|
|
ASSOCIAZIONE
ITALIANA PER |
23 dicembre 2002 |
|
Newsletter CLUSIT indice
|
1. NUOVI SOCI 2. ASSEMBLEA GENERALE DEL CLUSIT 3. NEWS DAI CLUSI 4. Uso di telefoni cellulari nelle stazioni di servizio 5. QUALITÀ DEL S/W: ANCORA UN MITO? 6. VIROLOGIA VIRTUALE 7. EVENTI SICUREZZA |
|
|
|
|
1. NUOVI SOCI |
Durante l'ultimo mese hanno aderito al CLUSIT le seguenti organizzazioni: A.C.G.-Applicazioni Contabili Gestionali (Bari), Firenze Tecnologia (Firenze), Network Associates (San Donato Milanese), NOICOM (Torino), SIA-Società Interbancaria per l'Automazione (Milano). |
|
|
|
|
2. ASSEMBLEA GENERALE DEL CLUSIT |
Il 29 novembre 2002, nel corso dell'Assemblea del CLUSIT, è stato nominato il nuovo Comitato Direttivo, che entrerà in carica il 1° gennaio 2003, con mandato fino al 31.12.04. Il nuovo C.D. risulta composto da: Vittorio Asnaghi, Danilo Bruschi, Filippo Cesaris, Raoul Chiesa, Raffaella D'Alessandro, Paolo Da Ros, Mariangela Fagnani, Mauro Fiorentini, Giorgio Giudice, Paolo Giudice, Tomaso Mansutti, Massimiliano Manzetti, Roberto Mircoli, Gigi Tagliapietra, Claudio Telmon. Il Prof. Danilo Bruschi è stato inoltre riconfermato quale Presidente dell'associazione. In continuo aumento, sia le adesioni al CLUSIT che le sue attività:
Durante l'assemblea è stata annunciata l'adesione del CLUSIT a FEDERCOMIN (la Federazione nazionale di settore di Confindustria, che rappresenta aziende ed associazioni delle telecomunicazioni, della radiotelevisione e dell'informatica). Tale adesione è da considerare come una tappa importante nell'azione portata avanti dal CLUSIT, tendente a ravvicinare i fornitori e gli utilizzatori di soluzioni e servizi di sicurezza informatica. È stata pure annunciata un'iniziativa di collaborazione con l'AICA (Associazione Italiana per l’Informatica e il Calcolo Automatico), relativamente all'ECDL Advanced. |
|
|
|
|
3. NEWS DAI CLUSI |
Il giorno 5 novembre 2002 il CLUSIS (Associazione Svizzera per la sicurezza dei sistemi d'informazione) ha tenuto un seminario dal titolo "Gestion de crise - Plan de continuité des activités". L'importanza dell'argomento trattato è perfettamente riassunto dall'introduzione del Presidente, Mr. Jean-François Renevey. "Quante Organizzazioni hanno attualmente un Piano aggiornato di Business Continuity? In occasione del passaggio all'anno 2000, abbiamo spesso sottolineato la necessità di un tale Piano; ma, da allora, e sempre che siano stati predisposti, che fine hanno fatto tali Piani? Normalmente, un Piano di Business continuity deve essere parte integrante di una strategia di sicurezza dei sistemi d'informazione. Tuttavia, la realizzazione di un tale Piano è considerata generalmente con reticenza dalle Direzioni Generali, che non vedono la necessità di investire in questo settore, col pretesto che <<...fino ad ora non è successo nulla di grave...>>. Alcuni tragici e recenti avvenimenti, quali gli attentati dell'11 settembre 2001 e le inondazioni catastrofiche di questa estate in alcuni paesi europei, ci hanno ancora una volta dimostrato che nessuno è al riparo da un sinistro imprevedibile e devastante. Ciò dovrebbe incitare i responsabili della sicurezza dei sistemi d'informazione a riesaminare questo importante elemento della strategia di sicurezza dell'Impresa." Nei giorni 4 e 5 dicembre si è svolto a Parigi il "Salon de la Sécurité Informatique", cui ha partecipato anche il CLUSIF. La terza edizione del Salone organizzato in Francia dalla Reed, ha mostrato le tendenze del mercato della sicurezza per il 2003: più che alle tecnologie ci si interessa alla migliore gestione delle risorse. I Responsabili della sicurezza dei sistemi d'informazione sono ormai più che sensibili al problema e tentano di spiegare alle proprie Direzioni Generali che per la sicurezza non basta istallare un firewall, e che una migliore sicurezza non è un costo ma una componente indispensabile per una gestione razionale dei rischi d'impresa. Sono in fase di costituzione il CLUSIE a Barcellona per la Spagna e il CLUSIP a Warszawa per la Polonia (su iniziativa del CLUSIT). |
|
|
|
|
4. "Uso di telefoni cellulari nelle stazioni di servizio"
(da fonte assicurativa USA) |
E' stata divulgata la notizia di un certo numero di incidenti riguardanti l'uso di telefoni cellulari nelle stazioni di servizio durante l'attività di rifornimento carburante.Sono stati rilevati a livello internazionale 3 recenti incidenti nei quali i cellulari hanno provocato l'emissione di fumi con successivi incendi, mentre suonavano o mentre si rispondeva al telefono durante il rifornimento di benzina: Un telefono è stato messo sul tetto del portabagagli durante il rifornimento di benzina, questi ha provocato un incendio che ha distrutto l'automobile e la pompa. Una persona ha subito ustioni al viso a causa dei vapori emessi nel momento in cui ha risposto al telefono durante il rifornimento. Una persona ha subito scottature alla coscia e all'inguine a causa del principio di incendio del telefono cellulare, che era nella sua tasca, quando ha suonato durante il rifornimento.Si è sempre ritenuto che i telefoni cellulari non potessero provocare incendi. E' ragionevole credere, invece, che i telefoni cellulari più moderni (quelli che si illuminano sia quando sono accesi che quando suonano) rilascino abbastanza energia da provocare una scintilla che potrebbe causare un'accensione.Raccomandazioni: |
|
|
|
|
5. "QUALITÀ DEL S/W: ANCORA UN MITO?"
(Autore: Mauro Fiorentini Università di Crema, socio fondatore CLUSIT)
|
Qualcosa comincia a muoversi sul fronte della qualità del software.Richard Clarke, consulente per la sicurezza informatica della Casa Bianca, parlando alla conferenza dei “Black Hats” a Las Vegas ha identificato i produttori di software come i maggiori responsabili della vulnerabilità dei sistemi.Clarke ha implicitamente riconosciuto gli attuali limiti tecnologici, ma soprattutto metodologici dicendo: “E’ un obbligo fare un lavoro migliore nel produrre software che funzioni”. Non è ancora un obbligo quindi, secondo lui, produrre software che funzioni, ma bisogna migliorarne la qualità complessiva. E’ ancora lontano il giorno in cui i produttori saranno chiamati costantemente a rispondere delle manchevolezze del software, ma si può aprire uno spiraglio al risarcimento dei danni causati dall’aver rilasciato programmi difettosi per negligenza e non rispetto delle più elementari metodologie di produzione e test.Prontamente risponde William Guttman, della Carnagie Mellon, che accusa l’industria del software di lavorare secondo uno schema del tipo “prima la consegna, poi le patch”, che aumenta i rischi per la sicurezza e fa gravare sugli acquirenti costi non tanto occulti, ma difficilmente quantificabili. Tuttavia, pur asserendo che il software debba essere reso affidabile come le forniture di acqua (non dimentichiamo che vive negli U.S.A.) ed elettricità, Guttman ammette che il problema riguarda l’intero mercato e che non esistono soluzioni
rapide. La via che indica passa attraverso lo sviluppo di metriche, che permettano di quantificare le “best practice” e le rendano disponibili a un mercato più ampio, ma un forte impulso può venire da leggi che rendano il software equiparabile ad altri prodotti dal punto di vista della responsabilità del venditore nei riguardi dei malfunzionamenti. Parecchi esperti di informatica hanno iniziato a premere sul governo americano in questo
senso. Watts Humphrey (ex IBM) attribuisce il 90% dei problemi di sicurezza a software difettoso e definisce codice “ragionevolmente buono” quello che contiene un errore per milione di linee di codice. Sui motivi che portano al costante declino nella qualità del software i pareri sono naturalmente discordi: i programmatori accusano la carenza di una progettazione solida (Technology Review 2/8), i responsabili delle aziende puntano il dito sulla pressione del mercato, che spinge a rilasciare al più presto i prodotti, o addirittura sul desiderio dei clienti di sempre nuove prestazioni. Quest’ultima appare una scusa piuttosto insensata, perché l’aggiunta di gadget è utilizzata per spingere all’acquisto di nuove versioni, esattamente come avviene per i telefoni cellulari, anche se poi la maggior parte degli acquirenti non utilizzerà mai una gran parte delle funzionalità, che contribuiscono a rendere meno affidabile il prodotto. Personalmente condivido il parere espresso da Bruce Schneier al recente Comdex: il software è poco sicuro perché chi lo produce non è legalmente responsabile dei danni che provoca; come conseguenza l’industria reagisce tappando le falle scoperte, invece che cercando di evitarle. La triste conseguenza è che l’unico punto sul quale il gruppo di esperti riuniti al Comdex si è trovato concorde è stato accettare l’insicurezza di Internet come “un fatto della vita”. Però una cosa è la vulnerabilità intrinseca della rete, la possibilità che i messaggi vengano intercettati e contraffatti, un’altra è la debolezza di programmi che non prendono adeguate precauzioni. Molti sostengono che una soluzione parziale al problema sia rendere pubblici i sorgenti dei programmi. L’idea è che se molti esperti programmatori leggono il codice, vi sono molte meno probabilità che sfuggano errori. In California è in discussione una legge (statale, non federale) che propone di limitare i fornitori di software per organizzazioni pubbliche a coloro che rendono pubblici i sorgenti. Una mossa destinata sicuramente a far discutere, della quale il mondo del software attende con trepidazioni gli sviluppi. |
|
|
|
|
6. "VIROLOGIA VIRTALE" |
Vi proponiamo la lettura di un documento che descrive le scoperte di due esperti in virologia, uno in campo medico e l'altro in campo informatico. Questa originale ricerca, che esamina i parallelismi tra virus informatici e virus biologici, è frutto del lavoro del Dr. Rod Daniels, che dirige un laboratorio di ricerca di virologia presso il National Institute for Medical Research (NIMR) in Gran Bretagna e diffonde le informazioni sui virus alla World Health Organisation (WHO), e Jack Clark, Antivirus Technology Consultant per Network Associates, uno dei maggiori produttori di software anti-virus. "Virologia virtuale" (pdf) |
|
|
|
|
7.
EVENTI (Il calendario aggiornato è disponibile sul sito clusit alla voce EVENTI) |
31
gennaio 2003, Roma 6
febbraio 2003, Vicenza 6 febbraio 2003, Modena Convegno KYROS Consulting - Programma 12 febbraio 2003, Milano - Hotel Jolly Touring - Seminario Miti e realtà sui "MALICIOUS CODE" 12-14 febbraio 2003, Fiera di Milano -INFOSECURITY 17-19
marzo 2003, Parigi 17-21 marzo 2003, Milano - Hotel Hilton - SECURITY MANAGER MASTERCOURSE 4 aprile 2003, Roma, Hotel Melià Roma Aurelia Antica - convegno FORUM ICT SECURITY 8 aprile 2003, Milano - "Reti Informatiche e Sicurezza delle Informazioni", Seminario organizzato dall'Ordine degli Ingegneri di Milano, in collaborazione con CLUSIT, CEFRIEL e CISCO. |
|
Per cancellarsi dalla mailing-list inviare una e-mail a info@clusit.it specificando nel Subject: REMOVE con l'indirizzo e-mail da eliminare |
|
CLUSIT
- ASSOCIAZIONE ITALIANA PER LA SICUREZZA INFORMATICA* Dipartimento
di Scienze dell'Informazione Università degli Studi di Milano Via Comelico 39 - 20135 MILANO - cell. 349.7768882 * associazione senza fini di lucro, costituita il 4 luglio 2000 |
|
©
2002 Clusit - Vietata la riproduzione Clausola
di esclusione della responsabilità e informazioni relative al
Copyright: http://www.clusit.it/disclaimer.htm |