le soluzioni indirizzate al mercato impresa e la presentazione di tutte le aziende protagoniste del mercato.

Perché: La Guida alla Sicurezza Informatica e tlc nasce con l'obiettivo di mettere a disposizione uno strumento ragionato di consultazione, documentazione, scelta intelligente per chi nelle aziende e negli enti pubblici decide gli investimenti in questo settore.

Come esserci: I dati delle aziende vengono inseriti gratuitamente nel database direttamente dalle stesse (o da chi ne gestisce la comunicazione).

La Guida alla Sicurezza Informatica è costituita da:

un prodotto editoriale su carta comprensivo di scheda di presentazione di tutte le aziende presenti, schede su prodotti e soluzioni e sui servizi offerti, glossario della Sicurezza. Sono già state inserite 215 aziende, con 762 prodotti e 516 servizi.

un prodotto editoriale on line sul sito www.edipi.com, ad accesso libero, consultabile a partire dal mese di ottobre 2002.

I lettori: La Guida alla Sicurezza Informatica sarà distribuita in anteprima a Smau 2002 (Milano, 24-28 ottobre 2002) nell'ambito dell'area Sicurezza organizzata dal Clusit e, nel mese di novembre 2002, verrà inviata a una mailing selezionata di 10 mila responsabili sistemi informativi di società del mondo finance (banche, assicurazioni, finanziarie) imprese e enti pubblici.

In seguito, la Guida sarà distribuita in occasione delle varie manifestazioni che organizza o a cui partecipa il CLUSIT (come INFOSECURITY) e dei convegni Edipi.

L'edizione on line sarà consultabile tutto l'anno sul sito www.edipi.com (circa 30 mila visitatori mensili, per il 90% uomini d'impresa), e promossa dalle riviste del Gruppo Editoriale Edipi e dalle sue 5 newsletter settimanali on line.

 

5. Entrano in vigore le nuove norme europee per la privacy e la sicurezza nelle TLC

 

  

(Fonte: www.securityflop.it )

Sono state pubblicate sulla Gazzetta Ufficiale delle Comunità europee (L. 201) le nuove norme per le TLC contenute nella direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della privacy e della sicurezza nel settore delle comunicazioni elettroniche.

La direttiva ha lo scopo di armonizzare le disposizioni degli Stati membri per assicurare un livello equivalente di tutela dei diritti e delle libertà fondamentali, in particolare del diritto alla privacy, con particolare riguardo al trattamento dei dati personali nel settore delle comunicazioni elettroniche.

Particolare interesse rivestono gli articoli della direttiva nei quali si indica la necessità per i fornitori di servizi di telecomunicazione di adottare misure appropriate per salvaguardare la sicurezza dei servizi da essi offerti, se necessario congiuntamente al fornitore della rete, e di informare gli abbonati sui particolari rischi di violazione della sicurezza della rete.

La direttiva sottolinea anche come sia "di particolare importanza per gli utenti e gli abbonati di tali servizi essere pienamente informati dal loro fornitore di servizi dell'esistenza di rischi alla sicurezza al di fuori della portata dei possibili rimedi esperibili dal fornitore stesso. I fornitori di servizi che offrono servizi di comunicazione elettronica accessibili al pubblico su Internet dovrebbero informare gli utenti e gli abbonati delle misure che questi ultimi possono prendere per proteggere la sicurezza delle loro comunicazioni, ad esempio attraverso l'uso di particolari tipi di programmi o tecniche crittografiche. L'obbligo di informare gli abbonati su particolari rischi relativi alla sicurezza non esonera il fornitore di servizi dall'obbligo di prendere, a sue proprie spese, provvedimenti adeguati ed immediati per rimediare a tutti i nuovi, imprevisti rischi relativi alla sicurezza e ristabilire il normale livello di sicurezza del servizio."

 

6.   Un nuovo algoritmo per la verifica dei primi

 

 

 

 

(Autore: Mauro Fiorentini Università di Crema, socio fondatore CLUSIT)

Tre matematici dell’Università di Kanpur (India) hanno annunciato un nuovo algoritmo per verificare se un numero è primo in modo deterministico, che promette d’essere molto più veloce di quelli sinora noti.

Numeri primi molto grandi sono necessari per quasi tutti i metodi di crittografia a chiave pubblica; in genere sono ottenuti esaminando i candidati successivi, a partire da un numero scelto casualmente.

Un algoritmo per determinare rapidamente se un numero è primo permette di migliorare la velocità di generazione delle chiavi di crittografia, e quindi le prestazioni, soprattutto per sessioni brevi, o di cambiare frequentemente chiave nel corso di una sessione.

Le applicazioni pratiche del nuovo algoritmo non saranno però immediate, al di fuori degli ambienti universitari, perché è per ora più lento di quelli comunemente in uso, che non consentono di stabilire con certezza se un numero è primo, ma possono avere una probabilità d’errore estremamente piccola, tanto da renderli in pratica accettabili.

E’ però possibile che, dopo che il nuovo metodo sarà stato verificato dalla comunità scientifica, si trovino miglioramenti implementativi, tanto da renderlo confrontabile, come prestazioni, con quelli in uso. Il vantaggio della garanzia assoluta, rispetto a uno con bassa probabilità d’errore, lo renderebbe a quel punto preferibile.

 

7.   EVENTI  SICUREZZA    

settembre / dicembre 2002 - Milano, Brescia e Roma

Sicuri e Vincenti "Corso Pratico di Sicurezza Informatica" realizzato da Siosistemi. 

 

27 settembre 2002, Milano

Seminario CLUSIT sul tema "Broadband e Wireless: opportunità di business e sfide di sicurezza per un mondo in movimento". 

Per i soci, la partecipazione è gratuita. 

 

1-2 ottobre 2002, Londra

- Simposio internazionale sulla Sicurezza Informatica. Si svolge il concomitanza con il meeting (30 settembre 2002) annuale dei CISSP che, per la prima volta, viene tenuto al di fuori degli USA. Il Simposio è riservato ai CISSP.

2-3 ottobre 2002, Milano

Starhotel Splendido - "Come redigere e gestire i Contratti Informatici" evento organizzato dall'Istituto di Ricerca Internazionale

7-10 ottobre, Parigi

RSA Conference 2002,

 

9/10 ottobre 2002, Santa Margherita Ligure

Grand Hotel Miramare - SIKURA  - incontro tra fornitori ed utenti, in una formula innovativa. Sconto del 10% per i soci CLUSIT

 

9 ottobre 2002, Milano

I mercoledì dell' Information Security, seminario gratuito a cura di SPACE-Bocconi e Finmatica (Access Control:autenticare e autorizzare l'utente nell'era dell'accesso)

 

10 ottobre 2002, Milano

- Hotel Nikken - "Conoscere i nuovi Standard per la CERTIFICAZIONE BS7799 Sistema di Gestione della Sicurezza delle Informazioni" evento organizzato dall'Istituto di Ricerca Internazionale

 

10-11 ottobre 2002, Milano

IBM Forum - "Global Security Conference", Seminario IBM. Sconto del 10% per i soci CLUSIT

 

11 ottobre 2002, Parma

Unione Parmense degli Industriali - Security On The Net presentato da Symbolic S.p.A.

 

21-25 ottobre, Roma

Residenza di Ripetta - "Usare CA e PKI per proteggere le vostre informazioni" e "Network Intrusion Detection, Seminari a cura di Sondra Schneider.

Sconto del 10% per i soci CLUSIT

 

23 ottobre 2002, Lugano.

(Nel quadro di "TICINO INFORMATICA")

Conferenza su "Tutela dei minori su Internet", a cura della Polizia Cantonale Ticinese, con la collaborazione di CLUSIT e CLUSIS.

 

23 ottobre 2002, Milano

I mercoledì dell' Information Security, seminario gratuito a cura di SPACE-Bocconi e Finmatica (Ethical Hacking: modalità e vantaggi)

 

24-28 ottobre, Fiera di Milano - SMAU

Il CLUSIT coordina l'area security. Sono in programma numerosi Convegni di alto livello, che si terranno nell'Anfiteatro dell'area stessa

 

6 novembre 2002, Milano

I mercoledì dell' Information Security, seminario gratuito a cura di SPACE-Bocconi e Finmatica (Firma digitale e firma elettronica: quadro normativo italiano ed europeo. La PKI come strumento perla sicurezza applicativa integrata)

 

14 novembre 2002, Milano

Star Hotel - "Mobile Business e WLAN - quale la sicurezza per le reti e le applicazioni wireless", Convegno organizzato da ALLASSO in collaborazione con NET Business.

 

18-20 novembre 2002, Munich

Network Security Conference 2002

 

20 novembre 2002, Milano

I mercoledì dell' Information Security, seminario gratuito a cura di SPACE-Bocconi e Finmatica (La nuova privacy)

 

20-23 novembre 2002, Fiera di Milano

Sicurezza 2002 

 

27/28 novembre 2002, Milano

"SICRET 2000", a cura dell'Istituto di Ricerca Internazionale.   Argomento prescelto per questa 8a edizione : dalla Sicurezza dell’Outsourcing all’Outsourcing della Sicurezza”.

 

4 dicembre 2002, Milano

I mercoledì dell' Information Security, seminario gratuito a cura di SPACE-Bocconi e Finmatica (Aspetti legali ed organizzativi in materia di archiviazione ottica e gestione documentale nelle aziende private e nella PA)

 

4-5 dicembre 2002, Parigi

CNIT-Paris la Défense, le Salon de la Sécurité Informatique

 

3-6 dicembre 2002, Milano

Starhotel Splendido- "Certified Network Security Manager", corsi di formazione tenuti da INFOSEC, in collaborazione con l'Istituto di Ricerca Internazionale.

 

10-11 dicembre 2002, Milano

Starhotel Splendido - "Come redigere e gestire i Contratti Informatici" evento organizzato dall'Istituto di Ricerca Internazionale

 

18 dicembre 2002, Milano

I mercoledì dell' Information Security seminario gratuito a cura di SPACE-Bocconi e Finmatica (Sicurezza Informatica e delle TLC nelle Pubbliche Amministrazioni Statali: direttiva del Presidente del Consiglio

dei Ministri 16 gennaio 2002 Dipartimento per l'Innovazione e le Tecnologie)

 

12-14 febbraio 2003, Fiera di Milano INFOSECURITY

 

17-19 marzo 2003, Parigi
EUROSEC'2003
14° Forum sur la Sécurité des Systèmes d'Information

 

Per cancellarsi dalla mailing-list inviare una e-mail a info@clusit.it

specificando nel Subject: REMOVE con l'indirizzo e-mail da eliminare.

CLUSIT - ASSOCIAZIONE ITALIANA PER LA SICUREZZA INFORMATICA*

Dipartimento di Scienze dell'Informazione Università degli Studi di Milano

Via Comelico 39 - 20135 MILANO  -  cell. 349.7768882

* associazione senza fini di lucro, costituita il 4 luglio 2000

© 2001 Clusit - Vietata la riproduzione

Clausola di esclusione della responsabilità e informazioni relative al Copyright: http://www.clusit.it/disclaimer.htm