ASSOCIAZIONE ITALIANA PER
LA SICUREZZA INFORMATICA

 21 novembre 2002

 Newsletter CLUSIT

 indice

 

www.clusit.it

1.   NUOVI SOCI

2.     900 MILIONI DI DOLLARI PER LA SICUREZZA INFORMATICA

3.   SICUREZZA INFORMATICA E SANITÀ

4.  Comitato Tecnico Nazionale sulla Sicurezza Informatica

5.  CURIOSITÀ DAL WEB

6.  MANIFESTAZIONI DEL CLUSIT

7.   EVENTI SICUREZZA 

 

1. NUOVI SOCI

Durante l'ultimo mese hanno aderito al CLUSIT le seguenti organizzazioni:

Antares I.T. (S.Palomba),   Eracom Technologies Italia (Milano), Hypergrid (Pavia),   IBS Italia (Milano),   Infocard(Saccolongo),         Infoguard (Roma),   Interlogica (Mestre),   Kyneste (Roma), 
Kyros Consulting (Modena),    Nethouse (Torino), 
Panda Software (Sesto San Giovanni),   Sophos (Milano),
Spazio Indefinito (Ancona),   Tecno & Service (Pontedera), 
VP Technologies (Milano).

 

2.      900 milioni di dollari per la sicurezza informatica

Il Congresso americano ha approvato il Cyber Security Research and Development Act (CSRDA), che prevede una spesa di 900 milioni di dollari, da distribuire nei prossimi cinque anni alle università americane, per la ricerca in materia di sicurezza informatica.

La metà dei fondi sarà destinata a ricerche in materia di sicurezza wireless, cifratura e tecniche che consentano la lotta al cyber crime. Il Congresso americano ha ritenuto strategico per la sicurezza nazionale incoraggiare la formazione di esperti in sicurezza informatica, soprattutto in ambito universitario. 

La protezione delle infrastrutture critiche delle principali organizzazioni americane è diventata una priorità, specialmente in situazione di emergenza, e la soluzione del problema dovrà passare obbligatoriamente attraverso la preparazione di un numero sempre maggiore di figure professionali altamente specializzate.

 

3. SICUREZZA INFORMATICA E SANITÀ

Il CLUSIT e l'Ospedale Pediatrico Bambino Gesù hanno organizzato un seminario sul tema:  "Sicurezza Informatica e Sanità".
Il seminario si terrà il 31 gennaio 2003 presso l'Ospedale Pediatrico Bambino Gesù, piazza Sant'Onofrio 4 Roma - Aula Salviati.
Interverranno:

Prof. Danilo Bruschi - Presidente CLUSIT
Ing. Alfredo Paoletti - Direttore Sistemi Informativi e Organizzazione Ospedale Pediatrico Bambino Gesù
Ing. Pier Francesco Ghedini - Responsabile del Sistema Informativo Aziendale Azienda USL Modena
Dott. Claudio di Benedetto - Dirigente Sistemi Informativi Istituto Superiore di Sanità 
Dott. Luigi Milani - medico di base in Roma
Dott. Maurizio Bossola - Policlinico Universitario Agostino Gemelli
Dott. Michele Ciotti - Direttore Sistemi dell’IDI Istituto Dermopatico dell’Immacolata IRCCS
Dott. Giancarlo Ruscitti - ethel.org  
Dott. Riccardo Acciai - Ufficio del Garante per la Privacy 
Dott. Lucio Forastieri - Regione Marche 
Dott. Paolo Pagnoni - Responsabile ICT CUP 2000

Il numero dei partecipanti è limitato.

Per le iscrizioni, scrivere a info@clusit.it.

 

4. Comitato Tecnico Nazionale sulla Sicurezza Informatica

Mercoledì 16 ottobre, il Ministro per l'Innovazione e le Tecnologie, Lucio Stanca, ed il Ministro delle Comunicazioni, Maurizio Gasparri, hanno presentato il Comitato Tecnico Nazionale sulla Sicurezza Informatica nella Pubblica Amministrazione, istituito il 24 luglio scorso presso il Dipartimento per l'Innovazione e le Tecnologie e costituito da 5 esperti.

La redazione della newsletter del CLUSIT è particolarmente orgogliosa di annunciare che il Presidente del CLUSIT, Prof. Danilo Bruschi, è stato nominato quale membro del Comitato.

Il Decreto ministeriale è disponibile su http://www.clusit.it/dm_240702.pdf

 

5.  Curiosità dal web

(Fonte: www.securityflop.it)

I pericoli delle cartoline elettroniche
Data notizia: 21-11-2002
Un numero sempre maggiore di persone, in Italia e nel mondo, utilizza la posta elettronica, per lavoro o per corrispondenza personale. Non tutti gli utenti sono molto esperti, e molti si lasciano facilmente abbindolare da virus, scherzi, catene di Sant'Antonio o vere e proprie truffe che arrivano con i messaggi e-mail.
Una recente iniziativa commerciale italiana, ad esempio, sfrutta la posta elettronica per attirare gli utenti verso le ormai famigerate linee telefoniche a pagamento.
Il servizio propone la spedizione di una "cartolina virtuale" come ve ne sono tante ad amici e conoscenti, ma al destinatario del messaggio viene in questo caso richiesto di scaricare un file .exe e attivarlo per visualizzare la cartolina sul suo PC.
Una volta istallato, questo programma disconnette l'utente da Internet e automaticamente chiama un numero di telefono attraverso il quale si visualizza la cartolina, pagando però la bellezza di 10 euro più Iva.

Anche se i servizi di questo genere sono in teoria legittimi (si potrebbe solo discutere sul fatto che le condizioni del servizio - seppur debitamente segnalate - non sono di immediata lettura e che è molto difficile capire qual'è il vero prezzo della telefonata), molti segnalano di aver ricevuto cartoline da persone a loro sconosciute, facendo nascere il sospetto che alcuni dei messaggi che arrivano con questo mezzo siano falsi, creati ad hoc per attirare la curiosità del destinatario verso il numero a pagamento come accade già, ad
esempio, con i messaggi spam inviati per promuovere dialer di tipo pornografico o alcuni servizi che consentono di scaricare loghi e suonerie per i telefoni cellulari.

In California c'è l'obbligo di denunciare pubblicamente le violazioni ai sistemi che contengono dati personali
18-11-2002

Lo Stato della California ha promulgato una legge in base alla quale si obbliga le società private e gli enti pubblici a rendere note al pubblico le violazioni alla sicurezza dei propri sistemi che riguardano informazioni coperte da privacy.

Nonostante la strenua resistenza di alcune lobby legate alle grandi aziende californiane, dal primo luglio del prossimo anno le società e gli enti che non informeranno tempestivamente i proprietari dei dati di una intrusione nei propri sistemi potranno essere denunciati al tribunale civile.

La legge nasce dallo scalpore suscitato da numerosi episodi di hacking verificatisi negli ultimi anni in California, su tutti quello dello scorso aprile, quando un hacker riuscì a violare la banca dati con le buste paga di tutti i dipendenti dell'amministrazione statale californiana, rivelando così i dati personali (compresi codice della sicurezza sociale, numero di conto corrente e residenza anagrafica) di circa 265 mila persone. In quel caso, la notizia fu resa nota al pubblico solo due settimane dopo che i responsabili avevano accertato l'intrusione.

Considerata la rilevanza politica della California nella federazione americana e il fatto che lo Stato ospita molte tra le più grosse società nel settore delle alte tecnologie, questa legge può diventare un significativo precedente per regolare anche le norme federali USA, anche se le attuali proposte di modifica al recente Homeland Security Act (la legge per la sicurezza nazionale che regolamenta anche gli episodi di questo tipo) vanno verso una normativa che preveda la comunicazione delle intrusioni nei sistemi informatici solo verso le
autorità competenti, mantenendole segrete al grande pubblico per non danneggiare l'immagine delle società coinvolte.

Reuters accusata di hacking
29-10-2002
La società svedese Intentia, una delle più importanti in Europa nel
settore IT, ha accusato ieri la nota agenzia di stampa internazionale
Reuters di aver violato i propri server con lo scopo di scovare i risultati finanziari del trimestre e pubblicarli in anticipo rispetto
alla diffusione ufficiale.

Dopo una indagine interna per scoprire la via attraverso la quale si è
verificata la fuga di dati che ha anticipato la diffusione ufficiale, un portavoce di Intentia ha puntato il dito verso la Reuters, affermando
che la società svedese ha intenzione di intraprendere un'azione
giudiziaria contro l'agenzia di stampa.

Il portavoce della società svedese ha comunicato che dai log del server risulta che alle 12.51 del 24 ottobre si è verificato un "accesso non autorizzato" al sistema, compiuto da una macchina con indirizzo IP appartenente a Reuters. Sei minuti dopo, Reuters ha pubblicato in anteprima la notizia con un'anticipazione dei risultati del terzo trimestre di Intentia, senza richiedere alla società svedese alcuna conferma dei dati in suo possesso.
A seguito dei risultati, il titolo Intentia ha accusato una flessione
in borsa del 23%, e le anticipazioni potrebbero aver permesso a
qualcuno di vendere allo scoperto.

La società svedese ha informato dei fatti la commissione di controllo della borsa svedese, riservandosi di fornire al più presto tutti i dettagli tecnici.
Il caso Intentia non è isolato: altre tre società scandinave quali
Nordea (un grosso gruppo bancario), Fortum (gruppo finlandese del
settore energetico) e Sweco (società attiva nel settore della
consulenza) affermano che anche i loro risultati sono stati diffusi
in anticipo.

Reuters ha rigettato tutte le accuse, affermando di aver reperito i
risultati dai rispettivi siti web pubblici.

 

6.  MANIFESTAZIONI DEL CLUSIT

 

Internet e minori, meglio tutelare che proibire

Il 23 ottobre la Polizia Cantonale della Svizzera Italiana ha organizzato a Lugano (nell'ambito di "Ticino Informatica"), in collaborazione con il CLUSIT e con il CLUSIS, una conferenza dal titolo: "Internet e minori, meglio tutelare che proibire". Hanno partecipato: Luigi Pedrazzini (Consigliere di Stato), Claudia Solcà (Procuratore Pubblico), Roberto Sandrinelli (Delegato per i problemi delle vittime e per la prevenzione dei maltrattamenti), Gigi Tagliapietra (membro del Direttivo CLUSIT e coordinatore del "Progetto Fata Turchina") e Arnaldo Choy (Vicepresidente "Innocence en danger").

Le presentazioni di Gigi Tagliapietra e di Choy Arnaldo possono essere richieste a info@clusit.it.

Convegni  a SMAU 2002

Dal 24 al 28 ottobre si sono tenuti, nell'ambito di SMAU 02, diversi convegni e seminari a cura del CLUSIT.

Gli atti sono disponibili sul sito:

http://www.clusit.it/smau_milano_2002/smau_milano_2002.htm

Infosecurity 2003

Cerchiamo di conoscere meglio l'ospite d'onore della terza edizione di Infosecurity Italia: Marcus Ranum.

Marcus J. Ranum è uno dei più famosi progettisti informatici per la sicurezza e l’autore principale di numerosi firewall, tra cui il DEC SEAL, il TIS Gauntlet e il TIS Internet Firewall Toolkit.
Ranum ha lavorato per più di tredici anni presso la UNIX Networking and Security Community, come ingegnere informatico, manager di sistema e di rete e consulente, maturando un’esperienza di oltre sei anni come progettista e sviluppatore di sistemi per la sicurezza delle reti.
Ha inoltre contribuito alla gestione della fase di progettazione di whitehouse.gov.
Negli ultimi due anni, Ranum si è concentrato sull’industria, sul business e sulla consulenza relativa ai prodotti dedicati alla sicurezza informatica.
Dal 1997 Marcus Ranum è presidente e CEO della Network Flight Recorder, una società leader nella produzione di sistemi anti-intrusione, che lui stesso ha fondato all’inizio del 1997. 
Nell’ottobre del 1995 è entrato a far parte, come progettista capo, del progetto V-One Corporation.
La sua carriera professionale comincia nel 1990 come consulente all’University of Maryland Institute for Advanced Computer Science, con il compito di mettere a punto un software su larga scala per la gestione di sistemi database.
Nel 1991 è alla Digital Equipment Corporation come consulente, progettista e sviluppatore di firewall.
Dal 1993 al 1995 è senior scientist alla Trusted Information Systems.

 

7.   EVENTI
SICUREZZA

 

(Il calendario aggiornato è disponibile sul sito clusit alla voce EVENTI)

 

28 novembre 2002, Udine
Polo Scientifico dei Rizzi dell’Università degli Studi di Udine. Infotech s.n.c. ed il Centro di Calcolo dell'Università organizzano il seminario "Tutti i vantaggi della Rete...SENZA RISCHI 2002"

3 dicembre 2002, Roma
Palazzo Barberini - "Sessione di studio" dell'AIEA.

4 dicembre 2002, Milano
I mercoledì dell' Information Security, seminario gratuito a cura di SPACE-Bocconi e Finmatica (Aspetti legali ed organizzativi in materia di archiviazione ottica e gestione documentale nelle aziende private e nella PA).

4-5 dicembre 2002, Parigi
CNIT-Paris la Défense, le Salon de la Sécurité Informatique

3-6 dicembre 2002, Milano
Starhotel Splendido- "Certified Network Security Manager", corsi di formazione tenuti da INFOSEC, in collaborazione con l'Istituto di Ricerca Internazionale.

10-11 dicembre 2002, Milano
Starhotel Splendido - "Come redigere e gestire i Contratti Informatici" evento organizzato dall'Istituto di Ricerca Internazionale

18 dicembre 2002, Milano
I mercoledì dell' Information Security seminario gratuito a cura di SPACE-Bocconi e Finmatica (Sicurezza Informatica e delle TLC nelle Pubbliche Amministrazioni Statali: direttiva del Presidente del Consiglio dei Ministri 16 gennaio 2002 Dipartimento per l'Innovazione e le Tecnologie)

31 gennaio 2003, Roma
"Sicurezza Informatica e Sanità" - Seminario organizzato dall'Ospedale Pediatrico Bambino Gesù e dal CLUSIT. Il Seminario è gratuito per i soci CLUSIT.

6 febbraio 2003, Vicenza
"In che direzione si evolve il mondo della Sicurezza Informatica?” 
II forum organizzato da YARIX.

12-14 febbraio 2003, Fiera di Milano INFOSECURITY

17-19 marzo 2003, Parigi
EUROSEC'2003
14° Forum sur la Sécurité des Systèmes d'Information.

Per cancellarsi dalla mailing-list inviare una e-mail a info@clusit.it

specificando nel Subject: REMOVE con l'indirizzo e-mail da eliminare.

CLUSIT - ASSOCIAZIONE ITALIANA PER LA SICUREZZA INFORMATICA*

Dipartimento di Scienze dell'Informazione Università degli Studi di Milano

Via Comelico 39 - 20135 MILANO  -  cell. 349.7768882

* associazione senza fini di lucro, costituita il 4 luglio 2000

© 2002 Clusit - Vietata la riproduzione

Clausola di esclusione della responsabilità e informazioni relative al Copyright: http://www.clusit.it/disclaimer.htm